Problemas con ELIPEN

[geoda]

muy buenos noches otra vez yo el molestoso mi problema es el siguente utilize la utilidad Elipen estuve navegando en internet luego de un tiempo en la unidad donde crea la utilidad elipen la carpeta de defensa C:\Autorun.inf a cambio de nombre
a C:\6982 no se lo borra por nada del mundo y se oculto esta carpeta
ya ulize el elistarA y eliVBNA y nada mi antivirus el usb Disk segurity detecto 5 virus como pueden ver en la figura

virus-pendrive-photo19.jpg

(43.94 KiB) Descargado 309 veces

Lo renombro con la extensión zb pero cuando reinicio la maquina desaparece el informe que crea el elistarA y mi Antivirus sale un mensaje que no puede hallar el archivo
les mando las muestras desde mi correo de nombre 6982 y quarantine con el pass virus para que me den una ayuda

[msc hotline sat]

Pues en cuanto las recibamos, las analizaremos e informaremos



saludos



ms, 13-10-2010

[geoda]

Amigo otro problema mas es que tendo el deepfreeze 6 congelado la unidad d pero este virus igual se copia en esta unidad
les mando otra muestra que oculta carpetas y no se puede activar la carpeta oculto



otra pregunta sin que se moleste msc hotline sat me mandaste un correo
1. frivera@** tengo que mandar las muestras a este correo?

Recibida/s muestra/s para analizar sin hacer referencia a ningun Tema del
Foro.
2.- a que te refieres con esto

En el preanalisis se detectan malwares que pasamos a controlar con
nuestras utilidades.

Gracias por el envio de la/s muestra/s, pero sugerimos que otra vez lo
haga con referencia a un Tema que abra al respecto en el foro.

[msc hotline sat]

Claro, no indicaste tu nick del foro ni las enviaste por el metodo que indicamos:

ENVIO DE MUESTRAS Y ELIMINACIÓN DE CLAVES - Para ello recordar:
viewtopic.php?f=5&t=14253

Tras recibirlos, los analizaremos e implementaremos su control y eliminacion, si procede, en nuestras utilidades, de lo cual informaremos



Hazlo asi para el envio de las muestras

saludos

ms, 14-10-2010

[msc hotline sat]

Hemos recibido el fichero AUTORUN.INF.EXE con icono de carpeta, CUYO PREANALISIS INDICA:

File name: Autorun.inf.exe
Submission date: 2010-10-14 08:20:51 (UTC)


Result: 38/ 42 (90.5%)
VT Community

not reviewed
Safety score: -
Compact Print results Antivirus Version Last Update Result

Código: Seleccionar todo

AhnLab-V3 2010.10.14.01 2010.10.14 Win-Trojan/Xema.variant 
AntiVir 7.10.12.209 2010.10.14 DR/Dldr.AutoIt.LQ 
Antiy-AVL 2.0.3.7 2010.10.14 - 
Authentium 5.2.0.5 2010.10.14 W32/Trojan2.MYXK 
Avast 4.8.1351.0 2010.10.13 BV:Malware-gen 
Avast5 5.0.594.0 2010.10.13 BV:Malware-gen 
AVG 9.0.0.851 2010.10.13 Generic_c.BZMH 
BitDefender 7.2 2010.10.14 Gen:Trojan.Heur.pmLfrzBHzSaib 
CAT-QuickHeal 11.00 2010.10.14 TrojanDownloader.AutoIt.lq 
ClamAV 0.96.2.0-git 2010.10.14 - 
Comodo 6386 2010.10.14 Heur.Suspicious 
DrWeb 5.0.2.03300 2010.10.14 Trojan.DownLoad1.53716 
Emsisoft 5.0.0.50 2010.10.14 Worm.Autoit!IK 
eSafe 7.0.17.0 2010.10.12 Win32.YahLover.Worm 
eTrust-Vet 36.1.7910 2010.10.14 - 
F-Prot 4.6.2.117 2010.10.13 W32/Trojan2.MYXK 
F-Secure 9.0.15370.0 2010.10.14 Gen:Trojan.Heur.pmLfrzBHzSaib 
Fortinet 4.2.249.0 2010.10.14 W32/Sohana.A!worm 
GData 21 2010.10.14 Gen:Trojan.Heur.pmLfrzBHzSaib 
Ikarus T3.1.1.90.0 2010.10.14 Worm.Autoit 
Jiangmin 13.0.900 2010.10.14 TrojanDownloader.AutoIt.ch 
K7AntiVirus 9.65.2742 2010.10.13 Trojan 
Kaspersky 7.0.0.125 2010.10.14 Trojan-Downloader.Win32.AutoIt.lq 
McAfee 5.400.0.1158 2010.10.14 W32/YahLover.worm.gen 
McAfee-GW-Edition 2010.1C 2010.10.13 W32/YahLover.worm.gen 
Microsoft 1.6201 2010.10.14 TrojanDownloader:AutoIt/Agent.A 
NOD32 5529 2010.10.13 Win32/TrojanDownloader.Autoit.NBD 
Norman 6.06.07 2010.10.13 W32/Obfuscated.H!genr 
nProtect 2010-10-14.01 2010.10.14 Trojan/W32.Agent_Packed.254741 
Panda 10.0.2.7 2010.10.13 Trj/Autoit.LT 
PCTools 7.0.3.5 2010.10.14 Malware.Imaut 
Prevx 3.0 2010.10.14 High Risk Worm 
Rising 22.69.03.01 2010.10.14 Trojan.Win32.Autoit.dzg 
Sophos 4.58.0 2010.10.14 Mal/Sohana-A 
Sunbelt 7055 2010.10.14 Trojan.Win32.Generic!SB.0 
SUPERAntiSpyware 4.40.0.1006 2010.10.14 Trojan.Agent/Gen 
Symantec 20101.2.0.161 2010.10.14 W32.Imaut.E 
TheHacker 6.7.0.1.057 2010.10.14 Trojan/Dropper.gen 
TrendMicro-HouseCall 9.120.0.1004 2010.10.14 Mal_SHND-2 
VBA32 3.12.14.1 2010.10.13 Trojan-Downloader.Autoit.gen 
ViRobot 2010.9.25.4060 2010.10.14 Trojan.Win32.S.Downloader.254741 
VirusBuster 12.68.1.0 2010.10.13 - 

MD5 : f7d896d3be87b26cde7a82087ae81531
SHA1 : 39cd425f28b8b93cdb7961c5da11afa63251f4a4


Tras monitorizarlo implementaremos su control y eliminacion en las versiones de hoy de nuestras utilidades. de lo cual informaremos

saludos

ms, 14-10-2010

[msc hotline sat]

Pues vaya bicho tenía !

Vea la noticia que hemos editado al respecto:
http://www.zonavirus.com/noticias/2010/ ... ivirus.asp

Y tal como indicamos, copn el ELISTARA 21.80 de hoy, ya estará controlado.

ELISTARA:
http://www.zonavirus.com/descargas/elistara.asp

Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso

A partir de las 19 h GMT, estará disponible en esta web, para pruebas de evaluacion en el foro de zonavirus


saludos

ms, 14-10-2010

[msc hotline sat]

Pues nos has enviado un AUTORUN.INF que lanza un ejecutable que necesitamos nos envies para controlar:

archivo911urgente.exe

y parece que has cambiado el nombre de la carpeta AUTORUN.INF por el de 2885 !!! Asi ya no estas protegido !!!

Lo has hecho personalmente o ha sido el virus que lo ha hecho para eliminar la proteccion ???

ya nos contarás, y cuando recibamos el fichero indicado, implementaremos su control y eliminacion en nuestras utilidades, de lo cual informaremos

Si tienes problama para encontrar el fichero, uas el ELIMOVER, y marca la casilla inferior de renombrer el fichero original a .VIR, ya que se trata de un virus.

http://www.zonavirus.com/descargas/elimover.asp


saludos

ms, 19-10-2010

[geoda]

Pues nos has enviado un AUTORUN.INF que lanza un ejecutable que necesitamos nos envies para controlar:

archivo911urgente.exe

y parece que has cambiado el nombre de la carpeta AUTORUN.INF por el de 2885 !!! Asi ya no estas protegido !!!

Lo has hecho personalmente o ha sido el virus que lo ha hecho para eliminar la proteccion ???

ya nos contarás, y cuando recibamos el fichero indicado, implementaremos su control y eliminacion en nuestras utilidades, de lo cual informaremos

Si tienes problama para encontrar el fichero, uas el ELIMOVER, y marca la casilla inferior de renombrer el fichero original a .VIR, ya que se trata de un virus.

http://www.zonavirus.com/descargas/elimover.asp

saludos

ms, 19-10-2010

Amigo el archivo archivo911urgente.exe no lo encuentro
y parece que has cambiado el nombre de la carpeta AUTORUN.INF por el de 2885 !! no elvirus lo cambio tambien con el nombre autorun.corp les envio muestras nuevas amigos ver por favor la imagen

estas ANALICIS ES DE MI DISCO ESCLAVO PERO EL PROBLEMA ES DE MI DISCO MAESTRO
(24-10-2010 19:14:45 (GMT))
EliStartPage v21.86 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 22 de Octubre del 2010)
--------------------------------------------------
Lista de Acciones (por Exploración):
Explorando "H:\"
H:\Archivos de programa\Ask.com\GENERICASKTOOLBAR.DLL --> Eliminado, ASKToolbar(bho/tb)
H:\Archivos de programa\DVDVideoSoft\TBDVDV.DLL --> Eliminado, TBConduit(tb)
H:\Archivos de programa\MyAshampoo\TBMYAS.DLL --> Eliminado, TBConduit(tb)
H:\borrar\star craft 2\Battle.net\BATTLE.NET.EXE --> Eliminado, YahLover
H:\borrar\star craft 2\Campaigns\CAMPAIGNS.EXE --> Eliminado, YahLover
H:\borrar\star craft 2\Campaigns\Liberty.SC2Campaign\LIBERTY.SC2CAMPAIGN.EXE --> Eliminado, YahLover
H:\borrar\star craft 2\Campaigns\LibertyStory.SC2Campaign\LIBERTYSTORY.SC2CAMPAIGN.EXE --> Eliminado, YahLover
H:\borrar\star craft 2\Logs\LOGS.EXE --> Eliminado, YahLover
H:\borrar\star craft 2\Mods\Core.SC2Mod\CORE.SC2MOD.EXE --> Eliminado, YahLover
H:\borrar\star craft 2\Mods\Liberty.SC2Mod\LIBERTY.SC2MOD.EXE --> Eliminado, YahLover
H:\borrar\star craft 2\Mods\LibertyMulti.SC2Mod\LIBERTYMULTI.SC2MOD.EXE --> Eliminado, YahLover
H:\borrar\star craft 2\Support\SUPPORT.EXE --> Eliminado, YahLover
H:\borrar\star craft 2\Versions\Base15405\BASE15405.EXE --> Eliminado, YahLover
H:\borrar\star craft 2\Versions\Shaders14513\SHADERS14513.EXE --> Eliminado, YahLover
H:\WINDOWS\HINHEM.SCR --> Eliminado, YahLover
H:\WINDOWS\SCVHOST.EXE --> Eliminado, YahLover
H:\WINDOWS\system32\BLASTCLNNN.EXE --> Eliminado, YahLover
H:\WINDOWS\system32\SCVHOST.EXE --> Eliminado, YahLover
H:\WINDOWS\system32\126231\REGEX.FNR --> Eliminado, AutoRun.DQ(comp)
(24-10-2010 19:13:38 (GMT))
EliStartPage v21.86 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 22 de Octubre del 2010)
--------------------------------------------------
Lista de Acciones (por Exploración):
Explorando "L:\"
L:\Documentos HIBERT\SILVIA\2246\2246.EXE --> Eliminado, YahLover
L:\Documentos HIBERT\SILVIA\2246\MI PROYECTO LIONEL\MI PROYECTO LIONEL.EXE --> Eliminado, YahLover
L:\Documentos HIBERT\SILVIA\2246\proyecto luis\PROYECTO LUIS.EXE --> Eliminado, YahLover
L:\Documentos HIBERT\SILVIA\2246\proyecto luis\PROYECTO FINAL CIV-2246-A\PROYECTO FINAL CIV-2246-A.EXE --> Eliminado, YahLover
L:\Documentos HIBERT\tengo listo p borrar\aeropuertos\AEROPUERTOS.EXE --> Eliminado, YahLover
L:\Documentos HIBERT\tengo listo p borrar\aeropuertos\LOCO\LOCO.EXE --> Eliminado, YahLover
L:\Documentos HIBERT\tengo listo p borrar\aeropuertos\LOCO\planos modificados\PLANOS MODIFICADOS.EXE --> Eliminado, YahLover
L:\Documentos HIBERT\tengo listo p borrar\aeropuertos\TRAFICO\TRAFICO.EXE --> Eliminado, YahLover
L:\Documentos HIBERT\tengo listo p borrar\Civ-3325\TRAFICO in est\Mabel\PROYECTOS\PROYECTOS.EXE --> Eliminado, YahLover
L:\Documentos HIBERT\tengo listo p borrar\REVISOR\MOV.EXE --> Eliminado, YahLover
L:\Documentos HIBERT\tengo listo p borrar\REVISOR\REVISOR.EXE --> Eliminado, YahLover
L:\Documentos ROLANDO\Documentos Derecho\NEW FOLDER.EXE --> Eliminado, YahLover
L:\Documentos ROLANDO\Documentos Derecho\Empty\EMPTY.EXE --> Eliminado, YahLover
L:\Documentos ROLANDO\Documentos Derecho\musica cristian\MUSICA CRISTIAN.EXE --> Eliminado, YahLover
L:\Documentos ROLANDO\Documentos Derecho\PAOLITA\PAOLITA.EXE --> Eliminado, YahLover
L:\Documentos ROLANDO\Documentos Derecho\PAOLITA\diabetes\DIABETES.EXE --> Eliminado, YahLover
L:\Documentos ROLANDO\Documentos Derecho\PAOLITA\enfremedes del hipotalamo y la adenohipofisis\ENFREMEDES DEL HIPOTALAMO Y LA ADENOHIPOFISIS.EXE --> Eliminado, YahLover
L:\Documentos ROLANDO\Documentos Derecho\PAOLITA\fisologia II\FISOLOGIA II.EXE --> Eliminado, YahLover
L:\Documentos ROLANDO\Documentos Derecho\PAOLITA\FOTOS CELU\FOTOS CELU.EXE --> Eliminado, YahLover
L:\Documentos ROLANDO\Documentos Derecho\PAOLITA\grupo sanguineo\GRUPO SANGUINEO.EXE --> Eliminado, YahLover
L:\Documentos ROLANDO\Documentos Derecho\PAOLITA\HEMATOPOYESIS\HEMATOPOYESIS.EXE --> Eliminado, YahLover
L:\Documentos ROLANDO\Documentos Derecho\PAOLITA\HIPERTENSION ARTERIAL\HIPERTENSION ARTERIAL.EXE --> Eliminado, YahLover
L:\Documentos ROLANDO\Documentos Derecho\PAOLITA\marcha fisio\MARCHA FISIO.EXE --> Eliminado, YahLover
L:\Documentos ROLANDO\Documentos Derecho\PAOLITA\ruidos agregados\RUIDOS AGREGADOS.EXE --> Eliminado, YahLover
L:\Documentos ROLANDO\Documentos Derecho\PAOLITA\tuberculosis pulmonar\TUBERCULOSIS PULMONAR.EXE --> Eliminado, YahLover
L:\Documentos ROLANDO\Documentos Derecho\proyecto de ley\PROYECTO DE LEY.EXE --> Eliminado, YahLover
L:\Documentos ROLANDO\Documentos Derecho\trabajo legislacion proyecto\TRABAJO LEGISLACION PROYECTO.EXE --> Eliminado, YahLover
L:\Documentos ROLANDO\Documentos Derecho\trabajos\TRABAJOS.EXE --> Eliminado, YahLover
L:\Documentos ROLANDO\Documentos Derecho\trabajos\CRISTIAN\CRISTIAN.EXE --> Eliminado, YahLover
L:\Documentos ROLANDO\Documentos Derecho\trabajos\diabetes del inter_archivos\DIABETES DEL INTER_ARCHIVOS.EXE --> Eliminado, YahLover
L:\Documentos ROLANDO\Documentos Derecho\trabajos\Diabetes- Monografias_com_archivos\DIABETES- MONOGRAFIAS_COM_ARCHIVOS.EXE --> Eliminado, YahLover
L:\Documentos ROLANDO\Documentos Derecho\trabajos\Investigacion Sangre y Talasemia\INVESTIGACION SANGRE Y TALASEMIA.EXE --> Eliminado, YahLover
L:\Documentos ROLANDO\Documentos Derecho\trabajos\tesina diabetes\TESINA DIABETES.EXE --> Eliminado, YahLover
L:\Documentos ROLANDO\Documentos Derecho\trabajos\tesina diabetes\DIABETES dibu\DIABETES DIBU.EXE --> Eliminado, YahLover
L:\Documentos ROLANDO\Documentos Derecho\trabajos\tesina diabetes\diabetesdibu\DIABETESDIBU.EXE --> Eliminado, YahLover
L:\Documentos ROLANDO\Documentos Derecho\trabajos\tesina diabetes\imagenes\IMAGENES.EXE --> Eliminado, YahLover
L:\Documentos ROLANDO\Documentos Derecho\trabajos\tesina diabetes\listo diabetes\LISTO DIABETES.EXE --> Eliminado, YahLover
L:\Documentos ROLANDO\Documentos Derecho\trabajos\Trabajo vitamina D\TRABAJO VITAMINA D.EXE --> Eliminado, YahLover

[msc hotline sat]

Pues si ha sido el virus el que te ha desprotegido, vuelve a ejecutar el ELIPEN sobre ordenador y pendrives, sino se prpagaran los virus de dicho tipo.



Pero no vemos la exploracion del ELISTARA sobre el MASTER ... es que no lo has explorado ???



Y ya ves que esta variante del Yahlover ya la controlamos, lo único es este fichero que lanzaba el AUTORUN.INF, que deberías tener en el mismo dispositivo que tienes dicho AUTORUN... Seguramente está con atributo de oculto y de sistema, mira de encontrarlo y enviarnoslo.



saludos



ms, 25-10-2010

[msc hotline sat]

Recibidos ficheros de quarantine (codificados) , corruptos y sobreescritos con FF, los cuales no podemos monitorizar.



El fichero SCVHOST está claro que era malware, pues la picaresca de utilizar nombres parecidos a los de sistema (SVCHOST es el lanzador de tareas) para confundir al usuario, es conocida, pero el que nos llega no es monitorizable.



Elimine estos ficheros y sobre todo vacuen con el ELIPEN ordenadores y pendrives.



Con lo que nos ha facilitado no podemos decirle mas



saludos



m,s, 25-10-2010

[geoda]

Recibidos ficheros de quarantine (codificados) , corruptos y sobreescritos con FF, los cuales no podemos monitorizar.

El fichero SCVHOST está claro que era malware, pues la picaresca de utilizar nombres parecidos a los de sistema (SVCHOST es el lanzador de tareas) para confundir al usuario, es conocida, pero el que nos llega no es monitorizable.

Elimine estos ficheros y sobre todo vacuen con el ELIPEN ordenadores y pendrives.

Con lo que nos ha facilitado no podemos decirle mas

saludos

m,s, 25-10-2010

Amigos primeramente gracias por responder y ayudarme y perdonenme por quitarles su tiempo
vamos al problema el disco Maestro no lo puedo vacunar con las utilidades porque me sale el siguente mensaje ElistarA fue modificado posiblemente por un virus contactese con el administrador y se pierde baje un antivirus ESET y lo borro no dejo instalar trate de entrar a medio prueba de fallos no entra hize con windows Live del hirens Boot solo pude escanear el disco esclavo or esolos resultados arriba y cuando el discomaestro no quizo me salio el mensaje unidad no disponible use el USb disk security me encontro los virus que estan en quarantine.rar donde solo les puso en quarentena y les renombro con la extensión Zb pueden ver figura adjunta mas arriba pero luego se borro y se perdió el usb disk
ahora les volvi a mandar las muestras como muestras2 la contraseña es virus
en cuanto al elipen vuelvo a ejecutar crea la carpeta pero despues de unos 15 minutos cambia de nombre
y no deja instalar ahora cualquier utilidad que bajo me dice modificado por un virus mandar a administrador
pase el RAV no se si lo conocen cuando iniciaba me detecto el Virut pero se borro es decir no me deja instalar nada referido a antivirus utilidades satinfo ni el ccleaner

[msc hotline sat]

Ya me temía que fuera el Virut o el Sality cuando dijiste que el ELISTARA detectaba haber sido modificado, y lo confirmas con lo que dices "me detecto el Virut "

Pues mal bicho !

Descarga el Cureit y arrancando en modo seguro pruebalo:
http://www.zonavirus.com/descargas/cureit.asp

Y ya nos contarás...

saludos

ms, 26-10-2010

[msc hotline sat]

Recibidos de nuevo ficheros no monitorizables. (Corruptos o codificados)



Se desechan, y esperamos nos comentes el resultado del Cureit que te aconsejé contra el Virut



saludos



ms, 26-10-2010

[msc hotline sat]

Recibida nueva muestra del fichero YNDBAR.DLL.Muestra EliStartPage v21.91, aunque en el preanalisis no se detecta nada:



File name:

YNDBAR.DLL.Muestra EliStartPage v21.91

Submission date:

2010-11-05 09:33:07 (UTC)

Current status:

queued (#7) queued (#7) analysing finished

Result:

0/ 43 (0.0%)





file size : 3699488 bytes

First seen: 2009-05-02 05:02:13

Last seen : 2010-11-05 09:33:07

TrID:

DirectShow filter (53.7%)

Windows OCX File (32.9%)

Win32 Executable MS Visual C++ (generic) (10.0%)

Win32 Executable Generic (2.2%)

Generic Win/DOS Executable (0.5%)

sigcheck:

publisher....: ___ ________

copyright....: (c) 2000-2009 ___ ________

product......: ______.___

description..: ______.___ ___ Microsoft Internet Explorer

original name: yndbar.dll

internal name: barie

file version.: 4, 1, 0, 944

comments.....: n/a

signers......: OOO Yandex

VeriSign Class 3 Code Signing 2004 CA

Class 3 Public Primary Certification Authority

signing date.: 1:25 PM 4/15/2009



la monitorizacion ha determinado que se trata de una nueva variante del ADWARE YANDEX que pasamos a controlar con la verion de hoy del ELISTARA 21.95



a PARTIR DE LAS 15 HORAS ESTARÁ DISPONIBLE EN LA WEB.



SALUDOS



MS, 5-11-2010

[msc hotline sat]

Recibidas muestras para analizar, vemos que el ejecutable puede corresponder a lo indicado en:


Pero no sirven para monitorizar pues están en su totalidad sobreescritos con ceros.

Pero como que vemos que envias tambien AUTORUN.INF, recuerda vacunar ordenadores y pendrives con el ELIPEN !

Y vacune el ordenador y todas sus unidades de disco y pendrive con el ELIPEN:

ELIPEN.EXE
http://www.zonavirus.com/descargas/elipen.asp

Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso


Y recuerda que pedimos que las muestras hagan referencia a un Tema,


y de estas no vemos ninguno, por lo cual, a ciegas, lo añadimos a este...

saludos

ms, 30-11-2010

NOTA: Si quieres que analicemos los ficheros en cuestion, envianoslos de nuevo tras comprobar que sean válidos, gracias. ms.

[msc hotline sat]

Recibido otro fichero de GEODA sin Tema de referencia:



Se trata de una variante de ONLINE GAME de penultima generacion que pasamos a controlar con el ELISTARA DE HOY 22.15





y recuerda https://foros.zonavirus.com/viewtopic.php?f=5&t=27602



saludos



ms, 3-12-2010