Win32/VB.OSK

[geoda]

Amigos tengo un problema con este virus Win32/VB.OSK mi antiivrus lo detecta pero reaperece las utlidades Satinfo no lo eliminan ni lo detectan mas bien cualquier programa exe se convierte en el mismo exe pero en modo dos EJM Elistara.exe es de color azul se convierte en otro igual pero modo dos haci sucede con los demas programas taien en el flash no se contagia por el tradicional autorum.inf sino en los programas buesque en internet pero solo me da falsos antivirus para bajar ademas explorer.exe desaaparecio
otro sintoma es que mostrar todos los archivos y capetas ocultos se puedever pero la opcion
Ocultar archivos protegidos del sistema operativo desaparecio y no puedes activarlo
les mando 4 muestras la primera es un archivo que siempre aparece en datos de programa
el segunto son muestras de Elistarpage pedidas la tercera modificado el elistara y la cuarta es el antivirus que me recomendaron para borrar

(17-2-2011 19:57:17 (GMT))
EliStartPage v22.62 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 16 de Febrero del 2011)
--------------------------------------------------
Lista de Acciones (por Exploración):
Explorando "C:\"
C:\Documents and Settings\Last Resistent\Mis documentos\Downloads\Compressed\JRE.EXE --> Eliminado, Spy.Banker.BATS(pack)

Nº Total de Directorios: 7859
Nº Total de Ficheros: 69349
Nº de Ficheros Analizados: 18269
Nº de Ficheros Infectados: 1
Nº de Ficheros Limpiados: 1

(19-2-2011 06:01:50 (GMT))
EliPen v2.3 (c)2010 S.G.H. / Satinfo S.L.
------------------------------------------

Unidad C:\ Protegida

(19-2-2011 06:01:53 (GMT))
EliPen v2.3 (c)2010 S.G.H. / Satinfo S.L.
------------------------------------------

Unidad G:\ Protegida

(19-2-2011 06:01:57 (GMT))
EliPen v2.3 (c)2010 S.G.H. / Satinfo S.L.
------------------------------------------

Unidad F:\ Protegida

(19-2-2011 06:02:59 (GMT))
EliStartPage v22.64 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 18 de Febrero del 2011)
--------------------------------------------------
Lista de Acciones (por Acción Directa):
Por favor, envienos el INFOSAT.TXT y una muestra del fichero
C:\Muestras\SVCHOST.EXE.Muestra EliStartPage v22.64
a "virus@satinfo.es". Gracias.
C:\WINDOWS\SVCHOST.EXE --> Renombrado a .VIR
Por favor, envienos el INFOSAT.TXT y una muestra del fichero
C:\Muestras\EXPLORER.EXE.Muestra EliStartPage v22.64
a "virus@satinfo.es". Gracias.
C:\WINDOWS\SYSTEM32\EXPLORER.EXE --> Renombrado a .VIR
Por favor, envienos el INFOSAT.TXT y una muestra del fichero
C:\Muestras\SPOOLSV.EXE.Muestra EliStartPage v22.64
a "virus@satinfo.es". Gracias.
C:\WINDOWS\SPOOLSV.EXE --> Eliminado
Entrada Eliminada [HKLM\...\RunOnce] "Explorer"="c:\windows\system32\explorer.exe RO"
Entrada Eliminada [HKLM\...\RunOnce] "svchost"="c:\windows\svchost.exe RO"
Eliminado , Installed Components "{Y479C6D0-OTRW-U5GH-S1EE-E0AC10B4E666}"
Eliminadas las Paginas de Inicio y de Busqueda del IE
Eliminados Ficheros Temporales del IE
Detectado HOSTS no Standar.
Detectado "Shell" Sospechoso: "C:\WINDOWS\EXPLORER.EXE, C:\WINDOWS\SYSTEM32\EXPLORER.EXE"
Restaurado SHELL por el Original.
Reinicie para Completar la Limpieza.

(19-2-2011 06:05:54 (GMT))
EliStartPage v22.64 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 18 de Febrero del 2011)
--------------------------------------------------
Lista de Acciones (por Exploración):
Explorando "C:\"

Nº Total de Directorios: 8075
Nº Total de Ficheros: 71275
Nº de Ficheros Analizados: 18452
Nº de Ficheros Infectados: 0
Nº de Ficheros Limpiados: 0

(19-2-2011 06:11:34 (GMT))
EliStartPage v22.64 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 18 de Febrero del 2011)
--------------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SvcHost.exe.VIR --> Eliminado.
Por favor, envienos el INFOSAT.TXT y una muestra del fichero
C:\Muestras\SVCHOST.EXE.Muestra EliStartPage v22.64
a "virus@satinfo.es". Gracias.
C:\WINDOWS\SVCHOST.EXE --> Renombrado a .VIR
C:\WINDOWS\SYSTEM32\EXPLORER.EXE.VIR --> Eliminado.
Por favor, envienos el INFOSAT.TXT y una muestra del fichero
C:\Muestras\EXPLORER.EXE.Muestra EliStartPage v22.64
a "virus@satinfo.es". Gracias.
C:\WINDOWS\SYSTEM32\EXPLORER.EXE --> Renombrado a .VIR
Por favor, envienos el INFOSAT.TXT y una muestra del fichero
C:\Muestras\SPOOLSV.EXE.Muestra EliStartPage v22.64
a "virus@satinfo.es". Gracias.
C:\WINDOWS\SPOOLSV.EXE --> Eliminado
Entrada Eliminada [HKLM\...\RunOnce] "Explorer"="c:\windows\system32\explorer.exe RO"
Entrada Eliminada [HKLM\...\RunOnce] "svchost"="c:\windows\svchost.exe RO"
Eliminado , Installed Components "{Y479C6D0-OTRW-U5GH-S1EE-E0AC10B4E666}"
Eliminadas las Paginas de Inicio y de Busqueda del IE
Eliminados Ficheros Temporales del IE
Detectado HOSTS no Standar.
Restaurado HOSTS por el Original.
Detectado "Shell" Sospechoso: "C:\WINDOWS\EXPLORER.EXE, C:\WINDOWS\SYSTEM32\EXPLORER.EXE"
Restaurado SHELL por el Original.
Reinicie para Completar la Limpieza.

(19-2-2011 06:13:51 (GMT))
EliStartPage v22.59 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 11 de Febrero del 2011)
--------------------------------------------------
Lista de Acciones (por Acción Directa):
Por favor, envienos el INFOSAT.TXT y una muestra del fichero
C:\Muestras\SPOOLSV.EXE.Muestra EliStartPage v22.59
a "virus@satinfo.es". Gracias.
C:\WINDOWS\SPOOLSV.EXE --> Eliminado
Entrada Eliminada [HKLM\...\RunOnce] "Explorer"="c:\windows\system32\explorer.exe RO"
Entrada Eliminada [HKLM\...\RunOnce] "svchost"="c:\windows\svchost.exe RO"
Eliminadas las Paginas de Inicio y de Busqueda del IE
Eliminados Ficheros Temporales del IE
Detectado "Shell" Sospechoso: "C:\WINDOWS\EXPLORER.EXE, C:\WINDOWS\SYSTEM32\EXPLORER.EXE"
Restaurado SHELL por el Original.

(19-2-2011 06:14:59 (GMT))
EliStartPage v22.64 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 18 de Febrero del 2011)
--------------------------------------------------
Lista de Acciones (por Exploración):
Explorando "C:\"

Nº Total de Directorios: 7894
Nº Total de Ficheros: 69974
Nº de Ficheros Analizados: 18418
Nº de Ficheros Infectados: 0
Nº de Ficheros Limpiados: 0


(19-2-2011 15:19:19 (GMT))
EliStartPage v22.64 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 18 de Febrero del 2011)
--------------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SVCHOST.EXE --> Eliminado
C:\WINDOWS\SYSTEM32\EXPLORER.EXE --> Eliminado
Por favor, envienos el INFOSAT.TXT y una muestra del fichero
C:\Muestras\SPOOLSV.EXE.Muestra EliStartPage v22.64
a "virus@satinfo.es". Gracias.
C:\WINDOWS\SPOOLSV.EXE --> Eliminado
Entrada Eliminada [HKLM\...\Run] "Explorer"="c:\windows\system32\explorer.exe RU"
Entrada Eliminada [HKLM\...\Run] "svchost"="c:\windows\svchost.exe RU"
No detectado Parche MS08-067 de Microsoft instalado. (SServidor)
Eliminadas las Paginas de Inicio y de Busqueda del IE
Eliminados Ficheros Temporales del IE

(19-2-2011 15:25:18 (GMT))
EliStartPage v22.64 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 18 de Febrero del 2011)
--------------------------------------------------
Lista de Acciones (por Exploración):
Explorando "C:\"

Nº Total de Directorios: 1794
Nº Total de Ficheros: 18379
Nº de Ficheros Analizados: 7981
Nº de Ficheros Infectados: 0
Nº de Ficheros Limpiados: 0
Exploración Detenida por el Usuario

[msc hotline sat]

Dices que no lo detecta el ELISTARA, y te está detectando heuristicamente 3 sospechosos que se te piden nos envies para analizar:



Por favor, envienos el INFOSAT.TXT y una muestra del fichero

C:\Muestras\SVCHOST.EXE.Muestra EliStartPage v22.64

a "virus@satinfo.es". Gracias.



Por favor, envienos el INFOSAT.TXT y una muestra del fichero

C:\Muestras\EXPLORER.EXE.Muestra EliStartPage v22.64

a "virus@satinfo.es". Gracias.



Por favor, envienos el INFOSAT.TXT y una muestra del fichero

C:\Muestras\SPOOLSV.EXE.Muestra EliStartPage v22.64

a "virus@satinfo.es". Gracias.



Dices que nos envias 4 ficheros, esperamos que tres de ellos sean los indicados, y el cuarto ... ya veremos cual es.



Mañana, cuando volvamos al trabajo en SATINFO, las analizaremos e informaremos.



saludos



ms, 20-2-2011

[msc hotline sat]

En los tres ficheros recibidos al respecto, McAfee detecta el SISYN.ag y los elimina.
Pero vemos que es un virus infector mas complejo, que primero infecta el fichero usado, y luego afecta a los ficheros de los pendrives, cambiandoles su icono por el primero existente en la carpeta del fichero usado.

Como sea que se trata de virus infector, debe tratarse el dispositivo infectado con un antivirus que lo controle, como por ejemplo McAfee, como puede verse en el analisis de VirusTotal:

File name: regedit.exe
Submission date: 2011-02-22 11:37:21 (UTC)

Result: 32/ 43 (74.4%)
VT Community

not reviewed
Safety score: -
Compact Print results Antivirus Version Last Update Result
AhnLab-V3 2011.02.14.02 2011.02.14 Trojan/Win32.Swisyn
AntiVir 7.11.3.178 2011.02.22 TR/Dropper.Gen
Antiy-AVL 2.0.3.7 2011.02.22 Trojan/Win32.Swisyn.gen
Avast 4.8.1351.0 2011.02.22 Win32:VB-OJQ
Avast5 5.0.677.0 2011.02.22 Win32:VB-OJQ
AVG 10.0.0.1190 2011.02.22 VB.APCQ
BitDefender 7.2 2011.02.22 Trojan.Generic.5429328
CAT-QuickHeal 11.00 2011.02.22 Trojan.Mofksys.A
ClamAV 0.96.4.0 2011.02.22 -
Commtouch 5.2.11.5 2011.02.22 W32/VB.AD.gen!Eldorado
Comodo 7770 2011.02.22 -
DrWeb 5.0.2.03300 2011.02.22 Trojan.MulDrop1.63756
Emsisoft 5.1.0.2 2011.02.22 Trojan.Win32.VB!IK
eSafe 7.0.17.0 2011.02.21 -
eTrust-Vet 36.1.8175 2011.02.22 Win32/Swisyn.DX
F-Prot 4.6.2.117 2011.02.21 W32/VB.AD.gen!Eldorado
F-Secure 9.0.16160.0 2011.02.22 Trojan.Generic.5429328
Fortinet 4.2.254.0 2011.02.22 -
GData 21 2011.02.22 Trojan.Generic.5429328
Ikarus T3.1.1.97.0 2011.02.22 Trojan.Win32.VB
Jiangmin 13.0.900 2011.02.22 Trojan/Swisyn.oyi
K7AntiVirus 9.88.3927 2011.02.22 Riskware
Kaspersky 7.0.0.125 2011.02.22 Trojan.Win32.Swisyn.auzw
McAfee 5.400.0.1158 2011.02.22 W32/Swisyn.ag
McAfee-GW-Edition 2010.1C 2011.02.22 W32/Swisyn.ag
Microsoft 1.6502 2011.02.22 Trojan:Win32/VB.AEI
NOD32 5895 2011.02.22 a variant of Win32/VB.OSK
Norman 6.07.03 2011.02.22 -
nProtect 2011-02-10.01 2011.02.15 -
Panda 10.0.3.5 2011.02.21 Generic Trojan
PCTools 7.0.3.5 2011.02.22 Malware.Gosys
Prevx 3.0 2011.02.22 -
Rising 23.46.01.05 2011.02.22 -
Sophos 4.61.0 2011.02.22 W32/Mofksys-B
SUPERAntiSpyware 4.40.0.1006 2011.02.22 Trojan.Agent/Gen-VBFake
Symantec 20101.3.0.103 2011.02.22 W32.Gosys
TheHacker 6.7.0.1.136 2011.02.22 Trojan/VB.osk
TrendMicro 9.200.0.1012 2011.02.22 PE_MOFKSYS.B
TrendMicro-HouseCall 9.200.0.1012 2011.02.22 PE_MOFKSYS.B
VBA32 3.12.14.3 2011.02.21 MAS.Trojan.VB.01049
VIPRE 8501 2011.02.22 -
ViRobot 2011.2.22.4323 2011.02.22 -
VirusBuster 13.6.212.0 2011.02.21 -
Additional informationShow all
MD5 : 48f79e3675b25aef0d59403051174382
SHA1 : f429402e54543221d84aa42dcc7a4a06e5651565

File size : 363862 bytes

publisher....: Microsoft
copyright....: n/a
product......: Win
description..: n/a
original name: Win.exe
internal name: Win
file version.: 1.00

NOTA: Si se ejecuta cualquier fichero infectado, genera uno oculto y con el mismo nombre, pero con un codigo nulo ALT255 al final de la extension, que impide que sa ejecutado. Si se elimina el infectado y se renombre el que contiene el ALT255 dejandolo sin dicho fichero, se restablece el fichero original. Y con el ELISTARA actual ya se eliminan las claves de carga de los gusanos originales, añadiendo al ELISTARA 22.66 de hoy un par de claves mas que crea este malware, pero ello es solo un complemento del antivirus que debe usarse para la desinfeccion de dicho elemento.

saludos

ms, 22-2-2011

[geoda]

Amigos sigo con el problema el 70% de mis instaladores esta infectado por ejemplo el ccleaner.exe aparace un archivo oculto ccleaner.exe pero como lo elimino y renombro no entiendo podrian explicarme por favor ya que tengo instaladores de programas que compre unicos sin otra copia de mi empresa y estan infectados

les mando unas muestras





(3-3-2011 07:11:01 (GMT))

EliStartPage v22.73 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 2 de Marzo del 2011)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Restaurado "Userinit"

[Userinit anterior] = "C:\WINDOWS\system32\userinit.exe,"

[Userinit actual] = "C:\WINDOWS\SYSTEM32\Userinit.exe,"

Por favor, envienos el INFOSAT.TXT y una muestra del fichero

C:\Muestras\SVCHOST.EXE.Muestra EliStartPage v22.73

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SVCHOST.EXE --> Renombrado a .VIR

Por favor, envienos el INFOSAT.TXT y una muestra del fichero

C:\Muestras\EXPLORER.EXE.Muestra EliStartPage v22.73

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\EXPLORER.EXE --> Eliminado

Por favor, envienos el INFOSAT.TXT y una muestra del fichero

C:\Muestras\SPOOLSV.EXE.Muestra EliStartPage v22.73

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SPOOLSV.EXE --> Eliminado

Por favor, envienos el INFOSAT.TXT y una muestra del fichero

C:\Muestras\MRSYS.EXE.Muestra EliStartPage v22.73

a "virus@satinfo.es". Gracias.

C:\DOCUMENTS AND SETTINGS\ADMINISTRADOR\CONFIGURACIóN LOCAL\DATOS DE PROGRAMA\MRSYS.EXE --> Eliminado

Por favor, envienos el INFOSAT.TXT y una muestra del fichero

C:\Muestras\ICSYS.ICN.EXE.Muestra EliStartPage v22.73

a "virus@satinfo.es". Gracias.

C:\DOCUMENTS AND SETTINGS\ADMINISTRADOR\DATOS DE PROGRAMA\ICSYS.ICN.EXE --> Eliminado

C:\Documents and Settings\Administrador\Datos de programa\ICSYS.ICN --> Eliminado (Fichero Complementario).

Entrada Eliminada [HKLM\...\RunOnce] "Explorer"="c:\windows\system32\explorer.exe RO"

Entrada Eliminada [HKLM\...\RunOnce] "svchost"="c:\windows\svchost.exe RO"

Eliminado , Installed Components "{Y479C6D0-OTRW-U5GH-S1EE-E0AC10B4E666}"

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Reinicie para Completar la Limpieza.



(3-3-2011 07:12:16 (GMT))

EliStartPage v22.73 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 2 de Marzo del 2011)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"



Nº Total de Directorios: 1442

Nº Total de Ficheros: 15873

Nº de Ficheros Analizados: 6586

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



(3-3-2011 07:23:21 (GMT))

EliStartPage v22.73 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 2 de Marzo del 2011)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\SVCHOST.EXE --> Eliminado

C:\WINDOWS\SPOOLSV.EXE --> Eliminado

C:\DOCUMENTS AND SETTINGS\ADMINISTRADOR\CONFIGURACIóN LOCAL\DATOS DE PROGRAMA\MRSYS.EXE --> Eliminado

C:\Documents and Settings\Administrador\Datos de programa\ICSYS.ICN --> Eliminado (Fichero Complementario).

Entrada Eliminada [HKLM\...\RunOnce] "Explorer"="c:\windows\system32\explorer.exe RO"

Entrada Eliminada [HKLM\...\RunOnce] "svchost"="c:\windows\svchost.exe RO"

Eliminado , Installed Components "{Y479C6D0-OTRW-U5GH-S1EE-E0AC10B4E666}"

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



(3-3-2011 07:29:43 (GMT))

EliStartPage v22.73 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 2 de Marzo del 2011)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\SvcHost.exe.VIR --> Eliminado.

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



(3-3-2011 07:30:15 (GMT))

EliStartPage v22.73 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 2 de Marzo del 2011)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "G:\"



Nº Total de Directorios: 173

Nº Total de Ficheros: 1339

Nº de Ficheros Analizados: 49

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



(3-3-2011 07:30:20 (GMT))

EliStartPage v22.73 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 2 de Marzo del 2011)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "G:\"



Nº Total de Directorios: 173

Nº Total de Ficheros: 1339

Nº de Ficheros Analizados: 49

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



(3-3-2011 07:31:31 (GMT))

EliStartPage v22.73 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 2 de Marzo del 2011)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "D:\instalar\Wolfdale1333-D667 R2"



Nº Total de Directorios: 247

Nº Total de Ficheros: 1227

Nº de Ficheros Analizados: 594

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

[lucl]

Debes descargar de nuevo el elistara, piensa que casi todos los dias se actualiza asi que descargatelo de nuevo y pasalo en el pc y peganos el log como ya sabes, saludos.
http://www.zonavirus.com/descargas/elistara.asp

[msc hotline sat]

Recibidas las muestras pedidas por el ELISTARA, resultan ser variantes del Swisyn, familia de la que ya conocemos otras variantes que se propagan por pendrive, a base de infectar los ficheros que allí hubiera, por lo que debe limpiarse con un antivirus que lo controle. (crea el troyano en el disco duro e infecta ficheros de las unidades extraibles)

Como que vemos que Dr Web lo controla,

DrWeb 5.0.2.03300 2011.03.11 Trojan.MulDrop1.63756

y existe la posibilidad de descargar el cureit y lanzarlo, descarga dicha aplicación


y tras arrancar en modo seguro (Pulsar repetidamente F8 y seleccionar dicha opcion) lanzar dicha utilidad.

Manualmente cabe indicar que se puede lograr recuperar los originales infectados en los pendrives, sin antivirus, pues una vez eliminados los ficheros básicos que aparca el ELISTARA, al ejecutar los que han sido infectados en las unidades removibles, crean una copia del fichero original con un codigo nulo (ALT 255) añadido al final de la extension, por lo que a los que se hayan ejecutado y creado dicho fichero, puede procederse sustituyendo dicho fichero infectado por el que resulta de eliminar el ALT255 indicado, pero claro, siempre que se hayan ejecutado dichos ficheros infectados, y cuidado porque si se ejecutan entonces, infecta el ordenador de nuevo y vuelta a tener el virus en marcha !

Como solucion de emergencia, si se tienen pocos ficheros en el pendrive infectado, ejecutarlos todos, luego arrancar en modo seguro, pasar el ELISTARA para limpiar el ordenador y a continuacion sobreescribir los ficheros del pendrive con el que resulte de eliminar el ALT255 del final de la extension.

Pero mejor procede con el cureit indicado, arrancando en modo seguro, y no te olvides de limpiar tambien los pendrives !

saludos

ms, 11-3-2011

[geoda]

Como solucion de emergencia, si se tienen pocos ficheros en el pendrive infectado, ejecutarlos todos, luego arrancar en modo seguro, pasar el ELISTARA para limpiar el ordenador y a continuacion sobreescribir los ficheros del pendrive con el que resulte de eliminar el ALT255 del final de la extension.

Pero mejor procede con el cureit indicado, arrancando en modo seguro, y no te olvides de limpiar tambien los pendrives !

saludos
ms, 11-3-2011

Amigo use ek Cureit pero me borro el archivo original infectado y a formatee el disco C: pero en el d: tengo instaladores de programas que compre de la empresa pero el exe del instalador esta infectado de varios programas como puedo desinfectar estos archivos ssin perderlos ya que le cureit lo borra

[msc hotline sat]

Realmente la madre del cordero se tiene que borrar, solo los ficheros que hubieran sido infectados en los pendrive y disquettes, se pueden ejecutar y lurgo borrarlos, pero con ello se habrá creado una copia del original , con atributos de oculto y sistema (H y S), y con un ALT255 al final, que si lo borras, te devolverá los ficheros ejecutables limpios.



Solo si es un fichero que estaba en un pendrive que se conectó a un ordenador infectado, y que por ello resultó infectado, se podría proceder del mismo modo.



Incluso es posible que dichos ficheros originales, pero ocultos y con el ALT255 añadido, si los ejecutastes, los tuvieras ya en el ordenador antes de que formatearas, lo cual podías haber mirado, pero no despues de formatear ...



De todas formas yo probé con ficheros infectados, y el cureit me los limpio, asi que si a ti te los ha borrado mas bien podian ser coppia de los troyanos originales, no infecciones que pudieran limpiarse.



Por si hubiera sido por tener el virus en memoria cuando pasaste el cureit, haz una copia de uno de los que te interesan y mira de limpiarlo con el cureit, pero solo este, (para que no te borre los originales, no sea que te los borre todos), a ver si es el caso y asi te lo limpia.



Ya nos contarás



saludos



ms, 14-3-2011

[msc hotline sat]

Al ser el Tema que tiene abierto este usuario, aunque no sea el que debería haber abierto al respecto, informamos que el SSHNAS21.DLL que nos ha enviado para analizar, es un FAKE ALERT RENOS ya controlado por el actual ELISTARA 22.93

Comprobarlo y postearnos el infosat.txt resultante, gracias


saludos

ms, 31-3-2011

[msc hotline sat]

Pues mas de lo mismo con otra muestra enviada por este forero, sin Tema especifico al respecto, como pedimos en :

[msc hotline sat]

Puede verse informacion al respecto del analisis y control de la muestra enviada en:

http://www.zonavirus.com/noticias/2012/ ... istara.asp



saludos

ms, 9--5-2012

[msc hotline sat]

Pues de varias muestras enviadas por geoda y recibidas el 20-6-2012, cabe indicar que todas pasan a ser controladas por la nueva version de hoy del ELIVBNA aparte de dos iguales que son AUTORUN-DA y que las pasamos a controlar con el ELISTARA 25.74 de hoy



El resumen de las muestras enviadas, con su MD5, corresponde a este listado hecho por nuestra utilidad SMD5.EXE:



Ficheros de: "S:\2012-06-20\ZonaVirus\geoda@ozu.es\Muestras\Muestras"



"F782E8E4553CF5830C048DB197FA9403" -> WYWIX.EXE.Muestra EliStartPage v25.70 155648

"4B9EA244F905C26607E42EF931D70526" -> LOOAX.EXE.Muestra EliStartPage v25.70 155648

"652F4692242B79A7EA712EB48F7C8864" -> VEAWEUJ.EXE.Muestra EliStartPage v25.70 155648

"496F3CE3BAE46EB471BE7EAF36E7D7A7" -> DQHEUY.EXE.Muestra EliStartPage v25.70 155648

"63B1B174418C3672D94E0345D791B683" -> CIIAVU.EXE.Muestra EliStartPage v25.70 155648

"E763AF2D82A9B719C53A33925B1A7AA6" -> TDIRS.EXE.Muestra EliStartPage v25.70 487424 ----- AUTORUN-DA

"6CC207F2B78F5706314E8212B12F1AE5" -> PUITIEG.EXE.Muestra EliStartPage v25.70 155648

"C2F018F5B2FFAF6326137E418B149295" -> COEOXIJ.EXE.Muestra EliStartPage v25.70 155648

"B917EBBC5EB7052EEAFBDAD6DAB15757" -> RIUORAN.EXE.Muestra EliStartPage v25.70 155648

"67EB638DD70C612E616CDF8EEF017100" -> PEUOHE.EXE.Muestra EliStartPage v25.70 155648

"F5F041B929CB22A24BC8C29B0041D7CE" -> RIORI.EXE.Muestra EliStartPage v25.70 155648

"40A5E2118C5E061B8B168B961B62415F" -> NAJIS.EXE.Muestra EliStartPage v25.70 155648

"1AEEE0045E3C9F23EEE8132BC1668D1D" -> WUIOKI.EXE.Muestra EliStartPage v25.70 155648

"F4CEA11AF10DA4E905EA7B43BF21AEB7" -> COEOYA.EXE.Muestra EliStartPage v25.70 155648

"BA24BEFF4DC83D6E888941EFC364B787" -> ZUURIF.EXE.Muestra EliStartPage v25.70 155648

"5D3D84BB60C50AF7C837D8F7AA456BB9" -> XAUSIE.EXE.Muestra EliStartPage v25.70 155648

"5C682ABAA5F0830CC596E74FC8610363" -> FURED.EXE.Muestra EliStartPage v25.70 155648

"6A91EBDAFB2EDEC88A30397AD3A9A6E9" -> VIIKU.EXE.Muestra EliStartPage v25.70 155648

"EF2654E8C5DD22C1CA3508043F01B4D1" -> JUIEHO.EXE.Muestra EliStartPage v25.70 155648

"021744FFA20BDCAE87AA45C9DD867F52" -> BBQOAX.EXE.Muestra EliStartPage v25.70 155648

"9F3A67035B42EC0818243ED75DEC7FD9" -> ZIURAO.EXE.Muestra EliStartPage v25.70 155648

"77E5C508D297E780692D751AD6E6F22F" -> SEVEW.EXE.Muestra EliStartPage v25.70 155648

"E763AF2D82A9B719C53A33925B1A7AA6" -> DDCS.EXE.Muestra EliStartPage v25.70 487424 ----- AUTORUN-DA

"2D60C3E671B442B3D74CA0F01CFC1F7D" -> TNTAS.EXE.Muestra EliStartPage v25.70 155648

"8D914C0AA5DCF346FFD20463DB00467C" -> SEILEAJ.EXE.Muestra EliStartPage v25.70 155648

"E4D075E838DA41FE5723D7F13EDB561D" -> TIHIX.EXE.Muestra EliStartPage v25.70 155648

"B262FE053C96DF923482AFB915323043" -> CEIBIOC.EXE.Muestra EliStartPage v25.70 155648

"974EFD9EAEC82F962A8658B12B4BD838" -> FUUOL.EXE.Muestra EliStartPage v25.70 155648

"2856147D839EBAEC6B3DFB06F5212BD4" -> QIIGUB.EXE.Muestra EliStartPage v25.70 155648





saludos



ms, 21-6-2012