virus en memorias usb no deja ver archivos

[ZEDI]

hola



Me gustaria saber si alguien sabe algo sobre este virus.Se filtra por las memorias usb con carpetas ejecutables el virus encontrado por mi antivirus nod 32 dice que es VB visual basic y lo encontre como POWERFILE.EXE.Despues encontre una forma de solucionarlo pero no me funciono(attrib r s h d) pero solo lo borro) depues ya no me permitio la entrada a los archivos del disco duro y no me deja ver ninguna carpeta(archivos ocultos) ninguna ya trate la configuracion de las opciones de carpeta y no funciona.Tambien me aparece al inicio de prenderla en el block de notas un codigo.[.ShellClassInfo]

LocalizedResourceName=@%SystemRoot%\system32\shell32.dll,-21787





Agradeceria su ayuda al arreglar este problema en el disco duro y las memorias usb SIN FORMATEAR :?

[msc hotline sat]

Sí, algunas variantes de malwares ocultan ficheros y carpetas, y tras eliminar el virus, si el antivirus no ha restaurado los atributos normales de los ficheros y carpetas tocados, con un ATTRIB del DOS se pueden normalizar, pero no olvidando el signo - delante de cada opcion, o sea -S -H -R y la barra para lo demas, esto es /S /D .



Si aun hubiera el bicho, con el ELISTARA lo eliminaría y restauraría dichos valores, asi que pruebalo e indiquenos el resultado:




[quote="para DESCARGAR el ELISTARA, msc"]



http://www.zonavirus.com/descargas/elistara.asp



Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado

del proceso [/quote]

Podría ser que se tratara de una variante no controlada. Si con el ELISTARA no se detectara nada, envienos el fichero que dice tener sospechoso: POWERFILE.EXE





>[b]ENVIO DE MUESTRAS Y ELIMINACIÓN DE CLAVES - Para ello recordar[/b]:

https://foros.zonavirus.com/viewtopic.php?f=5&t=14253



Tras recibirlo/s, lo/s analizaremos e implementaremos su control y eliminación, si procede, en nuestras utilidades, de lo cual informaremos



saludos



ms, 16-5-2011

RMXDF

[ZEDI]

[quote="ZEDI"]hola



Me gustaria saber si alguien sabe algo sobre este virus.Se filtra por las memorias usb con carpetas ejecutables el virus encontrado por mi antivirus nod 32 dice que es VB visual basic y lo encontre como POWERFILE.EXE.Despues encontre una forma de solucionarlo pero no me funciono(attrib r s h d) pero solo lo borro) depues ya no me permitio la entrada a los archivos del disco duro y no me deja ver ninguna carpeta(archivos ocultos) ninguna ya trate la configuracion de las opciones de carpeta y no funciona.Tambien me aparece al inicio de prenderla en el block de notas un codigo:[.ShellClassInfo]

LocalizedResourceName=@%SystemRoot%\system32\shell32.dll,-21787





Agradeceria su ayuda al arreglar este problema en el disco duro y las memorias usb SIN FORMATEAR :?[/quote]

[ZEDI]

(16-5-2011 16:21:53 (GMT))

EliStartPage v23.21 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 13 de Mayo del 2011)

--------------------------------------------------

Usuario: Administrador

Sesión de Usuario: Administrador

ID Sesión de Usuario: S-1-5-21-1606980848-688789844-1202660629-500



Lista de Acciones (por Acción Directa):

Eliminada Class, "{FDAE330F-A0D6-4F6E-B899-94FFA4EB311C}" -> NULL2

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

No Existe el Fichero HOSTS.

Creado HOSTS por el Original.



(16-5-2011 16:30:18 (GMT))

EliStartPage v23.21 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 13 de Mayo del 2011)

--------------------------------------------------

Usuario: Administrador

Sesión de Usuario: Administrador

ID Sesión de Usuario: S-1-5-21-1606980848-688789844-1202660629-500



Lista de Acciones (por Exploración):

Explorando "C:\"

C:\Archivos de programa\MessengerPlus! 3\MSGPLUS.EXE --> Eliminado, MessengerPlus



Nº Total de Directorios: 2871

Nº Total de Ficheros: 18127

Nº de Ficheros Analizados: 7874

Nº de Ficheros Infectados: 1

Nº de Ficheros Limpiados: 1



no habilite la opcion de mirar zips

[msc hotline sat]

Mientras ahora no desempaquetes ZIP, no pasa nada por no haberlos analizado, pero parece que no has escaneado los pendrives, verdad ? Prueba el ELISTARA seleccionando su unidad, explorala y luego vacunalos con el ELIPEN !!!



saludos



ms, 16-5-2011

[ZEDI]

después del análisis ya me mostró el contenido del disco duro pero solo la carpeta de WINDOWS, aun falta que me aparezca la carpeta de archivos del programa pero no se como.



Ahora analizare las memorias usb siguiendo el mismo procedimiento.

[msc hotline sat]

Pues posteanos el infosat.txt tras dicho examen de los pendrives, a ver si encontramos al causante.



En cualquier caso, recuerda vacunar con el ELIPEN !!! :





[img]http://www.satinfo.es/blog/wp-content/uploads/2010/03/moltbetot.gif[/img]

y vacunar el ordenador y las unidades de pendrive con el ELIPEN:



[b]ELIPEN.EXE[/b]

http://www.zonavirus.com/descargas/elipen.asp



Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso





y si no detectaras nada, arranca en MODO SEGURO con el usuario infectado y lanza el SPROCES:




[quote="msc"]
[b]SPROCES.EXE[/b] (herramienta de investigación)

http://www.zonavirus.com/descargas/sproces.asp



Y tras pulsar en SALIR, postearnos el contenido del C:\SPROCLOG.TXT [/quote]
lo analizaremos e informaremos al respecto.



saludos



ms, 17-5-2011





NOTA: Y te pediamos que nos enviaras el fichero de marras...


[quote="msc"]Podría ser que se tratara de una variante no controlada. Si con el ELISTARA no se detectara nada, envienos el fichero que dice tener sospechoso: POWERFILE.EXE[/quote]

lo has hecho ya ??? ms.

[ZEDI]

Usuario: Administrador

Sesión de Usuario: Administrador

ID Sesión de Usuario: S-1-5-21-1606980848-688789844-1202660629-500



Lista de Acciones (por Exploración):

Explorando "F:\"



Nº Total de Directorios: 5

Nº Total de Ficheros: 459

Nº de Ficheros Analizados: 2

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



(16-5-2011 18:03:16 (GMT))

EliStartPage v23.21 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 13 de Mayo del 2011)

--------------------------------------------------

Usuario: Administrador

Sesión de Usuario: Administrador

ID Sesión de Usuario: S-1-5-21-1606980848-688789844-1202660629-500



Lista de Acciones (por Exploración):

Explorando "F:\"



Nº Total de Directorios: 5

Nº Total de Ficheros: 459

Nº de Ficheros Analizados: 2

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



(16-5-2011 18:03:23 (GMT))

EliStartPage v23.21 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 13 de Mayo del 2011)

--------------------------------------------------

Usuario: Administrador

Sesión de Usuario: Administrador

ID Sesión de Usuario: S-1-5-21-1606980848-688789844-1202660629-500



Lista de Acciones (por Exploración):

Explorando "F:\"



Nº Total de Directorios: 5

Nº Total de Ficheros: 459

Nº de Ficheros Analizados: 2

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



después del análisis solo me mostro una fotografia, en este caso por que trato de desinfectar una camara digital, pero aun sigue sin mostrarme el contenido de las otras fotografias.Al igual que en la pc solo me muestra carpeta de windows falta la de archivos del programa.



Intentare ahora con sproces y les informare.

[ZEDI]

(17-5-2011 16:15:54 GMT)

SProces v5.5 (c)2010 S.G.H. / Satinfo S.L.

-------------------------------------------

Sistema Operativo: Microsoft Windows XP (v5.1.2600) Service Pack 3

Parche MS08-067 (Servicio Servidor) Instalado.

Internet Explorer: (v8.0.6001.18702) 0

Equipo: SUPERMAN-E38D56

Usuario: Administrador

Sesión de Usuario: Administrador



Procesos Activos:

C:\WINDOWS\SYSTEM32\SMSS.EXE

C:\WINDOWS\SYSTEM32\WINLOGON.EXE

C:\WINDOWS\SYSTEM32\SERVICES.EXE

C:\WINDOWS\SYSTEM32\LSASS.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\EXPLORER.EXE

C:\DOCUMENTS AND SETTINGS\ADMINISTRADOR\MIS DOCUMENTOS\DOWNLOADS\SPROCES.EXE



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch

R0 - HKUS\S-1-5-21-1606980848-688789844-1202660629-1004\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.t1msn.com.mx/ (User 'cerebro')

R0 - HKUS\S-1-5-21-1606980848-688789844-1202660629-1004\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 (User 'cerebro')

R0 - HKUS\S-1-5-21-1606980848-688789844-1202660629-1006\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 (User 'f')

R0 - HKUS\S-1-5-21-1606980848-688789844-1202660629-1006\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 (User 'f')

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Archivos comunes\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)

O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Archivos de programa\Java\jre6\bin\jp2ssv.dll

O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Archivos de programa\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKUS\S-1-5-21-1606980848-688789844-1202660629-1004\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe (User 'cerebro')

O4 - HKUS\S-1-5-21-1606980848-688789844-1202660629-1004\..\Run: [EPSON Stylus CX7300 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATICDL.EXE /FU "C:\WINDOWS\TEMP\E_S43.tmp" /EF "HKCU" (User 'cerebro')

O4 - HKUS\S-1-5-21-1606980848-688789844-1202660629-1004\..\Run: [Explorer] C:\Documents and Settings\cerebro\Datos de programa\PowerFile.exe (User 'cerebro')

O4 - HKUS\S-1-5-21-1606980848-688789844-1202660629-1006\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe (User 'f')

O4 - HKUS\S-1-5-21-1606980848-688789844-1202660629-1006\..\Run: [EPSON Stylus CX7300 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATICDL.EXE /FU "C:\DOCUME~1\f\CONFIG~1\Temp\E_SB.tmp" /EF "HKCU" (User 'f')

O4 - HKLM\..\Run: [PRISMSVR.EXE] "C:\WINDOWS\system32\PRISMSVR.EXE" /APPLY

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Archivos de programa\Adobe\Reader 8.0\Reader\Reader_sl.exe"

O4 - HKLM\..\Run: [Adobe ARM] "C:\Archivos de programa\Archivos comunes\Adobe\ARM\1.0\AdobeARM.exe"

O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Archivos de programa\Archivos comunes\Java\Java Update\jusched.exe"

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Servicio de red')

O4 - Global Startup: Windows Search.lnk = C:\Archivos de programa\Windows Desktop Search\WindowsSearch.exe /startup

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~1\OFFICE11\EXCEL.EXE/3000 (User 'cerebro')

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~1\OFFICE11\EXCEL.EXE/3000 (User 'f')

O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~1\OFFICE11\REFIEBAR.DLL

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Plug-in 1.6.0_22) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_22-windows-i586.cab

O16 - DPF: {CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA} (Java Plug-in 1.6.0_22) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_22-windows-i586.cab

O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} (Java Plug-in 1.6.0_22) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_22-windows-i586.cab

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL

O18 - Protocol: ms-itss - {0A9007C0-4076-11D3-8789-0000F8105754} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Information Retrieval\MSITSS.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL

O18 - Protocol: mso-offdap - {3D9F03FA-7A94-11D3-BE81-0050048385D1} - C:\ARCHIV~1\ARCHIV~1\MICROS~1\WEBCOM~1\10\OWC10.DLL

O20 - Winlogon Notify: DIMSNTFY - %SYSTEMROOT%\SYSTEM32\DIMSNTFY.DLL

O20 - Winlogon Notify: RAILNOTIFICATION - WINLOGONNOTIFICATION.DLL

O20 - Winlogon Notify: WGALOGON - WGALOGON.DLL

O21 - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - C:\WINDOWS\system32\webcheck.dll

O21 - SSODL: PostBootReminder - {7849596a-48ea-486e-8937-a2a3009f31a9} - %SystemRoot%\system32\SHELL32.dll

O21 - SSODL: CDBurn - {fbeb8a05-beee-4442-804e-409d6c4515e9} - %SystemRoot%\system32\SHELL32.dll

O21 - SSODL: SysTray - {35CEC8A3-2BE6-11D2-8773-92E220524153} - C:\WINDOWS\system32\stobject.dll

O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\wpdshserviceobj.dll

O22 - SharedTaskScheduler: Precargador Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - %SystemRoot%\system32\browseui.dll

O22 - SharedTaskScheduler: Demonio de caché de las categorías de componente - {8C7461EF-2B13-11d2-BE35-3078302C2030} - %SystemRoot%\system32\browseui.dll

O22 - ShellExecuteHooks: - {56F9679E-7826-4C84-81F3-532071A8BCC5} - C:\Archivos de programa\Windows Desktop Search\MSNLNamespaceMgr.dll



Información Adicional:

----------------------

WinSys\Drivers\dmboot.sys (de 800256 bytes) () Microsoft Corp., Veritas Software

WinSys\Drivers\mrxsmb.sys (de 456832 bytes) () Microsoft Corporation

WinSys\Drivers\ntfs.sys (de 576512 bytes) () Microsoft Corporation

WinSys\Drivers\sptd.sys (de 691696 bytes) () Duplex Secure Ltd.

WinSys\Drivers\wdf01000.sys (de 503008 bytes) () Microsoft Corporation



Listado de Servicios (Carga Automatica):

----------------------------------------

O23 - Service: Servicio Google Update (gupdate) (gupdate) - Google Inc. - C:\Archivos de programa\Google\Update\GoogleUpdate.exe

O23 - Service: Java Quick Starter (JavaQuickStarterService) - Unknown owner - C:\Archivos de programa\Java\jre6\bin\jqs.exe" -service -config "C:\Archivos de programa\Java\jre6\lib\deploy\jqs\jqs.con (file missing)

O23 - Service: AEGIS Protocol (IEEE 802.1x) v2.3.1.9 (MDC8021X) - Meetinghouse Data Communications - C:\WINDOWS\SYSTEM32\DRIVERS\mdc8021x.sys

O23 - Service: NetGroup Packet Filter Driver (npf) - CACE Technologies, Inc. - C:\WINDOWS\SYSTEM32\drivers\npf.sys

O23 - Service: QuestResult Service - Unknown owner - C:\Documents and Settings\All Users\Datos de programa\QuestResult\questresult121.exe" "C:\Archivos de programa\QuestResult\questresult.dll (file missing)

O23 - Service: Trufos - BitDefender S.R.L. - C:\WINDOWS\SYSTEM32\DRIVERS\Trufos.sys



Listado de Servicios (Carga Manual):

------------------------------------

O23 - Service: 2Wire USB (2WIREPCP) - 2Wire, Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\2WirePCP.sys

O23 - Service: bdfsfltr - BitDefender - C:\WINDOWS\SYSTEM32\DRIVERS\bdfsfltr.sys

O23 - Service: bdselfpr - Unknown owner - C:\DOCUME~1\cerebro\CONFIG~1\Temp\RarSFX0\bdselfpr.sys (file missing)

O23 - Service: Controlador de audio WDM de Conexant Riptide (crtaud) - Conexant Systems Inc. - C:\WINDOWS\SYSTEM32\drivers\crtaud.sys

**O23 - Service: Servicio del administrador de discos lógicos (dmadmin) - Microsoft Corp., VERITAS Software - C:\WINDOWS\System32\dmadmin.exe

O23 - Service: Controlador de vínculo paralelo directo (Ptilink) - Parallel Technologies, Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\ptilink.sys

O23 - Service: Controlador de Conexant Riptide (rpfun) - Conexant Systems Inc. - C:\WINDOWS\SYSTEM32\drivers\rpfun.sys

O23 - Service: Bus Conexant Riptide: descargador de firmware (rthwcls) - Conexant Systems Inc. - C:\WINDOWS\SYSTEM32\drivers\rthwcls.sys

O23 - Service: Secdrv - Macrovision Corporation, Macrovision Europe Limited, and Macrovision Japan and Asia K.K. - C:\WINDOWS\SYSTEM32\DRIVERS\secdrv.sys



Listado de Servicios (Deshabilitados):

--------------------------------------

**O23 - Service: dmboot - Microsoft Corp., Veritas Software - C:\WINDOWS\SYSTEM32\drivers\dmboot.sys

O23 - Service: Acceso a dispositivo de interfaz humana (HidServ) - Unknown owner - %SystemRoot%\System32\svchost.exe -k netsvcs - C:\WINDOWS\System32\hidserv.dll (file missing)



17 Servicios.

6 de Carga Automatica.

9 de Carga Manual.

2 Deshabilitados.

[msc hotline sat]

Pues mira si encuentras este fichero:





C:\Documents and Settings\cerebro\Datos de programa\PowerFile.exe (User 'cerebro')



y añade .VIR a su extension y envianoslo para analizar





y en cualquier caso, elimina estas claves:



O4 - HKUS\S-1-5-21-1606980848-688789844-1202660629-1004\..\Run: [Explorer] C:\Documents and Settings\cerebro\Datos de programa\PowerFile.exe (User 'cerebro')



O23 - Service: QuestResult Service - Unknown owner - C:\Documents and Settings\All Users\Datos de programa\QuestResult\questresult121.exe" "C:\Archivos de programa\QuestResult\questresult.dll (file missing)





Para ello, lanza de nuevo el SPROCES, selecciona SCAN, marca dichas claves y selecciona ELIMINAR





saludos



ms, 17-5-2011

[msc hotline sat]

En privado el usuario indica haber enviado la muestra pedida, la cual será analizada mañana cuando volvamos al trabajo en SATINFO, de lo cual informaremos



Se recuerda que los privados no son para Temas del foro:



https://foros.zonavirus.com/viewtopic.php?f=1&t=528



Cualquier comentario, hacerlo como respeusta al Tema abierto al respecto, gracias



saludos



ms, 17-5-2011

[msc hotline sat]

Los tres ficheros enviados, EXE con icono de carpeta, son iguales y controlados por casi todos los antivirus:





File name: XXX Files.exe , My Videos.exe , My Pictures.exe



VT Community



not reviewed

Safety score: -

Compact Print results

Antivirus Version Last Update Result

AhnLab-V3 2011.05.18.01 2011.05.18 Win-Trojan/Agent.65536.AIJ

AntiVir 7.11.8.53 2011.05.18 Worm/Vigilant.65024

Antiy-AVL 2.0.3.7 2011.05.18 Worm/Win32.AutoRun.gen

Avast 4.8.1351.0 2011.05.17 Win32:Kryptik-HA

Avast5 5.0.677.0 2011.05.17 Win32:Kryptik-HA

AVG 10.0.0.1190 2011.05.18 Worm/Generic.BELS

BitDefender 7.2 2011.05.18 Generic.Malware.Qw.1309C22D

CAT-QuickHeal 11.00 2011.05.18 Worm.AutoRun.bgfs

ClamAV 0.97.0.0 2011.05.18 Worm.Autorun-3352

Commtouch 5.3.2.6 2011.05.18 W32/MalwareF.BQVW

Comodo 8742 2011.05.18 UnclassifiedMalware

DrWeb 5.0.2.03300 2011.05.18 Win32.HLLW.Autoruner.19538

Emsisoft 5.1.0.5 2011.05.18 Worm.Win32.AutoRun!IK

eSafe 7.0.17.0 2011.05.17 Win32.WormVigilant

eTrust-Vet 36.1.8332 2011.05.17 Win32/SillyAutorun.CYU

F-Prot 4.6.2.117 2011.05.17 W32/MalwareF.BQVW

F-Secure 9.0.16440.0 2011.05.17 Generic.Malware.Qw.1309C22D

Fortinet 4.2.257.0 2011.05.18 W32/SILLY.JB!worm

GData 22 2011.05.18 Generic.Malware.Qw.1309C22D

Ikarus T3.1.1.104.0 2011.05.18 Worm.Win32.AutoRun

Jiangmin 13.0.900 2011.05.17 Worm/AutoRun.spr

K7AntiVirus 9.103.4669 2011.05.17 -

Kaspersky 9.0.0.837 2011.05.18 Worm.Win32.AutoRun.bgfs

McAfee 5.400.0.1158 2011.05.18 Generic.dx!nkg

McAfee-GW-Edition 2010.1D 2011.05.18 Generic.dx!nkg

Microsoft 1.6802 2011.05.18 Worm:Win32/Levitiang.A

NOD32 6130 2011.05.18 Win32/AutoRun.VB.VH

Norman 6.07.07 2011.05.17 W32/Suspicious_Gen.IVWC

nProtect 2011-05-18.01 2011.05.18 -

Panda 10.0.3.5 2011.05.17 W32/Autorun.JDU

PCTools 7.0.3.5 2011.05.17 Net-Worm.SillyFDC!rem

Prevx 3.0 2011.05.18 -

Rising 23.58.01.05 2011.05.17 -

Sophos 4.65.0 2011.05.18 Mal/VB-BO

SUPERAntiSpyware 4.40.0.1006 2011.05.18 -

Symantec 20111.1.0.186 2011.05.18 W32.SillyFDC

TheHacker 6.7.0.1.199 2011.05.17 W32/AutoRun.bgfs

TrendMicro 9.200.0.1012 2011.05.18 WORM_SILLY.JB

TrendMicro-HouseCall 9.200.0.1012 2011.05.18 WORM_SILLY.JB

VBA32 3.12.16.0 2011.05.12 SIM.Trojan.VBO.02111

VIPRE 9312 2011.05.18 Trojan.Win32.Generic!BT

ViRobot 2011.5.18.4464 2011.05.18 Worm.Win32.Levitiang.65024

VirusBuster 13.6.359.0 2011.05.17 Worm.AutoRun!OHIynarR6DY

Additional informationShow all

MD5 : d4e79a74f2b0e29ae94990844bece14a

SHA1 : 668aa337bc62ac2affd27362c049911118cacf5e



File size : 65536 bytes





que ya está controlado desde el ELISTARA 23.10 como AUTORUN LEVITIANG



Por cierto, dinos donde estaban estos tres ficheros que nos has enviado (Unidad y ruta) y si habias pasado el ELISTARA a dicha unidad ???





_______





pero este no es el que esperabamos, sino este otro el que pedíamos:



C:\Documents and Settings\cerebro\Datos de programa\PowerFile.exe





Tal como indicabamos, añadele .VIR a su extension, para que no sea lanzado en proximos reinicios, y envianoslo para analizar.



saludos



ms, 18-5-2011

[ZEDI]

No me deja ver la ruta C:\Documents and Settings\cerebro\Datos de programa\PowerFile.exe (User 'cerebro')

me dice que acceso denegado.



Los tres archivos .exe los extraje de una unidad extraible F: y no habia había pasado por ELISTARA.



Realice nuevamente un scaner con elistara y este fue el resultado:

pero sigue sin mostrarme el contenido de las unidades c: y f:



Detectado F:\Autorun.inf

OPEN=ICE\FIRE\TRAYMGR.EXE



F:\Autorun.inf -> Renombrado a .OLD

Unidad F:\ Protegida



(18-5-2011 15:45:48 (GMT))

EliStartPage v23.21 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 13 de Mayo del 2011)

--------------------------------------------------

Usuario: Administrador

Sesión de Usuario: Administrador

ID Sesión de Usuario: S-1-5-21-1606980848-688789844-1202660629-500



Lista de Acciones (por Acción Directa):



(18-5-2011 15:47:41 (GMT))

EliStartPage v23.21 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 13 de Mayo del 2011)

--------------------------------------------------

Usuario: Administrador

Sesión de Usuario: Administrador

ID Sesión de Usuario: S-1-5-21-1606980848-688789844-1202660629-500



Lista de Acciones (por Acción Directa):

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



(18-5-2011 15:48:09 (GMT))

EliStartPage v23.21 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 13 de Mayo del 2011)

--------------------------------------------------

Usuario: Administrador

Sesión de Usuario: Administrador

ID Sesión de Usuario: S-1-5-21-1606980848-688789844-1202660629-500



Lista de Acciones (por Exploración):

Explorando "F:\"

F:\SETUP.EXE --> Eliminado, AutoRun.Levitiang

F:\FOTOS.EXE --> Eliminado, AutoRun.Levitiang

F:\MY PICTURES.EXE --> Eliminado, AutoRun.Levitiang

F:\MY VIDEOS.EXE --> Eliminado, AutoRun.Levitiang

F:\XXX FILES.EXE --> Eliminado, AutoRun.Levitiang

F:\ICE.EXE --> Eliminado, AutoRun.Levitiang

F:\LAPTOP IMAGENES.EXE --> Eliminado, AutoRun.Levitiang

F:\REWSPALDODELSTABGSTANDESER.EXE --> Eliminado, AutoRun.Levitiang

F:\TOP SECRET.EXE --> Eliminado, AutoRun.Levitiang

F:\RECYCLED.EXE --> Eliminado, AutoRun.Levitiang



Nº Total de Directorios: 14

Nº Total de Ficheros: 305

Nº de Ficheros Analizados: 14

Nº de Ficheros Infectados: 10

Nº de Ficheros Limpiados: 10



(18-5-2011 15:57:39 (GMT))

EliStartPage v23.21 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 13 de Mayo del 2011)

--------------------------------------------------

Usuario: Administrador

Sesión de Usuario: Administrador

ID Sesión de Usuario: S-1-5-21-1606980848-688789844-1202660629-500



Lista de Acciones (por Exploración):

Explorando "C:\"



Nº Total de Directorios: 2926

Nº Total de Ficheros: 18020

Nº de Ficheros Analizados: 7844

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



(18-5-2011 15:57:59 (GMT))

EliStartPage v23.21 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 13 de Mayo del 2011)

--------------------------------------------------

Usuario: Administrador

Sesión de Usuario: Administrador

ID Sesión de Usuario: S-1-5-21-1606980848-688789844-1202660629-500



Lista de Acciones (por Exploración):

Explorando "C:\"



Nº Total de Directorios: 20

Nº Total de Ficheros: 160

Nº de Ficheros Analizados: 124

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

Exploración Detenida por el Usuario.



(18-5-2011 15:58:51 (GMT))

EliStartPage v23.21 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 13 de Mayo del 2011)

--------------------------------------------------

Usuario: Administrador

Sesión de Usuario: Administrador

ID Sesión de Usuario: S-1-5-21-1606980848-688789844-1202660629-500



Lista de Acciones (por Exploración):

Explorando "C:\Documents and Settings\Administrador\Mis documentos"



Nº Total de Directorios: 1

Nº Total de Ficheros: 8

Nº de Ficheros Analizados: 4

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



(18-5-2011 15:58:52 (GMT))

EliStartPage v23.21 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 13 de Mayo del 2011)

--------------------------------------------------

Usuario: Administrador

Sesión de Usuario: Administrador

ID Sesión de Usuario: S-1-5-21-1606980848-688789844-1202660629-500



Lista de Acciones (por Exploración):

Explorando "C:\Documents and Settings\Administrador\Mis documentos"



Nº Total de Directorios: 1

Nº Total de Ficheros: 8

Nº de Ficheros Analizados: 4

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



(18-5-2011 15:59:00 (GMT))

EliStartPage v23.21 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 13 de Mayo del 2011)

--------------------------------------------------

Usuario: Administrador

Sesión de Usuario: Administrador

ID Sesión de Usuario: S-1-5-21-1606980848-688789844-1202660629-500



Lista de Acciones (por Exploración):

Explorando "C:\Documents and Settings\Administrador\Escritorio"



Nº Total de Directorios: 0

Nº Total de Ficheros: 0

Nº de Ficheros Analizados: 0

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



(18-5-2011 16:00:42 (GMT))

EliStartPage v23.21 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 13 de Mayo del 2011)

--------------------------------------------------

Usuario: Administrador

Sesión de Usuario: Administrador

ID Sesión de Usuario: S-1-5-21-1606980848-688789844-1202660629-500



Lista de Acciones (por Acción Directa):

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



(18-5-2011 16:00:58 (GMT))

EliStartPage v23.21 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 13 de Mayo del 2011)

--------------------------------------------------

Usuario: Administrador

Sesión de Usuario: Administrador

ID Sesión de Usuario: S-1-5-21-1606980848-688789844-1202660629-500



Lista de Acciones (por Exploración):

Explorando "F:\"

F:\SETUP.EXE --> Eliminado, AutoRun.Levitiang



Nº Total de Directorios: 30

Nº Total de Ficheros: 280

Nº de Ficheros Analizados: 10

Nº de Ficheros Infectados: 1

Nº de Ficheros Limpiados: 1



(18-5-2011 16:03:02 (GMT))

EliStartPage v23.21 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 13 de Mayo del 2011)

--------------------------------------------------

Usuario: Administrador

Sesión de Usuario: Administrador

ID Sesión de Usuario: S-1-5-21-1606980848-688789844-1202660629-500



Lista de Acciones (por Exploración):

Explorando "F:\"



Nº Total de Directorios: 30

Nº Total de Ficheros: 279

Nº de Ficheros Analizados: 9

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



(18-5-2011 16:04:46 (GMT))

EliStartPage v23.21 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 13 de Mayo del 2011)

--------------------------------------------------

Usuario: Administrador

Sesión de Usuario: Administrador

ID Sesión de Usuario: S-1-5-21-1606980848-688789844-1202660629-500



Lista de Acciones (por Acción Directa):

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



(18-5-2011 16:05:06 (GMT))

EliStartPage v23.21 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 13 de Mayo del 2011)

--------------------------------------------------

Usuario: Administrador

Sesión de Usuario: Administrador

ID Sesión de Usuario: S-1-5-21-1606980848-688789844-1202660629-500



Lista de Acciones (por Exploración):

Explorando "F:\"



Nº Total de Directorios: 8

Nº Total de Ficheros: 460

Nº de Ficheros Analizados: 2

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



(18-5-2011 16:05:19 (GMT))

EliStartPage v23.21 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 13 de Mayo del 2011)

--------------------------------------------------

Usuario: Administrador

Sesión de Usuario: Administrador

ID Sesión de Usuario: S-1-5-21-1606980848-688789844-1202660629-500



Lista de Acciones (por Exploración):

Explorando "F:\"



Nº Total de Directorios: 8

Nº Total de Ficheros: 460

Nº de Ficheros Analizados: 2

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



(18-5-2011 16:05:26 (GMT))

EliStartPage v23.21 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 13 de Mayo del 2011)

--------------------------------------------------

Usuario: Administrador

Sesión de Usuario: Administrador

ID Sesión de Usuario: S-1-5-21-1606980848-688789844-1202660629-500



Lista de Acciones (por Exploración):

Explorando "F:\"



Nº Total de Directorios: 8

Nº Total de Ficheros: 460

Nº de Ficheros Analizados: 2

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

[msc hotline sat]

Pues con el ELIMOVER.EXE mira si puede copiar esta fichero:



C:\Documents and Settings\cerebro\Datos de programa\PowerFile.exe



y lo copia a C:\muestras, desde donde te será facil enviarnoslo:





DESCARGA DE ELIMOVER



http://www.zonavirus.com/descargas/elimover.asp





y como que se trata de malwares, marcar la casilla inferior izquierda para que se añada .VIR al fichero original, y asi no pueda ponerse en marcha a partir del siguiente reinicio



saludos



ms, 18-5-2011







NOTA:



Y sobre lo que dices de "pero sigue sin mostrarme el contenido de las unidades c: y f:"



"



Veremos si tiene algo que ver el fichero que te pedimos, y una vez controlado, si no se recuperan los ficheros de dichas unidades, cuando ya no haya virus, procederemos con ATTRIB...



saludos



ms, 18-5-2011

[ZEDI]

Me marca que no existe el fichero C:\Documents and Settings\cerebro\Datos de programa\PowerFile.exe

al parecer no detecta nada de Documents and Settings.



Puede ser por que este en modo seguro con funciones de red?

[msc hotline sat]

Seguramente ya no está, por haber sido eliminado por algun AV, pero se dejó en el registro la clave de carga.



Con lo que te indiqué ya queda solucionado:


[quote="msc"]


y en cualquier caso, elimina estas claves:



O4 - HKUS\S-1-5-21-1606980848-688789844-1202660629-1004\..\Run: [Explorer] C:\Documents and Settings\cerebro\Datos de programa\PowerFile.exe (User 'cerebro')



O23 - Service: QuestResult Service - Unknown owner - C:\Documents and Settings\All Users\Datos de programa\QuestResult\questresult121.exe" "C:\Archivos de programa\QuestResult\questresult.dll (file missing)





Para ello, lanza de nuevo el SPROCES, selecciona SCAN, marca dichas claves y selecciona ELIMINAR


[/quote]

Y si tras reiniciar aun persiste el problenma que decias de "pero sigue sin mostrarme el contenido de las unidades c: y f:" , abre una ventana al DOS y ejecuta:



ATTRIB C:\*.* /s /d -S -H -R



Y para lF: que supongo es el pendrive, insertalo y ejecuta



ATTRIB F:\*.* /s /d -S -H -R



y nos cuentas el resultado, gracias



saludos



ms, 19-5-2011