Problemas con ejecutable que se ubica en carpeta Temp del usuario... (SOLUCIONADO)

[efraingh]

Buen día al foro



Largo rato sin conectarme ya que habian dejado de molestar los virus, o al menos deje de laborar en el area de TI, aparte con los SP de windows y la nueva forma de trabajar el autorun de las memorias con win vista/ win 7 no se tiene tanto problema como antes.



Sin embargo ahorita estoy trabajando en oficina de gobierno y existen algunas PC con win XP y sin SP3 por lo que al meter alguna memoria infectada se colaba uno que otro virus sin tanto problema.



Pero en días pasados encontre la PC infectada con un virus ejecutable que se coloca en en la llave del registro



HKCU/Software/Microsoft/Windows/Run --> me parece bajo el nombre de windows y ejecuta el virus en cada inicio, mandando a:



C:\documents and settings\%usuario%\configuración local\temp, con un nombre que va cambiando si se lo elimina.



Otro sintoma es que se copia a las memorias usb.



Esto lo quise hacer a mano, quitar la llave del registro y eliminar en el reinicio el archivo ejecutable, pero volvia a cargarlo; y creaba muchos temporales, por lo que utilice sus aplicaciones de evaluación, elistara y elitriip.



Con lo que se soluciono el problema despues de correrlas en modo seguro. Pero el fin de este post es que las herramientas colocaron una carpeta de muestras donde pusieron el EXE.



Así que necesito enviarles el archivo.



No me queda mas que agradecer por la valiosa ayuda que brindan con las herramientas.



Saludos.

[msc hotline sat]

Pues lo que dice de que "existen algunas PC con win XP y sin SP3 por lo que al meter alguna memoria infectada se colaba uno que otro virus sin tanto problema" , ya sabe que debe lanzar un windowsupdate y actualizar los parches, a no ser que sea masoquista, claro !



Y sobre que nuestras utilidades han copiado en C:\muestras unos ficheros... pues habrá leido que debe enviarnoslas para analizar y controlar, aparte de postear el contenido de c:\infosat.txt, y para enviar las muestras, recuerde:







>[b]ENVIO DE MUESTRAS Y ELIMINACIÓN DE CLAVES - Para ello recordar[/b]:

https://foros.zonavirus.com/viewtopic.php?f=5&t=14253



Tras recibirlo/s, lo/s analizaremos e implementaremos su control y eliminación, si procede, en nuestras utilidades, de lo cual informaremos



saludos



ms, 26-6-2011

RMXDF

[msc hotline sat]

Las muestras recibidas no han resultado ser víricas.



Vea si tras actualizar parches y demás, como indico en mi anterior post, y reinciiar, persiste alguna anomalía, en cuyo caso posteenos el contenido del C:\infosat.txt , para ver el contenido de dicho informe.,



saludos



ms, 27.6.2011

[efraingh]

Pues comentaba que tras lanzar las herramientas elistara y elitriip en modo seguro se soluciono al reiniciar en modo normal.



Asi que solo escribi el post por lo del envio de la muestra que me marco la aplicación.



Por mi parte gracias y pueden cerrar el post.



P.D. Si, actualizare el windows xp, aunque se me hace raro el que a estas alturas no se haya bajado actualización. Y como estamos detrás de un firewall y dominio, no sea que se bloquee la salida, pero lo revisare.



Saludos.

[msc hotline sat]

Pues lo celebramos, y dando por solucionado el Tema, procedemos a cerrarlo



Si nos necesita de nuevo, ya sabe donde estamos



saludos



ms, 27-6-2011