hola a todos, bueno encontre su interesantisimo foro buscando solución a este bendito virus el DORKBOT.D; espero me puedan ayudar.
bueno, empezaré comentandoles que a mi usb le entró este virus al conectarla a la lap de un compañero de univ, luego al descubrirlo en mi pc lo quise limpiar pero ningún antivirus me hizo el favor (avast, norton, nod32, antivir), luego intenté hacerlo por el DOS pero nada, revisando su foro vi lo del Elisara e iniciarlo en modo seguro, pero nada me deja borrar los virus, ni formatearlo; siempre me da el error usb bloqueado o protegido contraescritura.
Que creen que deba hacer, estoy al borde de tirar mi usb, un sandisk?
gracias de antemanooooo, Victor L.
virus dorkbot
-
msc hotline sat
- Mensajes: 93500
- Registrado: 09 Mar 2004, 20:39
- Ubicación: BARCELONA (ESPAÑA)
- Contactar:
Re: virus dorkbot
En primer lugar vacuna tu ordenador y pendrives con el ELIPEN, para impedir que a través del AUTORUN.INF los virus de pendrive te infecten y los propagues:
[img]http://www.satinfo.es/blog/wp-content/uploads/2010/03/moltbetot.gif [/img]
y vacunar el ordenador y las unidades de pendrive con el ELIPEN:
[b]ELIPEN.EXE[/b]
http://www.zonavirus.com/descargas/descargar-elipen.asp
Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el
resultado del proceso
Pero el DORKBOT es un rootkit que si está en memoria solo lo cazas por ocultar las carpetas de los pendrives y crear en su lugar accesos directos a ellas pero cargando el malware, asi que si no ves que no son carpetas sino enlaces, y pinchas en ellas, te infectas !
Si has probado el ELISTARA, te habrá hecho un informe en C:\infosat.txt, posteanoslo con un copiar y pegar, y si pide que nos envies alguna muestra, ya sabes:
>[b]ENVIO DE MUESTRAS Y ELIMINACIÓN DE CLAVES - Para ello recordar[/b]
https://foros.zonavirus.com/viewtopic.php?f=5&t=14253
Tras recibirlo/s, lo/s analizaremos e implementaremos su control y eliminación, si procede, en nuestras utilidades, de lo cual informaremos
y si no probaste el ELISTARA arrancando en MODO SEGURO, hazlo, pues aunque sea una nueva variante, debería detectarlo y aparcarlo en C:\muestras...
saludos
ms, 23-10-2011
[img]y vacunar el ordenador y las unidades de pendrive con el ELIPEN:
Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el
resultado del proceso
Pero el DORKBOT es un rootkit que si está en memoria solo lo cazas por ocultar las carpetas de los pendrives y crear en su lugar accesos directos a ellas pero cargando el malware, asi que si no ves que no son carpetas sino enlaces, y pinchas en ellas, te infectas !
Si has probado el ELISTARA, te habrá hecho un informe en C:\infosat.txt, posteanoslo con un copiar y pegar, y si pide que nos envies alguna muestra, ya sabes:
>
Tras recibirlo/s, lo/s analizaremos e implementaremos su control y eliminación, si procede, en nuestras utilidades, de lo cual informaremos
y si no probaste el ELISTARA arrancando en MODO SEGURO, hazlo, pues aunque sea una nueva variante, debería detectarlo y aparcarlo en C:\muestras...
saludos
ms, 23-10-2011
msc hotline sat Virus Research Engineer Antes de preguntar - Normas Basicas - Mensajes Privados - Repetir Temas - Continuar Temas - Titulos del Tema - Antivirus Online
-
vitochorolo
- Mensajes: 3
- Registrado: 22 Oct 2011, 05:42
Re: virus dorkbot
hola gracias por la velocidad.
Vacune las unidades y tambien intente vacunar el usb pero me lo impidio.
no me genera ninguna muestra.
en el tutorial dice que debe haber un comprimido de nombre[b]virus[/b]
aqui el informe.
gracias por el apoyo
Vacune las unidades y tambien intente vacunar el usb pero me lo impidio.
no me genera ninguna muestra.
en el tutorial dice que debe haber un comprimido de nombre
aqui el informe.
[quote]
(18-10-2011 05:56:34 (GMT))
EliStartPage v24.09 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 17 de Octubre del 2011)
--------------------------------------------------
Usuario: Victor L
ID de Usuario: S-1-5-21-1933285984-3528159081-2046649414-1001
Lista de Acciones (por Acción Directa):
(18-10-2011 05:59:41 (GMT))
EliStartPage v24.09 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 17 de Octubre del 2011)
--------------------------------------------------
Usuario: Victor L
ID de Usuario: S-1-5-21-1933285984-3528159081-2046649414-1001
Lista de Acciones (por Acción Directa):
(18-10-2011 06:00:23 (GMT))
EliStartPage v24.09 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 17 de Octubre del 2011)
--------------------------------------------------
Usuario: Victor L
ID de Usuario: S-1-5-21-1933285984-3528159081-2046649414-1001
Lista de Acciones (por Acción Directa):
Eliminadas las Paginas de Inicio y de Busqueda del IE
Eliminados Ficheros Temporales del IE
(18-10-2011 06:00:47 (GMT))
EliStartPage v24.09 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 17 de Octubre del 2011)
--------------------------------------------------
Usuario: Victor L
ID de Usuario: S-1-5-21-1933285984-3528159081-2046649414-1001
Lista de Acciones (por Exploración):
Explorando "G:\"
G:\WINRAR 3.70.LNK --> Acceso Denegado, Worm.Dorkbot(lnk) (Reiniciar para Completar la Limpieza)
G:\INS.LNK --> Acceso Denegado, Worm.Dorkbot(lnk) (Reiniciar para Completar la Limpieza)
G:\RECYCLER\E621CA05.EXE --> Acceso Denegado, Worm.Dorkbot (Reiniciar para Completar la Limpieza)
Nº Total de Directorios: 68
Nº Total de Ficheros: 456
Nº de Ficheros Analizados: 163
Nº de Ficheros Infectados: 3
Nº de Ficheros Limpiados: 0
(18-10-2011 06:01:13 (GMT))
EliStartPage v24.09 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 17 de Octubre del 2011)
--------------------------------------------------
Usuario: Victor L
ID de Usuario: S-1-5-21-1933285984-3528159081-2046649414-1001
Lista de Acciones (por Exploración):
Explorando "G:\"
G:\WINRAR 3.70.LNK --> Acceso Denegado, Worm.Dorkbot(lnk) (Reiniciar para Completar la Limpieza)
G:\INS.LNK --> Acceso Denegado, Worm.Dorkbot(lnk) (Reiniciar para Completar la Limpieza)
G:\RECYCLER\E621CA05.EXE --> Acceso Denegado, Worm.Dorkbot (Reiniciar para Completar la Limpieza)
Nº Total de Directorios: 68
Nº Total de Ficheros: 503
Nº de Ficheros Analizados: 163
Nº de Ficheros Infectados: 3
Nº de Ficheros Limpiados: 0
(18-10-2011 06:11:38 (GMT))
EliStartPage v24.09 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 17 de Octubre del 2011)
--------------------------------------------------
Usuario: Victor L
ID de Usuario: S-1-5-21-1933285984-3528159081-2046649414-1001
Lista de Acciones (por Exploración):
Explorando "C:\"
Nº Total de Directorios: 24817
Nº Total de Ficheros: 249768
Nº de Ficheros Analizados: 40276
Nº de Ficheros Infectados: 0
Nº de Ficheros Limpiados: 0
(18-10-2011 06:14:41 (GMT))
EliStartPage v24.09 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 17 de Octubre del 2011)
--------------------------------------------------
Usuario: Victor L
ID de Usuario: S-1-5-21-1933285984-3528159081-2046649414-1001
Lista de Acciones (por Exploración):
Explorando "D:\"
D:\WINDOWS\ALCMTR.EXE --> Eliminado, SpyRealtek
Nº Total de Directorios: 2550
Nº Total de Ficheros: 30426
Nº de Ficheros Analizados: 9649
Nº de Ficheros Infectados: 1
Nº de Ficheros Limpiados: 1
(18-10-2011 06:16:56 (GMT))
EliStartPage v24.09 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 17 de Octubre del 2011)
--------------------------------------------------
Usuario: Victor L
ID de Usuario: S-1-5-21-1933285984-3528159081-2046649414-1001
Lista de Acciones (por Exploración):
Explorando "E:\"
E:\Mis Documentos\PROGRAMAS\Adobe Acrobat 8.0 Profesional (Cast)\KEYGEN\KEY GENERATOR.EXE --> Eliminado, KeyGen.Acrobat
Nº Total de Directorios: 1716
Nº Total de Ficheros: 88182
Nº de Ficheros Analizados: 4547
Nº de Ficheros Infectados: 1
Nº de Ficheros Limpiados: 1
(18-10-2011 06:17:16 (GMT))
EliStartPage v24.09 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 17 de Octubre del 2011)
--------------------------------------------------
Usuario: Victor L
ID de Usuario: S-1-5-21-1933285984-3528159081-2046649414-1001
Lista de Acciones (por Exploración):
Explorando "G:\"
G:\WINRAR 3.70.LNK --> Acceso Denegado, Worm.Dorkbot(lnk) (Reiniciar para Completar la Limpieza)
G:\INS.LNK --> Acceso Denegado, Worm.Dorkbot(lnk) (Reiniciar para Completar la Limpieza)
G:\RECYCLER\E621CA05.EXE --> Acceso Denegado, Worm.Dorkbot (Reiniciar para Completar la Limpieza)
Nº Total de Directorios: 68
Nº Total de Ficheros: 503
Nº de Ficheros Analizados: 163
Nº de Ficheros Infectados: 3
Nº de Ficheros Limpiados: 0
(18-10-2011 06:39:41 (GMT))
EliStartPage v24.09 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 17 de Octubre del 2011)
--------------------------------------------------
Usuario: Victor L
ID de Usuario: S-1-5-21-1933285984-3528159081-2046649414-1001
Lista de Acciones (por Acción Directa):
(18-10-2011 06:58:12 (GMT))
EliStartPage v24.09 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 17 de Octubre del 2011)
--------------------------------------------------
Usuario: Victor L
ID de Usuario: S-1-5-21-1933285984-3528159081-2046649414-1001
Lista de Acciones (por Acción Directa):
(22-10-2011 03:10:34 (GMT))
EliStartPage v24.13 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 21 de Octubre del 2011)
--------------------------------------------------
Usuario: Victor L
ID de Usuario: S-1-5-21-1933285984-3528159081-2046649414-1001
Lista de Acciones (por Acción Directa):
Eliminadas las Paginas de Inicio y de Busqueda del IE
Eliminados Ficheros Temporales del IE
(22-10-2011 03:10:50 (GMT))
EliStartPage v24.13 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 21 de Octubre del 2011)
--------------------------------------------------
Usuario: Victor L
ID de Usuario: S-1-5-21-1933285984-3528159081-2046649414-1001
Lista de Acciones (por Exploración):
Explorando "G:\"
G:\WINRAR 3.70.LNK --> Acceso Denegado, Worm.Dorkbot(lnk) (Reiniciar para Completar la Limpieza)
G:\INS.LNK --> Acceso Denegado, Worm.Dorkbot(lnk) (Reiniciar para Completar la Limpieza)
G:\RECYCLER\E621CA05.EXE --> Acceso Denegado, Worm.Dorkbot (Reiniciar para Completar la Limpieza)
Nº Total de Directorios: 68
Nº Total de Ficheros: 456
Nº de Ficheros Analizados: 163
Nº de Ficheros Infectados: 3
Nº de Ficheros Limpiados: 0
(22-10-2011 03:11:43 (GMT))
EliStartPage v24.13 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 21 de Octubre del 2011)
--------------------------------------------------
Usuario: Victor L
ID de Usuario: S-1-5-21-1933285984-3528159081-2046649414-1001
Lista de Acciones (por Exploración):
Explorando "G:\"
G:\WINRAR 3.70.LNK --> Acceso Denegado, Worm.Dorkbot(lnk) (Reiniciar para Completar la Limpieza)
G:\INS.LNK --> Acceso Denegado, Worm.Dorkbot(lnk) (Reiniciar para Completar la Limpieza)
G:\RECYCLER\E621CA05.EXE --> Acceso Denegado, Worm.Dorkbot (Reiniciar para Completar la Limpieza)
Nº Total de Directorios: 68
Nº Total de Ficheros: 456
Nº de Ficheros Analizados: 163
Nº de Ficheros Infectados: 3
Nº de Ficheros Limpiados: 0
(22-10-2011 03:13:08 (GMT))
EliStartPage v24.13 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 21 de Octubre del 2011)
--------------------------------------------------
Usuario: Victor L
ID de Usuario: S-1-5-21-1933285984-3528159081-2046649414-1001
Lista de Acciones (por Exploración):
Explorando "G:\"
G:\WINRAR 3.70.LNK --> Acceso Denegado, Worm.Dorkbot(lnk) (Reiniciar para Completar la Limpieza)
G:\INS.LNK --> Acceso Denegado, Worm.Dorkbot(lnk) (Reiniciar para Completar la Limpieza)
G:\RECYCLER\E621CA05.EXE --> Acceso Denegado, Worm.Dorkbot (Reiniciar para Completar la Limpieza)
Nº Total de Directorios: 68
Nº Total de Ficheros: 503
Nº de Ficheros Analizados: 163
Nº de Ficheros Infectados: 3
Nº de Ficheros Limpiados: 0
(22-10-2011 03:14:50 (GMT))
EliStartPage v24.13 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 21 de Octubre del 2011)
--------------------------------------------------
Usuario: Victor L
ID de Usuario: S-1-5-21-1933285984-3528159081-2046649414-1001
Lista de Acciones (por Exploración):
Explorando "E:\"
Nº Total de Directorios: 1716
Nº Total de Ficheros: 88180
Nº de Ficheros Analizados: 4545
Nº de Ficheros Infectados: 0
Nº de Ficheros Limpiados: 0
(22-10-2011 03:22:22 (GMT))
EliStartPage v24.13 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 21 de Octubre del 2011)
--------------------------------------------------
Usuario: Victor L
ID de Usuario: S-1-5-21-1933285984-3528159081-2046649414-1001
Lista de Acciones (por Exploración):
Explorando "D:\"
Nº Total de Directorios: 2549
Nº Total de Ficheros: 30427
Nº de Ficheros Analizados: 9648
Nº de Ficheros Infectados: 0
Nº de Ficheros Limpiados: 0
(22-10-2011 03:35:34 (GMT))
EliStartPage v24.13 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 21 de Octubre del 2011)
--------------------------------------------------
Usuario: Victor L
ID de Usuario: S-1-5-21-1933285984-3528159081-2046649414-1001
Lista de Acciones (por Acción Directa):
(23-10-2011 18:09:43 (GMT))
EliPen v2.5 (c)2011 S.G.H. / Satinfo S.L.
------------------------------------------
Unidad C:\ Protegida
(23-10-2011 18:09:46 (GMT))
EliPen v2.5 (c)2011 S.G.H. / Satinfo S.L.
------------------------------------------
Unidad D:\ Protegida
(23-10-2011 18:09:51 (GMT))
EliPen v2.5 (c)2011 S.G.H. / Satinfo S.L.
------------------------------------------
Unidad E:\ Protegida
(23-10-2011 18:09:57 (GMT))
EliPen v2.5 (c)2011 S.G.H. / Satinfo S.L.
------------------------------------------
Desactivado el AutoPlay Totalmente.
(23-10-2011 18:32:20 (GMT))
EliPen v2.5 (c)2011 S.G.H. / Satinfo S.L.
------------------------------------------
Error Creando TEST2.SAT
Unidad G:\ No se Pudo Proteger
(23-10-2011 18:32:24 (GMT))
EliPen v2.5 (c)2011 S.G.H. / Satinfo S.L.
------------------------------------------
Error Creando TEST2.SAT
Unidad G:\ No se Pudo Proteger
(23-10-2011 18:32:28 (GMT))
EliPen v2.5 (c)2011 S.G.H. / Satinfo S.L.
------------------------------------------
Error Creando TEST2.SAT
Unidad G:\ No se Pudo Proteger
(23-10-2011 18:32:34 (GMT))
EliPen v2.5 (c)2011 S.G.H. / Satinfo S.L.
------------------------------------------
Desactivado el AutoPlay Totalmente.[/quote]
gracias por el apoyo
-
msc hotline sat
- Mensajes: 93500
- Registrado: 09 Mar 2004, 20:39
- Ubicación: BARCELONA (ESPAÑA)
- Contactar:
Re: virus dorkbot
Seguramente no has arrancando en MODO SEGURO, y en tal caso el virus se autoprotege:
G:\WINRAR 3.70.LNK --> Acceso Denegado, Worm.Dorkbot(lnk) (Reiniciar para Completar la Limpieza)
G:\INS.LNK --> Acceso Denegado, Worm.Dorkbot(lnk) (Reiniciar para Completar la Limpieza)
G:\RECYCLER\E621CA05.EXE --> Acceso Denegado, Worm.Dorkbot (Reiniciar para Completar la Limpieza)
Hazlo arrancando en MODO SEGURO, y, en dicho modo, vuelve a lanzar el ELISTARA sobre el pendrive, que asi podrá eliminar el malware, y restaurar el acceso a la carpeta escondida, sin el link que carga dicho malware. y en el caso de que se tratara de una variante resistente, renombra el fichero malware G:\RECYCLER\E621CA05.EXE a E621CA05.EXE.VIR y envianoslo para analizar:
>[b]ENVIO DE MUESTRAS Y ELIMINACIÓN DE CLAVES - Para ello recordar[/b]
https://foros.zonavirus.com/viewtopic.php?f=5&t=14253
Tras recibirlo/s, lo/s analizaremos e implementaremos su control y eliminación, si procede, en nuestras utilidades, de lo cual informaremos
saludos
ms, 24-10-2011
G:\WINRAR 3.70.LNK --> Acceso Denegado, Worm.Dorkbot(lnk) (Reiniciar para Completar la Limpieza)
G:\INS.LNK --> Acceso Denegado, Worm.Dorkbot(lnk) (Reiniciar para Completar la Limpieza)
G:\RECYCLER\E621CA05.EXE --> Acceso Denegado, Worm.Dorkbot (Reiniciar para Completar la Limpieza)
Hazlo arrancando en MODO SEGURO, y, en dicho modo, vuelve a lanzar el ELISTARA sobre el pendrive, que asi podrá eliminar el malware, y restaurar el acceso a la carpeta escondida, sin el link que carga dicho malware. y en el caso de que se tratara de una variante resistente, renombra el fichero malware G:\RECYCLER\E621CA05.EXE a E621CA05.EXE.VIR y envianoslo para analizar:
>
Tras recibirlo/s, lo/s analizaremos e implementaremos su control y eliminación, si procede, en nuestras utilidades, de lo cual informaremos
saludos
ms, 24-10-2011
msc hotline sat Virus Research Engineer Antes de preguntar - Normas Basicas - Mensajes Privados - Repetir Temas - Continuar Temas - Titulos del Tema - Antivirus Online
-
vitochorolo
- Mensajes: 3
- Registrado: 22 Oct 2011, 05:42
Re: virus dorkbot
hola, bueno si reinicie en modo seguro y lo intente desde que descarge el elisara, pero no lo elimina, ahora lo volvi a intentar y lo mismo.
si copio el ejecutable que aparece en mi usb al escritorio se infecta mi pc?
si copio el ejecutable que aparece en mi usb al escritorio se infecta mi pc?
-
msc hotline sat
- Mensajes: 93500
- Registrado: 09 Mar 2004, 20:39
- Ubicación: BARCELONA (ESPAÑA)
- Contactar:
Re: virus dorkbot
Si solo lo copias, pero no lo ejecutas, no se infecta el PC
De todas formas, para que no caigas en algun error, primero añadele el .VIR a su extension, tal como te indico.
saludos
ms, 24-10-2011
De todas formas, para que no caigas en algun error, primero añadele el .VIR a su extension, tal como te indico.
saludos
ms, 24-10-2011
msc hotline sat Virus Research Engineer Antes de preguntar - Normas Basicas - Mensajes Privados - Repetir Temas - Continuar Temas - Titulos del Tema - Antivirus Online
-
msc hotline sat
- Mensajes: 93500
- Registrado: 09 Mar 2004, 20:39
- Ubicación: BARCELONA (ESPAÑA)
- Contactar:
Re: virus dorkbot
Como que la deteccion/eliminacion del DORKBOT es problemática, si está en memoria, y haberse dado otros casos que no lo detectan ni eliminan por estar en memoria, hemos editado esta NOTICIA, que te puede ayudar:
http://www.zonavirus.com/noticias/2011/recibidas-nuevas-muestras-del-rootkit-dorkbot-ya-controlado.asp
En resumen, debes arrancar en MODO SEGURO COMO ADMINISTRADOR, o como un usuario NO INFECTADO, sino no lo detectarás en el ordenador, y consecuenctemente no lo podrás eliminar, aunque lo detectes en pendrives infectados.
saludos
ms, 24-10-2011
En resumen, debes arrancar en MODO SEGURO COMO ADMINISTRADOR, o como un usuario NO INFECTADO, sino no lo detectarás en el ordenador, y consecuenctemente no lo podrás eliminar, aunque lo detectes en pendrives infectados.
saludos
ms, 24-10-2011
msc hotline sat Virus Research Engineer Antes de preguntar - Normas Basicas - Mensajes Privados - Repetir Temas - Continuar Temas - Titulos del Tema - Antivirus Online