virus en mi memoria USB (CERRADO)

[pizla]

Saludos, a ver este tema ya ha sido tratado y he hecho lo que le habeis recomendado a otros usuarios, pero os cuento mi problema.

Conecte mi memoria USB a un ordenador infectado (sin yo saberlo, claro), y luego la conecte a mi ordenador y mi antivirus no localizo nada raro. Pero cuando conecte en otro ordenador si salto el antivirus, asi que ahora tengo el virus en la memoria USB y en mi ordenador.

He descargado el EliTriip, pero al ejecutarlo, cuando se lo paso a la unidad de la memoria USB solo detecta y elimina un archivo, pero no el de la carpeta RECYCLER, y cuando se lo paso a mi ordenador no termina la ejecución, sino que se cierra automaticamente sin terminar el analisis. ¿Que puedo hacer?

[msc hotline sat]

Postearnos el contenido de c:\infosat.txt, para ver si le pide que envie muestras y lo que ha detectado, gracias



saludos



ms, 7-02-2007

[pizla]

esto es lo que me aparece en el infosat. Lo que mas raro me parece es que a medio examinar la unidad c:, se cierra el ELiTriip y tengo que volver a ejecutarlo para examinar la unidad f: de la memoria USB



El infosat contiene:



Sat Feb 10 18:25:46 2007

EliTriIP v3.13 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Acción Directa):

No detectado Parche MS06-001 de Microsoft instalado. (WMF)

No detectado Parche MS06-070 de Microsoft instalado. (SServidor)

ALERTA. WindowsUpdate Incompleto.



Sat Feb 10 18:28:49 2007

EliTriIP v3.13 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Acción Directa):

No detectado Parche MS06-001 de Microsoft instalado. (WMF)

No detectado Parche MS06-070 de Microsoft instalado. (SServidor)

ALERTA. WindowsUpdate Incompleto.



Sat Feb 10 18:28:55 2007

EliTriIP v3.13 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Exploración):

F:\autorun.inf --> Eliminado, BackDoor.CKB (inf)

[pizla]

por cierto, k veo k no lo puse, el arxivo k me detecto el antivirus en otro pc lo katalogo komo: WORM_DELF.DVH

[MrKogoyo]

Primero lanza un Windows Update, porque te faltan varios parches



[b]WINDOWS UPDATE:[/b]

http://windowsupdate.microsoft.com/



Mira aqui:

http://www.sophos.com/security/analyses/w32sillyfdce.html



Ademas:
[quote]El virus que Kaspersky detecta como Backdoor.Win32.PcClient.wi y McAfee como Backdoor CKB infecta por lo general las memorias USB ocultándose dentro de la misma con atributos de oculto y de sistema dentro de una carpeta RECYCLER que está integrada y escondida dentro de otra carpeta RECYCLER, todas ocultas, por lo que es difícil de encontrar y logra pasar desapercibido.[/quote]

Prueba pasando un [b]AV ONLINE[/b] en Modo Seguro con funciones de red:

https://www.eset.es/analisis-online/



[b]INICIAR EN MODO SEGURO:[/b]

http://www.zonavirus.com/articulos/como-arrancar-en-modo-seguro-o-a-prueba-de-fallos.asp







[b]Slds. ¡¡

Mrkogoyo.[/b]

[Nuker]

El worm que citas tu [u]WORM_DELF.DVH[/u] es un alias del CKB... Al parecer es implementado con ELITRIIP, pruebala en modo seguro y asi es menos probable que te cierre ventanas.



Name [u]W32/SillyFDC-E Type[/u]

Worm



Affected operating systems

Windows



Side effects



Drops more malware

Installs itself in the Registry



Aliases



Backdoor.Win32.PcClient.wi

BackDoor-CKB

[b]WORM_DELF.DVH[/b]





El AV Online es bueno pero se usa mas para virus, no tanto para Backdoors...Y creo que no lo tienen en librerias..





MODO SEGURO ?:



http://www.zonavirus.com/articulos/como-arrancar-en-modo-seguro-o-a-prueba-de-fallos.asp

[pizla]

lo 1º, muxas grasias x la atencion.

xo yo soy novato en esto de virus, asi k si pudiesen explikarme k tengo k hacer poko a poko me ayudarian muxo...

[Nuker]

Abre el link de ELITRIIP:



http://www.zonavirus.com/descargas/elitriip.asp



Descargalo, en vez de darle abrir lo guardas en tu escritorio, reinicias y entras en modo seguro...



Modo seguro:



http://www.zonavirus.com/articulos/como-arrancar-en-modo-seguro-o-a-prueba-de-fallos.asp



Al terminar el analisis entra en modo normal de nuevo y posteanos el log como lo hiciste antes, Unidad C, infosat.txt copia y pega aqui...

[msc hotline sat]

Pues creo que ya no tienes virus en el ordenador, pues el antivirus te lo eliminó en parte y el ELITRIIP remató el resto



Pero vigila todas las memorias USB que tengas, ya que si estan infectadas, al ponerlas volveran a infectar el ordenador !!! Limpialas seleccionando con el ELITRIIP la exploracion de la unidad en cuestion.



saludos



ms, 10-02-2007

[pizla]

Weno, les kuento lo k he hecho: he comprobado que tenia desactivado la opcion de Restaurar Sistema, he reiniciado en modo seguro y he ejecutado el EliTriip, pero tambien asi, a medio explorar la unidad c:

Y a la memoria USB no lo he pasado xk kreo k primero se lo tendria k kitar al disko duro, no kreen?



A lo ultimo k han puesto, no kreo k ya hubiera eliminado el virus xk mi antivirus no detecto ningun virus



Ademas he comparado kon lo k eskribio otro en el foro:

Sun Jan 21 17:54:00 2007

EliTriIP v3.07 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Acción Directa):

No detectado Parche MS06-070 de Microsoft instalado. (SServidor)

ALERTA. WindowsUpdate Incompleto.



Sun Jan 21 17:59:56 2007

EliTriIP v3.07 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Exploración):

C:\WINDOWS\system32\KOfcpfwSvcs.exe --> Eliminado, BackDoor.CKB



Sun Jan 21 18:01:34 2007

EliTriIP v3.07 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Exploración):

G:\autorun.inf --> Eliminado, BackDoor.CKB (inf)

G:\RECYCLER\RECYCLER\autorun.exe --> Eliminado, BackDoor.CKB



y mi en el disko duro no termina de explorar y en la memoria solo me kita el autorun.inf pero no el de la carpeta RECYCLER

[pizla]

no se si esta informacion les parecera importante, pero kuando ejecuto el EliTriip me aparecen unos rekuadros:

- ¿Desea Bloquear el intento de intrusión por el TCP445?

(Pulso si)

- Bloqueada Intrusión Remota

- mensajes de los parxes que tambien aparece en el infosat

- ¿Quiere Eliminar las Colas de Impresión?

(Pulso si)



y ya luego se cierra sin terminar de explorar...

[msc hotline sat]

Aqui eliminó los dos:



Lista de Acciones (por Exploración):

G:\autorun.inf --> Eliminado, BackDoor.CKB (inf)

G:\RECYCLER\RECYCLER\autorun.exe --> Eliminado, BackDoor.CKB



y si el disco duro no termina, prueba arrancando en modo seguro y si tampoco termina, procede a comprobar errores:



MIPC -> Boton derecho sobre disco C -> Propiedades -> Herramientas -> Comprobar errores



saludos



ms,. 10-02-2007

[pizla]

no, esos dos arxivos ke puse antes son los k he visto k elimino otra persona k konsulto este foro.

Mi infosat es el siguiente:



Sun Feb 04 11:50:04 2007

EliTriIP v3.13 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Acción Directa):

No detectado Parche MS06-001 de Microsoft instalado. (WMF)

No detectado Parche MS06-070 de Microsoft instalado. (SServidor)

ALERTA. WindowsUpdate Incompleto.



Sun Feb 04 11:51:49 2007

EliTriIP v3.13 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Exploración):

F:\autorun.inf --> Eliminado, BackDoor.CKB (inf)



Sun Feb 04 11:57:03 2007

EliTriIP v3.13 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Acción Directa):

No detectado Parche MS06-001 de Microsoft instalado. (WMF)

No detectado Parche MS06-070 de Microsoft instalado. (SServidor)

ALERTA. WindowsUpdate Incompleto.

[Nuker]

NO Mezcles dos logs en un tema !

Por que si no nos causas confunciones como ahorita, para eso sirve el boton citar....



Lanza un Windows Update:



https://support.microsoft.com/es-es/help/12373/windows-update-faq

[pizla]

he probado arrancando en modo seguro y tambien he comprobado errores y y si el disco duro sigue sin terminar...



Siento haber mezklado logs, no se komo va eso de citar...



Que es eso de lanzar el update?

kreo k mi windows no es komprado xk me lo puso un amigo, puedo hacerlo de todas formas?

[Nuker]

Si no es genuino no te dejara instalarlas. Y pues la verdad nosotros en esos casos no podemos hacer nada.



Lo de los logs no te preocupes, es que pudiste haber provocado que se diera por solucionado sin estarlo.



Y espera a un moderador...

[pizla]

k se les okurre k pueda hacer?

[MrKogoyo]

[code]Que es eso de lanzar el update?
kreo k mi windows no es komprado xk me lo puso un amigo, puedo hacerlo de todas formas?[/code]

Updates sginifica Actualizacion o Actualizar, osea que Actualizes windows,

Pero si tu windows no es genuino no podras actualizar tu windows

Nosotros no estamos de acuerdo con la pirateria, asi que comprueba si tu windows es original o no



[b]Slds. ¡¡

MrKogoyo.[/b]

[pizla]

yo tampoko estoy a favor de pirateria, pero es k no entiendo.

yo es k soy novato en esto, xo necesito tener la memoria sin virus, y klaro el ordenador. no hay otra forma d kitarlo?

[msc hotline sat]

Pues empieza por adquirir un sistema operativo legal, y podrás actualizar los parches !!!



Sin ello no podemos seguir ayudandote, y tu dices que no estás a favor de la piratería pero estas pirateando el sistema operativo ...



Damos el Tema por terminado y procedemos a cerrarlo



saludos



ms, 11-02-2007