Tengo El Problema [ADOBER.EXE] (CERRADO)

Bryan · Mensaje por **Bryan** » 07 Feb 2007, 14:12

~~[b]~~Bueno Muchachos,

[color=darkblue]yo llevo un tiempo en esto, pero no soy muy experto en la eliminación de Virus, lo que realizo cuando tengo virus, es formatear el equio y listo, pero en esta ocación tengo demasiada información y al guardarla en un disco, me lo contamina inmediatamente,no se que hacer, he votado 4 Discos DVD con el Famoso Virus, Lo que si yo trabajo con el AVG y el McAfee, debido a que he visto como el Kapersky te llena el Equipo con boludeses al momento de desinstalarlo, una vez me demoró alrededor de 3 Horas en un equipo donde tenía solo el K.. utilizado alrededor de 1,5GB. uno de los Problemas que me ocurren es que cuando inserto mi Rack USB (en este tengo un disco Duro Particionado en Dos) me pregunta si quiero ejecutar el Programa Automáticamente, y cuando le hago click a las unidades me pregunta que donde está el Adober.exe y que con que programa deseo ejecutarlo

lo único que he encontrado es que se crea cada vez que reinicio el USB la Siguiente Cadena en el Registro

[/color][/b]

[code]
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{42c70e46-863f-11db-b722-001125692712}\Shell\Auto\command]
@="AdobeR.exe e"
[/code]

[code]
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{42c70e46-863f-11db-b722-001125692712}\Shell\AutoRun\command]
@="C:\\WINDOWS\\system32\\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL AdobeR.exe e"
[/code]

[code]
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{42c70e47-863f-11db-b722-001125692712}\Shell\Auto\command]
@="AdobeR.exe e"
[/code]

[code]
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{42c70e47-863f-11db-b722-001125692712}\Shell\AutoRun\command]
@="C:\\WINDOWS\\system32\\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL AdobeR.exe e"
[/code]

:?: :?: [color=darkblue]Por Más Veces que lo Elimine, este vuelve a aparecer al reiniciar el USB, per deseo eliminarlo, el archivo ya no existe, pero no dejan de salir estas cadenas

por favor necesito su Ayuda, además de este Equipo tengo el servidor de la Sede Infectado con este Bicho, pero ahí no he comprobado mas, debido a que una mañana apareció y listo, nunca más pero tengo miedo a que suceda lo mismo que con mi equipo

gracias si es que se dieron el tiempo para Leer este tremendo texto, pero quise ser lo mas explicativo posible[/color]

:evil: :twisted: :evil: :twisted: :evil: :roll:

Mensaje por **flacoroo** » 07 Feb 2007, 16:33

bajate estos programas y reiniciando tu computadora en modo seguro los ejecutas, no si antes de deshabilitar restaurar sistema y haber borrados archivos temporales....

[url=http://www.zonavirus.com/descargas/elistara.asp]elistara[/url]

[url=http://www.zonavirus.com/descargas/elinotif.asp]elinotif[/url]

[url=http://www.zonavirus.com/descargas/elitriip.asp]elitriip[/url]

ya despues se creara un archivo en C: InfoSat.txt copialo en tu siguiente post

Mensaje por **msc hotline sat** » 07 Feb 2007, 16:57

Este ADOBER.EXE es un virus que infecta memorias USB y los discos duros que esten en ordenadores donde se coloquen dichos pendrives

Envianos este fichero como muestra para analizar

:

C:\WINDOWS\AdobeR.exe

Tras analizarlo, añadiremos su control y eliminacion a nuestras utilidades

recuerda: https://foros.zonavirus.com/viewtopic.php?f=2&t=45334

saludos

ms, 7-2-2007

Bryan · Mensaje por **Bryan** » 07 Feb 2007, 17:34

Corri los Programas Mencionados

pero no lo eliminó, lo que logré hacer es en un bat elimine el archivo desde la raiz del disco contaminado, y lo inserté en un equipo que partió a modo a aprueba de errores y así lo eliminé el autorun

el equipo secundario no se encontraba contaminado, y lo que se nme ocurrió fue dejar el administrador de tareas corriendo para verificar que no corriera en el momento de insertarlo

entodo caso gracias

espero que le sirva a otras personas entodo caso

me costo eliminar el maldito Bastardo espero nunca encontrarme con el creador del maldito, porque lo haría soprano

bueno gracias Bye[/code]

Mensaje por **msc hotline sat** » 07 Feb 2007, 17:45

NO ES LO QUE TE HE DICHO !!!

ENVIANOS LA MUESTRA QUE TE PEDIMOS QUE ES LO QUE INTERESA A ESTE FORO ( Y A TI PARA LAS USB Y A LOS DEMAS FOREROS)!!!

Y DE NO SEGUIR NUESTRAS INSTRUCCIONES SERAS DESCONECTADO DEL MISMO !!!

ADEMAS SE HAN DE DESINFECTAR LAS MEMORIAS USB, LO CUAL HACEN NUESTRAS UTILIDADES PARA CON LOS VIRUS QUE LAS INFECTAN.

ms.

nota a MR: controlar recepcion adober.exe

Mensaje por **msc hotline sat** » 13 Feb 2007, 11:11

Pasada una semana sin tener noticias del forero, se desactiva del foro conforme avisado.

Es una pena que haya alguien con tan poco espitiru de colaboracion, pues hacen flaco favor al foro, y no se merecen estar en él

ms.

Mensaje por **msc hotline sat** » 21 Mar 2007, 17:49

Nota postciewrre:

En 21.03.2007 se recibe un AdobeR.exe de mas de 3 MB en el que McAfee detecta estar infectado y se ve que corresponde a este virus.

El forero indica como referencia ADOBER y no hay ningun post del mismo, por lo que se informa en este que está relacionado.

Se implementa su eliminacion por cadenas en el ELITRIIP 3.37

saludos

ms, 21-03-2007

Mensaje por **msc hotline sat** » 21 Mar 2007, 17:59

Nota postcierre:

En 21.03.2007 se recibe un AdobeR.exe de mas de 3 MB en el que McAfee detecta estar infectado por W32/RJUMP y se ve que corresponde a este virus.

El forero indica como referencia ADOBER y no hay ningun post del mismo, por lo que se informa en este que está relacionado.

Se implementa su eliminacion por cadenas en el ELITRIIP 3.37

saludos

ms, 21-03-2007

descripcion de McAfee:

[quote]

McAfee > Theat Center > Virus Detail Page

Navigation

Content

Extra Content

Footer

Navigation

Utility Navigation

Search Contact Us About McAfee Threat Center Global Sites

Australia Brasil China Deutschland Espana France Hong Kong Italia Japan Korea Latin America Singapore Taiwan United Kingdom United States Segment Navigation

Home & Home Office Small & Medium Business Enterprise Partners

Section Navigation

.

Content

W32/RJump.wormType Virus SubType Worm Discovery Date 06/20/2006 Length varies Minimum DAT 4788 (06/20/2006) Updated DAT 4830 (08/15/2006) Minimum Engine 4.4.00 Description Added 06/20/2006 Description Modified 10/17/2006 5:32 PM (PT) Type

Type of threat.

SubType

Additional type information.

Discovery Date

Date that AVERT discovered this threat.

Length

File size, in bytes, of the threat.

Minimum DAT

McAfee DAT files contain detection and repair information for threats. The Minimum DAT field specifies the lowest/oldest DAT version that is capable of detecting the first incarnation of a threat, and the release date. The highest/newest DAT version should always be used for the most complete protection and are available on the Anti-Virus Updates page.

Each description displays the minimum, fully tested, DAT version that includes regular detection for a particular threat. These fully tested DATs are released on a daily basis. If necessary, they are also released when a Medium, Medium On Watch, or High risk threat is discovered. An EXTRA.DAT will also be posted for these more prevalent threats, if necessary.

For each description listed, detection is always available. In the event that the DAT version specified is not yet available, an EXTRA.DAT file may be downloaded via the McAfee AVERT Extra.dat Request Page. Alternatively, minimally tested HOURLY BETA DAT files are available for downloading.

Updated DAT

McAfee DAT files are constantly being updated to enhance detection capabilities. The Updated DAT field specifies the released DAT version that contains the most up to date detection.

Minimum Engine

The scan engine uses the DAT files to detect threats. The Minimum Engine field specifies the lowest/oldest engine version that is capable of detecting this threat. The highest/newest engine version should always be used for the most complete protection and are available on the Anti-Virus Updates page.

Description Added

Date/time this description was published using Pacific Time.

Description Modified

Date/time this description was last modified using Pacific Time.

Risk Assessment

Corporate User Low-Profiled

Home User Low-Profiled Tab Navigation

Overview Characteristics Symptoms Method of Infection Removal Variants All Information Overview

-- Update October 17, 2006 --

W32/RJump.worm has been deemed Low-Profiled due to media attention at http://www.betanews.com/article/Apple_Ships_iPods_with_Windows_Virus/1161112089

W32/Rjump.worm is a worm written using the Python scripting language and was converted into a windows portable executable file using the Py2Exe tool. It attempts to spread by coping itself to mapped and removable storage drives and also opens a backdoor on an infected system.

Aliases

Backdoor.Rajump (Symantec) W32/Jisx.A.worm (Panda) W32/RJump-C (Sophos) W32/RJump.A!worm (Fortinet) Win32/RJump.A (ESET) Win32/RJump.A!Worm (CA) Worm.RJump.A (BitDefender) Worm.Win32.RJump.a (Kaspersky) Worm/Rjump.E (Avira) WORM_SIWEOL.B (TrendMicro) Characteristics

-- Update October 17, 2006 --

W32/RJump.worm has been deemed Low-Profiled due to media attention at http://www.betanews.com/article/Apple_Ships_iPods_with_Windows_Virus/1161112089

Upon execution, it creates a copy of itself into the windows system directory:

%Windir%\RAVMON.EXEAlso create a non-malicious "RavMonLog" file that contains the port number on which its backdoor component listens.

Adds the following values to the registry to auto start itself when Windows starts.

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run

"RavAV" = "%Windir%\RAVMON.EXE"

Symptoms

W32/Rjump.worm creates a port exception for its backdoor component to bypass the built-in firewall of WinXp by executing the following netsh command.

%Windir%\%Sysdir%\cmd.exe /c netsh firewall add portopening TCP 16942 NortonAV

Note: The backdoor port opened is randomly chosen.

Posts ip address and backdoor port information from an infected machine back to the virus author via the following URL:

http://natrocket.9966.[Removed]:5288/iesocks?peer_id=%s&port=%s&type=%s&ver=4sD

Method of Infection

W32/Rjump.worm lists all mapped and removable storage drives on an infected system and drops the following files onto the root folder of the available drive:

autorun.inf --> used to autorun the worm when the drive is accessed msvcr71.dll --> Clean Microsoft Visual Studio dll file ravmon.exe --> copy of the wormThe contents of the autorun.inf are as follows:

[AutoRun]

open=RavMonE.exe e

shellexecute=RavMonE.exe e

shell\Auto\command=RavMonE.exe e

shell=Auto

Infection occurs when a removable storage device or a mapped drive hosting a copy of W32/Rjump.worm is accessed and the user agrees to the auto run prompt for execution of the worm.

Removal

A combination of the latest DATs and the Engine will be able to detect and remove this threat. AVERT recommends users not to trust seemingly familiar or safe file icons, particularly when received via P2P clients, IRC, email or other media where users can share files.

Additional Windows ME/XP removal considerations

-- Update October 17, 2006 --

W32/RJump.worm has been deemed Low-Profiled due to media attention at http://www.betanews.com/article/Apple_Ships_iPods_with_Windows_Virus/1161112089

W32/Rjump.worm is a worm written using the Python scripting language and was converted into a windows portable executable file using the Py2Exe tool. It attempts to spread by coping itself to mapped and removable storage drives and also opens a backdoor on an infected system.

Aliases

Backdoor.Rajump (Symantec) W32/Jisx.A.worm (Panda) W32/RJump-C (Sophos) W32/RJump.A!worm (Fortinet) Win32/RJump.A (ESET) Win32/RJump.A!Worm (CA) Worm.RJump.A (BitDefender) Worm.Win32.RJump.a (Kaspersky) Worm/Rjump.E (Avira) WORM_SIWEOL.B (TrendMicro)

Characteristics

Characteristics -

-- Update October 17, 2006 --

W32/RJump.worm has been deemed Low-Profiled due to media attention at http://www.betanews.com/article/Apple_Ships_iPods_with_Windows_Virus/1161112089

Upon execution, it creates a copy of itself into the windows system directory:

%Windir%\RAVMON.EXEAlso create a non-malicious "RavMonLog" file that contains the port number on which its backdoor component listens.

Adds the following values to the registry to auto start itself when Windows starts.

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run

"RavAV" = "%Windir%\RAVMON.EXE"

Symptoms

Symptoms -

W32/Rjump.worm creates a port exception for its backdoor component to bypass the built-in firewall of WinXp by executing the following netsh command.

%Windir%\%Sysdir%\cmd.exe /c netsh firewall add portopening TCP 16942 NortonAV

Note: The backdoor port opened is randomly chosen.

Posts ip address and backdoor port information from an infected machine back to the virus author via the following URL:

http://natrocket.9966.[Removed]:5288/iesocks?peer_id=%s&port=%s&type=%s&ver=4sD

Method of Infection

Method of Infection -

W32/Rjump.worm lists all mapped and removable storage drives on an infected system and drops the following files onto the root folder of the available drive:

autorun.inf --> used to autorun the worm when the drive is accessed msvcr71.dll --> Clean Microsoft Visual Studio dll file ravmon.exe --> copy of the wormThe contents of the autorun.inf are as follows:

[AutoRun]

open=RavMonE.exe e

shellexecute=RavMonE.exe e

shell\Auto\command=RavMonE.exe e

shell=Auto

Infection occurs when a removable storage device or a mapped drive hosting a copy of W32/Rjump.worm is accessed and the user agrees to the auto run prompt for execution of the worm.

[/quote]