virus w32.ecup (SOLUCIONADO)

drhyde · Mensaje por **drhyde** » 01 May 2007, 00:38

hola amigos. Soy nuevo en este foro, por lo que tened paciencia conmigo si no hago algo correctamente.

He visto anotaciones anteriores sobre este virus y como eliminarlo, pero siguiendo los pasos que referían no lo he conseguido. El Norton 2006 que tengo me identifica nada más encender el ordenador un archivo temporal infectaqdo que no es capaz de eliminar (ese no es el problema puesto que arrancando en modo de fallos me lo elimina, pero cada vez que reinicio el ordenador vuelve a aparecer (con diferente nombre) en la misma ubicación. Intenta a su vez copiarse en otros directorios, pero son rápidamente neutralizados por el NAV2006 que, estos si, son borrados al instante.

La información que he leido al respecto es que debe de haber una entrada en el registro que hace que se ejecute el virus en cada arranque, pero la linea que señalaban "HKEY LOCAL MACHINE\software\windows\.......\run WindowsServiceStartup = %Temp%\svchost.exe 1" no aparece, en su lugar he visto un svchost.exe 1 en otro sitio y lo he borrado (tengo una copia de seguridad del registro por si he metido la pata, pero de momento no ha pasado nada malo, ni bueno)

he pasado el HJT y el resultado del log es el siguiente:

Logfile of HijackThis v1.99.1

Scan saved at 23:25:05, on 30/04/2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16414)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSetMgr.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\ccEvtMgr.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\ccProxy.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\SNDSrvc.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\SPBBC\SPBBCSvc.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\CCPD-LC\symlcsvc.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\ATKKBService.exe

C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7DEBUG\MDM.EXE

C:\Archivos de programa\Norton Internet Security\Norton AntiVirus\navapsvc.exe

C:\Archivos de programa\Eset\nod32krn.exe

C:\Archivos de programa\Symantec\LiveUpdate\ALUSchedulerSvc.exe

C:\WINDOWS\system32\STacSV.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\UTSCSI.EXE

C:\Archivos de programa\Eset\nod32kui.exe

C:\Archivos de programa\SlySoft\AnyDVD\AnyDVD.exe

C:\Archivos de programa\Anti-Blaxx 1.18\Anti-Blaxx.exe

C:\Archivos de programa\D-Tools\daemon.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe

C:\Archivos de programa\Messenger\msmsgs.exe

C:\WINDOWS\system32\ctfmon.exe

C:\WINDOWS\system32\wuauclt.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\Security Console\NSCSRVCE.EXE

C:\hijackthis\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: Norton Internet Security 2006 - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Archivos de programa\Archivos comunes\Symantec Shared\AdBlocking\NISShExt.dll

O2 - BHO: NAV Helper - {A8F38D8D-E480-4D52-B7A2-731BB6995FDD} - C:\Archivos de programa\Norton Internet Security\Norton AntiVirus\NavShExt.dll

O3 - Toolbar: Norton Internet Security 2006 - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Archivos de programa\Archivos comunes\Symantec Shared\AdBlocking\NISShExt.dll

O3 - Toolbar: Norton AntiVirus - {C4069E3A-68F1-403E-B40E-20066696354B} - C:\Archivos de programa\Norton Internet Security\Norton AntiVirus\NavShExt.dll

O4 - HKLM\..\Run: [nod32kui] "C:\Archivos de programa\Eset\nod32kui.exe" /WAITSERVICE

O4 - HKLM\..\Run: [AnyDVD] C:\Archivos de programa\SlySoft\AnyDVD\AnyDVD.exe

O4 - HKLM\..\Run: [GameFace Messenger] C:\Archivos de programa\GameFace Messenger\GameFace.exe

O4 - HKLM\..\Run: [Anti-Blaxx Manager] C:\Archivos de programa\Anti-Blaxx 1.18\Anti-Blaxx.exe

O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Archivos de programa\D-Tools\daemon.exe" -lang 1033

O4 - HKLM\..\Run: [ccApp] "C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe"

O4 - HKCU\..\Run: [ASUS SmartDoctor] C:\Program Files\ASUS\SmartDoctor\SmartDoctor.exe /start

O4 - HKCU\..\Run: [MSMSGS] "C:\Archivos de programa\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O11 - Options group: [INTERNATIONAL] International*

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1164216738531

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxdev.dll

O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\

O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: ATK Keyboard Service (ATKKeyboardService) - ASUSTeK COMPUTER INC. - C:\WINDOWS\ATKKBService.exe

O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccEvtMgr.exe

O23 - Service: Symantec Internet Security Password Validation (ccISPwdSvc) - Symantec Corporation - C:\Archivos de programa\Norton Internet Security\ccPwdSvc.exe

O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccProxy.exe

O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSetMgr.exe

O23 - Service: COM Host (comHost) - Symantec Corporation - C:\Archivos de programa\Norton Internet Security\comHost.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Archivos de programa\Archivos comunes\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: LiveUpdate - Symantec Corporation - C:\ARCHIV~1\Symantec\LIVEUP~1\LUCOMS~1.EXE

O23 - Service: Servicio Auto-Protect de Norton AntiVirus (navapsvc) - Symantec Corporation - C:\Archivos de programa\Norton Internet Security\Norton AntiVirus\navapsvc.exe

O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Archivos de programa\Eset\nod32krn.exe

O23 - Service: Norton Protection Center Service (NSCService) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\Security Console\NSCSRVCE.EXE

O23 - Service: Programador de LiveUpdate automático - Symantec Corporation - C:\Archivos de programa\Symantec\LiveUpdate\ALUSchedulerSvc.exe

O23 - Service: Symantec AVScan (SAVScan) - Symantec Corporation - C:\Archivos de programa\Norton Internet Security\Norton AntiVirus\SAVScan.exe

O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\SNDSrvc.exe

O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\SPBBC\SPBBCSvc.exe

O23 - Service: SigmaTel Audio Service (STacSV) - SigmaTel, Inc. - C:\WINDOWS\system32\STacSV.exe

O23 - Service: Symantec Core LC - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\CCPD-LC\symlcsvc.exe

O23 - Service: USBest Service Zero (UTSCSI) - USBest - C:\WINDOWS\system32\UTSCSI.EXE

Se que tengo dos antivirtus, el norton 2006 y el nod32 (probablemente debería desinstalar uno, pero no se cual)

Un saludo y muchas gracias por adelantado. La verdad es que me está haciendo perder la paciencia.

Claudia34 · Mensaje por **Claudia34** » 01 May 2007, 04:38

Bueno ante todo un consejo sano para tener en cuenta, y es que tener 2 antivirus residentes o sea activos en la pc te traera problemas como conflictos entre los dos antivirus y la perdida de velocidad en la pc que podria ocasionar bloqueos recurrentes a cada momento. Principalmente es importante desinstalar uno de los antivirus que hay residente, mientras haces eso espera a que los administradores te digan lo que hay en el log que pegaste.

Y mientras esperas haz una descarga y actualizacion completa y luego un escaneo en modo a prueba de fallos con el Spybot- Search and Destroy, y luego con el Adware S.E..

Y no te vendria mal realizar un escaneo con los antivirus online en modo a prueba de fallos con opcion de red que hay en la pagina de inicio de ZonaVirus. Saludos y comentanos los resultados.

Claudia34 · Mensaje por **Claudia34** » 01 May 2007, 04:44

Si quieres saber que antivirus desinstalar pues en parte debe ser una eleccion tuya personal, pero yo en tu lugar desinstalaria el norton y me quedaria con el nod32 que consume menos recursos pero eso te lo dejo a tu criterio.

Nota: lei tarde lo que escribiste abajo sobre ¿ cual antivirus desinstalar? Se ve que yo no preste atencion, pero igual no viene mal el consejo en tal caso.

Mensaje por **msc hotline sat** » 01 May 2007, 07:17

Empecemos por lo ultimo que he leido, lo de cual antivirus dejar instalado: Pues aunque estoy de acuerdo que el NOD32 pesa menos que el Norton, la experiencia de este es muy superior, pues el NOD32 es relativamente reciente, y eso para mi tiene mas importancia que el peso, aparte de que indicas dos frases que parece que solo el Norton te detecte este virus:

"El Norton 2006 que tengo me identifica nada más encender el ordenador "

"Intenta a su vez copiarse en otros directorios, pero son rápidamente neutralizados por el NAV2006 que, estos si, son borrados al instante. "

Si el NOD32 no te lo detecta, desinstala este, claro ! , sino, es cuestion de gustos, deja el que mas te guste, por lo menos que cuando te infectes de nuevo sea con uno a tu gusto :lol:

Y respecto al log del HJT, hay esta clave que no conocemos:

O4 - HKLM\..\Run: [GameFace Messenger] C:\Archivos de programa\GameFace Messenger\GameFace.exe

Envianos este C:\Archivos de programa\GameFace Messenger\GameFace.exe para analizar e informaremos

para ello, recuerda: https://foros.zonavirus.com/viewtopic.php?f=2&t=45334

y sobre el ECUP, si ninguno de los dos, ni arrancando en modo seguro, es capaz de eliminarlo, arranca en modo seguro con funciones de Red y lanza este ONLINE, que seguro que te lo eliminará:

[url=https://www.eset.es/analisis-online/]~~[b]~~[color=Darknesred]Antivirus ONLINE aconsejado[/color][/b][/url]

saludos

ms, 1 de Mayo de 2007

drhyde · Mensaje por **drhyde** » 01 May 2007, 07:58

Es curioso, pensaba que ese archivo era una utilidad de la tarjeta de video (estoy casi seguro) pero la cuestión es que ahora que lo busco.... no lo encuentro. No está por ningún lado. (será por el modo a prueba de fallos??) el caso es que si busco en la carpeta señalada solo hay un archivo de texto y otra carpeta más, que a su vez contiene otro archivo de texto, y uno de ellos se llama setup (qué sospechoso)

Estoy pasando el antivirus online que me has sugerido (llevará su tiempo, 400 GB tardan en leerse, luego desinstalaré la utilidad a la que hacía referencia y volveré a buscar el archivo gameface.exe a ver donde se ha escondido.

Con respecto a los antivirus, ahora me detectan los dos el virus, pero el primero en dar la alarma fue el NAV. Le tengo mucho cariño (soy un sentimental :roll: ) y lo cierto es que el otro solo lo tengo porque venía con el ordenador y mientras me decidía por uno o por otro, como no me enlentecía nada...

El caso es que prescindiré de el.

Una vez escaneado con el antivirus online recomendado daré los resultados, y si encuentro el archivo de marras prometo mandarlo

Mensaje por **msc hotline sat** » 01 May 2007, 08:06

No, en modo seguro aun se ven a veces mas ficheros que en modo normal, pues los RootKits nos pueden ocultar procesos, ficheros y claves para que pasen desapercibidos.

Lo que puede ser es que esté oculto:

https://foros.zonavirus.com/viewtopic.php?f=5&t=13245

tenlo en cuenta

saludos

ms, 1 de Mayo de 2007

drhyde · Mensaje por **drhyde** » 01 May 2007, 08:11

pues lo tengo puesto para que se vea todo, lo he confidurado para que se vean las extensiones y los archivos de sistema, y nada de nada

no aparece

drhyde · Mensaje por **drhyde** » 01 May 2007, 08:24

pues nada!!!! :x

He pasado el antivirus recomendado a prueba de fallos, he borrado la linea que me indicabais del gameFace Messenger y nada, cada vez que arranco el ordenador me aparece de nuevo el maldito fichero temporal (en los temporales de windows) que el norton identifica como virus ECUP, pero que si no es en modo prueba de fallos no es capaz de borrar. Y que cuando lo borro en prueba de fallos vuelve a aparecer al rearrancar el ordenador.

Por cierto, el susodicho archivo gameface.exe no aparece, pero creo recordar que es una utilidad de la tarjeta de video (un messenger de ATI o algo así por el estilo) que instalé en un principio pero que al parecer no ha terminado de borrarse al desinstalarlo.

Me va a tocar formatear?? :(

Mensaje por **msc hotline sat** » 01 May 2007, 08:45

Es que esta clave hace referencia al messenger ???, bueno si no encuentra el fichero y ademas le parece que es un resto mal desinstalado, eliminela:

O4 - HKLM\..\Run: [GameFace Messenger] C:\Archivos de programa\GameFace Messenger\GameFace.exe

para ello recuerde: https://foros.zonavirus.com/viewtopic.php?f=2&t=45334

Y tras ello pruebe, una vez compruebe su eliminacion, vuelva a arrabcar otra vez en modo seguro con funciones de red e insiste con el AV ONLINE a ver si ahora sí que borra el dichoso ECUP, que no sea un temporal creado por esta clave ...

y nos cuenta el resultado, gracias

saludos

ms, 1 de Mayo de 2007

drhyde · Mensaje por **drhyde** » 01 May 2007, 19:35

así lo hice, arranqué en prueba de fallos, eliminé la clave señalada del registro, pasé el antivirus (que los únicos ficheros que detectaba eran los temporales que crea) y volví a arrancar y .......tachaaaaaaaan.....!!!!!!!!!!

Seguimos en las misma, vuelve a aparecer el dichoso virus (bueno, aparecen los temporales que crea, porque del original que lo hace todo ni rastro)

Mensaje por **msc hotline sat** » 01 May 2007, 20:48

A ver si lo tenemos en el RESTORE ...

Primero desactive la restauracion de sistema,:

Boton derecho sobre MIPC -> Propiedades -> RESTAURACION -> marcar la casilla de Desactivar la Restauracion de sistema

Aceptar y apagar el ordenador.

Arrancar en modo seguro y lanzar el AV, que asi podrá llegar al RESTORE, no sea que lo tenga allí y nos lo restaure, por mas que lo eliminemos.

Finalmente, una vez solucionado todo (si es el caso) vuelva a desmarcar la casilla de Restauracion para activarla

y nos cuenta el resultado, gracias

saludos

ms, 1 de Mayo de 2007

drhyde · Mensaje por **drhyde** » 01 May 2007, 21:17

el restaurar sistema lo tenía desactivado desde el inicio, así que eso tampoco es.

Me estoy empezando a plantear el formatear el disco. Mi pregunta es....

Si en modo a prueba de fallos (que parece que es cuando el virus no se reproduce) saco la información que quiero guardar,.... me estaré llevando el codigo del virus?

Mensaje por **msc hotline sat** » 02 May 2007, 07:42

Aunque no esté activo en memoria los ficheros siguen estando en el disco duro, y especialmente el ECUP se ha propagado en muchas carpetas, asi que cuidado con lo que se lleva, pues no serviria de nada si vuelve a copiarlos .

Vea lo que indica Symantec al respecto de este gusano:

[quote="Symantec"]
W32.Ecup

TECHNICAL DETAILS REMOVAL

Discovered: May 25, 2006

Updated: May 31, 2006 11:26:46 AM

Also Known As: W32/Generic.x!39379387 [McAfee]

Type: Worm

Systems Affected: Windows 2000, Windows 95, Windows 98, Windows Me, Windows NT, Windows XP

W32.Ecup is a worm that spreads through file-sharing networks.

Once executed, the worm copies itself as:

%Temp%\svchost.exe

The worm then copies itself as:

updated-fixed [MONTH]-[DAY].zip

updated-fixed [MONTH]-[DAY].rar

Setup.exe

Install.exe

_Run_Me_First.exe

in the following folders:

D:\Program files\emule\incoming

C:\Program files\emule\incoming

E:\Program files\emule\incoming

C:\Download

D:\Download

E:\Download

C:\T chargement

D:\T chargement

E:\T chargement

C:\Incoming

D:\Incoming

E:\Incoming

F:\Incoming

G:\Incoming

C:\Archivos de programa\emule\incoming

D:\Archivos de programa\emule\incoming

E:\Archivos de programa\emule\incoming

C:\Program Files\Kazaa Lite K++\My Shared Folder

D:\Program Files\Kazaa Lite K++\My Shared Folder

E:\Program Files\Kazaa Lite K++\My Shared Folder

C:\Program files\KMD\My Shared Folder

KD:\Program files\KMD\My Shared Folder

E:\Program files\KMD\My Shared Folder

:k(C:\Program files\KaZaA Lite\My Shared Folder

D:\Program files\KaZaA Lite\My Shared Folder

E:\Program files\KaZaA Lite\My Shared Folder

C:\Program files\Morpheus\My Shared Folder

D:\Program files\Morpheus\My Shared Folder

E:\Program files\Morpheus\My Shared Folder

C:\Program files\BearShare\Shared

D:\Program files\BearShare\Shared

E:\Program files\BearShare\Shared

C:\Program files\Edonkey2000\Incoming

D:\Program files\Edonkey2000\Incoming

E:\Program files\Edonkey2000\Incoming

C:\My Downloads

D:\My Downloads

E:\My Downloads

C:\My Shared Folder

D:\My Shared Folder

E:\My Shared Folder

C:\Program files\appleJuice\incoming

D:\Program files\appleJuice\incoming

E:\Program files\appleJuice\incoming

C:\Program files\Gnucleus\Downloads

D:\Program files\Gnucleus\Downloads

E:\Program files\Gnucleus\Downloads

C:\Program files\Grokster\My Grokster

D:\Program files\Grokster\My Grokster

E:\Program files\Grokster\My Grokster

C:\Program files\ICQ\shared files

D:\Program files\ICQ\shared files

E:\Program files\ICQ\shared files

C:\Program files\KaZaA\My Shared Folder

D:\Program files\KaZaA\My Shared Folder

E:\Program files\KaZaA\My Shared Folder

C:\Program files\LimeWire\Shared

D:\Program files\LimeWire\Shared

E:\Program files\LimeWire\Shared

C:\Program files\Overnet\incoming

D:\Program files\Overnet\incoming

E:\Program files\Overnet\incoming

C:\Program files\Shareaza\Downloads

D:\Program files\Shareaza\Downloads

E:\Program files\Shareaza\Downloads

C:\Program files\Swaptor\Download

D:\Program files\Swaptor\Download

E:\Program files\Swaptor\Download

C:\Program files\WinMX\My Shared Folder

D:\Program files\WinMX\My Shared Folder

E:\Program files\WinMX\My Shared Folder

C:\Program files\Tesla\Files

D:\Program files\Tesla\Files

E:\Program files\Tesla\Files

C:\Program files\XoloX\Downloads

D:\Program files\XoloX\Downloads

E:\Program files\XoloX\Downloads

C:\Program files\Rapigator\Share

D:\Program files\Rapigator\Share

E:\Program files\Rapigator\Share

This may result in some files being overwritten in the above folders.

The worm then creates the following registry entry so that it is executed every time Windows starts:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run"WindowsServicesStartup" = "%Temp%\svchost.exe 1"

The worm creates the file %CurrentFolder%\log.txt and opens it, displaying the following text:

PRE-INSTALL v1.07

(C) pUcE Software 2006

Pre-install has checked your config.

Everything is ok, you can now run the setup program

Enjoy!RecommendationsSymantec Security Response encourages all users and administrators to adhere to the following basic security "best practices":

Turn off and remove unneeded services. By default, many operating systems install auxiliary services that are not critical, such as an FTP server, telnet, and a Web server. These services are avenues of attack. If they are removed, blended threats have less avenues of attack and you have fewer services to maintain through patch updates.

If a blended threat exploits one or more network services, disable, or block access to, those services until a patch is applied.

Always keep your patch levels up-to-date, especially on computers that host public services and are accessible through the firewall, such as HTTP, FTP, mail, and DNS services (for example, all Windows-based computers should have the current Service Pack installed.). Additionally, please apply any security updates that are mentioned in this writeup, in trusted Security Bulletins, or on vendor Web sites.

Enforce a password policy. Complex passwords make it difficult to crack password files on compromised computers. This helps to prevent or limit damage when a computer is compromised.

Configure your email server to block or remove email that contains file attachments that are commonly used to spread viruses, such as .vbs, .bat, .exe, .pif and .scr files.

Isolate infected computers quickly to prevent further compromising your organization. Perform a forensic analysis and restore the computers using trusted media.

Train employees not to open attachments unless they are expecting them. Also, do not execute software that is downloaded from the Internet unless it has been scanned for viruses. Simply visiting a compromised Web site can cause infection if certain browser vulnerabilities are not patched.

Writeup By: Ka Chun Leung
[/quote]

pero vamos, lo que no ha de haber problema es en eliminarlo con cualquier antivirus , arrancando en la forma indicada...

Eso si, si tuviera una red, desconectar los demas ordenadores hasta limpiarelos todos individualmente, pues se propaga por la red a traves de archivos y carpetas compartidas: "W32.Ecup is a worm that spreads through file-sharing networks."

Si detecta alguno de estos ficheros con el gusano y nos lo envia, miraremos de implementar su eliminacion en nuestras utilidades, lo cual hasta ahora no ha sido necesario por hacerlo facilmente con la forma indicada, pero si a Vd se le resiste, antes de formatear ...

Si quiere enviarnos muestras de ello, recuerde:

https://foros.zonavirus.com/viewtopic.php?f=2&t=45334

saludos

ms, 2 de Mayo de 2007

drhyde · Mensaje por **drhyde** » 02 May 2007, 07:59

El norton eliminó automáticamente el fichero responsable de la masacre (por eso ni siquiera entiendo como leñe se propagó), pero ahora no tengo ningún fichero original. Si os sirve los temporales que crea y que se autocopia... esos no tengo problema con mandarlos.

La historia es que en el registro no hay forma de encontrar el responsable de que se cargue cada vez que inicio el ordenador, ni a prueba de fallos, ni elitrip, ni borrando la clave del registro que tenía svchost.exe 1, ni la línea sospechosa que no sabíamos de donde venía. Lo he intentado todo y no encuentro la solución. No entiendo por qué lo que para otros ha sido tan sencillo, para mi resulta tan complicado (no es el primer virus que entra, pero si está resultando el más molesto), y lo cierto es que no se lo que hacer

Mensaje por **msc hotline sat** » 02 May 2007, 08:17

No, claro :lol: , con el ELITRIIP no porque no lo hemos implementado...

Pues envianos este SVCHOST temporal que crea si lo tienes :

"Once executed, the worm copies itself as:

%Temp%\svchost.exe "

por supuesto, que no sea el de la carpeta de sistema ...

y si b ien dice que la clave de lanzamiento es:

"HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\"WindowsServicesStartup" = "%Temp%\svchost.exe 1" "

si dices que no la encUentras, quizas se trate de una variante, lo cual veremos al monitorizar la muestra que nos envies

[img]http://www.inklineglobal.com/adsales/ads/arrow.gif[/img] para ello recordar: https://foros.zonavirus.com/viewtopic.php?f=2&t=45334

saludos

ms, 2 de Mayo de 2007

drhyde · Mensaje por **drhyde** » 03 May 2007, 13:45

Tarde :x

Lo siento, pero ya eliminé esa entrada en el registro, y el fichero original que originó la entrada del virus fue eliminado automáticamente por el NAV2006 (por eso entre otras cosas no entiendo como se hizo residente). De modo que no tengo ninguna muestra que mandar.

De todos modos la impaciencia ha podido conmigo y he formateado (Bendito Acronis True Image).

De todos modos agradeceros la paciencia que habeis tenido conmigo y el esfuerzo prestado en intentar ayudarme.

La promxima vez que me infecte (que no será dentro de mucho por desgracia) intentaré mandaros el archivo original si no se borra accidentalmente. Un saludo

Mensaje por **msc hotline sat** » 03 May 2007, 14:02

Bueno, no siempre hace falta pues ya tenemos muchas muestras de los controlados hasta la fecha. Este como que no ha hecho falta hacer una utilidad por eliminarlo los antivirus normalmente, no la pediamos, pero ahora ibamos a hacerlo...

De todas formas hay otro forero en sus condiciones al que tambien hemos pedido dichas muestras, aunque le pudiera llamar de otra manera, pues este virus ECUP tambien se llama PUCE y KAPUCE

https://foros.zonavirus.com/necesito-ayudaporfavor-vt18256.html?highlight=

Ya habiendo eliminado el virus, damos el Tema por solucionado

Si nos necesita de nuevo ya sabe donde estamos

saludos

ms, 3 de Mayo de 2007