fun.xls.exe y otros (SOLUCIONADO)

[NTL]

El otro día una compañera me metió datos en mi pen drive con su ordenador. Al conectarlo al mío, el antivirus detectó el fun.xls.exe y me dio este mensaje:



11/05/2007 16:27:57 Eliminados X-D11E448958CC4\x E:\fun.xls.exe Generic VB.b



Parece que lo eliminó. Hoy he buscado información sobre este fun.xls.exe en el foro (gracias de nuevo por él) y he pasado el Elitriip, como recomendáis. Me ha detectado esto y me lo ha borrado:



Wed May 16 13:10:32 2007

EliTriIP v3.55 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\Archivos de programa\mobile PhoneTools\widcomm\Autorun.inf --> Eliminado, BackDoor.CMQ (inf)

C:\WINDOWS\select2.exe --> Eliminado, Malware(winsys)





He pasado el Elitriip al pen también y no detecta nada. ¿Puedo hacer algo más o ya está bien? Y, por cierto, ese select2.exe qué es exactamente, que he visto que a mucha gente del foro se lo ha detectado también.



Muchas gracias por todo

[lucl]

Si ya el elitriip no te detecta nada es que estas limpio. Ademas en caso de archivo dudoso te habria pedido muestra. Y como pasaste elitriip al pc y al pendrive, creo que todo limpio. Saludos.

[NTL]

Bueno, cuando me salió el mensaje de aviso del antivirus me salió también un mensaje de aviso del Elistara (que lo ejecuté para analizar el pen) diciendo que mandara un archivo en C:/Muestras a una dirección de mail, pero como ya lo había eliminado el antivirus de todas formas...

[msc hotline sat]

Mejor envianos los ficheros que tengas en la carpeta C:\muestras\ , pues si persisten allí es que nuestras utilidades aun no los controlan, y aunque estén "aparcados" conviene que los conozcamos para controlarlos totalmente



Saber que la carpeta C:\muestras es una cuarentena, para poder enviarnos muestras para analizar, que posteriormente deben ser detectados y eliminados con las siguientes versiones. Si algo queda allí es que no está totalmente controlado y se debe enviar para analizar.



y se recuerda:



->[b] Para ello recordar[/b]: https://foros.zonavirus.com/viewtopic.php?f=2&t=45334



saludos



ms, 16-05-2007

[NTL]

Acabo de enviarlo como me habéis dicho. No lo había enviado antes porque pensaba que era cosa de mis antivirus. Lo raro es que el mensaje de eliminación me lo dio el antivirus, pero creo que fue el Elistara el que lo eliminó realmente. Muchas gracias :)

[msc hotline sat]

Si, puede que el ELISTARA lo quitara de circulacion, moviendolo a cuarentena, pero hasta que lo lo detecte allí (sin borrarlo manualmente) y lo borre, no estará totalmente controlado



Tan pronto como lo recibamos, lo analizaremos y controlaremos



saludos



ms, 16-05-2007

[msc hotline sat]

Pues a la vista de que el AUTORUN.INF lanza el FUN.XLS.EXE, mire de enviarnos muestra de dicho fichero, pues es el supuesto gusano a controlar



->[b] Para ello recordar[/b]: https://foros.zonavirus.com/viewtopic.php?f=2&t=45334



a la vista del mismo, procederemos en consecuencia



saludos



ms, 16-05-2007

[NTL]

¿Pero cómo mando el fun.xls.exe si no está en ningún sitio? me lo borró el antivirus. Por cierto, acabo de pasar el AVG antispyware y me detecta el archivo autorun.inf de la carpeta de Muestras (el archivo que mandé) como troyano de peligrosidad alta. ¿Lo borro a través del AVG?

[NTL]

Acabo de buscar en mi ordenador el fun.xls.exe pero no encuentra nada, así que supongo que no está. ¿podría eliminar los archivos de la carpeta Muestras con el AVG?

[NTL]

Por cierteo, se me olvidó decirlo, el AVG los detecta como Trojan.Agent.ao (me detecta el autorun.inf y el .rar en el que lo comprimí para enviarlo).

[msc hotline sat]

Pues que pena, pero igual lo tienes en algun pendrive...



Recuerda que puede estar oculto...



Pero con cuidado introduce los pendrive pulsando SHIFT y con un Inicio-Buscar mira si lo encuentras y nos lo envias.





Aparte para las demas muestras, acabo de subir nueva version del ELISTARA, pruebala.



saludos



ms, 16-05-2007

[NTL]

¿Me puedes decir el enlace para el Elistara nuevo?Es que no lo encuentro :oops:

[msc hotline sat]

Siempre es el mismo, no cambia. Lo que cambia es la utilidad que se descarga, pero no el enlace:





ELISTARA:

http://www.zonavirus.com/descargas/elistara.asp



Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso





saludos



ms, 16-05-2007

[NTL]

He pasado el ElistarA y no me detecta nada. ¿Puedo eliminar el contenido de la carpeta Muestras con el AVG antispyware?

[msc hotline sat]

Dime los ficheros que hay en esta carpeta, porque igual no es con el ELISTARA y tambien puede ser que el AVG no los eliminara, porque en esta carpeta son sospechosos, es como un encarcelamiento preventivo pendiente de juicio, pero igual no se han de eliminar sino de restaurra a su sitio inicial.



A la vista de lo que tienes alli, obraremos en consecuencia



saludos



ms, 16-05-2007

[NTL]

Tengo en la carpeta los siguientes archivos: "Autorun.inf . (E)" y "Autorun.inf", este último en .rar (lo creé yo para mandarlo)

[NTL]

El "Autorun.inf (E)" pone que es un Archivo E y que ocupa 1 kb, por si sirve.

[msc hotline sat]

No, es un archivo encontrado en la exploracion de E:, posiblemente con esta letra tenga Vd la unidad de USB, pues claro, inserte el Pendrive en la forma indicada y busque alli lo que haya



recuerde:



https://foros.zonavirus.com/viewtopic.php?f=5&t=13245



saludos



ms, 16-05-2007

[NTL]

He metido el pen y nada, he buscado en él y no encuentra nada y le he pasado el elistar y tampoco encuentra nada. ¿No puedo borrar lo de Muestras con el AVG y ya está? Es que me da mal rollo tenerlo ahí :D

[msc hotline sat]

Ningun daño podian hacerle, pero borrelos, no son estos los ficheros que necesitabamos ahora!!!



Pero nos hemos quedado con las ganas, para poder hacer limpieza a fondo una vez analizada la muestra del FUN.XLS.EXE , pero otra vez será...



Y tras reiniciar, diganos si persiste alguna anomalia o no, para proceder en consecuencia



saludos



ms, 17-05-2007

[NTL]

Ya los borré con el AVG. Analicé también un disco duro externo que tengo y tampoco encontró nada, siento no haber podido ayudar para que si alguien más lo tiene lo solucione. Muchísimas gracias de nuevo por el foro :D

[msc hotline sat]

Vamos a subir nuevo ELISTARA que controla las muestras enviadas por asociados a SATINFO



Espero que controlen tambien este, lastima que ya lo haya borrado porque hubiera servido para comprobacion de funcionamiento, pero parece que no estamos de suerte contigo !



En cualquier caso, solucionado el problema, procedemos a cerrar el Tema



saludos



ms, 17-05-2007

[fabri]

Hola... Como veran soy nuevo y quiero hacerles una consulta yo tambien tengo problemas con ese tal virus llamado fun.xls.exe

A la hora de analizarlo con el elistara lo borra todo perofecto lo paso por los dos discos duros y el otro extraible pero lo que me queda es que al hacer clik derecho me queda marcado en negro como primera accion la palabra ''Auto'' (en negritas) Cada vez que hago doble clik sobre algunas de las unidades de disco se me abre en una ventana nueva y todos los discos vuelven a estar infectados.

Por mas que analice con el elistara y los borre todavia queda esa palabra auto en negrita.

Yo lo que quiero hacer es que no me aparezca otra vez esa palabra porque sino cada vez que haga clik sobre alguno de los discos se me va a infectar de vuelta:



Pongo dos imgs para ver si los ayuda:



http://img403.imageshack.us/img403/2618/auto1kk6.png



http://img406.imageshack.us/img406/7067/auto2or2.png





Espero que me puedan ayudar.

Gracias desde ya.

Salu2

:)

[msc hotline sat]

Este virus es de los que infecta los Pen drives de manera que cuando se introducen en un port USB, ejecutan un AUTORUN.INF malicioso que lanza el virus escondido en dicho pendrive, infectando al disco duro, y viceversa, con un disco duro infectado por dicho virus, cualquier pendrive que se inserte será infectado, y propagará el virus a otros ordenadores.



Lo tenía claro ???



Si no es asi, es posible que por culpa de tener algun pendrive infectado, está reproduciendo el virus.



Saque cualquier pendrive del ordenador y si está en red con otro desconecte el cable.



Pruebe el actual ELISTARA 14.00 Y explore las unidades de disco duro.



Luego, si tiene pendrives, cuidado, cuando los vaya a insertar para examinar su inidad, hagalo pulsando SHIFT cuando los conecta, para que no se ejecute el AUTORUN (igual que en un CDROM), y examine dicha unidad , y asi todos los pendrives.



Y si tiene mas ordenadores, proceda igual que con este, y cuando los tenga todos limpios, compruebe que por separado ya no dan problemas y los conecta de nuevo.



Es que si no se tiene en cuenta como trabaja este virus, se hace mas dificil eliminarlo.



saludos



ms, 18-05-2007

[fabri]

GRacias por la ayuda pero me quedaron estas dudas.



Entonces se podria decir que nunca voy a poder salvar el pendrive de la infeccion???????????

100pre voy a tener que mantener shift????????

Nunca va a desaparecer esa palabra ''Auto'' y voy a tener que hacer 100pre click derecho para abrir algun disco??????



Bueno espero respuestas

Salu2

[msc hotline sat]

Lea de nuevo...



Una vez limpio el ordenador, para introducir un pendrive sin infectar el ordenador se debe hacer pulsando simultaneamente SHIFT y a continuacion explorar dicha unidad con el ELISTARA, y si tiene virus se lo quitará !



Venga que no faltaría mas que nos tuvieramos que quedar con él :roll:



saludos



ms, 18-05-2007

[fabri]

OK, ok.

Muchas Gracias.

[msc hotline sat]

Cuando lo haya hecho, posteenos el contenido de C:\infosat.txt para ver el resultado del proceso, gracias



saludos



ms, 18-05-2007

[fabri]

Problema solucionado.



Acá les dejo el InfoSat.txt para el que quiera chequearlo.



http://www.badongo.com/file/3104178



Gracias por la ayuda.

Salu2

:)

[msc hotline sat]

Para otra ocasion tenga en cuenta:



https://foros.zonavirus.com/viewtopic.php?f=1&t=17488



y dando por solucionado el Tema, procedemos a cerrarlo



Si nos necesita de nuevo, ya sabe donde estamos



saludos



ms, 21-05-2007