Otra vez un Virus? (SOLUCIONADO)

Reglas del Foro
Normas Basicas | Los Titulos, dicen mucho | No postear en paralelo | Continua en tu tema | Cierra tu tema, antes de abrir otro | No escribas en temas antiguos
Enlaces a web/mail/blog/Msn NO estan permitidos | Mensajes Privados | Informes de resultados | Antivirus Online
Cerrado
Avatar de Usuario
msc hotline sat
Mensajes: 93500
Registrado: 09 Mar 2004, 20:39
Ubicación: BARCELONA (ESPAÑA)
Contactar:
Contactar msc hotline sat

Re: Otra vez un Virus?

Mensaje por msc hotline sat » 20 Jul 2010, 06:12

Pues envianos tambien estos ficheros :



autorun.inf.zb

def.exe.zb

ejpgqn.exe.zb



está claro que se trata de un virus de los que se transmiten por pendrive, tras recibirlos lo controlaremos con el siguiente ELISTARA.



Y estos ficheros, asi renombrados, no son peligrosos, tranquilo, pero cuidado con los pendrive, que deben estar infectados.



Nosotros recomendamos vacunar con el ELIPEN ordenadores y pendrives, :







vacune todas sus unidades de disco y pendrive con el ELIPEN:



[b]ELIPEN.EXE[/b]

http://www.zonavirus.com/descargas/elipen.asp



Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso





Y no creo que lo tengas ya, pero si fuera el caso, añade .VIR a este fichero y envianoslo para analizar:



C:\WINDOWS\drivers\win.exe



saludos



ms, 20-7-2010
Arriba
geoda
Mensajes: 139
Registrado: 09 Abr 2009, 00:44

Re: Otra vez un Virus?

Mensaje por geoda » 20 Jul 2010, 06:41

Amigo ya les envie las muestras lo renombro pero sigue apareciendo



[img]http://i28.tinypic.com/1zb72n7.jpg[/img]



perdon vuelvo a mandar otra vez los archivos porque me aprarecio autorun.exe
Arriba
Avatar de Usuario
msc hotline sat
Mensajes: 93500
Registrado: 09 Mar 2004, 20:39
Ubicación: BARCELONA (ESPAÑA)
Contactar:
Contactar msc hotline sat

Re: Otra vez un Virus?

Mensaje por msc hotline sat » 20 Jul 2010, 07:43

Pues parece que te están atacando por varios frentes...



por el AUTORUN.INF , a través de pendrive, que parece ya estar controlado



por este AUTORUN.EXE que dices que te ha aparecido



y por este WIN.EXE que se resiste a ser eliminado





De entrada, aparte de enviarnoslo, arranca en modo seguro y añade .VIR al AUTORUN.EXE , y en dicho modo, prueba de volver a renombrar o ya borrar (porque ya lo tienes como WIN.EXE.VIR), el WIN.EXE dichoso que se regenera en C:\windows\drivers\ , a ver si ahora no se regenera, y, tras reiniciar, comprueba que siga igual, como .VIR pero sin que se haya regenerado el .EXE



Posiblemente este AUTORUN.EXE lo regenera, o se regeneran mituamente, protegiendose, por esto te decimos que lo hagas en MODO SEGURO, para que no estén en marcha ninguno de los dos.



Y nos cuentas el resultado.



Aparte, cuando recibamos las muestras, las analizaremos e informaremos



saludos



ms, 20-7-2010
Arriba
geoda
Mensajes: 139
Registrado: 09 Abr 2009, 00:44

Re: Otra vez un Virus?

Mensaje por geoda » 21 Jul 2010, 04:03

Amigo hice lo que me dijiste entre en modo seguro y lo renombre y se elimino cuando use el EliStartPage reinicie 5 veces y ya no aparece el archivo

ojala hayas recibido las muestras para poder analizarlos gracias

espero tu respuesta sobre los archivos y podemos cerrar el post





(20-7-2010 19:51:07 (GMT))

EliStartPage v21.41 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 20 de Julio del 2010)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\DRIVERS\WIN.EXE --> Eliminado Keylog-Spynet.F

C:\WINDOWS\Drivers\PLUGIN.DAT --> Eliminado (Fichero Complementario).

C:\WINDOWS\Drivers\WINL.DAT --> Eliminado (Fichero Complementario).

Entrada Eliminada [HKCU\...\Run] "WIN"="C:\WINDOWS\drivers\win.exe"

Entrada Eliminada [HKLM\...\Run] "WIN"="C:\WINDOWS\drivers\win.exe"

Entrada Eliminada [HKCU\...\Policies\Explorer\Run] "explorer"="C:\WINDOWS\drivers\win.exe"

Entrada Eliminada [HKLM\...\Policies\Explorer\Run] "explorer"="C:\WINDOWS\drivers\win.exe"

Eliminado , Installed Components "{T5TBB77L-4678-0MKC-421Q-14416031DYU6}"

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



(20-7-2010 19:57:16 (GMT))

EliStartPage v21.41 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 20 de Julio del 2010)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"

C:\WINDOWS\drivers\WIN.EXE.VIR --> Eliminado, Keylog-Spynet.F



Nº Total de Directorios: 7200

Nº Total de Ficheros: 75584

Nº de Ficheros Analizados: 16284

Nº de Ficheros Infectados: 1

Nº de Ficheros Limpiados: 1
Arriba
Avatar de Usuario
msc hotline sat
Mensajes: 93500
Registrado: 09 Mar 2004, 20:39
Ubicación: BARCELONA (ESPAÑA)
Contactar:
Contactar msc hotline sat

Re: Otra vez un Virus?

Mensaje por msc hotline sat » 21 Jul 2010, 06:06

Fabuloso !



Pues no me consta que qyer se recibiera nada con nick GEODA, lo revisaré hoy, pero de momento ya ha quedado solucionado, y solo queda analizar las muestras y proceder en consecuencia, de lo cual informaremos



saludos



ms, 21-7-2010
Arriba
Avatar de Usuario
msc hotline sat
Mensajes: 93500
Registrado: 09 Mar 2004, 20:39
Ubicación: BARCELONA (ESPAÑA)
Contactar:
Contactar msc hotline sat

Re: Otra vez un Virus?

Mensaje por msc hotline sat » 21 Jul 2010, 11:31

Con razon no entró ayer como GEODA, porque dijistre que tu nick era SATINFO (nombre que no se debe usar, pero ...)



[b][i]Amigoscomo dije en el foro les mando el archivo la contraseña es virus

estre es mi correo oficial pero mi nick es satinfo[/i][/b]



Sea como fuere, se procesaron las muestras (especialmente el MALWARE WIN.EXE) y se implementí su control y eliminacion en el ELISTARA 21.41, que ya hemos visto probaste satisfactoriamente.



En cambio los ficheros *.EXE.NP son de cuarentena, cifrados por el antivirus que los detectó, asi que ya los puedes borrar.



Pues ya dando por solucionado el Tema, procedemos a cerrarlo



Si nos necesitas de nuevo, ya sabes donde estamos



saludos



ms, 21-7-2010
Arriba
Cerrado

Volver a “Foro Virus - Cuentanos tu problema”