Virus "FOTO" que se propaga por floppy

Mazahua · Mensaje por **Mazahua** » 17 Oct 2006, 16:40

tengo un virus que se escribe automáticamente en los disquetes que inserto incluso si no los leo, el floppy está contantemente tratando de escribir aunque no tenga disquete. No tengo ni idea de dónde se aloja el archivo y los antivirus no lo detectan, si alguien lo conoce indíqueme la forma de eliminarlo, Gracias!

novatillo · Mensaje por **novatillo** » 17 Oct 2006, 22:15

Prueba elistara y elitriip y tras lanzarlos y reiniciar postea el contenido de C:/infosat.txt

ELISTARA

http://www.zonavirus.com/descargas/elistara.asp

ELITRIIP

http://www.zonavirus.com/descargas/elitriip.asp

Saludos.

Mensaje por **msc hotline sat** » 18 Oct 2006, 17:36

Para saber cual es, lanza este AV ONLINE:

[url=https://www.eset.es/analisis-online/]~~[b]~~[color=Darknesred]Antivirus ONLINE aconsejado[/color][/b][/url]

Nos lo cuentas y te ayudaremos

y si no detectara nada, dinos los ficheros que crea en A:

saludos

ms, 18-10-2006

Mazahua · Mensaje por **Mazahua** » 18 Oct 2006, 21:10

[quote="msc hotline sat"]Para saber cual es, lanza este AV ONLINE:

[url=https://www.eset.es/analisis-online/]~~[b]~~[color=Darknesred]Antivirus ONLINE aconsejado[/color][/b][/url]

Nos lo cuentas y te ayudaremos

y si no detectara nada, dinos los ficheros que crea en A:

saludos

ms, 18-10-2006[/quote]

[i]El AV ON LINE no detecta nada.

Este virus hace que el floppy escriba cada 10 segundos (haya o no haya disquete) un archivo de nombre "foto" sin extensión, el disquete queda infectado y al leerlo en otra máquina los archivos que hayamos guardado en dicho disquete se corrompen (cambian a formato html pero no se pueden leer con el explorador ni con ningún otro programa) y se infecta la máquina, o sea que el floppy empieza a tratar de escribir cada 10 segundos el archivo "foto". Si observamos el contenido del disquete a través de una ventana, el archivo "foto" cambia de tamaño de 36 KB a 0 KB cada diez segundos, justo cuando el floppy trata de escribir por si solo; si borramos el archivo "foto", en 10 segundos el floppy lo escribe de nuevo; si borramos el archivo "foto" y extraemos el disquete rápidamente, aparentemente se elimina del disquete pero el floppy continúa escribiendo cada 10 segundos haya o no disquete en su interior.

Espero que esta información ayude a encontrar la cura, espero sus comentarios, gracias y saludos![/i]

Mensaje por **msc hotline sat** » 19 Oct 2006, 17:13

Parece un especimen de propagacion por disquete, por lo qie la propagacion es muy pequeña y por ello no es conocido.

Posteenos log del HJT y lo veremos:

~~[b]~~

[color=yellow]HJT : (HiJackThis)[/color][/b]

[i]¿Como utilizar el Hijackthis ?[/i]

Lo primero que debemos hacer es descargarlo en nuestro ordenador y lócalo en una carpeta propia C:\HijackThis\

Ejecútalo y presiona el botón "~~[b]~~Do a system scan and save a logfile[/b]"; el programa realizará el escaneo e inmediatamente generará el Log, sólo te pedira el nombre del archivo y su ubicación, puedes simplemente guardarlo así como está.

Se abrirá el Bloc de Notas, copia todo el contenido y pégalo como respuesta de este Tema

· [url=http://www.zonavirus.com/descargas/trendmicro-hijackthis.asp]~~[b]~~Descargar Hijackthis[/b][/url]

Tras analizarlo, infornaremos

saludos

ms, 19-10-2006

Mensaje por **flacoroo** » 19 Oct 2006, 17:53

Posiblemente sea una variacion del virus ILourdes, aun asi actualiza tu antivirus, y reinicias tu compu en modo seguro y lo ejecutas sin que estes conectado al internet....no se te olvide pasar los programas antes mencionados el EListara y EliTriip...

nos dices como te fue....

Mensaje por **msc hotline sat** » 19 Oct 2006, 18:20

No exactamente, flacoroo, pues el Lourdes y su segunda version el Windang no usaban el nombre FOTO aunque copiaran en el disquete el virus:

http://www.vsantivirus.com/troj-windang-a.htm

y conste que lo tengo presente, especialmente cuando es de usuarios de mexico, como es el caso, aunque hemos tenido algun incidente en Peru, Venezuela y Colombia, y solo uno o dos en España !

de todas formas gracias, ya lo veremos cuando postee el log!

saludos

ms, 19-10-2006

Mazahua · Mensaje por **Mazahua** » 19 Oct 2006, 18:36

[quote="msc hotline sat"]Parece un especimen de propagacion por disquete, por lo qie la propagacion es muy pequeña y por ello no es conocido.

Posteenos log del HJT y lo veremos:

~~[b]~~

[color=yellow]HJT : (HiJackThis)[/color][/b]

[i]¿Como utilizar el Hijackthis ?[/i]

Lo primero que debemos hacer es descargarlo en nuestro ordenador y lócalo en una carpeta propia C:\HijackThis\

Ejecútalo y presiona el botón "~~[b]~~Do a system scan and save a logfile[/b]"; el programa realizará el escaneo e inmediatamente generará el Log, sólo te pedira el nombre del archivo y su ubicación, puedes simplemente guardarlo así como está.

Se abrirá el Bloc de Notas, copia todo el contenido y pégalo como respuesta de este Tema

· [url=http://www.zonavirus.com/descargas/trendmicro-hijackthis.asp]~~[b]~~Descargar Hijackthis[/b][/url]

Tras analizarlo, infornaremos

saludos

ms, 19-10-2006[/quote]

Tal como me han indicado transcribo el LOG del HJT, gracias por la ayuda, espero no saturar mucho su espacio con tanto texto, SALUDOS!

Logfile of HijackThis v1.99.1

Scan saved at 11:25:20 a.m., on 19/10/2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Logfile of HijackThis v1.99.1

Scan saved at 11:36:39 a.m., on 19/10/2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\hkcmd.exe

C:\Archivos de programa\Java\j2re1.4.2_03\bin\jusched.exe

C:\Archivos de programa\Analog Devices\SoundMAX\DrvLsnr.exe

C:\Archivos de programa\NetSupport School\Runplugin.exe

C:\windows\system32\spoolhsv.exe

C:\WINDOWS\system32\ctfmon.exe

C:\ARCHIV~1\NETSUP~1\client32.exe

C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7DEBUG\MDM.EXE

C:\Archivos de programa\Analog Devices\SoundMAX\SMAgent.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\system32\wuauclt.exe

C:\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://go.compaq.com/1Q00CDT/0C0A/bl8.asp

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.compaq.com/1Q00CDT/0C0A/bl7.asp

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://go.compaq.com/1Q00CDT/0C0A/bl8.asp

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Archivos de programa\Yahoo!\Companion\Installs\cpn\yt.dll

O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Archivos de programa\Yahoo!\Companion\Installs\cpn\yt.dll

O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe

O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe

O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Archivos de programa\Java\j2re1.4.2_03\bin\jusched.exe

O4 - HKLM\..\Run: [DrvLsnr] C:\Archivos de programa\Analog Devices\SoundMAX\DrvLsnr.exe

O4 - HKLM\..\Run: [srmclean] C:\Cpqs\Scom\srmclean.exe

O4 - HKLM\..\Run: [SetRefresh] C:\Archivos de programa\Compaq\SetRefresh\SetRefresh.exe

O4 - HKLM\..\Run: [NetSupport Plugin] C:\Archivos de programa\NetSupport School\Runplugin.exe

O4 - HKLM\..\Run: [SPOOLHSV] c:\windows\system32\spoolhsv.exe

O4 - HKLM\..\Run: [PRISMSVR.EXE] "C:\WINDOWS\system32\PRISMSVR.EXE" /APPLY

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\j2re1.4.2_03\bin\npjpi142_03.dll

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\j2re1.4.2_03\bin\npjpi142_03.dll

O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O16 - DPF: {1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} - http://ak.exe.imgfarm.com/images/nocache/funwebproducts/ei/SmileyCentralFWBInitialSetup1.0.0.15.cab

O16 - DPF: {7B297BFD-85E4-4092-B2AF-16A91B2EA103} (WScanCtl Class) - http://www3.ca.com/securityadvisor/virusinfo/webscan.cab

O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll

O23 - Service: Client32 - NetSupport Ltd - C:\ARCHIV~1\NETSUP~1\client32.exe

O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Archivos de programa\Analog Devices\SoundMAX\SMAgent.exe

Mensaje por **msc hotline sat** » 19 Oct 2006, 18:49

Elimine esta clave:

O16 - DPF: {1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} - http://ak.exe.imgfarm.com/images/nocache/funwebproducts/ei/SmileyCentralFWBIniti alSetup1.0.0.15.cab

y envienos muestras de estos dos ficheros:

C:\Archivos de programa\NetSupport School\Runplugin.exe

C:\windows\system32\spoolhsv.exe

Recuerde:

______________________________________

SOLICITUD DE MUESTRAS

Todas las muestras que pedimos al respecto, nos las puede enviar a zonavirus@satinfo.es anexadas a un mail en cuyo texto indique como referencia "REF <nick que usa en el foro>" y asi podremos informarle si hay alguna incidencia sobre el particular, gracias.

Tras recibirlas, las analizaremos e implementaremos su control y eliminación, si procede, en nuestras utilidades, de lo cual informaremos en el foro, como siempre.

____________________________________

ELIMINACION DE CLAVES CON HJT

Arranque en modo seguro y lance el HJT, marque la casilla de la izquierda de estas claves y eliminelas con FIX CHECKED

saludos

ms, 19-10-2006:

Mazahua · Mensaje por **Mazahua** » 20 Oct 2006, 22:35

[quote="msc hotline sat"]Elimine esta clave:

O16 - DPF: {1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} - http://ak.exe.imgfarm.com/images/nocache/funwebproducts/ei/SmileyCentralFWBIniti alSetup1.0.0.15.cab

y envienos muestras de estos dos ficheros:

C:\Archivos de programa\NetSupport School\Runplugin.exe

C:\windows\system32\spoolhsv.exe

Recuerde:

______________________________________

SOLICITUD DE MUESTRAS

Todas las muestras que pedimos al respecto, nos las puede enviar a zonavirus@satinfo.es anexadas a un mail en cuyo texto indique como referencia "REF <nick que usa en el foro>" y asi podremos informarle si hay alguna incidencia sobre el particular, gracias.

Tras recibirlas, las analizaremos e implementaremos su control y eliminación, si procede, en nuestras utilidades, de lo cual informaremos en el foro, como siempre.

____________________________________

ELIMINACION DE CLAVES CON HJT

Arranque en modo seguro y lance el HJT, marque la casilla de la izquierda de estas claves y eliminelas con FIX CHECKED

saludos

ms, 19-10-2006:[/quote]

Procedí a revisar los archivos que mencionan, el runplugin es del sistema de monitoreo de redes, inofensivo, pero el spoolhsv resultó ser el virus mismo, al eliminarlo de c:\windows\system32 y del registro, desapareció el problema, MIL GRACIAS!, ¿aún desean que les envíe las muestras? saludos!

Mensaje por **msc hotline sat** » 21 Oct 2006, 09:52

Sí, para poder analizarlas y conrtrolarlas con nuestras utilidades:

C:\Archivos de programa\NetSupport School\Runplugin.exe

C:\windows\system32\spoolhsv.exe

saludos

ms, 21-10-2006

Virus "FOTO" que se propaga por floppy

Virus "FOTO" que se propaga por floppy

virus "foto" que se porpaga por floppy

Virus "foto" que se porpaga por disquete