problema con un virus (SOLUCIONADO)

[ZORTON21]

Buenas tardes, me aparece en el ordenador : MSIME82.exe y MSFUN80.exe



Voy a MI PC/DISCO LOCAL C doble click y me aparece un cuadro para seleccionar con que programa quiero abrir



He pasado sl Spysboot y el ad-aware y nada.

[msc hotline sat]

Se trata de este gusano:



http://www.sophos.com/security/analyses/w32vbcyg.html


[quote="Sophos"]
W32/VB-CYG

Worm

Summary

Summary Description Recovery Advanced

Prevalence: low high

Name W32/VB-CYG

Type Worm



Affected operating systems Windows



Side effects Installs itself in the Registry



Aliases WORM_VB.CAY



Protection Download virus identity (IDE) file



Protection available since 26 January 2007 23:58:41 (GMT)

Protection history Updated -8 March 2007 13:37:33 (GMT)

Updated -13 February 2007 12:59:18 (GMT)

Updated -9 February 2007 14:56:52 (GMT)

Updated -30 January 2007 06:25:29 (GMT)

Published -26 January 2007 23:58:41 (GMT)



Detected by All versions of Sophos Anti-Virus

Latest protection included in our products from May 2007 (4.17)

More information on IDE files What are IDE files?

How to use IDE files

Get the latest IDE files





Description

Summary Description Recovery Advanced

This section helps you to understand how it behaves

W32/VB-CYG is a worm for the Windows platform.



W32/VB-CYG spreads via removable storage devices.



Recovery

Summary Description Recovery Advanced

This section tells you how to remove the threat.

Please follow the instructions for removing worms.



Advanced

Summary Description Recovery Advanced

This section contains the description and advanced technical information

W32/VB-CYG is a worm for the Windows platform.



W32/VB-CYG spreads via removable storage devices.



When first run W32/VB-CYG copies itself to \fun.xls.exe and creates the following files:



\autorun.inf

<Windows>\ufdata2000.log



These files can be deleted.



The worm may also create copies of itself as msime82.exe and msfun80.exe and create the following registry entries to run itself automatically on startup:



HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\

IMJPMIG8.2

msime82.exe



HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\

MsServer

msfun80.exe



The following registry entry is also set:



HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\ SHOWALL

CheckedValue

0


[/quote]

Envienos muestra de estos ficheros :



autorun.inf

algsrvs.exe

fun.xls.exe

msfun80.exe

msime82.exe





para ello recuerde: https://foros.zonavirus.com/viewtopic.php?f=2&t=45334



y tras analizarlos implementaremos el control y eliminacion y restauracion de claves modificadas en nuestras utilidades. de lo cual informaremos



saludos



ms, 12-04-2007

[ZORTON21]

Sólo he podido localizar 3 arhivos

autorun.inf

algsrvs.exe

fun.xls.exe





Los otros 2 no puedo



msfun8o.exe

msime82.exe

[msc hotline sat]

No te preocupes, los dos que te faltan, son copia del ultimo:


[quote]When first run W32/VB-CYG copies itself to \fun.xls.exe and creates the following files:



\autorun.inf

<Windows>\ufdata2000.log



These files can be deleted.



The worm may also create copies of itself as msime82.exe and msfun80.exe [/quote]

Mañana cuando volvamos al trabajo, los analizaremos e implementaremos su control y eliminacion en nuestras utilidades, al ser un gusano lo haremos en el ELITRIIP 3.45 que esperamos subir mañana mismo a esta web



saludos



ms, 12-04-2007

[ZORTON21]

He ido siguiendo estos pasos :



http://<INTERCEPTADO>



y el resultado ahí aparece.



____________________________________________________



INTERCEPTADO POR SITE ADVISOR POR SER PAGINA PELIGROSA





http://www.siteadvisor.com/sites/emulespana.net?suite=false&premium=false&client_ver=ie_2.4.6066.0&client_type=IEPlugin



NO ACCEDER A DICHA WEB !!!



____________________________________________________

[msc hotline sat]

SIGA NUESTRAS INDICACIONES Y NO ENTRE EN LA WEB QUE INDICABA, ESTA CONSIDERADA COMO PELIGROSA POR EL SITE ADVISOR !!!



saludos



ms, 13-04-2007

[msc hotline sat]

AL encontrar este Tema sin finalizar cuando buscaba Temas con MSFUN80.EXE, informo que este quedó controlado a partir del ELISTARA 14.00:



---v14.00-(18 de Mayo del 2007) (Muestras de (2)Vundo6(notify), DownLoader.ConHook "*****.DLL", BackDoor-CVT "WIN***32.DLL", (8)Swizzor(lop), NaviPromo(dropper), SpyRealtek "ALCXMNTR.EXE", Back/Afcore.F "MSXMNID.DLL" y DownLoader "LOADER.EXE")





ELISTARA:

http://www.zonavirus.com/descargas/elistara.asp



Los que lo usen, posteenos a continuacion el contenido de c:\infosat.txt para ver el resultado del proceso, gracias



saludos



ms, 4-06-2007



nota: y con esta informacion damos por solucionado el Tema y procedemos a cerrarlo. ms.