DESESPERACIONSintomas de un virus, cual es? como lo elimino?

[jamiguel77]

buenas noches tengo unas pcs con virus y los sintomas son los siguientes:



1) en cada directorio hay un archivo llamado: Desktop_.ini

2) en alguna parte del disco duro, existe un archivo llamado GameSetup.exe

3) al tratar de entrar al regedit un 80% si no es que mas me lo cierra en cuanto quiero entrar al regedit, no se diga con el msconfig y con el taskbar,

4) le instalo ell winrar y como lo use, me dana el ejecutable y ya no funciona....

5) he tratado de instalar el norton 2007 y nada, otros antivirus y nada....



no se que hacer, estoy desesperado....

he corrido el elistara, y solo me dice que se removio el Alexa, pero de ahi en mas no detecta nada.....





Gracias!

[jamiguel77]

tuve un error al publicar una respuesta, por error le pique al boton de nuevo tema, por favor algun moderador que borre mi ultimo post, donde digo lo mismo que aqui.... GRACIAS





y al hacer un escaneo me sale con que elimina los arhcivos exe y el virus es: segun avast:

win32:FuJak-k o win32:wuke-B pero en archivos .htm .html (en apariencia el fujak infecta estos archivos) y en .exe (wuke)mmmmm nomas alcance a ver, eso....

Gracias espero alguna ayuda!

[msc hotline sat]

Ante todo aclarar que el ELISTARA es una utilidad complemento de los antivirus para deteccion y eliminacion de determinados troyanos, pero cada familia de malwares ha de tratarse apropiadamente, tras ser detectada por el antivirus correspondiente



En este caso, la descripcion del virus segun Symantec es:



http://www.symantec.com/enterprise/security_response/writeup.jsp?docid=2006-112912-5601-99&tabid=2



y visto que utiliza un AUTORUN.INF ejecutando un SETUP.EXE, la utilidad que controla de entrada este tipo de virus es el ELITRIIP:





ELITRIIP:

http://www.zonavirus.com/descargas/elitriip.asp



Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso







Pero debe tenerse en cuenta que el método indicado tiene la intencion de propagar el virus a traves de PENDRIVES, a los que copia este AUTORUN y el virus de manera que por solo insertarlo en un PC ya lo infecta, y estos infectaran los Pendrives que se inserten en él, para propagar el virus.



Por ello recordar testear y limpiar tambien todas las unidades Pendrive que se tengan !



Aparte, envienlos los siguientes ficheros para analizarlos y controlarlos



[DRIVE LETTER]\setup.exe

[NETWORK DRIVE LETTER]\GameSetup.exe

%System%\drivers\spoclsv.exe (fijarse que no es spoolsv.exe !)



Para ello recordar:



https://foros.zonavirus.com/viewtopic.php?f=2&t=45334 (posteado posteriormente... ms)



saludos



ms, 27-04-2007

[jamiguel77]

como nomralmente les llmamos memorias usb...

creo que por ahi me entro el virus a mi windows vista, de echo por un momento deshabilite mi windows firewall y zaz se filtro el virus, por cierto el servicio de SECURITY CENTER esta en off trato de ponerlo en ON y me sale que el servicio security center no pudo iniciarse, no se como arreglar ese problema, por otro lado, creo que el avast me controlo el virus, mas aun sin embargo estoy corriendo el elitrip, mas tarde les posteo el info.txt por otro lado, que recomendaciones me hace para desinfectar mi red de 6 pcs?





ahh otro sintoma del virus fue que la conexion de red la hace muy lenta y por eso los pings en ocasiones no responden, no se si sea logico mi conclusion a este punto, gracias!



por cierto les trate de mandar el archivo setup.exe y el autorun.inf los compacte en rar y no lo acepto la page como lo envio??? gracias

[msc hotline sat]

SE ME QUEDÓ EN EL TINTERO EL LINK DE COMO ENVIAR LAS MUESTRAS!



Recuerda que te pedimos:



DRIVE LETTER]\setup.exe

[NETWORK DRIVE LETTER]\GameSetup.exe

%System%\drivers\spoclsv.exe (fijarse que no es spoolsv.exe !)



y para ello recordar : https://foros.zonavirus.com/viewtopic.php?f=2&t=45334



Veras que los ZIP o RAR con password son encriptados de manera que los antivirus no los detectan. Asi estamos enviando muestras desde hace mas de 15 años cada dia a McAfee !



Si lo haces con el WINRAR es entrar en opciones Avanzadas



Logicamente ello hazlo con el antivirus desactivado o habiendo arrancado en modo seguro, para evitar detecciones desde tu propio antivirus. Luego una vez empaquetado con password, ya podrás arrancar normal y enviarlo adjunto a un e-mail



saludos



ms, 27-04-2007



nota: Y sí, pendrives o memorias USB. los sustitutos actuales de los disquetes, y la moda es ahora infectarlos y crear un AUTORUN.INF, como los de los CD, todo oculto y que sirva para propagar los virus...

[jamiguel77]

Thu Apr 26 14:55:20 2007

EliStartPage v13.85 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\WEB\RELATED.HTM --> Eliminado

No detectado Parche MS06-001 de Microsoft instalado. (WMF)

No detectado Parche MS06-070 de Microsoft instalado. (SServidor)

ALERTA. WindowsUpdate Incompleto.

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Thu Apr 26 14:56:31 2007

EliStartPage v13.85 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

Exploración Detenida por el Usuario.



Fri Apr 27 03:01:16 2007

EliTriIP v3.50 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Acción Directa):

No detectado Parche MS06-001 de Microsoft instalado. (WMF)

No detectado Parche MS06-070 de Microsoft instalado. (SServidor)

ALERTA. WindowsUpdate Incompleto.



Fri Apr 27 03:01:24 2007

EliTriIP v3.50 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\Archivos de programa\mobile PhoneTools\widcomm\Autorun.inf --> Eliminado, BackDoor.CMQ (inf)

[msc hotline sat]

Pues lanza un windowsupdate !!!:


[quote]No detectado Parche MS06-001 de Microsoft instalado. (WMF)

No detectado Parche MS06-070 de Microsoft instalado. (SServidor)

ALERTA. WindowsUpdate Incompleto. [/quote]

saludos



ms, 1 de Mayo de 2007