lilith.com (SOLUCIONADO)

[eescamillar]

Buenas tardes a todos:



Ultimamente en 2 plumas usb que tengo me aprecen varios archivos "jpg" (8 o 9 aproximadamente) y un archivo que se llama lilith.com, ademas de un archivo que se llama autorun.inf que tiene estas lineas

open=.\lilith.com

shell\1\=Open

shell\1\Command=.\lilith.com

shell\2\=Browser

shell\2\Command=.\lilith.com

shellexecute=.\lilith.com



trato de eliminar estos archivos y despues de unos cuantos segundos se vuelven a crear automaticamente todos los archivos. En mis discos duros (C y E) tambien aparece el archivo lilith.com y del mismo modo, cada que lo elimino vuelve a aparecer.



Ya trate de eliminarlo con el antivirus panda, ejecute elistara en modo a prueba de fallos y si lo reconoce pero no me lo elimina.



Adicional a esto no puedo abrir el registro de la maquina y el administrador de tareas me lo muestra des habilitado.



Anexo el contenido del archivo infosat



Fri Mar 28 16:03:19 2008

EliStartPage v15.93 (c)2008 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Detectado AUTORUN.INF en la Unidad (F)

open=.\lilith.com

Si Desconoce la Aplicación, por favor envienosla

acompañada del AUTORUN.INF a "virus@satinfo.es". Gracias.

Detectado AUTORUN.INF en la Unidad (J)

open=.\lilith.com

Si Desconoce la Aplicación, por favor envienosla

acompañada del AUTORUN.INF a "virus@satinfo.es". Gracias.





p.d. tambien ya ejecute elipen pero estos archivos siguen estando ahi, no se si estoy haciendo algo mal.



Saludos

[msc hotline sat]

Pues claro, es propio de los virus de pendrive, si bien gracias al ELIPEN ahora ya no lo propagas, pero debemos controlar todo lo que ha hecho, creado y modificado para restaurarlo.



Para ello envianos el indicado fichero [b][i]lilith.com[/i][/b] y el AUTORUN.* para analizar, y tras ello implementaremos su control y eliminacion en nuestras utilidades, de lo cual informaremos:





[b]¿Como enviar las muestras a zonavirus? - Para ello recordar[/b]:

https://foros.zonavirus.com/viewtopic.php?f=5&t=14253



saludos



ms, 29-03-2008





NOTA: Por lo visto parece ser una variante del ONLINE GAMES, puede probar el ELISTARA por si ya lo controlara:


[quote="para DESCARGAR el ELISTARA, msc"] http://www.zonavirus.com/descargas/elistara.asp



Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso [/quote] ms.

[eescamillar]

Anexo el contendio del archivo infostat.txt





Fri Mar 28 16:03:19 2008

EliStartPage v15.93 (c)2008 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Detectado AUTORUN.INF en la Unidad (F)

open=.\lilith.com

Si Desconoce la Aplicación, por favor envienosla

acompañada del AUTORUN.INF a "virus@satinfo.es". Gracias.

Detectado AUTORUN.INF en la Unidad (J)

open=.\lilith.com

Si Desconoce la Aplicación, por favor envienosla

acompañada del AUTORUN.INF a "virus@satinfo.es". Gracias.



Fri Mar 28 16:04:00 2008

EliStartPage v15.93 (c)2008 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad F:\



Nº Total de Directorios: 0

Nº Total de Ficheros: 12

Nº de Ficheros Analizados: 12

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



Fri Mar 28 16:04:10 2008

EliStartPage v15.93 (c)2008 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad J:\



Nº Total de Directorios: 0

Nº Total de Ficheros: 13

Nº de Ficheros Analizados: 12

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



Fri Mar 28 16:04:17 2008

EliStartPage v15.93 (c)2008 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\



Nº Total de Directorios: 19768

Nº Total de Ficheros: 334517

Nº de Ficheros Analizados: 47155

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

Exploración Detenida por el Usuario.



Fri Mar 28 16:27:14 2008

EliStartPage v15.93 (c)2008 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad F:\



Nº Total de Directorios: 0

Nº Total de Ficheros: 12

Nº de Ficheros Analizados: 12

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



Fri Mar 28 16:27:18 2008

EliStartPage v15.93 (c)2008 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad J:\



Nº Total de Directorios: 0

Nº Total de Ficheros: 12

Nº de Ficheros Analizados: 12

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



Fri Mar 28 16:27:22 2008

EliStartPage v15.93 (c)2008 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad E:\



Nº Total de Directorios: 57

Nº Total de Ficheros: 2372

Nº de Ficheros Analizados: 9

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

Exploración Detenida por el Usuario.



Fri Mar 28 16:33:11 2008

EliStartPage v15.93 (c)2008 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Detectado AUTORUN.INF en la Unidad (F)

open=.\lilith.com

Si Desconoce la Aplicación, por favor envienosla

acompañada del AUTORUN.INF a "virus@satinfo.es". Gracias.

Detectado AUTORUN.INF en la Unidad (J)

open=.\lilith.com

Si Desconoce la Aplicación, por favor envienosla

acompañada del AUTORUN.INF a "virus@satinfo.es". Gracias.



Fri Mar 28 16:34:33 2008

EliStartPage v15.93 (c)2008 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad F:\



Nº Total de Directorios: 0

Nº Total de Ficheros: 12

Nº de Ficheros Analizados: 12

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



Fri Mar 28 16:34:37 2008

EliStartPage v15.93 (c)2008 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad J:\



Nº Total de Directorios: 0

Nº Total de Ficheros: 12

Nº de Ficheros Analizados: 12

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



Fri Mar 28 17:05:34 2008

EliPen v1.3 (c)2007 S.G.H. / Satinfo S.L.

------------------------------------------



Detectado F:\Autorun.inf

OPEN=.\LILITH.COM

F:\Autorun.inf -> Renombrado a .OLD

Unidad F:\ Protegida



Detectado J:\Autorun.inf

OPEN=.\LILITH.COM

J:\Autorun.inf -> Renombrado a .OLD

Unidad J:\ Protegida



Error Creando Carpeta.

Unidad E:\ No se Pudo Proteger



Error Creando Carpeta.

Unidad C:\ No se Pudo Proteger



Fri Mar 28 17:08:47 2008

EliBagle v11.20 (c)2008 S.G.H. / Satinfo S.L.

----------------------------------------------

Lista de Acciones (por Acción Directa):



Fri Mar 28 17:08:50 2008

EliBagle v11.20 (c)2008 S.G.H. / Satinfo S.L.

----------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad F:\



Nº Total de Directorios: 1

Nº Total de Ficheros: 14

Nº de Ficheros Analizados: 11

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



Fri Mar 28 17:08:58 2008

EliBagle v11.20 (c)2008 S.G.H. / Satinfo S.L.

----------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad J:\



Nº Total de Directorios: 1

Nº Total de Ficheros: 14

Nº de Ficheros Analizados: 11

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



Fri Mar 28 17:09:01 2008

EliBagle v11.20 (c)2008 S.G.H. / Satinfo S.L.

----------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\



Nº Total de Directorios: 149

Nº Total de Ficheros: 3299

Nº de Ficheros Analizados: 117

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

Exploración Detenida por el Usuario.



Fri Mar 28 17:31:06 2008

EliBagle v11.20 (c)2008 S.G.H. / Satinfo S.L.

----------------------------------------------

Lista de Acciones (por Acción Directa):



Fri Mar 28 17:31:27 2008

EliBagle v11.20 (c)2008 S.G.H. / Satinfo S.L.

----------------------------------------------

Lista de Acciones (por Acción Directa):



Mon Mar 31 10:01:49 2008

EliStartPage v15.94 (c)2008 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Mon Mar 31 10:02:15 2008

EliStartPage v15.94 (c)2008 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad J:\



Nº Total de Directorios: 8

Nº Total de Ficheros: 540

Nº de Ficheros Analizados: 11

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



Mon Mar 31 10:02:23 2008

EliStartPage v15.94 (c)2008 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad F:\



Nº Total de Directorios: 1

Nº Total de Ficheros: 14

Nº de Ficheros Analizados: 11

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



Mon Mar 31 10:07:59 2008

EliStartPage v15.94 (c)2008 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Mon Mar 31 10:08:15 2008

EliStartPage v15.94 (c)2008 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\respaldo_total\Respaldos\Respaldo Saulo\Resp. Cartogra4\DESTRUCTOR\Redes\TimbuktuPro\TB2START.EXE --> Eliminado, Puper-Isa

C:\respaldo_total\Respaldos\Respaldo Saulo\Resp. Lap Top MRizo\SABINA\Joaquin Sabina.MP3\AUTORUN.EXE --> Eliminado, Spy-CmdLineExt



Nº Total de Directorios: 35722

Nº Total de Ficheros: 452643

Nº de Ficheros Analizados: 59417

Nº de Ficheros Infectados: 2

Nº de Ficheros Limpiados: 2



Mon Mar 31 10:38:38 2008

EliStartPage v15.94 (c)2008 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad D:\



Nº Total de Directorios: 0

Nº Total de Ficheros: 0

Nº de Ficheros Analizados: 0

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



Mon Mar 31 10:38:42 2008

EliStartPage v15.94 (c)2008 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad E:\

E:\Archivos de programa\Adobe\Adobe Photoshop CS3\MATLAB\PSTOOLBOX.HTML --> Eliminado, MalWare.Celular

E:\Archivos de programa\ArcGIS\Metadata\ISOWizard\ISOEDITCONTACTS.EXE --> Eliminado, DownLoader.TP

E:\Archivos de programa\Archivos comunes\Autodesk Shared\IEPCXWR80.DLL --> Eliminado, Puper-Isf

E:\Archivos de programa\Microsoft Office\Office12\MSPJEVTS.DLL --> Eliminado, RemoteAdmin(lmiinit)

E:\Archivos de programa\Quest Software\PVCS.DLL --> Eliminado, Spy.Delf (BHO)

E:\Archivos de programa\Quest Software\Toad for Oracle\PVCS.DLL --> Eliminado, Spy.Delf (BHO)



Nº Total de Directorios: 26175

Nº Total de Ficheros: 251913

Nº de Ficheros Analizados: 54687

Nº de Ficheros Infectados: 6

Nº de Ficheros Limpiados: 6



Mon Mar 31 11:23:37 2008

EliStartPage v15.94 (c)2008 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad F:\



Nº Total de Directorios: 1

Nº Total de Ficheros: 14

Nº de Ficheros Analizados: 11

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



Mon Mar 31 11:23:40 2008

EliStartPage v15.94 (c)2008 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad J:\



Nº Total de Directorios: 8

Nº Total de Ficheros: 540

Nº de Ficheros Analizados: 11

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

[eescamillar]

Solo para informar que ejecute la utileria elitriip y me detecto el archivo csrs.exe dentro de windows\system32, lo eliminó y ya quedo solucionado el problema.



Muchas gracias por su ayuda y ya se puede cerrar este tema.

[flacoroo]

que bien que ya este resuelto tu problema solo te pedimos qu nos envies las muestras que te pide los programas si es que no lo haz enviado, no se te olvide que debes enviarlos comprimidos y con la contrasela virus a zonavirus@satinfo.es como asunto tu nick de esta sala:



Detectado AUTORUN.INF en la Unidad (F)

open=.\lilith.com



PD: cerraremos el post despues que nos menciones si ya enviastes los archivos que se te pide....

[msc hotline sat]

Y tras probar el ELITRIIP no vemos que nos hayas posteado el infosat.txt correspondiente, y es necesario, pues igual tienes aparcado el probema del csrs.exe pero no totalmente eliminado, lo cual veremos en dicho informe.



saludos



ms, 1-04-2008



NOTA: Y envianos este fichero lilith.com que aunque oculto y demas, encontraras en tgus pendrives infectados





[b]¿Como enviar las muestras a zonavirus? - Para ello recordar[/b]:

https://foros.zonavirus.com/viewtopic.php?f=5&t=14253







saludos



ms, 1-04-2008

[msc hotline sat]

Recibido el LILITH.COM para analizar, hemos implementado su control y eliminacion en el ELISTARA 15.96 de hoy, que podrás descargar para evaluar a partir de las 19 h de hoy



Como sea que es virus que se propaga por pendrive, recomendamos vacunes ti ordenador y unidades pendrive con el ELIPEN. para evitar la propagacion :mrgreen: de este tipo e virus.



ELIPEN.EXE

http://www.zonavirus.com/descargas/elipen.asp



saludos



ms, 1-04-2008

[heydread]

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\Archivos de programa\On-line Help Console\INFOVIEW.EXE --> Infectado, Spy.Delf (BHO)

C:\WINDOWS\NIRCMD.EXE --> Infectado, Tool-NirCmd

C:\WINDOWS\Downloaded Program Files\F3INITIALSETUP1.0.1.0.INF --> Infectado, MyWebSearch(inf)

C:\WINDOWS\system32\CMDLINEEXT03.DLL --> Infectado, Spy-CmdLineExt

C:\WINDOWS\system32\CSRS.EXE --> Infectado, AutoRun.lilith

C:\WINDOWS\system32\JAVAMACHINE.EXE --> Infectado, AutoRun.lilith

C:\WINDOWS\system32\Tools\COUNTER.EXE --> Infectado, Restart

C:\WINDOWS\system32\Tools\RESTART.EXE --> Infectado, Restart

C:\WINDOWS\winsys\SVCHOSL.EXE --> Infectado, AutoRun.lilith



Nº Total de Directorios: 2741

Nº Total de Ficheros: 50987

Nº de Ficheros Analizados: 15464

Nº de Ficheros Infectados: 9

Nº de Ficheros Limpiados: 0

[lucl]

Te falta la mitad del log y debes activar la casilla de eliminar ficheros automaticamente si quiers que te quiten lo virus, repite analisis y peganos el log completo, saludos

[msc hotline sat]

Y has posteado en un Tema de hace casi 2 meses !



recuerda:



https://foros.zonavirus.com/viewtopic.php?f=1&t=17382



Este Tema se cierra en consecuencia.







Abre un nuevo Tema si necesitas ayuda, y tal como indica lucl, no desmarques la casilla de eliminar automaticamente, o si lo haces, ACEPTA eliminar cuando te detecte estos infectados !



Y vacuna tu ordenador y los pendrives que tengas con el ELIPEN :


[quote="para DESCARGAR el ELIPEN, msc"]



http://www.zonavirus.com/descargas/elipen.asp



Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso [/quote]



SALUDOS



MS, 24-05-2008