Virus heuristico sospechoso

[DAVICO]

Hola pase el Elistara la ultima version y aqui el LOG ya envie la muestra de CKVO.EXE


Thu Aug 07 08:03:56 2008
EliStartPage v16.84 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 1 de Agosto del 2008)
--------------------------------------------------

Código: Seleccionar todo

Lista de Acciones (por Acción Directa):
Por favor, envienos una muestra del fichero
C:\Muestras\CKVO.EXE.Muestra EliStartPage v16.84
 a "virus@satinfo.es".  Gracias.
C:\WINDOWS\SYSTEM32\CKVO.EXE --> Eliminado 
Entrada Eliminada [HKCU\...\Run] "kamsoft"="C:\WINDOWS\system32\ckvo.exe"
No detectado SP3 de Windows XP
Eliminadas las Paginas de Inicio y de Busqueda del IE
Eliminados Ficheros Temporales del IE
Detectado AUTORUN.INF en la Unidad (C)
 open=svdioajm.cmd
Si Desconoce la Aplicación, por favor envienosla
acompañada del AUTORUN.INF a "virus@satinfo.es". Gracias.
Detectado AUTORUN.INF en la Unidad (D)
 open=svdioajm.cmd
Si Desconoce la Aplicación, por favor envienosla
acompañada del AUTORUN.INF a "virus@satinfo.es". Gracias.
Detectado AUTORUN.INF en la Unidad (E)
 open=svdioajm.cmd
Si Desconoce la Aplicación, por favor envienosla
acompañada del AUTORUN.INF a "virus@satinfo.es". Gracias.

	  Thu Aug 07 08:06:09 2008
EliStartPage v16.84  (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 1 de Agosto del 2008)
--------------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\

Nº Total de Directorios:   2172
Nº Total de Ficheros:      24411
Nº de Ficheros Analizados: 8587
Nº de Ficheros Infectados: 0
Nº de Ficheros Limpiados:  0

	  Thu Aug 07 08:08:23 2008
EliStartPage v16.84  (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 1 de Agosto del 2008)
--------------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad D:\

Nº Total de Directorios:   312
Nº Total de Ficheros:      4547
Nº de Ficheros Analizados: 109
Nº de Ficheros Infectados: 0
Nº de Ficheros Limpiados:  0

	  Thu Aug 07 08:08:34 2008
EliStartPage v16.84  (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 1 de Agosto del 2008)
--------------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad E:\

Nº Total de Directorios:   363
Nº Total de Ficheros:      5504
Nº de Ficheros Analizados: 981
Nº de Ficheros Infectados: 0
Nº de Ficheros Limpiados:  0

Como ubico el autorun.inf? bueno pero este virus no solo esta residente en esta pc estoy en un cyber donde trabajo se ha propagado, bueno espero ayuda pronta hasta luego... gracias anticipadamente

[lucl]

Te dice

Detectado AUTORUN.INF en la Unidad (E)
open=svdioajm.cmd

si lo desconoces debes enviárnoslo para su análisis sigue las instrucciones del link viewtopic.php?f=2&t=45334

pero previamente vacuna tus pcs con elipen

http://www.zonavirus.com/descargas/elipen.asp

saludos

[msc hotline sat]

Y a lo correctamente sugerido por lucl, añado que vacunes con el ELIPEN no solo el PC sino todos tus pendrives !!! (incluida tarjeta de máquina de fotos digital...)



saludos



ms, 7 de Agosto de 2008

[DAVICO]

Ya envie ayer una muestra ahorita acabo de mandar otras 2 muestras mas de otra pc del mismo cyber aqui mando el log:

Fri Aug 08 11:51:33 2008
EliStartPage v16.84 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 1 de Agosto del 2008)
--------------------------------------------------

Código: Seleccionar todo

Lista de Acciones (por Acción Directa):
Eliminada Carpeta "%WinDir%\PeerNet"
No detectado SP3 de Windows XP
Eliminadas las Paginas de Inicio y de Busqueda del IE
Eliminados Ficheros Temporales del IE
Detectado AUTORUN.INF en la Unidad (D)
 open=tyktjfww.exe
Si Desconoce la Aplicación, por favor envienosla
acompañada del AUTORUN.INF a "virus@satinfo.es". Gracias.
Detectado AUTORUN.INF en la Unidad (G)
 open=tyktjfww.exe
Si Desconoce la Aplicación, por favor envienosla
acompañada del AUTORUN.INF a "virus@satinfo.es". Gracias.

	  Fri Aug 08 11:51:59 2008
EliStartPage v16.84  (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 1 de Agosto del 2008)
--------------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\

Nº Total de Directorios:   1085
Nº Total de Ficheros:      10426
Nº de Ficheros Analizados: 4758
Nº de Ficheros Infectados: 0
Nº de Ficheros Limpiados:  0

	  Fri Aug 08 11:53:05 2008
EliStartPage v16.84  (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 1 de Agosto del 2008)
--------------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad D:\
D:\DOTA EN ESPAÑOL\Warcraft III\W3BATTLE_120C.EXE --> Eliminado, P2PAdware.A

Nº Total de Directorios:   635
Nº Total de Ficheros:      15619
Nº de Ficheros Analizados: 421
Nº de Ficheros Infectados: 1
Nº de Ficheros Limpiados:  1

	  Fri Aug 08 11:53:34 2008
EliStartPage v16.84  (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 1 de Agosto del 2008)
--------------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad E:\
E:\install ger\utilitarios 2008\Firefox\INSTALL.EXE --> Eliminado, SystemPoser

Nº Total de Directorios:   307
Nº Total de Ficheros:      5024
Nº de Ficheros Analizados: 759
Nº de Ficheros Infectados: 1
Nº de Ficheros Limpiados:  1

	  Fri Aug 08 11:54:02 2008
EliStartPage v16.84  (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 1 de Agosto del 2008)
--------------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad F:\

Nº Total de Directorios:   3
Nº Total de Ficheros:      1634
Nº de Ficheros Analizados: 53
Nº de Ficheros Infectados: 0
Nº de Ficheros Limpiados:  0
Exploración Detenida por el Usuario.

	  Fri Aug 08 11:54:21 2008
EliStartPage v16.84  (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 1 de Agosto del 2008)
--------------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad G:\

Nº Total de Directorios:   3
Nº Total de Ficheros:      33
Nº de Ficheros Analizados: 10
Nº de Ficheros Infectados: 0
Nº de Ficheros Limpiados:  0

	  Fri Aug 08 19:45:11 2008
EliStartPage v16.84  (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 1 de Agosto del 2008)
--------------------------------------------------
Lista de Acciones (por Acción Directa):
Por favor, envienos una muestra del fichero
C:\Muestras\CKVO.EXE.Muestra EliStartPage v16.84
 a "virus@satinfo.es".  Gracias.
C:\WINDOWS\SYSTEM32\CKVO.EXE --> Eliminado 
Por favor, envienos una muestra del fichero
C:\Muestras\CKVO0.DLL.Muestra EliStartPage v16.84
 a "virus@satinfo.es".  Gracias.
C:\WINDOWS\SYSTEM32\CKVO0.DLL -->  Renombrado a .VIR
Entrada Eliminada [HKCU\...\Run] "kamsoft"="C:\WINDOWS\system32\ckvo.exe"
No detectado SP3 de Windows XP
Eliminadas las Paginas de Inicio y de Busqueda del IE
Eliminados Ficheros Temporales del IE
Detectado AUTORUN.INF en la Unidad (C)
 open=tyktjfww.exe
Si Desconoce la Aplicación, por favor envienosla
acompañada del AUTORUN.INF a "virus@satinfo.es". Gracias.
Detectado AUTORUN.INF en la Unidad (D)
 open=tyktjfww.exe
Si Desconoce la Aplicación, por favor envienosla
acompañada del AUTORUN.INF a "virus@satinfo.es". Gracias.
Detectado AUTORUN.INF en la Unidad (E)
 open=tyktjfww.exe
Si Desconoce la Aplicación, por favor envienosla
acompañada del AUTORUN.INF a "virus@satinfo.es". Gracias.
Detectado AUTORUN.INF en la Unidad (G)
 open=tyktjfww.exe
Si Desconoce la Aplicación, por favor envienosla
acompañada del AUTORUN.INF a "virus@satinfo.es". Gracias.
Reinicie para Completar la Limpieza.

	  Fri Aug 08 19:45:29 2008
EliStartPage v16.84  (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 1 de Agosto del 2008)
--------------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\

Nº Total de Directorios:   1523
Nº Total de Ficheros:      16904
Nº de Ficheros Analizados: 5771
Nº de Ficheros Infectados: 0
Nº de Ficheros Limpiados:  0
=======================================================================

[msc hotline sat]

Pues envianos los ficheros que se piden para analizar, y no te olvides de actulizar los parches e instalar el SP3 lanzando un windowsupdate, y vacunar todos los pendrives con el ELIPEN.

¿Como enviar las muestras a zonavirus? - Para ello recordar:
viewtopic.php?f=5&t=14253

saludos
ms, 8 de Agosto de 2008

[DAVICO]

ya envie los autorun.inf ya que ayer y antes de ayer envie los supuestos viruces o es que no les llego que raro envie tal como dice en las indicaciones de ir a la pestaña de envio muestras con el archivo comprimido con su contraseña de virus hasta luego espero respuestas

[lucl]

Por desgracia no sabremos si han llegado hasta que vuelvan de vacaciones pero si hiciste como indicas seguro que estan alli hasta entonces ten paciencia y cuando lo analicen te diran algo, saludos

[msc hotline sat]

Pero si probaste el ELIPEN, ya no se autopropagaran los virus de pendrive y los AUTORUN.INF ya habran sido renombrados a .OLD

De todas formas no hemos visto en el infosat.txt lo relativo a dicho proceso...

saludos
ms, 16 de Agosto de 2008

[DAVICO]

Hola gracias por su ayuda, eso quiere decir que me voy a quedar en mi pendrive por siempre con las 2 carpetas de:



Autorun.inf y Autorun.inf (zipeado)

[msc hotline sat]

Es la garantía de que no pueda entrar ningun fichero AUTORUN.INF que propague el virus que allí se lance. Y además de que no ocupan apenas lugar, se ha procurado hacer dicha carpeta resistente para que un borrado accidental no la elimine, pero todo es posible, aunque ya entonces no es tan accidental ...

Ojalá pudieramos hacer algo similar para todos los virus, pero con mas de 500.000 como hay en la actualidad, no vamos a crear 500.000 carpetas de proteccion, claro

Lo que está claro es que ha sido una gran solución para frenar la propagación de los virus de pendrive, tan de moda en los ultimos tiempos.

Saludos
ms, 29 de Agosto de 2008