VIRUS: Worm.Win32.AutoRun.qod

[soclamartin]

PASE EL ANTIVIRUS ONLINE DE KASPERSKY PORQUE EL NOD32 NO ME DETECTABA NADA. LOS RESULTADOS AQUÌ:



KASPERSKY ONLINE SCANNER INFORME

martes, 21 de octubre de 2008 17:18:14

Sistema operativo: Microsoft Windows XP Professional, Service Pack 2 (Build 2600)

Kaspersky Online Scanner versión: 5.0.84.1

Ultima actualización: 21/10/2008

Registros en la base antivirus: 1193289

Configuración del análisis

Analizar usando las siguientes bases standard

Analizar archivos verdadero

Analizar bases de correo verdadero

Objetivo a analizar Mi PC

A:\

C:\

D:\

E:\

F:\

G:\

Estadísticas

Número de objeros analizados 60374

Virus encontrados 1

Objetos infectados 3 / 0

Objetos sospechosos 0

Duración del análisis 01:07:33



Bombre del objeto infectado Nombre del virus Última acción

C:\Documents and Settings\All Users\Datos de programa\ESET\ESET NOD32 Antivirus\Charon\CACHE.NDB Object is locked saltado

C:\Documents and Settings\All Users\Datos de programa\ESET\ESET NOD32 Antivirus\Logs\virlog.dat Object is locked saltado

C:\Documents and Settings\All Users\Datos de programa\ESET\ESET NOD32 Antivirus\Logs\warnlog.dat Object is locked saltado

C:\Documents and Settings\All Users\Datos de programa\Microsoft\Network\Downloader\qmgr0.dat Object is locked saltado

C:\Documents and Settings\All Users\Datos de programa\Microsoft\Network\Downloader\qmgr1.dat Object is locked saltado

C:\Documents and Settings\jose\Configuración local\Archivos temporales de Internet\AntiPhishing\B3BB5BBA-E7D5-40AB-A041-A5B1C0B26C8F.dat Object is locked saltado

C:\Documents and Settings\jose\Configuración local\Archivos temporales de Internet\Content.IE5\index.dat Object is locked saltado

C:\Documents and Settings\jose\Configuración local\Datos de programa\Apple Computer\Safari\Cache.db Object is locked saltado

C:\Documents and Settings\jose\Configuración local\Datos de programa\Apple Computer\Safari\WebpageIcons.db Object is locked saltado

C:\Documents and Settings\jose\Configuración local\Datos de programa\Google\Google Gears for Internet Explorer\localserver.db Object is locked saltado

C:\Documents and Settings\jose\Configuración local\Datos de programa\Google\Google Gears for Internet Explorer\permissions.db Object is locked saltado

C:\Documents and Settings\jose\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat Object is locked saltado

C:\Documents and Settings\jose\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat.LOG Object is locked saltado

C:\Documents and Settings\jose\Configuración local\Historial\History.IE5\index.dat Object is locked saltado

C:\Documents and Settings\jose\Configuración local\Historial\History.IE5\MSHist012008102120081022\index.dat Object is locked saltado

C:\Documents and Settings\jose\Cookies\index.dat Object is locked saltado

C:\Documents and Settings\jose\Datos de programa\Apple Computer\Safari\PubSub\Database\Database.sqlite3 Object is locked saltado

C:\Documents and Settings\jose\NTUSER.DAT Object is locked saltado

C:\Documents and Settings\jose\ntuser.dat.LOG Object is locked saltado

C:\Documents and Settings\LocalService\Configuración local\Archivos temporales de Internet\Content.IE5\index.dat Object is locked saltado

C:\Documents and Settings\LocalService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat Object is locked saltado

C:\Documents and Settings\LocalService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat.LOG Object is locked saltado

C:\Documents and Settings\LocalService\Configuración local\Historial\History.IE5\index.dat Object is locked saltado

C:\Documents and Settings\LocalService\Cookies\index.dat Object is locked saltado

C:\Documents and Settings\LocalService\NTUSER.DAT Object is locked saltado

C:\Documents and Settings\LocalService\ntuser.dat.LOG Object is locked saltado

C:\Documents and Settings\NetworkService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat Object is locked saltado

C:\Documents and Settings\NetworkService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat.LOG Object is locked saltado

C:\Documents and Settings\NetworkService\NTUSER.DAT Object is locked saltado

C:\Documents and Settings\NetworkService\ntuser.dat.LOG Object is locked saltado

C:\System Volume Information\catalog.wci\00000002.ps1 Object is locked saltado

C:\System Volume Information\catalog.wci\00000002.ps2 Object is locked saltado

C:\System Volume Information\catalog.wci\00010004.ci Object is locked saltado

C:\System Volume Information\catalog.wci\cicat.fid Object is locked saltado

C:\System Volume Information\catalog.wci\cicat.hsh Object is locked saltado

C:\System Volume Information\catalog.wci\CiCL0001.000 Object is locked saltado

C:\System Volume Information\catalog.wci\CiP10000.000 Object is locked saltado

C:\System Volume Information\catalog.wci\CiP20000.000 Object is locked saltado

C:\System Volume Information\catalog.wci\CiPT0000.000 Object is locked saltado

C:\System Volume Information\catalog.wci\CiSL0001.000 Object is locked saltado

C:\System Volume Information\catalog.wci\CiSP0000.000 Object is locked saltado

C:\System Volume Information\catalog.wci\CiST0000.000 Object is locked saltado

C:\System Volume Information\catalog.wci\CiVP0000.000 Object is locked saltado

C:\System Volume Information\catalog.wci\INDEX.000 Object is locked saltado

C:\System Volume Information\catalog.wci\propstor.bk1 Object is locked saltado

C:\System Volume Information\catalog.wci\propstor.bk2 Object is locked saltado

C:\System Volume Information\MountPointManagerRemoteDatabase Object is locked saltado

[b][u]C:\System Volume Information\_restore{5EB25D4F-A08A-47BD-AA52-082A6CA383F1}\RP21\A0008906.exe Infectados: Worm.Win32.AutoRun.qod saltado

C:\System Volume Information\_restore{5EB25D4F-A08A-47BD-AA52-082A6CA383F1}\RP21\A0011018.exe Infectados: Worm.Win32.AutoRun.qod saltado[/b][/u][/b]

C:\System Volume Information\_restore{5EB25D4F-A08A-47BD-AA52-082A6CA383F1}\RP22\change.log Object is locked saltado

C:\WINDOWS\Debug\PASSWD.LOG Object is locked saltado

C:\WINDOWS\SchedLgU.Txt Object is locked saltado

C:\WINDOWS\SoftwareDistribution\DataStore\DataStore.edb Object is locked saltado

C:\WINDOWS\SoftwareDistribution\DataStore\Logs\edb.log Object is locked saltado

C:\WINDOWS\SoftwareDistribution\DataStore\Logs\tmp.edb Object is locked saltado

C:\WINDOWS\SoftwareDistribution\ReportingEvents.log Object is locked saltado

C:\WINDOWS\Sti_Trace.log Object is locked saltado

C:\WINDOWS\system32\CatRoot2\edb.log Object is locked saltado

C:\WINDOWS\system32\CatRoot2\tmp.edb Object is locked saltado

C:\WINDOWS\system32\config\AppEvent.Evt Object is locked saltado

C:\WINDOWS\system32\config\default Object is locked saltado

C:\WINDOWS\system32\config\default.LOG Object is locked saltado

C:\WINDOWS\system32\config\DriverScanner.evt Object is locked saltado

C:\WINDOWS\system32\config\Internet.evt Object is locked saltado

C:\WINDOWS\system32\config\ODiag.evt Object is locked saltado

C:\WINDOWS\system32\config\OSession.evt Object is locked saltado

C:\WINDOWS\system32\config\SAM Object is locked saltado

C:\WINDOWS\system32\config\SAM.LOG Object is locked saltado

C:\WINDOWS\system32\config\SecEvent.Evt Object is locked saltado

C:\WINDOWS\system32\config\SECURITY Object is locked saltado

C:\WINDOWS\system32\config\SECURITY.LOG Object is locked saltado

C:\WINDOWS\system32\config\software Object is locked saltado

C:\WINDOWS\system32\config\software.LOG Object is locked saltado

C:\WINDOWS\system32\config\SysEvent.Evt Object is locked saltado

C:\WINDOWS\system32\config\system Object is locked saltado

C:\WINDOWS\system32\config\system.LOG Object is locked saltado

C:\WINDOWS\system32\drivers\sptd.sys Object is locked saltado

C:\WINDOWS\system32\h323log.txt Object is locked saltado

C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR Object is locked saltado

C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP Object is locked saltado

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER Object is locked saltado

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP Object is locked saltado

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP Object is locked saltado

C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA Object is locked saltado

C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP Object is locked saltado

C:\WINDOWS\wiadebug.log Object is locked saltado

C:\WINDOWS\wiaservc.log Object is locked saltado

C:\WINDOWS\WindowsUpdate.log Object is locked saltado

D:\System Volume Information\_restore{5EB25D4F-A08A-47BD-AA52-082A6CA383F1}\RP22\change.log Object is locked saltado

[u][b]E:\RESTORE\S-1-5-21-1482476501-1644491937-682003330-1013\dark.exe Infectados: Worm.Win32.AutoRun.qod saltado[/b][/u]



POR FAVOR DIGANME QUE HAGO, NO ENCUENTRO INFORMACION DE ESE VIRUS. EL NOD32 SIGUE SIN DETECTAR ABSOLUTAMENTE NADA!!!!!!! GRACIAS.

[flacoroo]

ok actualiza tu antivirus Nod32, y bajate estas herramientas y las ejecutas reiniciando tu compu en modo seguro....



[url=http://www.zonavirus.com/descargas/elistara.asp]Elistara[/url]

[url=http://www.zonavirus.com/descargas/elitriip.asp]Elitriip[/url]

[url=http://www.zonavirus.com/descargas/elinotif.asp]Elinotiff[/url] (complemento de elistara)



para vacunar tu pc del virus AutoRun y tus memorias usb

[url=http://www.zonavirus.com/descargas/elipen.asp]Elipen[/url]



nos pegas el resultado ques e creara en C:infosat.txt

[msc hotline sat]

Como que los tres ficheros infectados están ya en la carpeta System Volume Information\_restore:



C:\System Volume Information\_restore{5EB25D4F-A08A-47BD-AA52-082A6CA383F1}\RP21\A0008906.exe Infectados: Worm.Win32.AutoRun.qod saltado

C:\System Volume Information\_restore{5EB25D4F-A08A-47BD-AA52-082A6CA383F1}\RP21\A0011018.exe Infectados: Worm.Win32.AutoRun.qod saltado

E:\RESTORE\S-1-5-21-1482476501-1644491937-682003330-1013\dark.exe Infectados: Worm.Win32.AutoRun.qod saltado



Para eliminarlos se debe desactivar la restauracion de sistema y arrancar en modo seguro, y lanzando el mismo antivirus con que los eliminastes cuando estaban activos, será suficiente para eliminar los de dicha carpeta, inaccesibles de otro modo, si bien no volverían a estar activos salvo que se restaurase el sistema a un punto anterior que los contuviera.



Y como que se trata de un virus que se propaga por pendrive, revise que no lo tenga en cualquiera de dichas unidades, y vacune ordenador y pendrives con el ELIPEN:





vacune todas sus unidades de disco y pendrive con el ELIPEN:



[b]ELIPEN.EXE[/b]

http://www.zonavirus.com/descargas/elipen.asp



Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso



saludos



ms, 22-10-2008