-
alejandrovazuezmx
- Mensajes: 94
- Registrado: 08 Oct 2008, 15:12
Mensaje
por alejandrovazuezmx » 16 Jul 2009, 03:52
Hola Elistara encontro este virus, ya que mi computador no navegaba en algunas paginas de internet.
Envio muestra
Gracias
Tue May 19 21:19:58 2009
EliPen v1.8 (c)2008 S.G.H. / Satinfo S.L.
------------------------------------------
Unidad C:\ Protegida
(16-7-2009 1:32:49 (GMT))
EliStartPage v19.03 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 15 de Julio del 2009)
--------------------------------------------------
Lista de Acciones (por Acción Directa):
Por favor, envienos una muestra del fichero
C:\Muestras\ALE.EXE.Muestra EliStartPage v19.03
a "virus@satinfo.es". Gracias.
C:\DOCUMENTS AND SETTINGS\ALE\ALE.EXE --> Eliminado
Eliminadas las Paginas de Inicio y de Busqueda del IE
Eliminados Ficheros Temporales del IE
(16-7-2009 1:33:23 (GMT))
EliStartPage v19.03 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 15 de Julio del 2009)
--------------------------------------------------
Lista de Acciones (por Exploración):
Explorando "C:\"
Nº Total de Directorios: 3844
Nº Total de Ficheros: 44136
Nº de Ficheros Analizados: 10107
Nº de Ficheros Infectados: 0
Nº de Ficheros Limpiados: 0
(16-7-2009 1:37:28) (GMT)
EliTriIP v5.96 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 14 de Julio del 2009)
---------------------------------------------
Lista de Acciones (por Acción Directa):
(16-7-2009 1:37:28) (GMT)
EliTriIP v5.96 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 14 de Julio del 2009)
---------------------------------------------
Lista de Acciones (por Exploración):
Explorando "C:\"
Nº Total de Directorios: 3844
Nº Total de Ficheros: 44137
Nº de Ficheros Analizados: 9349
Nº de Ficheros Infectados: 0
Nº de Ficheros Limpiados: 0
-
msc hotline sat
- Mensajes: 93500
- Registrado: 09 Mar 2004, 20:39
- Ubicación: BARCELONA (ESPAÑA)
-
Contactar:
Mensaje
por msc hotline sat » 16 Jul 2009, 08:28
Recibido fichero, paso a informar del preanalisis:
File ALE.EXE.Muestra_EliStartPage_v19. received on 2009.07.16 06:30:23 (UTC)
[quote="VirusTotal"
]Result: 9/41 (21.96%)
Antivirus Version Last Update Result
a-squared 4.5.0.24 2009.07.16 Virus.Win32.AutoRun!IK
AhnLab-V3 5.0.0.2 2009.07.16 -
AntiVir 7.9.0.215 2009.07.16 TR/VB.sow
Antiy-AVL 2.0.3.7 2009.07.16 -
Authentium 5.1.2.4 2009.07.16 -
Avast 4.8.1335.0 2009.07.16 Win32:AutoRun-AXP
AVG 8.5.0.387 2009.07.15 VB.IQE
BitDefender 7.2 2009.07.16 -
CAT-QuickHeal 10.00 2009.07.16 -
ClamAV 0.94.1 2009.07.16 -
Comodo 1667 2009.07.16 -
DrWeb 5.0.0.12182 2009.07.16 -
eSafe 7.0.17.0 2009.07.15 -
eTrust-Vet 31.6.6617 2009.07.15 -
F-Prot 4.4.4.56 2009.07.16 -
F-Secure 8.0.14470.0 2009.07.16 -
Fortinet 3.120.0.0 2009.07.16 -
GData 19 2009.07.16 Win32:AutoRun-AXP
Ikarus T3.1.1.64.0 2009.07.16 Virus.Win32.AutoRun
Jiangmin 11.0.706 2009.07.16 -
K7AntiVirus 7.10.793 2009.07.15 -
Kaspersky 7.0.0.125 2009.07.16 -
McAfee 5677 2009.07.15 -
McAfee+Artemis 5677 2009.07.15 -
McAfee-GW-Edition 6.8.5 2009.07.16 Trojan.VB.sow
Microsoft 1.4803 2009.07.16 -
NOD32 4248 2009.07.16 a variant of Win32/AutoRun.VB.EW
Norman 6.01.09 2009.07.15 -
nProtect 2009.1.8.0 2009.07.16 Trojan/W32.Agent.128000.AO
Panda 10.0.0.14 2009.07.15 -
PCTools 4.4.2.0 2009.07.15 -
Prevx 3.0 2009.07.16 -
Rising 21.38.30.00 2009.07.16 -
Sophos 4.43.0 2009.07.16 -
Sunbelt 3.2.1858.2 2009.07.15 -
Symantec 1.4.4.12 2009.07.16 -
TheHacker 6.3.4.3.368 2009.07.15 -
TrendMicro 8.950.0.1094 2009.07.16 -
VBA32 3.12.10.8 2009.07.15 -
ViRobot 2009.7.16.1838 2009.07.16 -
VirusBuster 4.6.5.0 2009.07.15 -
Additional information
File size: 128000 bytes
MD5...: 74ce7942382d53c0dc5ad704c582273b
SHA1..: fe345c631408421e0f6931191dc1c769b1cfc8a1 [/quote]
Pues muy pocos antivirus lo controlan actualmente, y, si bien pasamos a implementar su control y eliminacion con las utilidades de hoy, de momento lo podemos ya controlar con el ELIMD5 entrandole sus hashes:
74ce7942382d53c0dc5ad704c582273b
fe345c631408421e0f6931191dc1c769b1cfc8a1
(indistintamente uno u otro (MD5 o SHA1)
ELIMD5.EXE
http://www.zonavirus.com/descargas/elimd5.asp
Tras ello postearnos el contenido de c:\infosat.txt para ver el resultado del proceso.
saludos
ms, 16-7-2009
NOTA: ADEMAS VACUNA TUS ORDENADORES Y PENDRIVES CON EL ELIPEN, YA QUE PROBABLEMENTE ES UN VIRUS QUE SE PROPAGA POR PENDRIVE:
Y vacune el ordenador y todas sus unidades de disco y pendrive con el ELIPEN:
[b]ELIPEN.EXE[/b]
http://www.zonavirus.com/descargas/elipen.asp
Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso . MS.
-
msc hotline sat
- Mensajes: 93500
- Registrado: 09 Mar 2004, 20:39
- Ubicación: BARCELONA (ESPAÑA)
-
Contactar:
Mensaje
por msc hotline sat » 16 Jul 2009, 08:57
Este malware siempre cambia de cadenas, por lo que es inutil implementar las de la muestra, no serviría para ningun otro, asi que tras ver de lo que se trata, y haber eliminado claves y haber movido el EXE a cuarentena, y pasar el ELIPEN a los pendrives, que estarán infectados, puedes ir a la carpeta C:\muestras y borrar esta miestra, ya que atipicamente en este caso no lo vamos a eliminar, y si bien alli está aparcado y no incordia, mejor eliminarlo tambien de alli manualmente. (solo en este caso)
Y tras probar tambien el ELIPEN en todos los pendrives, posteanos el infosat y dinos si ya no persisten anomalias y podemos dar por solucionado el Tema, gracias
saludos
ms, 16-7-2009
msc hotline sat Virus Research Engineer