virus USB, no encuentro solucion. (SOLUCIONADO)

[ossecreto]

Hola, tengo un virus en mi máquina y no se como quitarlo, estoy enviando el virus para que lo revicen, lo pueden descargar del skydrive Lo que veo que hace es crear un enlace suponiendo que es de los archivos y coloca todos los archivos en una carpeta oculta y oculta de sistema, no borra los archivos, pero no se como quitarlo de la máquina ya que cada vez que coloco un nuevo usb les hace lo mismo. Alguien que sepa de este virus, favor de indicar como desinfectar la máquina. No encuentro respuesta alguna aprte que no lo detecta ningún antivirus.

[msc hotline sat]

Pues ante todo lease las Normas de este foro: Nada de muestras viricas que se las pueda descargar cualquier, y nada de links para respuesta privada.



Las muestras para su analisis deben enviarse como se indica en https://foros.zonavirus.com/viewtopic.php?f=5&t=45334



y nada de links, todo en el foro, para aprovechamiento de todos:



https://foros.zonavirus.com/viewtopic.php?f=1&t=17044



haga el envio de muestras como se indica y repostaremos el analisis como respuesta de este Tema, pero aparte pruebe el ELIVBNA, ya que son sintomas propios de esta familia:



http://www.zonavirus.com/descargas/elivbna.asp



Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el

resultado del proceso





y si no detectara nada, pruebe el ELISTARA, que es mas global:


[quote="para DESCARGAR el ELISTARA, msc"]



http://www.zonavirus.com/descargas/elistara.asp



Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el

resultado del proceso [/quote]



y si no detectara malwares ni pidiera envio de sospechosos, lanzar el SPROCES y

pulsar en SALIR, tras lo cual generará informe en c:\sproclog.txt, que nos puede

postear para analizar:


[quote="para DESCARGAR el SPROCES, msc"]



http://www.zonavirus.com/descargas/sproces.asp


[/quote]

saludos



ms, 27-4-2013

[msc hotline sat]

Y por los síntomas que indica, anticipando el analisis que se hará cuando se reciban las muestras en cuestión, tambien podría tratarse de la nueva gama de GAMARUE, de la que ya informamos en



http://www.zonavirus.com/noticias/2013/nueva-variante-de-dropper-gamarue-que-genera-un-fake-write.asp



especialmente por lo que dice de que [i][b]"No encuentro respuesta alguna aprte que no lo detecta ningún antivirus", [/b][/i]pues el VBNA ya es de sobras conocido, pero no las nuevas variantes del nuevo GAMARUE ...



A ver si el ELISTARA detecta algo ...



saludos



ms, 27-4-2013

RPERLIM

[ossecreto]

Muchas gracias por su respuesta, antes pedirle disculpas por no seguir las reglas, las cuales no las leí y solo me decidí a hacer la consulta. entonces revisaré los link que me envió y los empèzaré a leer y de todas maneras no pasaré nada aun de los programas que me mencionan, enviaré los archivos para que los examinen y luego correré los programas aconsejados. Gracias y comensaremos a hacer bien las cosas.

[ossecreto]

Aquí con un problema más, hice el envío de la muestra, pero no le pude colocar clave, no se por que el winrar y el winzip me muestran errores al querer comprimir los archivos y tampoco me recibe la clave que le doy. les envié el winrar pero sin clave, no se que más hacer, en caso me lo rechacen seguiré probando, pero ya en la noche a ver si en mi laptop me lo comprime con clave y los vuelve a comprimir, traté de enviarlo al correo que mensionan pero al querer subirlo me lo detecta como virus. no se que más hacer al respecto, bueno seguiré con sus indicaciones anteriores.

[msc hotline sat]

Parece que nuestros tecnicos, una vez mas, han pisado este malware.



Descarga la nueva version del ELISTARA que hay es nuestra web y pruebala:


[quote="para DESCARGAR el ELISTARA, msc"]



http://www.zonavirus.com/descargas/elistara.asp



Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el

resultado del proceso [/quote]

Luego postearé en NOTCIAS un resumen de lo descubierto y aplicado , espero que te sirva.



Y nos comentas el resultado, gracias



saludos



ms, 1-5-2013

[ossecreto]

Hola disculpen la demora, utilice el ELISTARA, y parece que se soluciono el problema, aquí les envío el info del programa. Y también me gustaría saber que es lo que hace ese virus, los crean solo por molestar o roba alguna información?. :shock:

Muchas Gracias por sus pronta respuestas. Que bueno que existe este foro, para dar solucion a gente como yo que no entiende mucho del asunto; pero que aquí nos ayudan a darles solución. Gracias :D , me gustaria saber que es lo que hace este virus y de seguro a muchos tambien





(30-4-2013 20:35:34 (GMT))

EliVBNA v3.31 (c)2013 S.G.H. / Satinfo S.L. (Actualizado el 30 de Abril del 2013)

--------------------------------------------

Sistema Operativo: Windows 7 Home Premium (6.1.7601)

Usuario: Administrador

ID de Usuario: S-1-5-21-1198152256-3457282320-3280375078-500



Lista de Acciones (por Acción Directa):



(30-4-2013 20:35:34 (GMT))

EliVBNA v3.31 (c)2013 S.G.H. / Satinfo S.L. (Actualizado el 30 de Abril del 2013)

--------------------------------------------

Sistema Operativo: Windows 7 Home Premium (6.1.7601)

Usuario: Invitado

ID de Usuario: S-1-5-21-1198152256-3457282320-3280375078-501



Lista de Acciones (por Acción Directa):



(30-4-2013 23:19:45 (GMT))

EliVBNA v3.31 (c)2013 S.G.H. / Satinfo S.L. (Actualizado el 30 de Abril del 2013)

--------------------------------------------

Sistema Operativo: Windows 7 Home Premium (6.1.7601)

Usuario: Invitado

ID de Usuario: S-1-5-21-1198152256-3457282320-3280375078-501



Lista de Acciones (por Exploración):

Explorando "C:\"



Nº Total de Directorios: 140711

Nº Total de Ficheros: 596093

Nº de Ficheros Analizados: 39527

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



(30-4-2013 23:28:30 (GMT))

EliVBNA v3.31 (c)2013 S.G.H. / Satinfo S.L. (Actualizado el 30 de Abril del 2013)

--------------------------------------------

Sistema Operativo: Windows 7 Home Premium (6.1.7601)

Usuario: Invitado

ID de Usuario: S-1-5-21-1198152256-3457282320-3280375078-501



Lista de Acciones (por Exploración):

Explorando "D:\"



Nº Total de Directorios: 39

Nº Total de Ficheros: 144

Nº de Ficheros Analizados: 2

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



(30-4-2013 23:32:58 (GMT))

EliVBNA v3.31 (c)2013 S.G.H. / Satinfo S.L. (Actualizado el 30 de Abril del 2013)

--------------------------------------------

Sistema Operativo: Windows 7 Home Premium (6.1.7601)

Usuario: Invitado

ID de Usuario: S-1-5-21-1198152256-3457282320-3280375078-501



Lista de Acciones (por Exploración):

Explorando "I:\"



Nº Total de Directorios: 582

Nº Total de Ficheros: 8222

Nº de Ficheros Analizados: 689

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



(6-5-2013 20:36:03 (GMT))

EliStartPage v27.58 (c)2013 S.G.H. / Satinfo S.L. (Actualizado el 30 de Abril del 2013)

--------------------------------------------------

Sistema Operativo: Windows 7 Home Premium (6.1.7601)

Usuario: Administrador

ID de Usuario: S-1-5-21-1198152256-3457282320-3280375078-500

Cadenas Víricas: 19482



Lista de Acciones (por Acción Directa):

[UserInit] "C:\PROGRA~2\KAward64\kl.exe"

Por favor, envienos el INFOSAT.TXT y una muestra del fichero

C:\Muestras\kl.exe (UserInit).vir

a "virus@satinfo.es". Gracias.

Restaurado "Userinit"

[Userinit anterior] = "userinit.exe,C:\PROGRA~2\KAward64\kl.exe"

[Userinit actual] = "userinit.exe,C:\PROGRA~2\KAward64\kl.exe,"

C:\PROGRAM FILES (X86)\YONTOO\YONTOOIECLIENT.DLL --> Eliminado AdWare.Yontoo

Eliminada Class, "{00000000-6E41-4FD3-8538-502F5495E5FC}" -> C:\Program Files (x86)\Ask.com\GenericAskToolbar.dll

Eliminada Class, "{10DE7085-6A1E-4D41-A7BF-9AF93E351401}" -> C:\Program Files (x86)\Yontoo\YontooIEClient.dll

Eliminada Class, "{D4027C7F-154A-4066-A1AD-4243D8127440}" -> C:\Program Files (x86)\Ask.com\GenericAskToolbar.dll

Eliminada Class, "{DF7770F7-832F-4BDF-B144-100EDDD0C3AE}" -> C:\Program Files (x86)\Yontoo\YontooIEClient.dll

Eliminada Class, "{FD72061E-9FDE-484D-A58A-0BAB4151CAD8}" -> C:\Program Files (x86)\Yontoo\YontooIEClient.dll

Eliminada Class, "{FE9271F2-6EFD-44b0-A826-84C829536E93}" -> NULL1

Detectado HOSTS no Standar.

Restaurado HOSTS por el Original.

No detectado SP1 de Windows 7

Eliminada Carpeta "C:\Program Files (x86)\Yontoo"

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

[msc hotline sat]

Pues celebramos que se haya solucionado el problema, pero para conocer y controlar este malware, ya ve que le pedimos que nos envie estos ficheros:



[i][b]"Por favor, envienos el INFOSAT.TXT y una muestra del fichero

C:\Muestras\kl.exe (UserInit).vir"[/b][/i]



el infosat.txt ya nos lo ha reportado, pero nos falta recibir el C:\Muestras\kl.exe (UserInit).vir" , gracias.





Para ello, recordar:



https://foros.zonavirus.com/viewtopic.php?f=5&t=45334



saludos



ms, 14-5-2013

[ossecreto]

Hola, ya hice envío del archivo kl.exe (UserInit).vir, pero el kl no es del award keylogger, este programa yo lo instale en mi máquina, asi que no creo que ese sea el problema. Ya que lo tengo mucho tiempo atras. :? me dicen si llegaron a ver los archivos anteriores de la muestra del virus que se envío antes?

[msc hotline sat]

Efectivamente, ha llegado la muestra y se está monitorizando.



Le adelanto que parece tratarse de una nueva variante de Keylogger



En el proximo post le informaremos mas al respecto.



saludos



ms, 17-5-2013

[msc hotline sat]

Pues tenía instalado nada menos que un keylogger !



Vea el analisis en: https://foros.zonavirus.com/viewtopic.php?f=12&t=49287



Y recuerde que todo lo que ha ido escribiendo desde que dicho bicho estaba instalado en su ordenador, puede haber llegado a malas manos...



Si ha gestionado cuentas bancarias, passwords, etc, recomendamos cambiarlas.



Y con ello ya damos por solucionado el Tema y procedemos a cerrarlo



Si nos necesita de nuevo, ya sabe donde estamos



saludos



ms, 17-5-2013