Hola, recibí un correo de un amigo dónde me enviaba un archivo adjunto que ponía foto.jpeg. Al abrir el archivo el pc se me volvió loco, se abríam ventanas y cerraban solas, desaparecían todos los iconos del escritorio, no podia ejecutar ningún programa.
Analizé con el antivirus McaFee actualizado a su última versión y me detectó el troyano PWS-Zbot.b!env (Trojan) y me eliminó un archivo ejecutable, pero el ordenador sigue teniendo los mismos problemas y sigo sin poder acceder a mis pendrives o unidad de DVD/CD.
Estoy en una red de una empresa y por seguridad he desconectado el cable de red. Por esa razón no puedo usar internet y he copiado varias herramientas en un pendrive para poder eliminar el virus, però al no poder acceder a mis pendrives o cd's no puedo ejecutar ninguna de las herramientas.
Alguna solución?
Troyano. No puedo acceder a ninguna de las unidades removibles ni tampoco a la unidad de DVD/CD (TERMINADO)
Troyano. No puedo acceder a ninguna de las unidades removibles ni tampoco a la unidad de DVD/CD (TERMINADO)
Última edición por clemens el 15 May 2013, 22:08, editado 1 vez en total.
Re: Troyano. No puedo acceder a ninguna de las unidades removibles ni tampoco a la unidad de DVD/CD
Hola.
Os he enviado muestra del archivo EXE que me ha infectado.
La he enviado a:
zonavirus@satinfo.es
El título del mensaje pone "Envio muestra foto"
El archivo adjunto se llama: Foto 11194681.zip
Os he enviado muestra del archivo EXE que me ha infectado.
La he enviado a:
El título del mensaje pone "Envio muestra foto"
El archivo adjunto se llama: Foto 11194681.zip
Re: Troyano. No puedo acceder a ninguna de las unidades removibles ni tampoco a la unidad de DVD/CD
Resultados del archivo sospechoso por la web de escaneo online Totalvirus
Agnitum 20130513
AhnLab-V3 20130513
[color=#FF0000]AntiVir HIDDENEXT/Worm.Gen 20130514[/color]
Antiy-AVL 20130513
Avast 20130514
AVG 20130514
BitDefender 20130514
ByteHero 20130514
CAT-QuickHeal 20130514
ClamAV 20130514
Commtouch 20130514
[color=#FF0000]Comodo Heur.Dual.Extensions 20130514[/color]
DrWeb 20130514
Emsisoft 20130514
eSafe 20130513
ESET-NOD32 20130513
F-Prot 20130514
F-Secure 20130514
Fortinet 20130514
GData 20130514
Ikarus 20130514
Jiangmin 20130514
K7AntiVirus 20130513
K7GW 20130513
Kaspersky 20130514
Kingsoft 20130506
Malwarebytes 20130514
[color=#FF0000]McAfee Artemis!EA4C997FE1A5 20130514[/color]
McAfee-GW-Edition 20130514
Microsoft 20130514
MicroWorld-eScan 20130514
NANO-Antivirus 20130514
Norman 20130513
nProtect 20130514
Panda 20130513
PCTools 20130514
Sophos 20130514
SUPERAntiSpyware 20130514
[color=#FF0000]Symantec WS.Reputation.1 20130514[/color]
TheHacker 20130513
TotalDefense 20130513
TrendMicro 20130514
TrendMicro-HouseCall 20130514
VBA32 20130513
VIPRE 20130514
ViRobot 20130514
Agnitum 20130513
AhnLab-V3 20130513
Antiy-AVL 20130513
Avast 20130514
AVG 20130514
BitDefender 20130514
ByteHero 20130514
CAT-QuickHeal 20130514
ClamAV 20130514
Commtouch 20130514
DrWeb 20130514
Emsisoft 20130514
eSafe 20130513
ESET-NOD32 20130513
F-Prot 20130514
F-Secure 20130514
Fortinet 20130514
GData 20130514
Ikarus 20130514
Jiangmin 20130514
K7AntiVirus 20130513
K7GW 20130513
Kaspersky 20130514
Kingsoft 20130506
Malwarebytes 20130514
McAfee-GW-Edition 20130514
Microsoft 20130514
MicroWorld-eScan 20130514
NANO-Antivirus 20130514
Norman 20130513
nProtect 20130514
Panda 20130513
PCTools 20130514
Sophos 20130514
SUPERAntiSpyware 20130514
TheHacker 20130513
TotalDefense 20130513
TrendMicro 20130514
TrendMicro-HouseCall 20130514
VBA32 20130513
VIPRE 20130514
ViRobot 20130514
-
msc hotline sat
- Mensajes: 93500
- Registrado: 09 Mar 2004, 20:39
- Ubicación: BARCELONA (ESPAÑA)
- Contactar:
Re: Troyano. No puedo acceder a ninguna de las unidades removibles ni tampoco a la unidad de DVD/CD
Como ha podido ver, ningun antivirus del analisis de virustotal indica para el fichero enviado un nombre especifico que aclare que virus tuvo, sino solo genericos o sospechosos, y lo que dice habernos enviado no lo ha hecho conforme indicamos en https://foros.zonavirus.com/viewtopic.php?f=5&t=45334
http://www.zonavirus.com/noticias/2013/nueva-variante-de-malware-ransom-blocker-ceeinject-segun-avs-que-pasamos-a-controlar-como-downloader-sounder.asp
pero no vemos que coincidan las detecciones, por lo cual le sugerimos que nos envie de nuevo la muestra, pero siguiendo las indicaciones que indicamos al principio.
Por otra parte, lo que no puede acceder a CDROM ni unidades extraibles, nos recuerda al Sirefef, que utiliza drivers del sistema, y que una vez eliminado, pueden causar problemas de acceso a diferentes partes, como ya indicamos en:
http://www.zonavirus.com/noticias/2012/drivers-usados-por-el-sirefef-y-sus-consecuencias.asp
Por si fuera el caso, comprueben la integridad del fichero
"[i][b]CDROM.SYS si no funciona el dispositivo de CDROM[/b] [/i] "
que debe estar en la carpeta C:\windows\system32\drivers\
y por si acaso, mientras nos envian la muestra y la analizamos, recomendamos probar las utilidades ELISTARA y ELISIREF
saludos
ms, 16-5-2013
pero no vemos que coincidan las detecciones, por lo cual le sugerimos que nos envie de nuevo la muestra, pero siguiendo las indicaciones que indicamos al principio.
Por otra parte, lo que no puede acceder a CDROM ni unidades extraibles, nos recuerda al Sirefef, que utiliza drivers del sistema, y que una vez eliminado, pueden causar problemas de acceso a diferentes partes, como ya indicamos en:
Por si fuera el caso, comprueben la integridad del fichero
"[i]
que debe estar en la carpeta C:\windows\system32\drivers\
y por si acaso, mientras nos envian la muestra y la analizamos, recomendamos probar las utilidades ELISTARA y ELISIREF
saludos
ms, 16-5-2013
msc hotline sat Virus Research Engineer Antes de preguntar - Normas Basicas - Mensajes Privados - Repetir Temas - Continuar Temas - Titulos del Tema - Antivirus Online
Re: Troyano. No puedo acceder a ninguna de las unidades removibles ni tampoco a la unidad de DVD/CD
Si ese MrGiallo soy yo.
Envié el archivo comprimido en un archivo ZIP tal y como lo recibí en mi correo.
Se trata de un archivo JPEG.EXE y como yo tenía desactivado la opción de ver las extensiones de archivos conocidas, pues sólo vi foto.jpeg y la abrí pensando que se trataba de una foto inofensiva, pero en realidad se trataba de un ejecutable que dejó totalmente infectado e inestable mi ordenador.
INTERVENCION DE ZONAVIRUS:
https://foros.zonavirus.com/viewtopic.php?f=1&t=17044
Envié el archivo comprimido en un archivo ZIP tal y como lo recibí en mi correo.
Se trata de un archivo JPEG.EXE y como yo tenía desactivado la opción de ver las extensiones de archivos conocidas, pues sólo vi foto.jpeg y la abrí pensando que se trataba de una foto inofensiva, pero en realidad se trataba de un ejecutable que dejó totalmente infectado e inestable mi ordenador.
INTERVENCION DE ZONAVIRUS:
Re: Troyano. No puedo acceder a ninguna de las unidades removibles ni tampoco a la unidad de DVD/CD
Hola!
Bueno, pues he ejecutado el Elistara y aún sigo infectado y despues de 20 minutos analizando no ha encontrado ningun archivo infectado y sigo con el ordenador que desaparecen los iconos, se cierran los programas automáticamente, y tampoco puede acceder a las unidades de dvd/pendrives.
A continuación os copio el contenido del archivo infosat.txt que me ha generado la última versión del Elistara.
(16-5-2013 19:54:57 (GMT))
EliStartPage v27.69 (c)2013 S.G.H. / Satinfo S.L. (Actualizado el 16 de Mayo del 2013)
--------------------------------------------------
Sistema Operativo: Windows Vista (TM) Business (6.0.6002) SERVICE PACK 2
Usuario: MrGiallo
ID de Usuario: S-1-5-21-1477316180-3158602730-1560920800-1003
Cadenas Víricas: 19553
Lista de Acciones (por Acción Directa):
Detectado HOSTS no Standar.
Restaurado HOSTS por el Original.
Eliminadas las Paginas de Inicio y de Busqueda del IE
Eliminados Ficheros Temporales del IE
Detectado AUTORUN.INF en la Unidad (D)
ShellExecute=Info.exe protect.ed 480 480
Si Desconoce la Aplicación, por favor envienosla
acompañada del AUTORUN.INF a "virus@satinfo.es ". Gracias.
(16-5-2013 19:55:02 (GMT))
EliStartPage v27.69 (c)2013 S.G.H. / Satinfo S.L. (Actualizado el 16 de Mayo del 2013)
--------------------------------------------------
Sistema Operativo: Windows Vista (TM) Business (6.0.6002) SERVICE PACK 2
Usuario: Administrador.MRGIALLO
ID de Usuario: S-1-5-21-1477316180-3158602730-1560920800-500
Cadenas Víricas: 19553
Lista de Acciones (por Acción Directa):
Detectado Proxy Activo: proxymr:8080
Eliminadas las Paginas de Inicio y de Busqueda del IE
Eliminados Ficheros Temporales del IE
(16-5-2013 20:09:19 (GMT))
EliStartPage v27.69 (c)2013 S.G.H. / Satinfo S.L. (Actualizado el 16 de Mayo del 2013)
--------------------------------------------------
Sistema Operativo: Windows Vista (TM) Business (6.0.6002) SERVICE PACK 2
Usuario: Administrador
ID de Usuario: S-1-5-21-1666200177-318657513-612134452-500
Cadenas Víricas: 19553
Lista de Acciones (por Acción Directa):
Eliminadas las Paginas de Inicio y de Busqueda del IE
Eliminados Ficheros Temporales del IE
(16-5-2013 21:24:21 (GMT))
EliStartPage v27.69 (c)2013 S.G.H. / Satinfo S.L. (Actualizado el 16 de Mayo del 2013)
--------------------------------------------------
Sistema Operativo: Windows Vista (TM) Business (6.0.6002) SERVICE PACK 2
Usuario: Administrador
ID de Usuario: S-1-5-21-1666200177-318657513-612134452-500
Cadenas Víricas: 19553
Lista de Acciones (por Exploración):
Explorando "C:\"
Nº Total de Directorios: 25448
Nº Total de Ficheros: 126005
Nº de Ficheros Analizados: 39096
Nº de Ficheros Infectados: 0
Nº de Ficheros Limpiados: 0
Bueno, pues he ejecutado el Elistara y aún sigo infectado y despues de 20 minutos analizando no ha encontrado ningun archivo infectado y sigo con el ordenador que desaparecen los iconos, se cierran los programas automáticamente, y tampoco puede acceder a las unidades de dvd/pendrives.
A continuación os copio el contenido del archivo infosat.txt que me ha generado la última versión del Elistara.
(16-5-2013 19:54:57 (GMT))
EliStartPage v27.69 (c)2013 S.G.H. / Satinfo S.L. (Actualizado el 16 de Mayo del 2013)
--------------------------------------------------
Sistema Operativo: Windows Vista (TM) Business (6.0.6002) SERVICE PACK 2
Usuario: MrGiallo
ID de Usuario: S-1-5-21-1477316180-3158602730-1560920800-1003
Cadenas Víricas: 19553
Lista de Acciones (por Acción Directa):
Detectado HOSTS no Standar.
Restaurado HOSTS por el Original.
Eliminadas las Paginas de Inicio y de Busqueda del IE
Eliminados Ficheros Temporales del IE
Detectado AUTORUN.INF en la Unidad (D)
ShellExecute=Info.exe protect.ed 480 480
Si Desconoce la Aplicación, por favor envienosla
acompañada del AUTORUN.INF a "
(16-5-2013 19:55:02 (GMT))
EliStartPage v27.69 (c)2013 S.G.H. / Satinfo S.L. (Actualizado el 16 de Mayo del 2013)
--------------------------------------------------
Sistema Operativo: Windows Vista (TM) Business (6.0.6002) SERVICE PACK 2
Usuario: Administrador.MRGIALLO
ID de Usuario: S-1-5-21-1477316180-3158602730-1560920800-500
Cadenas Víricas: 19553
Lista de Acciones (por Acción Directa):
Detectado Proxy Activo: proxymr:8080
Eliminadas las Paginas de Inicio y de Busqueda del IE
Eliminados Ficheros Temporales del IE
(16-5-2013 20:09:19 (GMT))
EliStartPage v27.69 (c)2013 S.G.H. / Satinfo S.L. (Actualizado el 16 de Mayo del 2013)
--------------------------------------------------
Sistema Operativo: Windows Vista (TM) Business (6.0.6002) SERVICE PACK 2
Usuario: Administrador
ID de Usuario: S-1-5-21-1666200177-318657513-612134452-500
Cadenas Víricas: 19553
Lista de Acciones (por Acción Directa):
Eliminadas las Paginas de Inicio y de Busqueda del IE
Eliminados Ficheros Temporales del IE
(16-5-2013 21:24:21 (GMT))
EliStartPage v27.69 (c)2013 S.G.H. / Satinfo S.L. (Actualizado el 16 de Mayo del 2013)
--------------------------------------------------
Sistema Operativo: Windows Vista (TM) Business (6.0.6002) SERVICE PACK 2
Usuario: Administrador
ID de Usuario: S-1-5-21-1666200177-318657513-612134452-500
Cadenas Víricas: 19553
Lista de Acciones (por Exploración):
Explorando "C:\"
Nº Total de Directorios: 25448
Nº Total de Ficheros: 126005
Nº de Ficheros Analizados: 39096
Nº de Ficheros Infectados: 0
Nº de Ficheros Limpiados: 0
-
msc hotline sat
- Mensajes: 93500
- Registrado: 09 Mar 2004, 20:39
- Ubicación: BARCELONA (ESPAÑA)
- Contactar:
Re: Troyano. No puedo acceder a ninguna de las unidades removibles ni tampoco a la unidad de DVD/CD
Pues lo que está claro es que el downloader SOUNDER, del que nos envió muestra en el fichero de nombre: Foto 97654897.jpeg.exe, ya no está en el ordenador, si bien como downloader que es, puede haber descargado algun nuevo malware no controlado que le haya afectado el comportamiento del sistema, o que incluso tuviera aun en el ordenador, lo cual si el sistema que usa no fuera el VISTA, como vemos en el infosat:
lo estudiariamos con el SPROCES, pero visto que usa dicho sistema, que no soportamos en este foro, damos por terminado el Tema y procedemos a cerrarlo.
En cualquier caso le recomendamos que cambie de sistema operativo, pues aparte de ser obsoleto y con muchos problemas, desde antaño ya indicamos que el VISTA no está soportado en este foro, y en su defecto le recomendamos usar XP o Windows 7, ya que el Windows8 es tan prometedor como el VISTA ! :
http://www.zonavirus.com/noticias/2013/microsoft-admite-fracaso-de-windows-8-ni-siquiera-ha-podido-superar-a-windows-vista.asp
Esperamos poder serle de mas utilidad en un futuro, con otro sistema, claro.
saludos
ms, 18-5-2013
RGIVALVI
[quote](16-5-2013 19:54:57 (GMT))
EliStartPage v27.69 (c)2013 S.G.H. / Satinfo S.L. (Actualizado el 16 de Mayo del 2013)
--------------------------------------------------
Sistema Operativo: Windows Vista (TM) Business (6.0.6002) SERVICE PACK 2
Usuario: MrGiallo[/quote]
lo estudiariamos con el SPROCES, pero visto que usa dicho sistema, que no soportamos en este foro, damos por terminado el Tema y procedemos a cerrarlo.
En cualquier caso le recomendamos que cambie de sistema operativo, pues aparte de ser obsoleto y con muchos problemas, desde antaño ya indicamos que el VISTA no está soportado en este foro, y en su defecto le recomendamos usar XP o Windows 7, ya que el Windows8 es tan prometedor como el VISTA ! :
Esperamos poder serle de mas utilidad en un futuro, con otro sistema, claro.
saludos
ms, 18-5-2013
RGIVALVI
msc hotline sat Virus Research Engineer Antes de preguntar - Normas Basicas - Mensajes Privados - Repetir Temas - Continuar Temas - Titulos del Tema - Antivirus Online