Este ARticulo es extraido de : http://www.zonavirus.com/noticias/2009/nuevo-troyano-que-se-propaga-por-pendrive-no-conocido-aun.asp, he encontrado un par de ayudas extras para solucionarlo. al final del articulo las anexo.
El virus FOTO.EXE no esta controlado por ningun antivirus, (solo E-Safe lo detecta "sospechoso"). El fichero recibido en cuestion es un FOTO.EXE
eSafe 7.0.17.0 2009.03.04 Suspicious File
Las caracteristicas principales son:
- Queda Residente
- Elimina todos los ficheros de "%Archivos de Programa%\"Kaspersky Lab"
- Renombra Todos los DOCs a .SYSTEM y los XLSs a .SYSTEME
- Pone Atributos +s+h+r a Todos los .SYSTEM .SYSTEME .JPG .BMP .3GP
.MDB y .ACCDB
Crea con atributo de Oculto y Sistema estos ficheros:
%WinSys%\FOTO.EXE
%WinSys%\WINDOWS_UPDATE.BAT
y ademas con atributo de Solo Lectura :
X:\AUTORUN.INF (lanzando el FOTO.EXE de la misma unidad)
X:\Fotos Camara\FOTO.EXE
(donde X:\ es cada una de las unidades tipìcas de pendrive : F:\ G:\ H:\ e I:\)
y crea en el registro claves de autoejecucion en el inicio para
C:\WINDOWS\system32\foto.exe
Desactiva del registro el acceso a TaskMgr
y detiene el proceso RSTRUI.EXE para impedir la restauracion del sistema a pun punto anterior
Remarcamos que desde windows no se puede quitar de un fichero el atributo de sistema, pues accediendo a Propiedades solo cabe toquetear el de Oculto y el de Solo Lectura, por lo que los ficheros con atributo de Sistema seguiran teniendolo, y permaneciendo ocultos en consecuencia, salvo que se utilice alguna herramienta al respecto.
Con el ELISTARA > 18.15 de hoy pasamos a normalizar todo lo indicado, si bien recomendamos vacunar con el ELIPEN ordenadores y pendrives, y otros extraibles (MP3, MP4, camaras electronicas con memoria SD, ect) para evitar la propagación de éste y similares, como los demas -decenas de miles- que actualmente ya se propagan por pendrive)
File foto.gxe received on 03.04.2009 17:30:59 (CET)
Current status: finished
Result: 1/39 (2.56%)
Compact Print results
Antivirus Version Last Update Result
a-squared 4.0.0.101 2009.03.04 -
AhnLab-V3 5.0.0.2 2009.02.27 -
AntiVir 7.9.0.98 2009.03.04 -
Authentium 5.1.0.4 2009.03.04 -
Avast 4.8.1335.0 2009.03.04 -
AVG 8.0.0.237 2009.03.04 -
BitDefender 7.2 2009.03.04 -
CAT-QuickHeal 10.00 2009.03.04 -
ClamAV 0.94.1 2009.03.04 -
Comodo 1025 2009.03.04 -
DrWeb 4.44.0.09170 2009.03.04 -
eSafe 7.0.17.0 2009.03.04 Suspicious File
eTrust-Vet 31.6.6381 2009.03.03 -
F-Prot 4.4.4.56 2009.03.04 -
F-Secure 8.0.14470.0 2009.03.04 -
Fortinet 3.117.0.0 2009.03.04 -
GData 19 2009.03.04 -
Ikarus T3.1.1.45.0 2009.03.04 -
K7AntiVirus 7.10.656 2009.03.03 -
Kaspersky 7.0.0.125 2009.03.04 -
McAfee 5542 2009.03.03 -
McAfee+Artemis 5542 2009.03.03 -
Microsoft 1.4405 2009.03.04 -
NOD32 3907 2009.03.04 -
Norman 6.00.06 2009.03.04 -
nProtect 2009.1.8.0 2009.03.04 -
Panda 10.0.0.10 2009.03.04 -
PCTools 4.4.2.0 2009.03.04 -
Prevx1 V2 2009.03.04 -
Rising 21.19.22.00 2009.03.04 -
SecureWeb-Gateway 6.7.6 2009.03.04 -
Sophos 4.39.0 2009.03.04 -
Sunbelt 3.2.1858.2 2009.03.02 -
Symantec 10 2009.03.04 -
TheHacker 6.3.2.7.271 2009.03.03 -
TrendMicro 8.700.0.1004 2009.03.04 -
VBA32 3.12.10.1 2009.03.03 -
ViRobot 2009.3.4.1634 2009.03.04 -
VirusBuster 4.5.11.0 2009.03.04 -
Additional information
Tamano archivo: 40960 bytes
MD5...: a48bbba861ad2a22c8d35e0b39e521a6
SHA1..: 5e159e593350f42f1bb915d5513aecbf9378b020
En el infosat.txt resultante, aparecerán los ficheros detectados con las extensiones en cuestion y consecuentemente renombrados a extension correcta, además de los ficheros maliciosos detectados y eliminados.
SOLUCION POSIBLE
1. reinicia en modo seguro
2. ingresa con una cuenta tipo administrativo
3. busca en el regedit todo lo relacionado con el foto.exe, lo eliminas
4. busca en TODO el disco duro el archivo foto.exe y lo eliminas
5. ve a los archivos del usuario normal(por el que siempre inicias o el que este infectado) copia solo los archivos importantes (docuemntos, fotos, musica)a una ruta diferente de la de Document and seting,
6. ve a administracion de usuarios y borra la cuenta de ese usuario, hay una pregunta que si quieres eliminar todo o guardar archivos de la cuenta, seleccionas eliminar todo.
7. ahora creas una nueva cuenta para ese usuario y le copias los archivos salvados.
8. reinicia en modo normal y ahora todo deveria ser como antes. ami me funciono.
pero por si las dudas busca en google estas 2 herraminetas y las ejecutas
HJTInstall.exe
trashoverkiller.exe
suerte.
