INFORMACION SOBRE VUNDO 9 - CONTROL Y ELIMINACION

Cerrado
Avatar de Usuario
msc hotline sat
Administrador
Administrador
Mensajes: 89217
Registrado: 09 Mar 2004, 20:39
Ubicación: BARCELONA (ESPAÑA)
Contactar:

INFORMACION SOBRE VUNDO 9 - CONTROL Y ELIMINACION

Mensaje por msc hotline sat » 21 Feb 2008, 14:03

Ultimamente estamos teniendo en el servicio tecnico de SATINFO muchas incidencias (casi el doble de las normales*), debido a troyanos y malwares, nuevos y variantes de los ya conocidos, especialmente VUNDO 9, ONLINE GAME y BAGLES



Si bien, como siempre, con el analisis y monitorizacion de las muestras, desarrollamos nuevas versiones de las herramientas ELISTARA y ELIBAGLA para el control y eliminacion de dichos malwares, en el caso del VUNDO 9 , incluso con el ELINOTIF.DLL que ya se lanza antes de arrancar en modo seguro, el malware se instala en memoria antes que podamos eliminarlo, esto es, ni desde modo seguro ni desde el antivirus lanzado en clave del Win Logon Notify, que es de las primeras cosas que se ejecutan.



Es por ello que para lograr la eliminacion del fichero en cuestion, al que por estar en uso el mensaje que ofrece el C:\infosat.txt es de ACCESO DENEGADO, o bien hemos de colocar el disco duro infectado como esclavo de otro ordenador similar, y arrancando desde el Master, acceder al fichero en cuestion ubicado en el esclavo y eliminarlo, o lo que es mas facil, arrancar desde el CD de instalacion de windows, acceder a la Consola de Recuperacion pulsando R y desde el entorno DOS asi disponible, acceder a la ruta donde está el fichero, generalmente C:\windows\system32 y borrar con un DEL el fichero en cuestion.


[quote]
ELISTARA:

http://www.zonavirus.com/descargas/elistara.asp



ELINOTIF.DLL

http://www.zonavirus.com/descargas/elinotif.asp



Descargar los dos en una misma carpeta y probar el ELISTARA, tras lo cual reiniciar para terminar la eliminacion y luego postearnos el contenido de C:\infosat.txt para ver el resultado del proceso
[/quote]




Sirva este comentario para facilitar la eliminacion de tan fastidioso bicho, que está proliferando y no se puede descartar la infección de una variante no controlada por los antivirus...



saludos



ms, 15-1-2008







NOTA: A título de información, a los asociados a los servicios tecnicos de SATINFO se les entregan las utilidades en un soporte de LIVE CD (LINUX) con el cual arrancar y acceder a dicho fichero para poder eliminarlo, que es una tercera opcion para poder arrancar desde otro medio que no sea el disco duro infectado.

Cerrado

Volver a “Foro Virus - Cuentanos tu problema”

¿Quién está conectado?

Usuarios navegando por este Foro: Bing [Bot] y 2 invitados