INFORMACION SOBRE VUNDO 9 - CONTROL Y ELIMINACION

Cerrado
Avatar de Usuario
msc hotline sat
Mensajes: 93500
Registrado: 09 Mar 2004, 20:39
Ubicación: BARCELONA (ESPAÑA)
Contactar:

INFORMACION SOBRE VUNDO 9 - CONTROL Y ELIMINACION

Mensaje por msc hotline sat » 21 Feb 2008, 14:03

Ultimamente estamos teniendo en el servicio tecnico de SATINFO muchas incidencias (casi el doble de las normales*), debido a troyanos y malwares, nuevos y variantes de los ya conocidos, especialmente VUNDO 9, ONLINE GAME y BAGLES

Si bien, como siempre, con el analisis y monitorizacion de las muestras, desarrollamos nuevas versiones de las herramientas ELISTARA y ELIBAGLA para el control y eliminacion de dichos malwares, en el caso del VUNDO 9 , incluso con el ELINOTIF.DLL que ya se lanza antes de arrancar en modo seguro, el malware se instala en memoria antes que podamos eliminarlo, esto es, ni desde modo seguro ni desde el antivirus lanzado en clave del Win Logon Notify, que es de las primeras cosas que se ejecutan.

Es por ello que para lograr la eliminacion del fichero en cuestion, al que por estar en uso el mensaje que ofrece el C:\infosat.txt es de ACCESO DENEGADO, o bien hemos de colocar el disco duro infectado como esclavo de otro ordenador similar, y arrancando desde el Master, acceder al fichero en cuestion ubicado en el esclavo y eliminarlo, o lo que es mas facil, arrancar desde el CD de instalacion de windows, acceder a la Consola de Recuperacion pulsando R y desde el entorno DOS asi disponible, acceder a la ruta donde está el fichero, generalmente C:\windows\system32 y borrar con un DEL el fichero en cuestion.
ELISTARA:
http://www.zonavirus.com/descargas/elistara.asp
ELINOTIF.DLL
http://www.zonavirus.com/descargas/elinotif.asp

Descargar los dos en una misma carpeta y probar el ELISTARA, tras lo cual reiniciar para terminar la eliminacion y luego postearnos el contenido de C:\infosat.txt para ver el resultado del proceso
Sirva este comentario para facilitar la eliminacion de tan fastidioso bicho, que está proliferando y no se puede descartar la infección de una variante no controlada por los antivirus...

saludos
ms, 15-1-2008



NOTA: A título de información, a los asociados a los servicios tecnicos de SATINFO se les entregan las utilidades en un soporte de LIVE CD (LINUX) con el cual arrancar y acceder a dicho fichero para poder eliminarlo, que es una tercera opcion para poder arrancar desde otro medio que no sea el disco duro infectado.

Cerrado

Volver a “Foro Virus - Cuentanos tu problema”