Bueno otra vez me han salido problemas con virus, esta vez me sale el virus spammer.ACJ, pero aunque el antivirus parece que lo desinfecta, al volver a pasar el antivirus me vuelve a salir.
Este archivo se encuentra en C:\WINDOWS\system32\xpdx.sys, ademas no me deja borrarlo directamente y no se que hacer para eliminarlo y que no vuelva a salir. Espero que alguien me pueda ayudar
Problema con Spammer.ACJ
pasate elistara arrancando el pc en modo seguro y peganos el log que te dejara en C llamado infosat.txt saludos
http://www.zonavirus.com/articulos/como-arrancar-en-modo-seguro-o-a-prueba-de-fallos.asp
http://www.zonavirus.com/descargas/elistara.asp
y si puedes trata de enviar el archivo siguiendo su ruta para que lo analicen, te dejo el link de como hacerlo
C:\WINDOWS\system32\[b]xpdx.sys[/b]
https://foros.zonavirus.com/viewtopic.php?f=2&t=45334
y si puedes trata de enviar el archivo siguiendo su ruta para que lo analicen, te dejo el link de como hacerlo
C:\WINDOWS\system32\
-
msc hotline sat
- Mensajes: 93500
- Registrado: 09 Mar 2004, 20:39
- Ubicación: BARCELONA (ESPAÑA)
- Contactar:
Sí, probablemente se trate de este troyano:
Como muy bien dice lucl, envienos dicho fichero:
C:\WINDOWS\system32\xpdx.sys
->[b] Para ello recordar[/b] https://foros.zonavirus.com/viewtopic.php?f=2&t=45334
y tras analizarlo, implementaremos su control y eliminacion en nuestras utilidades, de lo cual infomaremos
saludos
ms, 24-06-2007
[quote="sophos2"]
Troj/Rustok-B
Trojan
Summary
Summary Description Recovery Advanced
Prevalence: low high
Name Troj/Rustok-B
Type Trojan
Affected operating systems Windows
Side effects Drops more malware
Installs itself in the Registry
Protection Download virus identity (IDE) file
Protection available since 19 June 2007 07:08:24 (GMT)
Detected by All versions of Sophos Anti-Virus
Included in our products from August 2007 (4.20)
More information on IDE files What are IDE files?
How to use IDE files
Get the latest IDE files
Description
Summary Description Recovery Advanced
This section helps you to understand how it behaves
Troj/Rustok-B is a Trojan for the Windows platform.
Recovery
Summary Description Recovery Advanced
This section tells you how to remove the threat.
Please follow the instructions for removing Trojans.
Advanced
Summary Description Recovery Advanced
This section is for technical experts who want to know more.
Troj/Rustok-B is a Trojan for the Windows platform.
When Troj/Rustok-B is installed it creates the file <System>\xpdx.sys.
The file xpdx.sys is detected as Mal/RKRustok-A.
The file xpdx.sys is registered as a new system driver service named "xpdx", with a display name of "xpdx system driver". Registry entries are created under:
HKLM\SYSTEM\CurrentControlSet\Services\xpdx[/quote]
Como muy bien dice lucl, envienos dicho fichero:
C:\WINDOWS\system32\xpdx.sys
->
y tras analizarlo, implementaremos su control y eliminacion en nuestras utilidades, de lo cual infomaremos
saludos
ms, 24-06-2007
msc hotline sat Virus Research Engineer Antes de preguntar - Normas Basicas - Mensajes Privados - Repetir Temas - Continuar Temas - Titulos del Tema - Antivirus Online
Pues he intentado enviaros una muestra del archivo y al intertar pasarlo a rar me dice que el sistema no puede hallar la ruta de archivo especificada, y no se que hacer, la cosa que ese archivo si sale en la carpeta y cada vez que paso antivirus me detecta e virus ahi.
REspecto al elistara me sale esto:
Mon Jun 25 11:02:08 2007
EliStartPage v14.26 (c)2007 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Acción Directa):
ALERTA. WindowsUpdate Incompleto.
Eliminados Ficheros Temporales del IE
Detectado AUTORUN.INF en la Unidad (K)
OPEN=setupSNK.exe
Si Desconoce la Aplicación, por favor envienosla
acompañada del AUTORUN.INF a "virus@satinfo.es ". Gracias.
Mon Jun 25 11:02:18 2007
EliStartPage v14.26 (c)2007 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\
No se que actualización de windows me alta pero me voy a poner a ver cual es la que me falta y actualizar. Sobre el archivo que dice setupSNK.exe se trata de un emulador no se porque lo detecta.
Bueno ya me direis alguna solucion
REspecto al elistara me sale esto:
Mon Jun 25 11:02:08 2007
EliStartPage v14.26 (c)2007 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Acción Directa):
ALERTA. WindowsUpdate Incompleto.
Eliminados Ficheros Temporales del IE
Detectado AUTORUN.INF en la Unidad (K)
OPEN=setupSNK.exe
Si Desconoce la Aplicación, por favor envienosla
acompañada del AUTORUN.INF a "
Mon Jun 25 11:02:18 2007
EliStartPage v14.26 (c)2007 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\
No se que actualización de windows me alta pero me voy a poner a ver cual es la que me falta y actualizar. Sobre el archivo que dice setupSNK.exe se trata de un emulador no se porque lo detecta.
Bueno ya me direis alguna solucion
-
msc hotline sat
- Mensajes: 93500
- Registrado: 09 Mar 2004, 20:39
- Ubicación: BARCELONA (ESPAÑA)
- Contactar:
Claro, desactive el antivirus para empaquetarlo en RAR,,, sino no podrá , o arranque en modo seguro para hacerlo
saludos
ms, 25-06-2007
saludos
ms, 25-06-2007
msc hotline sat Virus Research Engineer Antes de preguntar - Normas Basicas - Mensajes Privados - Repetir Temas - Continuar Temas - Titulos del Tema - Antivirus Online
-
msc hotline sat
- Mensajes: 93500
- Registrado: 09 Mar 2004, 20:39
- Ubicación: BARCELONA (ESPAÑA)
- Contactar:
Pues pruebe de arrancar en modo seguro y copie este fichero al escritorio por ejemplo, y cuando arranque normalmente allí lo encontrará mas facilmente.
http://www.zonavirus.com/articulos/como-arrancar-en-modo-seguro-o-a-prueba-de-fallos.asp
saludos
ms, 26-06-2007
saludos
ms, 26-06-2007
msc hotline sat Virus Research Engineer Antes de preguntar - Normas Basicas - Mensajes Privados - Repetir Temas - Continuar Temas - Titulos del Tema - Antivirus Online
-
msc hotline sat
- Mensajes: 93500
- Registrado: 09 Mar 2004, 20:39
- Ubicación: BARCELONA (ESPAÑA)
- Contactar:
Leyendo la descripcion vemos que xpdx.sys se carga con atributos de sistema y quizas por ello no puedes verlo.
Mira con un Inicio -> Buscar -> Todos los ficheros y carpetas -> xpdx.sys , si lo ves, y en tal caso ya habremos dado un paso adelante... lo demás ya es cosa nuestra !
Es la madre del cordero, segun indica la desceipcion, y una vez lo analcemos ya lo podremos controlar.
saludos
ms, 27-06-2007
Mira con un Inicio -> Buscar -> Todos los ficheros y carpetas -> xpdx.sys , si lo ves, y en tal caso ya habremos dado un paso adelante... lo demás ya es cosa nuestra !
Es la madre del cordero, segun indica la desceipcion, y una vez lo analcemos ya lo podremos controlar.
saludos
ms, 27-06-2007
msc hotline sat Virus Research Engineer Antes de preguntar - Normas Basicas - Mensajes Privados - Repetir Temas - Continuar Temas - Titulos del Tema - Antivirus Online
-
msc hotline sat
- Mensajes: 93500
- Registrado: 09 Mar 2004, 20:39
- Ubicación: BARCELONA (ESPAÑA)
- Contactar:
Bueno, lo pillamos !
Pues arranca con el CD de instalacion, pulsar R para entrar en consola de recuperacion, y una vez en este entorno de DOS escribes:
C: <enter>
CD windows <enter>
CD system32 <enter>
copy xpdx.sys c:\ <enter>
del xpdx.sys <enter>
De esta forma habras movido el dichoso fichero al directorio principal, y cuando reinicies ya no se pondrá en uso porque no estará en el sitio donde lo va a buscar, y nos lo podrás enviar para analizar y deshacer todo lo que ha hecho, implementandolo en nuestras utilidades, lo cual informaremos cuando esté listo para que las puedas probar y normalizar tu registro
->[b] Para ello recordar[/b] https://foros.zonavirus.com/viewtopic.php?f=2&t=45334
saludos
ms, 17-06-2007
Pues arranca con el CD de instalacion, pulsar R para entrar en consola de recuperacion, y una vez en este entorno de DOS escribes:
C: <enter>
CD windows <enter>
CD system32 <enter>
copy xpdx.sys c:\ <enter>
del xpdx.sys <enter>
De esta forma habras movido el dichoso fichero al directorio principal, y cuando reinicies ya no se pondrá en uso porque no estará en el sitio donde lo va a buscar, y nos lo podrás enviar para analizar y deshacer todo lo que ha hecho, implementandolo en nuestras utilidades, lo cual informaremos cuando esté listo para que las puedas probar y normalizar tu registro
->
saludos
ms, 17-06-2007
msc hotline sat Virus Research Engineer Antes de preguntar - Normas Basicas - Mensajes Privados - Repetir Temas - Continuar Temas - Titulos del Tema - Antivirus Online
-
msc hotline sat
- Mensajes: 93500
- Registrado: 09 Mar 2004, 20:39
- Ubicación: BARCELONA (ESPAÑA)
- Contactar:
Pues ahora, tras reiniciar ya no se pondrá en uso, y mañana con la muestra enviada, monitorizaremos su comportamiento y desharemos lo que haga, implementandolo en nuestras utilidaes, de lo cual informaremos
saludos
ms, 1-07-2007
saludos
ms, 1-07-2007
msc hotline sat Virus Research Engineer Antes de preguntar - Normas Basicas - Mensajes Privados - Repetir Temas - Continuar Temas - Titulos del Tema - Antivirus Online
-
msc hotline sat
- Mensajes: 93500
- Registrado: 09 Mar 2004, 20:39
- Ubicación: BARCELONA (ESPAÑA)
- Contactar:
Recibida muestra, ha sido implementada en el ELISTARA de hoy 14.33, que estara disponible para pruebas de evaluacion n esta web, a partir de las 16 H GMT
saludos
ms, 3-07-2007
saludos
ms, 3-07-2007
msc hotline sat Virus Research Engineer Antes de preguntar - Normas Basicas - Mensajes Privados - Repetir Temas - Continuar Temas - Titulos del Tema - Antivirus Online