Si bien, como siempre, con el análisis y monitorización de las muestras, a diario desarrollamos nuevas versiones de las herramientas ELISTARA y ELIBAGLA para el control y eliminacion de dichos malwares, en el caso del VUNDO 9 , incluso con el ELINOTIF.DLL que ya se lanza antes de arrancar en modo seguro, el malware se instala en memoria antes que podamos eliminarlo, esto es, ni desde modo seguro ni lanzando el ELINOTIF en la clave del Win Logon Notify, instalado en el registro por el ELISTARA para que sea lanzado en el siguiente reinicio, al ser de las primeras claves que se ejecutan.
Es por ello que para lograr la eliminación del fichero en cuestión, al que, por estar en uso, el mensaje que ofrece el C:\infosat.txt es de ACCESO DENEGADO, o bien hemos de colocar el disco duro infectado como esclavo de otro ordenador similar, y arrancando desde el Master, acceder al fichero en cuestión ubicado en el esclavo y eliminarlo, o lo que es mas fácil, arrancar desde el CD de instalacion de windows, acceder a la Cónsola de Recuperación pulsando R y desde el entorno DOS asi disponible, acceder a la ruta donde está el fichero, generalmente C:\windows\system32 y borrar con un DEL el fichero en cuestion., que se indica en el C:\infosat.txt como infectado por el VUNDO 9 y de ACCESO DENEGADO
Sirvan estas indicaciones para facilitar la eliminación de tan fastidioso bicho, que está proliferando y no se puede descartar la infección de una variante no controlada por los antivirus...
saludos
ms, 15-1-2008
NOTA:
previamente se debe haber descargado el ELISTARA.EXE y el ELINOTIF.DLL en una misma carpeta y tras probar el ELISTARA y reiniciar, cuando se detecte el VUNDO9 y se indique ACCESO DENEGADO a detreminada DLL, proceder como se indica anteriormente.
ms.msc escribió: ELISTARA:
http://www.zonavirus.com/descargas/elistara.asp
ELINOTIF.DLL
http://www.zonavirus.com/descargas/elinotif.asp
Descargar los dos en una misma carpeta y probar el ELISTARA, tras lo cual reiniciar para terminar la eliminacion y luego postearnos el contenido de C:\infosat.txt para ver el resultado del proceso