kavo.exe (SOLUCIONADO)

[martinn]

al arrancar el ordenador me salen dos avisos tales como estos:



kavo.exe error de aplicacion

la instruccion en ox10011d55 hace referencia a la memoria en 0x00000000 la memoria no se puede read


[quote]hacer click en aceptar para finalizar este programa



otro:



cc.exe error de aplicacion



la instruccion en ox10011e53 hace referencia a la memoria en 0x00ff87eb la memoria no se puede read



hacer click en aceptar para finalizar este programa[/quote]

Tiene que ver con ha[b][i]b[/i][/b]er pasado el programas elistara?

como puedo hacer para eliminarlos?

gracias

[msc hotline sat]

El KAVO es un ONLINE GAMES que debe eliminarse con el ELISTARA



Posteenos el contenido de c:\infosat.txt para ver el resultado del proceso y seguiremos



saludos



ms, 11-04-2008

[martinn]

he pasasdo el elistara y ya no sale...

y el archivo de informacion es el siguiente:




[quote]
Fri Apr 11 21:29:07 2008

EliStartPage v16.07 (c)2008 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\



Nº Total de Directorios: 3449

Nº Total de Ficheros: 34237

Nº de Ficheros Analizados: 14972

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0






[/quote]

debe ser que esta solucionado. ¿no?

saludos y gracias

[martinn]

he pasasdo el elistara y ya no sale...

y el archivo de informacion es el siguiente:




[quote]
Fri Apr 11 21:29:07 2008

EliStartPage v16.07 (c)2008 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\



Nº Total de Directorios: 3449

Nº Total de Ficheros: 34237

Nº de Ficheros Analizados: 14972

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0






[/quote]

debe ser que esta solucionado. ¿no?

saludos y gracias

[lucl]

Te falta pegarnos parte del log, solo se ve el analisis por exploracion y nos falta ver el de accion directa, copianoslo entero, saludos

[martinn]

Hoy ha vuelto a salir el aviso

paso el elistara.

genera un archivo infosat.txt que tiene 484 kb



cuando lo quiero pegar me da este mensaje:



Su mensaje contiene 491068 caracteres. El máximo número de caracteres permitidos es 90000.



os envio un resumen.

lo puedo enviar tb por correo-e.





Sat Apr 12 12:10:32 2008

EliStartPage v16.07 (c)2008 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\SYSTEM32\KAVO0.DLL.VIR --> Eliminado.

Linea Eliminada del HOSTS --> 127.0.0.1 .supercocklol.com

Linea Eliminada del HOSTS --> 127.0.0.1 http://www..webloyalty.com

Linea Eliminada del HOSTS --> 127.0.0.1 007guard.com

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.007guard.com

Linea Eliminada del HOSTS --> 127.0.0.1 008i.com

Linea Eliminada del HOSTS --> 127.0.0.1 008k.com

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.008k.com

Linea Eliminada del HOSTS --> 127.0.0.1 00hq.com

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.00hq.com

.

.

.

.

.

cientos de lineas eliminadas del host

...

.

Linea Eliminada del HOSTS --> 127.0.0.1 zsupereva.it

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.zsvcompany.com

Linea Eliminada del HOSTS --> 127.0.0.1 zsvcompany.com

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.zurrusco.com

Linea Eliminada del HOSTS --> 127.0.0.1 zurrusco.com

Linea Eliminada del HOSTS --> 127.0.0.1 zvimigdal.com

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.zxcsolution.com

Linea Eliminada del HOSTS --> 127.0.0.1 zxcsolution.com

Linea Eliminada del HOSTS --> 127.0.0.1 zxlinks.com

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.zxlinks.com

Linea Eliminada del HOSTS --> 127.0.0.1 zyban-zocor-levitra.com

Eliminados Ficheros Temporales del IE

Detectado AUTORUN.INF en la Unidad (C)

open=iq0ecwcj.cmd

Si Desconoce la Aplicación, por favor envienosla

acompañada del AUTORUN.INF a "virus@satinfo.es". Gracias.

Detectado AUTORUN.INF en la Unidad (D)

open=iq0ecwcj.cmd

Si Desconoce la Aplicación, por favor envienosla

acompañada del AUTORUN.INF a "virus@satinfo.es". Gracias.

Detectado AUTORUN.INF en la Unidad (F)

open=iq0ecwcj.cmd

Si Desconoce la Aplicación, por favor envienosla

acompañada del AUTORUN.INF a "virus@satinfo.es". Gracias.

[lucl]

Bien , pero mira esto que te dice elistara





Detectado AUTORUN.INF en la Unidad (C)

open=iq0ecwcj.cmd

Si Desconoce la Aplicación, por favor envienosla

acompañada del AUTORUN.INF Gracias.

Detectado AUTORUN.INF en la Unidad (D)

open=iq0ecwcj.cmd

Si Desconoce la Aplicación, por favor envienosla

acompañada del AUTORUN.INF . Gracias.

Detectado AUTORUN.INF en la Unidad (F)

open=iq0ecwcj.cmd

Si Desconoce la Aplicación, por favor envienosla

acompañada del AUTORUN.INF Gracias.





Dinos que es esto y si no lo conoces envialo para su analisis, sigue las instrucciones del link, saludos



https://foros.zonavirus.com/viewtopic.php?f=2&t=45334

[msc hotline sat]

Mas bien es una variante de ONLINE GAMES, que si el ELISTARA aun no controla, pasaremos a hacerlo tras recibir las muestras solicitadas.



Asi que envianoslas como indica lucl y procederemos



saludos



ms, 12-04-2008

[martinn]

hola



le doy al buscar autorun i me salen informacion sobre instalacion de programas nero y Hp.



No me sale nada mas.

puede que esten ocultos? Ocurre que quiero con OPCIONES DE CARPETA hacer visibles los archivos ocultos y marco el boton de ver ocultos y luego el de aplicar pero... no lo hace . vuelvo a mirar y veo que esa opción no se ha realizado. por mucho que lo intento no se marca.





¿Puede que por eso no encuentre los AUTORUN.INF?

[lucl]

Prueba esto que propuso un forero que tenia el mismo problema



si entro desde la barra de direcciones poniendo el nombre de la carpeta si estan todos los archivos es la unica forma de entrar a los archivo

espero que les sirva el dato





pero es raro que no se te activen ver todos los archivos ocultos, prueba esto y nos comentas, saludos

[mikmatcr]

Te regalo otra forma de ver lor archivos ocultos: :lol:



1- Inicio

2- Ejecutar

3- cmd

4- escribre "cd\" sin comillas(con esto estaras en la raíz de C:)

5- escribe "attrib" sin comillas(aparecera lo que tienes en C:, los archivos que tienen "SHR" adelante significa que estan ocultos, solo lectura y la otra letra nosé.

6- En tu caso ocupas el autorun pero también me imagino que estara el archivo que el autorun ejecuta.

7- Escribe "attrib -r -s -h autorun.inf" sin comillas y enter(ya el autorun estará visible en C:)

8- Dirigete a C: y manda el autorun tal y como te lo indicaron.

9- Esta forma también sirve para que puedas ver los otros archivos, por ejemplo: [b]q0ecwcj.cmd[/b]



Espero haber sido claro, sino pregunta y te respondere apenas pueda.

[msc hotline sat]

De todas formas recordar que los ONLINE GAMES tienen la caracteristica de instalar una clave en el registro para impedir ver los ficheros ocultos, pero que el ELISTARA desactiva, si bien , si no se conoce dicha variante y vuelve a reiniciarse, volverá a instalarla...



Por ello sugiero arrancar en modo segur0, lanzar el ELISTARA, para, aunque no conozca dicha variante, eliminar dicha clave, y volviendo a reiniciar en modo seguro, para no cargar el virus, buscar el fichero sospechoso [b][i]iq0ecwcj.cmd[/i][/b] , y renombrar su extension a .VIR



Luego enviarnos dicho fichero y el AUTORUN.INF en cuestion para analizar y controlar:



[b]¿Como enviar las muestras a zonavirus? - Para ello recordar[/b]:

https://foros.zonavirus.com/viewtopic.php?f=5&t=14253



Por último sugerir vacunar el ordenador y los pendrives con el ELIPEN:


[quote="para DESCARGAR el ELIPEN, msc"]



http://www.zonavirus.com/descargas/elipen.asp



Tras probarlo, reiniciar y postearnos el contenido de



C:\infosat.txt para ver el resultado del proceso [/quote]

saludos



ms, 13-04-2008

[msc hotline sat]

Y aparte, mirar si tienes estos ficheros:



C:\WINDOWS\system32\tavo0.dll

C:\i.bat

C:\i0.cmd



Pues pueden ser "compañeros" del iq0ecwcj.cmd , y si los tienes, conviene que nos los envies tambien para analizar



saludos



ms, 13-04-2008

[martinn]

[quote]Por ello sugiero arrancar en M0D0 SEGUR0, lanzar el ELISTARA, para, aunque no conozca dicha variante, eliminar dicha clave, y volviendo a reiniciar en modo seguro, para no cargar el virus, buscar el fichero sospechoso iq0ecwcj.cmd , y renombrar su extension a .VIR



Luego enviarnos dicho fichero y el AUTORUN.INF en cuestion para analizar y controlar:
[/quote]

He seguido tus instrucciones. creo que bien.

he entrado en modo seguro. he lanzado el Elistara he vuelto a reiniciar enmodo segurio y he buscado los archivos sospechosos:



[b]iq0ecwcj.cmd y AUTORUN.INFO[/b]



[color=#FF0040][size=150]

el Buscador : No los ha encontrado.[/size][/color]



En modo seguro he podido VER los archivos ocultos.

al arrancar modo normal. Nada. no puedo VERlos.

te añado resumen dell infosat.txt


[quote] Sun Apr 13 17:51:28 2008

EliStartPage v16.07 (c)2008 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\SYSTEM32\KAVO0.DLL.VIR --> Eliminado.

Detectado AUTORUN.INF en la Unidad (C)

open=iq0ecwcj.cmd

Si Desconoce la Aplicación, por favor envienosla

acompañada del AUTORUN.INF a "virus@satinfo.es". Gracias.

Detectado AUTORUN.INF en la Unidad (D)

open=iq0ecwcj.cmd

Si Desconoce la Aplicación, por favor envienosla

acompañada del AUTORUN.INF a "virus@satinfo.es". Gracias.

Detectado AUTORUN.INF en la Unidad (F)

open=iq0ecwcj.cmd

Si Desconoce la Aplicación, por favor envienosla

acompañada del AUTORUN.INF a "virus@satinfo.es". Gracias.
[/quote]

Estamos igual.

No hay manera de erradicar el maldito "bicho"

Tengo un aerosol matacucarachas, estoy por pegarle una rociada al ordenador :?



saludos.

.

[martinn]

Ah se me olvidaba.



Tampoco he encontrado los 3 archivos que me sugeriste.
[quote]C:\WINDOWS\system32\tavo0.dll

C:\i.bat

C:\i0.cmd[/quote]

No estan. al menos visibles.

[msc hotline sat]

Pues en modo seguro copie este fichero iq0ecwcj.cmd, de cualquier unidad donde esté el AUTORUN.INF, a otra unidad, pendrive, disquete o donde quiera, de modo que luego, arrancando en modo normal, nos lo envie.



Una vez analizado, implementaremos su control y eliminacion en nuestras utilidades, de lo cual informaremos.



Saludos



ms, 13-04-2008



NOTA_: Y no pierda el sentido del humor, por lo de: [b][i]"Tengo un aerosol matacucarachas, estoy por pegarle una rociada al ordenador"[/i][/b], pero mas vale que no lo haga, no sea que provoque un cortocircuito que aun sea peor :lol: ms.

[martinn]

He seguido las instrucciones tambien de MIKMATCR.

Resultados.



he cambiado los atributos a visibles y los he renombrado.

los he enviado a zonavirus y los he borrado.

He reiniciado el ordenador de nuevo e voila!!!!




[quote] Sun Apr 13 18:36:28 2008

EliStartPage v16.07 (c)2008 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\SYSTEM32\KAVO0.DLL.VIR --> Eliminado.

C:\WINDOWS\SYSTEM32\TAVO0.DLL.VIR --> Eliminado.

Detectado AUTORUN.INF en la Unidad (C)

open=30ed3.exe

Si Desconoce la Aplicación, por favor envienosla

acompañada del AUTORUN.INF a "virus@satinfo.es". Gracias.

Detectado AUTORUN.INF en la Unidad (D)

open=30ed3.exe

Si Desconoce la Aplicación, por favor envienosla

acompañada del AUTORUN.INF a "virus@satinfo.es". Gracias.

Detectado AUTORUN.INF en la Unidad (F)

open=30ed3.exe

Si Desconoce la Aplicación, por favor envienosla

acompañada del AUTORUN.INF a "virus@satinfo.es". Gracias.
[/quote]

Ahora, nuevamente no puedo acceder al disco duro C: me sale ABRIR CON.

:evil:

[msc hotline sat]

No sé los que ha enviado, pero aparte del que deciamos, envie tambien este de ahora:



[b][i]30ed3.exe[/i][/b]



Y felicidades ! tenía dos variantes, una TAVO y una KAVO...



C:\WINDOWS\SYSTEM32\KAVO0.DLL.VIR --> Eliminado.

C:\WINDOWS\SYSTEM32\TAVO0.DLL.VIR --> Eliminado.



Y al parecer no ha vacunado ordenador, unidades y pendrives con el ELIPEN... creo que se lo habiamos sugerido, no ? Con ello los AUTORUN.INF hubieran sido renombrados y no hubieran sido procesados al acceder a dichas unidades !



Bueno, si nos han eviado o nos envian los dos, conforme indicamos, mañana controlaremos dos ONLINE GAMES mas, aparte de los que lleguen por otras partes :wink:



saludos



ms, 13-04-2008

[martinn]

Pase ya el programa ELIPEN que ha creado carpetas nombradas AUTORUN.INF con archivos *.sat en su interior.



el archivo [b]30ed3.exe[/b] no lo he podido encontrar. Lo siento! :(



de momento estoy a la espera de ver que pasa.

Parece que el ELIPEN ha funcionado.

Estaremos en contacto.

Gracias nuevamente.



Saludos

[martinn]

Lo de estaremos en contacto va en serio.



Mi hijo me comenta que lleva desde ayer con su ordenador que se le reinicia solo.

Voy a ver si con lo aprendido averiguo que le pasa al p........ ordenador.



Saludos.

[msc hotline sat]

Pues fijate que el 30ed3.exe lo detectastes en C: , en D: y en F:


[quote]Detectado AUTORUN.INF en la Unidad (C)

open=30ed3.exe

Si Desconoce la Aplicación, por favor envienosla

acompañada del AUTORUN.INF a "virus@satinfo.es". Gracias.

Detectado AUTORUN.INF en la Unidad (D)

open=30ed3.exe

Si Desconoce la Aplicación, por favor envienosla

acompañada del AUTORUN.INF a "virus@satinfo.es". Gracias.

Detectado AUTORUN.INF en la Unidad (F)

open=30ed3.exe[/quote]

pero claro, si alguno de estos es un pendrive has de poner el que había cuando explorastes.



Piensa que estarán ocultos y posiblemente con atributos de sistema:



https://foros.zonavirus.com/viewtopic.php?f=5&t=13245



Mira de encontrarlo y enviarnoslo para poderlo controlar, sino no estarás seguro, pues aunque gracias al ELIPEN no se autoejecute, siempre cabe el ejecutarlo manualmente ...



saludos



ms, 14-04-2008





NOTA: y ojo, si no puedes ver asi ningun oculto, es que puedes tener una variante no controlada de este virus en memoria, pues se caracteriza por impedir ver ficheros ocultos.!



ms.

[martinn]

[quote]30ed3.exe[/quote]

Pues no. no aparece.

He habilitado los archivos ocultos y aun así no aparece el archivo de marras.

C: D: i F: son discos duros. no pendrives.



La caceria se pospone.

Espero que de forma indefinida :lol: :lol: :lol: :lol:

[martinn]

ahora que me doy cuenta... que significa la llave inglesa que me habeis otorgado?

Que soy ya un fiera eliminador de virus ??????????



Martinn, el eliminador!!!!!!!!!!!!!

jo, que vicio!!!!!!!!!1



:D :lol: :D :lol: :? :? :? :?

[msc hotline sat]

Las llaves y el "título" son automaticas segun el numero de posts emitidos.



y el fichero de marras, 30ed3.exe, lo debes tener en dichas unidades, si no lo has eliminado...



Prueba de hacerlo desde una ventana al DOS, para ello sigue las indicaciones:



Inicio -> Ejecutar -> CMD.EXE



y escribes:



F:   <ENTER>



ATTRIB  -S  -H  -R  30ed3.exe  /S  <ENTER>



DIR   30ed3.exe  /S   <ENTER>



Si asi lo encuentras, ya lo verás desde windows, luego lo anexas a un mail y nos lo envias como ya sabes.



saludos



ms, 15-04-2008

[martinn]

Hecho!



y el sistema me dice que no encuentra el archivo

[b]30ed3.exe[/b]



luego lo he eliminado.... supongo no? :D

Me felicito y.... os felicito por vuestra generosa ayuda.



Saludos

[msc hotline sat]

Pues lo celebramos, y dando el Tema por solucionado, procedemos a cerrarlo



Si nos necesita de nuevo, ya sabe donde estamos



saludos



ms, 15-04-2008