Cómo elimino MalWarrior y TRoyan.Pandex de mi PC??

[canelo]

Hola amigos:



Ayer por descuido, adquirí el MalWarrior y estoy teniendo problemas con mi PC.



Entre los mensajes de los foros encontré información sobre un ELISTARA.. pero para mi no es claro, qué debo hacer para eliminar las rutinas que se están ejecutando en mi pc.



Lo único que hice fue, cambiar la extensión del archivo MalWarrior.exe por ValWarrior.Vir pero no se que más dbo hacer. Tengo el Symantec Antivirus y cada vez que reinicio me detecta la existencia de: Troyan.Pandex y que se han eliminado archivos como: nsw50.sys, dim15.sys, chl40.sys, svchost.exe, lqv51.sys, puy38.sys, nmR38.sys... luego me dice que debo reiniciar. Pero al hacerlo siguen apareciendo algunas rutinas como:



a) En el fondo de pantalla aparece una imagen sobre protección contra Malware y en el escritorio y favoritos aparecen 3 accesos directos. Error Cleaner, Privacy protector, Spyware&Malware Protection.



En el Windows Explorer de repente me envìa a varios sitios recurrentemente.



EL administrador de tareas está como desactivado o deshabilitado, cada rato aparece un Spyware Alert y se trata de abrir un sitio en http://www.system.defender.com y una alerta de sistema acerca de actividad de virus.



Sé que es un tema que ya dieron por cerrado, pero quisiera pedirles me explicaran en terminos simples lo que debo hacer.



La Pc infectada tiene el Symantec, pero no da opciones de limpieza y ahora estoy corriendo un análisis en linea con Panda Active Scan.



De antemano agradezco su atención.

[msc hotline sat]

Pues pruebe el ELISTARA y comentenos el resultado, gracias:


[quote="para DESCARGAR el ELISTARA, msc"] http://www.zonavirus.com/descargas/elistara.asp



Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso [/quote]



saludos



ms, 16-05-2008

[canelo]

Hola de nuevo:



Ya baje el ELiStarA y la aplicación que solicita ELINOTIF.DLL... pero al reiniciar y volver a correrlo aun marca algunas fallas:



No identifica el SP3 de Windows que hay que correr el update, pero al correrlo se desata de nuevo virus troyano en el archivo: svchost.exe - k netsvcs



Me pide que les envìe una muestra de los siguientes archivos (los quiero mandar pero necesito saber si hay que hacer algo adicional):

C:/winogon/PMNKJAAK.DLL

C:/Muestras/WINCTRLL32.DLL

C:/Muestras/YAYAYRKJ.DLL (Este lo marca como infectado por Vundo9)



Tambien marca infección en Downloader.ConHook



[b]AQUI TE POSTEO EL RESULTADO DEL INFOSAT.TXT[/b]





Fri May 16 13:43:02 2008

EliStartPage v16.29 (c)2008 S.G.H. / Satinfo S.L. (Modificado el 16 de Mayo del 2008)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Key Eliminada [WinLogon\Notify\PMNKJAAX] -> C:\WINDOWS\SYSTEM32\pmnkJaax.dll

Entrada Eliminada [HKLM\...\Run] "dcdf4049"="rundll32.exe "C:\WINDOWS\system32\gaigepqh.dll",b" (Vundo)

[WinLogon\Notify\WINCTRL32]

Por favor, envienos el INFOSAT.TXT y una muestra del fichero

C:\WinLogon\WINCTRL32.DLL

a "virus@satinfo.es". Gracias.

[WinLogon\Notify\WLCTRL32]

Por favor, envienos el INFOSAT.TXT y una muestra del fichero

C:\WinLogon\WLCTRL32.DLL

a "virus@satinfo.es". Gracias.

Por favor, envienos una muestra del fichero

C:\Muestras\PMNKJAAX.DLL.Muestra EliStartPage v16.29

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\PMNKJAAX.DLL --> Acceso Denegado.

Por favor, envienos una muestra del fichero

C:\Muestras\WLCTRL32.DLL.Muestra EliStartPage v16.29

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\WLCTRL32.DLL --> Renombrado a .VIR

Por favor, envienos una muestra del fichero

C:\Muestras\GAIGEPQH.DLL.Muestra EliStartPage v16.29

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\GAIGEPQH.DLL --> Renombrado a .VIR

C:\Documents and Settings\ISOSUP1\Escritorio\Error Cleaner.url --> Eliminado (Fichero Complementario).

C:\Documents and Settings\ISOSUP1\Escritorio\Privacy Protector.url --> Eliminado (Fichero Complementario).

C:\Documents and Settings\ISOSUP1\Escritorio\Spyware&Malware Protection.url --> Eliminado (Fichero Complementario).

C:\Documents and Settings\ISOSUP1\Favoritos\Error Cleaner.url --> Eliminado (Fichero Complementario).

C:\Documents and Settings\ISOSUP1\Favoritos\Privacy Protector.url --> Eliminado (Fichero Complementario).

C:\Documents and Settings\ISOSUP1\Favoritos\Spyware&Malware Protection.url --> Eliminado (Fichero Complementario).

Entrada Eliminada [HKLM\...\Run] "advap32"="C:\DOCUME~1\ISOSUP1\CONFIG~1\Temp\stdcons.exe/r"

Eliminada Carpeta "%Application Data%\Adsl Software Limited"

No detectado SP3 de Windows XP

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Reinicie para Completar la Limpieza.



Fri May 16 13:47:57 2008

EliStartPage v16.29 (c)2008 S.G.H. / Satinfo S.L. (Modificado el 16 de Mayo del 2008)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\



Nº Total de Directorios: 2437

Nº Total de Ficheros: 30212

Nº de Ficheros Analizados: 11348

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

Sistema Infectado por el Downloader.ConHook

Sistema Infectado por el Vundo9

(C:\WINDOWS\SYSTEM32\YAYAYRKJ.DLL)

No Detectada Utilidad "ELINOTIF.DLL" (Necesaria para la Limpieza)



Fri May 16 14:11:57 2008

EliStartPage v16.29 (c)2008 S.G.H. / Satinfo S.L. (Modificado el 16 de Mayo del 2008)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Key Eliminada [WinLogon\Notify\PMNKJAAX] -> C:\WINDOWS\SYSTEM32\pmnkJaax.dll

[WinLogon\Notify\PMNKJAAX]

Por favor, envienos el INFOSAT.TXT y una muestra del fichero

C:\WinLogon\PMNKJAAX.DLL

a "virus@satinfo.es". Gracias.

[WinLogon\Notify\WINCTRL32]

Por favor, envienos el INFOSAT.TXT y una muestra del fichero

C:\WinLogon\WINCTRL32.DLL

a "virus@satinfo.es". Gracias.

Por favor, envienos una muestra del fichero

C:\Muestras\PMNKJAAX.DLL.Muestra EliStartPage v16.29

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\PMNKJAAX.DLL --> Acceso Denegado.

C:\WINDOWS\SYSTEM32\WLCTRL32.DLL.VIR --> Eliminado.

Por favor, envienos una muestra del fichero

C:\Muestras\YAYAYRKJ.DLL.Muestra EliStartPage v16.29

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\YAYAYRKJ.DLL --> Acceso Denegado.

Eliminada Class, "{9F929BBA-E4B6-4A6C-B7BD-3B39F5A12769}" -> C:\WINDOWS\system32\yayaYRkJ.dll

No detectado SP3 de Windows XP

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Reinicie para Completar la Limpieza.



Fri May 16 14:14:45 2008

EliStartPage v16.29 (c)2008 S.G.H. / Satinfo S.L. (Modificado el 16 de Mayo del 2008)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\



Nº Total de Directorios: 2442

Nº Total de Ficheros: 30218

Nº de Ficheros Analizados: 11348

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

Sistema Infectado por el Downloader.ConHook

Sistema Infectado por el Vundo9

(C:\WINDOWS\SYSTEM32\YAYAYRKJ.DLL)

No Detectada Utilidad "ELINOTIF.DLL" (Necesaria para la Limpieza)



Fri May 16 14:32:39 2008

EliStartPage v16.29 (c)2008 S.G.H. / Satinfo S.L. (Modificado el 16 de Mayo del 2008)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Key Eliminada [WinLogon\Notify\PMNKJAAX] -> C:\WINDOWS\SYSTEM32\pmnkJaax.dll

[WinLogon\Notify\PMNKJAAX]

Por favor, envienos el INFOSAT.TXT y una muestra del fichero

C:\WinLogon\PMNKJAAX.DLL

a "virus@satinfo.es". Gracias.

[WinLogon\Notify\WINCTRL32]

Por favor, envienos el INFOSAT.TXT y una muestra del fichero

C:\WinLogon\WINCTRL32.DLL

a "virus@satinfo.es". Gracias.

Por favor, envienos una muestra del fichero

C:\Muestras\PMNKJAAX.DLL.Muestra EliStartPage v16.29

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\PMNKJAAX.DLL --> Acceso Denegado.

Por favor, envienos una muestra del fichero

C:\Muestras\YAYAYRKJ.DLL.Muestra EliStartPage v16.29

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\YAYAYRKJ.DLL --> Acceso Denegado.

Eliminada Class, "{9F929BBA-E4B6-4A6C-B7BD-3B39F5A12769}" -> C:\WINDOWS\system32\yayaYRkJ.dll

No detectado SP3 de Windows XP

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Reinicie para Completar la Limpieza.

Sistema Infectado por el Downloader.ConHook

Sistema Infectado por el Vundo9

(C:\WINDOWS\SYSTEM32\YAYAYRKJ.DLL)

Instalada Utilidad "ELINOTIF.DLL" (Reinicie de Nuevo para Completar la Limpieza)



EliNotify v1.8.02.21 (c)2008 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones:

Detectado DownLoader.ConHook

C:\WINDOWS\SYSTEM32\pmnkJaax.dll -> Eliminado.

Elininada KEY "Winlogon\Notify\PMNKJAAX"

Detectado Vundo9

Elininada Class {F2E05545-259D-48D9-A864-F627BE850D83}

Elininado BHO {F2E05545-259D-48D9-A864-F627BE850D83}

Desinstalado EliNotif.dll



Fri May 16 14:37:54 2008

EliStartPage v16.29 (c)2008 S.G.H. / Satinfo S.L. (Modificado el 16 de Mayo del 2008)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

[WinLogon\Notify\WINCTRL32]

Por favor, envienos el INFOSAT.TXT y una muestra del fichero

C:\WinLogon\WINCTRL32.DLL

a "virus@satinfo.es". Gracias.

Por favor, envienos una muestra del fichero

C:\Muestras\YAYAYRKJ.DLL.Muestra EliStartPage v16.29

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\YAYAYRKJ.DLL --> Acceso Denegado.

Eliminada Class, "{4B232747-F4EB-4AC8-B2A4-B708EF4F6536}" -> C:\WINDOWS\system32\yayaYRkJ.dll

No detectado SP3 de Windows XP

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Reinicie para Completar la Limpieza.



Fri May 16 14:38:11 2008

EliStartPage v16.29 (c)2008 S.G.H. / Satinfo S.L. (Modificado el 16 de Mayo del 2008)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\



Nº Total de Directorios: 2443

Nº Total de Ficheros: 30219

Nº de Ficheros Analizados: 11348

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

Sistema Infectado por el Vundo9

(C:\WINDOWS\SYSTEM32\YAYAYRKJ.DLL)

Instalada Utilidad "ELINOTIF.DLL" (Reinicie de Nuevo para Completar la Limpieza)



EliNotify v1.8.02.21 (c)2008 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones:

Detectado Vundo9

Elininada Class {ABC75B31-694A-4131-8E31-186CBB6B8D9B}

Elininado BHO {ABC75B31-694A-4131-8E31-186CBB6B8D9B}

Desinstalado EliNotif.dll



Fri May 16 14:53:52 2008

EliStartPage v16.29 (c)2008 S.G.H. / Satinfo S.L. (Modificado el 16 de Mayo del 2008)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

[WinLogon\Notify\WINCTRL32]

Por favor, envienos el INFOSAT.TXT y una muestra del fichero

C:\WinLogon\WINCTRL32.DLL

a "virus@satinfo.es". Gracias.

Por favor, envienos una muestra del fichero

C:\Muestras\YAYAYRKJ.DLL.Muestra EliStartPage v16.29

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\YAYAYRKJ.DLL --> Acceso Denegado.

Eliminada Class, "{02BFE0CD-236B-490D-8C05-148DFF71BA03}" -> C:\WINDOWS\system32\yayaYRkJ.dll

No detectado SP3 de Windows XP

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Reinicie para Completar la Limpieza.

Sistema Infectado por el Vundo9

(C:\WINDOWS\SYSTEM32\YAYAYRKJ.DLL)

Instalada Utilidad "ELINOTIF.DLL" (Reinicie de Nuevo para Completar la Limpieza)



EliNotify v1.8.02.21 (c)2008 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones:

Detectado Vundo9

Elininada Class {4A7B1677-F5AA-4F9D-A668-A6F25DB237F8}

Elininado BHO {4A7B1677-F5AA-4F9D-A668-A6F25DB237F8}

Desinstalado EliNotif.dll



Fri May 16 14:58:06 2008

EliStartPage v16.29 (c)2008 S.G.H. / Satinfo S.L. (Modificado el 16 de Mayo del 2008)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

[WinLogon\Notify\WINCTRL32]

Por favor, envienos el INFOSAT.TXT y una muestra del fichero

C:\WinLogon\WINCTRL32.DLL

a "virus@satinfo.es". Gracias.

Por favor, envienos una muestra del fichero

C:\Muestras\YAYAYRKJ.DLL.Muestra EliStartPage v16.29

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\YAYAYRKJ.DLL --> Acceso Denegado.

Eliminada Class, "{7FCE5277-25D7-491A-9AD4-0DD814E0B79A}" -> C:\WINDOWS\system32\yayaYRkJ.dll

No detectado SP3 de Windows XP

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Reinicie para Completar la Limpieza.

Sistema Infectado por el Vundo9

(C:\WINDOWS\SYSTEM32\YAYAYRKJ.DLL)

Instalada Utilidad "ELINOTIF.DLL" (Reinicie de Nuevo para Completar la Limpieza)



Fri May 16 15:04:47 2008

EliStartPage v16.29 (c)2008 S.G.H. / Satinfo S.L. (Modificado el 16 de Mayo del 2008)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

[WinLogon\Notify\WINCTRL32]

Por favor, envienos el INFOSAT.TXT y una muestra del fichero

C:\WinLogon\WINCTRL32.DLL

a "virus@satinfo.es". Gracias.

Por favor, envienos una muestra del fichero

C:\Muestras\YAYAYRKJ.DLL.Muestra EliStartPage v16.29

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\YAYAYRKJ.DLL --> Acceso Denegado.

Eliminada Class, "{7FCE5277-25D7-491A-9AD4-0DD814E0B79A}" -> C:\WINDOWS\system32\yayaYRkJ.dll

No detectado SP3 de Windows XP

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Reinicie para Completar la Limpieza.



Fri May 16 15:04:58 2008

EliStartPage v16.29 (c)2008 S.G.H. / Satinfo S.L. (Modificado el 16 de Mayo del 2008)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\



Nº Total de Directorios: 2446

Nº Total de Ficheros: 30276

Nº de Ficheros Analizados: 11348

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

Sistema Infectado por el Vundo9

(C:\WINDOWS\SYSTEM32\YAYAYRKJ.DLL)

Instalada Utilidad "ELINOTIF.DLL" (Reinicie de Nuevo para Completar la Limpieza)



EliNotify v1.8.02.21 (c)2008 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones:

Detectado Vundo9

Elininada Class {707F4F89-9797-40E5-BB44-A4037D3D4EAD}

Elininado BHO {707F4F89-9797-40E5-BB44-A4037D3D4EAD}

Desinstalado EliNotif.dll





QUEDO EN ESPERA DE RESPUESTA... MUCHAS GRACIAS

[lucl]

Para eliminar el vundo9 debes seguir las instrucciones de este link



https://foros.zonavirus.com/viewtopic.php?f=5&t=23759



ademas es importante que nos envies los archivos que tienes en C en la carpeta muestras siguiendo las instrucciones de este otro link



https://foros.zonavirus.com/viewtopic.php?f=2&t=45334



nos comentas tus avances, saludos

[msc hotline sat]

Detectadas nuevas variante de malwares en las muestras enviadas.



Se implementa su control y eliminacion en la version de hoy del ELISTARA 16.30



[b] ELISTARA: [/b]

http://www.zonavirus.com/descargas/elistara.asp



Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso



A partir de las 19 h GMT, estará disponible en esta web, para pruebas de evaluacion en el foro de zonavirus





SALUDOS



ms, 19-05-2008