C:\WINDOWS\system32\ftp34.dll [L] Win32:Rootkit-gen [Rtk] (0

[YOKY2002]

Hola a todos, a ver si podéis echarme una mano. Cada vez que entro en una página web, o abro algún programa con conexión a internet, por ejemplo emule, mi antivirus me detecta "C:\WINDOWS\system32\ftp34.dll [L] Win32:Rootkit-gen [Rtk] (0)", lo elimino, pero sigue haciendo lo mismo todos los días. Seguí paso a paso un manual para eliminarlo que hay en esta misma página, pero nada. Por favor, ayudadme porque este dichoso bicho me ralentiza el sistema y a veces en el arranque me bloquea el ordenador. Muchas gracias.

[lucl]

Pues envianos el fichero para analizartelo y darte la herramienta necesaria no siendo que sea una variante distinta. Y renombra el fichero a .VIR para que no se active a partir del siguiente reinicio y te deje usar el pc con tranquilidad, ademas seria bueno que pasases este online que te indico para ver si tienes algo mas, saludos



https://www.kaspersky.es/downloads/thank-you/free-antivirus-download

[msc hotline sat]

Y como que hace unos 15 dias pasamos a controlar un ftp34.dll, prueba ademas el ELISTARA:

http://www.zonavirus.com/descargas/elistara.asp

Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso

y si con ello no es suficiente, tras lanzar el AV ONLINE que sugiere correctamente lucl, posteanos el informe resultante, gracias

saludos

ms, 4-06-2008

[YOKY2002]

Muchas gracias a todos por vuestra ayuda. Voy a seguir vuestras recomendaciones a ver si consigo eliminar al bicho y os contaré. Saludos.

[msc hotline sat]

Bien, o te lo elimina el ELISTARA, o ya envianos el fichero donde lo detectaste pues en tal caso se tratará de una nueva variante.

Si lo has de enviar, recuerda:

ENVIO DE MUESTRAS Y ELIMINACIÓN DE CLAVES - Para ello recordar:
viewtopic.php?f=5&t=14253

saludos

ms, 4-06-2008

[YOKY2002]

Saludos a todos y perdonad el retraso, estuve fuera y no tuve tiempo de responder. Bien, pues pasé el Elistara y de momento el virus no ha vuelto a aparecer ni ser detectado por el antivirus. Muchas gracias por vuestra ayuda y si pensáis que debo enviaros el informe del Elistara hacédmelo saber. Gracias de nuevo y un saludo.

[lucl]

Pues si, lo suyo es que nos pongas mediante copiar pegar el informe de infosat que tendras en C y asi ya daremos por solucionado el tema, saludos

[YOKY2002]

Saludos a todos y perdonad de nuevo mi retraso. Bien, pues ahí dejo el info del infosat.



Wed Jun 04 22:14:03 2008

EliStartPage v16.43 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 4 de Junio del 2008)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Por favor, envienos una muestra del fichero

C:\Muestras\SPOOLS.EXE.Muestra EliStartPage v16.43

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\DRIVERS\SPOOLS.EXE --> Eliminado

Por favor, envienos una muestra del fichero

C:\Muestras\IPV6MONL.DLL.Muestra EliStartPage v16.43

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\IPV6MONL.DLL --> Eliminado

Entrada Eliminada [HKCU\...\Run] "autoload"="C:\Documents and Settings\YOKY\cftmon.exe"

Entrada Eliminada [HKLM\...\Run] "autoload"="C:\Documents and Settings\YOKY\cftmon.exe"

Entrada Eliminada [HKCU\...\Run] "ntuser"="C:\WINDOWS\system32\drivers\spools.exe"

Entrada Eliminada [HKLM\...\Run] "ntuser"="C:\WINDOWS\system32\drivers\spools.exe"

No detectado SP3 de Windows XP

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Wed Jun 04 22:28:21 2008

EliStartPage v16.43 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 4 de Junio del 2008)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\Archivos de programa\Alwil Software\Avast4\DATA\moved\FTP34.DLL.2.VIR --> Eliminado, DownLoader.Small.UYL

C:\Archivos de programa\Alwil Software\Avast4\DATA\moved\FTP34.DLL.3.VIR --> Eliminado, DownLoader.Small.UYL

C:\Archivos de programa\Alwil Software\Avast4\DATA\moved\FTP34.DLL.4.VIR --> Eliminado, DownLoader.Small.UYL

C:\Archivos de programa\Alwil Software\Avast4\DATA\moved\FTP34.DLL.5.VIR --> Eliminado, DownLoader.Small.UYL

C:\Archivos de programa\Alwil Software\Avast4\DATA\moved\FTP34.DLL.VIR --> Eliminado, DownLoader.Small.UYL

C:\Documents and Settings\YOKY\Configuración local\Temp\CMDLINEEXT02.DLL --> Acceso Denegado, Spy-CmdLineExt (Reiniciar para Completar la Limpieza)



Nº Total de Directorios: 3938

Nº Total de Ficheros: 36574

Nº de Ficheros Analizados: 10231

Nº de Ficheros Infectados: 6

Nº de Ficheros Limpiados: 5



Wed Jun 04 22:37:44 2008

EliStartPage v16.43 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 4 de Junio del 2008)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

No detectado SP3 de Windows XP





Eso es todo, creo... Si no es así, decídmelo, gracias.

[lucl]

Pues debes enviarnos estos archivos

C:\Muestras\SPOOLS.EXE.Muestra EliStartPage v16.43
C:\Muestras\IPV6MONL.DLL.Muestra EliStartPage v16.43

Ademas dinos si reiniciaste para completar la limpieza de este que te quedo pendiente de reinicio

C:\Documents and Settings\YOKY\Configuración local\Temp\CMDLINEEXT02.DLL --> Acceso Denegado, Spy-CmdLineExt (Reiniciar para Completar la Limpieza)

saludos

[msc hotline sat]

Enviastes las muestras ???

Si no lo hiiste hazlo, y si lo hiciste, prueba el actual ELISTARA (descarga la ultima versión) y posteanos el resultado, gracias:

ELISTARA:
http://www.zonavirus.com/descargas/elistara.asp

Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso


saludos

ms, 30-06-2008