phk1f.cmd kavo.dll archivos ocultos y del sistema (SOLVED)

[davidplocosh]

mi problema es con el archivo phk1f.cmd... además que no me deja mostrar los archivos ocultos y los archivos del sistema...

siempre me genera el archivo autorun.inf el cual direcciona al phk1f.cmd.... lo que he probado es meterme desde una pc en red y mostrar todos los archivos y eliminar ese archivo... no se que tan efectivo sea.... ademas del archivo kavo.dll que por andar buscando una solucion.. baje algo y me infecto con esta cosa



aca dejo el archivo generado por el elistara.... el cual no me lo reconoce este archivo phk1f.cmd ... solo me dice que mande una muestra al mail virus@satinfo.es lo cual ya hice...



alguna ayudita agradeceria un montonazo....

aca esta lo que aparece en el archivo InfoSat.txt.. unicamente mando el ultimo analisis para no hacer tan largo este tema...



Tue Sep 30 14:06:11 2008

EliStartPage v17.07 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 29 de Septiembre del 2008)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Por favor, envienos una muestra del fichero

C:\Muestras\KAVO.EXE.Muestra EliStartPage v17.07

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\KAVO.EXE --> Eliminado

C:\WINDOWS\SYSTEM32\KAVO0.DLL.VIR --> Eliminado.

Por favor, envienos una muestra del fichero

C:\Muestras\KAVO0.DLL.Muestra EliStartPage v17.07

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\KAVO0.DLL --> Renombrado a .VIR

Entrada Eliminada [HKCU\...\Run] "kava"="C:\WINDOWS\system32\kavo.exe"

No detectado SP3 de Windows XP

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Detectado AUTORUN.INF en la Unidad (C)

open=phk1f.cmd

Si Desconoce la Aplicación, por favor envienosla

acompañada del AUTORUN.INF a "virus@satinfo.es". Gracias.

Detectado AUTORUN.INF en la Unidad (D)

open=phk1f.cmd

Si Desconoce la Aplicación, por favor envienosla

acompañada del AUTORUN.INF a "virus@satinfo.es". Gracias.

Detectado AUTORUN.INF en la Unidad (E)

open=phk1f.cmd

Si Desconoce la Aplicación, por favor envienosla

acompañada del AUTORUN.INF a "virus@satinfo.es". Gracias.

Detectado AUTORUN.INF en la Unidad (H)

open=phk1f.cmd

Si Desconoce la Aplicación, por favor envienosla

acompañada del AUTORUN.INF a "virus@satinfo.es". Gracias.

Detectado AUTORUN.INF en la Unidad (I)

open=phk1f.cmd

Si Desconoce la Aplicación, por favor envienosla

acompañada del AUTORUN.INF a "virus@satinfo.es". Gracias.

Reinicie para Completar la Limpieza.

--------------------------------------------------------------------------------------------------

reinicie la pc y solo me limpio el virus kavo.. y todo lo relacionado con el.....

agradeceria mucho alguna ayuda......



leyendo en algunos post... me di cuenta del elipen.exe... lo voy a probar.... me imagino que va a bloquear el autorun de cada unidad... pero no se si solo con eso soluciono mi problema....

[Claudia34]

Debes pegarnos el informe completo, si es muy largo pegalos por partes igual se entiende.

Y estaremos esperando por las muestras que enviaste.



Saludos.

[msc hotline sat]

Pues ademas de lo que envió, empiece por enviarnos las muestras como indicamos en:





[b]¿Como enviar las muestras a zonavirus? - Para ello recordar[/b]:

https://foros.zonavirus.com/viewtopic.php?f=5&t=14253





Por favor, envienos una muestra del fichero

C:\Muestras\KAVO.EXE.Muestra EliStartPage v17.07





Por favor, envienos una muestra del fichero

C:\Muestras\KAVO0.DLL.Muestra EliStartPage v17.07





Detectado AUTORUN.INF en la Unidad (C)

open=phk1f.cmd

Si Desconoce la Aplicación, por favor envienosla

acompañada del AUTORUN.INF



y vemos que tiene lo mismo en F:, E:, H:, I: ... procese estas unidades con el ELISTARA que hagamos para control de las muestras, asi como vacune con el ELIPEN todos los pendrives y unidades removibles.



Es una variante mas del ONLINE GA;ES quie pasaremos a controlar.



saludos



ms, 1 de Octubre de 2008

[eideguez36]

hola, mira yo tenia ese problema he estado trabajando en un archivito para que lo solucione s entra aqui para mas informacion espero porder ayudarte contra este maldito bicho amvo.



(INTERCEPTADO POR ZONAVIRUS)



https://foros.zonavirus.com/viewtopic.php?f=1&t=17044





Se intercepta por no estar permitido poner enlaces a web, mail etc. Ademas aqui ya tenemos herramientas que terminan con los amvo y demas familia. Y antes de proponer una herramienta creo que deberias comentarlo con los administradores. Quedas advertido caso de reincidir seras desconectado del foro!!!! Saludos

[davidplocosh]

y solucione el problema con el kavo.dll y ya me muestra los archivos ocultos y del sistema.....

ya protegi las unidades con el elipen y ya le pase el elistara.... lo que no se si todavia tendre problemas con el phk1f.cmd



gracias por toda la ayuda.....

[msc hotline sat]

Si nos enviaste el fichero (ahora no estoy en SATINFO y no lo puedi saber), prueba el actual ELISTARA:




[quote="para DESCARGAR el ELISTARA, msc"] http://www.zonavirus.com/descargas/elistara.asp



Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso [/quote]



saludos



ms, 2 de OCTUBRE de 2008

[davidplocosh]

PRIMERO DISCULPAS POR NO HABERLO ECHO ANTES.... PERO ANDABA DE VIAJE...Y NO TENIA EL ARCHIVITO A LA MANO DE LA PC INFECTADA...

PERO AQUI ESTA



CREO QUE YA SE SOLUCIONO EL PROBLEMA... CREO.. GRACIAS POR LA GRAN AYUDA!!!!!

****************************************************************************************************

Tue Sep 30 14:16:43 2008

EliStartPage v17.07 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 29 de Septiembre del 2008)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad I:\



Nº Total de Directorios: 3

Nº Total de Ficheros: 238

Nº de Ficheros Analizados: 3

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



Tue Sep 30 14:31:01 2008

EliStartPage v17.07 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 29 de Septiembre del 2008)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\SYSTEM32\KAVO0.DLL.VIR --> Eliminado.

No detectado SP3 de Windows XP

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Detectado AUTORUN.INF en la Unidad (D)

open=phk1f.cmd

Si Desconoce la Aplicación, por favor envienosla

acompañada del AUTORUN.INF a "virus@satinfo.es". Gracias.



Tue Sep 30 14:32:27 2008

EliStartPage v17.07 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 29 de Septiembre del 2008)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\



Nº Total de Directorios: 6121

Nº Total de Ficheros: 44726

Nº de Ficheros Analizados: 18819

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



Tue Sep 30 14:41:02 2008

EliStartPage v17.07 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 29 de Septiembre del 2008)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad D:\



Nº Total de Directorios: 35

Nº Total de Ficheros: 371

Nº de Ficheros Analizados: 4

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



Tue Sep 30 14:41:04 2008

EliStartPage v17.07 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 29 de Septiembre del 2008)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad E:\



Nº Total de Directorios: 305

Nº Total de Ficheros: 3620

Nº de Ficheros Analizados: 349

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

Exploración Detenida por el Usuario.



Tue Sep 30 17:16:13 2008

EliPen v1.8 (c)2008 S.G.H. / Satinfo S.L.

------------------------------------------



Detectado C:\Autorun.inf

OPEN=PHK1F.CMD

C:\Autorun.inf -> Renombrado a .OLD

Unidad C:\ Protegida



Detectado D:\Autorun.inf

OPEN=PHK1F.CMD

D:\Autorun.inf -> Renombrado a .OLD

Unidad D:\ Protegida



Detectado E:\Autorun.inf

OPEN=PHK1F.CMD

E:\Autorun.inf -> Renombrado a .OLD

Unidad E:\ Protegida



Unidad H:\ YA esta Protegida



Error Creando TEST2.SAT

Unidad I:\ No se Pudo Proteger



Tue Sep 30 17:17:03 2008

EliStartPage v17.08 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 30 de Septiembre del 2008)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Por favor, envienos una muestra del fichero

C:\Muestras\CTFMON.EXE.Muestra EliStartPage v17.08

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\CTFMON.EXE --> Eliminado

Por favor, envienos una muestra del fichero

C:\Muestras\IGFXTRAY.EXE.Muestra EliStartPage v17.08

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\IGFXTRAY.EXE --> Eliminado

Por favor, envienos una muestra del fichero

C:\Muestras\KAVO.EXE.Muestra EliStartPage v17.08

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\KAVO.EXE --> Eliminado

Por favor, envienos una muestra del fichero

C:\Muestras\KAVO0.DLL.Muestra EliStartPage v17.08

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\KAVO0.DLL --> Renombrado a .VIR

Entrada Eliminada [HKCU\...\Run] "CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe"

Entrada Eliminada [HKCU\...\Run] "STYLEXP"="C:\Archivos de programa\TGTSoft\StyleXP\StyleXP.exe -Hide"

Entrada Eliminada [HKLM\...\Run] "GROOVEMONITOR"=""C:\Archivos de programa\Microsoft Office 2007\Office12\GrooveMonitor.exe""

Entrada Eliminada [HKLM\...\Run] "IGFXTRAY"="C:\WINDOWS\system32\igfxtray.exe"

Entrada Eliminada [HKCU\...\Run] "kava"="C:\WINDOWS\system32\kavo.exe"

No detectado SP3 de Windows XP

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Reinicie para Completar la Limpieza.



Tue Sep 30 17:17:27 2008

EliStartPage v17.08 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 30 de Septiembre del 2008)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\



Nº Total de Directorios: 6125

Nº Total de Ficheros: 44820

Nº de Ficheros Analizados: 18826

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



Tue Sep 30 17:30:03 2008

EliStartPage v17.08 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 30 de Septiembre del 2008)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad D:\



Nº Total de Directorios: 38

Nº Total de Ficheros: 372

Nº de Ficheros Analizados: 4

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



Tue Sep 30 17:30:09 2008

EliStartPage v17.08 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 30 de Septiembre del 2008)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad E:\



Nº Total de Directorios: 705

Nº Total de Ficheros: 10459

Nº de Ficheros Analizados: 657

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



Tue Sep 30 17:37:21 2008

EliStartPage v17.08 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 30 de Septiembre del 2008)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Por favor, envienos una muestra del fichero

C:\Muestras\CTFMON.EXE.Muestra EliStartPage v17.08

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\CTFMON.EXE --> Eliminado

C:\WINDOWS\SYSTEM32\KAVO0.DLL.VIR --> Eliminado.

Entrada Eliminada [HKCU\...\Run] "CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe"

No detectado SP3 de Windows XP

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Detectado AUTORUN.INF en la Unidad (I)

open=phk1f.cmd

Si Desconoce la Aplicación, por favor envienosla

acompañada del AUTORUN.INF a "virus@satinfo.es". Gracias.



Tue Sep 30 17:37:45 2008

EliStartPage v17.08 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 30 de Septiembre del 2008)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad I:\



Nº Total de Directorios: 3

Nº Total de Ficheros: 19

Nº de Ficheros Analizados: 4

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



Tue Sep 30 17:37:48 2008

EliStartPage v17.08 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 30 de Septiembre del 2008)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad H:\



Nº Total de Directorios: 17

Nº Total de Ficheros: 127

Nº de Ficheros Analizados: 21

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



Tue Sep 30 17:37:53 2008

EliStartPage v17.08 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 30 de Septiembre del 2008)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad G:\



Nº Total de Directorios: 0

Nº Total de Ficheros: 0

Nº de Ficheros Analizados: 0

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



Tue Sep 30 17:37:57 2008

EliStartPage v17.08 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 30 de Septiembre del 2008)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad E:\



Nº Total de Directorios: 705

Nº Total de Ficheros: 10459

Nº de Ficheros Analizados: 657

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



Tue Sep 30 17:43:26 2008

EliStartPage v17.08 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 30 de Septiembre del 2008)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Por favor, envienos una muestra del fichero

C:\Muestras\CTFMON.EXE.Muestra EliStartPage v17.08

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\CTFMON.EXE --> Eliminado

Entrada Eliminada [HKCU\...\Run] "CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe"

No detectado SP3 de Windows XP

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Detectado AUTORUN.INF en la Unidad (I)

open=phk1f.cmd

Si Desconoce la Aplicación, por favor envienosla

acompañada del AUTORUN.INF a "virus@satinfo.es". Gracias.



Tue Sep 30 17:43:43 2008

EliPen v1.8 (c)2008 S.G.H. / Satinfo S.L.

------------------------------------------



Detectado I:\Autorun.inf

OPEN=PHK1F.CMD

I:\Autorun.inf -> Renombrado a .OLD

Unidad I:\ Protegida



Unidad I:\ YA esta Protegida



Tue Sep 30 17:50:15 2008

EliStartPage v17.08 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 30 de Septiembre del 2008)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

No detectado SP3 de Windows XP

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Tue Sep 30 17:50:26 2008

EliStartPage v17.08 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 30 de Septiembre del 2008)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\



Nº Total de Directorios: 6124

Nº Total de Ficheros: 44774

Nº de Ficheros Analizados: 18817

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



Wed Oct 01 09:17:14 2008

EliPen v1.8 (c)2008 S.G.H. / Satinfo S.L.

------------------------------------------



Unidad C:\ YA esta Protegida



Sat Oct 04 10:40:53 2008

EliStartPage v17.11 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 3 de Octubre del 2008)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

No detectado SP3 de Windows XP

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Sat Oct 04 10:41:02 2008

EliStartPage v17.11 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 3 de Octubre del 2008)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\



Sat Oct 04 10:43:00 2008

EliPen v1.8 (c)2008 S.G.H. / Satinfo S.L.

------------------------------------------



Unidad C:\ YA esta Protegida



Sat Oct 04 10:43:40 2008

EliPen v1.8 (c)2008 S.G.H. / Satinfo S.L.

------------------------------------------



Unidad H:\ Protegida



Nº Total de Directorios: 6124

Nº Total de Ficheros: 44840

Nº de Ficheros Analizados: 18821

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



Sat Oct 04 10:57:06 2008

EliStartPage v17.11 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 3 de Octubre del 2008)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad H:\



Nº Total de Directorios: 9

Nº Total de Ficheros: 51

Nº de Ficheros Analizados: 1

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



Sat Oct 04 10:57:11 2008

EliStartPage v17.11 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 3 de Octubre del 2008)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad D:\



Nº Total de Directorios: 44

Nº Total de Ficheros: 411

Nº de Ficheros Analizados: 4

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



Sat Oct 04 10:57:15 2008

EliStartPage v17.11 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 3 de Octubre del 2008)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad E:\



Nº Total de Directorios: 703

Nº Total de Ficheros: 10461

Nº de Ficheros Analizados: 660

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

********************************************************************************************

[msc hotline sat]

Efectivamente ya no se detectan ficheros infectados ni se pide muestra para analizar, y si no persiste ninguna anomalia, damos el Tema por solucionado y procedemos a cerrarlo



Si nos necesita de nuevo, ya sabe donde estamos



saludos



ms, 6-10-2008