Problema con kdjso.exe

[songoku_13]

Hola,



tengo un problema con un ejecutable (kdjso.exe, troyano??), el cual el AVG me ha informado pero no puede eliminar al estar en system32. También he intentado eliminarlo con el Spyware terminator y pese a que me dice "problema eliminado" no es capaz de eliminarlo; y con Windows Defender que tampoco puede.



Por último ayer intenté pasar el ElistarA 17.36, pero a mitad del análisis se cierra solo sin resultados (creo que se cierra cuando llega a Documents and Settings\propietarios\Mis Documentos





Muchas gracias.

[msc hotline sat]

Prueba de ejecutar el ELISTARA en modo seguro, asi no le incordiarán ni el posible troyano ni los posibles antivirus residentes.



Y nos cuentas el resultado, gracias



saludos



ms, 10-11-2008









NOTA: Y si no lo solucionaras, envianos el fichero donde lo detectas, para analizarlo. ms.

[songoku_13]

Muchas gracias, en cuanto llegue a casa lo probaré a hacerlo en modo seguro, a ver que tal.

[msc hotline sat]

Y si no lo consigues, envieanos el fichero para analizar, segun indicamos en:



[b]¿Como enviar las muestras a zonavirus? - Para ello recordar[/b]:

https://foros.zonavirus.com/viewtopic.php?f=5&t=14253



saludos



ms, 10-11-2008

[songoku_13]

Ayer intente pasar el Elistara 17.37 en modo seguro y me volvió a suceder lo mismo: se cierra solo a medio escaneo.



Me he bajado de nuevo el elistara por si acaso no bajo bien, e intentaré pasarlo de nuevo hoy por la tarde en casa, de todas formas os enviaré a muestra zipeada tal y como me indicais.



Muchas gracias.

[msc hotline sat]

Pues en cuanto las recibamos las analizaremos e informaremos



Y recuerda que siempre se ha de descargar la ultima version existente de la utilidad ELI*.*, no una anterior que ya habrá sido superada.



saludos



ms, 11-11-2008

[songoku_13]

Finalmente ayer volví a bajarme la última versionde Elistara y me sucedió lo mismo: se cierra solo a mitad del escaneo tanto en modo normal como en modo prueba de errores.



Os voy a incluir los pantallazos del windows defender, que ahora el el único que me identifica el problema, me pide reiniciar para solucionar el probelma, pero se me queda colgado el ordenador, ahora no puedo reiniciar ni apagar windows sin "darle al boton a mano" (no se si sera problema de esto o de haber eliminado una version de office que me estaba dando problemas la semana pasada)



Por otra parte cuando voy a la ruta especificada, no aprece el archivo indicado (kdjso.exe) habiendo habilitado todos los ocultos y extensiones. También me de errores el explorador de windows (no internet explorer: este ni abre) y se cierra cuando intento hacer busquedas o lleva un timepo abierto.



En fin la cosa se me va complicando.....



Gracias

[msc hotline sat]

Desactivó el antivirus residente en la exploracion del ELISTARA ???



O lo desactiva como se indica en dicho proceso, o arranca en modo seguro para probarlo, pues sino el mismo antivirus no nos deja acceder a los ficheros infectados...



Pruebelo como le indicamos y nos informa del resultado, gracias



saludos



ms, 12-11-2008

[msc hotline sat]

Y no sé si enviaste este fichero KDJSO.EXE como indicamos en:



[b]¿Como enviar las muestras a zonavirus? - Para ello recordar[/b]:

https://foros.zonavirus.com/viewtopic.php?f=5&t=14253



pues no veo implementado su control y eliminacion en nuestras utilidades, y si la hubieramos recibido y fuera malware, lo estaría. En cualquier caso, repite el envio, , gracias (ha habido unos dias con problemas en el sistema de envios de muestras)



saludos



ms, 12-11-2008

[songoku_13]

No el fichero no lo he enviado, porque no soy capaz de localizarlo en el directorio que me indica (windows\system32\kdjso.exe), y el explorador de windows me impide hacer busquedas.



Probaré cuando llegue a casa esta noche a desactivar el antivirus (AVG), aunque ya probe en modo seguro y también se cierra el Elistara.



Muchas gracias por todo.

[songoku_13]

De todas formas os dejo el contenido del Infosat.txt que se queda en mi ordenador:





Thu Jan 03 21:19:55 2008

EliStartPage v15.36 (c)2008 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Por favor, envienos una muestra del fichero

C:\Muestras\CTBR.DLL.Muestra EliStartPage v15.36

a "virus@satinfo.es". Gracias.

C:\ARCHIV~1\CRAWLER\TOOLBAR\CTBR.DLL --> Eliminado

Eliminada Class, "{1CB20BF0-BBAE-40A7-93F4-6435FF3D0411}" -> C:\ARCHIV~1\Crawler\Toolbar\ctbr.dll

Eliminada Class, "{4B3803EA-5230-4DC3-A7FC-33638F3D3542}" -> C:\ARCHIV~1\Crawler\Toolbar\ctbr.dll

Eliminada Class, "{4D25FB7A-8902-4291-960E-9ADA051CFBBF}" -> C:\ARCHIV~1\Crawler\Toolbar\ctbr.dll

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Thu Jan 03 21:20:23 2008

EliStartPage v15.36 (c)2008 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\



Nº Total de Directorios: 6953

Nº Total de Ficheros: 67466

Nº de Ficheros Analizados: 20116

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



Sun Nov 09 21:13:25 2008

EliStartPage v17.36 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 6 de Noviembre del 2008)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Se ha detectado que el Servidor DNS no es el de su ISP.

IPs: 85.255.112.112;85.255.112.69

No detectado SP3 de Windows XP

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Detectado AUTORUN.INF en la Unidad (C)

shellexecute="resycled\boot.com c:"

Si Desconoce la Aplicación, por favor envienosla

acompañada del AUTORUN.INF a "virus@satinfo.es". Gracias.



Sun Nov 09 21:15:28 2008

EliStartPage v17.36 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 6 de Noviembre del 2008)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\Archivos de programa\Microsoft Office\Visio11\DLL\SAVWBVML.DLL --> Eliminado, MyWebSearch

C:\Archivos de programa\Microsoft Works Suite 2004\Setup\SETUPS.EXE --> Eliminado, Puper-Isf

C:\Archivos de programa\RelevantKnowledge\RLVKNLG.EXE --> Eliminado, AdWare.RK.AD

C:\Documents and Settings\Propietario\Mis documentos\Mi música\Nuevas Descargas\ULTRAISO 9.0.0.2336.PORTABLE.EXE --> Eliminado, Frauder.KG



Sun Nov 09 21:27:27 2008

EliStartPage v17.36 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 6 de Noviembre del 2008)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Se ha detectado que el Servidor DNS no es el de su ISP.

IPs: 85.255.112.112;85.255.112.69

No detectado SP3 de Windows XP

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Detectado AUTORUN.INF en la Unidad (C)

shellexecute="resycled\boot.com c:"

Si Desconoce la Aplicación, por favor envienosla

acompañada del AUTORUN.INF a "virus@satinfo.es". Gracias.



Sun Nov 09 21:27:33 2008

EliStartPage v17.36 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 6 de Noviembre del 2008)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\



Sun Nov 09 22:34:13 2008

EliStartPage v17.36 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 6 de Noviembre del 2008)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Se ha detectado que el Servidor DNS no es el de su ISP.

IPs: 85.255.112.112;85.255.112.69

No detectado SP3 de Windows XP

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Detectado AUTORUN.INF en la Unidad (C)

shellexecute="resycled\boot.com c:"

Si Desconoce la Aplicación, por favor envienosla

acompañada del AUTORUN.INF a "virus@satinfo.es". Gracias.



Sun Nov 09 22:34:28 2008

EliStartPage v17.36 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 6 de Noviembre del 2008)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\



Mon Nov 10 20:42:16 2008

EliStartPage v17.36 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 6 de Noviembre del 2008)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Se ha detectado que el Servidor DNS no es el de su ISP.

IPs: 85.255.112.112;85.255.112.69

No detectado SP3 de Windows XP

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Detectado AUTORUN.INF en la Unidad (C)

shellexecute="resycled\boot.com c:"

Si Desconoce la Aplicación, por favor envienosla

acompañada del AUTORUN.INF a "virus@satinfo.es". Gracias.



Mon Nov 10 20:42:33 2008

EliStartPage v17.36 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 6 de Noviembre del 2008)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\



Tue Nov 11 20:46:45 2008

EliStartPage v17.38 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 10 de Noviembre del 2008)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

C:\ARCHIV~1\CRAWLER\TOOLBAR\CTBR.DLL --> Eliminado CrawlerToolbar(BHO/TB)

Eliminada Class, "{183643C8-EE67-4574-9A38-927852E34163}" -> NULL1

Eliminada Class, "{1CB20BF0-BBAE-40A7-93F4-6435FF3D0411}" -> C:\ARCHIV~1\Crawler\Toolbar\ctbr.dll

Eliminada Class, "{4B3803EA-5230-4DC3-A7FC-33638F3D3542}" -> C:\ARCHIV~1\Crawler\Toolbar\ctbr.dll

Eliminada Class, "{4D25FB7A-8902-4291-960E-9ADA051CFBBF}" -> C:\ARCHIV~1\Crawler\Toolbar\ctbr.dll

Eliminada Class, "{54ECA872-DB2A-4C6B-BBB2-F3777C6786CC}" -> NULL1

Eliminada Class, "{8736C681-37A0-40C6-A0F0-4C083409151C}" -> NULL1

Se ha detectado que el Servidor DNS no es el de su ISP.

IPs: 85.255.112.112;85.255.112.69

No detectado SP3 de Windows XP

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Detectado AUTORUN.INF en la Unidad (C)

shellexecute="resycled\boot.com c:"

Si Desconoce la Aplicación, por favor envienosla

acompañada del AUTORUN.INF a "virus@satinfo.es". Gracias.



Tue Nov 11 20:50:23 2008

EliStartPage v17.38 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 10 de Noviembre del 2008)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\











Y como os he comentado, el otro probelma es no poder apagar ni reiniciar sin ser "a mano" reseteando. He intentado restaurar el sistema en un punto anterior y me dice que al opcion restaurar el sistema está deshabilitada y no es posible.



Gracias.

[msc hotline sat]

Pues muy significativo el infosat.txt !!!


[quote="El Elistara"]Se ha detectado que el Servidor DNS no es el de su ISP.

IPs: 85.255.112.112;85.255.112.69

No detectado SP3 de Windows XP

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Detectado AUTORUN.INF en la Unidad (C)

shellexecute="resycled\boot.com c:"

Si Desconoce la Aplicación, por favor envienosla

acompañada del AUTORUN.INF a "virus@satinfo.es". Gracias.[/quote]

Tienes redireccionados los servidores de DNS a unos maliciosos de Ukraina:



85.255.112.112;85.255.112.69



85.255.112.112 UA Ukraine 17 Odes'ka Oblast' Odessa 46.4667 30.7333 UkrTeleGroup Ltd. UkrTeleGroup Ltd.



85.255.112.69 UA Ukraine 17 Odes'ka Oblast' Odessa 46.4667 30.7333 UkrTeleGroup Ltd. UkrTeleGroup Ltd.





cambialos con el CONFGDNS.EXE, si sabes suales tre recomienda usar tu ISP, sino preguntaselo.



http://www.zonavirus.com/descargas/confgdns.asp



si quieres puedes mirar si con un IPCONFIG /ALL desde una ventana al DOS te muestra las que empleaste incialmente en la instalacion, y que ahora no usas al estar estas en el registro de sistema.





Y te faltan parches lanza un windowsupdate e instala el SP3 y los demas que encuentre a faltar





y ademas del fichero que no encuentras, es muy importante enviarnos los que se te piden en el informe indicado:



Detectado AUTORUN.INF en la Unidad (C)

shellexecute="resycled\boot.com c:"

Si Desconoce la Aplicación, por favor envienosla

acompañada del AUTORUN.INF



Este BOOT.COM y el AUTORUN.INF



[b]¿Como enviar las muestras a zonavirus? - Para ello recordar[/b]:

https://foros.zonavirus.com/viewtopic.php?f=5&t=14253



Tras ello proseguiremos



saludos



ms, 12-11-2008

[songoku_13]

Hola,

Finalmente y tras seguir las instrucciones que me habiais dado he conseguido pasar el elistara y borrar las DNS malas. Tras volver a pasar el elistara ya ha pasado limpio.



Os he enviado las muestras por vuestro procedimiento de: autorun y dos archivos con nombre boot. Del archivo Kdjso.exe ni rastro (no se si lo eliminaría el antivirus, pero no esta ni en cuarentena).



También he podido finalmente instalar el SP3 de windows xp, que me llevaba dando errores varios meses, y parece ser debido al archivo este de autorun o alguno de incio que, que habia sido modificado por un programa (tuneUp utilities) que tenía instalado desde hace tiempo.



Lo unico que no se me ha solucionado es el tema del apagado y reinicio que se me queda colgado en la pantalla de "windows se está cerrando" ¿alguna idea, aunque no sea de este foro?



Muchisimas gracias por todo de nuevo.



Un cordial saludo.

[msc hotline sat]

Pues arranque en miodo seguro y vea si asi cierra sin problemas, si persisten, lance una reparacion de sistema:




[quote="para REPARAR WINDOWS, msc"]
Sugiero proceder a REPARAR windows, arrancando con el CD de instalacion y primero seleccionar instalar, y tras detectar la particion existente, escoger REPARAR, no reinstalar para no perder las aplicaciones instaladas, y finalizar con un windowsupdate [/quote]



y si asi va bien, arranque normal y con el Administrador de Tareas vaya cerrabdo aplicaciones, a ver cual le da problemas, y esta la reinstala o la elimina si no le es imprescindible



Y nos comenta el resultado, gracias



saludos



ms, 13-11-2008









NOTA: Si repara sistema, habrá de volver a instañlar los parches, incluido el SP3, con un windowsi update.



ms.-

[songoku_13]

En modo seguro he probado varias veces y se apaga y reinicia con normalidad, por lo que probaré a la segunda opción que me das (Administrador de Tareas) para cerrar aplicaciones: ¿sólo? o ?procesos también? y ¿si no hay aplicaciones activas, tengo que arrancarlas?



Gracias.

[msc hotline sat]

No hace falta abrir mas que las que tengas normalmente y ten den problemas al cerrarlas. Una de ellas ha de ser la causante, pues a ver si la encuentras ... :wink:



saludos



ms, 13-11-2008