problemon gordo

jimiks · Mensaje por **jimiks** » 31 Ene 2009, 20:16

hola amigos a ver si me ayudan a quitar una infeccion grande, resulta que el nod 32 me avisa constantemente con este mensaje, codigo malicioso win32/adware/virtumonde aplication y me dice que reinicie y si reinicio me vuelve a salir lo mismo y avisandome todo el rato, les cuento, he descargado elistar a y elinotdif juntos en una carpeta y lo he escaneado y me sale lo siguiente

Sat Jan 31 17:35:38 2009

EliStartPage v17.91 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 30 de Enero del 2009)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Key Eliminada [WinLogon\Notify\KHFEUNKL] -> C:\WINDOWS\SYSTEM32\khfEUnkL.dll

Entrada Eliminada [HKLM\...\Run] "2cb11e23"="rundll32.exe "C:\WINDOWS\system32\otwadesi.dll",b" (Vundo)

C:\WINDOWS\SYSTEM32\KHFEUNKL.DLL --> Acceso Denegado.

C:\WINDOWS\ALCMTR.EXE --> Eliminado SpyRealtek

Por favor, envienos una muestra del fichero

C:\Muestras\OTWADESI.DLL.Muestra EliStartPage v17.91

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\OTWADESI.DLL --> Renombrado a .VIR

C:\WINDOWS\SYSTEM32\KHFEUNKL.DLL --> Acceso Denegado.

Entrada Eliminada [HKLM\...\Run] "Alcmtr"="ALCMTR.EXE"

Eliminada Class, "{6D794CB4-C7CD-4C6F-BFDC-9B77AFBDC02C}" -> C:\WINDOWS\system32\khfEUnkL.dll

Eliminada Class, "{87E70DE0-2842-48D6-A4F2-8DD44E4458A6}" -> NULL2

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Reinicie para Completar la Limpieza.

Sat Jan 31 17:36:25 2009

EliStartPage v17.91 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 30 de Enero del 2009)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"

Nº Total de Directorios: 3037

Nº Total de Ficheros: 34893

Nº de Ficheros Analizados: 13694

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

Sistema Infectado por el Downloader.ConHook

Sistema Infectado por el Vundo9

(C:\WINDOWS\SYSTEM32\IIFGFYQO.DLL)

Instalada Utilidad "ELINOTIF.DLL" (Reinicie de Nuevo para Completar la Limpieza)

Sat Jan 31 17:57:47 2009

EliStartPage v17.91 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 30 de Enero del 2009)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Key Eliminada [WinLogon\Notify\KHFEUNKL] -> C:\WINDOWS\SYSTEM32\khfEUnkL.dll

Por favor, envienos una muestra del fichero

C:\Muestras\KHFEUNKL.DLL.Muestra EliStartPage v17.91

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\KHFEUNKL.DLL --> Acceso Denegado.

Por favor, envienos una muestra del fichero

C:\Muestras\IIFGFYQO.DLL.Muestra EliStartPage v17.91

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\IIFGFYQO.DLL --> Renombrado a .VIR

Por favor, envienos una muestra del fichero

C:\Muestras\KHFEUNKL.DLL.Muestra EliStartPage v17.91

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\KHFEUNKL.DLL --> Acceso Denegado.

Eliminada Class, "{6D794CB4-C7CD-4C6F-BFDC-9B77AFBDC02C}" -> C:\WINDOWS\system32\khfEUnkL.dll

Eliminada Class, "{4D541549-25BD-4FA2-8964-152F5E101071}" -> C:\WINDOWS\system32\iifgFYqO.dll

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Reinicie para Completar la Limpieza.

Sat Jan 31 17:58:22 2009

EliStartPage v17.91 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 30 de Enero del 2009)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"

Nº Total de Directorios: 3034

Nº Total de Ficheros: 34906

Nº de Ficheros Analizados: 13692

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

Sistema Infectado por el Downloader.ConHook

Sistema Infectado por el Vundo9

(C:\WINDOWS\SYSTEM32\IIFGFYQO.DLL)

Instalada Utilidad "ELINOTIF.DLL" (Reinicie de Nuevo para Completar la Limpieza)

una vez hecho esto he mandado las muestras a la direccion indicada en el imforme , resulta que tenia 3 muestras y solo se han enviado 2 , la otra se ha borrado, he reiniciado tal como se me indica pero el problema persiste sigue saliendo el dichoso mensajito todo el rato, he probado de restaurar pero no he podido puesto que lo tenia desconectado , yo he llegado hasta ahi ,ahora que me recomiendan ustedes que haga ???? gracias de antemano

Mensaje por **msc hotline sat** » 31 Ene 2009, 21:00

Pues el lunes, cuando volvamos al trabajo en SATINFO,analizaremos las muestras recibidas e implementaremos su control y eliminacion, si procede, en nuestras utilidades, de lo cual informaremos

Si desea, mientras, detener este virus, en particular el fichero al que no se tiene acceso:

C:\WINDOWS\SYSTEM32\KHFEUNKL.DLL --> Acceso Denegado.

puede arrancar con el CD de instalacion de windows, pulsar R para entrar en consola de Recuperacion, y desde ahí bprrar dicho fichero, lo cual podrá hacerse al no haber arrancado con´el disco duro.

Pero sino, el mismo lunes espero que con la version del ELISTARA 17.92 de entonces, quedará solucionado.

saludos

ms, 31-1-2009

jimiks · Mensaje por **jimiks** » 31 Ene 2009, 21:58

de acuerdo y que hay del fichero que no he podido mandar pero si esta en el imforme???? se me va a arreglar igual ???

Mensaje por **lucl** » 31 Ene 2009, 23:08

A cual te refieres? Dinos el nombre del archivo en cuestion para saber de cual hablas. Saludos

jimiks · Mensaje por **jimiks** » 01 Feb 2009, 09:18

esque en un principio tenia 3 muestras pero solo se me han mandado 2 puesto que ahora solo tengo 2 la otra se me ha debido borrar por error mio pero en el imforme me dice que hay 3.

Mensaje por **msc hotline sat** » 01 Feb 2009, 09:25

El informe se basa en las claves de registro, y aunque borrara algun fichero, si este es lanzado desde el registro, seguirá intentadolo, aunque ya no exista el fichero.

Es la razon por la que en windows los virus no se eliminan con solo borrar el fichero, al tratarse de aplicaciones instaladas, deben desinstalarse eliminando o restaurando las claves modificadas, ademas de eliminar o desinfectar los ficheros, segun sea el caso.

Veremos si con los ficheros que nos ha enviado son suficientes para implementar la eliminacion total del malware, y obraremos en consecuencia.

saludos

ms, 1-2-2009

jimiks · Mensaje por **jimiks** » 01 Feb 2009, 11:49

el problema lo hubiera podido solucionar si hubiera tenido activado el restaurar sistema y hubiera vuelto una semana atras, pero me ha fastididado el tenerlo desconectado y no se porque , porque yo lo tenia siempre activado, luego he probado de entrar en modo a prueba de fallos para poner la ultima configuracion buena conocida per me inicia directamente al escritorio en prueba de fallos pero ninca me pregunta si quiero la ultima configuracion buena conocida va directamente al escritorio , como lo hago para poder darle a la ultima configuracion buena conocida???

Mensaje por **msc hotline sat** » 01 Feb 2009, 13:47

Efectivamente, restaurando a un punto anterior al problema, se restauran claves y ficheros, y, si es posible, es lo mas adecuado, pero para ello hay que tener la restauracion de sistema activada, y no desactivarla pues en tal caso se borran lños puntos de restauracion, por lo que se ha de hacer antes de intentar hacer otras cosas con el antivirus.

Has probado lo de arrancar en consola de recuperacion y asi acceder al fichero que da acceso denegado y eliminarlo ???

saludos

ms, 1-2-2009

jimiks · Mensaje por **jimiks** » 01 Feb 2009, 16:57

explicame como se hace eso paso a paso y lo pruebo

Mensaje por **msc hotline sat** » 01 Feb 2009, 17:56

Sí, lo explicamos en este Tema.:

https://foros.zonavirus.com/viewtopic.php?f=5&t=23759

En tu caso el fichero parece ser C:\WINDOWS\SYSTEM32\KHFEUNKL.DLL

saludos

ms, 1-2-2009

problemon gordo

problemon gordo

Re: problemon gordo

Re: problemon gordo

Re: problemon gordo

Re: problemon gordo

Re: problemon gordo

Re: problemon gordo

Re: problemon gordo

Re: problemon gordo

Re: problemon gordo