Un cartel Insoportable al iniciar Windows

[zchango]

Hola que tal

Soy nuevo en esto, para no complicar busque temas relacionados con mi problemas en zona virus y la respuesta que encontre, realmente no la entendí.

mi problema es cada que prendo la pc, me aparece un cartel que dice no se encontro el archivo c:\windows\kesenjangan sosial.exe.

se puede borrar?

intente:

- escaneando con el NOD32

- Con el REGCLEANER

- Inicio, BUSCAR, BUSCAR CARPETAS O ARCHIVOS

- hice un escaner online (PANDA ACTIVE 2.0)

- inicio, ejecutar (MSCONFIG - solapa inicio)

todo esto use y no tuve solucion, HEEEEELPPP ME



desde ya muchas Gracias

[lucl]

Intenta buscarlo siguiendo la ruta y nos lo envias para analizar. Y confirmanos si esta escrito el nombre del archivo como lo has visto . Para envio muestras arriba a la derecha tienes el boton. Lo encriptas y le pones de contraseña VIRUS saludos

[msc hotline sat]

Pues con el buscador del foro, en el segundo Tema que se obtiene entrando KESENJANGANSOSIAL se ve que desde el ELITRIIP v5.55 ( 5 de Febrero del 2009) (Muestras de "WINSYS.EXE" y Brontok "[b][i]KESENJANGANSOSIAL.EXE[/i][/b]") se controla esta variante de BRONTOK.



Ademas, mas ampliamente, en el siguiente Tema de los ofrecidos con el buscador se lee:


[quote="msc"]
Ademas, ya se ha posteado anteriormente en este foro la solucion a este malware en : Ver https://foros.zonavirus.com/viewtopic.php?f=11&t=27684&hilit=kesenj%2A





[img]http://www.inklineglobal.com/adsales/ads/arrow.gif[/img] [b]NOTA IMPORTANTE :[/b]



Con el buscador del foro se pueden encontrar inmediatas respuestas ONLINE a Temas similares ya solucionados. Se recomienda usarlo



https://foros.zonavirus.com/search.php



Asi que, aplicarse el cuento:



[img]http://www.satinfo.es/zonavirus/buscarforo.jpg[/img]


[/quote]

Por tanto, descarga el ELITRIIP indicado, pruebalo y nos informas del resultado:


[quote]


[b] ELITRIIP: [/b]

http://www.zonavirus.com/descargas/elitriip.asp



Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso


[/quote]



Si dicha utilidad no detectara nada, por tratarse de alguna nueva variante, haz lo indicado por lucl en el post anterior, y, tras recibir la muestra, implementaríamos su control y eliminacion, si procediera, en nuestras utilidades, de lo cual infornaríamos.



saludos



ms, 26-3-2009

ref AR/BA-34.6-58.7







NOTA: y si persiste el mensaje, señal de que los procesos que empleaste borraron el fichero pero no la clave de lanzamiento del mismo, si el ELITRIIP no la eliminara, podrias buscar con el BUSCAREG las claves que contuvieran el nombre KESENJANGANSOSIAL, y pulsando doble click en las encontradas, aceptar en eliminarlas, pero primero prueba lo del ELITRIIP... ms.

[msc hotline sat]

Y para conocimiento del foro, buscando las claves que modifica este troyano, vemos que esto puede ser causado por la clave:



F2 - REG:system.ini: Shell=Explorer.exe "C:\WINDOWS\KesenjanganSosial.exe"



que NO DEBE BORRARSE, solo restaurarse a su valor inicial, sin la carga del marrano, pero no eliminarla ya que de lo contrario no se cargaría el EXPLORER.EXE con lo que no tendríamos el entorno gráfico de windows.



Puntualmente esta clave, y todas las que se carguen con un Shell del EXPLORER, pueden ser restauradas con el ELISHELL, utilidad que deja dicha clave lanzando solo el EXPLORER, puede probarse y posiblemente sin mas, se solucione el problema que indica el autor del Tema:





DESCARGA DE ELISHELL:

http://www.zonavirus.com/descargas/elishell.asp



y comentarnos el resultado, gracias



saludos



ms, 26-3-2009

[zchango]

Hola Que tal.

el problema de kesenjangansocial.exe, esta resuelto!

baje el ELITRIIP v5.55 lo ejecute, reinicie la maquina y problema resuelto.

aca les mando lo que dice el archivo [b]Infosat.txt[/b]



(27-3-2009 11:18:29)

EliTriIP v5.67 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 20 de Marzo del 2009)

---------------------------------------------

Lista de Acciones (por Acción Directa):

Por favor, envienos una muestra del fichero

C:\Muestras\SCVHOST.EXE.Muestra EliTriIP v5.67

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\SCVHOST.EXE --> Eliminado

No detectado SP3 de Windows XP



(27-3-2009 11:19:37)

EliTriIP v5.67 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 20 de Marzo del 2009)

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"



Nº Total de Directorios: 5682

Nº Total de Ficheros: 49907

Nº de Ficheros Analizados: 17978

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



cuando estaba ejecutando el EliTriIP v5.67 me aparecio un cartel que decia: "

Por favor, envienos una muestra del fichero

C:\Muestras\SCVHOST.EXE.Muestra EliTriIP v5.67

a "virus@satinfo.es". Gracias.



cuando quise enviarselo mediante (envio de muestras). me dice:

LA EXTENCION NO ES VALIDA.67

SOLO SE PUEDE MANDAR TAR, ZIP, RAR O ACE.



si me sugieren como enviarles el archivo se los agradeceria.

saludos y gracias por solucionarme el problema

[msc hotline sat]

Pues felicidades, uno al bote !



y esto otro:



Por favor, envienos una muestra del fichero

C:\Muestras\SCVHOST.EXE.Muestra EliTriIP v5.67



vea como hacerlo en:





[b]¿Como enviar las muestras a zonavirus? - Para ello recordar[/b]:

https://foros.zonavirus.com/viewtopic.php?f=5&t=14253





Tras recibirlos, los analizaremos e implementaremos su control y eliminacion, si procede, en nuestras utilidades, de lo cual informaremos



saludos



ms, 27-3-2009

[msc hotline sat]

Hemos recibido la muestra sospechosa solicitada, y efectivamente es un Trojan Downloader que pasamos a controlar con la version de hoy del ELISTARA 18.32, que subiremos esta tarde a esta web:




[quote]
[b] ELISTARA: [/b]

http://www.zonavirus.com/descargas/elistara.asp



Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso
[/quote]



A partir de las 19 h GMT, estará disponible en esta web, para pruebas de evaluacion en el foro de zonavirus



saludos



ms, 30-3-2009