Un virus de los bravos Auxilioooo (SOLUCIONADO)

[edanror]

Hola amigos tengo un problema con un bicho de esos pero de los bravos, resulta que mi antivirus me lo detecta y no lo elimina miren e intentado con Nod Esert, Avast home y profesional, AVG y Avira y todos lo reconocen pero ninguno es capaz de eliminarlo, a continuacion les muestro lo que me dice el avast

C:\WINDOWS\system32\nmdfgds0.dll

Win32:Rootkit-gen [Rtk]

Rootkit (Encubridor)



Resulta que lo encuentro y lo elimino con unloker pues no se deja de manera normal y me lo elimina y el antivirus tambien me lo elimina pero en cuestion de 10 segundos vuelve y salta el antivirus y asi se la pasa lo elimina y el virus vuelve y surge, puse el avast a escanear antes de comenzar el windows lo encuentra lo elimina y luego cuando inicio windows normalmente vuelve y aparece normalmente, he formateado mi PC 5 veces y ese bicho sigue ahi, ademas no me deja ver archivos y carpetas ocultassss, ayudaaaaaaaaaaa por favor necesito de su ayudaaaaaaaaaaaaaaaaa

[julibaga]

Bájate las siguientes utilidades:

[url=http://www.zonavirus.com/descargas/elistara.asp]Elistara[/url], [url=http://www.zonavirus.com/descargas/elitriip.asp]Elitriip[/url], [url=http://www.zonavirus.com/descargas/elibagla.asp]Elibagla[/url]

Las ejecutas de una en una y cuando terminen abres el archivo [b]c:\infosat.txt[/b], copias el contenido y lo pegas en tu siguiente post para ver los resultados y nos comentas si quedaron solucionados los problemas.



Si pide el [url=http://www.zonavirus.com/descargas/elinotifdll.asp]Elinotif.dll[/url], copiar dicho fichero en la misma carpeta que el Elistara.exe, el cual utilizará si lo necesita.



Y para ver los procesos bájate el [url=http://www.zonavirus.com/descargas/sproces.asp]SProcess[/url] (herramienta de investigación) y lo ejecutas. Tras pulsar en SALIR, postea el contenido del [b]c:\sproclog.txt[/b] con un copiar y pegar.

[msc hotline sat]

Es que hay Rootkits que se las traen...



Pero este ya lo controlamos en muchas de sus variantes, como PWS-OnLineGames.Olhrwef , con el ELISTARA que indica julibaga, y si este no no lonocieramos, pediariamos muestra para analizar y controlar.



Lo veremos cuando postees el contenido de c:\infosat.txt ...



y además, como que es un virus de los que se propagan por pendrive,







vacune todas sus unidades de disco y pendrive con el ELIPEN:



[b]ELIPEN.EXE[/b]

http://www.zonavirus.com/descargas/elipen.asp



Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso



saludos



ms, 10-5-2009

[edanror]

Hice lo que me dijeron scanee los discos con esos antivirus y me los eliminoo, muchas gracias lo que no estoy seguro es si cuando vuelva a formatear vuelva a aparecer de nada de algun lugar,,,, aca les dejo el reporte que los antivirus me reportaron y les pido el favor que me digan si definitivamente ya puedo estar tranquilo con ese bicho pues cada ves que formateo reapareceee, Graciasssss



Mon May 11 21:46:19 2009

EliPen v1.8 (c)2008 S.G.H. / Satinfo S.L.

------------------------------------------



Detectado C:\Autorun.inf

OPEN=HKN6K.BAT

C:\Autorun.inf -> Renombrado a .OLD

Unidad C:\ Protegida



Unidad C:\ YA esta Protegida



Detectado D:\Autorun.inf

OPEN=HKN6K.BAT

D:\Autorun.inf -> Renombrado a .OLD

Unidad D:\ Protegida



Detectado E:\Autorun.inf

OPEN=HKN6K.BAT

E:\Autorun.inf -> Renombrado a .OLD

Unidad E:\ Protegida



Detectado F:\Autorun.inf

OPEN=HKN6K.BAT

F:\Autorun.inf -> Renombrado a .OLD

Unidad F:\ Protegida



Detectado G:\Autorun.inf

OPEN=HKN6K.BAT

G:\Autorun.inf -> Renombrado a .OLD

Unidad G:\ Protegida



Detectado H:\Autorun.inf

OPEN=HKN6K.BAT

H:\Autorun.inf -> Renombrado a .OLD

Unidad H:\ Protegida



Detectado I:\Autorun.inf

OPEN=HKN6K.BAT

I:\Autorun.inf -> Renombrado a .OLD

Unidad I:\ Protegida





(11-5-2009 19:52:12)

EliStartPage v18.58 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 11 de Mayo del 2009)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\SYSTEM32\OLHRWEF.EXE --> Eliminado PWS-OnLineGames.Olhrwef

H:\DESKTOP.INI --> Eliminado (Fichero Complementario).

Entrada Eliminada [HKCU\...\Run] "cdoosoft"="C:\WINDOWS\system32\olhrwef.exe"

No detectado SP3 de Windows XP

No detectado Parche MS08-067 de Microsoft instalado. (SServidor)

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



(11-5-2009 19:52:47)

EliStartPage v18.58 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 11 de Mayo del 2009)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"

C:\Archivos de programa\ESET\ESET NOD32 Antivirus\NOD32_V3_FIX_1.1.EXE --> Eliminado, CrackAVNOD

C:\SDFix\apps\PROCESS.EXE --> Eliminado, RiskTool.PrcView

C:\WINDOWS\system32\CMDOW.EXE --> Eliminado, Tool-HideWindow



Nº Total de Directorios: 2979

Nº Total de Ficheros: 29146

Nº de Ficheros Analizados: 6749

Nº de Ficheros Infectados: 3

Nº de Ficheros Limpiados: 3



(11-5-2009 19:55:27)

EliStartPage v18.58 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 11 de Mayo del 2009)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "F:\"

F:\BOYEDT.COM --> Eliminado, PWS-OnLineGames.Olhrwef

F:\HKN6K.BAT --> Eliminado, PWS-OnLineGames.Olhrwef

F:\cambiar apariencia Xp a Vista\VISTA TRANSFORMATION PACK 7.0.EXE --> Eliminado, RiskTool.CloseApp(dr)

F:\Macromedia\Macromedia Studio 8 Español - Spanish Completo con KeyGen { joja }\KEYGEN.EXE --> Eliminado, KeyGen.ZWT



Nº Total de Directorios: 2048

Nº Total de Ficheros: 24086

Nº de Ficheros Analizados: 5337

Nº de Ficheros Infectados: 4

Nº de Ficheros Limpiados: 4



(11-5-2009 19:57:52)

EliStartPage v18.58 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 11 de Mayo del 2009)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "F:\"



Nº Total de Directorios: 284

Nº Total de Ficheros: 2057

Nº de Ficheros Analizados: 531

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

Exploración Detenida por el Usuario.



(11-5-2009 19:58:12)

EliStartPage v18.58 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 11 de Mayo del 2009)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "D:\"

D:\BOYEDT.COM --> Eliminado, PWS-OnLineGames.Olhrwef

D:\HKN6K.BAT --> Eliminado, PWS-OnLineGames.Olhrwef



Nº Total de Directorios: 83

Nº Total de Ficheros: 896

Nº de Ficheros Analizados: 133

Nº de Ficheros Infectados: 2

Nº de Ficheros Limpiados: 2



(11-5-2009 19:58:27)

EliStartPage v18.58 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 11 de Mayo del 2009)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "E:\"

E:\HKN6K.BAT --> Eliminado, PWS-OnLineGames.Olhrwef



Nº Total de Directorios: 6

Nº Total de Ficheros: 5

Nº de Ficheros Analizados: 3

Nº de Ficheros Infectados: 1

Nº de Ficheros Limpiados: 1



(11-5-2009 19:58:34)

EliStartPage v18.58 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 11 de Mayo del 2009)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "G:\"

G:\BOYEDT.COM --> Eliminado, PWS-OnLineGames.Olhrwef

G:\HKN6K.BAT --> Eliminado, PWS-OnLineGames.Olhrwef



Nº Total de Directorios: 170

Nº Total de Ficheros: 1120

Nº de Ficheros Analizados: 227

Nº de Ficheros Infectados: 2

Nº de Ficheros Limpiados: 2



(11-5-2009 19:58:45)

EliStartPage v18.58 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 11 de Mayo del 2009)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "H:\"

H:\BOYEDT.COM --> Eliminado, PWS-OnLineGames.Olhrwef

H:\HKN6K.BAT --> Eliminado, PWS-OnLineGames.Olhrwef



Nº Total de Directorios: 398

Nº Total de Ficheros: 15790

Nº de Ficheros Analizados: 336

Nº de Ficheros Infectados: 2

Nº de Ficheros Limpiados: 2



(11-5-2009 19:59:07)

EliStartPage v18.58 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 11 de Mayo del 2009)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "I:\"

I:\HKN6K.BAT --> Eliminado, PWS-OnLineGames.Olhrwef



Nº Total de Directorios: 399

Nº Total de Ficheros: 7134

Nº de Ficheros Analizados: 294

Nº de Ficheros Infectados: 1

Nº de Ficheros Limpiados: 1



(11-5-2009 20:01:31)

EliTriIP v5.80 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 8 de Mayo del 2009)

---------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminado Servicio, "SCardSvr"

No detectado SP3 de Windows XP

No detectado Parche MS08-067 de Microsoft instalado. (SServidor)



(11-5-2009 20:01:42)

EliTriIP v5.80 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 8 de Mayo del 2009)

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"



Nº Total de Directorios: 2978

Nº Total de Ficheros: 29145

Nº de Ficheros Analizados: 6021

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



(11-5-2009 22:8:22)

EliBagle v12.53 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 7 de Mayo del 2009)

----------------------------------------------

Lista de Acciones (por Acción Directa):



(11-5-2009 22:8:23)

EliBagle v12.53 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 7 de Mayo del 2009)

----------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"



Nº Total de Directorios: 2978

Nº Total de Ficheros: 29145

Nº de Ficheros Analizados: 4261

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

[julibaga]

[quote="edanror"]cuando vuelva a formatear vuelva a aparecer de nada de algun lugar,[/quote]
Si formateas eliminas hasta los virus.

¿No te referirás a otra cosa?

Comenta si siguen los problemas.

[edanror]

Muchas gracias por sus aportes la verdad es que si logro eliminarme ese bicho del compu la pregunta es sera que si despues vuelvo a formatear aparecera de la nada como siempre lo hace? Bueno aca les dejo el reporte del antivirus que me recomendaron de nuevo muchas gracias:





Mon May 11 21:46:19 2009

EliPen v1.8 (c)2008 S.G.H. / Satinfo S.L.

------------------------------------------



Detectado C:\Autorun.inf

OPEN=HKN6K.BAT

C:\Autorun.inf -> Renombrado a .OLD

Unidad C:\ Protegida



Unidad C:\ YA esta Protegida



Detectado D:\Autorun.inf

OPEN=HKN6K.BAT

D:\Autorun.inf -> Renombrado a .OLD

Unidad D:\ Protegida



Detectado E:\Autorun.inf

OPEN=HKN6K.BAT

E:\Autorun.inf -> Renombrado a .OLD

Unidad E:\ Protegida



Detectado F:\Autorun.inf

OPEN=HKN6K.BAT

F:\Autorun.inf -> Renombrado a .OLD

Unidad F:\ Protegida



Detectado G:\Autorun.inf

OPEN=HKN6K.BAT

G:\Autorun.inf -> Renombrado a .OLD

Unidad G:\ Protegida



Detectado H:\Autorun.inf

OPEN=HKN6K.BAT

H:\Autorun.inf -> Renombrado a .OLD

Unidad H:\ Protegida



Detectado I:\Autorun.inf

OPEN=HKN6K.BAT

I:\Autorun.inf -> Renombrado a .OLD

Unidad I:\ Protegida





(11-5-2009 19:52:12)

EliStartPage v18.58 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 11 de Mayo del 2009)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\SYSTEM32\OLHRWEF.EXE --> Eliminado PWS-OnLineGames.Olhrwef

H:\DESKTOP.INI --> Eliminado (Fichero Complementario).

Entrada Eliminada [HKCU\...\Run] "cdoosoft"="C:\WINDOWS\system32\olhrwef.exe"

No detectado SP3 de Windows XP

No detectado Parche MS08-067 de Microsoft instalado. (SServidor)

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



(11-5-2009 19:52:47)

EliStartPage v18.58 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 11 de Mayo del 2009)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"

C:\Archivos de programa\ESET\ESET NOD32 Antivirus\NOD32_V3_FIX_1.1.EXE --> Eliminado, CrackAVNOD

C:\SDFix\apps\PROCESS.EXE --> Eliminado, RiskTool.PrcView

C:\WINDOWS\system32\CMDOW.EXE --> Eliminado, Tool-HideWindow



Nº Total de Directorios: 2979

Nº Total de Ficheros: 29146

Nº de Ficheros Analizados: 6749

Nº de Ficheros Infectados: 3

Nº de Ficheros Limpiados: 3



(11-5-2009 19:55:27)

EliStartPage v18.58 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 11 de Mayo del 2009)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "F:\"

F:\BOYEDT.COM --> Eliminado, PWS-OnLineGames.Olhrwef

F:\HKN6K.BAT --> Eliminado, PWS-OnLineGames.Olhrwef

F:\cambiar apariencia Xp a Vista\VISTA TRANSFORMATION PACK 7.0.EXE --> Eliminado, RiskTool.CloseApp(dr)

F:\Macromedia\Macromedia Studio 8 Español - Spanish Completo con KeyGen { joja }\KEYGEN.EXE --> Eliminado, KeyGen.ZWT



Nº Total de Directorios: 2048

Nº Total de Ficheros: 24086

Nº de Ficheros Analizados: 5337

Nº de Ficheros Infectados: 4

Nº de Ficheros Limpiados: 4



(11-5-2009 19:57:52)

EliStartPage v18.58 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 11 de Mayo del 2009)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "F:\"



Nº Total de Directorios: 284

Nº Total de Ficheros: 2057

Nº de Ficheros Analizados: 531

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

Exploración Detenida por el Usuario.



(11-5-2009 19:58:12)

EliStartPage v18.58 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 11 de Mayo del 2009)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "D:\"

D:\BOYEDT.COM --> Eliminado, PWS-OnLineGames.Olhrwef

D:\HKN6K.BAT --> Eliminado, PWS-OnLineGames.Olhrwef



Nº Total de Directorios: 83

Nº Total de Ficheros: 896

Nº de Ficheros Analizados: 133

Nº de Ficheros Infectados: 2

Nº de Ficheros Limpiados: 2



(11-5-2009 19:58:27)

EliStartPage v18.58 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 11 de Mayo del 2009)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "E:\"

E:\HKN6K.BAT --> Eliminado, PWS-OnLineGames.Olhrwef



Nº Total de Directorios: 6

Nº Total de Ficheros: 5

Nº de Ficheros Analizados: 3

Nº de Ficheros Infectados: 1

Nº de Ficheros Limpiados: 1



(11-5-2009 19:58:34)

EliStartPage v18.58 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 11 de Mayo del 2009)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "G:\"

G:\BOYEDT.COM --> Eliminado, PWS-OnLineGames.Olhrwef

G:\HKN6K.BAT --> Eliminado, PWS-OnLineGames.Olhrwef



Nº Total de Directorios: 170

Nº Total de Ficheros: 1120

Nº de Ficheros Analizados: 227

Nº de Ficheros Infectados: 2

Nº de Ficheros Limpiados: 2



(11-5-2009 19:58:45)

EliStartPage v18.58 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 11 de Mayo del 2009)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "H:\"

H:\BOYEDT.COM --> Eliminado, PWS-OnLineGames.Olhrwef

H:\HKN6K.BAT --> Eliminado, PWS-OnLineGames.Olhrwef



Nº Total de Directorios: 398

Nº Total de Ficheros: 15790

Nº de Ficheros Analizados: 336

Nº de Ficheros Infectados: 2

Nº de Ficheros Limpiados: 2



(11-5-2009 19:59:07)

EliStartPage v18.58 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 11 de Mayo del 2009)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "I:\"

I:\HKN6K.BAT --> Eliminado, PWS-OnLineGames.Olhrwef



Nº Total de Directorios: 399

Nº Total de Ficheros: 7134

Nº de Ficheros Analizados: 294

Nº de Ficheros Infectados: 1

Nº de Ficheros Limpiados: 1



(11-5-2009 20:01:31)

EliTriIP v5.80 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 8 de Mayo del 2009)

---------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminado Servicio, "SCardSvr"

No detectado SP3 de Windows XP

No detectado Parche MS08-067 de Microsoft instalado. (SServidor)



(11-5-2009 20:01:42)

EliTriIP v5.80 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 8 de Mayo del 2009)

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"



Nº Total de Directorios: 2978

Nº Total de Ficheros: 29145

Nº de Ficheros Analizados: 6021

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



(11-5-2009 22:8:22)

EliBagle v12.53 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 7 de Mayo del 2009)

----------------------------------------------

Lista de Acciones (por Acción Directa):



(11-5-2009 22:8:23)

EliBagle v12.53 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 7 de Mayo del 2009)

----------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"



Nº Total de Directorios: 2978

Nº Total de Ficheros: 29145

Nº de Ficheros Analizados: 4261

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

[msc hotline sat]

Pues ya has visto que tenias propagado este ONLINE GAME por todas partes, y seguro que en algun pendrive (que espero hayas vacunado ahora todos) lo olvidabas y tras formatear te volvía a infectar el ordenador...



Ahora no te olvides de lanzar un windowsupdate e instalar el SP3 y posteriores, sino te puede entrar cualquier virus tipo Conficker, a pesar de los antivirus que tengas, por falta de parches:



[b][i]No detectado SP3 de Windows XP

No detectado Parche MS08-067 de Microsoft instalado. (SServidor)[/i][/b]





Y dinos si persiste alguna anomalia o podemos dar por solucionado el Tema, gracias



saludos



ms, 12-5-2009

[edanror]

Hola Gracias por tu ayuda y por tu sugerencia prontamente formateare e instalare el ue 8, ese trae el service pack 3 y actualizaciones, cuando lo haya hecho volvere a comentar a ver que pasa, ojala ese bicho no moleste mas, byeee

[msc hotline sat]

Recuerda que sobre versiones paralelas, desatendidas o piratas, no damos soporte, mejor es que instales el Windows 7



Y dando por solucionado el Tema, procedemos a cerrarlo



Si nos necesitas de nuevo, ya sabes donde estamos



saludos



ms, 12-5-2009