Problemas con Virus Win32:Rootkit-gen (SOLUCIONADO)

[chrisden33]

Saludos, este problema con este virus me salio recien ayer, con que mi antivirus (avast) me detecta software perjudicial unas 4 veces por dia, en la carpeta c:\windows\system32\drivers y lo encuentra en arcivos con nombres raros (por ejem: exesllkd.sys) y bueno los mando al baul, pero bueno entonces inicie un antivirus online ESET y me deecto varios archivos infectados que los elimino, pero el problema persite. ¿que mas puedo hacer?



Gracias

[lucl]

Pues añadirles extension .vir a los archivos que te detecta y enviarnoslos para analizar. Los empaquetas con winrar o winzip y les pones la palabra VIRUS de contraseña. Arriba a la derecha tienes el boton de envio muestras. Saludos.

[chrisden33]

Bueno, le smando entonces un archivo

[chrisden33]

Ahora le estoy pasando otra vez el antivirus online (Eset) y ya me detecto 16 :shock: nuevos arhivos infectados con una variante del Win32/Kryptik.ZD Trojan y variante del Win32/Kryptik.QF Trojan

[julibaga]

Quita el archivo adjunto de ahí ya que podrías infectar a alguien con él.

De todas formas, si no lo haces tú, lo hará algún administrador.

Los archivos se envían a través del botón "envío muestras" de arriba del todo a la derecha.

[chrisden33]

Les mando otro archivo, este ultimo lo mando con el password "virus123" porque mi compresor (Winzip 12) no me permite encriptar a menos de 8 caracteres.

[flacoroo]

ejecutas estos programas para desinfectarte, pero hazlo en modo seguro, desactivando tu antivirus para que no vaya a tomar nuestras herramientas como un falso positivo....



Haz lo siguiente: bajate estos programitas y ejecutalos de forma normal y si no puedes reinicia tu computadora y hazlo de modo seguro,

despues que termine nos pegas el resultado que se crea en C:infosat.txt



[url=http://www.zonavirus.com/descargas/elistara.asp]Descargar ElistAra[/url]

[url=http://www.zonavirus.com/descargas/elinotifdll.asp]Descargar Elinotif[/url] (complemento de ElistAra deben estar en el mismo lugar)

[url=http://www.zonavirus.com/descargas/elitriip.asp]Descargar ElitriIP[/url]

[lucl]

[quote="chrisden33"]Les mando otro archivo, este ultimo lo mando con el password "virus123" porque mi compresor (Winzip 12) no me permite encriptar a menos de 8 caracteres.[/quote]



Lo avisare a Msc para que lo tengan en cuenta en Satinfo y puedan abrirlo. Saludos

[chrisden33]

Ya esta realizado el scan y les mando el log:





(18-8-2009 0:58:13 (GMT))

EliStartPage v19.10 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 24 de Julio del 2009)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Linea Eliminada del HOSTS --> 127.0.0.1 q4master.idsoftware.com

Linea Eliminada del HOSTS --> 127.0.0.1 idnet.ua-corp.com

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.007guard.com

.

.

.

.

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.webfiestacasino.net

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.worldplayvegas.net

Linea Eliminada del HOSTS --> 127.0.0.1 worldplayvegas.net

Eliminados Ficheros Temporales del IE



(18-8-2009 0:58:44 (GMT))

EliStartPage v19.10 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 24 de Julio del 2009)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"



Nº Total de Directorios: 6768

Nº Total de Ficheros: 77795

Nº de Ficheros Analizados: 28508

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



(18-8-2009 1:08:06 (GMT))

EliStartPage v19.10 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 24 de Julio del 2009)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "D:\"



Nº Total de Directorios: 2664

Nº Total de Ficheros: 35461

Nº de Ficheros Analizados: 7977

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



(18-8-2009 1:11:07 (GMT))

EliStartPage v19.10 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 24 de Julio del 2009)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "E:\"



Nº Total de Directorios: 418

Nº Total de Ficheros: 6832

Nº de Ficheros Analizados: 270

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



(18-8-2009 1:11:45 (GMT))

EliStartPage v19.10 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 24 de Julio del 2009)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "F:\"



Nº Total de Directorios: 1189

Nº Total de Ficheros: 19030

Nº de Ficheros Analizados: 88

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



(18-8-2009 1:12:18 (GMT))

EliStartPage v19.10 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 24 de Julio del 2009)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "G:\"



Nº Total de Directorios: 207

Nº Total de Ficheros: 3409

Nº de Ficheros Analizados: 55

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



(18-8-2009 1:12:28 (GMT))

EliStartPage v19.10 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 24 de Julio del 2009)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "H:\"



Nº Total de Directorios: 493

Nº Total de Ficheros: 13375

Nº de Ficheros Analizados: 1445

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



(18-8-2009 1:13:13 (GMT))

EliStartPage v19.10 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 24 de Julio del 2009)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "J:\"



Nº Total de Directorios: 1940

Nº Total de Ficheros: 37478

Nº de Ficheros Analizados: 937

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



(18-8-2009 1:14:51 (GMT))

EliStartPage v19.10 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 24 de Julio del 2009)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "K:\"



Nº Total de Directorios: 203

Nº Total de Ficheros: 8182

Nº de Ficheros Analizados: 892

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



(18-8-2009 1:15:42) (GMT)

EliTriIP v5.97 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 20 de Julio del 2009)

---------------------------------------------

Lista de Acciones (por Acción Directa):

Linea Eliminada del HOSTS --> 127.0.0.1 q4master.idsoftware.com

Linea Eliminada del HOSTS --> 127.0.0.1 idnet.ua-corp.com

.

.

.

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.worldplayvegas.net

Linea Eliminada del HOSTS --> 127.0.0.1 worldplayvegas.net



(18-8-2009 1:16:27) (GMT)

EliTriIP v5.97 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 20 de Julio del 2009)

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"



Nº Total de Directorios: 6768

Nº Total de Ficheros: 77778

Nº de Ficheros Analizados: 25694

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



(18-8-2009 1:26:29) (GMT)

EliTriIP v5.97 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 20 de Julio del 2009)

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando "D:\"



Nº Total de Directorios: 2663

Nº Total de Ficheros: 35422

Nº de Ficheros Analizados: 7022

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



(18-8-2009 1:28:19) (GMT)

EliTriIP v5.97 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 20 de Julio del 2009)

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando "E:\"



Nº Total de Directorios: 418

Nº Total de Ficheros: 6832

Nº de Ficheros Analizados: 120

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



(18-8-2009 1:28:35) (GMT)

EliTriIP v5.97 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 20 de Julio del 2009)

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando "F:\"



Nº Total de Directorios: 1189

Nº Total de Ficheros: 19030

Nº de Ficheros Analizados: 79

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



(18-8-2009 1:31:38) (GMT)

EliTriIP v5.97 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 20 de Julio del 2009)

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando "G:\"



Nº Total de Directorios: 207

Nº Total de Ficheros: 3409

Nº de Ficheros Analizados: 49

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



(18-8-2009 1:31:45) (GMT)

EliTriIP v5.97 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 20 de Julio del 2009)

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando "H:\"



Nº Total de Directorios: 493

Nº Total de Ficheros: 13375

Nº de Ficheros Analizados: 1357

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



(18-8-2009 1:32:29) (GMT)

EliTriIP v5.97 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 20 de Julio del 2009)

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando "J:\"



Nº Total de Directorios: 1940

Nº Total de Ficheros: 37562

Nº de Ficheros Analizados: 848

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



(18-8-2009 1:33:11) (GMT)

EliTriIP v5.97 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 20 de Julio del 2009)

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando "K:\"



Nº Total de Directorios: 203

Nº Total de Ficheros: 8182

Nº de Ficheros Analizados: 890

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



Realice tambien un scan con el Trojan Remover y elimino un archivo y entrada sospechoza:



This key's "Taskman" value calls the following program:

Key value: [C:\RECYCLER\S-1-5-21-8983835434-6327908058-327509575-2798\sysdate.exe]

File: C:\RECYCLER\S-1-5-21-8983835434-6327908058-327509575-2798\sysdate.exe

C:\RECYCLER\S-1-5-21-8983835434-6327908058-327509575-2798\sysdate.exe

358912 bytes

Created: 14/08/2009 03:47 p.m.

Modified: 24/06/2009 01:14 a.m.

Company: [no info]

C:\RECYCLER\S-1-5-21-8983835434-6327908058-327509575-2798\sysdate.exe - this registry value has been removed

C:\RECYCLER\S-1-5-21-8983835434-6327908058-327509575-2798\sysdate.exe - process is either not running or could not be terminated

C:\RECYCLER\S-1-5-21-8983835434-6327908058-327509575-2798\sysdate.exe - file ownership assigned to: PARTICUL-D70B2C\CHRISTIAN BALDERRAMA

C:\RECYCLER\S-1-5-21-8983835434-6327908058-327509575-2798\sysdate.exe - process is either not running or could not be terminated

C:\RECYCLER\S-1-5-21-8983835434-6327908058-327509575-2798\sysdate.exe - file backed up to C:\RECYCLER\S-1-5-21-8983835434-6327908058-327509575-2798\sysdate.exe.vir

C:\RECYCLER\S-1-5-21-8983835434-6327908058-327509575-2798\sysdate.exe - file has been neutralised

C:\RECYCLER\S-1-5-21-8983835434-6327908058-327509575-2798\sysdate.exe - marked for renaming when the PC is restarted

----------



Y ahora realice un scan online y no se encontraron infecciones, y mi maquina ya esta "normal", ya el avast no me alerta de archivos sospechozos [quote="chrisden33"]Saludos, este problema con este virus me salio recien ayer, con que mi antivirus (avast) me detecta software perjudicial unas 4 veces por dia, en la carpeta c:\windows\system32\drivers y lo encuentra en arcivos con nombres raros (por ejem: exesllkd.sys) y bueno los mando al baul, pero bueno entonces inicie un antivirus online ESET y me deecto varios archivos infectados que los elimino, pero el problema persite. ¿que mas puedo hacer?



Gracias[/quote]
Espero este bien, y por el momento ya el problema estaria solucionado.

Gracias por la ayuda.

[lucl]

Pues nos alegramos que se haya solucionado, si nos necesitas ya sabes donde estamos saludos.