PROBLEMA KAV_RESCUE 2008

[RENKEN]

:oops: Hola buenos dias, soy nuevo por este foro aunque lo he vistado algunas veces y me ha sido muy util, graacias.

Mi problema es que el otro dia me aparecio en mi antivirus NOD32 un mensaje de sofware malicioso y los detecta pero no los elimina.Parece que son modificaciones del Win32.Para solucionarlo me aconsejaron el KAV_RESCUE 2008,ha todos les funcino.

Bueno al tema, meto el disco arranca pero al rato me aperece este mensaje WARNIG AUTODETECTION SEEMS HANS.........

al rato pasa ese paso llega al menu donde se elige el idioma y al rato se queda parado el proceso en algo asi, como buscando directorios de lab kaspersky.

Por favor ayudarme me he bajado el disco tres veces y me hace lo mismo.

Un saludo Y gracias de antemano.

[msc hotline sat]

Supongo que el mensaje le dice "Warning : Autodetection seems to hang please check your computers BIOS settings", lo cual implica un problema en la detección del hardware, quizás porque el virus borró o corromìó algun fichero de instalacion o driver de algun periférico ???



Conviene ver lo que se lo produjo, para intentar corregirlo. Por ello mire de enviarnos el fichero donde su antivirus detecta el fichero malicioso en cuestion, y tras recibirlo lo analizaremos e informaremos



Para enviarnoslo:





[b]¿Como enviar las muestras a zonavirus? - Para ello recordar[/b]:

https://foros.zonavirus.com/viewtopic.php?f=5&t=14253



Tras recibirlos, los analizaremos e implementaremos su control y eliminacion, si procede, en nuestras utilidades, de lo cual informaremos



saludos



ms, 22-11-2009







NOTA: Y si no lo encontrara, pruebe el ELISTARA y posteenos el informe resultante:


[quote="para DESCARGAR el ELISTARA, msc"] http://www.zonavirus.com/descargas/elistara.asp



Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso [/quote]
ms.

[msc hotline sat]

Los ficheros sospechosos se envian a zonavirus@satinfo.es, mediante el boton de ENVIAR, pero los txt NO! : https://foros.zonavirus.com/viewtopic.php?f=1&t=17488



Ha llegado a mis manos su informe antes de que lo eliminaran los de I+D, por esto, excepcionalmente, lo puedo postear:


[quote]c:\docume~1\compaq~1\datosd~1\micros~1\logman.exe - Variante modificada de Win32/TrojanDownloader.Agent.PMB (Troyano)

c:\windows\system\sessmgr.exe - Variante modificada de Win32/TrojanDownloader.Agent.PMB (Troyano)

C:\DOCUME~1\COMPAQ~1\DATOSD~1\mstinit.exe - Variante modificada de Win32/TrojanDownloader.Agent.PMB (Troyano)[/quote]



pues envienos los ficheros en cuestion, para analizar:





c:\docume~1\compaq~1\datosd~1\micros~1\logman.exe

c:\windows\system\sessmgr.exe

C:\DOCUME~1\COMPAQ~1\DATOSD~1\mstinit.exe





Tras recibirlos y analizarlos, informaremos en consecuencia



saludos



ms, 24-11-2009

[RENKEN]

Hola de nuevo perdonar si no le he hecho bien, pero es la primera que vez que me pasa.

Os mando los ficheros.Creo que son esos.

Un saludo y gracias.

[msc hotline sat]

Los tres ficheros que nos has enviado son de MICROSOFT, y los que te pediamos no eran de las rutas convencionales, por ejemplo de la carpeta de sistema clásica windows\system32\, sino de otras rutas:



c:\docume~1\compaq~1\datosd~1\micros~1\logman.exe - Variante modificada de Win32/TrojanDownloader.Agent.PMB (Troyano)

c:\windows\system\sessmgr.exe - Variante modificada de Win32/TrojanDownloader.Agent.PMB (Troyano)

C:\DOCUME~1\COMPAQ~1\DATOSD~1\mstinit.exe - Variante modificada de Win32/TrojanDownloader.Agent.PMB (Troyano)



Estas seguro que los que nos has enviado son los de estas rutas ???



Si es asi, las detecciones que indicas son falsos positivos... pero me inclino mas por lo de que no son los de estas rutas.



En cualquier caso dinos el antivirus con el que los has detectado, gracias



saludos



ms, 24-11-2009

[msc hotline sat]

Y has probado el ELISTARA ???


[quote]
[b] ELISTARA: [/b]

http://www.zonavirus.com/descargas/elistara.asp



Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso
[/quote]

saludos



ms, 24-11-2009

[RENKEN]

Hola perdonar por el retraso, pero me ha sido imposible hacerlo antes.

El antivirus que me detectado esto es NOD32 V. 2.70.39.

Aqui os pego lo que me pedis.



(30-11-2009 18:07:35 (GMT))

EliStartPage v19.80 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 30 de Noviembre del 2009)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Por favor, envienos una muestra del fichero

C:\Muestras\CMSTP.EXE.Muestra EliStartPage v19.80

a "virus@satinfo.es". Gracias.

C:\DOCUMENTS AND SETTINGS\COMPAQ_PROPIETARIO\DATOS DE PROGRAMA\MICROSOFT\CMSTP.EXE --> Eliminado

Por favor, envienos una muestra del fichero

C:\Muestras\DLLHST3G.EXE.Muestra EliStartPage v19.80

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\DRIVERS\DLLHST3G.EXE --> Eliminado

Por favor, envienos una muestra del fichero

C:\Muestras\ESENTUTL.EXE.Muestra EliStartPage v19.80

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM\ESENTUTL.EXE --> Eliminado

Por favor, envienos una muestra del fichero

C:\Muestras\IEUDINIT.EXE.Muestra EliStartPage v19.80

a "virus@satinfo.es". Gracias.

C:\DOCUMENTS AND SETTINGS\COMPAQ_PROPIETARIO\DATOS DE PROGRAMA\MICROSOFT\IEUDINIT.EXE --> Eliminado

Por favor, envienos una muestra del fichero

C:\Muestras\SESSMGR.EXE.Muestra EliStartPage v19.80

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM\SESSMGR.EXE --> Eliminado

Por favor, envienos una muestra del fichero

C:\Muestras\SPOOLSV.EXE.Muestra EliStartPage v19.80

a "virus@satinfo.es". Gracias.

C:\DOCUMENTS AND SETTINGS\COMPAQ_PROPIETARIO\DATOS DE PROGRAMA\MICROSOFT\SPOOLSV.EXE --> Eliminado

Por favor, envienos una muestra del fichero

C:\Muestras\SPOOLSV.EXE.Muestra EliStartPage v19.80

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SPOOLSV.EXE --> Eliminado

C:\WINDOWS\ALCMTR.EXE --> Eliminado SpyRealtek

E:\DESKTOP.INI --> Eliminado (Fichero Complementario).

Entrada Eliminada [HKCU\...\Policies\Explorer\Run] "Cisvc"="C:\DOCUME~1\COMPAQ~1\DATOSD~1\MICROS~1\cisvc.exe /waitservice"

Entrada Eliminada [HKLM\...\Policies\Explorer\Run] "Cisvc"="C:\DOCUME~1\COMPAQ~1\CONFIG~1\Temp\cisvc.exe /waitservice"

Entrada Eliminada [HKLM\...\Policies\Explorer\Run] "ClipSrv"="C:\DOCUME~1\COMPAQ~1\DATOSD~1\MICROS~1\clipsrv.exe /waitservice"

Entrada Eliminada [HKCU\...\Policies\Explorer\Run] "CmSTP"="C:\Documents and Settings\Compaq_Propietario\LOCALS~1\APPLIC~1\MICROS~1\cmstp.exe /waitservice"

Entrada Eliminada [HKLM\...\Policies\Explorer\Run] "CmSTP"="C:\WINDOWS\System\cmstp.exe /waitservice"

Entrada Eliminada [HKCU\...\Policies\Explorer\Run] "ComRepl"="C:\DOCUME~1\COMPAQ~1\DATOSD~1\MICROS~1\comrepl.exe /waitservice"

Entrada Eliminada [HKLM\...\Policies\Explorer\Run] "ComRepl"="C:\Documents and Settings\Compaq_Propietario\LOCALS~1\APPLIC~1\comrepl.exe /waitservice"

Entrada Eliminada [HKCU\...\Policies\Explorer\Run] "DllHst"="C:\Documents and Settings\Compaq_Propietario\LOCALS~1\APPLIC~1\MICROS~1\dllhst3g.exe /waitservice"

Entrada Eliminada [HKLM\...\Policies\Explorer\Run] "DllHst"="C:\WINDOWS\dllhst3g.exe /waitservice"

Entrada Eliminada [HKCU\...\Policies\Explorer\Run] "Esent Utl"="C:\DOCUME~1\COMPAQ~1\DATOSD~1\MICROS~1\esentutl.exe /waitservice"

Entrada Eliminada [HKLM\...\Policies\Explorer\Run] "Esent Utl"="C:\Documents and Settings\Compaq_Propietario\LOCALS~1\APPLIC~1\esentutl.exe /waitservice"

Entrada Eliminada [HKCU\...\Policies\Explorer\Run] "IEudinit"="C:\WINDOWS\System\ieudinit.exe /waitservice"

Entrada Eliminada [HKLM\...\Policies\Explorer\Run] "IEudinit"="C:\DOCUME~1\COMPAQ~1\DATOSD~1\ieudinit.exe /waitservice"

Entrada Eliminada [HKCU\...\Policies\Explorer\Run] "Logman"="C:\DOCUME~1\COMPAQ~1\CONFIG~1\Temp\logman.exe /waitservice"

Entrada Eliminada [HKLM\...\Policies\Explorer\Run] "Logman"="C:\WINDOWS\System32\drivers\logman.exe /waitservice"

Entrada Eliminada [HKCU\...\Policies\Explorer\Run] "MqtgSVC"="C:\WINDOWS\System\mqtgsvc.exe /waitservice"

Entrada Eliminada [HKLM\...\Policies\Explorer\Run] "MqtgSVC"="C:\Documents and Settings\Compaq_Propietario\LOCALS~1\APPLIC~1\mqtgsvc.exe /waitservice"

Entrada Eliminada [HKCU\...\Policies\Explorer\Run] "MstInit"="C:\WINDOWS\System\mstinit.exe /waitservice"

Entrada Eliminada [HKLM\...\Policies\Explorer\Run] "MstInit"="C:\WINDOWS\System32\drivers\mstinit.exe /waitservice"

Entrada Eliminada [HKCU\...\Policies\Explorer\Run] "Mstsc"="C:\WINDOWS\mstsc.exe /waitservice"

Entrada Eliminada [HKLM\...\Policies\Explorer\Run] "Mstsc"="C:\Documents and Settings\Compaq_Propietario\LOCALS~1\APPLIC~1\mstsc.exe /waitservice"

Entrada Eliminada [HKCU\...\Policies\Explorer\Run] "rsvp"="C:\Documents and Settings\Compaq_Propietario\LOCALS~1\APPLIC~1\MICROS~1\rsvp.exe /waitservice"

Entrada Eliminada [HKLM\...\Policies\Explorer\Run] "rsvp"="C:\Documents and Settings\Compaq_Propietario\LOCALS~1\APPLIC~1\MICROS~1\rsvp.exe /waitservice"

Entrada Eliminada [HKLM\...\Policies\Explorer\Run] "Spool"="C:\DOCUME~1\COMPAQ~1\DATOSD~1\spoolsv.exe /waitservice"

No detectado SP3 de Windows XP

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Detectado AUTORUN.INF en la Unidad (E)

ShellExecute=Info.exe protect.ed 480 480

Si Desconoce la Aplicación, por favor envienosla

acompañada del AUTORUN.INF a "virus@satinfo.es". Gracias.



(30-11-2009 18:11:44 (GMT))

EliStartPage v19.80 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 30 de Noviembre del 2009)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"

C:\hp\drivers\Realtek_HD_Audio\ALCMTR.EXE --> Eliminado, SpyRealtek



Nº Total de Directorios: 12815

Nº Total de Ficheros: 157540

Nº de Ficheros Analizados: 48245

Nº de Ficheros Infectados: 1

Nº de Ficheros Limpiados: 1





Otra cosa creo que me lo habeis solucionado, pues despues de ejecutar el elistar y reiniciar, el antivirus ya no me da la alarma.Espero que me la hayais arreglado.

Si no es esto lo que queriais que hiciera o me falta algo, me lo decis que encantado intentare mandaroslo.

Un saludo y muchisimas gracias.

[msc hotline sat]

El problema está aparcado, pero nos ha de enviar las muestras que se le piden para poder implementar su control y eliminacion en nuestras utilidades, las cuales deberá probar luego para eliminar los restos de claves y demás, asi como las muestras que deberán ser localizadas por la nueva version que hagamos en consecuencia:



Por favor, envienos una muestra del fichero

C:\Muestras\CMSTP.EXE.Muestra EliStartPage v19.80



Por favor, envienos una muestra del fichero

C:\Muestras\DLLHST3G.EXE.Muestra EliStartPage v19.80



Por favor, envienos una muestra del fichero

C:\Muestras\ESENTUTL.EXE.Muestra EliStartPage v19.80



Por favor, envienos una muestra del fichero

C:\Muestras\IEUDINIT.EXE.Muestra EliStartPage v19.80



Por favor, envienos una muestra del fichero

C:\Muestras\SESSMGR.EXE.Muestra EliStartPage v19.80



Por favor, envienos una muestra del fichero

C:\Muestras\SPOOLSV.EXE.Muestra EliStartPage v19.80



Por favor, envienos una muestra del fichero

C:\Muestras\SPOOLSV.EXE.Muestra EliStartPage v19.80



Para ello recuerde:





[b]¿Como enviar las muestras a zonavirus? - Para ello recordar[/b]:

https://foros.zonavirus.com/viewtopic.php?f=5&t=14253



Tras recibirlos, los analizaremos e implementaremos su control y eliminacion, si procede, en nuestras utilidades, de lo cual informaremos



saludos



ms, 30-11-1009

[RENKEN]

Hola buenas, perdonar por mis problemas, pero es que la carpeta C:\Muestras\,esta vacia.

Espera vuestras instrucciones.

Un saludo.

[lucl]

Pues si tu no lo has vaciado es bien raro. Peganos log de sprocess para que veamos las claves que tienes saludos





http://www.zonavirus.com/descargas/sproces.asp

[msc hotline sat]

Si que es raro... no será que usas VISTA que incordia con los privilegios y requiere hacerlo como Administrador ???



Haz lo que te pide lucl, y analizaremos el informe del sproces, peor si usas VISTA hazlo como Administrador (boton derecho sobre el icono y ejecutar como Administrador)



Y sino, mira si tienes estos ficheros en su sitio original (de donde el ELISTARA indica haberlo eliminado), por ejemplo este en C:\WINDOWS\SYSTEM32\DRIVERS\DLLHST3G.EXE y nos lo comentas.



saludos



ms, 1-12-2009