Posible rootkit ?????

[dedione]

Hola, vengo recomendado de otro foro para ver si aqui puedo encontrar solución a mi problema.



Resulta que por error/ignorancia descargue de emule un ejecutable pensando que era otra cosa (como siempre) y ha resultado fatal para mi pc.



Desde entonces cada vez que abro Explorer para navegar se me abre automáticamente ventanas con publicidad y otros portales... entre ellos el famoso sitio del "DriverCleaner" o algo así...



Tengo instalado el Nod32, el Ad-aware y el SpyBot por recomendación y tras "pasarlos" me reconocen varias amenazas y modificaciones en los registros que supuestamente "solucionan" y asi es momentaneamente... pero encuanto reinicio el equipo me vuelve a surgir el problema...y tras pasar de nuevo las aplicaciones que os comento me vuelve a detectar lo mismo.



¿Que hago? Estoy desesperado ya que llevo tres semanas intentado erradicar esto y no soy capaz. Me dicen que formatee y reinstale todo de nuevo... pero tengo mucha información y trabajos a medias que me imposibilitan hacer esto hoy por hoy.



¿Que procedimiento sigo o que aplicaciones "le paso" al PC?





Muchas gracias de antemano!

[msc hotline sat]

Sí, descarga el ELISTARA y el ELINOTIF





ELISTARA:

http://www.zonavirus.com/descargas/elistara.asp



ELINOTIF.DLL

http://www.zonavirus.com/descargas/elinotif.asp



Descargar los dos en una misma carpeta y probar el ELISTARA, tras lo cual reiniciar para terminar la eliminaicon y luego postearnos el contenido de C:\infosat.txt para ver el resultado del proceso





saludos



ms, 30-03-2007

[dedione]

Bueno siguiendo tus instrucciones he descargado en la misma carpeta ambos ficheros y he ejecutado el ELISTARA...



Efectivamente nada mas empezar el scaneo ha detectado el troyano "ConHook"... pero según exploraba toda la unidad han salido varios mensajes de acceso denegado a algunas carpetas...no se si esto es normal?



Finalmente una vez acabado el primer escaner se han producido dos nuevos mensajes informandome que el sistema esta infectado con "VUNDO" y con "Downloader.ConHook".



Después de esto he reiniciado, se ha ejecutado ELISTARA automaticamente después volviendo a darme exactamente los mismos mensajes.



Seguidamente me dispuesto a postearos el contenido de infosat.txt pero cual es mi sorpresa que dicho archivo no está ningún sitio.





¿Problemas?

[msc hotline sat]

Sí que está, en C:\infosat.txt , miralo de nuevo...



saludos



ms, 30-03-2007

[dedione]

de verdad que no!



Veamos... tengo particionado el disco duro en tres unidades, siendo G: la principial y dónde está windows instalado.

C, en mi caso, corresponde a una unidad extraible. ¿Puede ser que por defecto genere el fichero en la unidad C y por no tener yo esa unidad no se guarde el fichero que solicitas?

[msc hotline sat]

Si no existe C: la liamos , claro !



Evidentemente la excepcion confirma la regla... y todo el mundo tiene unidad C:, eres tú la excepción ???



Bueno, por lo menos vuelve a lanzar el ELISTARA y mira si te detecta algo, aunque no sepamos lo que ha hecho las veces anteriores, se le supone ...



y otra vez, cuando pases cualquiera de nuestras utilidades, ten colocado el extraible en C:, para que se genere el infosat, pues todas ellas (tenemos casi 1000) acumulan en dicho fichero de dicha unidad su informe...



saludos



ms, 30-03-2007

[dedione]

Bueno he vuelto a reiniciar y de nuevo automaticamente se ha ejecutado ELISTARA, no dando aviso alguno de troyanos esta vez... :D



Seguiré trabajando esperando que se haya solucionado el tema. No obstante le pasaré de nuevo el SpyBot para ver si "pilla" algo, de no ser así, se puede dar el tema por solucionado.



Gracias!!!!

[msc hotline sat]

Si ya no detectamos nada... De todas maneras comprueba que en las carpetas C:\muestras y C:\winlogon no haya nada, y si lo hubiera, nos lo envias:





https://foros.zonavirus.com/viewtopic.php?f=2&t=45334



saludos



ms, 30-03-2007