-
malevo
- Mensajes: 16
- Registrado: 01 Oct 2004, 08:53
Mensaje
por malevo » 01 Dic 2007, 20:31
tengo un virus y no se como eliminarlo. tengo el nod32..aunke el nod32 supuestamente los borra en cada reinicio vuelven a aparecera pesea que engo la recupercion del windws desactivada..
los virus son
rootkit.ndf..aunque me detecta varias versiones del mismo virus
agent.nnk.trojan.. aunque me detecta varias versiones del mismo virus
realmente no so se camoa sacar a esto bichitos, tiene alguna solucion??
pase varias herramientas suyas, aki les mando un log de una de ellas
Sat Dec 01 15:26:26 2007
EliStartPage v15.17 (c)2007 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Acción Directa):
Por favor, envienos una muestra del fichero
C:\Muestras\CD_CLINT.DLL.Muestra EliStartPage v15.17
a "virus@satinfo.es". Gracias.
C:\WINDOWS\SYSTEM32\CD_CLINT.DLL --> Eliminado
C:\WINDOWS\SYSTEM32\OSSMTP.DLL --> Eliminado Motor.OSSMTP(smtp)
C:\Documents and Settings\Administrator\Local Settings\Application Data\Microsoft\WALLPAPER1.BMP --> Eliminado (Fichero Complementario).
Eliminada Class, "{0A1C811C-88FF-493B-98A9-83B4A649ACD9}" -> C:\WINDOWS\system32\ossmtp.dll
Eliminada Class, "{BB81FA79-DCD7-48A6-A710-A85BD5ED9640}" -> C:\WINDOWS\system32\ossmtp.dll
Eliminada Class, "{C2A3FF36-C3A5-4334-968C-1DEA85AAA772}" -> C:\WINDOWS\system32\ossmtp.dll
Eliminado Servicio, "runtime"
Eliminada Carpeta "%Archivos de Programa%\Video Activex Object"
No detectado Parche MS04-011 de Microsoft instalado. (LSASS)
-
lucl
- Mensajes: 6324
- Registrado: 17 Ene 2006, 18:09
- Ubicación: España
-
Contactar:
Mensaje
por lucl » 01 Dic 2007, 21:00
Hola, de entrada tienes que pasar de nuevo elistara puesto que te falta el analisis por exploracion, cuando te sale el cuadro explorar y salir le das a explorar y nos pegas el log completo. Y ademas envianos el archivo que tienes en la carpeta muestras en C que te ha dejado elistara y si puedes nos envias los que te detecta el nod32, te dejo link de modo de envio. Saludos
https://foros.zonavirus.com/viewtopic.php?f=2&t=45334
-
malevo
- Mensajes: 16
- Registrado: 01 Oct 2004, 08:53
Mensaje
por malevo » 01 Dic 2007, 21:25
este es la segunda version del log, la primera la borre y esa opurtunidad habia encontrado a 3 bichitos, pero en estas corridas nada de nada..
Sat Dec 01 17:06:32 2007
EliStartPage v15.17 (c)2007 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Acción Directa):
No detectado Parche MS04-011 de Microsoft instalado. (LSASS)
No detectado Parche MS04-012 de Microsoft instalado. (RPC)
No detectado Parche MS06-001 de Microsoft instalado. (WMF)
No detectado Parche MS06-070 de Microsoft instalado. (SServidor)
ALERTA. WindowsUpdate Incompleto.
Restaurado fichero de Configuración del IE, (IERESET.INF)
Eliminadas las Paginas de Inicio y de Busqueda del IE
Eliminados Ficheros Temporales del IE
Sat Dec 01 17:06:42 2007
EliStartPage v15.17 (c)2007 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\
Nº Total de Directorios: 4955
Nº Total de Ficheros: 66882
Nº de Ficheros Analizados: 12404
Nº de Ficheros Infectados: 0
Nº de Ficheros Limpiados: 0
Sat Dec 01 17:14:04 2007
EliTriIP v4.15 (c)2007 S.G.H. / Satinfo S.L.
---------------------------------------------
Lista de Acciones (por Acción Directa):
No detectado Parche MS04-011 de Microsoft instalado. (LSASS)
No detectado Parche MS04-012 de Microsoft instalado. (RPC)
No detectado Parche MS06-001 de Microsoft instalado. (WMF)
No detectado Parche MS06-070 de Microsoft instalado. (SServidor)
ALERTA. WindowsUpdate Incompleto.
Sat Dec 01 17:14:10 2007
EliTriIP v4.15 (c)2007 S.G.H. / Satinfo S.L.
---------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\
Nº Total de Directorios: 4955
Nº Total de Ficheros: 66882
Nº de Ficheros Analizados: 10987
Nº de Ficheros Infectados: 0
Nº de Ficheros Limpiados: 0
este es log del antivirus
Time Module Object Name Threat Action User Information
01/12/2007 17:18:37 p.m. AMON file C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\57312.exe Win32/Agent.NNK trojan quarantined - deleted HEILMALEVO\Administrator Event occurred on a new file created by the application: C:\Program Files\Internet Explorer\IEXPLORE.EXE. The file was moved to quarantine. You may close this window.
01/12/2007 17:18:04 p.m. AMON file C:\WINDOWS\System32\drivers\runtime.sys Win32/Rootkit.Agent.NDF trojan quarantined - deleted HEILMALEVO\Administrator Event occurred on a newly created file. The file was moved to quarantine. You may close this window.
Time Module Object Name Threat Action User Information
01/12/2007 16:08:59 p.m. AMON file C:\WINDOWS\system32\DRIVERS\Ip6Fw.sys Win32/Rootkit.Agent.DP trojan deleted NT AUTHORITY\SYSTEM Event occurred when attempting to access the file.
Time Module Object Name Threat Action User Information
01/12/2007 09:36:49 a.m. AMON file C:\info.exe Win32/Agent.NNN trojan deleted HEILMALEVO\Administrator Event occurred at an attempt to access the file by the application: C:\WINDOWS\Explorer.EXE.
-
msc hotline sat
- Mensajes: 93500
- Registrado: 09 Mar 2004, 20:39
- Ubicación: BARCELONA (ESPAÑA)
-
Contactar:
Mensaje
por msc hotline sat » 02 Dic 2007, 08:37
Pues arranca en modo seguro, empaqueta el fichero que te indicabamos antes:
C:\Muestras\CD_CLINT.DLL.Muestra EliStartPage v15.17
con los demas que te indica el NOD32 , los encriptas con password VIRUS y luego ya puedes arrancar en modo nornmal y enviarnos el ZIP o RAR como indica lucl en el enlace que te da en su post.
Cuando los recibamos los analizaremos y obraremos en consecuencia., de lo cual informaremos
saludos
ms,. 2-12-2007
Última edición por
msc hotline sat el 06 Dic 2007, 12:55, editado 1 vez en total.
-
malevo
- Mensajes: 16
- Registrado: 01 Oct 2004, 08:53
Mensaje
por malevo » 05 Dic 2007, 22:14
mira como dijiste he pasado la nueva version de la herramienta y aqui esta el log..
Wed Dec 05 17:52:18 2007
EliStartPage v15.21 (c)2007 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\
C:\Muestras\CD_CLINT.DLL.MUESTRA ELISTARTPAGE V15.17 --> Eliminado, CyDoor
Nº Total de Directorios: 4982
Nº Total de Ficheros: 67259
Nº de Ficheros Analizados: 12451
Nº de Ficheros Infectados: 1
Nº de Ficheros Limpiados: 1
pero el nod32 me sigue detectando estos virus, el primero lo agarra al arracar nomas la pc y el otro al hacer un scaneo..pero siempre reaparecen al iniciar la pc.
Time Module Object Name Threat Action User Information
05/12/2007 18:02:33 p.m. AMON file C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\49750.exe Win32/Agent.NNK trojan quarantined - deleted HEILMALEVO\Administrator Event occurred on a new file created by the application: C:\Program Files\Internet Explorer\IEXPLORE.EXE. The file was moved to quarantine. You may close this window.
05/12/2007 18:02:12 p.m. AMON file
C:\WINDOWS\System32\drivers\runtime.sys Win32/Rootkit.Agent.NDF trojan quarantined - deleted HEILMALEVO\Administrator Event occurred on a newly created file. The file was moved to quarantine. You may close this window.
-
msc hotline sat
- Mensajes: 93500
- Registrado: 09 Mar 2004, 20:39
- Ubicación: BARCELONA (ESPAÑA)
-
Contactar:
Mensaje
por msc hotline sat » 06 Dic 2007, 12:58
Parece que el NOD32 los ha movido a cuarentena, compruebalo arrancando en modo seguro y lanzando ptra vez dicho antivirus, que igual ya no los encuentras, o en otro caso ya puda eliminarlos al nbo estar en uso
Y nos comentas el resultado, gracias
(Posteanos nuevo log del NOD32 que lo dice todo :wink: )
saludos
ms, 6-12-2007
msc hotline sat Virus Research Engineer