VUNDO 9 SOCORRO !!!!!!!!!!!!!!

[mavictor]

Hola Gente , me tope con el vundo 9 y no encuentro mucho sobre el tema. mande el informe que me arrojo el elistara a zona virus y no tuve respuetas hasta el momento, no se si no lo recibieron o no hay solucion aparente.

toda la ayuda que s epueda sera agradecida.



saludos

[msc hotline sat]

No sé a donde lo enviaste, pero te recuerdo donde debías haber enviado la muestra, si es que se te pedia enviar, y como:



[b]¿Como enviar las muestras a zonavirus? - Para ello recordar[/b]:

https://foros.zonavirus.com/viewtopic.php?f=5&t=14253



Otros informes deben postearse en el foro, no enviarse `por mail:



https://foros.zonavirus.com/viewtopic.php?f=1&t=17488





y para el VUNDO9 te recuerdo:



https://foros.zonavirus.com/viewtopic.php?f=12&t=22997



saludos



ms, 30-04-2008

[mavictor]

Hola Gente, les comento que probe con BUNDOFIX y parece que da resultado, segire chequeando el sistema.

encontro y borro ( c:\windows\system32\pkllwlys.dll ) mejoro bastante la reaccion general del sistema.

Ahora me queda eliminar el mljbtlk.dll que me da acceso denegado, asi que si encuentrn la forma barbaro.

entre por la cosnola de recuperacion pero sigo los pasos del post y no me deja eliminarlo .

podrian alcararlo un pocomas ??



mucgas gracias

[flacoroo]

para el vundo9 nosotros no usamos ese programa que dices (BUNDOFIX) usamos [url=http://www.zonavirus.com/descargas/elistara.asp]Descargar Elistara[/url]

[url=http://www.zonavirus.com/descargas/elinotif.asp]Descargar Elinotiff[/url]



debes ponerlos los 2 juntos y reinicar en modo seguro, deshabilitando la opcion de Restaurar sistema, despues ejecutas el elistara y despues nos pegas el resultado que se crea en C:infosat.txt para saber que acciones hizo.

[msc hotline sat]

Sí, parece que este forero se ha equivocado de foro, ya que la utilidad que menciona no es propia del nuestro :roll:



Además, ya le posteamos los pasos a seguir para el VUNDO9 en mi ultimo post:



https://foros.zonavirus.com/viewtopic.php?f=12&t=22997



y como que indica al respecto que:



[b][i]"entre por la cosnola de recuperacion pero sigo los pasos del post y no me deja eliminarlo .

podrian alcararlo un pocomas"[/i][/b]



Pues una vez está en dicha consola , acceda a la carpeta de sistema y borre el fichero en cuestión, en su caso mljbtlk.dll con:



DEL  mljbtlk.dll   <ENTER>



Como que tiene XP, si ha llegado hasta c:\windows\system32\ en consola de recuperacion , lo indicado es bien facil !



saludos



ms, 1-05-2008





NOTA: Pero creo que estaba bien claro en las instrucciones del link:


[quote]Es por ello que para lograr la eliminación del fichero en cuestión, al que, por estar en uso, el mensaje que ofrece el C:\infosat.txt es de ACCESO DENEGADO, o bien hemos de colocar el disco duro infectado como esclavo de otro ordenador similar, y arrancando desde el Master, acceder al fichero en cuestión ubicado en el esclavo y eliminarlo, [b][i]o lo que es mas fácil, arrancar desde el CD de instalacion de windows, acceder a la Cónsola de Recuperación pulsando R y desde el entorno DOS asi disponible, acceder a la ruta donde está el fichero, generalmente C:\windows\system32 y borrar con un DEL el fichero en cuestion., que se indica en el C:\infosat.txt como infectado por el VUNDO 9 y de ACCESO DENEGADO[/i][/b][/quote]

[mavictor]

estimados, mo me equivoque de foro, las ironias dejarlas para otros casos , si esto se trata de aportar soluciones lo hago por que en este foro me ayudaron muchas veces por lo cual estoy agradecido.

postee esta solucion ya que fue la mas facil y mas rapida que encontre contra el vundo 9.



les detallo los pasos si sirve bien y si no cada cual es libre de hacer lo que mejor le parezca.

1º<interceptado por segunda vez y ultima ...>

2º despues de ejecutarlo limpiar la maenaza.

3º descarguen elistara y elinotif

4º iniciar en modo seguro, anular restaurar sistema y ejecutar elistara , si todo esta bien hecho inmediatamente antes de la opcion explorar que nos da elistara se vera el menaje ( TROYANO VUNDO 9 ELIMINADO 9 ejecutar elistara igualmente y luego reiniciar.

estos pasos a mi en particular me dieron un resultado rapido y sin problemas .

de todos modos sigo chequeando el sistema.



saludos y espero que este aporte sea ultil ya que veo que la amenaza es bastante complicada de eliminar.



saludos :mrgreen:

[mavictor]

les dejo el informe de infosar.txt



Fri May 02 08:55:27 2008

EliStartPage v16.20 (c)2008 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\SYSTEM32\MLJBTLKA.DLL --> Eliminado ( este es el archivo que denegaba el acceso en win/system32 )

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Fri May 02 08:55:42 2008

EliStartPage v16.20 (c)2008 S.G.H. / Satinfo S.L.

--------------------------------------------------





Lista de Acciones (por Exploración):

Explorando Unidad C:\



Nº Total de Directorios: 2757

Nº Total de Ficheros: 39213

Nº de Ficheros Analizados: 13709

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



Fri May 02 09:10:37 2008

EliStartPage v16.20 (c)2008 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminada Class, "{56cda8ed-eec1-4ce6-9518-238abaabf1ed}" -> NULL2

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

[msc hotline sat]

Se te habia interceptado una vez e indicado que en este foro no se utilizaban utilidades de otras webs, especialmemnte cuando lo resolvemos con las nuestras como ya indicamos.



lamentamos que hayas reincidido, y ademas de volverlo a interceptar, pasamos a desactivarte de este foro, al que si no vuelves a incordiar, permitiremos que accedas para informarte, pero de lo contrario, procederiamos a banear tu IP, tu mismo.



Y se cierra este Tema en consecuencia



ms.-

[msc hotline sat]

Y cuando a la cola de muestras recibidas en otras cuentas (no zonavirus) ha llegado el turno a un MLJBTLKA.DLL que no habia sido analizado todavía, vemos que corresponde a un usuario desconocido de nombre [b][i]marcelo mensi[/i][/b], y pensamos que esto el nick de [b][i]ma[/i][/b]victor pueda tener alguna relacion, si bien ello no fue ni indicado en el mail (que se pide se indique en el ASUNTO), ni el mail fue enviado a la cuenta de zonavirus @satinfo.es, sino a virus@satinfo.es sin ser asociado de satinfo, o al menos no indicar el numero de registro, con lo que estaba en la cola...



Lo comentamos para resaltar la importancia de hacer las cosas como se debe, siguiendo las instrucciones que se dan.



Se habría solucionado el problema el primer día si lo hubiera hecho como indicamos en :



[b]¿Como enviar las muestras a zonavirus? - Para ello recordar[/b]:

https://foros.zonavirus.com/viewtopic.php?f=5&t=14253



Además, repetimos que cuando se prueben nuestras utilidades, debe postearse el contenido del c:\infosat.txt en el foro, ya que son para evaluacion, y sin ello no es de utilidad el testeo.



Hoy se está monitorizando dicha muestra, y se controlorá a partir de la version de hoy, 16.24 del ELISTARA



saludos



ms, 8-5-2008