Hola,ojala me pudieran ayudar.tengo problemas con un virus o troyano.El Nod32 lo detecta y lo bloquea , pero cada hora se repite la acción y cuento de nunca acabar.Lo identifica como una variante de
Win32/Adware.Virtumonde.NDI.Ya le pase el search and destroy y nada,ojala me puedan ayudar.gracias
variante de Win32/Adware.Virtumonde.NDI
-
ATODAPASTILLA
- Mensajes: 15
- Registrado: 29 Nov 2008, 10:47
-
msc hotline sat
- Mensajes: 93500
- Registrado: 09 Mar 2004, 20:39
- Ubicación: BARCELONA (ESPAÑA)
- Contactar:
Re: variante de Win32/Adware.Virtumonde.NDI
La familia de los Vundo la controlamos con el ELISTARA
Pruebelo y nos comneta el resultado:
saludos
ms, 12-12-2008
Pruebelo y nos comneta el resultado:
por si fuera el VUNDO9, viewtopic.php?f=5&t=23759ELISTARA:
http://www.zonavirus.com/descargas/elistara.asp
Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso
saludos
ms, 12-12-2008
-
ATODAPASTILLA
- Mensajes: 15
- Registrado: 29 Nov 2008, 10:47
Re: variante de Win32/Adware.Virtumonde.NDI
aun me sigue apareciendo la alerta de NOD32 nada mas reiniciar el pc. aki os dejo el informe:
Fri Dec 12 14:05:08 2008
EliStartPage v17.60 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 11 de Diciembre del 2008)
--------------------------------------------------
Lista de Acciones (por Exploración):
Explorando "C:\"
C:\WINDOWS\$NtServicePackUninstall$\SRSVC.DLL --> Eliminado, Trojan.KillAV.BAL
C:\System Volume Information\_restore{E79B2EE9-EAE2-4488-AFC9-EC5824F4BB0B}\RP158\A0034524.EXE --> Infectado, Spyware.Netrat
C:\System Volume Information\_restore{E79B2EE9-EAE2-4488-AFC9-EC5824F4BB0B}\RP161\A0034930.EXE --> Infectado, Spyware.Netrat
C:\RECYCLER\S-1-5-21-9613008173-3735311938-043036694-4293\HDAV.EXE --> Acceso Denegado, Trojan.Inject.JUQ (Reiniciar para Completar la Limpieza)
Nº Total de Directorios: 12915
Nº Total de Ficheros: 142420
Nº de Ficheros Analizados: 25938
Nº de Ficheros Infectados: 4
Nº de Ficheros Limpiados: 1
Fri Dec 12 14:25:16 2008
EliStartPage v17.60 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 11 de Diciembre del 2008)
--------------------------------------------------
Lista de Acciones (por Acción Directa):
Eliminadas las Paginas de Inicio y de Busqueda del IE
Eliminados Ficheros Temporales del IE
Fri Dec 12 14:05:08 2008
EliStartPage v17.60 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 11 de Diciembre del 2008)
--------------------------------------------------
Lista de Acciones (por Exploración):
Explorando "C:\"
C:\WINDOWS\$NtServicePackUninstall$\SRSVC.DLL --> Eliminado, Trojan.KillAV.BAL
C:\System Volume Information\_restore{E79B2EE9-EAE2-4488-AFC9-EC5824F4BB0B}\RP158\A0034524.EXE --> Infectado, Spyware.Netrat
C:\System Volume Information\_restore{E79B2EE9-EAE2-4488-AFC9-EC5824F4BB0B}\RP161\A0034930.EXE --> Infectado, Spyware.Netrat
C:\RECYCLER\S-1-5-21-9613008173-3735311938-043036694-4293\HDAV.EXE --> Acceso Denegado, Trojan.Inject.JUQ (Reiniciar para Completar la Limpieza)
Nº Total de Directorios: 12915
Nº Total de Ficheros: 142420
Nº de Ficheros Analizados: 25938
Nº de Ficheros Infectados: 4
Nº de Ficheros Limpiados: 1
Fri Dec 12 14:25:16 2008
EliStartPage v17.60 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 11 de Diciembre del 2008)
--------------------------------------------------
Lista de Acciones (por Acción Directa):
Eliminadas las Paginas de Inicio y de Busqueda del IE
Eliminados Ficheros Temporales del IE
Re: variante de Win32/Adware.Virtumonde.NDI
Con el Elistara, bájate el Elinotif.dll y ponlo en la misma ubicación que el Elistara.
Si te fijas en el informe, faltan 3 archivos por limpiar que debe limpiarlo al reiniciar la computadora. El Elinotif hace, precisamente, ese trabajo de arrancar el Elistara al inicio para que pueda terminar de limpiarlos.
Vuelve a correr el Elistara y reinicia la máquina para que se lo vuelva a pasar.
Salu2
Si te fijas en el informe, faltan 3 archivos por limpiar que debe limpiarlo al reiniciar la computadora. El Elinotif hace, precisamente, ese trabajo de arrancar el Elistara al inicio para que pueda terminar de limpiarlos.
Vuelve a correr el Elistara y reinicia la máquina para que se lo vuelva a pasar.
Salu2
-
ATODAPASTILLA
- Mensajes: 15
- Registrado: 29 Nov 2008, 10:47
Re: variante de Win32/Adware.Virtumonde.NDI
ajam, me podrias poner en enlace del Elinotif.dll? 2 de esos archivos no me interesa eliminarlos pues se trata de un programa instalado voluntariamente, el ultimo de ellos si.
-
msc hotline sat
- Mensajes: 93500
- Registrado: 09 Mar 2004, 20:39
- Ubicación: BARCELONA (ESPAÑA)
- Contactar:
Re: variante de Win32/Adware.Virtumonde.NDI
Lo del ELINOTIF.DLL lo tienes en el tema del link que te indicaba sobre el VUNDO9
Pero el HDAV no es un VUNDO, sino otra historia, controlada desde el ELISTARA 17.50:
ELISTARA
---v17.50-(26 de Noviembre del 2008) (Muestras de (2)DownLoader.ConHook, (3)PWS-OnLineGames.AMVO, NaviPromo, (2)Dropper.Delf.XO "MEDIARESCUEPRO.EXE", FDoS-SpaBot "WINLOGON.EXE", Trojan.Inject.JUQ "HDAV.EXE" y RiskTool.CtrlAT20)
Como que dice ACCESO DENEGADO, pruebalo arrancando en modo seguro, y si asi el ELISTARA tras reiniciar dice lo mismo, usa el ELIMOVER con dicha ruta\fichero, también arrancando en modo seguro,
saludos
ms, 12-12-2008
Pero el HDAV no es un VUNDO, sino otra historia, controlada desde el ELISTARA 17.50:
ELISTARA
---v17.50-(26 de Noviembre del 2008) (Muestras de (2)DownLoader.ConHook, (3)PWS-OnLineGames.AMVO, NaviPromo, (2)Dropper.Delf.XO "MEDIARESCUEPRO.EXE", FDoS-SpaBot "WINLOGON.EXE", Trojan.Inject.JUQ "HDAV.EXE" y RiskTool.CtrlAT20)
Como que dice ACCESO DENEGADO, pruebalo arrancando en modo seguro, y si asi el ELISTARA tras reiniciar dice lo mismo, usa el ELIMOVER con dicha ruta\fichero, también arrancando en modo seguro,
saludos
ms, 12-12-2008
Re: variante de Win32/Adware.Virtumonde.NDI
Mensaje borrado por ser contestado por msc...
-
msc hotline sat
- Mensajes: 93500
- Registrado: 09 Mar 2004, 20:39
- Ubicación: BARCELONA (ESPAÑA)
- Contactar:
Re: variante de Win32/Adware.Virtumonde.NDI
Ya he dicho que de poco iba a servir el ELINOTIF, y que estaba indicado en el link que daba sobre el VUNDO9, al principio, viewtopic.php?f=5&t=23759
Ademas, si en el infosat no se dice que lo encuentra a faltar, es que no le hace falta !!!
saludos
ms, 12-12-2008
Ademas, si en el infosat no se dice que lo encuentra a faltar, es que no le hace falta !!!
saludos
ms, 12-12-2008
-
CESAR SARMIENTO
- Mensajes: 1
- Registrado: 13 Dic 2008, 19:59
Re: variante de Win32/Adware.Virtumonde.NDI
Yo tuve el mismo problema.
Lo solucione con estos 3 programas: hijackthis, malwarebits antimalware y el combofix. En la pagina http://INTERCEPTADO explican de donde descargarlos y como usarlos. Exitos
Lo solucione con estos 3 programas: hijackthis, malwarebits antimalware y el combofix. En la pagina http://INTERCEPTADO explican de donde descargarlos y como usarlos. Exitos
Re: variante de Win32/Adware.Virtumonde.NDI
Se intercepta por no estar permitido publicidad de otros foros y aunque se agradece la ayuda tenemos por costumbre ceñirnos a nuestros programas que para eso estan. Sobre otros programas de otras webs no nos hacemos responsables de lo que pudiera ocurrir. El administrador te explicara mas esto si lo considera necesario. Saludo.
-
msc hotline sat
- Mensajes: 93500
- Registrado: 09 Mar 2004, 20:39
- Ubicación: BARCELONA (ESPAÑA)
- Contactar:
Re: variante de Win32/Adware.Virtumonde.NDI
Bueno ATODA PASTILLA, a ver si centramos tu problema y haces caso a lo indicado en mi anterior post, nos dices si ya lo has podido eliminar o nos has enviado la muestra que te pedimos nos envies:
saludos
ms, 13-12-2008
saludos
ms, 13-12-2008