WGALOGON.DLL (SOLUCIONADO)

conchirrin · Mensaje por **conchirrin** » 09 Jul 2007, 21:02

MSC pues como tu me decias mejor que ya no me vaya, jejeje parece que estoy de vuelta , bueno el elistara me dice que os mande una muestra , veo que no soy la unica por lo que veo en un par de temas que pide la misma , te indico que a mi me sale la misma peticion de muestra en los dos pc asi que como abro tema desde aqui te mando la de este .

La unica solucion es reparar windows ?

es que el problema que me dio reparar hace un par de semanas con las actualizaciones preferiria no hacerlo , pero sino queda otro remedio lo hare, ya me diras si es lo mejor .

No es un poco raro , que teniendo dos ordenadores en los dos pida la misma muestra ??

Gracias

conchirrin · Mensaje por **conchirrin** » 09 Jul 2007, 21:05

predona pero no he puesto el infosat

Mon Jul 09 19:27:57 2007

EliStartPage v14.37 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Por favor, envienos una muestra del fichero

C:\Muestras\WGALOGON.DLL.Muestra EliStartPage v14.37

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\WGALOGON.DLL --> Renombrado a .VIR

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Mon Jul 09 19:31:34 2007

EliStartPage v14.37 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminados Ficheros Temporales del IE

Mon Jul 09 19:31:44 2007

EliStartPage v14.37 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

Mensaje por **msc hotline sat** » 09 Jul 2007, 21:17

Primero deberiamos ver el fichero en cuestion:

Por favor, envienos una muestra del fichero

C:\Muestras\WGALOGON.DLL.Muestra EliStartPage v14.37

luego decirte que al parecer algo lo ha modificado de forma que ha de restaurarse y hay dos formas de hacerlo:

REPARANDO, que no te gusta :wink:

Sustituyendo dicho fichero por el mismo de otro equipo con igual sistema operativo, para lo cual primero deberiamos borrar el de la carpeta DLLCACHE, y luego renombrar el de la carpeta de sistema a extension .VIR, y tras reiniciar ver si de la carpeta I386 de ha restaurado, sino entonces copiar el de otro ordenador tanto a la carpeta DLLCACHE como a la carpeta de sistema

Si tienes otra maquina con dicho fichero bueno, es mas rapido hacer lo segundo, claro, pero sino lo primero es seguro

Es lo que deciamos para el NTOSKRNL.EXE en el caso del celular:

ver ultimo post del Tema https://foros.zonavirus.com/2-vt18898.html?start=15

saludos

ms, 9-07-2007

conchirrin · Mensaje por **conchirrin** » 09 Jul 2007, 21:25

pero el problema es que el elistara en el otro ordenador tambien me pide que envie esa muestra.

la muestra ya os la he enviado a zonavirus

Oye he leido `por hay ,en algun otro foro que en cuestion el WGALOGON.DLL se corresponde con el Windows Genuine Advantage asi que no se,

por que sino que es ?

es de algun virus ?

Mensaje por **msc hotline sat** » 09 Jul 2007, 21:57

Veras, lo que sea originalmente es una cosa y lo que hayan metido en él camuflado bajo su nombre, al estilo del Caballo de Troya, es otra, de ahí el nombre de troyanos.

Si no es el normal, que carai es ??? lo mas probable es que nada bueno, claro.

De entrada ya lo eliminamos o renombramos para que no se cargue en el inicio o no sea utilizado si es una DLL, pero luego conviene dejar el original en su sitio, y eso es lo que tratamos de hacer con lo que indicamos

saludos

ms, 9-07-2007

conchirrin · Mensaje por **conchirrin** » 10 Jul 2007, 02:07

msc si quiero sustituir el fichero por el de mi otro ordenador , como lo hago , por que resulta que en mi portatil hay tres WGALOGON.DLL uno WGALOGON(2).dll otro igual pero con un 3 y el otro no sirve por que es el que el elistara a renombrado a .vir

da igual cual de los otros dos utilice ?

y en el otro ordenador solo hay el .vir.

y otra ignorancia donde esta la carpeta DLLCACHE , es que la he buscado y no me sale .

gracias por todo.

Mensaje por **msc hotline sat** » 10 Jul 2007, 06:18

Puede que la tengas y puede que no, pero normalmente está colgando de la de sistema, como indicamos en el texto del "celular", en el link que te dí, leetelo:

"[i]Se ha comprobado en varios casos que renombrando el NTOSKRNL.EXE de la carpeta de sistema, a extension .VIR y luego eliminando dicho fichero de la carpeta DLLCACHE, que cuelga de la de sistema, este fichero se vuelve a regenerar (posiblemente de la carpeta I386) y se restauran en ambas carpetas el fichero original limpio, con lo que se evita en muchos casos el tener que REPARAR el sistema[/i]"

SI tienes otros WGALOGON.DLL que no se hayan detectado como víricos se supone que cualquiera de los dos, pero mira el que sea mayor, para que contenga mas actualizaciones de parches.

saludos

ms, 10-07-2007

Mensaje por **msc hotline sat** » 10 Jul 2007, 10:46

Sobre el WGALOGON.DLL, a la vista de las muestras, estamos haciendo nueva version 14.38 que antes de las 10 AM GMT subiremos a esta web, eliminando la deteccion de un falso positivo que por coincidencia de funciones con la DLL de un nuevo CONHOOK de ayer, detectaba la 14.37

saludos

ms, 10-07-2007

conchirrin · Mensaje por **conchirrin** » 10 Jul 2007, 11:01

msc hace un momento me ha salido para hacer una actualizacion , era de windows original , y he ido a la carpeta de system32 y aqui que solo me aparecia el WGALOGON.DLL.vir ahora me sale otro , parece que al actualizar se ha generado uno nuevo .

asi ya no me hace falta poner el de mi otro pc verdad ?.

gracias.

Mensaje por **msc hotline sat** » 10 Jul 2007, 11:12

Efectivamente, pero no pases el ELISTARA hasta dentro de un par de horas, que habremos subido nueva version 14.38, ya que como te deciamos en el ultimo post, la 14.37 ha tenido un falso positivo al coincidir las funciones del WGALOGON con las de la nueva variante del CONHOOK, descubierto ayer.

Tan pronto hemos analizado las muestras hemos visto la coincidencia y procedido a cambiar cadenas de deteccion y demas.

saludos

ms, 10-07-2007

conchirrin · Mensaje por **conchirrin** » 10 Jul 2007, 11:17

A sus ordenes :wink:

Mas tarde pasare el elistara , ahora me voy un rato para despejar la mente . :lol:

Gracias como siempre.

Mensaje por **msc hotline sat** » 10 Jul 2007, 12:02

Pues que suerte tienes, y nosotros aqui rascando y peleandonos con los bytes !

Ya avisaremos de la nueva version, pues estan llegando urgencias de clientes que tienen prioridad, claro, pero estamos en ello.

saludos

ms, 10-07-2007

conchirrin · Mensaje por **conchirrin** » 10 Jul 2007, 13:25

Bueno hay te mando el infosat de elistara 14.38

Tue Jul 10 12:14:48 2007

EliStartPage v14.38 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Tue Jul 10 12:15:06 2007

EliStartPage v14.38 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

Mensaje por **msc hotline sat** » 10 Jul 2007, 13:34

vALE, ESTO ESTÁ MEJOR !

Hemos tenido que cambiar el ELINOTIF y ELISTARA pues todo ha venido de una nueva variante de CONHOOK que tiene las mismas funciones que el WGALOGON, para hacerlo mas dificil, pues no solo se lanza desde el NOTIFY, como el WGALOGON, tanto si se arranca en modo seguro como si no, sino que ademas tiene sus mismas funciones !

Ya solucionado, procedemos a dar el Tema por solucionado y procedemos a cerrarlo

Gracias por tu colaboracion !

saludos

ms, 10-07-2007