Troyano, Conhook y Vundo

kokky_valo · Mensaje por **kokky_valo** » 11 Mar 2008, 20:28

Ola!

Hace tiempo me puse a bajar por descarga directa unos archivos y me entraron estos tres virus sin que me diera cuenta. No se si abreis posteado con algo referente a este tema ya, pero necesito ayuda porque tengo dos ordenadores afectados. He bajado ya el ELISTARA.BOOCCBOOH pero me reconoce estos problemas y nada mas.

¿Que puedo hacer?

Saludos

mikmatcr · Mensaje por **mikmatcr** » 11 Mar 2008, 21:04

Si ya pasaste el Elistara posteanos el infosat.txt( esta en la raiz de c:\), para que los moderadores te brinden una mejor ayuda.

Mensaje por **msc hotline sat** » 11 Mar 2008, 21:24

Y ya te adelanto que lo mas probable es que el infosat indique que debes descargar el ELINOTIF.DLL , asi que descargalo y copialo junto al ELISTARA y ejecuta este último, y seguramente te pedirá reinciar para finalizar el proceso, y segun el VUNDO que sea obraremos en consecuencia posteriormente

[quote]
ELISTARA:

http://www.zonavirus.com/descargas/elistara.asp

ELINOTIF.DLL

http://www.zonavirus.com/descargas/elinotif.asp

Descargar los dos en una misma carpeta y probar el ELISTARA, tras lo cual reiniciar para terminar la eliminacion y luego postearnos el contenido de C:\infosat.txt para ver el resultado del proceso

[/quote]

saludos

ms, 11-3-2008

Mensaje por **lucl** » 11 Mar 2008, 22:13

Y por si tuvieras el vundo9 en cuyo casi te lo pondra en el informe infosat.txt , mirate este link que te dejo debajo, saludos

https://foros.zonavirus.com/viewtopic.php?f=5&t=23759

Mensaje por **msc hotline sat** » 12 Mar 2008, 06:20

Bien pensado lucl, todo es posible, pero al mencionar el Conhook, que es una variante de VUNDO que solo precisa el ELINOTIF, puede que tras reiniciar ya podamos con él, y sino, tu apunte será definitivo.

saludos

ms, 12-3-2008

Mensaje por **lucl** » 12 Mar 2008, 07:51

Cierto msc, pero como que dice que hace tiempo que los tiene y esta tan de moda ultimamente pues para curarnos en salud, veamos que dice ahora el forero :lol: saludos

Mensaje por **msc hotline sat** » 12 Mar 2008, 09:53

Pues ahí queda esto.

Esperamos nos informe del resultado.

Buenos dias y buena suerte :wink:

saludos

ms, 12-3-2008

kokky_valo · Mensaje por **kokky_valo** » 12 Mar 2008, 16:20

Muchisimas gracias ;) ya os comentare resultados

kokky_valo · Mensaje por **kokky_valo** » 12 Mar 2008, 16:51

Ya he hecho todo lo que me habeis dicho y esta es la lista:

Wed Mar 12 16:22:09 2008

EliStartPage v15.84 (c)2008 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Key Eliminada [WinLogon\Notify\RQRPPNO] -> C:\WINDOWS\SYSTEM32\rqrppno.dll

[WinLogon\Notify\RQRPPNO]

Por favor, envienos el INFOSAT.TXT y una muestra del fichero

C:\WinLogon\RQRPPNO.DLL

a "virus@satinfo.es". Gracias.

Por favor, envienos una muestra del fichero

C:\Muestras\RQRPPNO.DLL.Muestra EliStartPage v15.84

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\RQRPPNO.DLL --> Acceso Denegado.

Por favor, envienos una muestra del fichero

C:\Muestras\MLLJH.DLL.Muestra EliStartPage v15.84

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\MLLJH.DLL --> Renombrado a .VIR

Eliminada Class, "{64244212-1B5A-4704-97C8-F43614DC24D2}" -> C:\WINDOWS\system32\mlljh.dll

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Reinicie para Completar la Limpieza.

Sistema Infectado por el Downloader.ConHook

Instalada Utilidad "ELINOTIF.DLL" (Reinicie de Nuevo para Completar la Limpieza)

EliNotify v1.8.02.21 (c)2008 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones:

Detectado DownLoader.ConHook

C:\WINDOWS\SYSTEM32\rqrppno.dll -> Eliminado.

Elininada KEY "Winlogon\Notify\RQRPPNO"

Desinstalado EliNotif.dll

Wed Mar 12 16:27:12 2008

EliStartPage v15.84 (c)2008 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Wed Mar 12 16:27:22 2008

EliStartPage v15.84 (c)2008 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

Nº Total de Directorios: 7889

Nº Total de Ficheros: 80759

Nº de Ficheros Analizados: 18753

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

Saludos ;) y gracias de nuevo

Mensaje por **msc hotline sat** » 12 Mar 2008, 17:18

Pues el CONHOOK lo hemos eliminado:

Detectado DownLoader.ConHook

C:\WINDOWS\SYSTEM32\rqrppno.dll -> Eliminado.

Pero hay este otro que se resiste:

Por favor, envienos una muestra del fichero

C:\Muestras\MLLJH.DLL.Muestra EliStartPage v15.84

EnvianoS muestra y lo analizaremos

~~[b]~~¿Como enviar las muestras a zonavirus? - Para ello recordar[/b]:

https://foros.zonavirus.com/viewtopic.php?f=5&t=14253

SALUDOS

MS, 12-3-2008

NOTA: hay un VUNDO6 que utiliza este nombre, MLLJH.DLL que ya conocemos, pero este debe ser una nueva variante aun no controlada. ms.

Troyano, Conhook y Vundo

Troyano, Conhook y Vundo

Re: Troyano, Conhook y Vundo

Re: Troyano, Conhook y Vundo

Re: Troyano, Conhook y Vundo

Re: Troyano, Conhook y Vundo

Re: Troyano, Conhook y Vundo

Re: Troyano, Conhook y Vundo

Re: Troyano, Conhook y Vundo

Re: Troyano, Conhook y Vundo

Re: Troyano, Conhook y Vundo