Virus conhook, como lo elimino?

onic · Mensaje por **onic** » 09 Mar 2006, 19:33

Wenas, soy nuevo en el foro y claro, tengo un problema.

He formateado unas 2 veces ya pero el virus sigue insistiendo, he instalado el antivirus y cortafuegos antes de conectarme,pero nada, igual me pilla el virus. El kaspersky me da aviso de que la libreria winlogon tiene un troyano y otro aviso con otro troyano(o el mismo) diciendo que los elimine, pero nada no los elimina. El ewido tambien me da un aviso del virus conhook y tampoco lo elimina.

Os adjunto una imagen para verlo mas claro:

[url=http://imageshack.us]

[img]http://img383.imageshack.us/img383/9004/dibujo3ee.jpg[/img][/url]

Espero que me ayudeis, gracias.

PD:Tengo el sp1, aun no he instalado el sp2.Ya he leido un hilo con una persona que tenia el mismo virus pero no me ha facilitado nada.

Mensaje por **msc hotline sat** » 09 Mar 2006, 20:06

Prueba el ELISTARA, primero te lo bajas, luego arrancas en modo seguro y lo lanzas:

ELISTARA:

http://www.zonavirus.com/descargas/elistara.asp

y si tras reiniciar persiste el problema, postea el log del HJT, pero sobretodo indicando los problemas que aun tienes:

[i]¿Como utilizar el Hijackthis ?[/i]

Lo primero que debemos hacer es descargarlo en nuestro ordenador y lócalo en una carpeta propia C:\HijackThis\

Ejecútalo y presiona el botón "~~[b]~~Do a system scan and save a logfile[/b]"; el programa realizará el escaneo e inmediatamente generará el Log, sólo te pedira el nombre del archivo y su ubicación, puedes simplemente guardarlo así como está.

Se abrirá el Bloc de Notas, copia todo el contenido y pégalo como respuesta de este Tema

· [url=http://www.zonavirus.com/descargas/trendmicro-hijackthis.asp]~~[b]~~Descargar Hijackthis[/b][/url]

saludos

ms, 9-3.2006

onic · Mensaje por **onic** » 09 Mar 2006, 20:12

Weno el principal problema es que cada un ciero tiempo me salen unos avisos "message device" donde me dice de ir a una pagina porque tengo los datos corruptos. Ahora el kaspersky me da avisos de otros archivos infectados,pero con el mismo troyano.Gracias por responder tan rapido.Pego el log del hickjack

Logfile of HijackThis v1.99.1

Scan saved at 20:10:29, on 03/03/2006

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Archivos de programa\ewido\security suite\ewidoctrl.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\System32\rundll32.exe

C:\Archivos de programa\Telefonica\Kit ADSL USB\dslmon.exe

C:\WINDOWS\system32\cmd.exe

C:\WINDOWS\system32\rundll32.exe

C:\Archivos de programa\ewido\security suite\ewidoguard.exe

C:\Archivos de programa\MSN Messenger\msnmsgr.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\wuauclt.exe

C:\Archivos de programa\Internet Explorer\IEXPLORE.EXE

C:\WINDOWS\msagent\AgentSvr.exe

C:\Documents and Settings\onic\Escritorio\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.telefonica.net/

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.ewido.net/redirect.cgi?testvirus

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: (no name) - {20D57A66-F7DF-467d-907B-9B7F4A118AB7} - C:\WINDOWS\System32\mljge.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O4 - HKLM\..\Run: [KAVPersonal50] C:\Archivos de programa\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe /minimize

O4 - HKLM\..\Run: [wlib32] rundll32.exe C:\WINDOWS\System32\wlib32.dll,start

O4 - HKCU\..\Run: [MsnMsgr] "C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe" /background

O4 - Global Startup: Consola KIT ADSL.lnk = ?

O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O16 - DPF: {7B297BFD-85E4-4092-B2AF-16A91B2EA103} (WScanCtl Class) - http://www3.ca.com/securityadvisor/virusinfo/webscan.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{A24D0143-EB09-4671-8CF4-13BD7357B27E}: NameServer = 80.58.61.250 80.58.61.254

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\ARCHIV~1\MSNMES~1\msgrapp.dll" (file missing)

O20 - Winlogon Notify: mljge - C:\WINDOWS\SYSTEM32\mljge.dll

O23 - Service: ewido security suite control - ewido networks - C:\Archivos de programa\ewido\security suite\ewidoctrl.exe

O23 - Service: ewido security suite guard - ewido networks - C:\Archivos de programa\ewido\security suite\ewidoguard.exe

O23 - Service: kavsvc - Kaspersky Lab - C:\Archivos de programa\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe

Mensaje por **msc hotline sat** » 09 Mar 2006, 23:37

Le falta actualizar los parches de microsoft. Faltan todos los del SP2 y posteriores. Actualice con windowsupdate !!!

Luego elimine estas claves:

O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

y como que esta puede ser un spyware de los que requieren el ELISTARA: O20 - Winlogon Notify: mljge - C:\WINDOWS\SYSTEM32\mljge.dll , baje el ELISTARA y lo prueba y si detecta ficheros sospechosos y le indica enviar muestras, hagalo

ELISTARA:

http://www.zonavirus.com/descargas/elistara.asp

Y tras reiniciar comentenos los resultados, gracias

saludos

ms, 9-3-2006

onic · Mensaje por **onic** » 10 Mar 2006, 01:13

Gracias por la respuesta, ya estoy bajando las actualizaciones.

HE probado el elistara en modo a prueva de fallos pero no me eliminava el troyano, me lo detecta pero no lo borra. Ahora he tenido que volver a formatear porque despues de entrar a modo prueba de fallos no me dejaba entrar en windows y se me reiniciaba, instalando el service pack 2 no me va a entrar mas este troyano? si tengo el antivirus como puede entrarme? Weno gracias por todo, es una web muy currada.

onic · Mensaje por **onic** » 10 Mar 2006, 01:52

Recien formateado y mas sorpresas, parece que se reproduce, ms hotline sat no puedo hacer algo para que despues de un formateo no me entre ningun troyano? esque instalo el kaspersky y el ewido y me siguen entrando....

rzirl.exe Win32.SillyDl.NM infected C:\Archivos de programa\Archivos comunes\rzir\

MTE3NDI6ODoxNg.exe Win32.SillyDl.YQ infected C:\

stub_113_4_0_4_0.exe Win32.SillyDl.XA infected C:\

stub_113_4_0_4_0[1].exe Win32.SillyDl.XA infected C:\WINDOWS\system32\config\systemprofile\Configuración local\Archivos temporales de Internet\Content.IE5\EPK54LYV\

MTE3NDI6ODoxNg[1].exe Win32.SillyDl.YQ infected C:\WINDOWS\system32\config\systemprofile\Configuración local\Archivos temporales de Internet\Content.IE5\UP4XI7KF\

dr32.exe Win32.SillyDl.AGW infected C:\WINDOWS\system32\

hosts Win32.Cone.A infected C:\WINDOWS\system32\drivers\etc\

TFTP3196 Win32.Rbot.EAW infected C:\WINDOWS\system32\

winIogon.exe Win32.Rbot.EQX infected C:\WINDOWS\system32\

Mensaje por **msc hotline sat** » 10 Mar 2006, 08:30

Lo primero tras indtalar el sistema operativo es instalar los parches de microsoft, sin ellos nada pueden hacer los antivirus para que no entre algunos virus

Con un sistema parcheado y antivirus y antispywares actualizados, solo podrían entrar los desconocidos y muchos de ellos evitados si instalas un cortafuegos.

Recuerda:

https://foros.zonavirus.com/viewtopic.php?t=10771

saludos

ms, 10-3-2006