Que alguien me ayude!... (SOLUCIONADO)

[Gevorín]

Tengo un problema y es que cuando me conecto a internet al buscar una página que me interesa me sale otra que me impide ver la que busco y me obliga a ejecutar un programa teniendo que cerrarlo rápidamente y que dando sin conexión a internet porque me cierra la página que quiero ver. Gracias a quien pueda ayudarme.....

[Nuker]

Pruebate ELISTARA en modo seguro, abres link descargas herramienta, la guardas en escritorio y la ejecutas en modo seguro...Al terminar escaneo te creara un log de esta manera, C:\infoSat.txt abre bloc copia contenido y pegalo aquí para ver resultado de eliminación.

ELISTARA: http://www.zonavirus.com/descargas/elistara.asp
MODO SEGURO: http://www.zonavirus.com/articulos/como ... fallos.asp

[Gevorín]

Aquí te mando el resultado del análisis que hice bajo el modo de prueba como me dijiste; espero que lo haya hecho bien, me siguen saliendo las páginas esas que tanta lata me dán y no consigo quitarmelas de en medio, gracias por todo...

Sun Feb 18 01:46:44 2007
EliStartPage v13.35 (c)2007 S.G.H. / Satinfo S.L.
--------------------------------------------------

Código: Seleccionar todo

Lista de Acciones (por Acción Directa):
[WinLogon\Notify\HGDBX]
  Por favor, envienos una muestra del fichero
  C:\WinLogon\HGDBX.DLL
 a "virus@satinfo.es". Gracias.
Por favor, envienos una muestra del fichero
C:\Muestras\HGDBX.DLL.Muestra EliStartPage v13.35
 a "virus@satinfo.es".  Gracias.
C:\WINDOWS\SYSTEM32\HGDBX.DLL -->  Acceso Denegado.
C:\WINDOWS\SYSTEM32\AUPXLPQB.DLL --> Eliminado Juan (BHO)
C:\WINDOWS\SYSTEM32\XBDGH.ini --> Eliminado (Fichero Complementario).
C:\WINDOWS\SYSTEM32\XBDGH.ini2 --> Eliminado (Fichero Complementario).
C:\WINDOWS\SYSTEM32\XBDGH.tmp --> Eliminado (Fichero Complementario).
Entrada Eliminada [HKLM\...\Run] "DllRunning"="rundll32.exe "C:\WINDOWS\system32\krnnsivw.dll",setvm"
Eliminada Class, "{010FF400-8DFB-439D-987B-DCDE5195F4D8}" -> C:\WINDOWS\system32\ljjiffe.dll
Eliminada Class, "{68D5CF1D-EC5C-4BDD-A9EF-F0E517565D50}" -> C:\WINDOWS\system32\aupxlpqb.dll
Eliminada Class, "{4CE1D8F3-5D0C-4947-B966-8FF72AD1C7E1}" -> C:\WINDOWS\system32\hgdbx.dll
Eliminadas las Paginas de Inicio y de Busqueda del IE
Eliminados Ficheros Temporales del IE

	  Sun Feb 18 01:51:14 2007
EliStartPage v13.35  (c)2007 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\
C:\Archivos de programa\BitComet\UNINST.EXE --> Eliminado, Beginto
C:\Archivos de programa\Photodex\ProShowGold\DSHOW.EXE --> Eliminado, NavHelper (BHO)
C:\Documents and Settings\Juanma\Escritorio\Fk2 2006\Salvapantallas (De los mejores que existen en internet)\SALVAPANTALLAS.EXE --> AutoExtraible
C:\Documents and Settings\Juanma\Escritorio\Nueva carpeta\Panda.Internet.Security.2007.Multilanguage[WWW.TodoCVCD.CoM].Por.Gamolama\Platinum\LANZADOR.EXE --> Eliminado, Danger (Spyre)
C:\Documents and Settings\Juanma\Mis documentos\Mis archivos recibidos\BITCOMET_SETUP.EXE --> Eliminado, Beginto
C:\Documents and Settings\Juanma\Mis documentos\Mis archivos recibidos\CHINESE_PALACES_RUS.EXE --> AutoExtraible
C:\Documents and Settings\Juanma\Mis documentos\My ISO Files\Platinum\LANZADOR.EXE --> Eliminado, Danger (Spyre)
C:\WINDOWS\system32\KRNNSIVW.DLL --> Eliminado, Vundo4

	  Sun Feb 18 01:58:14 2007
EliStartPage v13.35  (c)2007 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad D:\
No Detectada Utilidad "ELINOTIF.DLL" (Necesaria para la Limpieza)

[MrKogoyo]

Pues haz lo que te indica el log:

Por favor, envienos una muestra del fichero
C:\Muestras\HGDBX.DLL.Muestra EliStartPage v13.35

¿COMO ENVIAR FICHEROS?:
viewtopic.php?f=2&t=45334

Ademas Actualiza tu Windows y Descargate esta herramienta:

ELINOTIF.DLL
http://www.zonavirus.com/descargas/elinotif.asp

Ponla en la misma carpeta de EliStarA, y Ejecutalo (EliStarA)

Slds. !!
Mr.K.

[Gevorín]

Perdona por mi torpeza, pero me pides que envie una muestra del fichero C:\Muestras\HGDBX.DLL.Muestra EliStartPage v13.35

y al encontrarlo no sé con qué aplicación abrirlo porque con el bloc de notas y otras aplicaciones similares no se abre y no puedo mandartelo!... después me dices que me descargue elinotif.dll, que ya lo tengo pero no sé como meterlo en la carpeta EliSatarA, pues este es un ejecutable (EliSatarA.exe).

Gracias por seguir ayudándome....

[lucl]

Hola gevorin, mira el elinotfill tan solo tienes que meterlo en una misma carpeta con el elistara ya que son complementarios, una vez echo tan solo tienes que ejecutarlo, el elistara . En cuanto a lo del envio del archivo HGDBX.DLL que tendrás en la carpeta muestras de elistara lo envías con un texto que diga REF (tu nick en el foro) y asi lo analizaran y te diran que es y si has de hacer algo al respecto, en caso de problemas por el antivirus que no te permita enviarlo lo comprimes y le pones de contraseña VIRUS y lo envías de igual modo y con el mismo texto a zonavirus@satinfo.es. saludos

[Gevorín]

Sigo con vuestras instrucciones y he enviado el archivo HGDBX.DLL comprimido a la dirección que me dijisteis de zonavirus@satinfo.es y ahora tendré que esperar alguna respuesta por correo, es así o me equivoco en algo. Gracias por seguir ayudandome, también he de decir que cuando he ejecutado el ELISTARA, me ha salido una ventanita donde me decia "sistema infectado por VUNDO", no se que es eso, si sois tan amables y me seguís orientando, gracias de nuevo por todo...

[lucl]

pues el vundo el elistara tiene que quitartelo , hiciste lo del elinotfill? si es asi tranquilo, y si, te diran algo mañana cuando lo reciban y analicen pero aqui en el foro te daran la respuestas, en cuanto al vundo vuelve a pasar el elistara y a ver si te lo elimina, saludos

[msc hotline sat]

Postea el contenido de c:\infosat.txt y veremos donde estamos.

Sobre las muestras no se contesta por correo privado, todo se hace en el foro para aprovechamiento de todos

saludos
ms, 18-02-2007

[Gevorín]

He enviado el archivo HGDBX.DLL, y no he recibido respuesta aún de nadie, creo que será aquí donde reciba la respuesta, en el apartado de mi problema y no en otro sitio. Lo envié a zonavirus@satinfo.es, pero no sé si esperar algo más, en cuanto al ELISTARA, lo volveré a pasar de nuevo para ver si me quita en VUNDO, gracias por seguir informando, que alguien me diga si el mensage lo mandé bien o no, creo que sí, lo hice de forma comprimida, gracias de nuevo...

[msc hotline sat]

Como le dijimos, las muestras recibidas durante el fin de semana, se analizarán hoy y se controlarán en las próximas versiones de nuestras utilidades.

Miraremos de darle prioridad a la suya...

ya informaremos

saludos
ms, 19-02-2007

[msc hotline sat]

Entrada en proceso su muestra, se aprecia ser una nueva variante de VUNDO

Para ello desarrollaremos nueva version del ELISTARA 13.36 que descargará en la misma carpeta que el ELINOTIF.DLL y tras probar el ELISTARA, y reiniciar, la DLL entrará en juego y eliminará el malware.

Esta tarde a partir de las 20 h podrá descargarlos y evaluarlos

ELISTARA: http://www.zonavirus.com/descargas/elistara.asp
ELINOTIF.DLL http://www.zonavirus.com/descargas/elinotif.asp

Tras ello posteenos el contenido de C:\infosat.txt para ver el resultado del proceso

saludos
ms, 19-02-2007

[Gevorín]

Gracias por vuestro apoyo y ayuda que estoy teniendo, tengo que deciros que estoy siguiendo todos los pasos que me decis, y a todo ello debo deciros que si el problema que yo tengo viene de ese virus "VUNDO"?. Sigo después de todo al entrar en internet y conectarme a alguna página, me salen pantallazos donde me dicen que mi ordenador está infectado por un montón de virus y que instale el antivirus que me anuncian a lo cual yo rechazo. Esos antivirus que no me fio de ellos son por ejemplo; INTERNET SECURITY CENTER u otros como DRIVE CLEANER creo que para limpiar el registro y cosas así. Es muy engorroso pues tengo que ir cerrando continuamente esas páginas entorpeciendo mi labor, gracias por todo nuevamente...

[lucl]

ya tienes las nuevas versiones del elistara y elinotfill, bájalas de nuevo y mételas en la misma carpeta, elimina primero las versiones antiguas para no liarte, y sigue las indicaciones que te dio msc al respecto

Para ello desarrollaremos nueva versión del ELISTARA 13.36 que descargará en la misma carpeta que el ELINOTIF.DLL y tras probar el ELISTARA, y reiniciar, la DLL entrará en juego y eliminará el malware.

Esta tarde a partir de las 20 h podrá descargarlos y evaluarlos

ELISTARA: http://www.zonavirus.com/descargas/elistara.asp
ELINOTIF.DLL http://www.zonavirus.com/descargas/elinotif.asp

Tras ello posteenos el contenido de C:\infosat.txt para ver el resultado del proceso

asi que ya sabes ejecuta elistara y peganos el log. saludos.

[Gevorín]

Tras seguir tu consejo sigo con las mismas y me he bajado las ultimas versiones del ELISTARA Y ELINOTIF.DLL, he hecho lo indicado en modo a prueba de errores y me sigue diciendo que estas infectado por VUNDO, aunque en esta ocasión lo ha eliminado de dos archivos y queda otro, vamos esa es la interpretación que le doy yo ha lo que sale, gracias de todos modos por todo como siempre os estoy agradecidos por vuestra paciencia. Aquí os mando el archivo INFOSAT.TXT, que ha salido después de la prueba...

Sun Feb 18 01:46:44 2007
EliStartPage v13.35 (c)2007 S.G.H. / Satinfo S.L.
--------------------------------------------------

Código: Seleccionar todo

Lista de Acciones (por Acción Directa):
[WinLogon\Notify\HGDBX]
  Por favor, envienos una muestra del fichero
  C:\WinLogon\HGDBX.DLL
 a "virus@satinfo.es". Gracias.
Por favor, envienos una muestra del fichero
C:\Muestras\HGDBX.DLL.Muestra EliStartPage v13.35
 a "virus@satinfo.es".  Gracias.
C:\WINDOWS\SYSTEM32\HGDBX.DLL -->  Acceso Denegado.
C:\WINDOWS\SYSTEM32\AUPXLPQB.DLL --> Eliminado Juan (BHO)
C:\WINDOWS\SYSTEM32\XBDGH.ini --> Eliminado (Fichero Complementario).
C:\WINDOWS\SYSTEM32\XBDGH.ini2 --> Eliminado (Fichero Complementario).
C:\WINDOWS\SYSTEM32\XBDGH.tmp --> Eliminado (Fichero Complementario).
Entrada Eliminada [HKLM\...\Run] "DllRunning"="rundll32.exe "C:\WINDOWS\system32\krnnsivw.dll",setvm"
Eliminada Class, "{010FF400-8DFB-439D-987B-DCDE5195F4D8}" -> C:\WINDOWS\system32\ljjiffe.dll
Eliminada Class, "{68D5CF1D-EC5C-4BDD-A9EF-F0E517565D50}" -> C:\WINDOWS\system32\aupxlpqb.dll
Eliminada Class, "{4CE1D8F3-5D0C-4947-B966-8FF72AD1C7E1}" -> C:\WINDOWS\system32\hgdbx.dll
Eliminadas las Paginas de Inicio y de Busqueda del IE
Eliminados Ficheros Temporales del IE

	  Sun Feb 18 01:51:14 2007
EliStartPage v13.35  (c)2007 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\
C:\Archivos de programa\BitComet\UNINST.EXE --> Eliminado, Beginto
C:\Archivos de programa\Photodex\ProShowGold\DSHOW.EXE --> Eliminado, NavHelper (BHO)
C:\Documents and Settings\Juanma\Escritorio\Fk2 2006\Salvapantallas (De los mejores que existen en internet)\SALVAPANTALLAS.EXE --> AutoExtraible
C:\Documents and Settings\Juanma\Escritorio\Nueva carpeta\Panda.Internet.Security.2007.Multilanguage[WWW.TodoCVCD.CoM].Por.Gamolama\Platinum\LANZADOR.EXE --> Eliminado, Danger (Spyre)
C:\Documents and Settings\Juanma\Mis documentos\Mis archivos recibidos\BITCOMET_SETUP.EXE --> Eliminado, Beginto
C:\Documents and Settings\Juanma\Mis documentos\Mis archivos recibidos\CHINESE_PALACES_RUS.EXE --> AutoExtraible
C:\Documents and Settings\Juanma\Mis documentos\My ISO Files\Platinum\LANZADOR.EXE --> Eliminado, Danger (Spyre)
C:\WINDOWS\system32\KRNNSIVW.DLL --> Eliminado, Vundo4

	  Sun Feb 18 01:58:14 2007
EliStartPage v13.35  (c)2007 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad D:\
No Detectada Utilidad "ELINOTIF.DLL" (Necesaria para la Limpieza)

	  Sun Feb 18 15:29:54 2007
EliStartPage v13.35  (c)2007 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Acción Directa):
Por favor, envienos una muestra del fichero
C:\Muestras\HGDBX.DLL.Muestra EliStartPage v13.35
 a "virus@satinfo.es".  Gracias.
C:\WINDOWS\SYSTEM32\HGDBX.DLL -->  Acceso Denegado.
C:\WINDOWS\SYSTEM32\XBDGH.ini --> Eliminado (Fichero Complementario).
C:\WINDOWS\SYSTEM32\XBDGH.ini2 --> Eliminado (Fichero Complementario).
Eliminada Class, "{FADA4F68-ED02-4FF4-96AF-DF4E28529BCF}" -> C:\WINDOWS\system32\hgdbx.dll
Eliminadas las Paginas de Inicio y de Busqueda del IE
Eliminados Ficheros Temporales del IE

	  Sun Feb 18 15:30:23 2007
EliStartPage v13.35  (c)2007 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\
C:\Documents and Settings\Juanma\Escritorio\Fk2 2006\Salvapantallas (De los mejores que existen en internet)\SALVAPANTALLAS.EXE --> AutoExtraible
C:\Documents and Settings\Juanma\Mis documentos\Mis archivos recibidos\CHINESE_PALACES_RUS.EXE --> AutoExtraible
Instalada Utilidad "ELINOTIF.DLL"

EliNotify v1.7.02.16  (c)2006 S.G.H. / Satinfo S.L.
---------------------------------------------------
Lista de Acciones:
Detectado Vundo
Elininada KEY "Winlogon\Notify\hgdbx"
Desinstalado EliNotif.dll

	  Mon Feb 19 13:38:29 2007
EliStartPage v13.35  (c)2007 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Acción Directa):
Eliminadas las Paginas de Inicio y de Busqueda del IE
Eliminados Ficheros Temporales del IE

	  Mon Feb 19 13:38:43 2007
EliStartPage v13.35  (c)2007 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\
C:\Documents and Settings\Juanma\Escritorio\Fk2 2006\Salvapantallas (De los mejores que existen en internet)\SALVAPANTALLAS.EXE --> AutoExtraible
C:\Documents and Settings\Juanma\Mis documentos\Mis archivos recibidos\CHINESE_PALACES_RUS.EXE --> AutoExtraible

	  Mon Feb 19 23:21:51 2007
EliStartPage v13.36  (c)2007 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Acción Directa):
Key Eliminada [WinLogon\Notify\HGDBX] -> C:\WINDOWS\SYSTEM32\HGDBX.DLL
C:\WINDOWS\SYSTEM32\HGDBX.DLL --> Vundo (notify) Acceso Denegado.
C:\WINDOWS\SYSTEM32\HGDBX.DLL --> Vundo (notify) Acceso Denegado.
C:\WINDOWS\SYSTEM32\XBDGH.ini --> Eliminado (Fichero Complementario).
Eliminada Class, "{4A25933A-6366-42C5-9EEE-B3A4B760D1B7}" -> C:\WINDOWS\system32\hgdbx.dll
Eliminadas las Paginas de Inicio y de Busqueda del IE
Eliminados Ficheros Temporales del IE

	  Mon Feb 19 23:22:10 2007
EliStartPage v13.36  (c)2007 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\
C:\Documents and Settings\Juanma\Escritorio\Fk2 2006\Salvapantallas (De los mejores que existen en internet)\SALVAPANTALLAS.EXE --> AutoExtraible
C:\Documents and Settings\Juanma\Mis documentos\Mis archivos recibidos\CHINESE_PALACES_RUS.EXE --> AutoExtraible
C:\Muestras\HGDBX.DLL.MUESTRA ELISTARTPAGE V13.35 --> Eliminado, Vundo (notify)
C:\WinLogon\HGDBX.DLL --> Eliminado, Vundo (notify)
Instalada Utilidad "ELINOTIF.DLL"

EliNotify v1.7.02.19  (c)2006 S.G.H. / Satinfo S.L.
---------------------------------------------------
Lista de Acciones:
Detectado Vundo
Elininada KEY "Winlogon\Notify\hgdbx"
Elininado BHO: "{4A25933A-6366-42C5-9EEE-B3A4B760D1B7}"
Elininada Class: "{4A25933A-6366-42C5-9EEE-B3A4B760D1B7}"
Desinstalado EliNotif.dll

[Gevorín]

Se me olvidaba deciros que el antivirus que tengo instalado es el Panda y que cuando me cierra a veces el presunto virus Internet me sale un mensaje que me dice; "Notificación de Panda Antivirus + Firewall 2007:

El archivo

Código: Seleccionar todo

http://download.cdn.winsoftware.com/files/installers/WinAntiVirusPro2006FreeInstall_es.exe

era un programa de seguimiento y ha sido borrado. Nombre del programa de seguimiento: Application/Winantivirus2006

Creo que por aquí os podréis guiar mejor, gracias de nuevo...

[msc hotline sat]

Segun lo indicado en el infosat, venos que con la 13.36 del ELISTARA/ELINOTIF se eliminó perfectamente esta dichosa nueva variante de VUNDO, por lo que pasamos a darlo por SOLUCIONADO y procedemos a cerrar el Tema

Pues lo celebramos, y dando el Tema por solucionado, procedemos a cerrarlo.

Si nos necesita de nuevo, ya sabe donde estamos

saludos
ms, 20-02-2007