Internet Exprorer, ¡problemas!...

Gevorín · Mensaje por **Gevorín** » 20 Feb 2007, 23:29

Pues deciros que mi problema es que cuando estoy navegando por Internet, se me abren ventanas encima de la que estoy viendo y que me anuncian que instale un antivirus al parecer muy sospechoso, y que al cerrarlo vuelve a salir otro y así sucesivamente sin poder controlar yo la visita a la página que quiero ver. Luego me salen cosas como las que siguen;
Notificación de Panda Antivirus + Firewall 2007:

El archivo http://<INTERCEPTADO>\WinAntiVirusPro2006FreeInstall_es.exe era un programa de seguimiento y ha sido borrado. Nombre del programa de seguimiento: Application/Winantivirus2006

Notificación de Panda Antivirus + Firewall 2007:

El archivo http://<INTERCEPTADO>\installdrivecleanerstart_es.exe era un programa de seguimiento y ha sido borrado. Nombre del programa de seguimiento: Application/DriveCleaner

Me salen los mismos y otros una y otra vez, y no puedo quitarmelos del medio, gracias por vuestra atención y vuestra ayuda...

Gevorín · Mensaje por **Gevorín** » 20 Feb 2007, 23:35

Cuidado con estas direcciones pueden ser un virus, dentro de lo poco que yo sé de estas cosillas....

Nuker · Mensaje por **Nuker** » 20 Feb 2007, 23:46

Puede ser un falso positivo.

Ejecuta el ELISTARA de nuevo en modo seguro y posteanos el log:
http://www.zonavirus.com/descargas/elistara.asp

Mensaje por **msc hotline sat** » 21 Feb 2007, 07:04

El log a postear con un copiar y pegar en tu proximo post lo encontrarás en C:\infosat.txt

saludos

ms, 21-02-2007

Gevorín · Mensaje por **Gevorín** » 21 Feb 2007, 23:01

Ya he pasado el ELISTARA, y ya he sacado los resultados del archivo INFOSAT. TXT. y son los siguientes....

Sun Feb 18 01:46:44 2007
EliStartPage v13.35 (c)2007 S.G.H. / Satinfo S.L.
--------------------------------------------------

Código: Seleccionar todo

Lista de Acciones (por Acción Directa):
[WinLogon\Notify\HGDBX]
  Por favor, envienos una muestra del fichero
  C:\WinLogon\HGDBX.DLL
 a "virus@satinfo.es". Gracias.
Por favor, envienos una muestra del fichero
C:\Muestras\HGDBX.DLL.Muestra EliStartPage v13.35
 a "virus@satinfo.es".  Gracias.
C:\WINDOWS\SYSTEM32\HGDBX.DLL -->  Acceso Denegado.
C:\WINDOWS\SYSTEM32\AUPXLPQB.DLL --> Eliminado Juan (BHO)
C:\WINDOWS\SYSTEM32\XBDGH.ini --> Eliminado (Fichero Complementario).
C:\WINDOWS\SYSTEM32\XBDGH.ini2 --> Eliminado (Fichero Complementario).
C:\WINDOWS\SYSTEM32\XBDGH.tmp --> Eliminado (Fichero Complementario).
Entrada Eliminada [HKLM\...\Run] "DllRunning"="rundll32.exe "C:\WINDOWS\system32\krnnsivw.dll",setvm"
Eliminada Class, "{010FF400-8DFB-439D-987B-DCDE5195F4D8}" -> C:\WINDOWS\system32\ljjiffe.dll
Eliminada Class, "{68D5CF1D-EC5C-4BDD-A9EF-F0E517565D50}" -> C:\WINDOWS\system32\aupxlpqb.dll
Eliminada Class, "{4CE1D8F3-5D0C-4947-B966-8FF72AD1C7E1}" -> C:\WINDOWS\system32\hgdbx.dll
Eliminadas las Paginas de Inicio y de Busqueda del IE
Eliminados Ficheros Temporales del IE

	  Sun Feb 18 01:51:14 2007
EliStartPage v13.35  (c)2007 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\
C:\Archivos de programa\BitComet\UNINST.EXE --> Eliminado, Beginto
C:\Archivos de programa\Photodex\ProShowGold\DSHOW.EXE --> Eliminado, NavHelper (BHO)
C:\Documents and Settings\Juanma\Escritorio\Fk2 2006\Salvapantallas (De los mejores que existen en internet)\SALVAPANTALLAS.EXE --> AutoExtraible
C:\Documents and Settings\Juanma\Escritorio\Nueva carpeta\Panda.Internet.Security.2007.Multilanguage[WWW.TodoCVCD.CoM].Por.Gamolama\Platinum\LANZADOR.EXE --> Eliminado, Danger (Spyre)
C:\Documents and Settings\Juanma\Mis documentos\Mis archivos recibidos\BITCOMET_SETUP.EXE --> Eliminado, Beginto
C:\Documents and Settings\Juanma\Mis documentos\Mis archivos recibidos\CHINESE_PALACES_RUS.EXE --> AutoExtraible
C:\Documents and Settings\Juanma\Mis documentos\My ISO Files\Platinum\LANZADOR.EXE --> Eliminado, Danger (Spyre)
C:\WINDOWS\system32\KRNNSIVW.DLL --> Eliminado, Vundo4

	  Sun Feb 18 01:58:14 2007
EliStartPage v13.35  (c)2007 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad D:\
No Detectada Utilidad "ELINOTIF.DLL" (Necesaria para la Limpieza)

	  Sun Feb 18 15:29:54 2007
EliStartPage v13.35  (c)2007 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Acción Directa):
Por favor, envienos una muestra del fichero
C:\Muestras\HGDBX.DLL.Muestra EliStartPage v13.35
 a "virus@satinfo.es".  Gracias.
C:\WINDOWS\SYSTEM32\HGDBX.DLL -->  Acceso Denegado.
C:\WINDOWS\SYSTEM32\XBDGH.ini --> Eliminado (Fichero Complementario).
C:\WINDOWS\SYSTEM32\XBDGH.ini2 --> Eliminado (Fichero Complementario).
Eliminada Class, "{FADA4F68-ED02-4FF4-96AF-DF4E28529BCF}" -> C:\WINDOWS\system32\hgdbx.dll
Eliminadas las Paginas de Inicio y de Busqueda del IE
Eliminados Ficheros Temporales del IE

	  Sun Feb 18 15:30:23 2007
EliStartPage v13.35  (c)2007 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\
C:\Documents and Settings\Juanma\Escritorio\Fk2 2006\Salvapantallas (De los mejores que existen en internet)\SALVAPANTALLAS.EXE --> AutoExtraible
C:\Documents and Settings\Juanma\Mis documentos\Mis archivos recibidos\CHINESE_PALACES_RUS.EXE --> AutoExtraible
Instalada Utilidad "ELINOTIF.DLL"

EliNotify v1.7.02.16  (c)2006 S.G.H. / Satinfo S.L.
---------------------------------------------------
Lista de Acciones:
Detectado Vundo
Elininada KEY "Winlogon\Notify\hgdbx"
Desinstalado EliNotif.dll

	  Mon Feb 19 13:38:29 2007
EliStartPage v13.35  (c)2007 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Acción Directa):
Eliminadas las Paginas de Inicio y de Busqueda del IE
Eliminados Ficheros Temporales del IE

	  Mon Feb 19 13:38:43 2007
EliStartPage v13.35  (c)2007 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\
C:\Documents and Settings\Juanma\Escritorio\Fk2 2006\Salvapantallas (De los mejores que existen en internet)\SALVAPANTALLAS.EXE --> AutoExtraible
C:\Documents and Settings\Juanma\Mis documentos\Mis archivos recibidos\CHINESE_PALACES_RUS.EXE --> AutoExtraible

	  Mon Feb 19 23:21:51 2007
EliStartPage v13.36  (c)2007 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Acción Directa):
Key Eliminada [WinLogon\Notify\HGDBX] -> C:\WINDOWS\SYSTEM32\HGDBX.DLL
C:\WINDOWS\SYSTEM32\HGDBX.DLL --> Vundo (notify) Acceso Denegado.
C:\WINDOWS\SYSTEM32\HGDBX.DLL --> Vundo (notify) Acceso Denegado.
C:\WINDOWS\SYSTEM32\XBDGH.ini --> Eliminado (Fichero Complementario).
Eliminada Class, "{4A25933A-6366-42C5-9EEE-B3A4B760D1B7}" -> C:\WINDOWS\system32\hgdbx.dll
Eliminadas las Paginas de Inicio y de Busqueda del IE
Eliminados Ficheros Temporales del IE

	  Mon Feb 19 23:22:10 2007
EliStartPage v13.36  (c)2007 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\
C:\Documents and Settings\Juanma\Escritorio\Fk2 2006\Salvapantallas (De los mejores que existen en internet)\SALVAPANTALLAS.EXE --> AutoExtraible
C:\Documents and Settings\Juanma\Mis documentos\Mis archivos recibidos\CHINESE_PALACES_RUS.EXE --> AutoExtraible
C:\Muestras\HGDBX.DLL.MUESTRA ELISTARTPAGE V13.35 --> Eliminado, Vundo (notify)
C:\WinLogon\HGDBX.DLL --> Eliminado, Vundo (notify)
Instalada Utilidad "ELINOTIF.DLL"

EliNotify v1.7.02.19  (c)2006 S.G.H. / Satinfo S.L.
---------------------------------------------------
Lista de Acciones:
Detectado Vundo
Elininada KEY "Winlogon\Notify\hgdbx"
Elininado BHO: "{4A25933A-6366-42C5-9EEE-B3A4B760D1B7}"
Elininada Class: "{4A25933A-6366-42C5-9EEE-B3A4B760D1B7}"
Desinstalado EliNotif.dll

	  Wed Feb 21 19:37:28 2007
EliStartPage v13.36  (c)2007 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Acción Directa):
Key Eliminada [WinLogon\Notify\HGDBX] -> C:\WINDOWS\SYSTEM32\HGDBX.DLL
C:\WINDOWS\SYSTEM32\HGDBX.DLL --> Vundo (notify) Acceso Denegado.
C:\WINDOWS\SYSTEM32\HGDBX.DLL --> Vundo (notify) Acceso Denegado.
C:\WINDOWS\SYSTEM32\XBDGH.ini --> Eliminado (Fichero Complementario).
Eliminada Class, "{9A3E9286-ECFF-4735-A61A-D96AABC25315}" -> C:\WINDOWS\system32\hgdbx.dll
Eliminadas las Paginas de Inicio y de Busqueda del IE
Eliminados Ficheros Temporales del IE

	  Wed Feb 21 19:37:57 2007
EliStartPage v13.36  (c)2007 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\
C:\Documents and Settings\Juanma\Escritorio\Fk2 2006\Salvapantallas (De los mejores que existen en internet)\SALVAPANTALLAS.EXE --> AutoExtraible
C:\Documents and Settings\Juanma\Mis documentos\Mis archivos recibidos\CHINESE_PALACES_RUS.EXE --> AutoExtraible
Instalada Utilidad "ELINOTIF.DLL"

EliNotify v1.7.02.19  (c)2006 S.G.H. / Satinfo S.L.
---------------------------------------------------
Lista de Acciones:
Detectado Vundo
Elininada KEY "Winlogon\Notify\hgdbx"
Elininado BHO: "{9A3E9286-ECFF-4735-A61A-D96AABC25315}"
Elininada Class: "{9A3E9286-ECFF-4735-A61A-D96AABC25315}"
Desinstalado EliNotif.dll

	  Wed Feb 21 19:56:03 2007
EliStartPage v13.36  (c)2007 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Acción Directa):
Key Eliminada [WinLogon\Notify\HGDBX] -> C:\WINDOWS\SYSTEM32\HGDBX.DLL
C:\WINDOWS\SYSTEM32\HGDBX.DLL --> Vundo (notify) Acceso Denegado.
C:\WINDOWS\SYSTEM32\HGDBX.DLL --> Vundo (notify) Acceso Denegado.
C:\WINDOWS\SYSTEM32\XBDGH.ini --> Eliminado (Fichero Complementario).
Eliminada Class, "{AEF60097-25DB-4A5A-8852-310978822899}" -> C:\WINDOWS\system32\hgdbx.dll

Mensaje por **lucl** » 21 Feb 2007, 23:06

pues tienes que enviarnos esto como se te pide

Por favor, envienos una muestra del fichero
C:\WinLogon\HGDBX.DLL
C:\Muestras\HGDBX.DLL.Muestra EliStartPage v13.35
a "virus@satinfo.es". Gracias.

viewtopic.php?f=2&t=45334

y el elinotfill metelo en la misma carpeta que el elistara y cuando ya lo tengas, ejecuta elistara para que termine de hacer la limpieza, y vuelve a pegarnos el log, saludos

Mensaje por **msc hotline sat** » 22 Feb 2007, 12:32

Si, es una variante de VUNDO de los dificiles de pelar...

Con el ELISTARA/ELINOTIF lo hemos conseguido eliminar, por por lo visto se ha regenerado...

Ha entrado la muestra a procesos, y se monitorizará su comportamiento, pero me temo que en nuestros ordenadores se eliminarña con dichas utilidades, pero que en el suyo hay algun DROPPER o DOWNLOADER que lo regenera...

Por si acaso, descargue el HJT, arranque en modo seguro (para evitar Rootkits) y lancelo, tras lo cual arranque normal para podernos postear el log que dicha utilidad genera:

HJT : (HiJackThis)
¿Como utilizar el Hijackthis ?
Lo primero que debemos hacer es descargarlo en nuestro ordenador y lócalo en una carpeta propia C:\HijackThis\
Ejecútalo y presiona el botón "Do a system scan and save a logfile"; el programa realizará el escaneo e inmediatamente generará el Log, sólo te pedira el nombre del archivo y su ubicación, puedes simplemente guardarlo así como está.
Se abrirá el Bloc de Notas, copia todo el contenido y pégalo como respuesta de este Tema
· Descargar Hijackthis

Tras analizarlo, informaremos

saludos
ms, 22-02-2007

Gevorín · Mensaje por **Gevorín** » 22 Feb 2007, 19:24

Logfile of HijackThis v1.99.1
Scan saved at 15:40:07, on 22/02/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

Código: Seleccionar todo

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = google.es
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = 
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = 
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\archivos de programa\google\googletoolbar2.dll
O4 - HKLM\..\Run: [LaunchApp] Alaunch
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [Apoint] C:\Archivos de programa\Apoint2K\Apoint.exe
O4 - HKLM\..\Run: [LManager] C:\ARCHIV~1\LAUNCH~1\CPLBCL53.EXE
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [EPSON Stylus C64 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /P23 "EPSON Stylus C64 Series" /O6 "USB001" /M "Stylus C64"
O4 - HKLM\..\Run: [DAEMON Tools] "C:\Archivos de programa\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Archivos de programa\Archivos comunes\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\system32\\PSDrvCheck.exe
O4 - HKLM\..\Run: [tujvpk.dll] C:\WINDOWS\system32\rundll32.exe "C:\Documents and Settings\Juanma\Configuración local\Datos de programa\tujvpk.dll",hovtcje
O4 - HKLM\..\Run: [APVXDWIN] "C:\Archivos de programa\Panda Software\Panda Antivirus + Firewall 2007\APVXDWIN.EXE" /s
O4 - HKLM\..\Run: [DllRunning] rundll32.exe "C:\WINDOWS\system32\ucdpngis.dll",setvm
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Archivos de programa\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [swg] C:\Archivos de programa\Google\GoogleToolbarNotifier\1.2.908.8472\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Archivos de programa\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [eMuleAutoStart] C:\Archivos de programa\eMule\eMule.exe -AutoStart
O4 - Global Startup: Adobe Gamma.lnk = C:\Archivos de programa\Archivos comunes\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Inicio rápido de Adobe Reader.lnk = C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: Download all links using BitComet - res://C:\Archivos de programa\BitComet\BitComet.exe/AddAllLink.htm
O8 - Extra context menu item: Download link using &BitComet - res://C:\Archivos de programa\BitComet\BitComet.exe/AddLink.htm
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1170710008978
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - https://fpdownload.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\ARCHIV~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: Adobe LM Service - Adobe Systems - C:\Archivos de programa\Archivos comunes\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - MAGIX® - C:\MAGIX\Common\Database\bin\fbserver.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Archivos de programa\Archivos comunes\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Archivos de programa\Archivos comunes\LightScribe\LSSrvc.exe
O23 - Service: Panda Function Service (PAVFNSVR) - Panda Software International - C:\Archivos de programa\Panda Software\Panda Antivirus + Firewall 2007\PavFnSvr.exe
O23 - Service: Panda Process Protection Service (PavPrSrv) - Panda Software - C:\Archivos de programa\Archivos comunes\Panda Software\PavShld\pavprsrv.exe
O23 - Service: Panda anti-virus service (PAVSRV) - Panda Software International - C:\Archivos de programa\Panda Software\Panda Antivirus + Firewall 2007\pavsrv51.exe
O23 - Service: Panda Network Manager (PNMSRV) - Panda Software International - c:\archivos de programa\panda software\panda antivirus + firewall 2007\firewall\PNMSRV.EXE
O23 - Service: Panda IManager Service (PSIMSVC) - Panda Software - C:\Archivos de programa\Panda Software\Panda Antivirus + Firewall 2007\PsImSvc.exe
O23 - Service: ScsiAccess - Unknown owner - C:\Archivos de programa\Photodex\ProShowGold\ScsiAccess.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Archivos de programa\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
O23 - Service: Panda TPSrv (TPSrv) - Panda Software - C:\Archivos de programa\Panda Software\Panda Antivirus + Firewall 2007\TPSrv.exe

Nuker · Mensaje por **Nuker** » 22 Feb 2007, 19:28

Aqui tenemos algo interesante, ya te dira alguno de mis compañeros que hacer con esto me voy a mi desayuno regreso en un santiamén.

O4 - HKLM\..\Run: [tujvpk.dll] C:\WINDOWS\system32\rundll32.exe "C:\Documents and Settings\Juanma\Configuración local\Datos de programa\tujvpk.dll",hovtcje
O4 - HKLM\..\Run: [DllRunning] rundll32.exe "C:\WINDOWS\system32\ucdpngis.dll",setvm

Mensaje por **msc hotline sat** » 22 Feb 2007, 19:35

Voy a subir nueva version 13.39 del ELISTARA, pruebala con el mismo ELINOTIF

Y TRAS REINICIAR. NOS POSTEAS EL CONTENIDO DE C:\INFOSAT.TXT , gracias

saludos
ms, 22-02-2007

Mensaje por **msc hotline sat** » 22 Feb 2007, 19:47

Ya subida nueva version.

Y sí. envíanos muestra de estas DLL para analizar:
C:\Documents and Settings\Juanma\Configuración local\Datos de programa\tujvpk.dll
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\ucdpngis.dll

recordar: viewtopic.php?f=2&t=45334

saludos
ms, 22-02-2007

Gevorín · Mensaje por **Gevorín** » 23 Feb 2007, 00:55

Deciros que no me deja el correo mandaros los archivos que me habeis pedido envianos muestra de estas DLL para analizar:

C:\WINDOWS\system32\rundll32.exe "C:\Documents and Settings\Juanma\Configuración local\Datos de programa\tujvpk.dll

C:\WINDOWS\system32\ucdpngis.dll

por que según el correo contienen un virus y no me deja mandarlo, a ver si con esto podeis sacar alguna conclusión, yo no sé mucho pero al parecer el virus está ahí, en esos archivos, que debo hacer...

Nuker · Mensaje por **Nuker** » 23 Feb 2007, 01:47

Para eso pon la contraseña VIRUS y asi hotmail no te lo interceptara. Empaquetar con password VIRUS (esto en el Winrar o Winzip, una vez hecho esto adjuntar, le dara un error por default le da en ver errores y le da aceptar, se adjuntara...

Gevorín · Mensaje por **Gevorín** » 23 Feb 2007, 10:22

como pongo la contraseña virus en el winrar, no sé hacerlo, no sé si es que lo tengo que nombrar así, o como?, gracias por todo y perdon por la torpeza, lo que quiero es solucionar esto como sea...

Mensaje por **msc hotline sat** » 23 Feb 2007, 12:40

Debes ir a OPCIONES AVANZADAS y alli seleccionar empaquetar con password, y le pones VIRUS, para que podamos desempaquetarlo

saludos
ms, 23-02-2007

Gevorín · Mensaje por **Gevorín** » 23 Feb 2007, 16:43

Ya por fín gracias a vosotros he podido enviar el mensaje con los archivos que me pedisteis, gracias...a ver que tal...

Mensaje por **msc hotline sat** » 23 Feb 2007, 17:44

Pues cuando se ha cerrado hoy la recepcion de muestras no habia llegado.

El lunes cuando volvamos al trabajo las analizaremos e informaremos

Si quieres. mientras, renombralas a extension .VIR y si no resultan ser viricas, el lunes las vuelves a renombrar a DLL , pero mientras , tras reiniciar, no entraran en uso

saludos
ms, 23-02-2007

Luis2912 · Mensaje por **Luis2912** » 24 Feb 2007, 14:52

Buenas , me podrian decir como quitar este archivo que me a entrado , me decia que era para ocultar las pagina porno pero a mi me estraño porque en pocas paginas me meto pero le di por si acaso porque me ponia que podia estar en juego mi tarjeta de credito y ahora tengo la m***da esta en mi pc : porfavor diganme como kitarlo paso a paso. el programa se llama por si akaso no sabeis cual digo installdrivecleanerstart_es

Mensaje por **lucl** » 24 Feb 2007, 14:59

Hola luis pues para empezar abrete un post nuevo pues este es de otro usuario, pero aun asi pasate el elistara en modo seguro y luego nos pegas el log que te creara en C llamado infosat.txt, despues pasate el hijackthis y nos pegas el log igualmente, te dejo los links de descarga

http://www.zonavirus.com/descargas/elistara.asp
http://www.zonavirus.com/articulos/como ... fallos.asp

HJT : (HiJackThis)
¿Como utilizar el Hijackthis ?
Lo primero que debemos hacer es descargarlo en nuestro ordenador y lócalo en una carpeta propia C:\HijackThis\
Ejecútalo y presiona el botón "Do a system scan and save a logfile"; el programa realizará el escaneo e inmediatamente generará el Log, sólo te pedira el nombre del archivo y su ubicación, puedes simplemente guardarlo así como está.
Se abrirá el Bloc de Notas, copia todo el contenido y pégalo como respuesta de este Tema
· http://www.zonavirus.com/descargas/tren ... ckthis.asp

Tras analizarlo, informaremos y recuerda abre un post propio, saludos

Luis2912 · Mensaje por **Luis2912** » 24 Feb 2007, 15:08

Gracias por contestarme , el Elistara no puedo descargarmelo le doi a Descargar Elistara 1. nose que y me sale que la pagina no se encuentra , gracias, a y otra cosa, este programa que tengo me puede afectar a mi ordenador de ke forma?

Luis2912 · Mensaje por **Luis2912** » 24 Feb 2007, 15:19

Otra pregunta formateando el pc se quitaria el problema?

Mensaje por **lucl** » 24 Feb 2007, 15:58

formatear es lo ultimo!!, trata de descargar el elistara de nuevo y si no pasanos el hijackthis, y por favor abrete tu otro post!! saludos

http://www.zonavirus.com/descargas/elistara.asp

Luis2912 · Mensaje por **Luis2912** » 24 Feb 2007, 16:20

e intentado descargarmelo otra vez y nada , el otro programa como es?

Mensaje por **msc hotline sat** » 25 Feb 2007, 13:47

Tienes los links 4 o 5 post mas arriba, pulsa en ellos ...

saludos

ms, 25-02-2007

Mensaje por **msc hotline sat** » 25 Feb 2007, 13:51

Seguimos con el Tema de Gevorin

A ultima hora se recibieron las muestras indicadas:

C:\Documents and Settings\Juanma\Configuración local\Datos de programa\tujvpk.dll

C:\WINDOWS\system32\ucdpngis.dll

Se ha implementado su control y eliminacion en la nueva version 13.40 del ELISTARA que se ha subido fuera de horas, asi que puedes probarla y tras ello postearnos el contenido de c:\infosat.txt, gracias

saludos

ms, 25-02-2007

Gevorín · Mensaje por **Gevorín** » 26 Feb 2007, 16:42

Después de pasar la última versión del ELISTARA, el archivo INFOSAT.TXT, es el siguiente;

Sun Feb 18 01:46:44 2007

EliStartPage v13.35 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

[WinLogon\Notify\HGDBX]

Por favor, envienos una muestra del fichero

C:\WinLogon\HGDBX.DLL

a "virus@satinfo.es". Gracias.

Por favor, envienos una muestra del fichero

C:\Muestras\HGDBX.DLL.Muestra EliStartPage v13.35

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\HGDBX.DLL --> Acceso Denegado.

C:\WINDOWS\SYSTEM32\AUPXLPQB.DLL --> Eliminado Juan (BHO)

C:\WINDOWS\SYSTEM32\XBDGH.ini --> Eliminado (Fichero Complementario).

C:\WINDOWS\SYSTEM32\XBDGH.ini2 --> Eliminado (Fichero Complementario).

C:\WINDOWS\SYSTEM32\XBDGH.tmp --> Eliminado (Fichero Complementario).

Entrada Eliminada [HKLM\...\Run] "DllRunning"="rundll32.exe "C:\WINDOWS\system32\krnnsivw.dll",setvm"

Eliminada Class, "{010FF400-8DFB-439D-987B-DCDE5195F4D8}" -> C:\WINDOWS\system32\ljjiffe.dll

Eliminada Class, "{68D5CF1D-EC5C-4BDD-A9EF-F0E517565D50}" -> C:\WINDOWS\system32\aupxlpqb.dll

Eliminada Class, "{4CE1D8F3-5D0C-4947-B966-8FF72AD1C7E1}" -> C:\WINDOWS\system32\hgdbx.dll

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Sun Feb 18 01:51:14 2007

EliStartPage v13.35 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\Archivos de programa\BitComet\UNINST.EXE --> Eliminado, Beginto

C:\Archivos de programa\Photodex\ProShowGold\DSHOW.EXE --> Eliminado, NavHelper (BHO)

C:\Documents and Settings\Juanma\Escritorio\Fk2 2006\Salvapantallas (De los mejores que existen en internet)\SALVAPANTALLAS.EXE --> AutoExtraible

C:\Documents and Settings\Juanma\Escritorio\Nueva carpeta\Panda.Internet.Security.2007.Multilanguage[WWW.TodoCVCD.CoM].Por.Gamolama\Platinum\LANZADOR.EXE --> Eliminado, Danger (Spyre)

C:\Documents and Settings\Juanma\Mis documentos\Mis archivos recibidos\BITCOMET_SETUP.EXE --> Eliminado, Beginto

C:\Documents and Settings\Juanma\Mis documentos\Mis archivos recibidos\CHINESE_PALACES_RUS.EXE --> AutoExtraible

C:\Documents and Settings\Juanma\Mis documentos\My ISO Files\Platinum\LANZADOR.EXE --> Eliminado, Danger (Spyre)

C:\WINDOWS\system32\KRNNSIVW.DLL --> Eliminado, Vundo4

Sun Feb 18 01:58:14 2007

EliStartPage v13.35 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad D:\

No Detectada Utilidad "ELINOTIF.DLL" (Necesaria para la Limpieza)

Sun Feb 18 15:29:54 2007

EliStartPage v13.35 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Por favor, envienos una muestra del fichero

C:\Muestras\HGDBX.DLL.Muestra EliStartPage v13.35

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\HGDBX.DLL --> Acceso Denegado.

C:\WINDOWS\SYSTEM32\XBDGH.ini --> Eliminado (Fichero Complementario).

C:\WINDOWS\SYSTEM32\XBDGH.ini2 --> Eliminado (Fichero Complementario).

Eliminada Class, "{FADA4F68-ED02-4FF4-96AF-DF4E28529BCF}" -> C:\WINDOWS\system32\hgdbx.dll

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Sun Feb 18 15:30:23 2007

EliStartPage v13.35 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\Documents and Settings\Juanma\Escritorio\Fk2 2006\Salvapantallas (De los mejores que existen en internet)\SALVAPANTALLAS.EXE --> AutoExtraible

C:\Documents and Settings\Juanma\Mis documentos\Mis archivos recibidos\CHINESE_PALACES_RUS.EXE --> AutoExtraible

Instalada Utilidad "ELINOTIF.DLL"

EliNotify v1.7.02.16 (c)2006 S.G.H. / Satinfo S.L.

---------------------------------------------------

Lista de Acciones:

Detectado Vundo

Elininada KEY "Winlogon\Notify\hgdbx"

Desinstalado EliNotif.dll

Mon Feb 19 13:38:29 2007

EliStartPage v13.35 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Mon Feb 19 13:38:43 2007

EliStartPage v13.35 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\Documents and Settings\Juanma\Escritorio\Fk2 2006\Salvapantallas (De los mejores que existen en internet)\SALVAPANTALLAS.EXE --> AutoExtraible

C:\Documents and Settings\Juanma\Mis documentos\Mis archivos recibidos\CHINESE_PALACES_RUS.EXE --> AutoExtraible

Mon Feb 19 23:21:51 2007

EliStartPage v13.36 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Key Eliminada [WinLogon\Notify\HGDBX] -> C:\WINDOWS\SYSTEM32\HGDBX.DLL

C:\WINDOWS\SYSTEM32\HGDBX.DLL --> Vundo (notify) Acceso Denegado.

C:\WINDOWS\SYSTEM32\HGDBX.DLL --> Vundo (notify) Acceso Denegado.

C:\WINDOWS\SYSTEM32\XBDGH.ini --> Eliminado (Fichero Complementario).

Eliminada Class, "{4A25933A-6366-42C5-9EEE-B3A4B760D1B7}" -> C:\WINDOWS\system32\hgdbx.dll

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Mon Feb 19 23:22:10 2007

EliStartPage v13.36 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\Documents and Settings\Juanma\Escritorio\Fk2 2006\Salvapantallas (De los mejores que existen en internet)\SALVAPANTALLAS.EXE --> AutoExtraible

C:\Documents and Settings\Juanma\Mis documentos\Mis archivos recibidos\CHINESE_PALACES_RUS.EXE --> AutoExtraible

C:\Muestras\HGDBX.DLL.MUESTRA ELISTARTPAGE V13.35 --> Eliminado, Vundo (notify)

C:\WinLogon\HGDBX.DLL --> Eliminado, Vundo (notify)

Instalada Utilidad "ELINOTIF.DLL"

EliNotify v1.7.02.19 (c)2006 S.G.H. / Satinfo S.L.

---------------------------------------------------

Lista de Acciones:

Detectado Vundo

Elininada KEY "Winlogon\Notify\hgdbx"

Elininado BHO: "{4A25933A-6366-42C5-9EEE-B3A4B760D1B7}"

Elininada Class: "{4A25933A-6366-42C5-9EEE-B3A4B760D1B7}"

Desinstalado EliNotif.dll

Wed Feb 21 19:37:28 2007

EliStartPage v13.36 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Key Eliminada [WinLogon\Notify\HGDBX] -> C:\WINDOWS\SYSTEM32\HGDBX.DLL

C:\WINDOWS\SYSTEM32\HGDBX.DLL --> Vundo (notify) Acceso Denegado.

C:\WINDOWS\SYSTEM32\HGDBX.DLL --> Vundo (notify) Acceso Denegado.

C:\WINDOWS\SYSTEM32\XBDGH.ini --> Eliminado (Fichero Complementario).

Eliminada Class, "{9A3E9286-ECFF-4735-A61A-D96AABC25315}" -> C:\WINDOWS\system32\hgdbx.dll

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Wed Feb 21 19:37:57 2007

EliStartPage v13.36 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\Documents and Settings\Juanma\Escritorio\Fk2 2006\Salvapantallas (De los mejores que existen en internet)\SALVAPANTALLAS.EXE --> AutoExtraible

C:\Documents and Settings\Juanma\Mis documentos\Mis archivos recibidos\CHINESE_PALACES_RUS.EXE --> AutoExtraible

Instalada Utilidad "ELINOTIF.DLL"

EliNotify v1.7.02.19 (c)2006 S.G.H. / Satinfo S.L.

---------------------------------------------------

Lista de Acciones:

Detectado Vundo

Elininada KEY "Winlogon\Notify\hgdbx"

Elininado BHO: "{9A3E9286-ECFF-4735-A61A-D96AABC25315}"

Elininada Class: "{9A3E9286-ECFF-4735-A61A-D96AABC25315}"

Desinstalado EliNotif.dll

Wed Feb 21 19:56:03 2007

EliStartPage v13.36 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Key Eliminada [WinLogon\Notify\HGDBX] -> C:\WINDOWS\SYSTEM32\HGDBX.DLL

C:\WINDOWS\SYSTEM32\HGDBX.DLL --> Vundo (notify) Acceso Denegado.

C:\WINDOWS\SYSTEM32\HGDBX.DLL --> Vundo (notify) Acceso Denegado.

C:\WINDOWS\SYSTEM32\XBDGH.ini --> Eliminado (Fichero Complementario).

Eliminada Class, "{AEF60097-25DB-4A5A-8852-310978822899}" -> C:\WINDOWS\system32\hgdbx.dll

Mon Feb 26 15:25:57 2007

EliStartPage v13.40 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Key Eliminada [WinLogon\Notify\HGDBX] -> C:\WINDOWS\SYSTEM32\HGDBX.DLL

C:\WINDOWS\SYSTEM32\HGDBX.DLL --> Vundo (notify) Acceso Denegado.

C:\WINDOWS\SYSTEM32\HGDBX.DLL --> Vundo (notify) Acceso Denegado.

C:\WINDOWS\SYSTEM32\XBDGH.ini --> Eliminado (Fichero Complementario).

C:\WINDOWS\SYSTEM32\XBDGH.ini2 --> Eliminado (Fichero Complementario).

C:\WINDOWS\SYSTEM32\XBDGH.tmp --> Eliminado (Fichero Complementario).

Entrada Eliminada [HKLM\...\Run] "DllRunning"="rundll32.exe "C:\WINDOWS\system32\sgxbumnm.dll",setvm"

Eliminada Class, "{7BE90EA6-FAFA-4F50-B0CC-0F89D2DFDCB1}" -> C:\WINDOWS\system32\hgdbx.dll

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Mon Feb 26 15:26:37 2007

EliStartPage v13.40 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\Archivos de programa\Photodex\ProShowProducer\DSHOW.EXE --> Eliminado, NavHelper (BHO)

C:\WINDOWS\system32\TUJVPK.VIR --> Eliminado, DownLoader.AXI(Busky)

Instalada Utilidad "ELINOTIF.DLL"

EliNotify v1.7.02.19 (c)2006 S.G.H. / Satinfo S.L.

---------------------------------------------------

Lista de Acciones:

Detectado Vundo

Elininada KEY "Winlogon\Notify\hgdbx"

Desinstalado EliNotif.dll

Aunque debo deciros una cosa, es que me vuelven a salir las mismas ventanas porque para llegar a mandaros este mensaje he tenido que cerrarlas en varias ocasiones, os digo de las páginas web indeseables que me salen sin solicitarlas... gracias por todo, debo deciros otra cosa, si es muy complicado el borrar este troyano porque como me dijisteis anteriormente posiblemente se regenere solo, debo formatear o espero a vuestras instrucciones...

Mensaje por **msc hotline sat** » 26 Feb 2007, 18:18

Justamente los esfuerzos que hacemos es para no tener que formatear !

Si con la version 13.40 persiste el problema, mire de utilizarla arrancando en modo seguro, y tras lanzar el ELISTARA arranca normalmente, asi hasta cuatro veces, que es el numero critico del VUNDO, por no cambiar el nombre del fichero en dicho momento y poder conocerlo para matarlo...

Es que algunos VUNDO son mucho VUNDO !!!

saludos

ms, 26-02-2007

Gevorín · Mensaje por **Gevorín** » 27 Feb 2007, 01:19

No era uno de estos dos archivos .dll, que te mandé los que estaban infectados por el VUNDO?, como podríamos saber donde está?, yo tampoco quiero formatear, creo que ya es una cosa de ganas que le tengo al troyano ese, gracias de nuevo, sigo con tus instrucciones repetiré la operación hasta cuatro veces seguidas a ver que pasa...

Mensaje por **msc hotline sat** » 27 Feb 2007, 06:53

Sí, pero es que los hay malditos... y por ello utilizamos el ELINOTIF, DLL que instalamos en el registro para que podamos eliminar los malwares antes de que se pongan en marcha (ni arrancando en modo seguro se evita!) pero si tras ello, nos cambian la DLL que utilizan, no conseguimos nuestro proposito, hasta que utiliza el mismo nombre (es como una puerta trasera, pues sino ni ellos mismos podrian) y acabamos con él. Quien persevera, logra :lol:

Hacen todo lo posible para que se regeneren y persistan por mas que se haga, y piensa que los que los hacen son lo que quieras, pero no tontos !

Incluso muchas veces nos sacamos el sombrero (chapeau !!!) por su ingenio, aunque no sea aplicado como debiera ...

Insiste que este VIRTUAL MUNDO tiene las horas contadas :lol:

saludos

ms, 27-02-2007

Gevorín · Mensaje por **Gevorín** » 28 Feb 2007, 00:20

Ya he encendido el pc cuatro veces en el modo de prueba, y he pasado las cuatro veces el ELISTARA, pero nada, esto sigue igual, lo que sí, he de decirte que el antivirus panda instalado después de que me entrara el VUNDO, me notifica que hay un archivo infectado que se llama "orirrswp.dll", y que se trata de un virus publicitario, que es precisamente lo que me pasa a mí, no se que hacer ya..., gracias por todo de nuevo, espero noticias tuyas...

Internet Exprorer, ¡problemas!...

Internet Exprorer, ¡problemas!...

cuidado puede ser un virus!

ya he pasado el ELISTARA...

resultado

respuesta...

no lo entiendo...

mensaje enviado...

problema con un virus

aquí está lo que me pedisteis...

pregunta...

hecho lo dicho...