infectado por vundo y honok

attreyhu · Mensaje por **attreyhu** » 28 Feb 2007, 14:21

Hola buenas he pasado el elistara. y ha pillado cuatro cosillas,de las cuales una no la ha podido eliminar dice que reinicie para su eliminacion y que baje el elinotit.dll. pero aun asi no lo elimina. me ha dejado un log y lo voy a pegar aqui vale.

el problema es que el pc va muy lento, se abren paginas y he pasado el spyboot en modo a prueba de errores, el ad.adware se y el virusscan de mcaffe. y pilla mas de 9 virus que los elimina pero cuando los vuelvo a pasar al rato vuelve a pillar los mismos. se me resisten jejej

Wed Feb 28 13:06:52 2007

EliStartPage v13.42 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Key Eliminada [WinLogon\Notify\TUVTUSR] -> C:\WINDOWS\SYSTEM32\TUVTUSR.DLL

Por favor, envienos una muestra del fichero

C:\Muestras\JKHFC.DLL.Muestra EliStartPage v13.42

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\JKHFC.DLL --> Acceso Denegado.

C:\WINDOWS\SYSTEM32\TUVTUSR.DLL --> DownLoader.ConHook (notify) Acceso Denegado.

C:\WINDOWS\SYSTEM32\TUVTUSR.DLL --> DownLoader.ConHook (notify) Acceso Denegado.

C:\WINDOWS\SYSTEM32\CFHKJ.ini --> Eliminado (Fichero Complementario).

Entrada Eliminada [HKLM\...\Run] "Msconfig"="C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto"

Eliminada Class, "{C47A9554-195A-4769-9B13-04F15B450A39}" -> C:\WINDOWS\system32\tuvtusr.dll

Eliminada Class, "{E544C575-B1A5-4B20-8D6E-5567781F7C9F}" -> C:\WINDOWS\system32\jkhfc.dll

Eliminada Carpeta "%WinSys%\LogFiles"

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Wed Feb 28 13:07:44 2007

EliStartPage v13.42 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\Archivos de programa\Canon\Easy-PhotoPrint\BJEZPINF.DLL --> Eliminado, PromulGate

C:\Archivos de programa\DVD Decrypter\UNINSTALL.EXE --> AutoExtraible

C:\Archivos de programa\PowerISO\UNINSTALL.EXE --> AutoExtraible

C:\Archivos de programa\Spybot - Search & Destroy\BLINDMAN.EXE --> Eliminado, PWS-Lineage

C:\Archivos de programa\XviD\UNINSTXVID.EXE --> AutoExtraible

C:\Documents and Settings\Jose\Mis documentos\cosas mias\SETUPS\FOTOSRETOQUES.EXE --> AutoExtraible

C:\Documents and Settings\Jose\Mis documentos\cosas mias\SETUPS\SETUPDVDDECRYPTER_3.5.4.0.EXE --> AutoExtraible

C:\Documents and Settings\Jose\Mis documentos\cosas mias\SETUPS\XP CODEC PACK 2.0.4.EXE --> AutoExtraible

C:\Documents and Settings\Jose\Mis documentos\cosas mias\SETUPS\XVID_INSTALL.EXE --> AutoExtraible

C:\Documents and Settings\Jose\Mis documentos\cosas mias\SETUPS\PROGRAMAS TORRENT\BITTORNADO-0.3.14A-W32INSTALL.EXE --> AutoExtraible

C:\WINDOWS\system32\CBXXWTS.DLL --> Eliminado, DownLoader.ConHook (notify)

No Detectada Utilidad "ELINOTIF.DLL" (Necesaria para la Limpieza)

Wed Feb 28 13:19:56 2007

EliStartPage v13.42 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

[WinLogon\Notify\JKHFC]

Por favor, envienos una muestra del fichero

C:\WinLogon\JKHFC.DLL

a "virus@satinfo.es". Gracias.

Key Eliminada [WinLogon\Notify\TUVTUSR] -> C:\WINDOWS\SYSTEM32\TUVTUSR.DLL

Por favor, envienos una muestra del fichero

C:\Muestras\JKHFC.DLL.Muestra EliStartPage v13.42

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\JKHFC.DLL --> Acceso Denegado.

C:\WINDOWS\SYSTEM32\TUVTUSR.DLL --> DownLoader.ConHook (notify) Acceso Denegado.

C:\WINDOWS\SYSTEM32\TUVTUSR.DLL --> DownLoader.ConHook (notify) Acceso Denegado.

C:\WINDOWS\SYSTEM32\CFHKJ.ini --> Eliminado (Fichero Complementario).

Eliminada Class, "{C47A9554-195A-4769-9B13-04F15B450A39}" -> C:\WINDOWS\system32\tuvtusr.dll

Eliminada Class, "{C2DC34B2-7713-4FF8-8095-0755E10A92AD}" -> C:\WINDOWS\system32\jkhfc.dll

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Instalada Utilidad "ELINOTIF.DLL"

Wed Feb 28 13:20:42 2007

EliStartPage v13.42 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Key Eliminada [WinLogon\Notify\TUVTUSR] -> C:\WINDOWS\SYSTEM32\TUVTUSR.DLL

Por favor, envienos una muestra del fichero

C:\Muestras\JKHFC.DLL.Muestra EliStartPage v13.42

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\JKHFC.DLL --> Acceso Denegado.

C:\WINDOWS\SYSTEM32\TUVTUSR.DLL --> DownLoader.ConHook (notify) Acceso Denegado.

C:\WINDOWS\SYSTEM32\TUVTUSR.DLL --> DownLoader.ConHook (notify) Acceso Denegado.

C:\WINDOWS\SYSTEM32\CFHKJ.ini --> Eliminado (Fichero Complementario).

Eliminada Class, "{C47A9554-195A-4769-9B13-04F15B450A39}" -> C:\WINDOWS\system32\tuvtusr.dll

Eliminada Class, "{C2DC34B2-7713-4FF8-8095-0755E10A92AD}" -> C:\WINDOWS\system32\jkhfc.dll

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Wed Feb 28 13:20:52 2007

EliStartPage v13.42 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\Archivos de programa\DVD Decrypter\UNINSTALL.EXE --> AutoExtraible

alguien me ayuda porfavor.

attreyhu · Mensaje por **attreyhu** » 28 Feb 2007, 14:24

he vuelto a pasar el elistara, como me dijo el programa (se limpiara en el siguiente reinicio) pero nada....vuelve a salir. y me dice que no se ha podido limpiar.

su nombre completo es:

TUVTUSR.DLL ->Downloader.ConHook(notify)

Mensaje por **lucl** » 28 Feb 2007, 15:31

Hola mira de enviarnos esto que pide el elistara

Por favor, envienos una muestra del fichero

C:\Muestras\JKHFC.DLL.Muestra EliStartPage v13.42

a "virus@satinfo.es". Gracias.

y este si tienes la ruta completa envianoslo tambien

TUVTUSR.DLL ->Downloader.ConHook(notify

pues como ves te dice acceso denegado , a ver si pudieras enviarles muestras.

y aunque instalaste elinotfill no dice haberlo eliminado por lo que pueden ir por ahi los tiros. te recuerdo

https://foros.zonavirus.com/viewtopic.php?f=2&t=45334

saludos

attreyhu · Mensaje por **attreyhu** » 28 Feb 2007, 16:12

VALE LO HARE...

pero me ha dado problemas ahora el pc. me dice que no tengo conexion a internet. nuevo hardware encontrado controladora de red FDDI. Y no se que drivers meterle...tienes idea tu de esto? estoy desde el ordeandor de mi hermano, pero el mio ya ves .....

que es eso de contraladora de re FDDI

donde puedo encontrar los drivers?

ayudame porfavor

Nuker · Mensaje por **Nuker** » 28 Feb 2007, 16:40

~~[b]~~Fiber Distributed Data Interface (FDDI)[/b]

[quote]El estándar Fiber Distributed Data Interface (FDDI) opera a una velocidad de 100Mbps usando cable de fibra óptica: FDDI es frecuentemente usada con una tecnología Backbone de alta velocidad porque esta soporta mayores anchos de banda y grandes distancias en comparación al cobre.[/quote]

[u]Fuente[/u]:(http://es.wikipedia.org/wiki/Fiber_Distributed_Data_Interface)

Mira si no conectaste un nuevo cable (para una conexion) en tu PC, si es asi, por default la maquina te pedira una configuracion y con eso un Driver para poder funcionar, mencionas que la maquina es de tu hermano, preguntale sobre esta nueva conexion, o bien localiza el cable y desconectalo dejando el de antes, o deshabilita la nueva conexion (eliminala) y activa la otra.

Esto lo haces en Inicio\Conectar a\Mis conexiones...

Mensaje por **msc hotline sat** » 28 Feb 2007, 16:55

Sí, como indica lucl conviene que nos envies

TUVTUSR.DLL que está en la carpeta de sistema, y parece ser rebelde...

De todas maneras, prueba lanzar de nuevo el ELISTARA pero arrancando en modo seguro y luego reinicias en modo normal, a ver si sigue resistiendo, y nos lo comentas

saludos

ms, 28-02-2007

Mensaje por **msc hotline sat** » 28 Feb 2007, 17:00

Aparte, creemos que despues que el ELISTARA instala el ELINOTIF, NO HAS REINICIADO, y solo has vuelto a lanzar el ELISTARA, y eso no es suficiente.

Despues que el ELISTARA instala el ELINOTIF se debe arrancar en modo normal para que este pueda hacer su faena...

saludos

ms, 28-02-2007

sino, debería aparecer el informe del ELINOTIF y el mesaje de su desinstalacion ...

attreyhu · Mensaje por **attreyhu** » 28 Feb 2007, 17:29

lo estoy intentado, pero estoy conectandome desde otro ordenador con mi conexion a internet. porque mi ordenador se ha quedado sin internet. y hace cosas muy raras, el antivirus se ha desactivado, y me dice que faltan las contraladores de red FDDI.

No tengo maneras de que se conecte a internet.he restaurado el sistema al 26 de febrero y me salio eso de un nuevo hardware ....pero no se que controladores me pide.

le estoy pasando un scandisk ahora mismo para ver si se soluciona. no se que mas hacer estoy desesperado.

Mensaje por **msc hotline sat** » 28 Feb 2007, 17:41

Para lo indicado no hace falta que esté tenga internet, se baja las utilidades en otro y las copia en una carpeta de este, luego, eso si, las ejecuta en este segun indicado

saludos

ms, 28-02-2007

attreyhu · Mensaje por **attreyhu** » 28 Feb 2007, 19:12

ya os he manadado la muestra.

es normal que no tenga internet¿

que el antivirus mio se haya desactivado y me diga que no esta el activeshield?

no entiendo que trojano mas cabron joe.

Mensaje por **msc hotline sat** » 01 Mar 2007, 11:20

Analizada la muestra resulta ser un DNS CHANGE que pasamos a controlar con el ELISTARA de hoy 13.44 y que podrás descargar para evaluar a partir de las 2 h GMT

ELISTARA:

http://www.zonavirus.com/descargas/elistara.asp

Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso

Pero lo demas que indicas, desactivacion de los residentes de seguridad y demas, como que hay mucho Bagle suelto, con nuevas variantes a diario, baja ahora el actual ELIBAGLA y pruebalo:

ELIBAGLA:

http://www.zonavirus.com/descargas/elibagla.asp

y como siempre nos posteas el infosat resultante

saludos

ms, 1-03-2007