Win32/TrojanDownloader.ConHook.NAC - No Puedo Dshacerme D El

[Atreyu]

Hola, porfavor podrian echarme la mano?, les agradeceria muchisimo por la ayuda... ando atorado y teniendo problemas, mi Nod32 detecto ese troyano pero no lo puedo elimiar, tambien dice Archivo qommklk.dll y algo de la aplicacion winlogon.exe. Lei en uno de estos foros sobre un usario al que ayudaron a deshacerse de ese troyano y estoy intentando seguir los pasos que le indicaron a el pero pues me acabo de registrar, por eso no he enviado las muestras que me pide, ademas cuando reinicio la maquina y se intenta usar el elinotif.dll me dice que no lo encuentra y se me pide que lo descargue aunque en realidad si lo tengo, esta en la misma carpeta que el ELISTARA.02032007 (asi tambien se llama la carpeta). No se que mas hacer... ayudenme a kitarme este dolor de cabeza porfavor.



Gracias de antemano...

[pablodgf]

Hola!



No desesperes!!!! :D



Bueno en este momento del día la mayoría de los users avanzados duermen :), asi que sólo te puedo preparar el camino para cuando lea algúno y te diga como seguir.



Según cuentas ya corriste el Elistara http://www.zonavirus.com/descargas/elistara.asp junto con el ELINOTIF.DLL http://www.zonavirus.com/descargas/elinotif.asp en la misma carpeta y te dice que no lo encuentra al ELINOTIF.DLL al reiniciar... se me ocurre que si pones el Elistara y el ELINOTIF.DLL directamente en el C:\ a ver si funciona... es una idea mía nomas :roll:



Bueno, también deverías descargar ELITRIIP http://www.zonavirus.com/descargas/elitriip.asp y correrlo



Según tengo entendido todo esto en MODO SEGURO! http://www.zonavirus.com/articulos/como-arrancar-en-modo-seguro-o-a-prueba-de-fallos.asp y Después muy importante postear los LOGS de ambos programas.



Y también si te está pidiendo que envíes muestras no olvides enviarlas https://foros.zonavirus.com/viewtopic.php?f=2&t=45334



Bueno es un comienzo, después te indican bien como seguir.



Saludos!

[msc hotline sat]

Pues veamos el contenido de c:\infosat.txt y podremos seguir



Posteenoslo en su proximo post, de respuesta a este, gracias



saludos



ms, 3-03-2007

[Atreyu]

Sat Mar 03 11:42:35 2007

EliStartPage v13.45 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\SYSTEM32\QOMMKLK.DLL --> DownLoader.ConHook (notify) Acceso Denegado.

Por favor, envienos una muestra del fichero

C:\Muestras\MLLML.DLL.Muestra EliStartPage v13.45

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\MLLML.DLL --> Acceso Denegado.

C:\WINDOWS\SYSTEM32\QOMMKLK.DLL --> DownLoader.ConHook (notify) Acceso Denegado.

C:\WINDOWS\SYSTEM32\QOMMKLK.DLL --> DownLoader.ConHook (notify) Acceso Denegado.

C:\WINDOWS\SYSTEM32\LMLLM.ini --> Eliminado (Fichero Complementario).

Entrada Eliminada [HKLM\...\Run] "Msconfig"="C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto"

Eliminada Class, "{0F01FF26-18F5-4613-BFD6-14DE2FBA24C3}" -> C:\WINDOWS\system32\qommklk.dll

Eliminada Class, "{B33C78EC-8D77-4F54-9351-EE8EB8E74546}" -> C:\WINDOWS\system32\mllml.dll

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Sat Mar 03 11:46:10 2007

EliStartPage v13.45 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\SYSTEM32\QOMMKLK.DLL --> DownLoader.ConHook (notify) Acceso Denegado.

Por favor, envienos una muestra del fichero

C:\Muestras\MLLML.DLL.Muestra EliStartPage v13.45

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\MLLML.DLL --> Acceso Denegado.

C:\WINDOWS\SYSTEM32\QOMMKLK.DLL --> DownLoader.ConHook (notify) Acceso Denegado.

C:\WINDOWS\SYSTEM32\QOMMKLK.DLL --> DownLoader.ConHook (notify) Acceso Denegado.

C:\WINDOWS\SYSTEM32\LMLLM.ini --> Eliminado (Fichero Complementario).

Eliminada Class, "{0F01FF26-18F5-4613-BFD6-14DE2FBA24C3}" -> C:\WINDOWS\system32\qommklk.dll

Eliminada Class, "{AAB11F3E-9EE5-4A9B-ACEC-5361E646DAA1}" -> C:\WINDOWS\system32\mllml.dll

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Sat Mar 03 11:46:17 2007

EliStartPage v13.45 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\Archivos de programa\LimeWire\UNINSTALL.EXE --> AutoExtraible

No Detectada Utilidad "ELINOTIF.DLL" (Necesaria para la Limpieza)





ESTO ES LO QUE ME SALIO EN EL BLOC DE NOTAS.

ME SIGUE SALIENDO EL MENSAJE KE EL ELINOTIF NO SE ENCUENTRA PERO ESTA EN LA MISMA CARPETA KE EL ELISTARA (EN C) Y KE ES NECESARIO PARA LA LIMPIEZA... PERO YA LO DESCARGUE Y ESTA AHI... KE HAGO?.

CUALES MUESTRAS LES ENVIO??... ME SALIERON DOS CARPETAS NUEVAS EN C, UNA KE DICE MUESTRAS Y OTRA KE DICE WINLOGON. EN MUESTRAS HAY: MLLML.DLL.Muestra EliStartPage v13.45. EN WINLOGON ESTA UN ARCHIVO CON ESTE NOMBRE: MLLML.DLL. ESAS DOS CARPETAS ENVIO??...

[Nuker]

Solo los 2 ficheros (no es necesaria toda la carpeta).





Prueba Eliminando Elistara y Elinotif.dll y vuelvetelos a descargar. (Los colocas ambos en el escritorio y ejecutas Elistara en Modo Seguro. Nos vuelves a pegar el log.



ELISTARA: http://www.zonavirus.com/descargas/elistara.asp



ELINOTIF.DLL:

http://www.zonavirus.com/descargas/elinotif.asp

[Atreyu]

Sat Mar 03 11:42:35 2007

EliStartPage v13.45 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\SYSTEM32\QOMMKLK.DLL --> DownLoader.ConHook (notify) Acceso Denegado.

Por favor, envienos una muestra del fichero

C:\Muestras\MLLML.DLL.Muestra EliStartPage v13.45

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\MLLML.DLL --> Acceso Denegado.

C:\WINDOWS\SYSTEM32\QOMMKLK.DLL --> DownLoader.ConHook (notify) Acceso Denegado.

C:\WINDOWS\SYSTEM32\QOMMKLK.DLL --> DownLoader.ConHook (notify) Acceso Denegado.

C:\WINDOWS\SYSTEM32\LMLLM.ini --> Eliminado (Fichero Complementario).

Entrada Eliminada [HKLM\...\Run] "Msconfig"="C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto"

Eliminada Class, "{0F01FF26-18F5-4613-BFD6-14DE2FBA24C3}" -> C:\WINDOWS\system32\qommklk.dll

Eliminada Class, "{B33C78EC-8D77-4F54-9351-EE8EB8E74546}" -> C:\WINDOWS\system32\mllml.dll

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Sat Mar 03 11:46:10 2007

EliStartPage v13.45 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\SYSTEM32\QOMMKLK.DLL --> DownLoader.ConHook (notify) Acceso Denegado.

Por favor, envienos una muestra del fichero

C:\Muestras\MLLML.DLL.Muestra EliStartPage v13.45

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\MLLML.DLL --> Acceso Denegado.

C:\WINDOWS\SYSTEM32\QOMMKLK.DLL --> DownLoader.ConHook (notify) Acceso Denegado.

C:\WINDOWS\SYSTEM32\QOMMKLK.DLL --> DownLoader.ConHook (notify) Acceso Denegado.

C:\WINDOWS\SYSTEM32\LMLLM.ini --> Eliminado (Fichero Complementario).

Eliminada Class, "{0F01FF26-18F5-4613-BFD6-14DE2FBA24C3}" -> C:\WINDOWS\system32\qommklk.dll

Eliminada Class, "{AAB11F3E-9EE5-4A9B-ACEC-5361E646DAA1}" -> C:\WINDOWS\system32\mllml.dll

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Sat Mar 03 11:46:17 2007

EliStartPage v13.45 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\Archivos de programa\LimeWire\UNINSTALL.EXE --> AutoExtraible

No Detectada Utilidad "ELINOTIF.DLL" (Necesaria para la Limpieza)



Sat Mar 03 12:32:22 2007

EliStartPage v13.45 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\SYSTEM32\QOMMKLK.DLL --> DownLoader.ConHook (notify) Acceso Denegado.

Por favor, envienos una muestra del fichero

C:\Muestras\MLLML.DLL.Muestra EliStartPage v13.45

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\MLLML.DLL --> Acceso Denegado.

C:\WINDOWS\SYSTEM32\QOMMKLK.DLL --> DownLoader.ConHook (notify) Acceso Denegado.

C:\WINDOWS\SYSTEM32\QOMMKLK.DLL --> DownLoader.ConHook (notify) Acceso Denegado.

C:\WINDOWS\SYSTEM32\LMLLM.ini --> Eliminado (Fichero Complementario).

Eliminada Class, "{0F01FF26-18F5-4613-BFD6-14DE2FBA24C3}" -> C:\WINDOWS\system32\qommklk.dll

Eliminada Class, "{AAB11F3E-9EE5-4A9B-ACEC-5361E646DAA1}" -> C:\WINDOWS\system32\mllml.dll

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Sat Mar 03 12:32:30 2007

EliStartPage v13.45 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\Archivos de programa\LimeWire\UNINSTALL.EXE --> AutoExtraible

No Detectada Utilidad "ELINOTIF.DLL" (Necesaria para la Limpieza)





NADA, YA LOS PUSE EN EL ESCRITORIO LOS DOS Y TODAVIA DICE KE NO LO ENCUENTRA... ES UN ARCHIVO DE 25KILOS VERDAD??... SU ICONO NO ES IGUAL AL DE LOS ELITRIP Y EL ELISTARA, VERDAD??. KE DEBO HACER?

ESTOY POR ENVIARLES LOS ARCHIVOS MUESTRA.

[Atreyu]

TAMBIEN DESCARGUE UN .ZIP CON EL NOMBRE "hijackthis" DEBO USARLO PARA ALGO??... NO LO HE ABIERTO NI NADA. ESTOY TRABAJANDO EN MODO SEGURO Y DESHABILITE LO DE RECUPERACION DE SISTEMA.

[lucl]

hola atreyu mete elinotfill en la misma carpeta que elistara, y luego ejecutas elistara y lo pasas, son complementarios y han de estar juntos en la misma carpeta, luego peganos el log, saludos

[Atreyu]

Ya les he enviado los archivos muestra: MLLML.DLL (extension de aplicacion) y MLLML.DLL.Muestra EliStartPage v13.45 (Archivo 45).



lucl... tampoco funciono eso ke me dijiste ke hiciera... alguna otra opcion??... me sigue diciendo ke no se encentra el EliNotif.

[lucl]

y si pruebas ejecutarlo en el escritorio? lo estas intentando pasar en modo seguro? porque no funciona, debes hacerlo en modo normal, no obstante prueba lo del escritorio, y nos cuentas, saludos

[Atreyu]

nada... tampoco funciona poniendo los dos en el escritorio... ya lo habia intentado... lo volvi a hacer y tampoco, ni en modo seguro ni en modo normal.



sigo con el qommklk.dll y eso de codigo malicioso Win32/TrojanDownloader.ConHook.NAc...



porfavor porfavor... escuchenme jejeje... realmente necesito la ayuda... no lo logro kitar mi mayor problema es ke no se si el elistara debe ejecutarse estando en modo seguro o en modo normal y tampoco se porke diablos el elinotif no se puede usar (sigue diciendo ke no lo encuentra) si si esta en la misma ubicacion que el elistara...



¿ALGUNA OTRA OPCION?... ¿QUE DEBO HACER??

[Nuker]

[quote]sigo con el qommklk.dll [/quote]



Localize el archivo y envielo para su neutralizacion, siga la ruta que le muestra el antivirus y llegue hasta el, en caso que no lo encuentre desoculte los ficheros.



Dentro de MiPc/Herramientas/Opciones de Carpeta/Ver/Mostrar todos los archivos y carpetas ocultos/Aplicar/Aceptar.




[quote]porfavor porfavor... escuchenme jejeje... realmente necesito la ayuda[/quote]

Lo sabemos pero si ya envio los ficheros solo queda esperar a la actualizacion de Elistara y Elinotif.dll para la completa eliminacion...El lunes obtendra la nueva version. Saludos.

[Atreyu]

ok, ok... enviare una copia (muestra) de ese archivo.

Pero aun esta el detalle de ke no se corre el elinotif porke dice ke no esta en la misma ubicacion pero sin embargo si lo esta.



Enviare el archivo y esperare al lunes. Espero ke podamos resolver todo y tambien lo de ke se pueda correr el elinotif.



Grax Grax por todo.

[Atreyu]

ULTIMA PREGUNTA DE HOY...



¿COMO ARRANCO LA CONSOLA DE RECUPERACION??... EL MENSAJE ME DICE KE AHI PUEDO SACAR UNA MUESTRA PARA ENVIAR DEL QOMMKLK.DLL...

[Nuker]

Para Iniciar la Consola de recuperación:



1-Inserte el disco compacto (CD) de instalación y reinicie el equipo.

2-Cuando se inicie la parte de texto del programa de instalación, siga las indicaciones; para elegir la opción de reparar o recuperar, presione R.

3-Cuando se le indique, escriba la contraseña de Administrador.





Necesitara el Disco de instalacion de XP







----------------------------------------------------------

**En el símbolo del sistema, escriba comandos de la Consola de recuperación; escriba help para obtener una lista de comandos o escriba help nombreDeComando para obtener ayuda acerca de un comando determinado.

**Para salir de la Consola de recuperación y reiniciar el equipo, escriba exit

[msc hotline sat]

Sobre lo que dice del ELINOTIF:



"Pero aun esta el detalle de ke no se corre el elinotif porke dice ke no esta en la misma ubicacion pero sin embargo si lo esta. "



Posiblemente se haya bajado mal. Descargue el lunes a partor de las 20 h GMT los dos, para que se haya incluido las modificaciones del día, y desde alli pruebe el ELISTARA y tras reiniciar deberá terminar la eliminacion, lo cual veremos en el c:\infosat.txt que le pedimos que postee



saludos



ms, 4-03-2007

[msc hotline sat]

Recibida su nueva muestra, se detecta variante de VUNDO que se añade a la version de hoy del ELISTARA 13.46, con el ELINOTIF actual



Estará disponible hoy a partir de las 20 h GMT, pruebelo y nos comenta el resultado, gracias



saludos



ms, 5-'3-2007