Vundo, virtumonde, geedd.dll en Windows 2003 S (SOLUCIONADO)

[skytwins]

Desde hace mas de un mes estoy manteniendo a mi servidor en una semi "cuarentena" ya que fue infectado con este spyware (vundo) desconozco como fue que logró infiltrarse.

He leido muchos foros acerca de este problema, y me di con la sorpresa de que no es nuevo sino que desde el 2005 viene causando problemas. Por eso me es raro tambien saber que muchos antispywares no tengan herramientas para limpiar o desinfectar este spyware, ni siquiera el McAfee (el que llevamos usando por mas de 5 años) logra saber que esta ahi, y si lo sabe pues simplemente no hace nada.

En casi todos los foros que he leido se dan trucos para deshacerse de este problema pero el 100% son en plataforma Windows XP y no he encontrado como hacerlo en Windows 2003 Server. Esta bien arraigado el archivo geedd.dll al parecer al sistema operativo.

Incluso le pasé el Hijackthis pero sin embargo no me muestra la linea del:

...Winlogon..notify...c:\windows\system32\geedd.dll

pero si lo veo en el registro y en la carpeta system32.



Hace unas horas segun recomendacion de este foro trate de pasarle el ELISTARA pero casi me quedo sin empleo ya que mi servidor se colgó y encima me salio la pantalla azul de la muerte con un fallo en el Winlogon, menos mal que pude restaurarlo a la Ultima configuración buena conocida y me salvó el pellejo.

Desearía saber si hay una solución para mi servidor 2003 server para quitarle esta "basura" o es que tendré que instalar todo de nuevo (cosa que la verdad no quisiera hacer porque me tomará todo un día instalar, afinar la red y los clientes para tener todo a punto)

Gracias por la ayuda que pudiera recibir.

Este es el log del Hijackthis:



******************************************

Logfile of HijackThis v1.99.1

Scan saved at 16:06:05, on 07/06/2007

Platform: Windows 2003 SP2 (WinNT 5.02.3790)

MSIE: Internet Explorer v6.00 SP2 (6.00.3790.3959)



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\system32\Dfssvc.exe

C:\WINDOWS\System32\dns.exe

C:\WINDOWS\System32\svchost.exe

C:\Archivos de programa\Archivos comunes\McAfee\Common Framework\FrameworkService.exe

C:\Archivos de programa\McAfee\VirusScan Enterprise\VsTskMgr.exe

C:\ARCHIV~1\MICROS~1\MSSQL\binn\sqlservr.exe

C:\WINDOWS\system32\ntfrs.exe

C:\Archivos de programa\O&K Print Watch\WatchSrv.exe

C:\WINDOWS\system32\HPZipm12.exe

C:\WINDOWS\System32\wins.exe

C:\WINDOWS\system32\tcpsvcs.exe

C:\Archivos de programa\McAfee\ProtectionPilot\1.5.0\EVENTPARSER.EXE

C:\Archivos de programa\Archivos comunes\System\MSSearch\Bin\mssearch.exe

C:\Archivos de programa\McAfee\ProtectionPilot\1.5.0\NAIMSERV.EXE

C:\ARCHIV~1\MICROS~1\MSSQL\binn\sqlagent.exe

C:\Archivos de programa\McAfee\ProtectionPilot\1.5.0\srvmon.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\dmadmin.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\hpnra.exe

C:\Archivos de programa\Archivos comunes\McAfee\Common Framework\UdaterUI.exe

C:\Archivos de programa\McAfee\VirusScan Enterprise\SHSTAT.EXE

C:\WINDOWS\system32\ctfmon.exe

C:\Archivos de programa\Archivos comunes\McAfee\Common Framework\McTray.exe

C:\Archivos de programa\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe

C:\WINDOWS\system32\mmc.exe

C:\hijackthis\HijackThis.exe



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O4 - HKLM\..\Run: [HP Network Registry Agent] C:\WINDOWS\system32\hpnra.exe

O4 - HKLM\..\Run: [McAfeeUpdaterUI] "C:\Archivos de programa\Archivos comunes\McAfee\Common Framework\UdaterUI.exe" /StartedFromRunKey

O4 - HKLM\..\Run: [ShStatEXE] "C:\Archivos de programa\McAfee\VirusScan Enterprise\SHSTAT.EXE" /STANDALONE

O4 - HKLM\..\Run: [PrevxOne] "C:\Archivos de programa\Prevx1\PXConsole.exe"

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [HijackThis startup scan] C:\hijackthis\HijackThis.exe /startupscan

O4 - Global Startup: Administrador de servicios.lnk = C:\Archivos de programa\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1176758251328

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab

O16 - DPF: {FE51720F-7298-4F31-A6C1-5CD010BE2296} (Access Protection Configuration Helper) - http://srvnt01:82/Data/VIRUSCAN8600/Locale/apconfig.cab

O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = lasamericas.com

O17 - HKLM\Software\..\Telephony: DomainName = lasamericas.com

O17 - HKLM\System\CCS\Services\Tcpip\..\{6A35ADC3-43FC-4B55-BE78-67EAEACF402E}: NameServer = 192.168.1.1

O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = lasamericas.com

O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = lasamericas.com

O17 - HKLM\System\CS3\Services\Tcpip\Parameters: Domain = lasamericas.com

O23 - Service: Analizador de eventos de McAfee ProtectionPilot 1.5.0 (EVENTPARSER150) - Network Associates, Inc. - C:\Archivos de programa\McAfee\ProtectionPilot\1.5.0\EVENTPARSER.EXE

O23 - Service: McAfee Framework Service (McAfeeFramework) - Unknown owner - C:\Archivos de programa\Archivos comunes\McAfee\Common Framework\FrameworkService.exe" /ServiceStart (file missing)

O23 - Service: McAfee McShield (McShield) - McAfee, Inc. - C:\Archivos de programa\McAfee\VirusScan Enterprise\Mcshield.exe

O23 - Service: McAfee Task Manager (McTaskManager) - McAfee, Inc. - C:\Archivos de programa\McAfee\VirusScan Enterprise\VsTskMgr.exe

O23 - Service: Servidor de McAfee ProtectionPilot 1.5.0 (NAIMSERV150) - Network Associates, Inc. - C:\Archivos de programa\McAfee\ProtectionPilot\1.5.0\NAIMSERV.EXE

O23 - Service: O&K Print Watch Service - Unknown owner - C:\Archivos de programa\O&K Print Watch\WatchSrv.exe

O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

O23 - Service: Prevx Agent (PREVXAgent) - Unknown owner - C:\Archivos de programa\Prevx1\PXAgent.exe" -f (file missing)

[skytwins]

A proposito antes de que mi servidor 2003 se colgará con la pantalla azul esto fue lo que se grabó en el LOG:

PD: estoy enviando la muestra del geedd.dll que detectó el Elistara.



Thu Jun 07 12:38:15 2007

EliStartPage v14.14 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

[WinLogon\Notify\GEEDD]

Por favor, envienos una muestra del fichero

C:\WinLogon\GEEDD.DLL

a "virus@satinfo.es". Gracias.

Por favor, envienos una muestra del fichero

C:\Muestras\GEEDD.DLL.Muestra EliStartPage v14.14

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\GEEDD.DLL --> Acceso Denegado.

C:\WINDOWS\SYSTEM32\DDEEG.ini --> Eliminado (Fichero Complementario).

Eliminada Class, "{CD3447D4-CA39-4377-8084-30E86331D74C}" -> C:\WINDOWS\system32\crchxjvo.dll

Eliminada Class, "{D651AFF4-9590-424D-BD1E-8E33E090DFB3}" -> C:\WINDOWS\system32\wlykernt.dll

Eliminada Class, "{296A1CF4-8BF8-421D-9634-18AF7F6E0A0F}" -> C:\WINDOWS\system32\geedd.dll

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Thu Jun 07 12:40:52 2007

EliStartPage v14.14 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\Aplicaciones\Telecredito\Instaladores\Consulta de Saldos\P2SSQL.DLL --> Eliminado, Puper-Is



Thu Jun 07 12:49:45 2007

EliStartPage v14.14 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

Exploración Detenida por el Usuario.

Instalada Utilidad "ELINOTIF.DLL"



Thu Jun 07 12:50:34 2007

EliStartPage v14.14 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Por favor, envienos una muestra del fichero

C:\Muestras\GEEDD.DLL.Muestra EliStartPage v14.14

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\GEEDD.DLL --> Acceso Denegado.

C:\WINDOWS\SYSTEM32\DDEEG.ini --> Eliminado (Fichero Complementario).

Eliminada Class, "{296A1CF4-8BF8-421D-9634-18AF7F6E0A0F}" -> C:\WINDOWS\system32\geedd.dll

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Instalada Utilidad "ELINOTIF.DLL"



EliNotify v1.7.05.15 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones:

Detectado Vundo

Elininada KEY "Winlogon\Notify\geedd"

Desinstalado EliNotif.dll

[skytwins]

El log anterior es de antes de que reiniciara el servidor y se colgara.

Lamentablemente sigo con la misma plaga ya que reinicié con la ultima configuración buena conocida y es que el servidor colapsó cuando el Elistara modificó algunas claves en el registro.

¿Es que acaso se podrá limpiar esta plaga o no de mi servidor?

Maestros ayudenme porfavor.

[msc hotline sat]

De momento envienos el fichero que se le pide:



Por favor, envienos una muestra del fichero

C:\Muestras\GEEDD.DLL.Muestra EliStartPage v14.14





->[b] Para ello recordar[/b]: https://foros.zonavirus.com/viewtopic.php?f=2&t=45334



Y cuando la recibamos, la analizaremos y pasaremos a implementar su control y eliminacion en nuestras utilidades, de lo cual informaremos



saludos



ms, 8-06-2007

[msc hotline sat]

La muestra enviada ha sido identificada como variante del VUNDO 6 e implementado su control y eliminacion en el ELSTARA 14.15 DE HOY, QUE ESTARA DISPONIBLE PARA EVALUACION A PARTIR DE LAS 20 H GMT



saludos



ms, 8-06-2007

[skytwins]

Hola Msc, gracias por el tiempo que siempre nos dedicas. Solo queria recordarte que la plaga esa del "vundo" lo tengo en un SERVIDOR y brindo servicios a mas de 20 usuarios. ¿Será posible que esta nueva versión del Elistara no me deje colgado el Servidor como la primera vez? el caos que se originaria porque manejo una base de datos y tengo muchas carpetas compartidas entre varios usuarios. Gracias nuevamente por tu ayuda.

[msc hotline sat]

No es el ELISTARA el que ha "colgado" el Servidor, porque si asi fuera tendriamos a mas de 500.000 usuarios "ahorcados"



Pero haz dos cosas, primero elimina los temporales desde el I.E., entrando en Herramientas - Opciones de Internet y en "General" eliminar temporales



y segundo, arranca en modo seguro para pasar el ELISTARA asi no habrña ningun residente que pueda colisionar con él.



Creo que no te lo dejó colgado, sino que los temporales a veces tardan en poderse eliminar, o que algun otro residente molestaba.



Lo que sea, asi aseguras el tiro



saludos



ms, 8-06-2007

[skytwins]

Hola Msc, quizás usé mal el termino "colgado" la verdad es que la primera vez que pasé el Elistara, inmediatamente reinicié mi servidor y durante el booteo me apareció una pantalla azul ("pantalla de la muerte") y un mensaje que hacia alusión al Winlogon y se quedó allí colgado. A lo mejor por alguna modificación en el registro y el Sistema operativo colapsó, por eso volví a la Antigua configuración buena conocida, sino no tenia manera de levantar mi servidor. Gracias.

[msc hotline sat]

Se expresó muy bien. lo que pasa es que a veces el tiempo de limpueza de temporales da la sensacion de que se ha colgado mientras hace lo que puede...



Lo que puede ser es que cortar un proceso a medias deje "tonto" al mas listo, incluido el ordenador, por esto lo de eliminar antes temporales y demas



Cuentanos el resultado, gracias



saludos



ms, 8-06-2007



nota: ante un marrón asi, en la duda procedería decir que hicieras cualquier otra cosa, pero es que no tenemos dudas sobre el ELISTARA, mas bien de la conyuntura, pero tu mismo. ms.

[skytwins]

No podia sacar el log completo con el Hijackthis 1.99 pero me bajé la version 2(beta) y aqui esta el log de mi Servidor 2003 Server, a ver ¿hay algo mas de raro?



Logfile of Trend Micro HijackThis v2.0.0 (BETA)

Scan saved at 11:05:33, on 08/06/2007

Platform: Windows 2003 SP2 (WinNT 5.02.3790)

Boot mode: Normal



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\system32\Dfssvc.exe

C:\WINDOWS\System32\dns.exe

C:\WINDOWS\System32\svchost.exe

C:\Archivos de programa\Archivos comunes\McAfee\Common Framework\FrameworkService.exe

C:\Archivos de programa\McAfee\VirusScan Enterprise\VsTskMgr.exe

C:\ARCHIV~1\MICROS~1\MSSQL\binn\sqlservr.exe

C:\WINDOWS\system32\ntfrs.exe

C:\Archivos de programa\O&K Print Watch\WatchSrv.exe

C:\WINDOWS\system32\HPZipm12.exe

C:\Archivos de programa\Prevx1\PXAgent.exe

C:\WINDOWS\System32\wins.exe

C:\WINDOWS\system32\tcpsvcs.exe

C:\Archivos de programa\McAfee\ProtectionPilot\1.5.0\EVENTPARSER.EXE

C:\Archivos de programa\Archivos comunes\System\MSSearch\Bin\mssearch.exe

C:\Archivos de programa\McAfee\ProtectionPilot\1.5.0\NAIMSERV.EXE

C:\ARCHIV~1\MICROS~1\MSSQL\binn\sqlagent.exe

C:\Archivos de programa\McAfee\ProtectionPilot\1.5.0\srvmon.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\dmadmin.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\hpnra.exe

C:\Archivos de programa\Archivos comunes\McAfee\Common Framework\UdaterUI.exe

C:\Archivos de programa\McAfee\VirusScan Enterprise\SHSTAT.EXE

C:\Archivos de programa\Prevx1\PXConsole.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Archivos de programa\Archivos comunes\McAfee\Common Framework\McTray.exe

C:\Archivos de programa\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe

C:\Archivos de programa\McAfee\VirusScan Enterprise\Mcshield.exe

C:\hijackthis\HiJackThis_v2.exe



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: (no name) - {2942DE54-9107-488A-A87A-955C801D2DE8} - C:\WINDOWS\system32\geedd.dll

O2 - BHO: Malicious Scripts Scanner - {55EA1964-F5E4-4D6A-B9B2-125B37655FCB} - C:\Documents and Settings\All Users\Datos de programa\Prevx\pxbho.dll

O2 - BHO: (no name) - {5996A8B5-020F-4EFC-9D32-9A1136515032} - (no file)

O2 - BHO: (no name) - {BAD263C7-B253-43D9-A1F7-25A1010E24E2} - (no file)

O2 - BHO: (no name) - {E12BFF69-38A7-406e-A8EF-2738107A7831} - (no file)

O4 - HKLM\..\Run: [HP Network Registry Agent] C:\WINDOWS\system32\hpnra.exe

O4 - HKLM\..\Run: [McAfeeUpdaterUI] "C:\Archivos de programa\Archivos comunes\McAfee\Common Framework\UdaterUI.exe" /StartedFromRunKey

O4 - HKLM\..\Run: [ShStatEXE] "C:\Archivos de programa\McAfee\VirusScan Enterprise\SHSTAT.EXE" /STANDALONE

O4 - HKLM\..\Run: [PrevxOne] "C:\Archivos de programa\Prevx1\PXConsole.exe"

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [HijackThis startup scan] C:\hijackthis\HijackThis.exe /startupscan

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICIO LOCAL')

O4 - HKUS\S-1-5-19\..\RunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe (User 'SERVICIO LOCAL')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Servicio de red')

O4 - HKUS\S-1-5-20\..\RunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe (User 'Servicio de red')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\S-1-5-18\..\RunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O4 - HKUS\.DEFAULT\..\RunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe (User 'Default user')

O4 - Global Startup: Administrador de servicios.lnk = C:\Archivos de programa\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe

O15 - ESC Trusted Zone: http://*.adromana

O15 - ESC Trusted Zone: http://*.srvnt01

O15 - ESC Trusted Zone: http://mysite.webroot.com

O15 - ESC Trusted Zone: http://*.windowsupdate.com

O15 - ESC Trusted IP range: http://192.168.1.254

O15 - ESC Trusted IP range: http://192.168.1.11

O15 - ESC Trusted IP range: http://192.168.1.14

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1176758251328

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab

O16 - DPF: {FE51720F-7298-4F31-A6C1-5CD010BE2296} (Access Protection Configuration Helper) - http://srvnt01:82/Data/VIRUSCAN8600/Locale/apconfig.cab

O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = lasamericas.com

O17 - HKLM\Software\..\Telephony: DomainName = lasamericas.com

O17 - HKLM\System\CCS\Services\Tcpip\..\{6A35ADC3-43FC-4B55-BE78-67EAEACF402E}: NameServer = 192.168.1.1

O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = lasamericas.com

O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = lasamericas.com

O17 - HKLM\System\CS3\Services\Tcpip\Parameters: Domain = lasamericas.com

O20 - Winlogon Notify: geedd - C:\WINDOWS\system32\geedd.dll

O22 - SharedTaskScheduler: Precargador Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll

O22 - SharedTaskScheduler: Demonio de caché de las categorías de componente - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll

O23 - Service: Servicio del administrador de discos lógicos (dmadmin) - Unknown owner - C:\WINDOWS\System32\dmadmin.exe

O23 - Service: Servidor DNS (DNS) - Unknown owner - C:\WINDOWS\System32\dns.exe

O23 - Service: Registro de sucesos (Eventlog) - Unknown owner - C:\WINDOWS\system32\services.exe

O23 - Service: Analizador de eventos de McAfee ProtectionPilot 1.5.0 (EVENTPARSER150) - Network Associates, Inc. - C:\Archivos de programa\McAfee\ProtectionPilot\1.5.0\EVENTPARSER.EXE

O23 - Service: SSL de HTTP (HTTPFilter) - Unknown owner - C:\WINDOWS\System32\lsass.exe

O23 - Service: Centro de distribución de claves Kerberos (kdc) - Unknown owner - C:\WINDOWS\System32\lsass.exe

O23 - Service: McAfee Framework Service (McAfeeFramework) - McAfee, Inc. - C:\Archivos de programa\Archivos comunes\McAfee\Common Framework\FrameworkService.exe

O23 - Service: McAfee McShield (McShield) - McAfee, Inc. - C:\Archivos de programa\McAfee\VirusScan Enterprise\Mcshield.exe

O23 - Service: McAfee Task Manager (McTaskManager) - McAfee, Inc. - C:\Archivos de programa\McAfee\VirusScan Enterprise\VsTskMgr.exe

O23 - Service: MSSQLSERVER - Unknown owner - C:\ARCHIV~1\MICROS~1\MSSQL\binn\sqlservr.exe

O23 - Service: Servidor de McAfee ProtectionPilot 1.5.0 (NAIMSERV150) - Network Associates, Inc. - C:\Archivos de programa\McAfee\ProtectionPilot\1.5.0\NAIMSERV.EXE

O23 - Service: Inicio de sesión en red (Netlogon) - Unknown owner - C:\WINDOWS\system32\lsass.exe

O23 - Service: Servicio de replicación de archivos (NtFrs) - Unknown owner - C:\WINDOWS\system32\ntfrs.exe

O23 - Service: Proveedor de compatibilidad con seguridad LM de Windows NT (NtLmSsp) - Unknown owner - C:\WINDOWS\system32\lsass.exe

O23 - Service: O&K Print Watch Service - Unknown owner - C:\Archivos de programa\O&K Print Watch\WatchSrv.exe

O23 - Service: Plug and Play (PlugPlay) - Unknown owner - C:\WINDOWS\system32\services.exe

O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

O23 - Service: Servicios IPSEC (PolicyAgent) - Unknown owner - C:\WINDOWS\system32\lsass.exe

O23 - Service: Prevx Agent (PREVXAgent) - Prevx - C:\Archivos de programa\Prevx1\PXAgent.exe

O23 - Service: Almacenamiento protegido (ProtectedStorage) - Unknown owner - C:\WINDOWS\system32\lsass.exe

O23 - Service: Administrador de sesión de Ayuda de escritorio remoto (RDSessMgr) - Unknown owner - C:\WINDOWS\system32\sessmgr.exe

O23 - Service: Conjunto resultante de proveedor de directivas (RSoPProv) - Unknown owner - C:\WINDOWS\system32\RSoPProv.exe

O23 - Service: Administrador de cuentas de seguridad (SamSs) - Unknown owner - C:\WINDOWS\system32\lsass.exe

O23 - Service: Cola de impresión (Spooler) - Unknown owner - C:\WINDOWS\system32\spoolsv.exe

O23 - Service: Registros y alertas de rendimiento (SysmonLog) - Unknown owner - C:\WINDOWS\system32\smlogsvc.exe

O23 - Service: Servicio de disco virtual (vds) - Unknown owner - C:\WINDOWS\System32\vds.exe

O23 - Service: Instantáneas de volumen (VSS) - Unknown owner - C:\WINDOWS\System32\vssvc.exe

O23 - Service: Adaptador de rendimiento de WMI (WmiApSrv) - Unknown owner - C:\WINDOWS\system32\wbem\wmiapsrv.exe



--

End of file - 11492 bytes

[msc hotline sat]

No es este log el que importa sino el infosat.txt generado por el ELISTARA, donde veremos lo que detecta, lo que ya elimina, lo que es sospechoso, etc



El HJT solo muestra ficheros por nombre y los nombres no implican su contenido, en cambio el ELISTARA busca por cadenas, dentro del fichero, y eso es lo que cuenta.



Por ejemplo este C:\WINDOWS\system32\geedd.dll tiene pinta de ser malware, por estar en la carpeta de sistema y no ser del sistema operativo, pero quien nos dira lo que procede hacer con él es el ELISTARA.



saludos



ms, 8-06-2007

[skytwins]

Hola Msc aqui para comunicarte algo curioso que sucedió pero que a las finales se pudo solucionar y se eliminó la plaga.

Corrí el Elistara en mi Servidor, inmediatamente lo reinicié.

Pero el sistema no pudo bootear, ya que se reiniciaba automaticamente y no me mostraba la pantalla de logon.

Asi que apelé nuevamente a entrar al menu del booteo con F8, ahí seleccioné "Restaurar sistema a la ultima configuración buena conocida" porque era la unica manera de entrar nuevamente a mi servidor, asi lo hice y de pronto Eureka! pude eliminar el geedd.dll y me di cuenta que ya no estaba amarrado a ningun otro modulo del sistema operativo y tal parece que se limpió del Vundo.

La verdad no se que pasó pero se solucionó gracias a Dios y a ustedes. Gracias por su ayuda.

Dar por solucionado este tema.

Ahi envio el Log:



Fri Jun 08 17:54:10 2007

EliStartPage v14.15 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Key Eliminada [WinLogon\Notify\GEEDD] -> C:\WINDOWS\SYSTEM32\GEEDD.DLL

C:\WINDOWS\SYSTEM32\GEEDD.DLL --> Vundo6(notify) Acceso Denegado.

C:\WINDOWS\SYSTEM32\GEEDD.DLL --> Vundo6(notify) Acceso Denegado.

C:\WINDOWS\SYSTEM32\DDEEG.ini --> Eliminado (Fichero Complementario).

Entrada Eliminada [HKLM\...\Run] "Msconfig"=""C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe" /auto"

Eliminada Class, "{245C7A0D-A7E5-41BC-B3A1-F3B0822B1CCB}" -> C:\WINDOWS\system32\geedd.dll

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Instalada Utilidad "ELINOTIF.DLL"



EliNotify v1.7.05.15 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones:

Detectado Vundo

Elininada KEY "Winlogon\Notify\geedd"

Elininado BHO: "{245C7A0D-A7E5-41BC-B3A1-F3B0822B1CCB}"

Elininada Class: "{245C7A0D-A7E5-41BC-B3A1-F3B0822B1CCB}"

Desinstalado EliNotif.dll

[msc hotline sat]

[url=http://forum.telecharger.01net.com][img]http://forum.telecharger.01net.com/data/units/microhebdo/smilies/65.gif[/img][/url]





Pues lo celebramos, y dando el Tema por solucionado, procedemos a cerrarlo.



Si nos necesita de nuevo, ya sabe donde estamos



saludos



ms,12 de Junio de 2007