virus VUNDO y downloader.con hook

cmc · Mensaje por **cmc** » 05 Sep 2007, 02:10

Hola, necesito ayuda por favor, para eliminar el vundo y el downloader.con hook, le he tirado todo lo que tengo a mano pero nada consigo, siguen ahí. Tenía una tonelada de otros virus y espias pero parece que logré eliminarlos, pero para estos dos es necesaria la ayuda de expertos. Gracias de antemano. Aquí les pego el log:

Logfile of HijackThis v1.99.1

Scan saved at 20:01:59, on 04-09-2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16512)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\ARCHIV~1\Grisoft\AVGFRE~1\avgamsvr.exe

C:\ARCHIV~1\Grisoft\AVGFRE~1\avgupsvc.exe

C:\ARCHIV~1\Grisoft\AVGFRE~1\avgemc.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\ARCHIV~1\Grisoft\AVGFRE~1\avgcc.exe

C:\WINDOWS\system32\pctspk.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Archivos de programa\Mozilla Firefox\firefox.exe

C:\ARCHIV~1\WINZIP\winzip32.exe

C:\Documents and Settings\Privado\Configuración local\Temp\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.com

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Archivos de programa\Windows Live Toolbar\msntb.dll

O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Archivos de programa\Yahoo!\Companion\Installs\cpn0\yt.dll

O4 - HKLM\..\Run: [AVG7_CC] C:\ARCHIV~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP

O4 - HKLM\..\Run: [PCTVOICE] pctspk.exe

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

O4 - HKLM\..\Run: [SystemRestoreStatus] rundll32.exe "C:\WINDOWS\system32\xchsgbgl.dll",sitypnow

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Archivos de programa\Archivos comunes\Adobe\Calibration\Adobe Gamma Loader.exe

O8 - Extra context menu item: &Windows Live Search - res://C:\Archivos de programa\Windows Live Toolbar\msntb.dll/search.htm

O8 - Extra context menu item: Sothink SWF Catcher - C:\Archivos de programa\Archivos comunes\SourceTec\SWF Catcher\InternetExplorer.htm

O9 - Extra button: Sothink SWF Catcher - {E19ADC6E-3909-43E4-9A89-B7B676377EE3} - C:\Archivos de programa\Archivos comunes\SourceTec\SWF Catcher\InternetExplorer.htm

O9 - Extra 'Tools' menuitem: Sothink SWF Catcher - {E19ADC6E-3909-43E4-9A89-B7B676377EE3} - C:\Archivos de programa\Archivos comunes\SourceTec\SWF Catcher\InternetExplorer.htm

O9 - Extra button: Flash Decompiler SWF Capture tool - {86B4FC19-8FA4-4FD3-B243-9AEDB42FA2D5} - C:\WINDOWS\system32\shdocvw.dll (HKCU)

O9 - Extra 'Tools' menuitem: Flash Decompiler SWF Capture tool menu - {86B4FC19-8FA4-4FD3-B243-9AEDB42FA2D5} - C:\WINDOWS\system32\shdocvw.dll (HKCU)

O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Archivos de programa\Yahoo!\Common\yinsthelper.dll

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\ARCHIV~1\Grisoft\AVGFRE~1\avgamsvr.exe

O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\ARCHIV~1\Grisoft\AVGFRE~1\avgupsvc.exe

O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\ARCHIV~1\Grisoft\AVGFRE~1\avgemc.exe

O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Archivos de programa\Archivos comunes\Macromedia Shared\Service\Macromedia Licensing.exe

O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing)

O23 - Service: ScsiAccess - Unknown owner - C:\Archivos de programa\Photodex\ProShowGold\ScsiAccess.exe

Mensaje por **msc hotline sat** » 05 Sep 2007, 04:41

Posiblemente tenga relacion con lo que lanza esta clave:

O4 - HKLM\..\Run: [SystemRestoreStatus] rundll32.exe "C:\WINDOWS\system32\xchsgbgl.dll",sitypnow

Pruebe el ELISTARA:

ELISTARA:

http://www.zonavirus.com/descargas/elistara.asp

Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso

y si no lo detectara ni pidiera muestras, envienos este fichero C:\WINDOWS\system32\xchsgbgl.dll lanzado en dicha clave.

->~~[b]~~ Para ello recordar[/b]: https://foros.zonavirus.com/viewtopic.php?f=2&t=45334

saludos

ms, 5-09-2007

cmc · Mensaje por **cmc** » 06 Sep 2007, 20:52

Hola, gracias por responder, perdona la demora pero ayer no pude entrar al sitio porque había un baner que no me permitía hacerlo, así que tuve que recurrir a mis precarios conocimientos y otras herramientas para eliminar el vundo y el downloader. El baner decía que se me negaba el acceso al foro, ayer tenía como IP otra distinta a la que tengo hoy (del mismo proveedor) ????, sería producto del virus vundo, downloader o alguien secuestro mi pc?. De todas maneras ya no se inicia sola la ventana que quería instalarme el win antivirus Pro 2007. Hoy le he pasado el ELISTARA como me piden y detectó el NIRCMD.EXE y lo eliminó, también tengo desde hace dos o tres dias atrás una carpeta que apareció sola en C: Winlogon que contiene el archivo SSQRS.DLL de 290k creada el 4-09-2007, ayer había otro archivo junto al ssqrs.dll creo que era tuvwvut.dll pero ya fué elimado este último archivo, En win32 también hay un archivo winlogon de 493k creada el 18-08-2004 version 5.1.2600.2180, cual elimino?. Ahora estoy también enviando el archivo xchsgbgl.dll solicitado . Aqui le dejo el log del ELISTARA, gracias de antemano por la ayuda.

Thu Sep 06 14:10:19 2007

EliStartPage v14.58 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Detectado AUTORUN.INF en la Unidad (G)

open= Aoesetup.exe

Si Desconoce la Aplicación, por favor envienosla

acompañada del AUTORUN.INF a "virus@satinfo.es". Gracias.

Thu Sep 06 14:10:58 2007

EliStartPage v14.58 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\WINDOWS\NIRCMD.EXE --> Eliminado, Tool-NirCmd

Thu Sep 06 14:20:31 2007

EliStartPage v14.58 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad D:\

:P

Mensaje por **msc hotline sat** » 06 Sep 2007, 21:44

No elimines nada ! Maximo envianos estos ficheros sopechosos y los analizaremos

saludos

ms, 6-09-2007

Mensaje por **msc hotline sat** » 07 Sep 2007, 14:04

Pues analizadas las muestras enviadas, hemos encontrado dos VUNDOS nuevos, uno del tipo VUNDO 6, que requerirá el nuevo ELISTARA 14.60 de hoy y el ELINOTIF, y otro nuevo desconocido, que tambien pasamos a controlar con diocha nueva version

A partir de las 19 h GMT descarga dichas utilidades y pruebalas:

[quote]

ELISTARA:

http://www.zonavirus.com/descargas/elistara.asp

ELINOTIF.DLL

http://www.zonavirus.com/descargas/elinotif.asp

Descargar los dos en una misma carpeta y probar el ELISTARA, tras lo cual reiniciar para terminar la eliminacion y luego postearnos el contenido de C:\infosat.txt para ver el resultado del proceso

[/quote]

saludos

ms, 7-09-2007

cmc · Mensaje por **cmc** » 07 Sep 2007, 22:41

Hola, que bien, felictaciones a todo el equipo, bueno ya hice lo indicado, bajé los dos archivos a una carpeta, corrí el elistara y milagro, virus detectado y borrado. Gracias, muchas gracias amigos, los buenos siempre ganan. Aqui va el log:

Fri Sep 07 16:09:01 2007

EliStartPage v14.60 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Detectado AUTORUN.INF en la Unidad (G)

open= Aoesetup.exe

Si Desconoce la Aplicación, por favor envienosla

acompañada del AUTORUN.INF a "virus@satinfo.es". Gracias.

Fri Sep 07 16:09:26 2007

EliStartPage v14.60 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\Muestras\SSQRS.DLL.MUESTRA ELISTARTPAGE V14.57 --> Eliminado, Vundo6(notify)

C:\Muestras\SSQRS.DLL.MUESTRA ELISTARTPAGE V14.58 --> Eliminado, Vundo6(notify)

C:\Muestras\TUVWVUT.DLL.MUESTRA ELISTARTPAGE V14.57 --> Eliminado, DownLoader.ConHook(notify)

C:\Muestras\TUVWVUT.DLL.MUESTRA ELISTARTPAGE V14.58 --> Eliminado, DownLoader.ConHook(notify)

C:\WINDOWS\system32\XCHSGBGL.DLL --> Eliminado, Vundo

C:\WinLogon\SSQRS.DLL --> Eliminado, Vundo6(notify)

Fri Sep 07 16:19:02 2007

EliStartPage v14.60 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad D:\

Mensaje por **lucl** » 08 Sep 2007, 08:10

nos alegramos se haya solucionado , vuelve cuando quieras, saludos

SOLUCIONADO

virus VUNDO y downloader.con hook

virus VUNDO y downloader.con hook

virus vundo y downloader conhook

Virus vundo