Estoy infectado por el Bloodhound.Exploit.6 (solucionado)

[cole20]

Hola a tod@s.



Soy uno más de los infectados por el dichoso Bloodhound.Exploit.6.



He dado varias vueltas por la red y sólo he encontrado mecanismos para evitar la infección... pero ya estoy infectado.



Os agradecería alguna información de como matar a este bicho.



Muchas gracias.

[maura63]

Consulta este link



https://foros.zonavirus.com/viewtopic.php?p=9302#9302





Saludos

maura63

[cole20]

Muchas gracias por la respuesta, pero continuo teniendo el virus.



Concretamente actualizado Windows y he reiniciado el ordenador, pero Norton me lo continua detectando sin poder repararlo.



Creo que maura63 hace alguna referencia a desactivar la opción "restaurar" antes de pasar el antivirus, pero no tengo ni puñetera idea de como hacerlo.



Gracias

[maura63]

Si utilizamos windows XP ó ME tendremos que desactivar restaurar sistema, de lo contrario no surtiran efecto los cambios o eliminaciones que se produzcan durante el scaneo del sistema.

Para ello en el escritorio boton secundario del mousse, se abrira una ventana pinchamos en la que pone Restaurar, al abrirse marcaremos la casilla desactivar restaurar sistema, aplicamos y aceptamos.



Despues de esto apagamos el equipo y encendemos pulsando repetidas veces la tecla F8, aparecera una pantalla en negro con varias opciones.Selecciona modo seguro y pasa tu antivirus.



Y no te olvides de conectar con windows update y actualizar tu sistema operativo.





Saludos

maura63

[cole20]

Hola de nuevo maura63.



-He activado la casilla "desactivar restauración" en sistema

-He reiniciado con F8

-He seleccionado "Modo seguro"

-Se ha reiniciado el ordenador a prueba de fallos

-He pasado el Norton



... y continua estando el Bloodhound.



Debe de ser de la familia de las tarántulas, que no se matan ni con piedras ni con palos.



Gracias por tu tiempo y paciencia

[maura63]

Mientras que no instales el parche que te falta seguiras con el problema.

Tienes que actualizar tu sistema operativo instalando el parche que te falta.



Te falta este parche ms04-013 instalalo.



http://www.microsoft.com/en/us/default.aspxtechnet/security/bulletin/ms04-013.mspx



una vez instalado , luego reinicias y pasas el antivirus y caso resuelto.



Saludos

maura63

[cole20]

Hola de nuevo maura63.



Si después de este intento no me funciona, me rindo y no os molesto más.



He intentado bajar el parche que me indicas pero no ha habido manera.



Tengo la versión de Outlo0k Express 6.00.2800.1123, y después de intentar bajarme los parches de todas las versiones indicadas en la web (la más parecida que he visto ha sido la 6.0.2800.1168), o bien me indica que no tengo esa versión (lógico) o bien me indica, cuando intento ejecutarlo que "NO ES UNA APLICACION WIN32 VALIDA".



Gracias

[caito]

Acá tienes info :

http://infonoticias.net/modules.php?name=News&file=article&sid=2161

Salu2

Caito

[cole20]

Hola caito.



Muchas gracias, pero he intentado buscar manualmente (con el buscador de archivos) los archivos que se indican en el link para borrarlos, y no me los localiza.



Muchas gracias por tu interés

[cañera]

tienes adsl?

si fuera asi pasale un antivirus on line en a modo seguro con funcion de red,puede ser falsa alarma de tu antivirus.



en ese link encontraras tres.

entras de la misma manera que te dijo maura63 pero escoges en el menu que te aparece despues de pulsar repetidas veces F8 esta opcion.

cuentanos ocmo te fue.

[maura63]

Mientras no consiga instalar el parche ms04-013 seguira con el problema.



Saludos

maura63





PD. intentalo entrando en windouws update o de este link



http://www.microsoft.com/en/us/default.aspxtechnet/security/bulletin/ms04-013.mspx

[Pesimista]

:) hola a todos soy nuevo en el foro y siento poner de moda otra vez este post , pero he leido el post de cole20 y me he sentido muy identificado con su situacion, he echo todo lo que poneis aqui escepto lo de deshabilitar el reinicio del sistema ha un estado anterior y parece que ya no me sale , pero como dice mi nombre estoy preocupado y un poco pesimista , yo tengo el norton y me lo detectó sin embargo despues de scanear el PC ya no lo volvio ha identificar.



Mi pregunta es si el norton ya no lo ve, quiere decir que ya no estoy infectado?

Y

Si el norton lo detecta avisandome quiere decir que evita que me infecte?



El parche de que hablais no hay dios que se lo pueda bajar lo he leido en otros foros y ha todo el mundo le pasa lo mismo.



Conclusion que ahora mismo no se si lo tengo o no



Lo que me gustaria saber tambien es si hay alguna manera de identificarlo en el registro para saber si lo tengo o no seguro



Bueno gracias de antemano y si averiguo algo lo publicare :wink:

[Pesimista]

:o hola otra vez



Se me habia olvidao tambien he echo lo que pone en la pagina:



http://infonoticias.net/modules.php?name=News&file=article&sid=2161



y no me sale por eso preguntaba si habia otra forma de identificarlo en el registro



gracias a todos

[Smaug]

Wenas noches. Soy nuevo en el foro. Saludos a tod@s :) Hace un rato el norton me a detectado el susodicho bloodhound.exploit.6 en la carpeta de archivos temporales y, como bien sabreis, no permite eliminarlo. Los parches no funcionan (error win32). Os agradeceria que me dijeseis que funcion tiene este virus (spy, extraccion de archivos...) , el puerto por el que aztua y como se puede cerrar, y ante todo como se puede eliminar y como se pueden desinfectar los archivos que aya podido infectar (en caso de que se extienda por el sistema). Y tambien saber si los posibles archivos infectados seran detectados por el norton, ya que no detecta el virus en sí.

muchas gracias. :wink:

[caito]

Info de symantec :

http://securityresponse.symantec.com/avcenter/venc/data/downloader.trojan.html

Otra posibilidad es usar el Hijack This para ver donde se aloja el trojano y tratar de eliminarlo.

salu2

Caito

[Smaug]

Wenas de nuevo. e pasado el hijack this y me a salido una lista, pero no se kual puede ser, si eske aparece ahi :cry:

os la paso:



Logfile of HijackThis v1.97.7

Scan saved at 15:55:17, on 30/08/2004

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\SYSTEM32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSetMgr.exe

C:\WINDOWS\Explorer.EXE

c:\Archivos de programa\Norton Personal Firewall\NISUM.EXE

C:\Archivos de programa\Archivos comunes\Symantec Shared\ccEvtMgr.exe

C:\windows\system\hpsysdrv.exe

C:\Archivos de programa\HP\Digital Imaging\Unload\hpqcmon.exe

C:\WINDOWS\System32\hphmon05.exe

C:\HP\KBD\KBD.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe

c:\Archivos de programa\Norton Personal Firewall\ccPxySvc.exe

C:\Archivos de programa\Norton AntiVirus\navapsvc.exe

C:\Archivos de programa\Norton AntiVirus\SAVScan.exe

C:\WINDOWS\system32\ZoneLabs\vsmon.exe

C:\Archivos de programa\Telefónica\Kit ADSL USB\CnxDslTb.exe

C:\WINDOWS\ALCXMNTR.EXE

C:\WINDOWS\System32\MsPMSPSv.exe

C:\Archivos de programa\Messenger Plus! 3\MsgPlus.exe

C:\Archivos de programa\Winamp\winampa.exe

C:\Archivos de programa\CyberLink\PowerDVD\PDVDServ.exe

C:\Archivos de programa\Telefonica\KitAIM\AimMon.exe

C:\Archivos de programa\HP\Digital Imaging\bin\hpqtra08.exe

C:\Archivos de programa\Zone Labs\ZoneAlarm\zapro.exe

C:\Archivos de programa\OpenOffice.org1.0.1\program\soffice.exe

C:\Archivos de programa\Winamp\winamp.exe

C:\Archivos de programa\Messenger\msmsgs.exe

C:\Archivos de programa\MSN Messenger\msnmsgr.exe

C:\Archivos de programa\Internet Explorer\iexplore.exe

C:\Documents and Settings\Propietario\Escritorio\HijackThis.exe



R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://qes9.hpwis.com/

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://srch-qes9.hpwis.com/

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://qes9.hpwis.com/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://qes9.hpwis.com/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://srch-qes9.hpwis.com/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll

O2 - BHO: (no name) - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Archivos de programa\Norton AntiVirus\NavShExt.dll

O3 - Toolbar: Barra de Herramientas MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Archivos de programa\MSN Toolbar\01.01.1601.0\es\msntb.dll

O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Archivos de programa\Norton AntiVirus\NavShExt.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O4 - HKLM\..\Run: [hpsysdrv] c:\windows\system\hpsysdrv.exe

O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe

O4 - HKLM\..\Run: [CamMonitor] c:\Archivos de programa\HP\Digital Imaging\Unload\hpqcmon.exe

O4 - HKLM\..\Run: [HPHUPD05] c:\Archivos de programa\HP\{45B6180B-DCAB-4093-8EE8-6164457517F0}\hphupd05.exe

O4 - HKLM\..\Run: [HPHmon05] C:\WINDOWS\System32\hphmon05.exe

O4 - HKLM\..\Run: [KBD] C:\HP\KBD\KBD.EXE

O4 - HKLM\..\Run: [UpdateManager] "C:\Archivos de programa\Archivos comunes\Sonic\Update Manager\sgtray.exe" /r

O4 - HKLM\..\Run: [Recguard] C:\WINDOWS\SMINST\RECGUARD.EXE

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet /keeploaded /nodetect

O4 - HKLM\..\Run: [VTTimer] VTTimer.exe

O4 - HKLM\..\Run: [ccApp] "C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe"

O4 - HKLM\..\Run: [PS2] C:\WINDOWS\system32\ps2.exe

O4 - HKLM\..\Run: [ccRegVfy] "c:\Archivos de programa\Archivos comunes\Symantec Shared\ccRegVfy.exe"

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [CnxDslTaskBar] "C:\Archivos de programa\Telefónica\Kit ADSL USB\CnxDslTb.exe"

O4 - HKLM\..\Run: [AgenteADSL_15] C:\Archivos de programa\Telefonica\KitAIM\AimExDll.exe AimGestA.dll 5

O4 - HKLM\..\Run: [AlcxMonitor] ALCXMNTR.EXE

O4 - HKLM\..\Run: [Realtime Audio Engine] mmrtkrnl.exe

O4 - HKLM\..\Run: [MessengerPlus3] "C:\Archivos de programa\Messenger Plus! 3\MsgPlus.exe"

O4 - HKLM\..\Run: [msnappau] "C:\Archivos de programa\MSN Apps\Updater\01.02.0002.1001\es\msnappau.exe"

O4 - HKLM\..\Run: [WinampAgent] C:\Archivos de programa\Winamp\winampa.exe

O4 - HKLM\..\Run: [RemoteControl] C:\Archivos de programa\CyberLink\PowerDVD\PDVDServ.exe

O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Archivos de programa\Archivos comunes\Symantec Shared\Security Center\UsrPrmpt.exe

O4 - HKCU\..\Run: [NVIEW] rundll32.exe nview.dll,nViewLoadHook

O4 - HKCU\..\Run: [Acme.PCHButton] C:\ARCHIV~1\PRESAR~1\Presario\XPHWWRP4\plugin\bin\PCHButton.exe

O4 - HKCU\..\Run: [Symantec NetDriver Monitor] C:\ARCHIV~1\SYMNET~1\SNDMon.exe

O4 - Startup: OpenOffice.org 1.0.1.lnk = C:\Archivos de programa\OpenOffice.org1.0.1\program\quickstart.exe

O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Archivos de programa\HP\Digital Imaging\bin\hpqtra08.exe

O4 - Global Startup: ZoneAlarm Pro.lnk = C:\Archivos de programa\Zone Labs\ZoneAlarm\zapro.exe

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present

O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Control Panel present

O9 - Extra 'Tools' menuitem: Consola de Sun Java (HKLM)

O9 - Extra button: Investigador (HKLM)

O9 - Extra button: Mujer Activa (HKLM)

O9 - Extra button: Messenger (HKLM)

O9 - Extra 'Tools' menuitem: Messenger (HKLM)

O12 - Plugin for .mid: C:\Archivos de programa\Internet Explorer\PLUGINS\npqtplugin2.dll

O12 - Plugin for .mov: C:\Archivos de programa\Internet Explorer\PLUGINS\npqtplugin.dll

O12 - Plugin for .mp3: C:\Archivos de programa\Internet Explorer\PLUGINS\npqtplugin3.dll

O12 - Plugin for .mpeg: C:\Archivos de programa\Internet Explorer\PLUGINS\npqtplugin3.dll

O12 - Plugin for ôå: C:\Archivos de programa\Internet Explorer\PLUGINS\npqtplugin4.dll

O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab28177.cab

O16 - DPF: {10ABC6DB-E091-4EAE-98DD-21B5A2460714} (DetInstaller Class) - http://www.pandasoftware.es/avchecker/controles/AvDetInst.cab

O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab30149.cab

O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://fpdownload.macromedia.com/get/shockwave/cabs/director/sw.cab

O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab28177.cab

O16 - DPF: {3ECF916F-A5DE-4DD4-A142-B35A29DC2EDB} - http://www.dinerotica.com/download/1,2,1,0/cabdll.cab

O16 - DPF: {4B6015E7-3ABB-45DC-96B7-55A843751F28} (IntRuboskizo2 Class) - http://www.contenidospc.com/ruboskizo2.cab

O16 - DPF: {5F426A93-0821-47D2-A126-5A48A874B289} (DialerWeb Class) - http://212.145.159.194/251065/dialercab/WebRecomendada.cab

O16 - DPF: {73F0FD85-BD47-4A95-86D1-DE38860462C1} (PremiumHTML Class) - http://213.254.243.5/data/dialercab/IberoDialerHTML.cab

O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab28177.cab

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab

O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZIntro.cab30149.cab

O16 - DPF: {BD393C14-72AD-4790-A095-76522973D6B8} (CBreakshotControl Class) - http://messenger.zone.msn.com/binary/Bankshot.cab30149.cab

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab30149.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{7EA2F68F-EBA5-4565-B57C-34A51CD54093}: NameServer = --.--.--.-- --.--.-.--



en lo ultimo venian 2 ip, pero dada la mala experiencia ke tengo en el pasado de exponer ip al publico, prefiero no ponerla. lo siento, spero ke no os importe.



si me dijerais donde esta y kual debo eliminar os lo agradeceria muxisimo.



saludos!! :wink:

[Pesimista]

:) hola Smaug

Unos dos post mas arriba creo he publicado un web y otra persona tambien lo ha publicado explicando como funciona este bicho ,lo explica muy bien y como eliminarlo manualmente desde el registro identificando los archivos infectados y sus nombres solo tienes que buscar los nombres de los archivos y mirar en el registro si lo tienes, te explican el proceso .



yo ya lo he echo y no me aparecen ni los archivos ni en el registro las claves por lo que pienso que ya no estoy infectado de echo el norton ya no me lo detecta ni me da avisos antes lo hacia constantemente .



para xp la entrada que crea es esta:



HKLMSoftwareMicrosoftWindows NTCurrentVersionWinlogon

Shell = explorer.exe c:windowssystem32vxdmgr32.exe



o dependiendo del sistema:



HKEY_LOCAL_MACHINE

SOFTWARE

SARS



loa archivos que debes buscar y eliminar son:



[carpeta de inicio] undllw.exe

c:windowsdllreg.exe

c:windowssock64.dll

c:windowssystemload32.exe

c:windowssystemvxdmgr32.exe





Pero de todas formas es mejor pasar por el enlace y leerlo por que explica bien dependiendo del sistema que tengas como hacerlo.



http://infonoticias.net/modules.php?name=News&file=article&sid=2161



un saludo y espero que le valga a alguien a mi parece que me ha servido.



un saludo y gracias alos que participan en el foro :wink:

[Smaug]

De acuerdo. Muchas gracias Pesimista. puesto ke no aparecia ningun archivo de los ke abia, kreo ke voy a pasar del tema y olvidarme, ke kreo k no stoy infectao. mucho mejor asi. muchas gracias d nuevo. asta el proximo virus xDD :lol:

[caito]

Alguien que sepa más que yo te podrá ayudar con el log del Hijack This pero creo que tienes que eliminar ( fix ) varias entradas :

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://qes9.hpwis.com/

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://srch-qes9.hpwis.com/

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://qes9.hpwis.com/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://qes9.hpwis.com/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://srch-qes9.hpwis.com/

O16 - DPF: {3ECF916F-A5DE-4DD4-A142-B35A29DC2EDB} - http://www.dinerotica.com/download/1,2,1,0/cabdll.cab

O16 - DPF: {4B6015E7-3ABB-45DC-96B7-55A843751F28} (IntRuboskizo2 Class) - http://www.contenidospc.com/ruboskizo2.cab

O16 - DPF: {5F426A93-0821-47D2-A126-5A48A874B289} (DialerWeb Class) - http://212.145.159.194/251065/dialercab/WebRecomendada.cab

O16 - DPF: {73F0FD85-BD47-4A95-86D1-DE38860462C1} (PremiumHTML Class) - http://213.254.243.5/data/dialercab/IberoDialerHTML.cab

A ver que opinan los más " veteranos " del foro.

Salu2

Caito

[carolxsiempre]

Muy bien caito, creo que tienes la experiencia para saber que borrar y que no, está bien no te preocupes, muchas veces confundimos la seguridad y precaución con la paranoia de que siempre estamos infectados.



Basta con tener un antiespias instalado y actualizado y un buen antivirus, también actualizado, tener el sistema operativo actualizado, correrlos una vez por semana y listo, si creemos estar infectados por algo utilizar estas herramientas, buscar información sobre nuestra supuesta infección buscar las claves de registro y archivos creados de ser encontrados eliminarlos y si no los encontramos podemos descansar seguros que no tenemos infecciòn.



Saludos

Carolxsiempre

[Pesimista]

:lol: hola a todos

Quiero dar las gracias a todos los que participais asiduamente en el foro

y en especial a caito por publicar "el enlace "y por sus generosas aportaciones y al administrador del foro por publicar para todos tanta información util, en fin no es que sea un jabonero, simplemente es que me parece de buen nacido ser agradecido´.



GRACIAS :wink:

[carolxsiempre]

Asi es este es un foro en el cual colaboramos todos, y todos aprendemos un poco de quienes dan aportaciones valiosas, esperamos contar con las tuyas.





Saludos

Carolxsiempre

[caito]

Creo que todos estamos aprendiendo un poquito cada día y eso se logra con el aporte de todos los foreros : gracias :P

Salu2

Caito

[msc hotline sat]

Y llegando de vacaciones y encontrando abierto este tema, os recuerdo que es muy conveniente utilizar el buscador del foro para encontrar otros Temas del mismo asunto, como por ejemplo para el asunto de este Tema hay, entre otros:



https://foros.zonavirus.com/viewtopic.php?t=2082&highlight=bloodhound



el cual hay está cerrado por haber sido solucionado.



Con ello se gana tiempo al tener inmediata respuesta ONLINE del tema que nos afecta.



Considerando con ello solucionado este Tema, se dá por terminado y se cierra.



saludos



ms, 1-09-2004