Spam cada vez que entro en una página (SOLUCIONADO)

mana · Mensaje por **mana** » 06 Nov 2007, 20:21

Ultimo log del HijackThis:

Logfile of HijackThis v1.99.1

Scan saved at 20:20:35, on 06/11/2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16544)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\windows\system\hpsysdrv.exe

C:\WINDOWS\system32\ps2.exe

C:\WINDOWS\system32\rundll32.exe

C:\Archivos de programa\Archivos comunes\InstallShield\UpdateService\issch.exe

C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe

C:\Archivos de programa\Java\jre1.6.0_03\bin\jusched.exe

C:\Archivos de programa\Adobe\Reader 8.0\Reader\Reader_sl.exe

C:\Archivos de programa\Messenger\msmsgs.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Archivos de programa\Archivos comunes\LightScribe\LSSrvc.exe

C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7Debug\mdm.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\WINDOWS\system32\wuauclt.exe

C:\Documents and Settings\Compaq_Propietario\Escritorio\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.es/

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Archivos comunes\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.6.0_03\bin\ssv.dll

O2 - BHO: (no name) - {77366598-CBB6-4BDF-866C-F80944502D09} - C:\WINDOWS\system32\gebcy.dll (file missing)

O4 - HKLM\..\Run: [hpsysdrv] c:\windows\system\hpsysdrv.exe

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet /keeploaded /nodetect

O4 - HKLM\..\Run: [Recguard] C:\WINDOWS\SMINST\RECGUARD.EXE

O4 - HKLM\..\Run: [PS2] C:\WINDOWS\system32\ps2.exe

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [ISUSPM Startup] C:\ARCHIV~1\ARCHIV~1\INSTAL~1\UPDATE~1\isuspm.exe -startup

O4 - HKLM\..\Run: [ISUSScheduler] "C:\Archivos de programa\Archivos comunes\InstallShield\UpdateService\issch.exe" -start

O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [TkBellExe] "C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Archivos de programa\Java\jre1.6.0_03\bin\jusched.exe"

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Archivos de programa\Adobe\Reader 8.0\Reader\Reader_sl.exe"

O4 - HKLM\..\Run: [381e09e3] rundll32.exe "C:\WINDOWS\system32\xkoyjfvi.dll",b

O4 - HKCU\..\Run: [MSMSGS] "C:\Archivos de programa\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [updateMgr] "C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_8 -reboot 1

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Archivos de programa\Archivos comunes\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office10\OSA.EXE

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office10\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_03\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_03\bin\ssv.dll

O9 - Extra button: Ayuda para la conexión - {E2D4D26B-0180-43a4-B05F-462D6D54C789} - C:\WINDOWS\PCHEALTH\HELPCTR\Vendors\CN=Hewlett-Packard,L=Cupertino,S=Ca,C=US\IEButton\support.htm

O9 - Extra 'Tools' menuitem: Ayuda para la conexión - {E2D4D26B-0180-43a4-B05F-462D6D54C789} - C:\WINDOWS\PCHEALTH\HELPCTR\Vendors\CN=Hewlett-Packard,L=Cupertino,S=Ca,C=US\IEButton\support.htm

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O11 - Options group: [INTERNATIONAL] International*

O16 - DPF: {67DABFBF-D0AB-41FA-9C46-CC0F21721616} (DivXBrowserPlugin Object) - http://download.divx.com/webplayer/stage6/windows/AutoDLDivXWebPlayerInstaller.cab

O16 - DPF: {7B297BFD-85E4-4092-B2AF-16A91B2EA103} (WScanCtl Class) - http://www3.ca.com/securityadvisor/virusinfo/webscan.cab

O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll

O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Archivos de programa\Archivos comunes\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Archivos de programa\Archivos comunes\LightScribe\LSSrvc.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

mana · Mensaje por **mana** » 06 Nov 2007, 21:13

No quiero precipitarme demasiado, pero parece que el tema se ha solucionado. Parece ser que el dichoso Vundo9 (Gebcy.dll) era el causante de todo. Voy a seguir haciendo pruebas estos días y os mantendré informados.

En cuanto al log del Hijack, se puede ver que existe la famosa clave:

O4 - HKLM\..\Run: [381e09e3] rundll32.exe "C:\WINDOWS\system32\xkoyjfvi.dll",b

como veis, con otro nombre de archivo, si bien, el Elistara no lo detecta y como os digo el problema "parece" solucionado.

¿Pruebo a eliminarla con el Hijack? o la dejo?

Saludos.

Mensaje por **lucl** » 06 Nov 2007, 22:00

prueba a eliminarla si quieres a ver si no se repite, y haces bien en vigilar un poco el pc, nos comentas si vuelves a tener cambios, saludos

mana · Mensaje por **mana** » 06 Nov 2007, 22:29

He eliminado la clave y os he enviado por email el fichero para su exploración y para que sirva para futuros infectados.

Por el momento, sigue todo correcto :roll:

Saludos

Mensaje por **lucl** » 07 Nov 2007, 08:43

Bien pues a lo largo de la mañana te diran algo ya sabes, estate atento al post, saludos

Mensaje por **msc hotline sat** » 07 Nov 2007, 11:40

Sí, este fichero ha resultado ser una nueva variante de VUNDO que llamamos VUNDO 5 , y que pasaremos a controlar con la nueva version de hoy del ELISTARA 14.98

A partir de las 19 h estara disponible en esta web para evaluacion en el foro de zonavirus

saludos

ms, 7-11-2007

mana · Mensaje por **mana** » 07 Nov 2007, 12:08

No me han vuelto a salir molestas páginas, no obstante, esta tarde pasaré el nuevo Elistara y os trasladaré los resultados.

Gracias

Mensaje por **msc hotline sat** » 07 Nov 2007, 12:23

Igual está dormido, pero mejor aprovechar para eliminarlo

Sí, prueba la version que estamos haciendo y nos comentas el resultado.

Y ya tras ello dinos si podemos dar el Tema por solucionado, gracias

saludos

mns, 7-11-2007

mana · Mensaje por **mana** » 07 Nov 2007, 19:48

Bueno, os adjunto log del último Elistara, con el que se ha eliminado el fichero del Vundo5:

Wed Nov 07 19:27:06 2007

EliStartPage v14.98 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Detectado AUTORUN.INF en la Unidad (D)

ShellExecute=Info.exe protect.ed 480 480

Si Desconoce la Aplicación, por favor envienosla

acompañada del AUTORUN.INF a "virus@satinfo.es". Gracias.

Wed Nov 07 19:27:10 2007

EliStartPage v14.98 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\WINDOWS\system32\XKOYJFVI.DLL --> Eliminado, Vundo5

Nº Total de Directorios: 5411

Nº Total de Ficheros: 54480

Nº de Ficheros Analizados: 15259

Nº de Ficheros Infectados: 1

Nº de Ficheros Limpiados: 1

Wed Nov 07 19:40:05 2007

EliStartPage v14.98 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad D:\

Nº Total de Directorios: 478

Nº Total de Ficheros: 12388

Nº de Ficheros Analizados: 3377

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

Creo que se podría dar por cerrado este tema, dado que después de 24 horas no he vuelto a ver paginas "molestas".

Por último, gracias nuevamente por todo.

Saludos.

Mensaje por **lucl** » 07 Nov 2007, 20:02

Pues nos alegramos se haya solucionado y cerramos el tema , y ya sabes donde estamos si te surge algun problema, saludos y vuelve cuando quieras.

Mensaje por **msc hotline sat** » 07 Nov 2007, 20:03

Pues quien persevera, logra !

[quote]
Wed Nov 07 19:27:10 2007

EliStartPage v14.98 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\WINDOWS\system32\XKOYJFVI.DLL --> Eliminado, Vundo5 [/quote]

lo celebramos, y dando el Tema por solucionado, procdemos a cerrralo

si nos necesitas de nuevo, ya sabes donde estamos

saludos

ms, 7-11-2007