infeccion con vundo9

eunice_navarro · Mensaje por **eunice_navarro** » 22 Dic 2007, 23:14

incluyo log de hijack this.

Logfile of HijackThis v1.99.1

Scan saved at 03:58:54 p.m., on 22/12/2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16574)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\Archivos de programa\Panda Software\Panda Antivirus + Firewall 2008\pavsrv51.exe

C:\Archivos de programa\Panda Software\Panda Antivirus + Firewall 2008\AVENGINE.EXE

C:\WINDOWS\system32\svchost.exe

C:\Archivos de programa\Panda Software\Panda Antivirus + Firewall 2008\TPSrv.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\Ati2evxx.exe

C:\Archivos de programa\Archivos comunes\InterVideo\RegMgr\iviRegMgr.exe

C:\Archivos de programa\Panda Software\Panda Antivirus + Firewall 2008\PsCtrls.exe

C:\Archivos de programa\Panda Software\Panda Antivirus + Firewall 2008\PavFnSvr.exe

C:\Archivos de programa\Archivos comunes\Panda Software\PavShld\pavprsrv.exe

c:\archivos de programa\panda software\panda antivirus + firewall 2008\firewall\PSHOST.EXE

C:\Archivos de programa\Panda Software\Panda Antivirus + Firewall 2008\PsImSvc.exe

C:\WINDOWS\system32\svchost.exe

C:\Archivos de programa\Panda Software\Panda Antivirus + Firewall 2008\ApvxdWin.exe

C:\WINDOWS\Resources\Themes\YAFVC3\VistaStart\VistaStart1.3.exe

C:\Archivos de programa\Visual Tooltip\VisualToolTip.exe

C:\Archivos de programa\Java\jre1.6.0_03\bin\jusched.exe

C:\Archivos de programa\HP\HP Software Update\HPWuSchd2.exe

C:\WINDOWS\VM303_STI.EXE

C:\Archivos de programa\Archivos comunes\InstallShield\UpdateService\ISUSPM.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Archivos de programa\Windows Sidebar\sidebar.exe

C:\Archivos de programa\HP\Digital Imaging\bin\hpqtra08.exe

C:\Archivos de programa\WinZip\WZQKPICK.EXE

C:\Archivos de programa\HP\Digital Imaging\bin\hpqSTE08.exe

C:\Archivos de programa\Panda Software\Panda Antivirus + Firewall 2008\WebProxy.exe

C:\Archivos de programa\Internet Explorer\iexplore.exe

C:\Archivos de programa\Archivos comunes\Microsoft Shared\Windows Live\WLLoginProxy.exe

C:\Archivos de programa\WinRAR\WinRAR.exe

C:\DOCUME~1\misael\CONFIG~1\Temp\Rar$EX00.326\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.intervideo.com/jsp/Support.jsp?product=WinDVD&category=ReqSoftwareDownloads

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O3 - Toolbar: StylerToolBar - {D2F8F919-690B-4EA2-9FA7-A203D1E04F75} - C:\Archivos de programa\Styler\TB\StylerTB.dll

O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe

O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Archivos de programa\Adobe\Reader 8.0\Reader\Reader_sl.exe"

O4 - HKLM\..\Run: [VistaStart1.3] C:\WINDOWS\Resources\Themes\YAFVC3\VistaStart\VistaStart1.3.exe

O4 - HKLM\..\Run: [VisualToolTip] C:\Archivos de programa\Visual Tooltip\VisualToolTip.exe

O4 - HKLM\..\Run: [Vistadrv] C:\WINDOWS\ISSO\VIPhd\vsdrv.exe

O4 - HKLM\..\Run: [ISUSPM Startup] C:\ARCHIV~1\ARCHIV~1\INSTAL~1\UPDATE~1\ISUSPM.exe -startup

O4 - HKLM\..\Run: [ISUSScheduler] "C:\Archivos de programa\Archivos comunes\InstallShield\UpdateService\issch.exe" -start

O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Archivos de programa\Java\jre1.6.0_03\bin\jusched.exe"

O4 - HKLM\..\Run: [HP Software Update] C:\Archivos de programa\HP\HP Software Update\HPWuSchd2.exe

O4 - HKLM\..\Run: [BigDog303] C:\WINDOWS\VM303_STI.EXE VIMICRO USB PC Camera (ZC0301PLH)

O4 - HKLM\..\Run: [APVXDWIN] "C:\Archivos de programa\Panda Software\Panda Antivirus + Firewall 2008\APVXDWIN.EXE" /s

O4 - HKLM\..\Run: [ISUSPM] "C:\Archivos de programa\Archivos comunes\InstallShield\UpdateService\ISUSPM.exe" -scheduler

O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\QTTask.exe" -atboottime

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [Sidebar] C:\Archivos de programa\Windows Sidebar\sidebar.exe /autoRun

O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Archivos de programa\HP\Digital Imaging\bin\hpqtra08.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office10\OSA.EXE

O4 - Global Startup: WinZip Quick Pick.lnk = C:\Archivos de programa\WinZip\WZQKPICK.EXE

O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office10\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_03\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_03\bin\ssv.dll

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O11 - Options group: [INTERNATIONAL] International*

O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://a1540.g.akamai.net/7/1540/52/20070711/qtinstall.info.apple.com/qtactivex/qtplugin.cab

O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Runtime Environment 1.6.0) - http://javadl-esd.sun.com/update/1.6.0/jinstall-6u3-windows-i586-jc.cab

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - https://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll

O23 - Service: Ares Chatroom server (AresChatServer) - Ares Development Group - C:\Archivos de programa\Ares\chatServer.exe

O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Archivos de programa\Archivos comunes\InstallShield\Driver\1150\Intel 32\IDriverT.exe

O23 - Service: IviRegMgr - InterVideo - C:\Archivos de programa\Archivos comunes\InterVideo\RegMgr\iviRegMgr.exe

O23 - Service: MSCSPTISRV - Sony Corporation - C:\Archivos de programa\Archivos comunes\Sony Shared\AVLib\MSCSPTISRV.exe

O23 - Service: PACSPTISVR - Unknown owner - C:\Archivos de programa\Archivos comunes\Sony Shared\AVLib\PACSPTISVR.exe

O23 - Service: Panda Software Controller - Panda Software International - C:\Archivos de programa\Panda Software\Panda Antivirus + Firewall 2008\PsCtrls.exe

O23 - Service: Panda Function Service (PAVFNSVR) - Panda Software International - C:\Archivos de programa\Panda Software\Panda Antivirus + Firewall 2008\PavFnSvr.exe

O23 - Service: Panda Process Protection Service (PavPrSrv) - Panda Software - C:\Archivos de programa\Archivos comunes\Panda Software\PavShld\pavprsrv.exe

O23 - Service: Panda anti-virus service (PAVSRV) - Panda Software International - C:\Archivos de programa\Panda Software\Panda Antivirus + Firewall 2008\pavsrv51.exe

O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

O23 - Service: Panda Host Service (PSHost) - Panda Software International - c:\archivos de programa\panda software\panda antivirus + firewall 2008\firewall\PSHOST.EXE

O23 - Service: Panda IManager Service (PSIMSVC) - Panda Software International - C:\Archivos de programa\Panda Software\Panda Antivirus + Firewall 2008\PsImSvc.exe

O23 - Service: SonicStage Back-End Service - Sony Corporation - C:\Archivos de programa\Archivos comunes\Sony Shared\AVLib\SsBeSvc.exe

O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\Archivos de programa\Archivos comunes\Sony Shared\AVLib\SPTISRV.exe

O23 - Service: SonicStage SCSI Service (SSScsiSV) - Sony Corporation - C:\Archivos de programa\Archivos comunes\Sony Shared\AVLib\SSScsiSV.exe

O23 - Service: Panda TPSrv (TPSrv) - Panda Software International - C:\Archivos de programa\Panda Software\Panda Antivirus + Firewall 2008\TPSrv.exe

al ejecutar elistara me pide enviar muestra de 2 carpetas, las cuales no puedo adjuntar pero su contenido es el siguiente:

c:\WinLogon\winayc32.dll

c:\Muestras\ddcddcb.dll

c:\Muestras\tuvvu.dll

me podran ayudar?

Mensaje por **lucl** » 23 Dic 2007, 08:11

Cual es el problema que tienes para enviarnoslas? en la carpeta muestras en C tienes dos archivos, y el otro esta en winlogon, si no los puedes adjuntar por el antivirus encriptalos en winrar y ponles contraseña VIRUS. Bueno ya comentaras cual es el problema que tienes, debes enviarnoslos para su analisis y aplicar la herramienta necesaria. saludos

https://foros.zonavirus.com/viewtopic.php?f=2&t=45334

Mensaje por **msc hotline sat** » 23 Dic 2007, 09:16

Y posteanos el log que te genera el ELISTARA, con un copiar y pegar del contenido de C:\infosat.txt

(Ello es lo que se pide al utilizar estas utilidades de evaluacion, quizas te pide el ELINOTIF.DLL..., y por supuesto, envianos las muestras que en dicho report te indique, como muy bien te indica lucl.)

saludos

ms, 23-12-2007

eunice_navarro · Mensaje por **eunice_navarro** » 27 Dic 2007, 00:52

la pc me pide constantemente que reinicie para eliminar vundo, pero no lo elimina.

mando el blog de elistara

Wed Dec 26 12:30:15 2007

EliStartPage v15.27 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Entrada Eliminada [HKLM\...\Run] "d062e729"="rundll32.exe "C:\WINDOWS\system32\mmcmntih.dll",b" (Vundo)

[WinLogon\Notify\WINAYC32]

Por favor, envienos una muestra del fichero

C:\WinLogon\WINAYC32.DLL

a "virus@satinfo.es". Gracias.

C:\WINDOWS\CTFMGR.EXE --> Dialupass Renombrado a .VIR

C:\WINDOWS\CTFMGR.EXE.VIR --> Eliminado.

C:\DOCUME~1\MISAEL\CONFIG~1\TEMP\\DIALSYS.EXE --> Eliminado Dialupass

Por favor, envienos una muestra del fichero

C:\Muestras\MMCMNTIH.DLL.Muestra EliStartPage v15.27

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\MMCMNTIH.DLL --> Eliminado

Por favor, envienos una muestra del fichero

C:\Muestras\TUVVU.DLL.Muestra EliStartPage v15.27

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\TUVVU.DLL --> Acceso Denegado.

Entrada Eliminada [HKLM\...\Run] "CTFMGR"="C:\WINDOWS\ctfmgr.exe"

Eliminada Class, "{1DC4BCA9-BD8C-4BB6-89B2-3CB1D74DE629}" -> C:\WINDOWS\system32\tuvvu.dll

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Wed Dec 26 12:31:56 2007

EliStartPage v15.27 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

Nº Total de Directorios: 4229

Nº Total de Ficheros: 43881

Nº de Ficheros Analizados: 12281

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

Sistema Infectado por el Vundo9

Instalada Utilidad "ELINOTIF.DLL" (Reinicie de Nuevo para Completar la Limpieza)

EliNotify v1.7.11.28 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones:

Detectado Vundo9

Elininada Class {0D5EC792-3B50-491D-AA8A-1D520772CD02}

Elininado BHO {0D5EC792-3B50-491D-AA8A-1D520772CD02}

Desinstalado EliNotif.dll

Wed Dec 26 13:58:47 2007

EliStartPage v15.27 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

[WinLogon\Notify\WINAYC32]

Por favor, envienos una muestra del fichero

C:\WinLogon\WINAYC32.DLL

a "virus@satinfo.es". Gracias.

Por favor, envienos una muestra del fichero

C:\Muestras\TUVVU.DLL.Muestra EliStartPage v15.27

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\TUVVU.DLL --> Acceso Denegado.

Eliminada Class, "{CB5F5C89-F294-46EA-9CFD-E79D1DE5A7F2}" -> C:\WINDOWS\system32\tuvvu.dll

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Sistema Infectado por el Vundo9

Instalada Utilidad "ELINOTIF.DLL" (Reinicie de Nuevo para Completar la Limpieza)

EliNotify v1.7.11.28 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones:

Detectado Vundo9

Elininada Class {2F77953B-C865-432E-A411-330BDB66471D}

Elininado BHO {2F77953B-C865-432E-A411-330BDB66471D}

Desinstalado EliNotif.dll

Wed Dec 26 14:30:38 2007

EliStartPage v15.27 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

[WinLogon\Notify\WINAYC32]

Por favor, envienos una muestra del fichero

C:\WinLogon\WINAYC32.DLL

a "virus@satinfo.es". Gracias.

Por favor, envienos una muestra del fichero

C:\Muestras\TUVVU.DLL.Muestra EliStartPage v15.27

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\TUVVU.DLL --> Acceso Denegado.

Eliminada Class, "{E2F4E66D-6BB6-4BDD-BEB4-5BBBE6C009FF}" -> C:\WINDOWS\system32\tuvvu.dll

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Sistema Infectado por el Vundo9

Instalada Utilidad "ELINOTIF.DLL" (Reinicie de Nuevo para Completar la Limpieza)

envie los archivos ke solicita elistara

Mensaje por **msc hotline sat** » 27 Dic 2007, 05:54

Estas usando un ELISTARA antiguo. La version actual es la 15.31, descargala y pruebala

y el fichero al que se indica ACCESO DENEGADO :

C:\WINDOWS\SYSTEM32\TUVVU.DLL

eliminalo desde la consola de recuperacion, arrancando con el CD de instalacion y pulsando R para entrar en ella, luego acceder al directorio indicado y con un DEL borrar dicho fichero

saludos

ms, 27-12-2007

NOTA: Siempre se ha de descargar la ultima version de nuestras utilidades antes de probarlas... el ELISTARA se renueva a diario ! ms.

Mensaje por **msc hotline sat** » 28 Dic 2007, 12:25

Recibidos varios ficheros malware con VUNDO de varios tipos, Backdoor CVT, etc, aun descontrolados, que pasamos a controlar con la version de hoy del ELISTARA 15.34

A partir de las 19 h de hoy descargalo y pruebalo:

[quote]http://www.zonavirus.com/descargas/elistara.asp

Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso [/quote]

saludos

ms, 28-12-2007

eunice_navarro · Mensaje por **eunice_navarro** » 23 Ene 2008, 09:01

laptop solucionado con elistara

Mensaje por **msc hotline sat** » 23 Ene 2008, 10:28

Pues nos alegramos, y dando el Tema por solucionado, procedemos a cerrarlo

saludos

ms, 23-2-2008

infeccion con vundo9

infeccion con vundo9

infeccion vundo

laptop solucionado con elistara