PC infectado (SOLUCIONADO)

alex20 · Mensaje por **alex20** » 03 Feb 2008, 18:55

Tengo algo parecido a lo que exponía un usuario por aqui.No paran de salirme mensajes cuando me conecto a internet de que tengo el ordenador infectado por un spyware,tambien me salen automaticamente ventanas de publicidad (aun teniendo los popus bloqueados) e internet se me queda parado a veces sin poder cerrarlo ni poder clickear nada(no es lentitud sino que se para un rato y despues vuelve a ir)

Probe a ejecutar el elistara pero me sale esto cuando lo ejecuto:

"No detectado Parche (LSASS) ms04-011 de Microsoft instalado.Actualicese en: "windowsupdate.microsoft.com"

alex20 · Mensaje por **alex20** » 03 Feb 2008, 19:00

Por cierto pase el karpesky y me detecto varios virus y un troyano que se supone que ha eliminado,pero seguia el problema.

Ejecute el ewido que teneis aqui y me detecto 23 amenazas nuevas,eran cokies todo.Aun así el problema sigue y no puedo ejecutar el elistara por lo que os puse en el pst anterior.

SALUDOS Y GRACIAS DE ANTEMANO

alex20 · Mensaje por **alex20** » 03 Feb 2008, 19:08

Otra de las cosas que me salen cuando navego por internet es una ventanita con esto:

"Buffer overrun detected

Program: C:/WINDOWS/Explorer.EXE

A buffer overrun has been detected which has corruptted the program´s internal state.The program cannot safely continue execution and must now be terminated"

Algunas de las ventanas de publicidad que me salen son como esta:

http://hopelessromantic.com/pop_install.php

Mensaje por **msc hotline sat** » 03 Feb 2008, 19:57

Pues dala a ACEPTAR en el ELISTARA, luego EXPLORA el disco duro, y por ultimo posteanos el contenido de c:\infosat.txt que se habrá creado en dicho proceso

y en cuanto puedas, lanzas un windowsupdate:

WINDOWSUPDATE:

https://support.microsoft.com/es-es/help/12373/windows-update-faq

saludos

ms, 3-2-2008

alex20 · Mensaje por **alex20** » 03 Feb 2008, 20:13

Lanze el windows update pero y acepte despues en el elistara pero nada:

Sun Feb 03 19:36:26 2008

EliStartPage v15.57 (c)2008 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Entrada Eliminada [HKLM\...\Run] "f458f50b"="rundll32.exe "C:\WINDOWS\system32\oyhueswp.dll",b" (Vundo)

Por favor, envienos una muestra del fichero

C:\Muestras\OYHUESWP.DLL.Muestra EliStartPage v15.57

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\OYHUESWP.DLL --> Eliminado

Eliminada Class, "{A051B1FF-8D7E-418B-AABE-4FF82F4280A2}" -> C:\WINDOWS\system32\qomnklk.dll

No detectado Parche MS04-011 de Microsoft instalado. (LSASS)

No detectado Parche MS04-012 de Microsoft instalado. (RPC)

No detectado Parche MS06-070 de Microsoft instalado. (SServidor)

ALERTA. WindowsUpdate Incompleto.

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Sun Feb 03 19:40:47 2008

EliStartPage v15.57 (c)2008 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

No detectado Parche MS04-011 de Microsoft instalado. (LSASS)

No detectado Parche MS04-012 de Microsoft instalado. (RPC)

No detectado Parche MS06-070 de Microsoft instalado. (SServidor)

ALERTA. WindowsUpdate Incompleto.

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Sun Feb 03 21:09:21 2008

EliStartPage v15.57 (c)2008 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Entrada Eliminada [HKLM\...\Run] "f458f50b"="rundll32.exe "C:\WINDOWS\system32\pakxqdok.dll",b" (Vundo)

Por favor, envienos una muestra del fichero

C:\Muestras\PAKXQDOK.DLL.Muestra EliStartPage v15.57

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\PAKXQDOK.DLL --> Eliminado

No detectado Parche MS04-011 de Microsoft instalado. (LSASS)

No detectado Parche MS04-012 de Microsoft instalado. (RPC)

No detectado Parche MS06-070 de Microsoft instalado. (SServidor)

ALERTA. WindowsUpdate Incompleto.

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

alex20 · Mensaje por **alex20** » 03 Feb 2008, 20:15

¿esa es la informacion que necesitais?

Mensaje por **msc hotline sat** » 03 Feb 2008, 20:21

Pues parece que tienes alguna que otra variante del VUNDO !!!

Envianos estos ficheros y los analizaremos:

Por favor, envienos una muestra del fichero

C:\Muestras\OYHUESWP.DLL.Muestra EliStartPage v15.57

Por favor, envienos una muestra del fichero

C:\Muestras\PAKXQDOK.DLL.Muestra EliStartPage v15.57

renombra la extension de dichos ficheros a .VIR y envianoslos para analizar:

->~~[b]~~ Para ello recordar[/b]: https://foros.zonavirus.com/viewtopic.php?f=2&t=45334

Si quieres, puedes subirlos ademas al VirusTotal para contrastar informacion:

https://www.virustotal.com/es/

y nos posteas el resultado, gracias

saludos

ms, 3-2-2008

alex20 · Mensaje por **alex20** » 03 Feb 2008, 21:25

Y os enviado el archivo,creo que os lo he enviado bien,avisame si es asi ;)

Voy a enviarlo tambien a zonavirus

alex20 · Mensaje por **alex20** » 03 Feb 2008, 21:32

ESTO ES LO QUE ME PONE EN ZONAVIRUS ACERCA DEL ARCHIVO OYHUESWP.DLL.VIR :

Motor antivirus Versión Última actualización Resultado

AhnLab-V3 2008.2.3.10 2008.02.02 -

AntiVir 7.6.0.61 2008.02.01 TR/Dldr.ConHook.Gen

Authentium 4.93.8 2008.02.03 -

Avast 4.7.1098.0 2008.02.02 Win32:TratBHO

AVG 7.5.0.516 2008.02.03 Lop

BitDefender 7.2 2008.02.03 -

CAT-QuickHeal 9.00 2008.02.01 -

ClamAV 0.92 2008.02.03 -

DrWeb 4.44.0.09170 2008.02.03 -

eSafe 7.0.15.0 2008.01.28 Suspicious File

eTrust-Vet 31.3.5504 2008.02.01 -

Ewido 4.0 2008.02.03 -

FileAdvisor 1 2008.02.03 -

Fortinet 3.14.0.0 2008.02.03 -

F-Prot 4.4.2.54 2008.02.02 W32/Virtumonde.G.gen!Eldorado

F-Secure 6.70.13260.0 2008.02.03 -

Ikarus T3.1.1.20 2008.02.03 -

Kaspersky 7.0.0.125 2008.02.03 -

McAfee 5221 2008.02.01 -

Microsoft 1.3204 2008.02.03 Trojan:Win32/Vundo.gen!A

NOD32v2 2845 2008.02.02 -

Norman 5.80.02 2008.02.01 -

Panda 9.0.0.4 2008.02.03 -

Prevx1 V2 2008.02.03 Trojan.Vundo

Rising 20.29.22.00 2008.01.30 -

Sophos 4.26.0 2008.02.03 Troj/Virtum-Gen

Sunbelt 2.2.907.0 2008.02.02 -

Symantec 10 2008.02.03 -

TheHacker 6.2.9.207 2008.02.03 -

VBA32 3.12.6.0 2008.02.03 -

VirusBuster 4.3.26:9 2008.02.03 Adware.Vundo.V.Gen

Webwasher-Gateway 6.6.2 2008.02.03

Trojan.Dldr.ConHook.Gen

Información adicional

Tamano archivo: 88640 bytes

MD5: fc5f95fd47c9a6da4b7517f2ce7e817f

SHA1: bcedde89f2e2a00bf8350698a8f72465a527c982

PEiD: -

Prevx info: http://info.prevx.com/aboutprogramtext.asp?PX5=F9629C1A4028F0375A730182AD634400EBF30BCB

Mensaje por **lucl** » 03 Feb 2008, 22:12

pues virus total ya lo ve como trojano, si los has renombrado a .VIR ya no se pondran en marcha en el proximo reinicio y podras estar tranquilo, en cuanto a los envios mañana te diran algo asi que estate atento a tu post, saludos

alex20 · Mensaje por **alex20** » 03 Feb 2008, 23:11

OK,parece que ya han cesado las ventanas publicitarias.

Ademas pase el "VundoFix" en modo seguro y reconocio y elimino 15 archivos

Muchas gracias y estare pendiente del post con los resultados

Saludos

Mensaje por **msc hotline sat** » 04 Feb 2008, 07:12

Ello confirma nuestra hipotesis.

Con las muestras que ha enviado pasaremos a implementar su control y eliminacion en nuestras utilidades, de lo cual informaremos

A pesar de que dice haber eliminado el virus con otros medios, recomendamos pruebe el proximo ELISTARA ( 15.58 ) para restaurar claves que pudieran haber sido modificadas, ya que no sabemos si han quedado restos en el registro.

Y dando por solucionado el Tema, procedemos a cerrarlo

saludos

ms, 4-2-2008

Mensaje por **msc hotline sat** » 04 Feb 2008, 11:18

Nota postcierre: Recibidos ficheros sin problema, se han implementado su control y eliminacion en la version de hoy del ELISTARA

SALUDOS

ms,. 4-2-2008