varios virus espia muy molestos, ayuda porfa

[gerard10]

Tengo un problema , me ha entrado un spyware y no tengo manera de eliminarlo , he usado varios programas que los elimina pero luego al reiniciar vuelve a salir. Me salen dos triangulos amarillos con continuos mensaje de wndows antivirus , uno rojo de windows security alert , y un circulo rojo con exclamacion blanca delante de otro circulo verde. Aqui va escaneo del Hjackthis , a ver si son tan amables de ayudarme , gracias.



Logfile of HijackThis v1.99.1

Scan saved at 18:17:59, on 07/02/2008

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16574)



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Archivos de programa\Lavasoft\Ad-Aware 2007\aawservice.exe

C:\WINDOWS\system32\LEXBCES.EXE

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\system32\LEXPPS.EXE

C:\WINDOWS\Explorer.exe

C:\WINDOWS\shell.exe

C:\Archivos de programa\Network Associates\VirusScan\avsynmgr.exe

C:\WINDOWS\system32\drivers\CDAC11BA.EXE

C:\Archivos de programa\Java\j2re1.4.2_03\bin\jusched.exe

C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe

C:\Archivos de programa\QuickTime\qttask.exe

C:\Archivos de programa\Archivos comunes\Protexis\License Service\PSIService.exe

C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe

C:\Archivos de programa\Lexmark 2200 Series\lxbvbmgr.exe

C:\Archivos de programa\Telefonica\bin\sprtcmd.exe

C:\Archivos de programa\Archivos comunes\InstallShield\UpdateService\issch.exe

C:\Archivos de programa\Network Associates\VirusScan\VsStat.exe

C:\WINDOWS\system32\svchost.exe

C:\Archivos de programa\Network Associates\VirusScan\Avconsol.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Archivos de programa\Lexmark 2200 Series\lxbvbmon.exe

C:\Archivos de programa\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe

C:\Archivos de programa\Messenger\msmsgs.exe

C:\Archivos de programa\WinPoET Broadband Connection\WrOS.EXE

C:\Archivos de programa\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

C:\Archivos de programa\SUPERAntiSpyware\SUPERAntiSpyware.exe

C:\Archivos de programa\Telefonica\Kit ADSL USB\DSLMON.exe

C:\Archivos de programa\Logitech\SetPoint\KEM.exe

C:\Archivos de programa\Network Associates\VirusScan\Vshwin32.exe

C:\Archivos de programa\Logitech\SetPoint\KHALMNPR.EXE

C:\WINDOWS\system32\wscntfy.exe

C:\Archivos de programa\Archivos comunes\Network Associates\McShield\mcshield.exe

C:\Archivos de programa\Mozilla Firefox\firefox.exe

C:\WINDOWS\system32\WISPTIS.EXE

C:\Archivos de programa\HJT\HijackThis.exe



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.forospyware.com/

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

R3 - URLSearchHook: Best_Security_Tips toolbar - {da30eff8-ccc6-4162-a20d-67402a26a215} - C:\Archivos de programa\Best_Security_Tips\tbBest.dll

F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\shell.exe

O3 - Toolbar: Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Archivos de programa\Yahoo!\Companion\Installs\cpn\ycomp5_5_7_0.dll

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\archivos de programa\google\googletoolbar4.dll

O3 - Toolbar: Best_Security_Tips toolbar - {da30eff8-ccc6-4162-a20d-67402a26a215} - C:\Archivos de programa\Best_Security_Tips\tbBest.dll

O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Archivos de programa\Windows Live Toolbar\msntb.dll

O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Archivos de programa\Java\j2re1.4.2_03\bin\jusched.exe

O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE

O4 - HKLM\..\Run: [mmtask] c:\Program Files\MusicMatch\MusicMatch Jukebox\mmtask.exe

O4 - HKLM\..\Run: [JVM0.14] C:\WINDOWS\system32\mbzi.exe

O4 - HKLM\..\Run: [TkBellExe] "C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [gwiz] C:\WINDOWS\system32\ntsystem.exe

O4 - HKLM\..\Run: [ppmate] C:\Archivos de programa\PPMate\PPMate\ppmate.exe -autoplay

O4 - HKLM\..\Run: [Lexmark 2200 Series] "C:\Archivos de programa\Lexmark 2200 Series\lxbvbmgr.exe"

O4 - HKLM\..\Run: [FaxCenterServer] "C:\Archivos de programa\Lexmark Fax Solutions\fm3032.exe" /s

O4 - HKLM\..\Run: [Telefonica] "C:\Archivos de programa\Telefonica\bin\sprtcmd.exe" /P Telefonica

O4 - HKLM\..\Run: [ISUSPM Startup] C:\ARCHIV~1\ARCHIV~1\INSTAL~1\UPDATE~1\ISUSPM.exe -startup

O4 - HKLM\..\Run: [ISUSScheduler] "C:\Archivos de programa\Archivos comunes\InstallShield\UpdateService\issch.exe" -start

O4 - HKLM\..\Run: [MSDisp32] rundll32.exe C:\WINDOWS\system32\drvdaw.dll,startup

O4 - HKLM\..\Run: [MSDrive] rundll32.exe C:\WINDOWS\system32\drvfes.dll,startup

O4 - HKLM\..\Run: [7425fdd0] rundll32.exe "C:\WINDOWS\system32\cbrasjro.dll",b

O4 - HKLM\..\Run: [Printer] C:\WINDOWS\system32\printer.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [LDM] C:\Archivos de programa\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe

O4 - HKCU\..\Run: [Free Download Manager] C:\Archivos de programa\Free Download Manager\fdm.exe -autorun

O4 - HKCU\..\Run: [SP2ConnPatcher] "C:\Archivos de programa\SP2 Connection Patcher\sp2connpatcher.exe" -n=200

O4 - HKCU\..\Run: [MSMSGS] "C:\Archivos de programa\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [swg] C:\Archivos de programa\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

O4 - HKCU\..\Run: [Ares Galaxy Turbo Booster] "C:\Archivos de programa\Ares Galaxy Turbo Booster\Ares Galaxy Turbo Booster.exe" -tray

O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Archivos de programa\SUPERAntiSpyware\SUPERAntiSpyware.exe

O4 - HKCU\..\Run: [Spoolsv] C:\WINDOWS\system32\spoolvs.exe

O4 - Startup: findfast.exe

O4 - Startup: Iomega Product Registration.lnk = C:\Archivos de programa\Iomega\Registration\Register.exe

O4 - Global Startup: Acelerador de inicio de AutoCAD.lnk = C:\Archivos de programa\Archivos comunes\Autodesk Shared\acstart17.exe

O4 - Global Startup: autorun.exe

O4 - Global Startup: Consola KIT ADSL.lnk = C:\Archivos de programa\Telefonica\Kit ADSL USB\DSLMON.exe

O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Archivos de programa\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe

O4 - Global Startup: Logitech SetPoint.lnk = C:\Archivos de programa\Logitech\SetPoint\KEM.exe

O7 - HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1

O8 - Extra context menu item: &Search - http://bar.mywebsearch.com/menusearch.html?p=ZNxdm119YYES

O8 - Extra context menu item: &Windows Live Search - res://C:\Archivos de programa\Windows Live Toolbar\msntb.dll/search.htm

O8 - Extra context menu item: Add to AMV Converter... - C:\Archivos de programa\MP3 Player Utilities 4.13\AMVConverter\grab.html

O8 - Extra context menu item: Add to Windows &Live Favorites - http://favorites.live.com/quickadd.aspx

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~3\OFFICE11\EXCEL.EXE/3000

O8 - Extra context menu item: MediaManager tool grab multimedia file - C:\Archivos de programa\MP3 Player Utilities 4.13\MediaManager\grab.html

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\j2re1.4.2_03\bin\npjpi142_03.dll

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\j2re1.4.2_03\bin\npjpi142_03.dll

O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~3\OFFICE11\REFIEBAR.DLL

O9 - Extra button: MUSICMATCH MX Web Player - {d81ca86b-ef63-42af-bee3-4502d9a03c2d} - http://wwws.musicmatch.com/mmz/openWebRadio.html (file missing)

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O11 - Options group: [INTERNATIONAL] International*

O16 - DPF: {1F831FA6-42FC-11D4-95A6-0080AD30DCE1} (InstaFred) - file://C:\Archivos de programa\AutoCAD LT 2002 Esp\InstFred.ocx

O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} (Cult3D ActiveX Player) - http://www.cult3d.com/download/cult.cab

O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://by103fd.bay103.hotmail.msn.com/resources/MsnPUpld.cab

O16 - DPF: {78AF2F24-A9C3-11D3-BF8C-0060B0FCC122} (Control de AcDcToday) - file://C:\Archivos de programa\AutoCAD LT 2002 Esp\AcDcToday.ocx

O16 - DPF: {85D1F3B2-2A21-11D7-97B9-0010DC2A6243} (SecureLogin class) - http://secure2.comned.com/signuptemplates/securelogin-devel.cab

O16 - DPF: {861FDA2A-2B57-4BDA-8B8B-305C9D5D8604} (_Multimedia Player) - http://stream.pussyharem.com/stream/mmp.cab

O16 - DPF: {AE563726-B4F5-11D4-A415-00108302FDFD} (NOXLATE-BANR) - file://C:\Archivos de programa\AutoCAD LT 2002 Esp\InstBanr.ocx

O16 - DPF: {AF087E66-838E-4A97-8A0B-0DDDA5DEA239} (OTAutoInstall Class) - https://trials.endeavors.com/autodesk/acad2005emea/clientdownloads/OTAI.CAB

O16 - DPF: {C5E28B9D-0A68-4B50-94E9-E8F6B4697514} (NsvPlayX Control) - http://www.nullsoft.com/nsv/embed/nsvplayx_vp3_mp3.cab

O16 - DPF: {F281A59C-7B65-11D3-8617-0010830243BD} (Control AcPreview) - file://C:\Archivos de programa\AutoCAD LT 2002 Esp\AcPreview.ocx

O17 - HKLM\System\CCS\Services\Tcpip\..\{D37503DC-5BFA-4C85-ABEF-DE1DB027DC84}: NameServer = 80.58.61.250,80.58.61.254

O18 - Protocol: bwfile-8876480 - {9462A756-7B47-47BC-8C80-C34B9B80B32B} - C:\Archivos de programa\Logitech\Desktop Messenger\8876480\Program\GAPlugProtocol-8876480.dll

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll

O21 - SSODL: zip - {0ef31f25-bd16-4668-ae66-18527e03b388} - C:\WINDOWS\Installer\{0ef31f25-bd16-4668-ae66-18527e03b388}\zip.dll (file missing)

O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft - C:\Archivos de programa\Lavasoft\Ad-Aware 2007\aawservice.exe

O23 - Service: Ares Chatroom server (AresChatServer) - Ares Development Group - C:\Archivos de programa\Ares\chatServer.exe

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

O23 - Service: Autodesk Licensing Service - Autodesk - C:\Archivos de programa\Archivos comunes\Autodesk Shared\Service\AdskScSrv.exe

O23 - Service: AVSync Manager (AvSynMgr) - Unknown owner - C:\Archivos de programa\Network Associates\VirusScan\avsynmgr.exe

O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\system32\drivers\CDAC11BA.EXE

O23 - Service: Google Updater Service (gusvc) - Google - C:\Archivos de programa\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE

O23 - Service: McShield - Unknown owner - C:\Archivos de programa\Archivos comunes\Network Associates\McShield\mcshield.exe

O23 - Service: ProtexisLicensing - Unknown owner - C:\Archivos de programa\Archivos comunes\Protexis\License Service\PSIService.exe

O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe

O23 - Service: WinPPPoverEthernet - iVasion, a Routerware Company - C:\Archivos de programa\WinPoET Broadband Connection\WrOS.EXE

[msc hotline sat]

Tienes un buen pupurri de malwares...

Envianos estos ficheros sospechosos para analizar:

Código: Seleccionar todo

C:\WINDOWS\shell.exe
C:\WINDOWS\system32\ntsystem.exe
C:\WINDOWS\system32\printer.exe
C:\WINDOWS\system32\spoolvs.exe
findfast.exe
autorun.exe
C:\WINDOWS\system32\drvdaw.dll
C:\WINDOWS\system32\drvfes.dll
C:\WINDOWS\system32\cbrasjro.dll

Y elimina estas claves:
O7 - HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1  
O8 - Extra context menu item: &Search - http://bar.mywebsearch.com/menusearch.html?p=ZNxdm119YYES 
O16 - DPF: {85D1F3B2-2A21-11D7-97B9-0010DC2A6243} (SecureLogin class) - http://secure2.comned.com/signuptemplates/securelogin-devel.cab

Para ello recordar: viewtopic.php?f=2&t=45334


Tras analizar las muestras informaremos

saludos

ms, 7-2-2008

[gerard10]

No puedo enviar el archivo por hotmail , no me deja adjuntar el zip porque me dice que contiene un virus y no hay manera , ni en modo seguro.

[msc hotline sat]

Decimos que lo empaquetes en un ZIP con passwrod VIRUS:



https://foros.zonavirus.com/viewtopic.php?f=2&t=45334



lo ha hecho ???



saludos



ms, 8-2-2008

[gerard10]

Como pongo el password , me lo podrian decir.

[msc hotline sat]

Con el WINRAR , en opciones avanzadas aparece dicha opcion.



saludos



ms, 8-2-2008

[gerard10]

les llegó el mail??

[msc hotline sat]

Sí, recibidos los ficheros, todos son variantes de viejos conocidos, que pasamos a controlar con las versiones de hoy, que subiremos a esta web a partir de las 18 horas, de lo cual informaremos

saludos

ms, 8-2-2008


NOTA:

AUTORUN.EXE - Win32.Qhost.aes
CBRASJRO.DLL - VUNDO
DRVDAW.DLL - Win32.Dialer.yz
DRVFES.DLL - Win32.Dialer.yz
FINDFAST.EXE - Win32.Qhost.aes
PRINTER.EXE - Win32.Qhost.aes
SHELL.EXE - Win32.Qhost.aes
SPOOLVS.EXE - Qhost.aes

[msc hotline sat]

Subidas ya las nuevas utilidades de hoy. Prueba especialmente el ELISTARA:

http://www.zonavirus.com/descargas/elistara.asp

Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso

saludos

ms, 8-2-2008

[gerard10]

Aqui teneis el resultado del elistara:



Sat Feb 09 10:16:48 2008

EliStartPage v15.62 (c)2008 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Key Eliminada [WinLogon\Notify\GEBCAWW] -> C:\WINDOWS\SYSTEM32\gebcaww.dll

Entrada Eliminada [HKLM\...\Run] "7425fdd0"="rundll32.exe "C:\WINDOWS\system32\djsmcspq.dll",b" (Vundo)

Key Eliminada [WinLogon\Notify\RYIVNRQI] -> C:\WINDOWS\SYSTEM32\RYIVNRQI.DLL

C:\WINDOWS\SYSTEM32\PRINTER.EXE --> Eliminado AntiVirus2007Pro(dldr)

C:\WINDOWS\SYSTEM32\SPOOLVS.EXE --> Eliminado AntiVirus2007Pro(dldr)

Por favor, envienos una muestra del fichero

C:\Muestras\GEBCAWW.DLL.Muestra EliStartPage v15.62

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\GEBCAWW.DLL --> Acceso Denegado.

Por favor, envienos una muestra del fichero

C:\Muestras\DJSMCSPQ.DLL.Muestra EliStartPage v15.62

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\DJSMCSPQ.DLL --> Renombrado a .VIR

C:\WINDOWS\SYSTEM32\RYIVNRQI.DLL --> Vundo Acceso Denegado.

C:\Documents and Settings\Gerard\Datos de programa\Install.dat --> Eliminado (Fichero Complementario).

Entrada Eliminada [HKLM\...\Run] "PRINTER"="C:\WINDOWS\system32\printer.exe"

Entrada Eliminada [HKLM\...\Run] "gwiz"="C:\WINDOWS\system32\ntsystem.exe"

Entrada Eliminada [HKCU\...\Run] "Spoolsv"="C:\WINDOWS\system32\spoolvs.exe"

Eliminada Class, "{147A976E-EEE1-4377-8EA7-4716E4CDD239}" -> NULL1

Eliminada Class, "{9AFB8248-617F-460D-9366-D71CDEDA3179}" -> NULL1

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Sistema Infectado por el Downloader.ConHook

Sistema Infectado por el Downloader.ConHook2

Sistema Infectado por el Vundo9

(C:\WINDOWS\SYSTEM32\XXWVW.DLL)

No Detectada Utilidad "ELINOTIF.DLL" (Necesaria para la Limpieza)



Sat Feb 09 10:30:42 2008

EliStartPage v15.62 (c)2008 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Key Eliminada [WinLogon\Notify\GEBCAWW] -> C:\WINDOWS\SYSTEM32\gebcaww.dll

[WinLogon\Notify\GEBCAWW]

Por favor, envienos una muestra del fichero

C:\WinLogon\GEBCAWW.DLL

a "virus@satinfo.es". Gracias.

Key Eliminada [WinLogon\Notify\RYIVNRQI] -> C:\WINDOWS\SYSTEM32\RYIVNRQI.DLL

C:\WINDOWS\SYSTEM32\PRINTER.EXE --> Eliminado AntiVirus2007Pro(dldr)

Por favor, envienos una muestra del fichero

C:\Muestras\GEBCAWW.DLL.Muestra EliStartPage v15.62

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\GEBCAWW.DLL --> Acceso Denegado.

Por favor, envienos una muestra del fichero

C:\Muestras\XXWVW.DLL.Muestra EliStartPage v15.62

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\XXWVW.DLL --> Acceso Denegado.

C:\WINDOWS\SYSTEM32\RYIVNRQI.DLL --> Vundo Acceso Denegado.

Entrada Eliminada [HKLM\...\Run] "PRINTER"="C:\WINDOWS\system32\printer.exe"

Entrada Eliminada [HKCU\...\Run] "Spoolsv"="C:\WINDOWS\system32\spoolvs.exe"

Eliminada Class, "{76B9E134-ED94-4932-B763-BCA86F29DBCB}" -> C:\WINDOWS\system32\xxwvw.dll

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Sistema Infectado por el Downloader.ConHook

Sistema Infectado por el Downloader.ConHook2

Sistema Infectado por el Vundo9

(C:\WINDOWS\SYSTEM32\XXWVW.DLL)

No Detectada Utilidad "ELINOTIF.DLL" (Necesaria para la Limpieza)

[msc hotline sat]

Pues aparte de lo ultimo que te indica:



"[b][i]

No Detectada Utilidad "ELINOTIF.DLL" (Necesaria para la Limpieza)[/i][/b]"



Para lo cual decimos:



https://foros.zonavirus.com/viewtopic.php?f=5&t=18469





Y ademas envianos estos tres nuevos sospechosos, como se te pide en el infosat:





[b][i]Por favor, envienos una muestra del fichero

C:\Muestras\GEBCAWW.DLL.Muestra EliStartPage v15.62





Por favor, envienos una muestra del fichero

C:\Muestras\XXWVW.DLL.Muestra EliStartPage v15.62



Por favor, envienos una muestra del fichero

C:\Muestras\DJSMCSPQ.DLL.Muestra EliStartPage v15.62 [/i][/b]





De todas formas descarga el ELINOTIF.DLL arriba indicado y vuelve a pasar el ELISTARA. que igual con ello ya ha podido eliminar alguno de ellos.



Y tras recibirlos y analizarlos, informaremos



saludos



ms, 9-2-2008

[gerard10]

Aqui el nuevo , lo tuve que hacer un par de veces porque no se reinicio la primera vez , se quedo colgado:



Sat Feb 09 11:15:31 2008

EliStartPage v15.62 (c)2008 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Key Eliminada [WinLogon\Notify\GEBCAWW] -> C:\WINDOWS\SYSTEM32\gebcaww.dll

Entrada Eliminada [HKLM\...\Run] "7425fdd0"="rundll32.exe "C:\WINDOWS\system32\xbooejov.dll",b" (Vundo)

[WinLogon\Notify\GEBCAWW]

Por favor, envienos una muestra del fichero

C:\WinLogon\GEBCAWW.DLL

a "virus@satinfo.es". Gracias.

Key Eliminada [WinLogon\Notify\RYIVNRQI] -> C:\WINDOWS\SYSTEM32\RYIVNRQI.DLL

C:\WINDOWS\SYSTEM32\PRINTER.EXE --> Eliminado AntiVirus2007Pro(dldr)

C:\WINDOWS\SYSTEM32\SPOOLVS.EXE --> Eliminado AntiVirus2007Pro(dldr)

Por favor, envienos una muestra del fichero

C:\Muestras\GEBCAWW.DLL.Muestra EliStartPage v15.62

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\GEBCAWW.DLL --> Acceso Denegado.

Por favor, envienos una muestra del fichero

C:\Muestras\XBOOEJOV.DLL.Muestra EliStartPage v15.62

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\XBOOEJOV.DLL --> Renombrado a .VIR

Por favor, envienos una muestra del fichero

C:\Muestras\XXWVW.DLL.Muestra EliStartPage v15.62

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\XXWVW.DLL --> Acceso Denegado.

C:\WINDOWS\SYSTEM32\RYIVNRQI.DLL --> Vundo Acceso Denegado.

Entrada Eliminada [HKLM\...\Run] "PRINTER"="C:\WINDOWS\system32\printer.exe"

Entrada Eliminada [HKCU\...\Run] "Spoolsv"="C:\WINDOWS\system32\spoolvs.exe"

Eliminada Class, "{76B9E134-ED94-4932-B763-BCA86F29DBCB}" -> C:\WINDOWS\system32\xxwvw.dll

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Sat Feb 09 11:16:34 2008

EliStartPage v15.62 (c)2008 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\EJ.EXE --> Eliminado, QLowZonea2

C:\Archivos de programa\MSN Messenger\RICHED20.DLL --> Eliminado, MyWebSearch

C:\Documents and Settings\Administrador\Menú Inicio\Programas\Inicio\FINDFAST.EXE --> Eliminado, AntiVirus2007Pro(dldr)

C:\Documents and Settings\All Users\Menú Inicio\Programas\Inicio\AUTORUN.EXE --> Eliminado, AntiVirus2007Pro(dldr)

C:\Documents and Settings\Gerard\Datos de programa\PRINTER.EXE --> Eliminado, AntiVirus2007Pro(dldr)

C:\Documents and Settings\Gerard\Menú Inicio\Programas\Inicio\FINDFAST.EXE --> Eliminado, AntiVirus2007Pro(dldr)

C:\Program Files\ATI Technologies\ATI Control Panel\ATIPRBXX.EXE --> Eliminado, Swizzor(lop)

C:\WINDOWS\SHELL.EXE --> Eliminado, AntiVirus2007Pro(dldr)

C:\WINDOWS\Downloaded Program Files\F3INITIALSETUP1.0.0.15.INF --> Eliminado, MyWebSearch(inf)

C:\WINDOWS\system32\40.EXE --> Eliminado, Dialer(bix)

C:\WINDOWS\system32\DRVDAW.DLL --> Eliminado, Dialer-YZ

C:\WINDOWS\system32\DRVFES.DLL --> Eliminado, Dialer-YZ

C:\WINDOWS\system32\DRVGUT.DLL --> Eliminado, Dialer-YZ

C:\WINDOWS\system32\PRINTER.EXE --> Eliminado, AntiVirus2007Pro(dldr)

C:\WINDOWS\system32\RYIVNRQI.DLL --> Acceso Denegado, Vundo

C:\WINDOWS\system32\SPOOLVS.EXE --> Eliminado, AntiVirus2007Pro(dldr)

C:\WINDOWS\system32\XDJQORKP.DLL --> Eliminado, Vundo

C:\WINDOWS\Temp\GOS2058.TMP --> Eliminado, Dialer-YZ

C:\WINDOWS\Temp\GOS2064.TMP --> Eliminado, Dialer-YZ

C:\WINDOWS\Temp\GOS2074.TMP --> Eliminado, Dialer-YZ

C:\WINDOWS\Temp\GOS2089.TMP --> Eliminado, Dialer-YZ



Nº Total de Directorios: 6181

Nº Total de Ficheros: 79395

Nº de Ficheros Analizados: 18106

Nº de Ficheros Infectados: 21

Nº de Ficheros Limpiados: 20

Sistema Infectado por el Downloader.ConHook

Sistema Infectado por el Downloader.ConHook2

Sistema Infectado por el Vundo9

(C:\WINDOWS\SYSTEM32\XXWVW.DLL)

Instalada Utilidad "ELINOTIF.DLL" (Reinicie de Nuevo para Completar la Limpieza)



EliNotify v1.8.02.06 (c)2008 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones:

Detectado DownLoader.ConHook

C:\WINDOWS\SYSTEM32\gebcaww.dll -> Eliminado.

Elininada KEY "Winlogon\Notify\GEBCAWW"

Detectado Vundo9

Elininada Class {9DD5B171-1538-482A-A334-A50ADE09051F}

Elininado BHO {9DD5B171-1538-482A-A334-A50ADE09051F}

Desinstalado EliNotif.dll



Sat Feb 09 11:58:44 2008

EliStartPage v15.62 (c)2008 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Key Eliminada [WinLogon\Notify\RYIVNRQI] -> C:\WINDOWS\SYSTEM32\ryivnrqi.dll

Key Eliminada [WinLogon\Notify\RYIVNRQI] -> C:\WINDOWS\SYSTEM32\RYIVNRQI.DLL

C:\WINDOWS\SYSTEM32\PRINTER.EXE --> Eliminado AntiVirus2007Pro(dldr)

C:\WINDOWS\SYSTEM32\SPOOLVS.EXE --> Eliminado AntiVirus2007Pro(dldr)

C:\WINDOWS\SYSTEM32\RYIVNRQI.DLL --> Vundo Acceso Denegado.

Por favor, envienos una muestra del fichero

C:\Muestras\XXWVW.DLL.Muestra EliStartPage v15.62

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\XXWVW.DLL --> Acceso Denegado.

C:\WINDOWS\SYSTEM32\RYIVNRQI.DLL --> Vundo Acceso Denegado.

Entrada Eliminada [HKLM\...\Run] "PRINTER"="C:\WINDOWS\system32\printer.exe"

Entrada Eliminada [HKCU\...\Run] "Spoolsv"="C:\WINDOWS\system32\spoolvs.exe"

Eliminada Class, "{3A27DE6D-C7CE-428A-B563-947447E973A3}" -> C:\WINDOWS\system32\xxwvw.dll

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Sistema Infectado por el Downloader.ConHook2

Sistema Infectado por el Vundo9

(C:\WINDOWS\SYSTEM32\XXWVW.DLL)

Instalada Utilidad "ELINOTIF.DLL" (Reinicie de Nuevo para Completar la Limpieza)



EliNotify v1.8.02.06 (c)2008 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones:

Detectado DownLoader.ConHook2

Elininada KEY "Winlogon\Notify\RYIVNRQI"

Detectado Vundo9

Elininada Class {A92DC41E-9866-4C04-8E0B-90413956D822}

Elininado BHO {A92DC41E-9866-4C04-8E0B-90413956D822}

Desinstalado EliNotif.dll



Sat Feb 09 12:05:16 2008

EliStartPage v15.62 (c)2008 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Por favor, envienos una muestra del fichero

C:\Muestras\XXWVW.DLL.Muestra EliStartPage v15.62

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\XXWVW.DLL --> Acceso Denegado.

Eliminada Class, "{15E1F37E-89F3-4B43-9127-4DCED42F4427}" -> C:\WINDOWS\system32\xxwvw.dll

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Sistema Infectado por el Vundo9

(C:\WINDOWS\SYSTEM32\XXWVW.DLL)

Instalada Utilidad "ELINOTIF.DLL" (Reinicie de Nuevo para Completar la Limpieza)

[gerard10]

Ya mande las muestras

[gerard10]

Hola , no se si falta algo por enviar , o si no ha llegado , si es asi decidmelo , porque no puedo conectarme siempre ya que no tengo internet en casa. Gracias

[msc hotline sat]

El lunes procesaremos las muestras recibidas durante el fin de semana, cuando nos reincorporemos al trabajo en SATINFO.



Hasta entonces.



saludos



ms, 9-2-2008





NOTA: y al menos este ya ha pasado a la historia:


[quote]C:\WINDOWS\SYSTEM32\gebcaww.dll -> Eliminado.

Elininada KEY "Winlogon\Notify\GEBCAWW" [/quote]

y con este otro



Sistema Infectado por el Vundo9

(C:\WINDOWS\SYSTEM32\XXWVW.DLL)



ya puedes proceder como indicamos en:



https://foros.zonavirus.com/informacion-sobre-vundo-9-control-y-eliminacion-vt22997.html



saludos



ms, 9-2-2008

[gerard10]

Hola , no hay otra manera de eliminar este fastidioso vundo 9? Es que mis conocimientos de informatica no me llegan como pa hacer lo que piden , y no tengo el cd de instalacion de windows ni aunque lo tuviera sabría como hacerlo. Si podeis ayudarme os lo agradeceria.

[msc hotline sat]

Pues si tienes instalado el XP deberías tenerlo...



Y con que te lo deje un amigo para arrancar con él y acceder a la consola de recuperacion sería suficiente, y en un minuto está solucionado (tras arrancar pulsar R, ir al directorio de sistema y con un DEL borrar el fichero...)



Otra forma si la hay, coloca el disco duro como esclavo de otra máquina similar, arranca con el master y accede a la carpeta de sistema del esclavo y desde windows borra dicho fichero, luego vuelve a ponerlo en su sitio..., hazlo como quieras o puedas



saludos



ms, 12-2-2008