Vundo9 indestructible??

[LeJump]

Muy buenas, hace algun tiempo estuvo por aca con un problema con el Vundo9, luego de intentar de todo decidi desistir. Ahora apunto de formatear me he dado de cuenta que tengo info importante en ese disco por lo que me toca intentar borrarlo.



Por favor agradeceria que me ayudaran a acabar con el, por ahora he hecho todo lo que se indica en la pagina e incluso lo conecte a otra maquina para borrar los archivos, lo hice y hay "algo" que los resucita cuando inicia windows nuevamente.



Aca lo q me dice el infosat





Sat Mar 15 16:32:28 2008

EliStartPage v15.87 (c)2008 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Entrada Eliminada [HKLM\...\Run] "b80be231"="rundll32.exe "C:\WINDOWS\system32\qfajmqai.dll",b" (Vundo)

Entrada Eliminada [HKLM\...\Run] "BMbb38d1ad"="Rundll32.exe "C:\WINDOWS\system32\nanajjce.dll",s" (Vundo)

Por favor, envienos una muestra del fichero

C:\Muestras\QFAJMQAI.DLL.Muestra EliStartPage v15.87

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\QFAJMQAI.DLL --> Renombrado a .VIR

Por favor, envienos una muestra del fichero

C:\Muestras\NANAJJCE.DLL.Muestra EliStartPage v15.87

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\NANAJJCE.DLL --> Renombrado a .VIR

C:\WINDOWS\PSKT.INI --> Eliminado (Fichero Complementario).

No detectado Parche MS04-011 de Microsoft instalado. (LSASS)

No detectado Parche MS04-012 de Microsoft instalado. (RPC)

No detectado Parche MS06-070 de Microsoft instalado. (SServidor)

ALERTA. WindowsUpdate Incompleto.

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Reinicie para Completar la Limpieza.



Sat Mar 15 16:34:21 2008

EliStartPage v15.87 (c)2008 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\Archivos de programa\Adobe\Reader 8.0\Reader\READER_SL.EXE --> Eliminado, Trast

C:\Archivos de programa\VIA\VIAudioi\SBADeck\ADECK.EXE --> Eliminado, Trast

C:\Muestras\NNNMK.DLL.MUESTRA ELISTARTPAGE V15.57 --> Eliminado, Vundo9

C:\Muestras\NNNMK.EXE.MUESTRA ELISTARTPAGE V15.57 --> Eliminado, Trast

C:\RECYCLER\S-1-5-21-329068152-115176313-1801674531-1003\DD1.DLL --> Eliminado, Vundo9

C:\RECYCLER\S-1-5-21-329068152-115176313-1801674531-1003\DD2.EXE --> Eliminado, Trast

C:\WINDOWS\system32\BRWQUEFN.DLL --> Eliminado, Vundo5

C:\WINDOWS\system32\FBMKBARG.DLL --> Eliminado, Vundo

C:\WINDOWS\system32\NNNMK.DLL --> Acceso Denegado, Vundo9 (Reiniciar para Completar la Limpieza)

C:\WINDOWS\system32\NNNMK.EXE --> Eliminado, Trast



Nº Total de Directorios: 2782

Nº Total de Ficheros: 31115

Nº de Ficheros Analizados: 8625

Nº de Ficheros Infectados: 10

Nº de Ficheros Limpiados: 9

Sistema Infectado por el Vundo9

(C:\WINDOWS\SYSTEM32\NNNMK.DLL)

Instalada Utilidad "ELINOTIF.DLL" (Reinicie de Nuevo para Completar la Limpieza)



EliNotify v1.7.11.28 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones:

Detectado Vundo9

Elininada Class {4684D941-7083-4ED2-95CD-8781DBA0AF6D}

Elininado BHO {4684D941-7083-4ED2-95CD-8781DBA0AF6D}

Desinstalado EliNotif.dll



Sat Mar 15 16:45:52 2008

EliStartPage v15.87 (c)2008 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Entrada Eliminada [HKLM\...\Run] "BMbb38d1ad"="Rundll32.exe "C:\WINDOWS\system32\nanajjce.dll",s" (Vundo)

C:\WINDOWS\SYSTEM32\NANAJJCE.DLL.VIR --> Eliminado.

C:\WINDOWS\SYSTEM32\NNNMK.DLL --> Vundo9 Acceso Denegado.

C:\WINDOWS\SYSTEM32\NNNMK.EXE --> Eliminado Trast

Eliminada Class, "{3D908785-0F4B-45A1-9863-680DD3D2B3B1}" -> C:\WINDOWS\system32\nnnmk.dll

No detectado Parche MS04-011 de Microsoft instalado. (LSASS)

No detectado Parche MS04-012 de Microsoft instalado. (RPC)

No detectado Parche MS06-070 de Microsoft instalado. (SServidor)

ALERTA. WindowsUpdate Incompleto.

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Reinicie para Completar la Limpieza.

Sistema Infectado por el Vundo9

(C:\WINDOWS\SYSTEM32\NNNMK.DLL)

Instalada Utilidad "ELINOTIF.DLL" (Reinicie de Nuevo para Completar la Limpieza)



---------------------------------------------------------------------------------------------------------------------

[lucl]

Bueno el elistara te pide muestras que debes enviarnos



Por favor, envienos una muestra del fichero

C:\Muestras\QFAJMQAI.DLL.Muestra EliStartPage v15.87





Por favor, envienos una muestra del fichero

C:\Muestras\NANAJJCE.DLL.Muestra EliStartPage v15.87





sigue las instrucciones del link que te pongo debajo



https://foros.zonavirus.com/viewtopic.php?f=2&t=45334





ademas para eliminar el vundo9 debes seguir estas otras instrucciones que te dejo en el siguiente link, nos comentas avances, saludos



https://foros.zonavirus.com/viewtopic.php?f=5&t=23759

[LeJump]

Ahora mismo envio las muestras



Con respecto al Vundo 9, como dije he hecho de todo para borrarlo y siempre resucita. Lo he intentado con las utilidades de esta pagina, con otras e incluso conectando el disco como esclavo a otra maquina borrandolo a mano, al final los archivos NNNMK.DLL y NNNMK.EXE resucitan. Al iniciar el sistema indica que no lo encuentra y luego por arte de magia reaparecen.

[lucl]

BIen peganos el log de hijackthis a ver si tenemos algo ahi, si no lo miraremos con el sprocess pero de momento ve haciendo esto otro que te digo, saludos



[b]

[color=yellow]HJT : (HiJackThis)[/color][/b]



[i]¿Como utilizar el Hijackthis ?[/i]

Lo primero que debemos hacer es descargarlo en nuestro ordenador y lócalo en una carpeta propia C:\HijackThis\

Ejecútalo y presiona el botón "[b]Do a system scan and save a logfile[/b]"; el programa realizará el escaneo e inmediatamente generará el Log, sólo te pedira el nombre del archivo y su ubicación, puedes simplemente guardarlo así como está.

Se abrirá el Bloc de Notas, copia todo el contenido y pégalo como respuesta de este Tema

· [url=http://www.zonavirus.com/descargas/trendmicro-hijackthis.asp][b]Descargar Hijackthis[/b][/url]



Tras analizarlo, informaremos

[LeJump]

Listo, aca el log del hijack



Logfile of HijackThis v1.99.1

Scan saved at 17:30:13, on 15/03/2008

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Archivos de programa\eBoostr\EBstrSvc.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\wscntfy.exe

C:\Archivos de programa\VIAudioi\SBADeck\ADeck.exe

C:\WINDOWS\system32\RUNDLL32.EXE

C:\WINDOWS\system32\ctfmon.exe

C:\Archivos de programa\Spybot - Search & Destroy\TeaTimer.exe

C:\Archivos de programa\DAEMON Tools Lite\daemon .exe

C:\Archivos de programa\VIAudioi\SBADeck\ADeck .exe

C:\Archivos de programa\eBoostr\eBoostrCP.exe

C:\Archivos de programa\DAEMON Tools Lite\daemon .exe

C:\Archivos de programa\Spybot - Search & Destroy\TeaTimer .exe

C:\WINDOWS\System32\svchost.exe

C:\ARCHIV~1\MOZILL~1\FIREFOX.EXE

C:\hijackthis\HijackThis.exe



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = :

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [AudioDeck] C:\Archivos de programa\VIAudioi\SBADeck\ADeck.exe 1

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Archivos de programa\Adobe\Reader 8.0\Reader\Reader_sl.exe"

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [b80be231] rundll32.exe "C:\WINDOWS\system32\qfajmqai.dll",b

O4 - HKLM\..\RunOnce: [ReEXEc] C:\ELISTARA.BD%D8CB%D8%D8H.EXE

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Archivos de programa\Spybot - Search & Destroy\TeaTimer.exe

O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Archivos de programa\DAEMON Tools Lite\daemon .exe" -autorun

O4 - Global Startup: eBoostr Control Panel.lnk = C:\Archivos de programa\eBoostr\eBoostrCP.exe

O8 - Extra context menu item: &Download by Orbit - res://C:\Archivos de programa\Orbitdownloader\orbitmxt.dll/201

O8 - Extra context menu item: &Grab video by Orbit - res://C:\Archivos de programa\Orbitdownloader\orbitmxt.dll/204

O8 - Extra context menu item: Do&wnload selected by Orbit - res://C:\Archivos de programa\Orbitdownloader\orbitmxt.dll/203

O8 - Extra context menu item: Down&load all by Orbit - res://C:\Archivos de programa\Orbitdownloader\orbitmxt.dll/202

O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll

O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O11 - Options group: [INTERNATIONAL] International*

O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/spanish//kavwebscan_unicode.cab

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1202049732823

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{F37B771A-3248-4620-9D4B-F11A03174259}: NameServer = 192.168.1.1

O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll

O23 - Service: eBoostr Service (EBOOSTRSVC) - Unknown owner - C:\Archivos de programa\eBoostr\EBstrSvc.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

[msc hotline sat]

Sí, envianos el fichero que indica indica lucl, y que alguno vemos vivo en el log del HJT



[b]¿Como enviar las muestras a zonavirus? - Para ello recordar[/b]:

https://foros.zonavirus.com/viewtopic.php?f=5&t=14253



Tras recibirlo, lo analizaremos y pasaremos a controlar, pero mientras, despues de enviar dicha muestra, procede a eliminar este fichero, arrancando en consola de recuepracion:


[quote]Sistema Infectado por el Vundo9

(C:\WINDOWS\SYSTEM32\NNNMK.DLL)[/quote]

como ya indicamos en :



https://foros.zonavirus.com/viewtopic.php?f=12&t=22997



saludos



ms, 16-03-2008

[LeJump]

Gracias por la ayuda, ya he enviado las muestras.



En cuanto al archivo nnnmk.dll y nnnmk.exe, ya los he borrados unas cuatro veces y siempre vuelven, conectando de esclavo el disco duro y desde la consola de recuperacion, hay algo que hace que vuelvan.



Estuve revisando y es tan cierto lo que digo que los archivos tienen fecha de creacion del dia de hoy, es decir, q efectivamente habian sido borrados pero vuelven.

[msc hotline sat]

Si los has borrado arrancando en consola de recuperacion y tras ello vuelven a crearse en el siguiente reinicio, es que hay un dropper o un downloader que los crea o descarga en cada arranque, pues mientras no se descubra el causante, una vez eliminados como ya sabes hacer, desde la misma consola de recuperacion y tras acabar de eliminar la DLL con un DEL nnnmk.dll , crea una carpeta con dicho nombre en la misma carpeta, con [b][i]MD nnnmk.dll[/i][/b] para que no se pueda regenerar de nuevo dicha DLL en el proximo reinicio



Y nos cuentas el resultado, gracias



saludos



ms, 16-03-2008

[LeJump]

Por fin pude borrarlos con lo de las carpetas, al menos ahora tengo las carpetas nnnmk.dll nnnmk.exe y no los archivos :D



Ahora cuando inicio el sistema se me abre la carpeta nnnmk.exe, en msconfig vi que esta para que arranque de inicio. Todavia veo varias entras de nnnmk.dll en el registro.



Ojala me puedan ayudar a terminar de limpiarla, al parecer vamos por buen camino,

[lucl]

Ya veras como si podemos ayudarte, estate atento mañana para el resultado de las muestras, saludos

[msc hotline sat]

Sí, tras analizar la muestra implementaremos su control y eliminacion, si procede, en el ELISTARA de hoy y con ello la eliminacion de las claves respectivas, pero si quiere, mientras, pruebe de eliminar dichas claves con un FIX CHECKED del HJT



[b]¿Como enviar las muestras a zonavirus? - Para ello recordar[/b]:

https://foros.zonavirus.com/viewtopic.php?f=5&t=14253



saludos



ms, 17-03-2008

[msc hotline sat]

Las muestras del VUNDO9 ya se controlan con el actual ELISTARA, y las otras dos no controladas son del tipo VUNDO 5 y pasamos a implementar su control y eliminacion en la version de hoy del ELISTARA 15.88



A partir de las 19 h GMT, estará disponible en esta web, para pruebas de evaluacion en el foro de zonavirus



saludos



ms, 17-03-2008