Detectado virus en ddccccCT.dll (SOLUCIONADO)

[npi]

Saludos pues el problema es que al pasar un ativirus online me detecta un virus en el archivo ddccccCT.dll archivo que no consigo eliminar por que dice esta siendo utilizado por algun programa lo he intentado con el unlocker y se me reinicia el ordendor por que dice que esta siendo utilizado por explorer y por un proceso llamado winlogon.exe he pasado las herramientas de seguridad de esta pagina y no hay manera.¿Podrian ayudarme? Gracias Tengo el avast antivirus que tampoco lo elimina.

[msc hotline sat]

Pues envianos dicho fichero ddccccCT.dll para analizar, y procederemos a monitorizarloi e implementar su control y eliminacion, si procede, en nuestras utilidades. de lo cual informaremos



[b]¿Como enviar las muestras a zonavirus? - Para ello recordar[/b]:

https://foros.zonavirus.com/viewtopic.php?f=5&t=14253



Aparte, mientras tanto, envienos log del HJT :



[b]

[color=yellow]HJT : (HiJackThis)[/color][/b]



[i]¿Como utilizar el Hijackthis ?[/i]

Lo primero que debemos hacer es descargarlo en nuestro ordenador y ubicarlo en una carpeta propia C:\HijackThis\

Ejecútarlo y presionar el botón "[b]Do a system scan and save a logfile[/b]"; el programa realizará el escaneo e inmediatamente generará el Log, sólo te pedira el nombre del archivo y su ubicación, puedes simplemente guardarlo así como está.

Se abrirá el Bloc de Notas, copia todo el contenido y pégalo como respuesta de este Tema

· [url=http://www.zonavirus.com/descargas/trendmicro-hijackthis.asp][b]Descargar Hijackthis[/b][/url]





y tras analizarlo informaremos



saludos



ms, 23-04-2008

[npi]

Gracias por la respuesta tan rapida una vez mas. Aqui les dejo lo que me pedian:



Logfile of HijackThis v1.99.1

Scan saved at 11:43:03, on 23/04/2008

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16640)



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Archivos de programa\Alwil Software\Avast4\aswUpdSv.exe

C:\Archivos de programa\Alwil Software\Avast4\ashServ.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\WINDOWS\system32\oodag.exe

C:\Archivos de programa\Raxco\PerfectDisk\PDAgent.exe

C:\Archivos de programa\Analog Devices\SoundMAX\SMAgent.exe

C:\WINDOWS\system32\svchost.exe

C:\Archivos de programa\Alwil Software\Avast4\ashMaiSv.exe

C:\Archivos de programa\Alwil Software\Avast4\ashWebSv.exe

C:\Archivos de programa\Raxco\PerfectDisk\PDEngine.exe

C:\WINDOWS\Explorer.EXE

C:\Archivos de programa\Analog Devices\SoundMAX\SMax4PNP.exe

C:\Archivos de programa\Analog Devices\SoundMAX\Smax4.exe

C:\WINDOWS\Domino.exe

C:\ARCHIV~1\ALWILS~1\Avast4\ashDisp.exe

C:\WINDOWS\ZSSnp211.exe

C:\Archivos de programa\Java\jre1.6.0_05\bin\jusched.exe

C:\ARCHIV~1\Nokia\NOKIAP~1\LAUNCH~1.EXE

C:\WINDOWS\system32\rundll32.exe

C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe

C:\Archivos de programa\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

C:\Archivos de programa\Microsoft ActiveSync\WCESCOMM.EXE

C:\WINDOWS\system32\ctfmon.exe

C:\Archivos de programa\Archivos comunes\PCSuite\Services\ServiceLayer.exe

C:\Archivos de programa\Windows Live\Messenger\usnsvc.exe

C:\WINDOWS\system32\rundll32.exe

C:\Archivos de programa\Internet Explorer\iexplore.exe

C:\Archivos de programa\Archivos comunes\Microsoft Shared\Windows Live\WLLoginProxy.exe

C:\Archivos de programa\Windows Live\Mail\wlmail.exe

C:\Archivos de programa\WinRAR\WinRAR.exe

C:\Documents and Settings\Miguel Angel\Escritorio\Seguridad\HijackThis.exe



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.es

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\archivos de programa\google\googletoolbar1.dll

O4 - HKLM\..\Run: [SoundMAXPnP] C:\Archivos de programa\Analog Devices\SoundMAX\SMax4PNP.exe

O4 - HKLM\..\Run: [SoundMAX] "C:\Archivos de programa\Analog Devices\SoundMAX\Smax4.exe" /tray

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [Domino] C:\WINDOWS\Domino.exe

O4 - HKLM\..\Run: [avast!] C:\ARCHIV~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [ZSSnp211] C:\WINDOWS\ZSSnp211.exe

O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Archivos de programa\Java\jre1.6.0_05\bin\jusched.exe"

O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\ARCHIV~1\Nokia\NOKIAP~1\LAUNCH~1.EXE -startup

O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent

O4 - HKLM\..\Run: [TkBellExe] "C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [UnlockerAssistant] "C:\Archivos de programa\Unlocker\UnlockerAssistant.exe"

O4 - HKCU\..\Run: [swg] C:\Archivos de programa\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Archivos de programa\Microsoft ActiveSync\WCESCOMM.EXE"

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~4\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_05\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_05\bin\ssv.dll

O9 - Extra button: Crear un favorito móvil - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Archivos de programa\Microsoft ActiveSync\INetRepl.dll

O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Archivos de programa\Microsoft ActiveSync\INetRepl.dll

O9 - Extra 'Tools' menuitem: Crear un favorito móvil... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Archivos de programa\Microsoft ActiveSync\INetRepl.dll

O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~4\OFFICE11\REFIEBAR.DLL

O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll

O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O11 - Options group: [INTERNATIONAL] International*

O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/spanish//kavwebscan_unicode.cab

O16 - DPF: {2D8ED06D-3C30-438B-96AE-4D110FDC1FB8} (ActiveScan 2.0 Installer Class) - http://acs.pandasoftware.com/activescan/cabs/as2stubie.cab

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1206122084000

O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1206122119296

O16 - DPF: {C1BAC744-8F0B-11D0-89E7-00C0A8295197} (Cameractl Class) - http://www.crtvg.es/reproductor/camera.cab

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\WINDOW~4\MESSEN~1\MSGRAP~1.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\WINDOW~4\MESSEN~1\MSGRAP~1.DLL

O18 - Protocol: wlmailhtml - {03C514A3-1EFB-4856-9F99-10D7BE1653C0} - C:\Archivos de programa\Windows Live\Mail\mailcomm.dll

O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll

O23 - Service: Ares Chatroom server (AresChatServer) - Ares Development Group - C:\Archivos de programa\Ares\chatServer.exe

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Archivos de programa\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: avast! Antivirus - ALWIL Software - C:\Archivos de programa\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - Unknown owner - C:\Archivos de programa\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)

O23 - Service: avast! Web Scanner - Unknown owner - C:\Archivos de programa\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)

O23 - Service: Google Updater Service (gusvc) - Google - C:\Archivos de programa\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: NBService - Nero AG - C:\Archivos de programa\Nero\Nero 7\Nero BackItUp\NBService.exe

O23 - Service: NMIndexingService - Nero AG - C:\Archivos de programa\Archivos comunes\Ahead\Lib\NMIndexingService.exe

O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe

O23 - Service: Office Source Engine (ose) - Unknown owner - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Source Engine\OSE.EXE (file missing)

O23 - Service: PDAgent - Raxco Software, Inc. - C:\Archivos de programa\Raxco\PerfectDisk\PDAgent.exe

O23 - Service: PDEngine - Raxco Software, Inc. - C:\Archivos de programa\Raxco\PerfectDisk\PDEngine.exe

O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe

O23 - Service: ServiceLayer - Nokia. - C:\Archivos de programa\Archivos comunes\PCSuite\Services\ServiceLayer.exe

O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Archivos de programa\Analog Devices\SoundMAX\SMAgent.exe

[msc hotline sat]

El log está limpio, nada que modificar, lo que haga este supuesto malware ddccccCT.dll lo hace fuera del log.



Cuando recibamos la muestra, procederemos.



saludos



ms, 23-04-2008

[npi]

He intentado enviarles la muestra de virus siguiendo las instrucciones pero no me deja ni comprimiendo.

[msc hotline sat]

Arranca en modo seguro, empaqueta dicho fichero con password VIRUS, (seleccionando opciones avanzadas), luego arranca normal y envianos el fichero empaquetado con password, veras como no tienes problema, pues al estar cifrado, ningun antivirus podrá interceptarlo



saludos



ms, 23-04-2008

[npi]

He seguido las instrucciones y ahora creo haber podido enviarlos espero me lo confiermen.Me voy a currar luego mirare si habeis podido hacer algo

[msc hotline sat]

Pues si que le ha hecho daño este virus... :roll: , o mas bien es otro por el que ha de ir a curarse. :wink:



De este ya nos cuidaremos nosotros.



En cuanto lo hayamos analizado, informaremos



saludos



ms, 23-04-2008

[npi]

He vuelto a enviar la muestra de virus a ver si esta vez les llega y no iba a curarme me referia a currar de trabajar no llega a tanto el virus.Creo que esta vez si lo he hecho correctamente.

[msc hotline sat]

Ah bueno ! pensabamos que te habias pegado con él, ya que a veces no hay para menos ...



En unas dos horas entraremos a trabajar en SATINFO y si han llegado, procederemos con ellas



saludos



ms, 24-04-2008

[msc hotline sat]

No indicaste nick del foro en el mail, que es lo unico que pedimos !!!



Pero por suerte el nombre del fichero era singular y lo he podido asignar a tu Tema...



En un analisis previo se ven rutinas de VUNDO.



Se monitorizará e implementar su control y eliminacion en el ELISTARA 16.16 de lo cual informaremos



A partir de las 19 h GMT, estará disponible en esta web, para pruebas de evaluacion en el foro de zonavirus



[b] ELISTARA: [/b]

http://www.zonavirus.com/descargas/elistara.asp



Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso





saludos



ms, 24-04-2008

[npi]

Creo que se lo habeis cargado jajajajaj un punto para vosotros sois unos maquinas muchas gracias.





Thu Apr 24 22:38:32 2008

EliStartPage v16.16 (c)2008 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\Muestras\DDCCCCCT.DLL.MUESTRA ELISTARTPAGE V16.14 --> Eliminado, DownLoader.ConHook(notify)

C:\WinLogon\DDCCCCCT.DLL --> Eliminado, DownLoader.ConHook(notify)



Nº Total de Directorios: 4914

Nº Total de Ficheros: 45573

Nº de Ficheros Analizados: 18501

Nº de Ficheros Infectados: 2

Nº de Ficheros Limpiados: 2



y ahi lo que me pediais hasta la proxima que seguro no tarda mucho.

[npi]

Bueno aqui estoy otra vez resulta que os puse el el resultado antes de terminar y cuando le he dado a cerrar el elistara me ha dicho que estaba infectado no se que archivo con el vando9 (creo)pero no he apuntado el archivo que reiniciara para completar la eliminacion he reiniciado y me a ejecutado la herramienta antes de arrancar pero sin elimnar nada mas ¿puedo estar traquilo o todabia tengo algo?

[msc hotline sat]

Pues no, muy tranquilo no, pero tampoco nervioso, simplemente sigue nuestras instrucciones al respecto:



https://foros.zonavirus.com/viewtopic.php?f=5&t=23759



saludos



ms, 25-04-2008





NOTA:



y muy bien por eliminar el que nos habias enviado:


[quote]EliStartPage v16.16 (c)2008 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\Muestras\DDCCCCCT.DLL.MUESTRA ELISTARTPAGE V16.14 --> Eliminado, DownLoader.ConHook(notify)

C:\WinLogon\DDCCCCCT.DLL --> Eliminado, DownLoader.ConHook(notify)[/quote] ms.

[npi]

Hola otra vez. He vuelto a pasar la utilidad elistara y no me detecta nada como la vez que lo detecto no apunte el archivo que tenia el vando9 del que hablamos ahora no se cual es así que no se si es que la ha eliminado o que simplemente no la detecta así que este o no este si no se donde no puedo seguir las instrucciones de todas maneras por lo que he leído no m e queda claro que comando he de escribir en la consola de recuperación ¿podrían darme mas destalles por si lo volviera a localizar.?

[msc hotline sat]

Sí, normalmente el VUNDO9 hemos de rematarlo desde consola de recuperacion, lo cual indicamos en:



https://foros.zonavirus.com/viewtopic.php?f=5&t=23759



pero cada dia salen nuevas variantes, algunas mas resistenetes y otras menos, quizas las tuya era de las de menor resistencia, mejor :wink:



Pues bueno, entonces si ya no hay nada mas y no persiste ninguna anomalia, daremos el Tema por solucionado y procedemos a cerrarlo



Si nos necesitas de nuevo, ya sabes donde estamos



saludos



ms, 25-04-2008

[npi]

Muchas gracias.

[msc hotline sat]

Damos pues el Tema por solucionado y procedemos a cerrarlo



Si nos necesitas de nuevo, ya sabes donde estamos



saludos



ms, 25-04-2008