Tengo un vundo9 (troyano) ..REVISEN MI HIJACKTHIS (SOLVED)

[carlos andres medina]

HOLA A TODOS...

MI PROBLEMA ES QUE TENGO UN VIRUS EN EL PC QUE ME ABRE PAGINAS EMERGENTES PARA DESCARGA DE ANTIVIRUS...A VECES NI SIQUIERA ME DEJA CONECTARME A INTERNET...

NI EL AVG NI EL NOD32 LO DETECTAN SOLO EL ELISTARA QUE ME LO DETECTO COMO VUNDO9...

CON LA AYUDA DE USTEDES YA TENGO UNOS PASOS PARA ELIMINAR EL VUNDO..PERO LO QUE NO SE ES QUE ENTRADAS BORRAR DEL HIJACKTHIS (LAS QUE ME DETECTO DEL MALWARE) ..ES DECIR A QUE LE DEBO DAR FIX CHECKED?



Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 12:23:27 a.m., on 10/05/2008

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Boot mode: Normal



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Archivos de programa\Grisoft\AVG Anti-Spyware 7.5\guard.exe

C:\Archivos de programa\ESET\ESET NOD32 Antivirus\ekrn.exe

C:\Archivos de programa\Google\Common\Google Updater\GoogleUpdaterService.exe

C:\WINDOWS\system32\svchost.exe

C:\MATLAB6p5\webserver\bin\win32\matlabserver.exe

C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7DEBUG\MDM.EXE

C:\Archivos de programa\CyberLink\PowerDVD\PDVDServ.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\VTTimer.exe

C:\WINDOWS\SOUNDMAN.EXE

C:\Archivos de programa\HP\HP Software Update\HPWuSchd2.exe

C:\Archivos de programa\Mx One\mogtr.exe

C:\Archivos de programa\Java\jre1.6.0_05\bin\jusched.exe

C:\Archivos de programa\ESET\ESET NOD32 Antivirus\egui.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Archivos de programa\HP\Digital Imaging\bin\hpqtra08.exe

C:\Archivos de programa\HP\Digital Imaging\bin\hpqSTE08.exe

C:\WINDOWS\system32\rundll32.exe

C:\WINDOWS\system32\wuauclt.exe

C:\WINDOWS\explorer.exe

C:\Archivos de programa\Windows Live\Messenger\usnsvc.exe

C:\Archivos de programa\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

C:\WINDOWS\system32\rundll32.exe

C:\ARCHIV~1\MOZILL~1\FIREFOX.EXE

C:\Archivos de programa\Trend Micro\HijackThis\HijackThis.exe



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = wmplayer.exe //ICWLaunch

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O3 - Toolbar: Asistente para Internet de Encarta - {147D6308-0614-4112-89B1-31402F9B82C4} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Encarta Web Companion\2007\ENCWCBAR.DLL

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\archivos de programa\google\googletoolbar2.dll

O4 - HKLM\..\Run: [RemoteControl] "C:\Archivos de programa\CyberLink\PowerDVD\PDVDServ.exe"

O4 - HKLM\..\Run: [LanguageShortcut] "C:\Archivos de programa\CyberLink\PowerDVD\Language\Language.exe"

O4 - HKLM\..\Run: [VTTimer] VTTimer.exe

O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [HP Software Update] C:\Archivos de programa\HP\HP Software Update\HPWuSchd2.exe

O4 - HKLM\..\Run: [Mx_One_Guardian_Tiempo_Real] C:\Archivos de programa\Mx One\mogtr.exe

O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Archivos de programa\Java\jre1.6.0_05\bin\jusched.exe"

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Archivos de programa\Adobe\Reader 8.0\Reader\Reader_sl.exe"

O4 - HKLM\..\Run: [Google Desktop Search] "C:\Archivos de programa\Google\Google Desktop Search\GoogleDesktop.exe" /startup

O4 - HKLM\..\Run: [egui] "C:\Archivos de programa\ESET\ESET NOD32 Antivirus\egui.exe" /hide /waitservice

O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Archivos de programa\Grisoft\AVG Anti-Spyware 7.5\Star_avgas.exe.exe" /minimized

O4 - HKLM\..\Run: [BM1fc6003b] Rundll32.exe "C:\WINDOWS\system32\flufkhjl.dll",s

O4 - HKLM\..\Run: [1cf533a7] rundll32.exe "C:\WINDOWS\system32\skgbxpji.dll",b

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [CASHRECT] C:\DOCUME~1\MICROS~1\DATOSD~1\STOPMO~1\site software dumb.exe

O4 - HKCU\..\Run: [swg] C:\Archivos de programa\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICIO LOCAL')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Servicio de red')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O4 - Global Startup: Google Updater.lnk = C:\Archivos de programa\Google\Google Updater\GoogleUpdater.exe

O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Archivos de programa\HP\Digital Imaging\bin\hpqtra08.exe

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_05\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_05\bin\ssv.dll

O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/eng/partner/default/kavwebscan_unicode.cab

O16 - DPF: {CAFECAFE-0013-0001-0009-ABCDEFABCDEF} (JInitiator 1.3.1.9) -

O16 - DPF: {CF40ACC5-E1BB-4AFF-AC72-04C2F616BCA7} (get_atlcom Class) - http://www.adobe.com/products/acrobat/nos/gp.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{63C2ACAF-9202-48F5-9C66-B8E7BE9ECB9F}: NameServer = 200.21.200.2,200.21.200.79

O20 - AppInit_DLLs: C:\ARCHIV~1\Google\GOOGLE~4\GOEC62~1.DLL

O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Archivos de programa\Grisoft\AVG Anti-Spyware 7.5\guard.exe

O23 - Service: Eset HTTP Server (EhttpSrv) - ESET - C:\Archivos de programa\ESET\ESET NOD32 Antivirus\EHttpSrv.exe

O23 - Service: Eset Service (ekrn) - ESET - C:\Archivos de programa\ESET\ESET NOD32 Antivirus\ekrn.exe

O23 - Service: GoogleDesktopManager - Google - C:\Archivos de programa\Google\Google Desktop Search\GoogleDesktop.exe

O23 - Service: Google Updater Service (gusvc) - Google - C:\Archivos de programa\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: MATLAB Server (matlabserver) - Unknown owner - C:\MATLAB6p5\webserver\bin\win32\matlabserver.exe



--

End of file - 6181 bytes

[msc hotline sat]

Aparte de las claves que lanzan las DLL del VUNDO, las cuales deben ser eliminadas por las utilidades correspondientes (ELISTARA+ ELINOTIF) vemos en el log este fichero que podría ser una variante del swizzor creada por el CiD, envianoslo y lo analizaremos:



C:\DOCUME~1\MICROS~1\DATOSD~1\STOPMO~1\site software dumb.exe



[b]¿Como enviar las muestras a zonavirus? - Para ello recordar[/b]:

https://foros.zonavirus.com/viewtopic.php?f=5&t=14253



y para el VUNDO 9, siga las instrucciones:



https://foros.zonavirus.com/viewtopic.php?f=12&t=22997



y recuerde postearnos el contenido de C:\infosat.txt para ver el resultado del proceso.



saludos



ms, 13-05-2008

[carlos andres medina]

MUY AGRADECIDO QUE CONTESTARAS A MI MENSAJE...SOY NUEVO EN ESTE FORO Y ESPERO QUE ME SEA DE GRAN AYUDA...

EL ARCHIVO QUE ME DIJISTE QUE TE MANDARA NO LO ENCONTRE POR NINGUN LADO como hago?? CC:\DOCUME~1\MICROS~1\DATOSD~1\STOPMO~1\site software dumb.exe...



PERO SI ANALIZE MI PC CON EL ELISTARA Y LA EXTENSION ELINOTIF...

AQUI ESTÁ EL RESULTADO...

UNA PREGUNTA ...COMO HAGO CON EL CD DE INSTALACION DE WINDOWS?..LO INSERTO CUANDO YA HAYA INGRESADO A MI SESION?..ES QUE NO TENGO NI IDEA..Y ADEMAS COMO ACCEDO A LA CONSOLA DE RECUPERACION??





Wed May 14 00:01:56 2008

EliStartPage v16.26 (c)2008 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Entrada Eliminada [HKLM\...\Run] "BM1fc6003b"="Rundll32.exe "C:\WINDOWS\system32\swavukex.dll",s" (Vundo)

Por favor, envienos una muestra del fichero

C:\Muestras\KHFEUOIA.DLL.Muestra EliStartPage v16.26

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\KHFEUOIA.DLL --> Acceso Denegado.

Eliminada Class, "{573D211D-5E52-4033-876F-65D0ECE69A7C}" -> C:\WINDOWS\system32\khfEUOIA.dll

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Reinicie para Completar la Limpieza.



Wed May 14 00:02:10 2008

EliStartPage v16.26 (c)2008 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\



Nº Total de Directorios: 9295

Nº Total de Ficheros: 112951

Nº de Ficheros Analizados: 26474

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

Sistema Infectado por el Vundo9

(C:\WINDOWS\SYSTEM32\KHFEUOIA.DLL)

Instalada Utilidad "ELINOTIF.DLL" (Reinicie de Nuevo para Completar la Limpieza)

[lucl]

Debes enviarnos tambien esta muestra para analizar, sigue las instrucciones del link saludos





https://foros.zonavirus.com/viewtopic.php?f=2&t=45334



y para lo del vundo9 ya te lo explicamos en el link pero te lo copio de nuevo



[b]arrancar desde el CD de instalacion de windows, acceder a la Cónsola de Recuperación pulsando R y desde el entorno DOS asi disponible, acceder a la ruta donde está el fichero, generalmente C:\windows\system32 y borrar con un DEL el fichero en cuestion., que se indica en el C:\infosat.txt como infectado por el VUNDO 9 y de ACCESO DENEGADO[/b]



es decir metes el cd reinicias el equipo y te dara la opcion de arrancar desde el cd,

luego cuando te de las diferentes opciones para continuar pulsas R y cuando te salga el cuadro negro deberas poner la direccion que te viene en el log en tu caso es

C:\WINDOWS\SYSTEM32\[b]KHFEUOIA.DLL[/b]



y lo borras con DEL



comentanos si lo consigues, saludos

[msc hotline sat]

Y sobre el fichero que no encuentras, lo lanza tu ordenador en esta clave:



O4 - HKCU\..\Run: [CASHRECT] C:\DOCUME~1\MICROS~1\DATOSD~1\STOPMO~1\site software dumb.exe



SI no conoces esta aplicacion y no lo encuentras, eliminala:



[b]¿Como enviar las muestras a zonavirus? - Para ello recordar[/b]:

https://foros.zonavirus.com/viewtopic.php?f=5&t=14253



saludos



ms, 14-05-2008

[carlos andres medina]

ok muchas gracias...

mañana mismo te tendre una respuesta sobre el cd de windows...

vere si puedo eliminar el archivo .dll

¿es 100% efectivo que se pueda borrar?

[carlos andres medina]

se m,e olvidaba amigo....

la direccion que me diste no la pude ubicar...

pense que estaba como archivo oculto pero no fue asi....

asi que procedere a eliminarla como em dijiste

[msc hotline sat]

Es 100 % efectivo que tras hacer lo correspondiente con el ELISTARA y el ELINOTIF, siguiendo lo indicado en https://foros.zonavirus.com/viewtopic.php?f=12&t=22997 tras arrancar en consola de recuperacion se elimine finalmente la DLL en cuestion, de nombre diferente cada vez.



Otra posibilidad es la de colocar el disco duro como esclavo en otro ordenador , y poder acceder al disco duro sin haber arrancado de él, y así poder eliminar dicho fichero.



Y una tercera arrancando con un LIVE CD, por lo cual para los asociados a SATINFO estamos preparando el CD de utilidades, con un arranque de este tipo, y asi no tener que buscar siempre el de instalacion de windows.



Cuentanos tu resultado final, gracias



saludos



ms, 15-05-2008

[carlos andres medina]

buenas noches amigo de nuevo...disulpa la molestia..

lo que pasa es no pude eliminar la entrada correspondiente a

C:\DOCUME~1\MICROS~1\DATOSD~1\STOPMO~1\site software dumb.exe

porque al correr el hijackThis no la encontré (extraño)...

aqui te dejo el log de hijachThis (ves algo sospechoso?)...

P.D. qUEDO PENDIENTE CON EL CD DE WINDOWS







Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 11:09:06 p.m., on 14/05/2008

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Boot mode: Normal



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Archivos de programa\Grisoft\AVG Anti-Spyware 7.5\guard.exe

C:\Archivos de programa\ESET\ESET NOD32 Antivirus\ekrn.exe

C:\Archivos de programa\Google\Common\Google Updater\GoogleUpdaterService.exe

C:\WINDOWS\system32\svchost.exe

C:\MATLAB6p5\webserver\bin\win32\matlabserver.exe

C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7DEBUG\MDM.EXE

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\svchost.exe

C:\Archivos de programa\CyberLink\PowerDVD\PDVDServ.exe

C:\WINDOWS\system32\VTTimer.exe

C:\WINDOWS\SOUNDMAN.EXE

C:\Archivos de programa\HP\HP Software Update\HPWuSchd2.exe

C:\Archivos de programa\Mx One\mogtr.exe

C:\Archivos de programa\Java\jre1.6.0_05\bin\jusched.exe

C:\Archivos de programa\ESET\ESET NOD32 Antivirus\egui.exe

C:\Archivos de programa\Grisoft\AVG Anti-Spyware 7.5\Star_avgas.exe.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Archivos de programa\HP\Digital Imaging\bin\hpqtra08.exe

C:\Archivos de programa\HP\Digital Imaging\bin\hpqSTE08.exe

C:\Archivos de programa\Windows Live\Messenger\msnmsgr.exe

C:\Archivos de programa\MessengerDiscovery\MessengerDiscovery Live.exe

C:\Archivos de programa\Windows Live\Messenger\usnsvc.exe

C:\Archivos de programa\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

C:\ARCHIV~1\Mozilla Firefox\firefox.exe

C:\WINDOWS\system32\wuauclt.exe

C:\WINDOWS\system32\rundll32.exe

C:\Archivos de programa\Trend Micro\HijackThis\HijackThis.exe



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = wmplayer.exe //ICWLaunch

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O3 - Toolbar: Asistente para Internet de Encarta - {147D6308-0614-4112-89B1-31402F9B82C4} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Encarta Web Companion\2007\ENCWCBAR.DLL

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\archivos de programa\google\googletoolbar2.dll

O4 - HKLM\..\Run: [RemoteControl] "C:\Archivos de programa\CyberLink\PowerDVD\PDVDServ.exe"

O4 - HKLM\..\Run: [LanguageShortcut] "C:\Archivos de programa\CyberLink\PowerDVD\Language\Language.exe"

O4 - HKLM\..\Run: [VTTimer] VTTimer.exe

O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [HP Software Update] C:\Archivos de programa\HP\HP Software Update\HPWuSchd2.exe

O4 - HKLM\..\Run: [Mx_One_Guardian_Tiempo_Real] C:\Archivos de programa\Mx One\mogtr.exe

O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Archivos de programa\Java\jre1.6.0_05\bin\jusched.exe"

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Archivos de programa\Adobe\Reader 8.0\Reader\Reader_sl.exe"

O4 - HKLM\..\Run: [egui] "C:\Archivos de programa\ESET\ESET NOD32 Antivirus\egui.exe" /hide /waitservice

O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Archivos de programa\Grisoft\AVG Anti-Spyware 7.5\Star_avgas.exe.exe" /minimized

O4 - HKLM\..\Run: [BM1fc6003b] Rundll32.exe "C:\WINDOWS\system32\xbvbtddy.dll",s

O4 - HKLM\..\Run: [1cf533a7] rundll32.exe "C:\WINDOWS\system32\offjsuaf.dll",b

O4 - HKLM\..\RunOnce: [ReEXEc] C:\Documents and Settings\Microsoft Windows XP\Escritorio\ELISTARA.BC%D8EB%D8%D8H.EXE

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [swg] C:\Archivos de programa\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICIO LOCAL')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Servicio de red')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O4 - Global Startup: Google Updater.lnk = C:\Archivos de programa\Google\Google Updater\GoogleUpdater.exe

O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Archivos de programa\HP\Digital Imaging\bin\hpqtra08.exe

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_05\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_05\bin\ssv.dll

O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/eng/partner/default/kavwebscan_unicode.cab

O16 - DPF: {CAFECAFE-0013-0001-0009-ABCDEFABCDEF} (JInitiator 1.3.1.9) -

O16 - DPF: {CF40ACC5-E1BB-4AFF-AC72-04C2F616BCA7} (get_atlcom Class) - http://www.adobe.com/products/acrobat/nos/gp.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{63C2ACAF-9202-48F5-9C66-B8E7BE9ECB9F}: NameServer = 200.21.200.2,200.21.200.79

O20 - AppInit_DLLs: C:\ARCHIV~1\Google\GOOGLE~4\GOEC62~1.DLL

O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Archivos de programa\Grisoft\AVG Anti-Spyware 7.5\guard.exe

O23 - Service: Eset HTTP Server (EhttpSrv) - ESET - C:\Archivos de programa\ESET\ESET NOD32 Antivirus\EHttpSrv.exe

O23 - Service: Eset Service (ekrn) - ESET - C:\Archivos de programa\ESET\ESET NOD32 Antivirus\ekrn.exe

O23 - Service: GoogleDesktopManager - Google - C:\Archivos de programa\Google\Google Desktop Search\GoogleDesktop.exe

O23 - Service: Google Updater Service (gusvc) - Google - C:\Archivos de programa\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: MATLAB Server (matlabserver) - Unknown owner - C:\MATLAB6p5\webserver\bin\win32\matlabserver.exe



--

End of file - 6260 bytes

[msc hotline sat]

En tu primer log bien estaba en el grupo de los O4 RUN:



O4 - HKLM\..\Run: [RemoteControl] "C:\Archivos de programa\CyberLink\PowerDVD\PDVDServ.exe"

O4 - HKLM\..\Run: [LanguageShortcut] "C:\Archivos de programa\CyberLink\PowerDVD\Language\Language.exe"

O4 - HKLM\..\Run: [VTTimer] VTTimer.exe

O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [HP Software Update] C:\Archivos de programa\HP\HP Software Update\HPWuSchd2.exe

O4 - HKLM\..\Run: [Mx_One_Guardian_Tiempo_Real] C:\Archivos de programa\Mx One\mogtr.exe

O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Archivos de programa\Java\jre1.6.0_05\bin\jusched.exe"

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Archivos de programa\Adobe\Reader 8.0\Reader\Reader_sl.exe"

O4 - HKLM\..\Run: [Google Desktop Search] "C:\Archivos de programa\Google\Google Desktop Search\GoogleDesktop.exe" /startup

O4 - HKLM\..\Run: [egui] "C:\Archivos de programa\ESET\ESET NOD32 Antivirus\egui.exe" /hide /waitservice

O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Archivos de programa\Grisoft\AVG Anti-Spyware 7.5\Star_avgas.exe.exe" /minimized

O4 - HKLM\..\Run: [BM1fc6003b] Rundll32.exe "C:\WINDOWS\system32\flufkhjl.dll",s

O4 - HKLM\..\Run: [1cf533a7] rundll32.exe "C:\WINDOWS\system32\skgbxpji.dll",b

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

----> [b][i]O4 - HKCU\..\Run: [CASHRECT] C:\DOCUME~1\MICROS~1\DATOSD~1\STOPMO~1\site software dumb.exe[/i][/b]

O4 - HKCU\..\Run: [swg] C:\Archivos de programa\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICIO LOCAL')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Servicio de red')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O4 - Global Startup: Google Updater.lnk = C:\Archivos de programa\Google\Google Updater\GoogleUpdater.exe

O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Archivos de programa\HP\Digital Imaging\bin\hpqtra08.exe



Voy a analizar el nuevo log e informaré en consecuencia



saludos



ms, 15-5-2008

[msc hotline sat]

Sí, envianos estos ficheros para analizar:



C:\WINDOWS\system32\xbvbtddy.dll



C:\WINDOWS\system32\offjsuaf.dll





y esta clave es anormal:



O16 - DPF: {CAFECAFE-0013-0001-0009-ABCDEFABCDEF} (JInitiator 1.3.1.9) -



eliminala.



para todo ello, recuerda:



>[b]ENVIO DE



MUESTRAS Y ELIMINACION DE CLAVES - Para ello recordar[/b]:

https://foros.zonavirus.com/viewtopic.php?f=5&t=14253



saludos



ms, 15-05-2008





NOTA: Envianos tambien, si aun no lo has hecho, la que te pediamos en el infosat:



[b][i]Por favor, envienos una muestra del fichero

C:\Muestras\KHFEUOIA.DLL.Muestra EliStartPage v16.26[/i][/b]



ms.

[carlos andres medina]

olaa

malas noticias...

te comento qu me fue imposible enviarte las muestras...

segui todos los pasos....inicie en modo seguro con y sin red...

y nada.....tambien intente en modo normal desactivar el antivirus..pero siempre cuando estaba a punto de enviarte el correo me salia el mensaje que eestaba eviando un virus y tenia que aceptar y nada mas. (te recuerdo que los archivos los comprimi en rar como dijiste con el nombre VIRUS)...



elimine la clave que me dijiste...

y esta noche inserto el cd de windows

[carlos andres medina]

buenas nuevas....utilice un software para eliminar el vundo9....se llama vundofix...

no hay errores en mi pc..funciona de maravilla y lo mejor..ya no tengo paginas emergentes cuando navego...

no alcanze a meter el cd de windows...jaja..les agradezco por su ayuda y por su dedicacion y sobre todo por tomarse la molestia de atenderme...espero no tener mas virus en mi pc(algo imposible)...

pero de seguro que cuando los tenga estare aca molestando...

msc hotline...doy por cerrado el foro..¡GRACIAS!



ADJUNTO...ANALISIS VUNDOFIX..Y ELISTARA (POR SI LAS DUDAS)



VundoFix V7.0.3



Scan started at 08:36:26 p.m. 15/05/2008



Listing files found while scanning....



No infected files were found.





Beginning removal...



Beginning removal...



Attempting to delete C:\WINDOWS\system32\khfEUOIA.dll

C:\WINDOWS\system32\khfEUOIA.dll Has been deleted!



Performing Repairs to the registry.

Done!



ELISTARA....



Lista de Acciones (por Acción Directa):



Thu May 15 20:51:22 2008

EliStartPage v16.28 (c)2008 S.G.H. / Satinfo S.L. (Modificado el 15 de Mayo del 2008)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\



Nº Total de Directorios: 9305

Nº Total de Ficheros: 112528

Nº de Ficheros Analizados: 26508

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



SALUDOS DESDE BARRANQUILLA, COLOMBIA!!

[msc hotline sat]

Hay muchas variantes dell VUNDO 9 y alguna menos "dura" , como seguramente la que tenías, y tras lo hecho por el ELISTARA se logra eliminar con alguna utilidad complementaria, como lo has hecho, u otras como el FileAssasin o el KillBox, pero no en todos los casos, por lo que no podemos darlo como pauta a seguir.



Lo unico seguro es no arrancar con el disco duro infectado, y para ello cabe lo de arrancar en consola de recuperacion, con el disco de instalacion, o bien colocar el disco duro infectado como esclavo de otro disco duro bueno, o lo que vamos a utilizar con los asociados de SATINFO, arrancar con CD LIVE que entregaremos con las utilidades al contratar nuestros servicios, y asi acceder al fichero dll dichoso y borrarlo.



La cuestion es, tras realizar las restauraciones y eliminacion que consigue el ELISTARA, terminar eliminando el fichero que reza "ACCESO DENEGADO", mas o menos resistente segun sea la variante.



Y respecto al envio de las otras muestras infectadas, que te ha resultado imposible enviarnos, si bien algo has hecho mal, pues con lo que dices [b][i]"tambien intente en modo normal desactivar el antivirus..pero siempre cuando estaba a punto de enviarte el correo me salia el mensaje que eestaba eviando un virus y tenia que aceptar y nada mas. (te recuerdo que los archivos los comprimi en rar como dijiste con el nombre VIRUS)..."[/i][/b] no es lógico que te los interceptara ningun antivirus, ya que al estar empaquetado con password, el paquete es encriptado y los antivirus no pueden detectar el posible virus de su interior, mas bien el cliente de correo que usas no te deja enviar empaquetados, no por virus sino por reglas del mismo, pero en fin, sin muestras nada que hacer, asi que damos por solucionado el Tema y procedemos a cerrarlo, y si consigues enviarnoslas desde otro sitio, abre nuevo Tema si te interesa seguir al respecto



Si nos necesitas de nuevo, ya sabes donde estamos



saludos



ms, 16-05-2008