Publicidad y Mensaje C++ Buffer overrun Explorer.exe(SOLVED)

[Alsegovia]

Hola a todo@s,



Desde hace unos días cuando entro en internet Explorer me aparecen ventanas de publicidad grandes variadas (entre unas 4-5 tipos) son grandes y siempre las mismas, no son pop-ups. Especialmente un aviso tipo Windows que te redirige a una pagina de programas antivirus. Le paso el panda Antivirus actualizado y quitó varios Adware y troyanos... pero nada siguen saliendo.. aparte ayer me salió un Warning de Windows sobre C++ que dice que hay problemas con "buffer overrun con el Explorer.exe" (os pasare la captura de pantalla si es necesario)



¿Como puedo solucionar esto? ralentiza el ordenador y a veces se queda "atascado" y no hay manera.

Gracias de antemano,

[lucl]

Prueba este programa que te indico y nos pegas el log que te dejara en C infosat.txt saludos



http://www.zonavirus.com/descargas/elistara.asp

[Alsegovia]

Ahi lo mando. Gracias,





Wed May 14 23:24:36 2008

EliStartPage v16.26 (c)2008 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Key Eliminada [WinLogon\Notify\FCCCAAAS] -> C:\WINDOWS\SYSTEM32\fcccaaAs.dll

Entrada Eliminada [HKLM\...\Run] "04dd89fa"="rundll32.exe "C:\WINDOWS\system32\maiofwrl.dll",b" (Vundo)

Entrada Eliminada [HKLM\...\Run] "BM07eeba66"="Rundll32.exe "C:\WINDOWS\system32\jbmuqvon.dll",s" (Vundo)

Por favor, envienos una muestra del fichero

C:\Muestras\MAIOFWRL.DLL.Muestra EliStartPage v16.26

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\MAIOFWRL.DLL --> Renombrado a .VIR

Por favor, envienos una muestra del fichero

C:\Muestras\JBMUQVON.DLL.Muestra EliStartPage v16.26

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\JBMUQVON.DLL --> Renombrado a .VIR

C:\WINDOWS\PSKT.INI --> Eliminado (Fichero Complementario).

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Reinicie para Completar la Limpieza.

Sistema Infectado por el Vundo9

(C:\WINDOWS\SYSTEM32\TUVUUVTM.DLL)

No Detectada Utilidad "ELINOTIF.DLL" (Necesaria para la Limpieza)



Wed May 14 23:28:34 2008

EliStartPage v16.26 (c)2008 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Entrada Eliminada [HKLM\...\Run] "BM07eeba66"="Rundll32.exe "C:\WINDOWS\system32\jbmuqvon.dll",s" (Vundo)

Por favor, envienos una muestra del fichero

C:\Muestras\TUVUUVTM.DLL.Muestra EliStartPage v16.26

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\TUVUUVTM.DLL --> Acceso Denegado.

Eliminada Class, "{9E77EF11-F1DA-4DC3-B31F-AF5030E45C4F}" -> C:\WINDOWS\system32\tuvuuvTM.dll

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Reinicie para Completar la Limpieza.



Wed May 14 23:29:15 2008

EliStartPage v16.26 (c)2008 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\System Volume Information\_restore{8819386F-0B74-4565-B9ED-9FE527AA8217}\RP903\A0717985.EXE --> Eliminado, P2PAdware.A

C:\System Volume Information\_restore{8819386F-0B74-4565-B9ED-9FE527AA8217}\RP903\A0717986.EXE --> Eliminado, P2PAdware.A

C:\System Volume Information\_restore{8819386F-0B74-4565-B9ED-9FE527AA8217}\RP903\A0717987.EXE --> Eliminado, P2PAdware.A

C:\System Volume Information\_restore{8819386F-0B74-4565-B9ED-9FE527AA8217}\RP903\A0717988.EXE --> Eliminado, P2PAdware.A

C:\System Volume Information\_restore{8819386F-0B74-4565-B9ED-9FE527AA8217}\RP903\A0717989.EXE --> Eliminado, P2PAdware.A

C:\System Volume Information\_restore{8819386F-0B74-4565-B9ED-9FE527AA8217}\RP904\A0728051.EXE --> Eliminado, AdWare.Rond.E

C:\System Volume Information\_restore{8819386F-0B74-4565-B9ED-9FE527AA8217}\RP904\A0728055.EXE --> Eliminado, SpeedRunner

C:\System Volume Information\_restore{8819386F-0B74-4565-B9ED-9FE527AA8217}\RP904\A0728056.EXE --> Eliminado, Matcash

C:\WINDOWS\system32\CMDLINEEXT03.DLL --> Eliminado, Spy-CmdLineExt



Nº Total de Directorios: 13944

Nº Total de Ficheros: 201009

Nº de Ficheros Analizados: 23178

Nº de Ficheros Infectados: 9

Nº de Ficheros Limpiados: 9



Wed May 14 23:45:13 2008

EliStartPage v16.26 (c)2008 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\



Nº Total de Directorios: 65

Nº Total de Ficheros: 2129

Nº de Ficheros Analizados: 98

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

Exploración Detenida por el Usuario.

Sistema Infectado por el Vundo9

(C:\WINDOWS\SYSTEM32\TUVUUVTM.DLL)

No Detectada Utilidad "ELINOTIF.DLL" (Necesaria para la Limpieza)

[msc hotline sat]

Ya ves lo que te dice el infosat: [b][i] No Detectada Utilidad "ELINOTIF.DLL" (Necesaria para la Limpieza)[/i][/b]



Debes copiar dicha utilidad ebn la misma carpeta que el ELISTARA, y ya que tioenes el VUNDO 9, recuerda:



https://foros.zonavirus.com/viewtopic.php?f=12&t=22997



saludos



ms, 15-5-2008

[Alsegovia]

Hola, he visto el link que dice "[i][b]arrancar desde el CD de instalacion de windows, acceder a la Cónsola de Recuperación pulsando R y desde el entorno DOS asi disponible, acceder a la ruta donde está el fichero, generalmente C:\windows\system32 y borrar con un DEL el fichero en cuestion., que se indica en el C:\infosat.txt como infectado por el VUNDO 9 y de ACCESO DENEGADO"[/b][/i]



Vayamos por partes: "arrancar desde el CD de instalacion de Windows" E¿Esto se hace metiendo el CD y al arrancar lo detecta como disco de arranque? no me lo hace ¿o arranco y luego hago algo para arrancaralo desde el CD?



Gracias de nuevo

[msc hotline sat]

Dices bien cuando dices "[b][i]Esto se hace metiendo el CD y al arrancar lo detecta como disco de arranque[/i][/b]"



Si asi no te arranca y es el CD original de Microsoft, de instalacion del sistema, será porque no tienes seleccionada la prioridad de que arranque de CD si lo hay, antes que del disco duro.



Ello está en el SETUP del BIOS, en BOOTSEQUENCE o similar, segun marca y modelo de BIOS



Cambialo, ponle como prioridad la de CD y dejalo así, y si no hay CD te arrancará de disco duro, pero si lo hay y tiene arranque, te arrancará de CD.



A título de informacion, la eliminacion de esta DLL del VUNDO 9 tambien es posible colocando el disco duro infectado como esclavo de otro ordenador, y arrancando del Master limpio, se puede acceder al esclavo y borrarle dicho fichero.



Tambien arrancando desde un LIVE CD (de Linux) se consigue lo mismo, y de hecho es lo que vamos a entregar a todos los asociados a los servicios de SATINFO en breve, ya que utilidades las entregaremos sobre un soporte de LIVE CD al efecto.



saludos



ms, 15-05-2008

[Alsegovia]

Perfecto!! Todo listo y limpio... lo podemos dar por cerrado.

Gracias!!

[msc hotline sat]

Pues lo celebramos, y dando el Tema por solucionado, procedemos a cerrarlo



Si nos necesita de nuevo, ya sabe donde estamos



saludos



ms, 15-05-2008