No va el windows update+win32/heru+trojan horse (SOLVED)

[glasgas]

Buenas.



Pues tengo un nuevo ordenador, que apenas he tenido timepo de usar. Venía con AVG instalado 8la versión gratis). Ayer no me dejaba realizar actualizaciones de windows, a pesar de que tenía activada esa función.



Esta mañana veo una alerta de virus y al chequear aparecen 6 archivos (creo que eran temporales) infectados con "win32/HERU" (eso creo que ponía). Al mediodía paso otra vez el antivirus y salen dos infectados con "Trojan Horse Generic 12.KSV", y a todo esto sigo sin poder usar el windows update (lo que me hace pensar que el virus sigue ahí -reconozco no tener ni idea de tripas de ordenadores, tan sólo usuario de determinados programas).



No se cómo ha sucedido, tan sólo he entrado en 5 webs de periódicos, 3 de baloncesto y dos de dos equipos de fútbol (uno de ellos para ver partidos previo pago), bueno, ya se que es el pan nuestro de cada día, pero me ha sorprendido.



No he podido esta tarde abrir el explorer, y al abrir esta web se me ha abierto una ventana diciendo que mi equipo está en peligro (o podría estarlo) y ofreciendo una web "www.totalantivirussacn.com".



Si alguien supiera decirme qué está pasando y cómo solucionarlo se lo agradecería.



Un saludo

[msc hotline sat]

Pues para esto vamos implementando cada dia nuevas muestras en el ELISTARA, descargalo, luego arranca en modo seguro y pruebalo:

ELISTARA: http://www.zonavirus.com/descargas/elistara.asp

Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso

saludos
ms, 12-11-2008

[glasgas]

Buenas de nuevo.



He hecho lo que me ha recomendado, pero al ir ahora a muestras me aparecen dos archivos, pero al intentar abrirlos me pone que "Windows no puede abrir este archivo" :( .



Un saludo

[glasgas]

Buenas.



Se me olvidaba. Mientras pasaba el ElitarA en modo seguro, además de mensajes con nombres de troyanos (Conhook, SpyRaelteck), al acabar de pasarlo me dice que el sistema está infectado con Downloader.conhook y Vundo9 (en ventanas consecutivas), luego se abrió otra ventana que decía que no detectaba elinotiff, necesario para limpiar el ordenador, y que lo descargara y locolocara en la misma ubicación.



¿Debo ahora descargarlo y pasarlo de nuevo en modo seguro de nuevo?



Un saludo



Gracias por su paciencia

[msc hotline sat]

Sí, y por si acaso te informo que a veces el VUNDO9 se las trae...:

saludos

ms, 12-11-2008

[glasgas]

Buenas.



Tras descargar el el elinotiff.dll. Esta mañana al abrir el ordenador el AVG seguía dando alertas de virus (Win32/HERU) -un par de ellas-, tras cerrar y borrar lo que el ordenador mandaba a Vault, he lanzado el Elistara (tras descargar el el elinotiff.dll ) otra vez y al terminar, ya no me aparecián los dos mensajes de ayer, de Sistema infectado con Downloader.ConHook y Vundo9 ¿Quiere eso decir que ya lo ha limpiado del todo?



Al reiniciar compruebo que sí me aparece como activo en el Centro de Seguridad de Windows lode Windows update, y también me deja entrar en la web de microsot para buscar las updates. Pero, no me da error a la hora de hacer la instalación de las actualizaciones.



Así mismo, al abrir la página de windows update y la de zonavirus con explorer, se me abre otra página con mozilla (que cierro inmediatamente).



Por otra parte, los nuevos informes que aparecen en C:/infoSat.text siguen saliendo con un formato raro que windows no puede abrir ¿Qué puedo hacer para poder copiar y enviarles los informes?



Un saludo

[glasgas]

Buenas.



Se me olvidaba preguntar si saben el por qué de que no pueda abrir el archivo tras pasar el Elistara.



Gracias de nuevo y un saludo

[msc hotline sat]

Si se refiere a abrir el infosat.txt debería poder hacerlo normalmente, con el bloc de notas por ejemplo, y si no es así es que algo altero su almacenamiento, pues todo ASCII... ???

Quizas un codigo parásito le impide leerlo, pues elimine dicho fichero c:\infosat.txt, y tras volver a pasr el ELISTARA, le generará uno partiendo de cero, ya que este está cprrupto.



Y con un copiar y pegar , posteenoslo, asi confirmaremos que el dichoso VUNDO9 y el CONHOOK (los dos son de la misma familia) están totalmente solucionados y procederemos a cerrar el Tema, si es el caso, claro !



saludos



ms, 13-11-2008

[glasgas]

Buenas.



He borrado los archivos ya existentes en la carpeta muestra. En la misma carpeta no había nada al pasar el Elistara otra vez (normal y en modo seguro).



Al final he buscado en C:/InfoSat.txt (lo que tenía que haber hecho desde el principio :oops: , perdón por mi chapucera ignaracia, pero me sonaba de la anterior vez eso de ir a la carpeta "muestras") y he encontrado los informes de las "veces" que lo he pasado. Se los mando vía e-mail, creo que se hacía así ¿no?, ¿había que poner el nombre de usuario o el título del post como referencia?



Un saludo

[msc hotline sat]

No, los logs y txt se deben postear en el foro, con un copiar y pegar de su contenido. Solo se deben enviar por mail a SATINFO las muestras a analizar. Lo demás va directo a la papelera :? , pues tenemos mas de 100.000 asociados a los que sí damos este servicio, pero no se puede a los no asociados, (igual que consultas por e-mail y demas) y para zonavirus está el foro ...



Postealo en tru proximo post, de respuesta a este Tema, gracias



saludos



ms, 13-11-2008

[glasgas]

Buenas.



Casi meto la pata :? , menos mal que he preguntdo primero:



Wed Nov 12 18:31:34 2008

EliStartPage v17.39 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 11 de Noviembre del 2008)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Key Eliminada [WinLogon\Notify\XXYXYOPF] -> C:\WINDOWS\SYSTEM32\xxyxYoPF.dll

Entrada Eliminada [HKLM\...\Run] "280400ea"="rundll32.exe "C:\WINDOWS\system32\huhvvthl.dll",b" (Vundo)

Por favor, envienos una muestra del fichero

C:\Muestras\XXYXYOPF.DLL.Muestra EliStartPage v17.39

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\XXYXYOPF.DLL --> Acceso Denegado.

C:\WINDOWS\ALCMTR.EXE --> Eliminado SpyRealtek

Por favor, envienos una muestra del fichero

C:\Muestras\HUHVVTHL.DLL.Muestra EliStartPage v17.39

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\HUHVVTHL.DLL --> Eliminado

Entrada Eliminada [HKLM\...\Run] "Alcmtr"="ALCMTR.EXE"

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Reinicie para Completar la Limpieza.



Wed Nov 12 18:37:06 2008

EliStartPage v17.39 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 11 de Noviembre del 2008)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\Archivos de programa\Realtek\Audio\InstallShield\ALCMTR.EXE --> Eliminado, SpyRealtek

C:\Documents and Settings\USER\Configuración local\Temp\NERO13354\TOOLBAR.EXE --> Eliminado, MyWebSearch.Ask(dropper)

C:\DRIVERS\AUDIO\WDM\ALCMTR.EXE --> Eliminado, SpyRealtek



Nº Total de Directorios: 2130

Nº Total de Ficheros: 28517

Nº de Ficheros Analizados: 12021

Nº de Ficheros Infectados: 3

Nº de Ficheros Limpiados: 3



Wed Nov 12 18:45:57 2008

EliStartPage v17.39 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 11 de Noviembre del 2008)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad D:\



Nº Total de Directorios: 4483

Nº Total de Ficheros: 40869

Nº de Ficheros Analizados: 14547

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

Sistema Infectado por el Downloader.ConHook

Sistema Infectado por el Vundo9

(C:\WINDOWS\SYSTEM32\FCCBASJD.DLL)

No Detectada Utilidad "ELINOTIF.DLL" (Necesaria para la Limpieza)



Thu Nov 13 07:38:09 2008

EliStartPage v17.39 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 11 de Noviembre del 2008)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Key Eliminada [WinLogon\Notify\XXYXYOPF] -> C:\WINDOWS\SYSTEM32\xxyxYoPF.dll

Entrada Eliminada [HKLM\...\Run] "280400ea"="rundll32.exe "C:\WINDOWS\system32\dnpuuike.dll",b" (Vundo)

[WinLogon\Notify\XXYXYOPF]

Por favor, envienos el INFOSAT.TXT y una muestra del fichero

C:\WinLogon\XXYXYOPF.DLL

a "virus@satinfo.es". Gracias.

Por favor, envienos una muestra del fichero

C:\Muestras\XXYXYOPF.DLL.Muestra EliStartPage v17.39

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\XXYXYOPF.DLL --> Acceso Denegado.

Por favor, envienos una muestra del fichero

C:\Muestras\DNPUUIKE.DLL.Muestra EliStartPage v17.39

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\DNPUUIKE.DLL --> Renombrado a .VIR

Por favor, envienos una muestra del fichero

C:\Muestras\FCCBASJD.DLL.Muestra EliStartPage v17.39

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\FCCBASJD.DLL --> Renombrado a .VIR

Eliminada Class, "{6D6443B1-B965-489C-8510-E267E8D9799D}" -> C:\WINDOWS\system32\fccbASJD.dll

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Reinicie para Completar la Limpieza.



Thu Nov 13 07:39:04 2008

EliStartPage v17.39 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 11 de Noviembre del 2008)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\



Nº Total de Directorios: 2134

Nº Total de Ficheros: 28542

Nº de Ficheros Analizados: 12026

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



Thu Nov 13 07:45:06 2008

EliStartPage v17.39 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 11 de Noviembre del 2008)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad D:\



Nº Total de Directorios: 4483

Nº Total de Ficheros: 40869

Nº de Ficheros Analizados: 14547

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

Sistema Infectado por el Downloader.ConHook

Sistema Infectado por el Vundo9

(C:\WINDOWS\SYSTEM32\FCCBASJD.DLL)

Instalada Utilidad "ELINOTIF.DLL" (Reinicie de Nuevo para Completar la Limpieza)



Thu Nov 13 07:58:08 2008

EliStartPage v17.39 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 11 de Noviembre del 2008)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Key Eliminada [WinLogon\Notify\XXYXYOPF] -> C:\WINDOWS\SYSTEM32\xxyxYoPF.dll

[WinLogon\Notify\XXYXYOPF]

Por favor, envienos el INFOSAT.TXT y una muestra del fichero

C:\WinLogon\XXYXYOPF.DLL

a "virus@satinfo.es". Gracias.

Por favor, envienos una muestra del fichero

C:\Muestras\XXYXYOPF.DLL.Muestra EliStartPage v17.39

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\XXYXYOPF.DLL --> Acceso Denegado.

C:\WINDOWS\SYSTEM32\FCCBASJD.DLL.VIR --> Eliminado.

Eliminada Class, "{6D6443B1-B965-489C-8510-E267E8D9799D}" -> C:\WINDOWS\system32\fccbASJD.dll

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Reinicie para Completar la Limpieza.



Thu Nov 13 07:58:37 2008

EliStartPage v17.39 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 11 de Noviembre del 2008)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\



Nº Total de Directorios: 2111

Nº Total de Ficheros: 27682

Nº de Ficheros Analizados: 11378

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



Thu Nov 13 08:05:22 2008

EliStartPage v17.39 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 11 de Noviembre del 2008)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad D:\



Nº Total de Directorios: 4483

Nº Total de Ficheros: 40869

Nº de Ficheros Analizados: 14547

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

Sistema Infectado por el Downloader.ConHook

Instalada Utilidad "ELINOTIF.DLL" (Reinicie de Nuevo para Completar la Limpieza)



EliNotify v1.8.09.15 (c)2008 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones:

Detectado DownLoader.ConHook

C:\WINDOWS\SYSTEM32\xxyxYoPF.dll -> Eliminado.

Elininada KEY "Winlogon\Notify\XXYXYOPF"

Desinstalado EliNotif.dll



Thu Nov 13 08:12:24 2008

EliStartPage v17.39 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 11 de Noviembre del 2008)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Thu Nov 13 08:12:51 2008

EliStartPage v17.39 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 11 de Noviembre del 2008)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\



Nº Total de Directorios: 2112

Nº Total de Ficheros: 27685

Nº de Ficheros Analizados: 11379

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



Thu Nov 13 08:19:00 2008

EliStartPage v17.39 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 11 de Noviembre del 2008)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad D:\



Nº Total de Directorios: 4483

Nº Total de Ficheros: 40869

Nº de Ficheros Analizados: 14547

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



Thu Nov 13 17:51:19 2008

EliStartPage v17.39 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 11 de Noviembre del 2008)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Thu Nov 13 17:51:41 2008

EliStartPage v17.39 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 11 de Noviembre del 2008)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\



Nº Total de Directorios: 1814

Nº Total de Ficheros: 22391

Nº de Ficheros Analizados: 10501

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



Thu Nov 13 17:54:30 2008

EliStartPage v17.39 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 11 de Noviembre del 2008)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad D:\



Nº Total de Directorios: 4483

Nº Total de Ficheros: 40869

Nº de Ficheros Analizados: 14547

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



Thu Nov 13 18:24:27 2008

EliStartPage v17.39 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 11 de Noviembre del 2008)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Thu Nov 13 18:24:32 2008

EliStartPage v17.39 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 11 de Noviembre del 2008)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\



Nº Total de Directorios: 1810

Nº Total de Ficheros: 22383

Nº de Ficheros Analizados: 10498

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



Thu Nov 13 18:30:53 2008

EliStartPage v17.39 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 11 de Noviembre del 2008)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad D:\



Nº Total de Directorios: 4483

Nº Total de Ficheros: 40869

Nº de Ficheros Analizados: 14547

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0







A ver si se ha borrado, para poder pensar en el por qué de los otro problemillas que he comentado antes.



Un saludo y gracias por su paciente ayuda

[lucl]

Si , ya esta eliminado . Para lo del windows update prueba esto nos recomendo un forero que tenia el mismo problema te copio





Créate un .bat con estas instrucciones:



net stop wuauserv

cd /d %SystemRoot%\

ren SoftwareDistribution SoftwareDistribution_antiguo

regsvr32 wuweb.dll /s

regsvr32 wups2.dll /s

regsvr32 wups.dll /s

regsvr32 wucltui.dll /s

regsvr32 wuaueng1.dll /s

regsvr32 wuaueng.dll /s

regsvr32 wuapi.dll /s

regsvr32 wups.dll /s

regsvr32 wuaueng.dll /s

regsvr32 wucltui.dll /s

regsvr32 wuweb.dll /s

regsvr32 msxml.dll /s

regsvr32 msxml2.dll /s

regsvr32 msxml3.dll /s

regsvr32 softpub.dll /s

regsvr32 initpki.dll /s

regsvr32 mssip32.dll /s

regsvr32 wintrust.dll /s

regsvr32 dssenh.dll /s

regsvr32 rsaenh.dll /s

regsvr32 gpkcsp.dll /s

regsvr32 sccbase.dll /s

regsvr32 slbcsp.dll /s

regsvr32 cryptdlg.dll /s

regsvr32 jscript.dll /s

net start wuauserv /s





También puedes ejecutar una por una desde Inicio -> Ejecutar



Y nos dices si se soluciona saludos

[glasgas]

Buenas.



Pues me quitan un peso de encima diciéndome que está todo eliminado.



Entraba precisamente a decirles que de momento, parece que ya funciona el Windows Update. Lo desactivé y lo volvía a activar, ponindo las 00:00 como hora para las actualizaciones automáticas. Un par de minutos después se ha reiniciado (me imagino que para acabar de instalar las actualizaciones). Al reiniciarse apareció un mensaje de que el equipo habia eliminado un archivo (malware) que podría perjudicar el sistema operativo (más o menos), y luego ha salido el escudo de actualizaciones del centro de seguridad de windows en verde (por fin) diciendo que había reiniciado el equipo para instalar una actulización necesaria para la seguridad del ordenador (algo de actualización crítica creo que ponía).



He ido a Windows update y no se ha abierto otra ventana como hasta ahora, y de las 10 actulizaciones que no me dejaba instalar sólo quedaba una (de seguridad del explorer 7) y la he descargado e instalado en el momento (hasta ahora era siempre error).



En primer lugar muchas gracias a ambos por su ayuda y especialmente por su paciencia (me siento un ignorante en estos temas :oops: ).



Espero no tener que volver a consultar lo del windows update porque todo esté ya solucionado (como así parece), porque tendría que volver a molestarles y preguntar cómo hacer lo que han sugerido en el último mensaje :oops: :roll:



Gracias de nuevo.



PD: deseando estoy de que haya una actualización nueva, para ver si se instala con normalidad :D

[msc hotline sat]

Pues efectivamente, el ELISTARA y el ELINOTIF han hecho buena faena.

Y si no ha sabido como lanzar lo indicado por lucl, y no lo ha hecho, señal que no le hacía falta en esta ocasión, pero era recomendable por si hubiera sido la causa de no acceder a internet. Ello es simple, con un copiar y pegar , editar un fichero REGISTRA.BAT con las lineas indicadas, el cual luego ejecutar, lo digo por si lo necesita en alguna ocasión

Y ya dando por solucionado el Tema, procedemos a cerrarlo

Si nos necesita de nuevo, ya sabe donde estamos

saludos
ms, 14-11-2008