Virtumonde.prx -->NECESITO AYUDA PARA LIBRARME DE EL(SOLVED)

[yavestruzyaves]

Hola

He sido infectado por el virtumonde y esto es lo que me sucede y lo que yo he intentado para solucionarlo:



Visitando paginas por internet me empezaron a salir numerosas ventanas (cerrar una y aparecer otra) del spybot-SD de las que pone: permitir cambio / bloquear cambio (a alguna hasta le di a permitir cambio porque estaba hasta los ......) y ventanas del internet explorer para que me descargara no se que antivirus.



Al dia siguiente hice un escaneo con el spybot-SD. Le di a solucionar problemas y el spybot me lo elimino.

Cuando reinicie el ordenador, inicié sesión, y se inició automaticamente el escaner de spybot antes que de que arrancaran el resto de programas (nod32, messenger, ..) y ahi estaba el virtumonde.prx otra vez.



Volvi a darle a solucionar problemas, el spybot me dijo ke lo habia eliminado, reinicié el ordenador y al iniciar sesion se volvio a iniciar automaticamente el escaner del spybot. Me volvio a detectar virtumonde.prx !



Entonces descargué vundofix.exe, pinche dos veces sobre él y se lanzo el programa de escaneo (a mi no me pone nada de "Run VundoFix as a task") y le di a scan for vundo, pero nada. Además el spybot-SD seguia detectando virtumonde.prx



Ahora coji e instale el ccleaner y el Malwarebytes' Anti-Malware, reinicie el ordenador en modo seguro o modo a prueba de fallos, pasé primero el ccleaner (limpiador y registro varias veces eliminando lo que aparecia), luego pasé el Malwarebytes' Anti-Malware (elimine todo lo que me detecto) y finalmente pasé el spybot-SD que ya no me detecto el virtumonde.prx



Reinicie el ordenador, inicie sesion, y se inició automaticamente el escaner de spybot el cual no me detecto nada. Parecia que ya lo tenia solucionado y ya estaba todo contento. Pero al dia siguiente arranco el ordenador, inicio sesion, se inicia el escaner de spybot, lo deje que lo realizara y alli estaba otra vez el virtumonde.prx !! Me tiene ya hasta los mismisimos porque el escaner del spybot-SD tarda 55 minutos, tengo que encender el ordenador una hora antes de usarlo para eliminar un virus ke cada vez que reinicio vuelve a aparcer.



NECESITO AYUDA PARA LIMPIAR MI PC DE VIRTUMONDE pero para eliminarlo y que no vuelva a aparcer!!



PD: Tambien he provado a pasar ELISTARA.CABI que lo tengo el una carpeta junto a EliNotif.dll pero tampo ahi manera

[flacoroo]

ya que dices que ejecutastes el Elistara, mandanos el resultado que se crea en C:infosat.txt para ver que acciones se hicieron....

[msc hotline sat]

Efectivamente, todos los VUNDO, una vez nos han enviado muestra, los conseguimos eliminar, incluso los mas resistentes...



Mira lo que indicamos al respecto en:



https://foros.zonavirus.com/viewtopic.php?f=5&t=23759



y tal como indica flacoroo, posteanos el contenido de c:\infosat.txt



saludos



ms, 24-11-2008

[yavestruzyaves]

Pues en principio el elistara no me creo el informe porque no tengo ninguna unidad con la letra C. Una vez creada una unidad C y pasado el elistara este fue el reporte:





Fri Dec 26 09:40:33 2008

EliStartPage v17.69 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 24 de Diciembre del 2008)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Entrada Eliminada [HKLM\...\Run] "000000af"="rundll32.exe "F:\WINDOWS\system32\vehuyafa.dll",b" (Vundo)

Entrada Eliminada [HKLM\...\Run] "witumarine"="Rundll32.exe "F:\WINDOWS\system32\kidohili.dll",s" (Vundo)

No detectado SP3 de Windows XP

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Fri Dec 26 09:41:51 2008

EliStartPage v17.69 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 24 de Diciembre del 2008)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "F:\"



Nº Total de Directorios: 5063

Nº Total de Ficheros: 50233

Nº de Ficheros Analizados: 13076

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0







Después de esto pase el spybot-SD y me lo siguio detectando virtumonde.prx (dibujo1.jpg)



Y además después hice un escaneo con el Malwarebytes' Anti-Malware y esto fue lo que me dijo:



Malwarebytes' Anti-Malware 1.31

Versión de la Base de Datos: 1535

Windows 5.1.2600 Service Pack 2



26/12/2008 10:56:08

mbam-log-2008-12-26 (10-56-08).txt



Tipo de examen : Examen Rápido

Objetos examinados: 2760

Tiempo transcurrido: 25 second(s)



Procesos en Memoria Infectados: 0

Módulos en Memoria Infectados: 0

Claves del Registro Infectadas: 0

Valores del Registro Infectados: 3

Elementos de Datos del Registro Infectados: 0

Carpetas Infectadas: 0

Ficheros Infectados: 0



Procesos en Memoria Infectados:

(No se han detectado elementos maliciosos)



Módulos en Memoria Infectados:

(No se han detectado elementos maliciosos)



Claves del Registro Infectadas:

(No se han detectado elementos maliciosos)



Valores del Registro Infectados:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\cpm03e71f7e (Trojan.Vundo.H) -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\000000af (Trojan.Vundo.H) -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\witumarine (Trojan.Vundo.H) -> Quarantined and deleted successfully.



Elementos de Datos del Registro Infectados:

(No se han detectado elementos maliciosos)



Carpetas Infectadas:

(No se han detectado elementos maliciosos)



Ficheros Infectados:

(No se han detectado elementos maliciosos)







Que porcierto pone: Quarantined and deleted successfully que no es verdad porque seguidamente volvi a pasarlo un par de veces mas y me volvia a detectar los 3 mismos

[msc hotline sat]

Pues ya ves que ELISTARA ha detectado que no tienes el SP3...



Lanza un windowsupdate e inbstala el SP3 y posteriores críticos, como el MS09-067 y MS08-078 !!!



y ya qye dices que aun tienes os ficheros infectados, si es asi, envianoslos para analizar:



[b][i]F:\WINDOWS\system32\vehuyafa.dll



F:\WINDOWS\system32\kidohili.dll[/i][/b]



y mientras añade a estos ficheros la extension .VIR para que tras reiniciar ya no se puedanb poner en marcha



Y tras recibir las muestras indicadas, implementaremos su control y eliminaicon en la proxima version del ELISTARA, de lo cual informaremos



saludos



ms, 26-12-2008

[yavestruzyaves]

En principio he lanzado el windows update y no se porque razon no me actualiza (mi windows es original).



Los ficheros que me indicas los he buscdo pero no estan. Al iniciar windows me salen unas ventanitas que dicen que no se pueden encontrar esos archivos.



Yo creo que finalmente el formateo de mi pc va a ser la solucion más rapida a este virus

[msc hotline sat]

Como quieras, nosotros no somos partidarios de formatear, es tirar la toalla con todas sus consecuencias ! (pero el usuario tiene la ultima palabra... :? )



Prueba arrancar en consola de recuperacion (con el CD de instalacion y pulsar R) y ve a la carpeta de sistema y mira si existen, vigilando que no tengan atributos de oculto o de sistema



Ello lo podrás ver facilmente entrando esta orden:



DIR  F:\WINDOWS\system32\vehuyafa.dll   /A   /S    <ENTER>



DIR  F:\WINDOWS\system32\kidohili.dll  /A  /S    <ENTER>



Si asi los ves, muevelos a \MUESTRAS\ y luego arrancando en modo normal nos los envias para analizar





[b]¿Como enviar las muestras a zonavirus? - Para ello recordar[/b]:

https://foros.zonavirus.com/viewtopic.php?f=5&t=14253





y tanto si los encuentras como si no, busca las claves que los lanzan con el BUSCAREG y eliminalas:



[size=150][color=darkblue][b]BuscaReg[/b][/color][/size] (SATINFO)

Busca una cadena dentro del registro de windows, una vez encontradas permite borrarlas con tan solo pinchar encima de cada entrada encontrada, ademas realiza la exportacion de las claves eliminadas por si se necesitan restaurar las claves borradas.



[url=http://www.zonavirus.com/descargas/buscareg.asp][b]Descargar BuscaReg[/b][/url]





Busca las que contengan vehuyafa.dll y kidohili.dll



y tras reiniciar nos cuentas el resultado.



saludos



ms, 27-12-2008

[yavestruzyaves]

Agradezco muchisimo tu ayuda que es de un valor incalculable y los pasos que me indicas pero ya estoi convencido a formatear el pc, pero no solo por el virus que pense que iba a ser mas facil librarme de el sino también porque tengo por costumbre formatearlo cada cierto tiempo (1-2 años) y ya le toca.



Los archivos vehuyafa.dll y kidohili.dll y algunos otros no han vuelto a aparecer (al iniciar windows me salen una tarjetas ke dicen que no puede encontrar tales archivos). El unico que perdura es virtumonde.prx



¿?Podrias decirme que he de hacer una vez fomatee mi pc para ke no me vuelva a suceder lo mismo¿?

Yo en principio instalaré como antivirus el Kaspersky 2009 antivirus o el avast (a ver cual me recomiendas porque el nod32 que era el que tenia instalado y en el que tenia total confianza me ha defraudado)

y también tenia pensado instalar spybot-SD (que me parece fantastico y fue kien detecto el virus) y Ad-Aware 2008

Ademas voi a empezar a cojer la costumbre de pasarlos por lo menos una vez al mes.



¿Crees ke debo instalar algun otro mas? ¿crees ke no debo instalar alguno de los ke te cito?



Por cierto cual es la diferencia entre Kaspersky 2009 antivirus y Kaspersky 2009 internet security

[msc hotline sat]

Pues haz lo que creas oportuno, nosotros ya te hemos dado nuestro criterio.



Y el Kaspersky es muy conflictivo con otros residentes, pero instala el que mas te convenza, al menos que cuando te entre algun virus, sea con un antivirus a tu gusto ! :wink:



El NOD32 es mas ligero y simple, pero lo mas importante es tener siempre el antivirus actualizado y residente.



Y complementalo con tu sentido comun, pues a pesar del antivirus que instales, contra agujeros de seguridad no controlados y de nuevos malwares que aparecen a diario, es tu buen criterio el que puede evitar infectarte gracias a no usar comparticiones P2P, a no entrar en webs desconocidas, en no ejecutar ficheros descargados de dichas webs, en no aceptar regaliutos del MSN, en no abrir adjuntos a mails, y no pulsar sobre links, ni sobre imagenes..., etc.



Y evidentemente, actualiza todos los parches de microsoft, sin los cuales por mas que hicieras, te podrian entrar solo por encender el ordenador con el cable de internet conectado.



Y dando el Tema por solucionado, procedemos a cerrarlo



Si nos necesitas de nuevo, ya sabes donde estamos



saludos



ms, 28-12-2008