Tengo Vundo (SOLUCIONADO)

meteocupi · Mensaje por **meteocupi** » 30 Dic 2008, 10:29

Hola chic@s,

Os cuento mi caso y luego os cuelgo los logs de HiJackThis y otros antiespías, para ver si me podéis echar una mano, que lo del HiJackThis se me escapa de las manos y no me atrevo a borrar ninguna entrada sin asesoramiento.

El otro día, tras ejecutar un instalable, se me empezaron a abrir un montón de ventanas, incluso cuando no navegaba. También me salía repetidamente un aviso de windows update diciéndome que las actualizaciones automáticas estaban deshabilitadas y era incapaz de volverlas a habilitar.

Ante todo eso seguí estos pasos:

Desactivé restaurar sistema.

Inicié en modo seguro y pasé los siguientes programas: ~~[b]~~[u]Spybot[/u][/b], ~~[b]~~[u]Superantispyware[/u][/b] y ~~[b]~~[u]SpyBlaster[/u][/b], encontraron bastantes entradas de Vundo y las eliminé. Luego pasé ~~[b]~~[u]CCleaner[/u][/b]. Una vez hecho esto inicié en modo normal y pasé ~~[b]~~[u]Karspersky Online[/u][/b] y ~~[b]~~[u]Ewido Online[/u][/b]. Karspersky me encontró el archivo que había ocasionado la infección y también lo eliminé. Ewido no encontró nada.

Tras todo esto el ordenador funciona bastante mejor. Ya no salen las ventanitas esas tan molestas y pude volver a activar las actualizaciones automáticas de windows. Pero aún navega un poco lento y de vez en cuando IE detecta algún problema y se cierra tras el pertinente DrWatson.

Entonces pasé el ~~[b]~~[u]VundoFix[/u][/b] y no encontró nada. Luego volví a pasar ~~[b]~~[u]Superantispyware[/u][/b] y ~~[b]~~[u]Malwarebyte's Anti-Malware[/u][/b] y estos me detectaron todavía algunas entradas de Vundo. Por mucho que les digo que me lo eliminen, no hay manera. Siempre que escaneo el sistema vuelven a salir las mismas entradas una y otra vez.

Os cuelgo los distintos logs de ~~[b]~~[u]Superantispyware[/u][/b], ~~[b]~~[u]Malwarebyte's Anti-Malware[/u][/b] y ~~[b]~~[u]HiJackThis[/u][/b] a ver si me podéis echar una mano.

~~[b]~~[u]Log Superantispyware:[/u][/b]

SUPERAntiSpyware Scan Log

http://www.superantispyware.com

Generated 12/30/2008 at 09:56 AM

Application Version : 4.23.1006

Core Rules Database Version : 3689

Trace Rules Database Version: 1665

Scan type : Complete Scan

Total Scan Time : 00:14:27

Memory items scanned : 351

Memory threats detected : 0

Registry items scanned : 5799

Registry threats detected : 5

File items scanned : 13223

File threats detected : 1

Adware.Vundo Variant

HKLM\Software\Classes\CLSID\{7DB094B1-C3AA-487C-B75E-CB9654E1A6B4}

HKCR\CLSID\{7DB094B1-C3AA-487C-B75E-CB9654E1A6B4}

HKCR\CLSID\{7DB094B1-C3AA-487C-B75E-CB9654E1A6B4}\InprocServer32

HKCR\CLSID\{7DB094B1-C3AA-487C-B75E-CB9654E1A6B4}\InprocServer32#ThreadingModel

C:\WINDOWS\SYSTEM32\HGGYABTM.DLL

HKCR\CLSID\{7DB094B1-C3AA-487C-B75E-CB9654E1A6B4}

~~[b]~~[u]Log Malwarebyte's Anti-Malware:[/u][/b]

29/12/2008 0:59:55

mbam-log-2008-12-29 (00-59-55).txt

Tipo de examen : Examen Completo (C:\|D:\|)

Objetos examinados: 45404

Tiempo transcurrido: 7 minute(s), 25 second(s)

Procesos en Memoria Infectados: 0

Módulos en Memoria Infectados: 0

Claves del Registro Infectadas: 1

Valores del Registro Infectados: 0

Elementos de Datos del Registro Infectados: 0

Carpetas Infectadas: 0

Ficheros Infectados: 0

Procesos en Memoria Infectados:

(No se han detectado elementos maliciosos)

Módulos en Memoria Infectados:

(No se han detectado elementos maliciosos)

Claves del Registro Infectadas:

HKEY_CLASSES_ROOT\CLSID\{7db094b1-c3aa-487c-b75e-cb9654e1a6b4} (Trojan.Vundo) -> Delete on reboot.

Valores del Registro Infectados:

(No se han detectado elementos maliciosos)

Elementos de Datos del Registro Infectados:

(No se han detectado elementos maliciosos)

Carpetas Infectadas:

(No se han detectado elementos maliciosos)

Ficheros Infectados:

(No se han detectado elementos maliciosos)

~~[b]~~[u]Log HiJackThis:[/u][/b]

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 10:11:29, on 30/12/2008

Platform: Windows XP SP3 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16762)

Boot mode: Normal

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Archivos de programa\Lavasoft\Ad-Aware\aawservice.exe

C:\WINDOWS\Explorer.EXE

C:\Archivos de programa\Eset\nod32kui.exe

C:\Archivos de programa\Zone Labs\ZoneAlarm\zlclient.exe

C:\ARCHIV~1\LAUNCH~1\LManager.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Archivos de programa\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

C:\Archivos de programa\Stardock\ObjectDock\ObjectDock.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Archivos de programa\Bonjour\mDNSResponder.exe

C:\Archivos de programa\WIDCOMM\Bluetooth Software\bin\btwdins.exe

C:\Archivos de programa\Eset\nod32krn.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\Archivos de programa\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\ZoneLabs\vsmon.exe

C:\Archivos de programa\SUPERAntiSpyware\SUPERAntiSpyware.exe

C:\Archivos de programa\Vuze\Azureus.exe

C:\Archivos de programa\Internet Explorer\iexplore.exe

C:\WINDOWS\system32\notepad.exe

C:\WINDOWS\system32\NOTEPAD.EXE

C:\Archivos de programa\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.es/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://go.microsoft.com/fwlink/?LinkId=74005

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Archivos de programa\Google\Google Toolbar\GoogleToolbar.dll

O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Archivos de programa\Google\GoogleToolbarNotifier\5.0.926.3450\swg.dll

O3 - Toolbar: &Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Archivos de programa\Google\Google Toolbar\GoogleToolbar.dll

O4 - HKLM\..\Run: [nod32kui] "C:\Archivos de programa\Eset\nod32kui.exe" /WAITSERVICE

O4 - HKLM\..\Run: [Zone Labs Client] C:\Archivos de programa\Zone Labs\ZoneAlarm\zlclient.exe

O4 - HKLM\..\Run: [LManager] C:\ARCHIV~1\LAUNCH~1\LManager.exe

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Archivos de programa\Adobe\Reader 9.0\Reader\Reader_sl.exe"

O4 - HKCU\..\Run: [ccleaner] "C:\Archivos de programa\CCleaner\CCleaner.exe" /AUTO

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [swg] C:\Archivos de programa\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICIO LOCAL')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Servicio de red')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O4 - Startup: Stardock ObjectDock.lnk = C:\Archivos de programa\Stardock\ObjectDock\ObjectDock.exe

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office12\EXCEL.EXE/3000

O8 - Extra context menu item: Enviar a &Bluetooth - C:\Archivos de programa\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm

O9 - Extra button: Enviar a OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\ARCHIV~1\MICROS~2\Office12\ONBttnIE.dll

O9 - Extra 'Tools' menuitem: &Enviar a OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\ARCHIV~1\MICROS~2\Office12\ONBttnIE.dll

O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\Office12\REFIEBAR.DLL

O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll

O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/spanish/kavwebscan_unicode.cab

O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - http://downloads.ewido.net/ewidoOnlineScan.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{ACD35179-77BB-4938-B50D-EDFB7E16CF84}: NameServer = 192.168.14.170,192.168.14.171

O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\ARCHIV~1\MICROS~2\Office12\GR99D3~1.DLL

O20 - AppInit_DLLs: xxaqrn.dll

O20 - Winlogon Notify: !SASWinLogon - C:\Archivos de programa\SUPERAntiSpyware\SASWINLO.dll

O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Archivos de programa\Lavasoft\Ad-Aware\aawservice.exe

O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Archivos de programa\Bonjour\mDNSResponder.exe

O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Archivos de programa\WIDCOMM\Bluetooth Software\bin\btwdins.exe

O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Archivos de programa\Archivos comunes\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe

O23 - Service: Google Updater Service (gusvc) - Google - C:\Archivos de programa\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: LVSrvLauncher - Logitech Inc. - C:\Archivos de programa\Archivos comunes\Logitech\SrvLnch\SrvLnch.exe

O23 - Service: NBService - Nero AG - C:\Archivos de programa\Nero\Nero 7\Nero BackItUp\NBService.exe

O23 - Service: NMIndexingService - Nero AG - C:\Archivos de programa\Archivos comunes\Ahead\Lib\NMIndexingService.exe

O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Archivos de programa\Eset\nod32krn.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: StarWind AE Service (StarWindServiceAE) - Rocket Division Software - C:\Archivos de programa\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe

O23 - Service: TuneUp Drive Defrag Service (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe

O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

--

End of file - 7744 bytes

Espero que me podáis echar una mano.

Muchas gracias,

Joan

Mensaje por **msc hotline sat** » 30 Dic 2008, 13:28

De entrada parece que no ha leido:

https://foros.zonavirus.com/viewtopic.php?f=13&t=5148

De todas formas, envienos este fichero y lo analizaremos:

xxaqrn.dll

Posiblemente estará en c:\windows\system32\

recuerde:

~~[b]~~¿Como enviar las muestras a zonavirus? - Para ello recordar[/b]:

https://foros.zonavirus.com/viewtopic.php?f=5&t=14253

saludos

ms, 30-12-2008

nota:

Y aunque diga que tiene VUNDO, esto mas bien parece ser un ONLINE GAME, y en cualquier caso vacune el ordenador y los pendrives con el ELIPEN:

Y vacune el ordenador y todas sus unidades de disco y pendrive con el ELIPEN:

~~[b]~~ELIPEN.EXE[/b]

http://www.zonavirus.com/descargas/elipen.asp

Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso . ms.

meteocupi · Mensaje por **meteocupi** » 30 Dic 2008, 14:13

Hola,

He puesto "Ver archivos ocultos" y no están ni el archivo xxaqrn.dll ni hggyabtm.dll (que es el que me dice SuperAntiSpyWare que tiene Vundo). He ejecutado una búsqueda de archivos y tampoco se encuentran.

He pasado ElitStarA y EliPen on pongo el log:

Tue Dec 30 11:19:56 2008

EliStartPage v17.70 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 29 de Diciembre del 2008)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\ALCMTR.EXE --> Eliminado SpyRealtek

Sospechosa Clave "HKLM\...\Image File Execution Options\dotnet3.exe"

"Debugger"="C:\WINDOWS\MICROSOFT.NET\FRAMEWORK\V2.0.50727\DOTNETFXINSTALLBLOCK.EXE"

Sospechosa Clave "HKLM\...\Image File Execution Options\dotnet3[1].exe"

"Debugger"="C:\WINDOWS\MICROSOFT.NET\FRAMEWORK\V2.0.50727\DOTNETFXINSTALLBLOCK.EXE"

Sospechosa Clave "HKLM\...\Image File Execution Options\dotnet3[2].exe"

"Debugger"="C:\WINDOWS\MICROSOFT.NET\FRAMEWORK\V2.0.50727\DOTNETFXINSTALLBLOCK.EXE"

Sospechosa Clave "HKLM\...\Image File Execution Options\dotnetfx.exe"

"Debugger"="C:\WINDOWS\MICROSOFT.NET\FRAMEWORK\V2.0.50727\DOTNETFXINSTALLBLOCK.EXE"

Sospechosa Clave "HKLM\...\Image File Execution Options\dotnetfx3.exe"

"Debugger"="C:\WINDOWS\MICROSOFT.NET\FRAMEWORK\V2.0.50727\DOTNETFXINSTALLBLOCK.EXE"

Sospechosa Clave "HKLM\...\Image File Execution Options\dotnetfx30SP1setup.exe"

"Debugger"="C:\WINDOWS\MICROSOFT.NET\FRAMEWORK\V2.0.50727\DOTNETFXINSTALLBLOCK.EXE"

Sospechosa Clave "HKLM\...\Image File Execution Options\dotnetfx30SP1setup[1].exe"

"Debugger"="C:\WINDOWS\MICROSOFT.NET\FRAMEWORK\V2.0.50727\DOTNETFXINSTALLBLOCK.EXE"

Sospechosa Clave "HKLM\...\Image File Execution Options\dotnetfx30SP1setup[2].exe"

"Debugger"="C:\WINDOWS\MICROSOFT.NET\FRAMEWORK\V2.0.50727\DOTNETFXINSTALLBLOCK.EXE"

Sospechosa Clave "HKLM\...\Image File Execution Options\dotnetfx35.exe"

"Debugger"="C:\WINDOWS\MICROSOFT.NET\FRAMEWORK\V2.0.50727\DOTNETFXINSTALLBLOCK.EXE"

Sospechosa Clave "HKLM\...\Image File Execution Options\dotnetfx35setup.exe"

"Debugger"="C:\WINDOWS\MICROSOFT.NET\FRAMEWORK\V2.0.50727\DOTNETFXINSTALLBLOCK.EXE"

Sospechosa Clave "HKLM\...\Image File Execution Options\dotnetfx35setup[1].exe"

"Debugger"="C:\WINDOWS\MICROSOFT.NET\FRAMEWORK\V2.0.50727\DOTNETFXINSTALLBLOCK.EXE"

Sospechosa Clave "HKLM\...\Image File Execution Options\dotnetfx35setup[2].exe"

"Debugger"="C:\WINDOWS\MICROSOFT.NET\FRAMEWORK\V2.0.50727\DOTNETFXINSTALLBLOCK.EXE"

Sospechosa Clave "HKLM\...\Image File Execution Options\dotnetfx35[1].exe"

"Debugger"="C:\WINDOWS\MICROSOFT.NET\FRAMEWORK\V2.0.50727\DOTNETFXINSTALLBLOCK.EXE"

Sospechosa Clave "HKLM\...\Image File Execution Options\dotnetfx35[2].exe"

"Debugger"="C:\WINDOWS\MICROSOFT.NET\FRAMEWORK\V2.0.50727\DOTNETFXINSTALLBLOCK.EXE"

Sospechosa Clave "HKLM\...\Image File Execution Options\dotnetfx3setup.exe"

"Debugger"="C:\WINDOWS\MICROSOFT.NET\FRAMEWORK\V2.0.50727\DOTNETFXINSTALLBLOCK.EXE"

Sospechosa Clave "HKLM\...\Image File Execution Options\dotnetfx3setup[1].exe"

"Debugger"="C:\WINDOWS\MICROSOFT.NET\FRAMEWORK\V2.0.50727\DOTNETFXINSTALLBLOCK.EXE"

Sospechosa Clave "HKLM\...\Image File Execution Options\dotnetfx3setup[2].exe"

"Debugger"="C:\WINDOWS\MICROSOFT.NET\FRAMEWORK\V2.0.50727\DOTNETFXINSTALLBLOCK.EXE"

Sospechosa Clave "HKLM\...\Image File Execution Options\dotnetfx3[1].exe"

"Debugger"="C:\WINDOWS\MICROSOFT.NET\FRAMEWORK\V2.0.50727\DOTNETFXINSTALLBLOCK.EXE"

Sospechosa Clave "HKLM\...\Image File Execution Options\dotnetfx3[2].exe"

"Debugger"="C:\WINDOWS\MICROSOFT.NET\FRAMEWORK\V2.0.50727\DOTNETFXINSTALLBLOCK.EXE"

Sospechosa Clave "HKLM\...\Image File Execution Options\dotnetfx3_ia64.exe"

"Debugger"="C:\WINDOWS\MICROSOFT.NET\FRAMEWORK\V2.0.50727\DOTNETFXINSTALLBLOCK.EXE"

Sospechosa Clave "HKLM\...\Image File Execution Options\dotnetfx3_ia64[1].exe"

"Debugger"="C:\WINDOWS\MICROSOFT.NET\FRAMEWORK\V2.0.50727\DOTNETFXINSTALLBLOCK.EXE"

Sospechosa Clave "HKLM\...\Image File Execution Options\dotnetfx3_ia64[2].exe"

"Debugger"="C:\WINDOWS\MICROSOFT.NET\FRAMEWORK\V2.0.50727\DOTNETFXINSTALLBLOCK.EXE"

Sospechosa Clave "HKLM\...\Image File Execution Options\dotnetfx3_x64.exe"

"Debugger"="C:\WINDOWS\MICROSOFT.NET\FRAMEWORK\V2.0.50727\DOTNETFXINSTALLBLOCK.EXE"

Sospechosa Clave "HKLM\...\Image File Execution Options\dotnetfx3_x64[1].exe"

"Debugger"="C:\WINDOWS\MICROSOFT.NET\FRAMEWORK\V2.0.50727\DOTNETFXINSTALLBLOCK.EXE"

Sospechosa Clave "HKLM\...\Image File Execution Options\dotnetfx3_x64[2].exe"

"Debugger"="C:\WINDOWS\MICROSOFT.NET\FRAMEWORK\V2.0.50727\DOTNETFXINSTALLBLOCK.EXE"

Sospechosa Clave "HKLM\...\Image File Execution Options\dotnetfx[1].exe"

"Debugger"="C:\WINDOWS\MICROSOFT.NET\FRAMEWORK\V2.0.50727\DOTNETFXINSTALLBLOCK.EXE"

Sospechosa Clave "HKLM\...\Image File Execution Options\dotnetfx[2].exe"

"Debugger"="C:\WINDOWS\MICROSOFT.NET\FRAMEWORK\V2.0.50727\DOTNETFXINSTALLBLOCK.EXE"

Sospechosa Clave "HKLM\...\Image File Execution Options\NetFx20SP1_ia64.exe"

"Debugger"="C:\WINDOWS\MICROSOFT.NET\FRAMEWORK\V2.0.50727\DOTNETFXINSTALLBLOCK.EXE"

Sospechosa Clave "HKLM\...\Image File Execution Options\NetFx20SP1_ia64[1].exe"

"Debugger"="C:\WINDOWS\MICROSOFT.NET\FRAMEWORK\V2.0.50727\DOTNETFXINSTALLBLOCK.EXE"

Sospechosa Clave "HKLM\...\Image File Execution Options\NetFx20SP1_ia64[2].exe"

"Debugger"="C:\WINDOWS\MICROSOFT.NET\FRAMEWORK\V2.0.50727\DOTNETFXINSTALLBLOCK.EXE"

Sospechosa Clave "HKLM\...\Image File Execution Options\NetFx20SP1_x64.exe"

"Debugger"="C:\WINDOWS\MICROSOFT.NET\FRAMEWORK\V2.0.50727\DOTNETFXINSTALLBLOCK.EXE"

Sospechosa Clave "HKLM\...\Image File Execution Options\NetFx20SP1_x64[1].exe"

"Debugger"="C:\WINDOWS\MICROSOFT.NET\FRAMEWORK\V2.0.50727\DOTNETFXINSTALLBLOCK.EXE"

Sospechosa Clave "HKLM\...\Image File Execution Options\NetFx20SP1_x64[2].exe"

"Debugger"="C:\WINDOWS\MICROSOFT.NET\FRAMEWORK\V2.0.50727\DOTNETFXINSTALLBLOCK.EXE"

Sospechosa Clave "HKLM\...\Image File Execution Options\NetFx20SP1_x86.exe"

"Debugger"="C:\WINDOWS\MICROSOFT.NET\FRAMEWORK\V2.0.50727\DOTNETFXINSTALLBLOCK.EXE"

Sospechosa Clave "HKLM\...\Image File Execution Options\NetFx20SP1_x86[1].exe"

"Debugger"="C:\WINDOWS\MICROSOFT.NET\FRAMEWORK\V2.0.50727\DOTNETFXINSTALLBLOCK.EXE"

Sospechosa Clave "HKLM\...\Image File Execution Options\NetFx20SP1_x86[2].exe"

"Debugger"="C:\WINDOWS\MICROSOFT.NET\FRAMEWORK\V2.0.50727\DOTNETFXINSTALLBLOCK.EXE"

Sospechosa Clave "HKLM\...\Image File Execution Options\NetFx20SP2_ia64.exe"

"Debugger"="C:\WINDOWS\MICROSOFT.NET\FRAMEWORK\V2.0.50727\DOTNETFXINSTALLBLOCK.EXE"

Sospechosa Clave "HKLM\...\Image File Execution Options\NetFx20SP2_ia64[1].exe"

"Debugger"="C:\WINDOWS\MICROSOFT.NET\FRAMEWORK\V2.0.50727\DOTNETFXINSTALLBLOCK.EXE"

Sospechosa Clave "HKLM\...\Image File Execution Options\NetFx20SP2_ia64[2].exe"

"Debugger"="C:\WINDOWS\MICROSOFT.NET\FRAMEWORK\V2.0.50727\DOTNETFXINSTALLBLOCK.EXE"

Sospechosa Clave "HKLM\...\Image File Execution Options\NetFx20SP2_x64.exe"

"Debugger"="C:\WINDOWS\MICROSOFT.NET\FRAMEWORK\V2.0.50727\DOTNETFXINSTALLBLOCK.EXE"

Sospechosa Clave "HKLM\...\Image File Execution Options\NetFx20SP2_x64[1].exe"

"Debugger"="C:\WINDOWS\MICROSOFT.NET\FRAMEWORK\V2.0.50727\DOTNETFXINSTALLBLOCK.EXE"

Sospechosa Clave "HKLM\...\Image File Execution Options\NetFx20SP2_x64[2].exe"

"Debugger"="C:\WINDOWS\MICROSOFT.NET\FRAMEWORK\V2.0.50727\DOTNETFXINSTALLBLOCK.EXE"

Sospechosa Clave "HKLM\...\Image File Execution Options\NetFx20SP2_x86.exe"

"Debugger"="C:\WINDOWS\MICROSOFT.NET\FRAMEWORK\V2.0.50727\DOTNETFXINSTALLBLOCK.EXE"

Sospechosa Clave "HKLM\...\Image File Execution Options\NetFx20SP2_x86[1].exe"

"Debugger"="C:\WINDOWS\MICROSOFT.NET\FRAMEWORK\V2.0.50727\DOTNETFXINSTALLBLOCK.EXE"

Sospechosa Clave "HKLM\...\Image File Execution Options\NetFx20SP2_x86[2].exe"

"Debugger"="C:\WINDOWS\MICROSOFT.NET\FRAMEWORK\V2.0.50727\DOTNETFXINSTALLBLOCK.EXE"

Sospechosa Clave "HKLM\...\Image File Execution Options\NetFx30SP1_x64.exe"

"Debugger"="C:\WINDOWS\MICROSOFT.NET\FRAMEWORK\V2.0.50727\DOTNETFXINSTALLBLOCK.EXE"

Sospechosa Clave "HKLM\...\Image File Execution Options\NetFx30SP1_x64[1].exe"

"Debugger"="C:\WINDOWS\MICROSOFT.NET\FRAMEWORK\V2.0.50727\DOTNETFXINSTALLBLOCK.EXE"

Sospechosa Clave "HKLM\...\Image File Execution Options\NetFx30SP1_x64[2].exe"

"Debugger"="C:\WINDOWS\MICROSOFT.NET\FRAMEWORK\V2.0.50727\DOTNETFXINSTALLBLOCK.EXE"

Sospechosa Clave "HKLM\...\Image File Execution Options\NetFx30SP1_x86.exe"

"Debugger"="C:\WINDOWS\MICROSOFT.NET\FRAMEWORK\V2.0.50727\DOTNETFXINSTALLBLOCK.EXE"

Sospechosa Clave "HKLM\...\Image File Execution Options\NetFx30SP1_x86[1].exe"

"Debugger"="C:\WINDOWS\MICROSOFT.NET\FRAMEWORK\V2.0.50727\DOTNETFXINSTALLBLOCK.EXE"

Sospechosa Clave "HKLM\...\Image File Execution Options\NetFx30SP1_x86[2].exe"

"Debugger"="C:\WINDOWS\MICROSOFT.NET\FRAMEWORK\V2.0.50727\DOTNETFXINSTALLBLOCK.EXE"

Sospechosa Clave "HKLM\...\Image File Execution Options\NetFx35_ia64.exe"

"Debugger"="C:\WINDOWS\MICROSOFT.NET\FRAMEWORK\V2.0.50727\DOTNETFXINSTALLBLOCK.EXE"

Sospechosa Clave "HKLM\...\Image File Execution Options\NetFx35_ia64[1].exe"

"Debugger"="C:\WINDOWS\MICROSOFT.NET\FRAMEWORK\V2.0.50727\DOTNETFXINSTALLBLOCK.EXE"

Sospechosa Clave "HKLM\...\Image File Execution Options\NetFx35_ia64[2].exe"

"Debugger"="C:\WINDOWS\MICROSOFT.NET\FRAMEWORK\V2.0.50727\DOTNETFXINSTALLBLOCK.EXE"

Sospechosa Clave "HKLM\...\Image File Execution Options\NetFx35_x64.exe"

"Debugger"="C:\WINDOWS\MICROSOFT.NET\FRAMEWORK\V2.0.50727\DOTNETFXINSTALLBLOCK.EXE"

Sospechosa Clave "HKLM\...\Image File Execution Options\NetFx35_x64[1].exe"

"Debugger"="C:\WINDOWS\MICROSOFT.NET\FRAMEWORK\V2.0.50727\DOTNETFXINSTALLBLOCK.EXE"

Sospechosa Clave "HKLM\...\Image File Execution Options\NetFx35_x64[2].exe"

"Debugger"="C:\WINDOWS\MICROSOFT.NET\FRAMEWORK\V2.0.50727\DOTNETFXINSTALLBLOCK.EXE"

Sospechosa Clave "HKLM\...\Image File Execution Options\NetFx35_x86.exe"

"Debugger"="C:\WINDOWS\MICROSOFT.NET\FRAMEWORK\V2.0.50727\DOTNETFXINSTALLBLOCK.EXE"

Sospechosa Clave "HKLM\...\Image File Execution Options\NetFx35_x86[1].exe"

"Debugger"="C:\WINDOWS\MICROSOFT.NET\FRAMEWORK\V2.0.50727\DOTNETFXINSTALLBLOCK.EXE"

Sospechosa Clave "HKLM\...\Image File Execution Options\NetFx35_x86[2].exe"

"Debugger"="C:\WINDOWS\MICROSOFT.NET\FRAMEWORK\V2.0.50727\DOTNETFXINSTALLBLOCK.EXE"

Sospechosa Clave "HKLM\...\Image File Execution Options\NetFx64.exe"

"Debugger"="C:\WINDOWS\MICROSOFT.NET\FRAMEWORK\V2.0.50727\DOTNETFXINSTALLBLOCK.EXE"

Sospechosa Clave "HKLM\...\Image File Execution Options\NetFx64[1].exe"

"Debugger"="C:\WINDOWS\MICROSOFT.NET\FRAMEWORK\V2.0.50727\DOTNETFXINSTALLBLOCK.EXE"

Sospechosa Clave "HKLM\...\Image File Execution Options\NetFx64[2].exe"

"Debugger"="C:\WINDOWS\MICROSOFT.NET\FRAMEWORK\V2.0.50727\DOTNETFXINSTALLBLOCK.EXE"

No detectado SP3 de Windows XP

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Tue Dec 30 11:21:13 2008

EliStartPage v17.70 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 29 de Diciembre del 2008)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"

C:\Archivos de programa\Adobe\Adobe Photoshop CS3\MATLAB\PSTOOLBOX.HTML --> Eliminado, MalWare.Celular

C:\Archivos de programa\Realtek\InstallShield\ALCMTR.EXE --> Eliminado, SpyRealtek

Nº Total de Directorios: 4829

Nº Total de Ficheros: 57676

Nº de Ficheros Analizados: 21985

Nº de Ficheros Infectados: 2

Nº de Ficheros Limpiados: 2

Tue Dec 30 11:28:00 2008

EliStartPage v17.70 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 29 de Diciembre del 2008)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\WINDOWS"

Nº Total de Directorios: 1161

Nº Total de Ficheros: 14494

Nº de Ficheros Analizados: 7613

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

Tue Dec 30 14:01:45 2008

EliPen v1.8 (c)2008 S.G.H. / Satinfo S.L.

------------------------------------------

Unidad C:\ Protegida

Tue Dec 30 14:02:23 2008

EliPen v1.8 (c)2008 S.G.H. / Satinfo S.L.

------------------------------------------

Error Creando TEST2.SAT

Unidad E:\ No se Pudo Proteger

Error Creando TEST2.SAT

Unidad E:\ No se Pudo Proteger

Unidad G:\ Protegida

Mensaje por **msc hotline sat** » 30 Dic 2008, 15:19

Pues envienos el fichero que indicabamos:

c:\windows\system32\xxaqrn.dll

y vremos lo que es... para obrar en consecuencia.

Aparte, vemos que le faltan parches !!!. Lance un windowsupdate e instale el SP3 y posteriores criticos, como eñ MS08-067 y MS08-078

y vemos que solo ha protegido un pendrive ... Si tiene mas, protejalos todos !!!

Cuando recibamos la muestra solicitada, informaremos al respecto.

saludos

m,s, 30-12-2008

meteocupi · Mensaje por **meteocupi** » 30 Dic 2008, 15:30

[u]~~[b]~~No estan los archivos [/b][/u]en system32 y tampoco se encuentran ejecutando una búsqueda. He puesto "ver archivos ocultos".

Actualizando windows.

Mensaje por **msc hotline sat** » 30 Dic 2008, 15:33

Supongo que se refiere al xxaqrn.dll

pues elimine esta clave:

O20 - AppInit_DLLs: xxaqrn.dll

hagalo con el BUSCAREG, indicando buscar xxaqrn.dll

[size=150][color=darkblue]~~[b]~~BuscaReg[/b][/color][/size] (SATINFO)

Busca una cadena dentro del registro de windows, una vez encontradas permite borrarlas con tan solo pinchar encima de cada entrada encontrada, ademas realiza la exportacion de las claves eliminadas por si se necesitan restaurar las claves borradas.

[url=http://www.zonavirus.com/descargas/buscareg.asp]~~[b]~~Descargar BuscaReg[/b][/url]

saludos

ms, 30-12-2008

meteocupi · Mensaje por **meteocupi** » 30 Dic 2008, 17:23

Ya he eliminado esa clave del registro pero [u]~~[b]~~SuperAntiSpyWare[/b][/u] me [u]sigue detectando[/u] [u]~~[b]~~Vundo.Variant[/b][/u].

Te pego los logs de [u]~~[b]~~SuperAntiSpyWare[/b][/u], [u]~~[b]~~HiJackThis[/b][/u] y [u]~~[b]~~ElitStarA[/b][/u]:

Log de [u]~~[b]~~SuperAntiSpyWare[/b][/u]:

SUPERAntiSpyware Scan Log

http://www.superantispyware.com

Generated 12/30/2008 at 05:04 PM

Application Version : 4.23.1006

Core Rules Database Version : 3689

Trace Rules Database Version: 1665

Scan type : Complete Scan

Total Scan Time : 00:01:35

Memory items scanned : 353

Memory threats detected : 0

Registry items scanned : 3195

Registry threats detected : 4

File items scanned : 0

File threats detected : 1

Adware.Vundo Variant

HKLM\Software\Classes\CLSID\{7DB094B1-C3AA-487C-B75E-CB9654E1A6B4}

HKCR\CLSID\{7DB094B1-C3AA-487C-B75E-CB9654E1A6B4}

HKCR\CLSID\{7DB094B1-C3AA-487C-B75E-CB9654E1A6B4}\InprocServer32

HKCR\CLSID\{7DB094B1-C3AA-487C-B75E-CB9654E1A6B4}\InprocServer32#ThreadingModel

C:\WINDOWS\SYSTEM32\HGGYABTM.DLL

Log de [u]~~[b]~~HiJackThis[/b][/u]:

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 17:20:36, on 30/12/2008

Platform: Windows XP SP3 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16762)

Boot mode: Normal

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Archivos de programa\Lavasoft\Ad-Aware\aawservice.exe

C:\WINDOWS\Explorer.EXE

C:\Archivos de programa\Eset\nod32kui.exe

C:\Archivos de programa\Zone Labs\ZoneAlarm\zlclient.exe

C:\ARCHIV~1\LAUNCH~1\LManager.exe

C:\Archivos de programa\Microsoft Office\Office12\GrooveMonitor.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Archivos de programa\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

C:\Archivos de programa\Stardock\ObjectDock\ObjectDock.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Archivos de programa\Bonjour\mDNSResponder.exe

C:\Archivos de programa\WIDCOMM\Bluetooth Software\bin\btwdins.exe

C:\Archivos de programa\Eset\nod32krn.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\Archivos de programa\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\ZoneLabs\vsmon.exe

C:\Archivos de programa\SUPERAntiSpyware\SUPERAntiSpyware.exe

C:\WINDOWS\system32\Notepad.exe

C:\Archivos de programa\Internet Explorer\iexplore.exe

C:\WINDOWS\system32\notepad.exe

C:\Archivos de programa\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.es

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://go.microsoft.com/fwlink/?LinkId=74005

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll

O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\Archivos de programa\Microsoft Office\Office12\GrooveShellExtensions.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Archivos de programa\Google\Google Toolbar\GoogleToolbar.dll

O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Archivos de programa\Google\GoogleToolbarNotifier\5.0.926.3450\swg.dll

O3 - Toolbar: &Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Archivos de programa\Google\Google Toolbar\GoogleToolbar.dll

O4 - HKLM\..\Run: [nod32kui] "C:\Archivos de programa\Eset\nod32kui.exe" /WAITSERVICE

O4 - HKLM\..\Run: [Zone Labs Client] C:\Archivos de programa\Zone Labs\ZoneAlarm\zlclient.exe

O4 - HKLM\..\Run: [LManager] C:\ARCHIV~1\LAUNCH~1\LManager.exe

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Archivos de programa\Adobe\Reader 9.0\Reader\Reader_sl.exe"

O4 - HKLM\..\Run: [GrooveMonitor] "C:\Archivos de programa\Microsoft Office\Office12\GrooveMonitor.exe"

O4 - HKCU\..\Run: [ccleaner] "C:\Archivos de programa\CCleaner\CCleaner.exe" /AUTO

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [swg] C:\Archivos de programa\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICIO LOCAL')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Servicio de red')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O4 - Startup: Stardock ObjectDock.lnk = C:\Archivos de programa\Stardock\ObjectDock\ObjectDock.exe

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office12\EXCEL.EXE/3000

O8 - Extra context menu item: Enviar a &Bluetooth - C:\Archivos de programa\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm

O9 - Extra button: Enviar a OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\ARCHIV~1\MICROS~2\Office12\ONBttnIE.dll

O9 - Extra 'Tools' menuitem: &Enviar a OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\ARCHIV~1\MICROS~2\Office12\ONBttnIE.dll

O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\Office12\REFIEBAR.DLL

O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll

O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/spanish/kavwebscan_unicode.cab

O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - http://downloads.ewido.net/ewidoOnlineScan.cab

O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1230647152625

O17 - HKLM\System\CCS\Services\Tcpip\..\{ACD35179-77BB-4938-B50D-EDFB7E16CF84}: NameServer = 192.168.14.170,192.168.14.171

O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\Archivos de programa\Microsoft Office\Office12\GrooveSystemServices.dll

O20 - Winlogon Notify: !SASWinLogon - C:\Archivos de programa\SUPERAntiSpyware\SASWINLO.dll

O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Archivos de programa\Lavasoft\Ad-Aware\aawservice.exe

O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Archivos de programa\Bonjour\mDNSResponder.exe

O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Archivos de programa\WIDCOMM\Bluetooth Software\bin\btwdins.exe

O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Archivos de programa\Archivos comunes\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe

O23 - Service: Google Updater Service (gusvc) - Google - C:\Archivos de programa\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: LVSrvLauncher - Logitech Inc. - C:\Archivos de programa\Archivos comunes\Logitech\SrvLnch\SrvLnch.exe

O23 - Service: NBService - Nero AG - C:\Archivos de programa\Nero\Nero 7\Nero BackItUp\NBService.exe

O23 - Service: NMIndexingService - Nero AG - C:\Archivos de programa\Archivos comunes\Ahead\Lib\NMIndexingService.exe

O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Archivos de programa\Eset\nod32krn.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: StarWind AE Service (StarWindServiceAE) - Rocket Division Software - C:\Archivos de programa\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe

O23 - Service: TuneUp Drive Defrag Service (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe

O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

--

End of file - 7952 bytes

Y lo que ha añadido al log [u]~~[b]~~ElitStarA[/b][/u]:

Tue Dec 30 17:09:27 2008

EliStartPage v17.70 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 29 de Diciembre del 2008)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Sospechosa Clave "HKLM\...\Image File Execution Options\dotnet3.exe"

"Debugger"="C:\WINDOWS\MICROSOFT.NET\FRAMEWORK\V2.0.50727\DOTNETFXINSTALLBLOCK.EXE"

Sospechosa Clave "HKLM\...\Image File Execution Options\dotnet3[1].exe"

"Debugger"="C:\WINDOWS\MICROSOFT.NET\FRAMEWORK\V2.0.50727\DOTNETFXINSTALLBLOCK.EXE"

Sospechosa Clave "HKLM\...\Image File Execution Options\dotnet3[2].exe"

"Debugger"="C:\WINDOWS\MICROSOFT.NET\FRAMEWORK\V2.0.50727\DOTNETFXINSTALLBLOCK.EXE"

Sospechosa Clave "HKLM\...\Image File Execution Options\dotnetfx.exe"

"Debugger"="C:\WINDOWS\MICROSOFT.NET\FRAMEWORK\V2.0.50727\DOTNETFXINSTALLBLOCK.EXE"

Sospechosa Clave "HKLM\...\Image File Execution Options\dotnetfx3.exe"

"Debugger"="C:\WINDOWS\MICROSOFT.NET\FRAMEWORK\V2.0.50727\DOTNETFXINSTALLBLOCK.EXE"

Sospechosa Clave "HKLM\...\Image File Execution Options\dotnetfx30SP1setup.exe"

"Debugger"="C:\WINDOWS\MICROSOFT.NET\FRAMEWORK\V2.0.50727\DOTNETFXINSTALLBLOCK.EXE"

Sospechosa Clave "HKLM\...\Image File Execution Options\dotnetfx30SP1setup[1].exe"

"Debugger"="C:\WINDOWS\MICROSOFT.NET\FRAMEWORK\V2.0.50727\DOTNETFXINSTALLBLOCK.EXE"

Sospechosa Clave "HKLM\...\Image File Execution Options\dotnetfx30SP1setup[2].exe"

"Debugger"="C:\WINDOWS\MICROSOFT.NET\FRAMEWORK\V2.0.50727\DOTNETFXINSTALLBLOCK.EXE"

Sospechosa Clave "HKLM\...\Image File Execution Options\dotnetfx35.exe"

"Debugger"="C:\WINDOWS\MICROSOFT.NET\FRAMEWORK\V2.0.50727\DOTNETFXINSTALLBLOCK.EXE"

Sospechosa Clave "HKLM\...\Image File Execution Options\dotnetfx35setup.exe"

"Debugger"="C:\WINDOWS\MICROSOFT.NET\FRAMEWORK\V2.0.50727\DOTNETFXINSTALLBLOCK.EXE"

Sospechosa Clave "HKLM\...\Image File Execution Options\dotnetfx35setup[1].exe"

"Debugger"="C:\WINDOWS\MICROSOFT.NET\FRAMEWORK\V2.0.50727\DOTNETFXINSTALLBLOCK.EXE"

Sospechosa Clave "HKLM\...\Image File Execution Options\dotnetfx35setup[2].exe"

"Debugger"="C:\WINDOWS\MICROSOFT.NET\FRAMEWORK\V2.0.50727\DOTNETFXINSTALLBLOCK.EXE"

Sospechosa Clave "HKLM\...\Image File Execution Options\dotnetfx35[1].exe"

"Debugger"="C:\WINDOWS\MICROSOFT.NET\FRAMEWORK\V2.0.50727\DOTNETFXINSTALLBLOCK.EXE"

Sospechosa Clave "HKLM\...\Image File Execution Options\dotnetfx35[2].exe"

"Debugger"="C:\WINDOWS\MICROSOFT.NET\FRAMEWORK\V2.0.50727\DOTNETFXINSTALLBLOCK.EXE"

Sospechosa Clave "HKLM\...\Image File Execution Options\dotnetfx3setup.exe"

"Debugger"="C:\WINDOWS\MICROSOFT.NET\FRAMEWORK\V2.0.50727\DOTNETFXINSTALLBLOCK.EXE"

Sospechosa Clave "HKLM\...\Image File Execution Options\dotnetfx3setup[1].exe"

"Debugger"="C:\WINDOWS\MICROSOFT.NET\FRAMEWORK\V2.0.50727\DOTNETFXINSTALLBLOCK.EXE"

Sospechosa Clave "HKLM\...\Image File Execution Options\dotnetfx3setup[2].exe"

"Debugger"="C:\WINDOWS\MICROSOFT.NET\FRAMEWORK\V2.0.50727\DOTNETFXINSTALLBLOCK.EXE"

Sospechosa Clave "HKLM\...\Image File Execution Options\dotnetfx3[1].exe"

"Debugger"="C:\WINDOWS\MICROSOFT.NET\FRAMEWORK\V2.0.50727\DOTNETFXINSTALLBLOCK.EXE"

Sospechosa Clave "HKLM\...\Image File Execution Options\dotnetfx3[2].exe"

"Debugger"="C:\WINDOWS\MICROSOFT.NET\FRAMEWORK\V2.0.50727\DOTNETFXINSTALLBLOCK.EXE"

Sospechosa Clave "HKLM\...\Image File Execution Options\dotnetfx3_ia64.exe"

"Debugger"="C:\WINDOWS\MICROSOFT.NET\FRAMEWORK\V2.0.50727\DOTNETFXINSTALLBLOCK.EXE"

Sospechosa Clave "HKLM\...\Image File Execution Options\dotnetfx3_ia64[1].exe"

"Debugger"="C:\WINDOWS\MICROSOFT.NET\FRAMEWORK\V2.0.50727\DOTNETFXINSTALLBLOCK.EXE"

Sospechosa Clave "HKLM\...\Image File Execution Options\dotnetfx3_ia64[2].exe"

"Debugger"="C:\WINDOWS\MICROSOFT.NET\FRAMEWORK\V2.0.50727\DOTNETFXINSTALLBLOCK.EXE"

Sospechosa Clave "HKLM\...\Image File Execution Options\dotnetfx3_x64.exe"

"Debugger"="C:\WINDOWS\MICROSOFT.NET\FRAMEWORK\V2.0.50727\DOTNETFXINSTALLBLOCK.EXE"

Sospechosa Clave "HKLM\...\Image File Execution Options\dotnetfx3_x64[1].exe"

"Debugger"="C:\WINDOWS\MICROSOFT.NET\FRAMEWORK\V2.0.50727\DOTNETFXINSTALLBLOCK.EXE"

Sospechosa Clave "HKLM\...\Image File Execution Options\dotnetfx3_x64[2].exe"

"Debugger"="C:\WINDOWS\MICROSOFT.NET\FRAMEWORK\V2.0.50727\DOTNETFXINSTALLBLOCK.EXE"

Sospechosa Clave "HKLM\...\Image File Execution Options\dotnetfx[1].exe"

"Debugger"="C:\WINDOWS\MICROSOFT.NET\FRAMEWORK\V2.0.50727\DOTNETFXINSTALLBLOCK.EXE"

Sospechosa Clave "HKLM\...\Image File Execution Options\dotnetfx[2].exe"

"Debugger"="C:\WINDOWS\MICROSOFT.NET\FRAMEWORK\V2.0.50727\DOTNETFXINSTALLBLOCK.EXE"

Sospechosa Clave "HKLM\...\Image File Execution Options\NetFx20SP1_ia64.exe"

"Debugger"="C:\WINDOWS\MICROSOFT.NET\FRAMEWORK\V2.0.50727\DOTNETFXINSTALLBLOCK.EXE"

Sospechosa Clave "HKLM\...\Image File Execution Options\NetFx20SP1_ia64[1].exe"

"Debugger"="C:\WINDOWS\MICROSOFT.NET\FRAMEWORK\V2.0.50727\DOTNETFXINSTALLBLOCK.EXE"

Sospechosa Clave "HKLM\...\Image File Execution Options\NetFx20SP1_ia64[2].exe"

"Debugger"="C:\WINDOWS\MICROSOFT.NET\FRAMEWORK\V2.0.50727\DOTNETFXINSTALLBLOCK.EXE"

Sospechosa Clave "HKLM\...\Image File Execution Options\NetFx20SP1_x64.exe"

"Debugger"="C:\WINDOWS\MICROSOFT.NET\FRAMEWORK\V2.0.50727\DOTNETFXINSTALLBLOCK.EXE"

Sospechosa Clave "HKLM\...\Image File Execution Options\NetFx20SP1_x64[1].exe"

"Debugger"="C:\WINDOWS\MICROSOFT.NET\FRAMEWORK\V2.0.50727\DOTNETFXINSTALLBLOCK.EXE"

Sospechosa Clave "HKLM\...\Image File Execution Options\NetFx20SP1_x64[2].exe"

"Debugger"="C:\WINDOWS\MICROSOFT.NET\FRAMEWORK\V2.0.50727\DOTNETFXINSTALLBLOCK.EXE"

Sospechosa Clave "HKLM\...\Image File Execution Options\NetFx20SP1_x86.exe"

"Debugger"="C:\WINDOWS\MICROSOFT.NET\FRAMEWORK\V2.0.50727\DOTNETFXINSTALLBLOCK.EXE"

Sospechosa Clave "HKLM\...\Image File Execution Options\NetFx20SP1_x86[1].exe"

"Debugger"="C:\WINDOWS\MICROSOFT.NET\FRAMEWORK\V2.0.50727\DOTNETFXINSTALLBLOCK.EXE"

Sospechosa Clave "HKLM\...\Image File Execution Options\NetFx20SP1_x86[2].exe"

"Debugger"="C:\WINDOWS\MICROSOFT.NET\FRAMEWORK\V2.0.50727\DOTNETFXINSTALLBLOCK.EXE"

Sospechosa Clave "HKLM\...\Image File Execution Options\NetFx20SP2_ia64.exe"

"Debugger"="C:\WINDOWS\MICROSOFT.NET\FRAMEWORK\V2.0.50727\DOTNETFXINSTALLBLOCK.EXE"

Sospechosa Clave "HKLM\...\Image File Execution Options\NetFx20SP2_ia64[1].exe"

"Debugger"="C:\WINDOWS\MICROSOFT.NET\FRAMEWORK\V2.0.50727\DOTNETFXINSTALLBLOCK.EXE"

Sospechosa Clave "HKLM\...\Image File Execution Options\NetFx20SP2_ia64[2].exe"

"Debugger"="C:\WINDOWS\MICROSOFT.NET\FRAMEWORK\V2.0.50727\DOTNETFXINSTALLBLOCK.EXE"

Sospechosa Clave "HKLM\...\Image File Execution Options\NetFx20SP2_x64.exe"

"Debugger"="C:\WINDOWS\MICROSOFT.NET\FRAMEWORK\V2.0.50727\DOTNETFXINSTALLBLOCK.EXE"

Sospechosa Clave "HKLM\...\Image File Execution Options\NetFx20SP2_x64[1].exe"

"Debugger"="C:\WINDOWS\MICROSOFT.NET\FRAMEWORK\V2.0.50727\DOTNETFXINSTALLBLOCK.EXE"

Sospechosa Clave "HKLM\...\Image File Execution Options\NetFx20SP2_x64[2].exe"

"Debugger"="C:\WINDOWS\MICROSOFT.NET\FRAMEWORK\V2.0.50727\DOTNETFXINSTALLBLOCK.EXE"

Sospechosa Clave "HKLM\...\Image File Execution Options\NetFx20SP2_x86.exe"

"Debugger"="C:\WINDOWS\MICROSOFT.NET\FRAMEWORK\V2.0.50727\DOTNETFXINSTALLBLOCK.EXE"

Sospechosa Clave "HKLM\...\Image File Execution Options\NetFx20SP2_x86[1].exe"

"Debugger"="C:\WINDOWS\MICROSOFT.NET\FRAMEWORK\V2.0.50727\DOTNETFXINSTALLBLOCK.EXE"

Sospechosa Clave "HKLM\...\Image File Execution Options\NetFx20SP2_x86[2].exe"

"Debugger"="C:\WINDOWS\MICROSOFT.NET\FRAMEWORK\V2.0.50727\DOTNETFXINSTALLBLOCK.EXE"

Sospechosa Clave "HKLM\...\Image File Execution Options\NetFx30SP1_x64.exe"

"Debugger"="C:\WINDOWS\MICROSOFT.NET\FRAMEWORK\V2.0.50727\DOTNETFXINSTALLBLOCK.EXE"

Sospechosa Clave "HKLM\...\Image File Execution Options\NetFx30SP1_x64[1].exe"

"Debugger"="C:\WINDOWS\MICROSOFT.NET\FRAMEWORK\V2.0.50727\DOTNETFXINSTALLBLOCK.EXE"

Sospechosa Clave "HKLM\...\Image File Execution Options\NetFx30SP1_x64[2].exe"

"Debugger"="C:\WINDOWS\MICROSOFT.NET\FRAMEWORK\V2.0.50727\DOTNETFXINSTALLBLOCK.EXE"

Sospechosa Clave "HKLM\...\Image File Execution Options\NetFx30SP1_x86.exe"

"Debugger"="C:\WINDOWS\MICROSOFT.NET\FRAMEWORK\V2.0.50727\DOTNETFXINSTALLBLOCK.EXE"

Sospechosa Clave "HKLM\...\Image File Execution Options\NetFx30SP1_x86[1].exe"

"Debugger"="C:\WINDOWS\MICROSOFT.NET\FRAMEWORK\V2.0.50727\DOTNETFXINSTALLBLOCK.EXE"

Sospechosa Clave "HKLM\...\Image File Execution Options\NetFx30SP1_x86[2].exe"

"Debugger"="C:\WINDOWS\MICROSOFT.NET\FRAMEWORK\V2.0.50727\DOTNETFXINSTALLBLOCK.EXE"

Sospechosa Clave "HKLM\...\Image File Execution Options\NetFx35_ia64.exe"

"Debugger"="C:\WINDOWS\MICROSOFT.NET\FRAMEWORK\V2.0.50727\DOTNETFXINSTALLBLOCK.EXE"

Sospechosa Clave "HKLM\...\Image File Execution Options\NetFx35_ia64[1].exe"

"Debugger"="C:\WINDOWS\MICROSOFT.NET\FRAMEWORK\V2.0.50727\DOTNETFXINSTALLBLOCK.EXE"

Sospechosa Clave "HKLM\...\Image File Execution Options\NetFx35_ia64[2].exe"

"Debugger"="C:\WINDOWS\MICROSOFT.NET\FRAMEWORK\V2.0.50727\DOTNETFXINSTALLBLOCK.EXE"

Sospechosa Clave "HKLM\...\Image File Execution Options\NetFx35_x64.exe"

"Debugger"="C:\WINDOWS\MICROSOFT.NET\FRAMEWORK\V2.0.50727\DOTNETFXINSTALLBLOCK.EXE"

Sospechosa Clave "HKLM\...\Image File Execution Options\NetFx35_x64[1].exe"

"Debugger"="C:\WINDOWS\MICROSOFT.NET\FRAMEWORK\V2.0.50727\DOTNETFXINSTALLBLOCK.EXE"

Sospechosa Clave "HKLM\...\Image File Execution Options\NetFx35_x64[2].exe"

"Debugger"="C:\WINDOWS\MICROSOFT.NET\FRAMEWORK\V2.0.50727\DOTNETFXINSTALLBLOCK.EXE"

Sospechosa Clave "HKLM\...\Image File Execution Options\NetFx35_x86.exe"

"Debugger"="C:\WINDOWS\MICROSOFT.NET\FRAMEWORK\V2.0.50727\DOTNETFXINSTALLBLOCK.EXE"

Sospechosa Clave "HKLM\...\Image File Execution Options\NetFx35_x86[1].exe"

"Debugger"="C:\WINDOWS\MICROSOFT.NET\FRAMEWORK\V2.0.50727\DOTNETFXINSTALLBLOCK.EXE"

Sospechosa Clave "HKLM\...\Image File Execution Options\NetFx35_x86[2].exe"

"Debugger"="C:\WINDOWS\MICROSOFT.NET\FRAMEWORK\V2.0.50727\DOTNETFXINSTALLBLOCK.EXE"

Sospechosa Clave "HKLM\...\Image File Execution Options\NetFx64.exe"

"Debugger"="C:\WINDOWS\MICROSOFT.NET\FRAMEWORK\V2.0.50727\DOTNETFXINSTALLBLOCK.EXE"

Sospechosa Clave "HKLM\...\Image File Execution Options\NetFx64[1].exe"

"Debugger"="C:\WINDOWS\MICROSOFT.NET\FRAMEWORK\V2.0.50727\DOTNETFXINSTALLBLOCK.EXE"

Sospechosa Clave "HKLM\...\Image File Execution Options\NetFx64[2].exe"

"Debugger"="C:\WINDOWS\MICROSOFT.NET\FRAMEWORK\V2.0.50727\DOTNETFXINSTALLBLOCK.EXE"

No detectado SP3 de Windows XP

Eliminados Ficheros Temporales del IE

Tue Dec 30 17:09:43 2008

EliStartPage v17.70 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 29 de Diciembre del 2008)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"

Nº Total de Directorios: 4767

Nº Total de Ficheros: 57748

Nº de Ficheros Analizados: 21863

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

Mensaje por **msc hotline sat** » 30 Dic 2008, 20:00

Pues envienos para analizar este fichero que indica el "SAntiSpy"

C:\WINDOWS\SYSTEM32\HGGYABTM.DLL

que no aparece en el log del HJT ??? ...

~~[b]~~¿Como enviar las muestras a zonavirus? - Para ello recordar[/b]:

https://foros.zonavirus.com/viewtopic.php?f=5&t=14253

Tras analizarlo, obraremos en consecuencia, de lo cual informaremos

saludos

ms, 30-12-2008

meteocupi · Mensaje por **meteocupi** » 30 Dic 2008, 21:30

Me pasa igual que con el otro fichero. No existe, no lo encuentro de ninguna manera.

Mensaje por **msc hotline sat** » 30 Dic 2008, 22:13

Pues primero descarga el ELIMOVER.EXE :

ELIMOVER

http://www.zonavirus.com/descargas/elimover.asp

Luego arranca en modo seguro y lo ejecutas, y con un copiar y pegar, le indicas esta ruta y fichero a mover:

C:\WINDOWS\SYSTEM32\HGGYABTM.DLL

Si lo hay, lo moverá a C:\muestras, desde donde luego podrás enviarnoslo sin problemas

saludos

ms, 30-12-2008

meteocupi · Mensaje por **meteocupi** » 31 Dic 2008, 10:24

Yo ya no entiendo nada!!!

He hecho lo que me decía con elimover, pero el programa me decía que no existía el archivo. Así que aprovechando que estaba en modo seguro he vuelto a hacer lo que ya había hecho anteriormente: SuperAntiSpyWare y Malwarebyte's. Ambos me lo han detectado una vez más pero ahora sólo me detectaban una clave en el registro en lugar del archivo y 4 claves. Bueno, luego he limpiado el registro con TuneUp Registry Cleaner varias veces hasta que estaba limpio del todo. He reiniciado en modo normal y... voilá... Ahora no me detectan nada ni SuperAntiSpyWare ni Malwarebyte's Anti-Malware.

Total: que parece que se ha solucionado el tema pero haciendo lo mismo que ya había hecho antes.

Muchísimas gracias, su ayuda ha sido de gran valor.

Joan

Mensaje por **msc hotline sat** » 31 Dic 2008, 10:46

Pues lo celebramos, y dando el Tema por solucionado, procedemos a cerrarlo

Si nos necesita de nuevo, ya sabe donde estamos

saludos y FELIZ AÑO NUEVO

ms, 31-12-2008

Tengo Vundo (SOLUCIONADO)

Tengo Vundo (SOLUCIONADO)

Re: Tengo Vundo

Re: Tengo Vundo

Re: Tengo Vundo

Re: Tengo Vundo

Re: Tengo Vundo

Re: Tengo Vundo

Re: Tengo Vundo

Re: Tengo Vundo

Re: Tengo Vundo

Re: Tengo Vundo

Re: Tengo Vundo