urppdmta.dll infectado

[lupusellobo]

Hola necesito ayuda como dice el titulo hay un dll infectado en c:windows/system32/urppdmta.dll lo detecta el ad-aware pero no lo elimina me dice que lo hara en el proximo reavio pero nada lo sigue encontrando arranque la maquina en modo seguro y saque restauracion sistema pero no me lo deja ejecutar el hijackthis encuentra la vos en el registro y tampoco lo puede eliminar prove a eliminarlo a mano y nada dice que esta en uso

que puedo hacer? el virus es win32tr\.\keaDelf Malware

Este es el log



Logfile of HijackThis v1.99.1

Scan saved at 14:01:57, on 09/08/2009

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.21073)



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\csrss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\Archivos de programa\Lavasoft\Ad-Aware\AAWService.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\system32\svchost.exe

C:\Archivos de programa\Eset\nod32krn.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\WINDOWS\system32\svchost.exe

C:\Archivos de programa\Yahoo!\SoftwareUpdate\YahooAUService.exe

C:\Archivos de programa\NVIDIA Corporation\NetworkAccessManager\bin32\nSvcAppFlt.exe

C:\Archivos de programa\NVIDIA Corporation\NetworkAccessManager\bin32\nSvcIp.exe

C:\WINDOWS\system32\wbem\unsecapp.exe

C:\WINDOWS\system32\wbem\wmiprvse.exe

C:\WINDOWS\Explorer.exe

C:\Archivos de programa\Eset\nod32kui.exe

C:\WINDOWS\RTHDCPL.EXE

C:\WINDOWS\system32\RUNDLL32.EXE

C:\Archivos de programa\Microsoft Office\Office12\GrooveMonitor.exe

C:\WINDOWS\vsnpstd3.exe

C:\WINDOWS\tsnpstd3.exe

C:\Archivos de programa\Lavasoft\Ad-Aware\AAWTray.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Archivos de programa\Ares\Ares.exe

C:\WINDOWS\system32\sysmon.exe

C:\Archivos de programa\MSN Messenger\msnmsgr.exe

C:\Archivos de programa\Yahoo!\Search Protection\SearchProtection.exe

C:\Archivos de programa\MSN Messenger\usnsvc.exe

C:\Archivos de programa\Yahoo!\Messenger\ymsgr_tray.exe

C:\WINDOWS\system32\csrss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\Explorer.exe

C:\Archivos de programa\Eset\nod32kui.exe

C:\WINDOWS\RTHDCPL.EXE

C:\WINDOWS\system32\RUNDLL32.EXE

C:\Archivos de programa\Microsoft Office\Office12\GrooveMonitor.exe

C:\WINDOWS\FixCamera.exe

C:\WINDOWS\vsnpstd3.exe

C:\WINDOWS\tsnpstd3.exe

C:\Archivos de programa\Lavasoft\Ad-Aware\AAWTray.exe

C:\Archivos de programa\Yahoo!\Search Protection\SearchProtection.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Archivos de programa\Ares\Ares.exe

C:\Archivos de programa\Skype\Phone\Skype.exe

C:\WINDOWS\system32\sysmon.exe

C:\Archivos de programa\Skype\Plugin Manager\skypePM.exe

C:\Archivos de programa\MSN Messenger\msnmsgr.exe

C:\Documents and Settings\Gisell.DESKTOP\temp\TeamViewer\Version4\TeamViewer.exe

C:\hijackthis\HijackThis.exe



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = www.google.com.ar

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

F2 - REG:system.ini: Shell=Explorer.exe "C:\Documents and Settings\All Users\Datos de programa\Microsoft\svchost.exe"

O2 - BHO: (no name) - {000DC3F7-D642-4AFB-97A2-2908E162C5Ee} - C:\WINDOWS\system32\urppdmta.dll

O2 - BHO: Aplicación auxiliar de vínculos de Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Archivos comunes\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Archivos de programa\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll

O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\ARCHIV~1\MICROS~1\Office12\GRA8E1~1.DLL

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.6.0_02\bin\ssv.dll

O2 - BHO: (no name) - {C3670F64-7481-41D6-BFFC-D489700E990A} - c:\windows\system32\yggjxyq.dll

O4 - HKLM\..\Run: [nod32kui] "C:\Archivos de programa\Eset\nod32kui.exe" /WAITSERVICE

O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [GrooveMonitor] "C:\Archivos de programa\Microsoft Office\Office12\GrooveMonitor.exe"

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [FixCamera] C:\WINDOWS\FixCamera.exe

O4 - HKLM\..\Run: [snpstd3] C:\WINDOWS\vsnpstd3.exe

O4 - HKLM\..\Run: [tsnpstd3] C:\WINDOWS\tsnpstd3.exe

O4 - HKLM\..\Run: [My Web Search Bar Search Scope Monitor] "C:\ARCHIV~1\MYWEBS~1\bar\1.bin\m3SrchMn.exe" /m=2 /w /h

O4 - HKLM\..\Run: [Ad-Watch] C:\Archivos de programa\Lavasoft\Ad-Aware\AAWTray.exe

O4 - HKLM\..\Run: [YSearchProtection] "C:\Archivos de programa\Yahoo!\Search Protection\SearchProtection.exe"

O4 - HKLM\..\Run: [System Monitor] sysmon.exe

O4 - HKLM\..\RunServices: [System Monitor] sysmon.exe

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [ares] "C:\Archivos de programa\Ares\Ares.exe" -h

O4 - HKCU\..\Run: [Skype] "C:\Archivos de programa\Skype\Phone\Skype.exe" /nosplash /minimized

O4 - HKCU\..\Run: [System Monitor] sysmon.exe

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~1\Office12\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_02\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_02\bin\ssv.dll

O9 - Extra button: Enviar a OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\ARCHIV~1\MICROS~1\Office12\ONBttnIE.dll

O9 - Extra 'Tools' menuitem: &Enviar a OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\ARCHIV~1\MICROS~1\Office12\ONBttnIE.dll

O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Archivos de programa\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll

O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~1\Office12\REFIEBAR.DLL

O10 - Unknown file in Winsock LSP: c:\windows\system32\nvlsp.dll

O10 - Unknown file in Winsock LSP: c:\windows\system32\nvlsp.dll

O10 - Unknown file in Winsock LSP: c:\windows\system32\nvlsp.dll

O10 - Unknown file in Winsock LSP: c:\windows\system32\nvlsp.dll

O11 - Options group: [INTERNATIONAL] International*

O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\ARCHIV~1\MICROS~1\Office12\GR99D3~1.DLL

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Help\hxds.dll

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\ARCHIV~1\ARCHIV~1\Skype\SKYPE4~1.DLL

O18 - Filter hijack: text/xml - {807563E5-5146-11D5-A672-00B0D022E945} - C:\ARCHIV~1\ARCHIV~1\MICROS~1\OFFICE12\MSOXMLMF.DLL

O20 - Winlogon Notify: bnknulod - C:\WINDOWS\SYSTEM32\yggjxyq.dll

O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll

O23 - Service: ForceWare Intelligent Application Manager (IAM) - Unknown owner - C:\Archivos de programa\NVIDIA Corporation\NetworkAccessManager\bin32\nSvcAppFlt.exe

O23 - Service: Lavasoft Ad-Aware Service - Lavasoft - C:\Archivos de programa\Lavasoft\Ad-Aware\AAWService.exe

O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Archivos de programa\Eset\nod32krn.exe

O23 - Service: ForceWare IP service (nSvcIp) - Unknown owner - C:\Archivos de programa\NVIDIA Corporation\NetworkAccessManager\bin32\nSvcIp.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: Yahoo! Updater (YahooAUService) - Yahoo! Inc. - C:\Archivos de programa\Yahoo!\SoftwareUpdate\YahooAUService.exe





saludos y gracias

[julibaga]

Desinstala el Ares y para eliminar ese archivo utiliza, arrancando en Modo seguro, el [b][url=http://www.zonavirus.com/descargas/elimover.asp]Elimover[/url][/b] entrándole la ruta y nombre de fichero:



c:\windows\system32\urppdmta.dll



y acepta en cambiar su extensión a .VIR para que no pueda lanzarse a partir del próximo reinicio. Con ello, lo moverá a [b]c:\muestras[/b], y desde allí lo envías para analizar.

[lucl]

Busca este archivo y subelo a analizar a virustotal





C:\WINDOWS\system32\[b]sysmon.exe[/b] si da virico nos pegas el log



www.virustotal.com/es





y el urppdmta.dll , añadele extension .vir a ver si asi no te incordia y nos lo envias para analizar. De igual modo si el sysmon esta infectado haces lo mismo. Tiens el boton de envio muestras arriba a la derecha, los empaquetas con winrar o winzip y y le pones de contraseña VIRUS, saludos

[lupusellobo]

Hola perdon por la demora es que estoy de vacaciones y no tengo la computadora mi pregunta es: si la causa del virus es el ares es necesario cancelarlo

apenas pueda les mando las muestras que me piden saludos y gracias

[flacoroo]

el Ares al igual que casi todos los Programas P2P conllevan problemas, aun que no se recomienda su uso aqui en este foro, pero ya es una decision del usuario, una buena manera de no infectarte es tener un buen antivirus actualizado, y que te cheque las descargas que haces.

[msc hotline sat]

Pues ademas del que indicas en el título, hay otro sospechoso que convienes nos envies para analizar:



C:\WINDOWS\system32\urppdmta.dll



c:\windows\system32\yggjxyq.dll



y elimina esta clave del MyWebSearch:



4 - HKLM\..\Run: [My Web Search Bar Search Scope Monitor] "C:\ARCHIV~1\MYWEBS~1\bar\1.bin\m3SrchMn.exe" /m=2 /w /h









[b]¿Como enviar las muestras a zonavirus? - Para ello recordar[/b]:

https://foros.zonavirus.com/viewtopic.php?f=5&t=14253





Tras recibir el/los fichero/s, lo/s analizaremos e implementaremos su control y eliminacion, si procede, en nuestras utilidades, de lo cual informaremos



saludos



ms, 24-8-2009









NOTA: La muestra que pedía lucl, estando en la carpeta de sistema posiblemente es una herramienta de windows. Otra cosa sería que estuviera en C:\windows\system32\sysmon\SYSMON.EXE , en cuyo caso podría ser un Bizex.





Y vemos que te faltran parches, lanza un windowsupdate e instala los pendientes. ms.