zhopaizdupla (SOLUCIONADO)

Zebastian · Mensaje por **Zebastian** » 17 Abr 2006, 14:32

hola, hoy al intentar acceder a la web el firewall me alerta de que el archivo zhopaizdupla.exe intenta acceder a la red. Lo he bloqueado pq no sabía que era. Me parece que es un virus, que puedo hacer para eliminarlo?

gracias por vuestra ayuda, un saludo

Mensaje por **msc hotline sat** » 17 Abr 2006, 15:45

Posiblemente lo puedas mover a una carpèta de cuarentena y tras ello reinicias y ya no se pondrá en marcha

Tras ello mira de enviarnoslo para qie procedamos a su examen, control y eliminacion con nuestras utilidades

Lo puedes enviar a zonavirus@satinfo.es anexado a un mail en el que indiques como referencia "REF zhopaizdupla" y, tras examinarlo, informaremos

saludos

17-4-2006

Mensaje por **msc hotline sat** » 17 Abr 2006, 18:11

Buscando informacion al respecto, veo que debes estar lleno de bichos, pues por lo que parece crea y se han de borrar las siguientes claves y ficheros:

[quote="Para la eliminacion del zhopaizdupla
se"]ELIMINAR LAS CLAVES:

R3 - Default URLSearchHook is missing

O2 - BHO: (no name) - {77701e16-9bfe-4b63-a5b4-7bd156758a37} - (no file)

O4 - HKCU\..\Run: [wmvdmoe] C:\WINDOWS\System32\wmvdmoe.exe

O4 - HKCU\..\Run: [perfos] C:\WINDOWS\System32\perfos.exe

O4 - HKCU\..\Run: [196_150_ni] C:\WINDOWS\System32\196_150_ni.exe

O4 - HKCU\..\Run: [197_150_ni_6] C:\WINDOWS\System32\197_150_ni_6.exe

O4 - HKCU\..\Run: [dinput] "C:\WINDOWS\System32\dinput.exe"

O4 - HKCU\..\Run: [usrv80a] "C:\WINDOWS\System32\usrv80a.exe"

O4 - HKCU\..\Run: [mpg4dmod] "C:\WINDOWS\System32\mpg4dmod.exe"

O4 - HKCU\..\Run: [msr2c] "C:\WINDOWS\System32\msr2c.exe"

O4 - HKCU\..\Run: [sfc_os] "C:\WINDOWS\System32\sfc_os.exe"

O4 - HKCU\..\Run: [refedit] "C:\WINDOWS\System32\refedit.exe"

O4 - HKCU\..\Run: [dinput] "C:\WINDOWS\System32\dinput.exe"

O4 - HKCU\..\Run: [wmdmlog] "C:\WINDOWS\System32\wmdmlog.exe"

O4 - HKCU\..\Run: [input] "C:\WINDOWS\System32\input.exe"

O4 - HKCU\..\Run: [odbc16gt] "C:\WINDOWS\System32\odbc16gt.exe"

O4 - Startup: PowerReg Scheduler V3.exe

O16 - DPF: {1D0D9077-3798-49BB-9058-393499174D5D} - file://c:\counter.cab

Y localizar y borrar los siguientes focheros:

c:\counter.cab

C:\WINDOWS\System32\196_150_ni.exe

C:\WINDOWS\System32\197_150_ni_6.exe

C:\WINDOWS\System32\dinput.exe

C:\WINDOWS\System32\dinput.exe

C:\WINDOWS\System32\input.exe

C:\WINDOWS\System32\mpg4dmod.exe

C:\WINDOWS\System32\msr2c.exe

C:\WINDOWS\System32\odbc16gt.exe

C:\WINDOWS\System32\perfos.exe

C:\WINDOWS\System32\refedit.exe

C:\WINDOWS\System32\sfc_os.exe

C:\WINDOWS\System32\usrv80a.exe

C:\WINDOWS\System32\wmdmlog.exe

C:\WINDOWS\System32\wmvdmoe.exe

C:\WINDOWS\System32\zhopaizdupla.exe

[/quote]

Mejor nos envias las muestras y ya harenos la utilidad automatica, pero si quieres hacerlo manualmente, arranca en modo seguro y procede...

Guarda antes en un disquete algunos ficheros infectados o nos los envias antes de borrarlos !!! gracias

saludos

ms, 17-4-2006

Zebastian · Mensaje por **Zebastian** » 17 Abr 2006, 18:26

disculpad la demora, os lo acabo de enviar. gracias por vuestro interes. un saludo.

Zebastian · Mensaje por **Zebastian** » 17 Abr 2006, 18:52

hola , estoy buscando todos esos bichos en la carpeta system32, pero no los encuentro con extension .exe, sino con extension dll, (ej wmdmlog.dll;usrv80a.dll;.wmvdmoe.dll etc), estos son validos, me refiero a los dll? porque .exe ya os comento, no encuentro nada.

Gracias. saludos

EDITO, en el registro si me aparecen las entradas, pero no en windows\system32; me aparecen en: (nombre) 003;(tipo)RGZ_SZ;(datos) perfos; 013 -wmvdmoe.exe... etc, aqui si salen las entradas.Decir que solo utilice el registro una vez y no tengo mucha idea, o sea que esperaré a vuestra utilidad.

Mensaje por **msc hotline sat** » 17 Abr 2006, 19:37

Pero envianos todos los fiheros EXE O DLL rtelativos a ello, para poder hacerla, gracias

Piensa que eres conejillo de indias en este caso :lol: :lol: :lol:

alguien tiene que ser el primero !!!

saludos

ms, 17-4-2006

Zebastian · Mensaje por **Zebastian** » 17 Abr 2006, 20:23

hola, no tengo ningun .exe en mi equipo. Tpco aparecen las entradas en el registro. Los .dll me parece que son librerias validas de windows, lo he comprobado con otro pc. De todas formas , hace falta que os envie los .dll? Dudoso honor el de ser conejillo de indias :P :lol: . Gracias por todo , un saludo.

:)

Mensaje por **msc hotline sat** » 17 Abr 2006, 20:30

Las rutinas viricas tanto pueden estar en los EXE como en las DLL, y de hecho en estas ultimas es donde actualmente residen mas troyanos. Envialas y veremos lo que hay y obraremos en consecuencia

Y otros antes que tu lo pillaron en Internet, por eso lo indicado, pero en el foro eres el primero ...

saludos

ms, 17-4-2006

Mensaje por **msc hotline sat** » 19 Abr 2006, 18:50

Hemos subido la version 11.54 del ELISTARA que ya controla la muestra enviada:

https://foros.zonavirus.com/viewtopic.php?t=11412&highlight=zhopaizdupla

Pruebala y tras reiniciar nos comentas el resultado, gracias

ELISTARA:

http://www.zonavirus.com/descargas/elistara.asp

saludos

ms, 19-4-2006

Zebastian · Mensaje por **Zebastian** » 19 Abr 2006, 19:00

a ver, me he bajado el elifeeba y lo probaré . Ya le pasé varios tipos de antispyware y antivirus, pero no me encontraron nada. Tpco noto nada raro en el equipo, y el zhopaizdupla lo metí en cuarentena desde el primer dia que lo vi. A ver que me encuentra la utilidad que me habeis facilitado. Gracias, un saludo :wink:

Zebastian · Mensaje por **Zebastian** » 19 Abr 2006, 19:03

o es elistara la que tengo que pasarle??

Edito: caramba juraria que antes habia un enlace para elifeeba .. ok me bajo elistara. saludos

Mensaje por **msc hotline sat** » 19 Abr 2006, 19:15

Me has visto a medio proceso... Como que acababa de subir las dos utilidades, primero he indicado una por otra y luego, al revisarlo, lo he corregido.

No, todavía no ves visiones... :lol: :lol: :lol:

Pruebala y me dices algo, gracias

saludos

ms, 19-4-2006

Zebastian · Mensaje por **Zebastian** » 19 Abr 2006, 20:47

:lol: podría haber sido uno de los efectos del virus jajaja. Bueno, pues mira le pasé elistara y me encontro tres cosillas:

iccatch.dll.vir flashget (BHO)

DSP_lowpass.dll- DumaruBDoor.cct

Devicecustomization.dll- ISL

esto es todo.

El zhopaiz lo tengo en cuarentena en el antivirus, que hago lo borro?? o lo dejo en cuarentena??

Enga, muchas gracias por vuestro interes. Ahora voy a ver el partido del villareal.

:wink: un saludo

Mensaje por **msc hotline sat** » 20 Abr 2006, 04:40

Si el que en cuarentena te refieres al zhopaizdupla.exe, deberia haber sido detectado por el ELISTARA en la exploracion, y eliminado.

Posteanos el contenido del C:\infosat.txt para que veamos lo que hizo y lo que no hizo... y lo mejoraremos, pues deberia haberlo borrado en la busqueda por cadenas. ???

saludos

ms, 20-4-2006

saludos

Mensaje por **msc hotline sat** » 25 Abr 2006, 17:02

Los logs no se deben enciar por mail sino postear su contenido en el foro.

Como que se ha recibido este de tu referencia, lo he podido rescatar y lo posteo a continuaicon:

[quote]
Wed Apr 19 19:14:01 2006

EliStartPage v11.54 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

D:\ARCHIVOS DE PROGRAMA\FLASHGET\FGIEBAR.DLL --> Eliminado FlashGet (TB)

D:\ARCHIVOS DE PROGRAMA\FLASHGET\JCCATCH.DLL --> FlashGet (BHO) Renombrado a .VIR

Eliminada Class, "{29F97553-FBD6-33D1-BFC1-47A024D1875C}" -> D:\WINDOWS\system32\c2c.dll

Eliminada Class, "{A5366673-E8CA-11D3-9CD9-0090271D075B}" -> D:\ARCHIV~1\FlashGet\jccatch.dll

Eliminada Class, "{E0E899AB-F487-11D5-8D29-0050BA6940E3}" -> D:\ARCHIV~1\FlashGet\fgiebar.dll

Eliminada Class, "{FB5DA722-162B-11D3-8B9B-AA70B4B0B524}" -> D:\ARCHIV~1\FlashGet\jccatch.dll

Eliminada Class, "{FB5DA724-162B-11D3-8B9B-AA70B4B0B524}" -> D:\ARCHIV~1\FlashGet\jccatch.dll

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Wed Apr 19 19:16:52 2006

EliStartPage v11.54 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

D:\Archivos de programa\Azureus\UNINSTALL.EXE --> AutoExtraible

D:\Archivos de programa\BitComet\UNINST.EXE --> AutoExtraible

D:\Archivos de programa\Guitar Pro 5\rse\fx\fmod\DSP_LOWPASS.DLL --> Eliminado, Dumaru BDoor-CCT

D:\Archivos de programa\Mp3tag\MP3TAGUNINSTALL.EXE --> AutoExtraible

D:\Archivos de programa\Samsung\SAMSUNG PC Studio 2.0.9\Sync ML Desktop Server\DEVICECUSTOMISATION.DLL --> Eliminado, ISTBar

D:\Archivos de programa\Soulseek\UNINSTALL.EXE --> AutoExtraible

D:\Archivos de programa\Winamp\UNINSTWA.EXE --> AutoExtraible

Wed Apr 19 19:39:58 2006

EliStartPage v11.54 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

C:\Archivos de programa\FlashGet\FGIEBAR.DLL --> Eliminado, FlashGet (TB)

C:\Archivos de programa\FlashGet\JCCATCH.DLL --> Eliminado, FlashGet (BHO)

C:\System Volume Information\_restore{4CD22CBF-7329-489A-ADE0-11ED0686886D}\RP591\A0131408.DLL --> Eliminado, FlashGet (TB)

C:\System Volume Information\_restore{4CD22CBF-7329-489A-ADE0-11ED0686886D}\RP591\A0131409.DLL --> Eliminado, FlashGet (BHO)

C:\GRABAR YA GRABADO\sin pasar a cd utilidades\MP3TAGV231SETUP.EXE --> AutoExtraible

C:\GRABAR YA GRABADO\sin pasar a cd utilidades\WINAMP51_FULL_EMUSIC-7PLUS.EXE --> AutoExtraible

C:\GRABAR YA GRABADO\sin pasar a cd utilidades\WINAMP51_PRO.EXE --> AutoExtraible

Wed Apr 19 19:41:51 2006

EliStartPage v11.54 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

D:\Archivos de programa\Azureus\UNINSTALL.EXE --> AutoExtraible

D:\Archivos de programa\BitComet\UNINST.EXE --> AutoExtraible

D:\Archivos de programa\Mp3tag\MP3TAGUNINSTALL.EXE --> AutoExtraible

D:\Archivos de programa\Soulseek\UNINSTALL.EXE --> AutoExtraible

D:\Archivos de programa\Winamp\UNINSTWA.EXE --> AutoExtraible

Wed Apr 19 20:19:13 2006

EliStartPage v11.54 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

D:\Archivos de programa\FlashGet\JCCATCH.DLL.VIR --> Eliminado.

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

[/quote]

Tras lo que visto que ya no se detecta nada sospechoso y parece que todo está bien, te predimos que veas si persiste alguna anomalia y en cualquier caso nos indiques si podemos dar por solucionado el Tema, gracias

saludos

ms, 25-4-2006

Zebastian · Mensaje por **Zebastian** » 01 May 2006, 16:45

bueno, en principio parece que todo está correctamente. Creo que el virus no llegó a actuar ya que no pudo acceder a la red pq lo bloqueé. Y busqué en todo el sistema los archivos que crea y no están. Tb le pasé varias utilidades y antivirus, ewido, el prevx1 (que creo q es el unico antivirus que lo soluciona) , tb vuestra utilidad, y no encontraron nada. O sea que de momento yo creo que está solucionado. Gracias

Mensaje por **msc hotline sat** » 01 May 2006, 20:35

Y gracias a la muestra que enviaste, tambiem el ELISTARA lo controla y elimina

Y solucionado el problema. procedemos a cerrar el Tema

saludos

ms 1.5.2006