VIRTUMUNDE (SOLUCIONADO)

Boreal69 · Mensaje por **Boreal69** » 03 Ago 2006, 20:55

Hola de nuevo.... os voy a hacer una consulta sobre el ordenador de mi hermana.

Vereis, el Nod32 solo es darle avisos sobre dicho "virtumunde", pero no lo elimina,...... en teoria lo elimina y sale una pantallita que pone: la proxima vez que reinicies se eliminara no se que archivo o algo asi.

La cuestión es que le he pasado un par de programas:

- spysweper

- Vundo

Pero nada al volver a iniciar windows el problema vuelve a seguir. Os mando el log a ver vosotros que veis, porque yo ya no se como romperme mas la cabeza....... Muchas gracias, y ante todo la excelente labor que realizais.

Boreal69 · Mensaje por **Boreal69** » 03 Ago 2006, 21:06

[quote="Boreal69"]Hola de nuevo.... os voy a hacer una consulta sobre el ordenador de mi hermana.

Vereis, el Nod32 solo es darle avisos sobre dicho "virtumunde", pero no lo elimina,...... en teoria lo elimina y sale una pantallita que pone: la proxima vez que reinicies se eliminara no se que archivo o algo asi.

La cuestión es que le he pasado un par de programas:

- spysweper

- Vundo

Pero nada al volver a iniciar windows el problema vuelve a seguir. Os mando el log a ver vosotros que veis, porque yo ya no se como romperme mas la cabeza....... Muchas gracias, y ante todo la excelente labor que realizais.

Logfile of HijackThis v1.99.1

Scan saved at 20:16:20, on 03/08/2006

Platform: Windows XP (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\Archivos de programa\Webroot\Spy Sweeper\SpySweeper.exe

C:\WINDOWS\Explorer.EXE

C:\Archivos de programa\WinRAR\WinRAR.exe

C:\DOCUME~1\ADMINI~1\CONFIG~1\Temp\Rar$EX00.828\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =

http://es.yahoo.com/index_narrow.html

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =

Vínculos

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} -

C:\WINDOWS\System32\msdxm.ocx

O4 - HKLM\..\Run: [Norton Ghost 9.0] "C:\Archivos de

programa\Symantec\Norton Ghost\Agent\GhostTray.exe"

O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [nod32kui] "C:\Archivos de programa\Eset\nod32kui.exe"

/WAITSERVICE

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [Win32] msnsrv.exe

O4 - HKLM\..\Run: [SpySweeper] "C:\Archivos de programa\Webroot\Spy

Sweeper\SpySweeperUI.exe" /startintray

O4 - HKLM\..\RunServices: [Win32] msnsrv.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe

O4 - HKCU\..\Run: [MSMSGS] "C:\Archivos de programa\Messenger\msmsgs.exe"

/background

O4 - HKCU\..\Run: [MsnMsgr] "C:\Archivos de programa\MSN

Messenger\MsnMsgr.Exe" /background

O4 - HKCU\..\Run: [SpybotSD TeaTimer] "C:\Archivos de programa\Spybot -

Search & Destroy\TeaTimer.exe"

O4 - HKCU\..\Run: [Win32] msnsrv.exe

O4 - Global Startup: DSLMON.lnk = C:\Archivos de programa\Wanadoo\USB ADSL

Modem\DSLMON.EXE

O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de

programa\Microsoft Office\Office10\OSA.EXE

O8 - Extra context menu item: E&xportar a Microsoft Excel -

res://C:\ARCHIV~1\MICROS~2\Office10\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} -

C:\Archivos de programa\Java\j2re1.4.2_11\bin\npjpi142_11.dll

O9 - Extra 'Tools' menuitem: Consola de Sun Java -

{08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de

programa\Java\j2re1.4.2_11\bin\npjpi142_11.dll

O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class)

- http://messenger.zone.msn.com/binary/MineSweeper.cab31267.cab

O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient

Class) -

http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer

Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} -

"C:\ARCHIV~1\MSNMES~1\msgrapp.dll" (file missing)

O23 - Service: GEARSecurity - GEAR Software -

C:\WINDOWS\System32\GEARSec.exe

O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Archivos de

programa\Eset\nod32krn.exe

O23 - Service: Norton Ghost - Symantec Corporation - C:\Archivos de

programa\Symantec\Norton Ghost\Agent\PQV2iSvc.exe

O23 - Service: SysKwc - Unknown owner - C:\WINDOWS\TEMP\242.tmp (file

missing)

O23 - Service: sysmgr64 - Unknown owner - C:\WINDOWS\sysmgr64.exe (file

missing)

O23 - Service: Motor de Spy Sweeper de Webroot (WebrootSpySweeperService) -

Webroot Software, Inc. - C:\Archivos de programa\Webroot\Spy

Sweeper\SpySweeper.exe

O23 - Service: SERVICE (WINDOWS) - Unknown owner - C:\WINDOWS\spoolsvc.exe

O23 - Service: windowsantivirus.exe - Unknown owner -

C:\WINDOWS\windowsantivirus.exe

Mensaje por **msc hotline sat** » 03 Ago 2006, 21:17

El VUNDO, VirtualMundo o Virtumonde es un viejo conocido

Baja el ELISTARA y el ELINITUF a una misma carpeta, y ejecuta el ELISTARA y reinicia , tras lo cual, si es una de las muchas variantes conoicidas, con un maximo de tres operaciones repitiendo este proceso, se solucionará el problema, y sino pedirá que nos envies muestra del fichero sospechoso, lo cual quedará reflejado en el C:\infosat.txt fichero cuyo contenido deberás postearnos cuando desees volver a habler de este Tema, como respuesta al mismo

ELISTARA:

http://www.zonavirus.com/descargas/elistara.asp

ELINOTIF.DLL

http://www.zonavirus.com/descargas/elinotif.asp

asaludos

ms, 3-8-2006

Mensaje por **msc hotline sat** » 04 Ago 2006, 11:13

Y actualiza los parches de Microsoft lanzando un windowsupdate !!! - Te faltan todos los del SP2 y posteriores : MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)

saludos

ms, 4-8-2006

Boreal69 · Mensaje por **Boreal69** » 04 Ago 2006, 19:46

Bueno ante todo gracias por tu respuesta. Ahora me dispongo a ir a casa de mi hermana y a ver que soluciono.

Un par de cositas......

- Este par de programas los hago rodar en modo seguro??

- El ordenador tiene windows xp sp1 asi que no se si actualizar al sp2.....

Bueno ya os informo de como va la situación.... ciao

Mensaje por **msc hotline sat** » 04 Ago 2006, 19:54

Claro que debes actualizar a SP2 !!! son parches para muchos agujeros conocidos, lanza un windowsupdate.

Y el lkanzamiento del ELISTARA puedes hacerlo en modo seguro sin ningun problema, y luego reinicia y terminará el proceso en modo normal

Debo decirte que salgo para Islandia unos dias. Si quieres algo dimelo pronto, sino te atenderan mis compañeros

saludos

ms, 4-8-2006

Boreal69 · Mensaje por **Boreal69** » 04 Ago 2006, 22:44

Hola de nuevo. A ver a ver.... porque esto parece que cria.

He hecho lo que me decias, a modo seguro, y normal y aparentemente parecia que se habia eliminado pero he pasado el nod32 y me ha detectado 4 virtumonde (en teoria dice que lo ha desinfectado pero ya no se si sera verdad)

No se ya que mas hacer......

Esto es lo que me ha salido:

Fri Aug 04 22:22:18 2006

EliStartPage v12.24 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

(Valor Run y RunServices "WIN32")

Por favor, envienos una muestra del fichero

C:\WINDOWS\SYSTEM32\msnsrv.exe

a "virus@satinfo.es". Gracias.

C:\WINDOWS\WEB\RELATED.HTM --> Eliminado

C:\WINDOWS\SYSTEM32\GEEDD.DLL --> Vundo (notify) Acceso Denegado.

C:\WINDOWS\SYSTEM32\DDEEG.ini --> Eliminado (Fichero Complementario).

C:\WINDOWS\SYSTEM32\DDEEG.ini2 --> Eliminado (Fichero Complementario).

C:\WINDOWS\SYSTEM32\DDEEG.tmp --> Eliminado (Fichero Complementario).

Entrada Eliminada [HKCU\...\Run] "Win32"="msnsrv.exe"

Entrada Eliminada [HKLM\...\Run] "Win32"="msnsrv.exe"

Entrada Eliminada [HKLM\...\RunServices] "Win32"="msnsrv.exe"

Eliminada Class, "{6D794CB4-C7CD-4C6F-BFDC-9B77AFBDC02C}" ->

Eliminada Class, "{E09F9890-CD72-453A-9172-C1C5AA85C4D3}" -> C:\WINDOWS\System32\geedd.dll

Linea Eliminada del HOSTS --> 127.0.0.1 update.microsoft.com

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.ahnlab.com

Linea Eliminada del HOSTS --> 127.0.0.1 suc.ahnlab.com

Linea Eliminada del HOSTS --> 127.0.0.1 auth.ahnlab.com

Linea Eliminada del HOSTS --> 127.0.0.1 ahnlab.com

No detectado Parche MS06-001 de Microsoft instalado.

Restaurado fichero de Configuración del IE, (IERESET.INF)

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Fri Aug 04 22:25:31 2006

EliStartPage v12.24 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Instalada Utilidad "ELINOTIF.DLL"

Fri Aug 04 22:27:46 2006

EliStartPage v12.24 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\SYSTEM32\GEEDD.DLL --> Vundo (notify) Acceso Denegado.

C:\WINDOWS\SYSTEM32\DDEEG.ini2 --> Eliminado (Fichero Complementario).

Eliminada Class, "{E09F9890-CD72-453A-9172-C1C5AA85C4D3}" -> C:\WINDOWS\System32\geedd.dll

Linea Eliminada del HOSTS --> 127.0.0.1 update.microsoft.com

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.ahnlab.com

Linea Eliminada del HOSTS --> 127.0.0.1 suc.ahnlab.com

Linea Eliminada del HOSTS --> 127.0.0.1 auth.ahnlab.com

Linea Eliminada del HOSTS --> 127.0.0.1 ahnlab.com

No detectado Parche MS06-001 de Microsoft instalado.

Restaurado fichero de Configuración del IE, (IERESET.INF)

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Fri Aug 04 22:30:35 2006

EliStartPage v12.24 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Instalada Utilidad "ELINOTIF.DLL"

EliNotify v1.6.08.03 (c)2006 S.G.H. / Satinfo S.L.

---------------------------------------------------

Lista de Acciones:

Detectado Vundo

Elininada KEY "Winlogon\Notify\geedd"

Desinstalado EliNotif.dll

Fri Aug 04 22:35:08 2006

EliStartPage v12.24 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Linea Eliminada del HOSTS --> 127.0.0.1 update.microsoft.com

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.ahnlab.com

Linea Eliminada del HOSTS --> 127.0.0.1 suc.ahnlab.com

Linea Eliminada del HOSTS --> 127.0.0.1 auth.ahnlab.com

Linea Eliminada del HOSTS --> 127.0.0.1 ahnlab.com

No detectado Parche MS06-001 de Microsoft instalado.

Eliminados Ficheros Temporales del IE

Bueno espero que me comentes algo al respecto.... Y ante todo que te lo pases superbien.... yo me confomo con Albacete.

Boreal69 · Mensaje por **Boreal69** » 04 Ago 2006, 22:46

Otra cosa.... he vuelto a pasar el nod y ahora no detecta ningun bicho .... ummmmmm cuanto durara esto ??????

Es que no es buen antivirus o como diantres entra tanta basura en el ordenador.... porque yo no se ya como parar tanto bicho.. Espero tu respuesta

Mensaje por **msc hotline sat** » 05 Ago 2006, 13:12

Supongo que habras enviado la muestra que te pedimos:

Por favor, envienos una muestra del fichero

C:\WINDOWS\SYSTEM32\msnsrv.exe

a "virus@satinfo.es". Gracias.

Pues aunque se haya resuelto tu problema, sirve para implementar su eliminacion y control para el futuro...

Y lo que te dice al final el ELISTARA es que te faltan actualizar por lo menos todos los parches de este año!!! Lanza un windowsupdate y actualizalos

Y ya considerando solucionado este Tema, procedemos a cerrarlo

saludos y FELICES VACACIONES !

ms, 5-8-2006

VIRTUMUNDE (SOLUCIONADO)

VIRTUMUNDE (SOLUCIONADO)

Re: VIRTUMUNDE