TENGO UN VIRUS QUE ME TIENE DE UNA MALA.....

seiki3647 · Mensaje por **seiki3647** » 09 Ago 2006, 18:19

perdonadme por colocar ESTE MISMO POST en otro apartado del foro(es la 1ª vez que me meto aki ) ahi va

tengo un virus porque el nod32 me indica que asi es pero la cosa es que esta en la direccion http//d.mettere....

y no se donde esta ubicado(OS MANDO UNA FOTICO PA QUE VEAIS QUE MAJO)--hay que tomarselo a risas porque si no....

he pasdo antiespias (3) dos anticirus online pero sigue ahi y me salta cada rato.ademas de vez en cdo se reinicia el ordenador , sin apagarse pero se queda el escritorio sin iconos y a los pocos segundos vuelven,

os mando el resumen con hijackthis para ver si veis algo raro.

un saludo

Logfile of HijackThis v1.99.1

Scan saved at 17:54:15, on 09/08/2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Archivos de programa\Sygate\SPF\smc.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Archivos de programa\Eset\nod32krn.exe

C:\WINDOWS\System32\nvsvc32.exe

C:\Archivos de programa\Analog Devices\SoundMAX\SMAgent.exe

C:\WINDOWS\System32\svchost.exe

C:\Archivos de programa\Analog Devices\SoundMAX\SMax4PNP.exe

C:\Archivos de programa\Eset\nod32kui.exe

C:\Archivos de programa\CyberLink\PowerDVD\PDVDServ.exe

C:\Archivos de programa\Java\jre1.5.0_06\bin\jusched.exe

C:\Archivos de programa\Hewlett-Packard\HP Software Update\HPWuSchd.exe

C:\Archivos de programa\HP\hpcoretech\hpcmpmgr.exe

C:\Archivos de programa\Telefonica\KitAIM\AimMon.exe

C:\Archivos de programa\Messenger\msmsgs.exe

C:\WINDOWS\system32\wscntfy.exe

C:\WINDOWS\System32\svchost.exe

C:\Archivos de programa\Internet Explorer\iexplore.exe

C:\WINDOWS\explorer.exe

C:\Documents and Settings\Ben Kenobi\Configuración local\Temp\wz6f70\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.es/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.es/

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O3 - Toolbar: (no name) - {052b12f7-86fa-4921-8482-26c42316b522} - (no file)

O4 - HKLM\..\Run: [SoundMAXPnP] C:\Archivos de programa\Analog Devices\SoundMAX\SMax4PNP.exe

O4 - HKLM\..\Run: [SoundMAX] "C:\Archivos de programa\Analog Devices\SoundMAX\Smax4.exe" /tray

O4 - HKLM\..\Run: [nod32kui] "C:\Archivos de programa\Eset\nod32kui.exe" /WAITSERVICE

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [AgenteADSL_15] C:\Archivos de programa\Telefonica\KitAIM\AimExDll.exe AimGestA.dll 8

O4 - HKLM\..\Run: [SmcService] C:\ARCHIV~1\Sygate\SPF\smc.exe -startgui

O4 - HKLM\..\Run: [RemoteControl] "C:\Archivos de programa\CyberLink\PowerDVD\PDVDServ.exe"

O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Archivos de programa\Java\jre1.5.0_06\bin\jusched.exe

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [HP Software Update] "C:\Archivos de programa\Hewlett-Packard\HP Software Update\HPWuSchd.exe"

O4 - HKLM\..\Run: [HP Component Manager] "C:\Archivos de programa\HP\hpcoretech\hpcmpmgr.exe"

O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb09.exe

O4 - HKCU\..\Run: [MSMSGS] "C:\Archivos de programa\Messenger\msmsgs.exe" /background

O12 - Plugin for .spop: C:\Archivos de programa\Internet Explorer\Plugins\NPDocBox.dll

O16 - DPF: {00000000-0000-0000-0000-100005000004} - http://code.trasferimento.biz/l/d8ed9d89cf75d8b5e7ed11e4ce1d5d74_35.exe

O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1154601783109

O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{9D16FED3-C330-487E-BB29-C5679A17B637}: NameServer = 80.58.61.250 80.58.61.254

O17 - HKLM\System\CCS\Services\Tcpip\..\{CC4EA461-0B1F-4D5C-8B2A-CB03F515910B}: NameServer = 80.58.0.33,80.58.32.97

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Archivos de programa\Eset\nod32krn.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

O23 - Service: Sygate Personal Firewall Pro (SmcService) - Sygate Technologies, Inc. - C:\Archivos de programa\Sygate\SPF\smc.exe

O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Archivos de programa\Analog Devices\SoundMAX\SMAgent.exe

O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Archivos de programa\TuneUp Utilities 2006\WinStylerThemeSvc.exe

novatillo · Mensaje por **novatillo** » 09 Ago 2006, 18:49

Prueba con elistara arrancando en modo seguro.

ELISTARA:

http://www.zonavirus.com/descargas/elistara.asp

Luego posteas el contenido de C:/infosat.txt. y nos comentas como te ha ido.

Saludos.

seiki3647 · Mensaje por **seiki3647** » 10 Ago 2006, 15:58

nada compañero no tengo ni idea porque me sale.

he pasado tal como me dijiste pero no se quita.

alguna otra idea??

se agradece

novatillo · Mensaje por **novatillo** » 10 Ago 2006, 16:54

Postea el contenido de C:/infosat.txt que es un documento que crea elistara a ver que nos dice

Saludos.

seiki3647 · Mensaje por **seiki3647** » 10 Ago 2006, 17:43

weno ahi te mando lo que me pone elistar

espero que tu lo entiendas porque yo ..........

un saludo

Thu Aug 10 17:27:30 2006

EliStartPage v12.24 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

[WinLogon\Notify\VTUTQ]

Por favor, envienos una muestra del fichero

C:\WinLogon\VTUTQ.DLL

a "virus@satinfo.es". Gracias.

[WinLogon\Notify\WINZDN32]

Por favor, envienos una muestra del fichero

C:\WinLogon\WINZDN32.DLL

a "virus@satinfo.es". Gracias.

Por favor, envienos una muestra del fichero

C:\Muestras\VTUTQ.DLL.Muestra EliStartPage v12.24

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\VTUTQ.DLL --> Acceso Denegado.

C:\WINDOWS\SYSTEM32\QTUTV.ini --> Eliminado (Fichero Complementario).

C:\WINDOWS\SYSTEM32\QTUTV.ini2 --> Eliminado (Fichero Complementario).

C:\WINDOWS\SYSTEM32\QTUTV.tmp --> Eliminado (Fichero Complementario).

Eliminada Class, "{9932C30A-11E3-43B1-B607-24E97B98A9BC}" -> C:\WINDOWS\System32\vtutq.dll

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Thu Aug 10 17:29:53 2006

EliStartPage v12.24 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

[WinLogon\Notify\VTUTQ]

Por favor, envienos una muestra del fichero

C:\WinLogon\VTUTQ.DLL

a "virus@satinfo.es". Gracias.

[WinLogon\Notify\WINZDN32]

Por favor, envienos una muestra del fichero

C:\WinLogon\WINZDN32.DLL

a "virus@satinfo.es". Gracias.

Por favor, envienos una muestra del fichero

C:\Muestras\VTUTQ.DLL.Muestra EliStartPage v12.24

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\VTUTQ.DLL --> Acceso Denegado.

C:\WINDOWS\SYSTEM32\QTUTV.ini --> Eliminado (Fichero Complementario).

C:\WINDOWS\SYSTEM32\QTUTV.ini2 --> Eliminado (Fichero Complementario).

Eliminada Class, "{D9B1B90B-427A-4E55-9B88-59CFD161FDA7}" -> C:\WINDOWS\System32\vtutq.dll

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Thu Aug 10 17:35:19 2006

EliStartPage v12.24 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

C:\WINDOWS\Temp\WIN5C2.TMP --> Eliminado, Dialer (cool)

No Detectada Utilidad "ELINOTIF.DLL" (Necesaria para la Limpieza)

novatillo · Mensaje por **novatillo** » 10 Ago 2006, 17:57

Vale pues lo primero manda las muestras que te pide elistara.

Por favor, envienos una muestra del fichero

C:\WinLogon\VTUTQ.DLL

a "virus@satinfo.es". Gracias.

Por favor, envienos una muestra del fichero

C:\WinLogon\WINZDN32.DLL

a "virus@satinfo.es". Gracias.

Por favor, envienos una muestra del fichero

C:\Muestras\VTUTQ.DLL.Muestra EliStartPage v12.24

a "virus@satinfo.es". Gracias.

Lo segundo descargate elistara y elinotif en un misma carpeta y arrancando en modo seguro lanzas elistara y reinicias el pc y nos comentas el resultado.

ELISTARA:

http://www.zonavirus.com/descargas/elistara.asp

ELINOTIF:

http://www.zonavirus.com/descargas/elinotif.asp

Saludos.

Mensaje por **maura63** » 10 Ago 2006, 22:14

Elimina estas claves

O3 - Toolbar: (no name) - {052b12f7-86fa-4921-8482-26c42316b522} - (no file) -

O16 - DPF: {00000000-0000-0000-0000-100005000004} - http://code.trasferimento.biz/l/d8ed9d89cf75d8b5e7ed11e4ce1d5d74_35.exe -

Comprueba que se muestren archivos ocultos incluso los del sistema y trata de localizar y enviar muestra de C:\WinLogon\[color=red]VTUTQ.DLL [/color]

Saludos

maura63

Mensaje por **msc hotline sat** » 18 Ago 2006, 10:22

[quote="Sobre VTUTQ.DLL se"]Below is a basic description of the application/process you have selected. This application may not be safe to have on your computer. If this application is running on your computer, it is advised that you scan your computer for both viruses and spyware/adware immediately.

Summary : Adware.Vundo Variant.Process

Description : Vundo adware components are typically located in the System32 folder of Windows

Adware applications, toolbars and browser extensions may serve advertisements even while you are not surfing the Internet.

This application may serve various types of advertising, not limited to pop-up ads.

Company : Unknown

Threat Level :

Category : ADWARE

Processes : *

VTUTQ.DLL

WVWVU.DLL

DDABA.DLL

AWVVS.DLL

GEBYX.DLL

MLLJK.DLL

GETUI.DLL

MSVMON.DLL

JKHFG.DLL

VTUTQ.DLL

HGGFG.DLL

HGGED.DLL

CLSID List : {B313D637-F405-4052-AC37-E2119AB3C8F8}

{00DBDAC8-4691-4797-8E6A-7C6AB89BC441}

{2353FCBC-012D-487B-8BF3-865C0929FBEB}

{83A5F7B7-DC75-44CE-9195-264F41709FA9}

{F85E86D8-F796-4C97-AAA2-26664A98A42C}

{3496D13A-609A-407B-B181-8F47B4F28AE9}

{ADCD30FF-0119-4906-8A8B-D52D1EED044B}

{0612F71E-934B-4D92-B8E8-2E29EA78EB03}

{E291663A-2D6F-4B56-B9DF-AE239AEF6A5B}

{83B14523-CBC9-447B-8B1E-2482DB2ABE73}

{E291663A-2D6F-4B56-B9DF-AE239AEF6A5B}

{06C7CAB4-39AC-499F-BCD2-D487DAC7A73C}

{DFCBA044-6BE8-413D-972F-0907405869E7}

{FCFE574E-8A20-4536-9ED3-256D5B97335D}

{8129AECA-F480-4D6F-B968-80FC75E19C4F}

{9D99C35D-BD37-4BE1-BCC5-D4CCA62FB43D}

{D86DD713-ECC6-4AD2-8F9E-CB63CE8CB274}

[/quote]

Si bien el ELISTARA ya lo movió a cuarentena, deben eliminarse los restos con la version que lo contemple, por ello esperamos que nos haya enviado los ficheros solicitados para su analisis

saludos

ms, 18-8-2006