URGENTE!! GEBYY EN MI PC

eLaLbO · Mensaje por **eLaLbO** » 07 Mar 2007, 22:01

Hola. En los ultimos dias el rendimiento de mi pc ha bajado y se han abierto paginas que no queria. Por eso me puse a buscar cual podia ser el problema y al ejecutar el SpyBot encontre dos DLLs en el inicio del sistema: gebyy.dll y vtuuurs.dll. El primero esta en System32 pero el segundo me aparece sin ruta en el SpyBot (tal como otros de WinLogon) Tambien encontre 2chkdsk que ejecuta wyyktdmc.dll, y ccApp cuya ruta es "c:\archivos de programa\archivos comunes\symantec shared\ccApp.exe". Todos esto lo desactive del inicio del sistema xq estoy seguro de que no son nada inofensivos. Pero cuando desactive gebyy y vtuuurs los volvio a agregar al final dejando los que yo deshabilite.

Me baje el HJT y este es mi log:

Logfile of HijackThis v1.99.1

Scan saved at 16:28:01 , on 07/03/2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16414)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Archivos de programa\Ahead\InCD\InCDsrv.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\system32\DRIVERS\CDANTSRV.EXE

C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7DEBUG\MDM.EXE

C:\Archivos de programa\Eset\nod32krn.exe

C:\WINDOWS\system32\STacSV.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\sttray.exe

C:\WINDOWS\system32\hkcmd.exe

C:\WINDOWS\system32\igfxpers.exe

C:\Archivos de programa\Hewlett-Packard\HP Software Update\HPWuSchd.exe

C:\Archivos de programa\HP\hpcoretech\hpcmpmgr.exe

C:\Archivos de programa\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe

C:\Archivos de programa\Ahead\InCD\InCD.exe

C:\Archivos de programa\Zone Labs\ZoneAlarm\zlclient.exe

C:\ARCHIV~1\Genius\F-23JO~1\JoyUpDrv.EXE

C:\Archivos de programa\D-Tools\daemon.exe

C:\Archivos de programa\Eset\nod32kui.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Archivos de programa\Archivos comunes\Ahead\lib\NMBgMonitor.exe

C:\Archivos de programa\Telefonica\Speedy\SATConMon.exe

C:\Archivos de programa\InterVideo\Common\Bin\WinCinemaMgr.exe

C:\WINDOWS\system32\ZoneLabs\vsmon.exe

C:\ARCHIV~1\ZONELA~1\ZONEAL~1\MAILFR~1\mantispm.exe

C:\Archivos de programa\uTorrent\utorrent.exe

C:\WINDOWS\explorer.exe

C:\WINDOWS\system32\svchost.exe

C:\Archivos de programa\Mozilla Firefox\firefox.exe

C:\Archivos de programa\Spybot - Search & Destroy\SpybotSD.exe

C:\Archivos de programa\WinRAR\WinRAR.exe

C:\DOCUME~1\Sergio\CONFIG~1\Temp\Rar$EX00.922\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O4 - HKLM\..\Run: [SigmatelSysTrayApp] sttray.exe

O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe

O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe

O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe

O4 - HKLM\..\Run: [NeroFilterCheck] C:\Archivos de programa\Archivos comunes\Ahead\Lib\NeroCheck.exe

O4 - HKLM\..\Run: [HP Software Update] "C:\Archivos de programa\Hewlett-Packard\HP Software Update\HPWuSchd.exe"

O4 - HKLM\..\Run: [HP Component Manager] "C:\Archivos de programa\HP\hpcoretech\hpcmpmgr.exe"

O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb09.exe

O4 - HKLM\..\Run: [DeviceDiscovery] C:\Archivos de programa\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe

O4 - HKLM\..\Run: [InCD] C:\Archivos de programa\Ahead\InCD\InCD.exe

O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Archivos de programa\Zone Labs\ZoneAlarm\zlclient.exe"

O4 - HKLM\..\Run: [Game Device] C:\ARCHIV~1\Genius\F-23JO~1\JoyUpDrv.EXE

O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Archivos de programa\D-Tools\daemon.exe" -lang 1033

O4 - HKLM\..\Run: [nod32kui] "C:\Archivos de programa\Eset\nod32kui.exe" /WAITSERVICE

O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Archivos de programa\Archivos comunes\Ahead\lib\NMBgMonitor.exe"

O4 - HKCU\..\Run: [MsnMsgr] "C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe" /background

O4 - HKCU\..\Run: [tspcm] C:\Archivos de programa\Telefonica\Speedy\SATConMon.exe

O4 - HKCU\..\Run: [µTorrent] "C:\Archivos de programa\uTorrent\utorrent.exe"

O4 - Global Startup: Adobe Gamma Loader.lnk.disabled

O4 - Global Startup: Adobe Reader Synchronizer.lnk.disabled

O4 - Global Startup: Inicio rápido de Adobe Reader.lnk = C:\Archivos de programa\Adobe\Reader 8.0\Reader\reader_sl.exe

O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Archivos de programa\InterVideo\Common\Bin\WinCinemaMgr.exe

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O11 - Options group: [INTERNATIONAL] International*

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1172287470934

O17 - HKLM\System\CCS\Services\Tcpip\..\{40D131EA-A28C-4266-A878-481F0564C61B}: NameServer = 200.51.212.7 200.51.211.7

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll

O23 - Service: Ares Chatroom server (AresChatServer) - Ares Development Group - C:\Archivos de programa\Ares\chatServer.exe

O23 - Service: C-DillaSrv - C-Dilla Ltd - C:\WINDOWS\system32\DRIVERS\CDANTSRV.EXE

O23 - Service: hpdj - HP - C:\DOCUME~1\Sergio\CONFIG~1\Temp\hpdj.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Archivos de programa\Archivos comunes\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: InCD Helper (InCDsrv) - Nero AG - C:\Archivos de programa\Ahead\InCD\InCDsrv.exe

O23 - Service: InCD Helper (read only) (InCDsrvR) - Nero AG - C:\Archivos de programa\Ahead\InCD\InCDsrv.exe

O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Archivos de programa\Eset\nod32krn.exe

O23 - Service: SigmaTel Audio Service (STacSV) - SigmaTel, Inc. - C:\WINDOWS\system32\STacSV.exe

O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

Como se ve tengo instalado el NOD32 2.7 pero creo que el virus entro antes de que lo instale. Tmb uso el ZoneAlarm Security Suite.

Necesito que me respondan antes de que se me empiece a contaminar la computadora.

Mensaje por **lucl** » 07 Mar 2007, 22:34

pues pasate elistara y elitriip a ver que te detectan luego peganos el log que te dejaran en C llamado infosat.txt, saludos

http://www.zonavirus.com/descargas/elistara.asp

http://www.zonavirus.com/descargas/elitriip.asp

eLaLbO · Mensaje por **eLaLbO** » 08 Mar 2007, 02:10

con elistara encontro VUNDO y Downloader.ConHook pero decia que necesitaba elinotif.dll para eliminarlos y cuando entre a la pagina me dijo que no tenia acceso autorizado

Wed Mar 07 20:47:27 2007

EliStartPage v13.48 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Por favor, envienos una muestra del fichero

C:\Muestras\VTUUURS.DLL.Muestra EliStartPage v13.48

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\VTUUURS.DLL --> Acceso Denegado.

Por favor, envienos una muestra del fichero

C:\Muestras\GEBYY.DLL.Muestra EliStartPage v13.48

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\GEBYY.DLL --> Acceso Denegado.

C:\WINDOWS\SYSTEM32\YYBEG.ini --> Eliminado (Fichero Complementario).

Entrada Eliminada [HKLM\...\Run] "Msconfig"="C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto"

Eliminada Class, "{144968DC-AA70-4772-BD6D-FAD760E2995B}" -> C:\WINDOWS\system32\gebyy.dll

Eliminada Carpeta "%WinSys%\LogFiles"

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Wed Mar 07 20:49:11 2007

EliStartPage v13.48 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\Archivos de programa\MOVAVI VideoSuite 3.4\UNINST.EXE --> AutoExtraible

C:\Archivos de programa\Nero\Nero 7\Nero Vision\NVDV.DLL --> Eliminado, Hotbar

Wed Mar 07 20:52:39 2007

EliStartPage v13.48 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad E:\

E:\Nicolás\Programas\MULTIPLE_OUTPUT_PLUGIN_.EXE --> AutoExtraible

No Detectada Utilidad "ELINOTIF.DLL" (Necesaria para la Limpieza)

Wed Mar 07 21:01:57 2007

EliTriIP v3.29 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Acción Directa):

Wed Mar 07 21:02:01 2007

EliTriIP v3.29 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

Wed Mar 07 21:04:56 2007

EliTriIP v3.29 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad E:\

E:\Nicolás\Programas\Total.Commander.v7.00.Cracked-F4CG\tcmd7.exe --> Eliminado, Bifrose (dropper)

me parecia que me andaba lento el total commander =. como lo puedo conseguir??

Nuker · Mensaje por **Nuker** » 08 Mar 2007, 02:17

Aqui tienes el ELINOTIF.DLL (NO ES EJECUTABLE) lo debe guardar en la misma carpeta donde se encuentre ELISTARA para que lo agarre y asi lo detecte. Lo ejecuta en Modo Seguro y nos vuelve a pegar los resultados para ver que se elimino y que ficheros hay que enviarse.

ELINOTIF.DLL:

http://www.zonavirus.com/descargas/elinotif.asp

Mensaje por **msc hotline sat** » 08 Mar 2007, 06:24

Recuerdese que tras probar el ELISTARA, este instalará en el registro el ELINOTIF, para que en el siguiente reinicio EN MODO NORMAL, se lance dicha DLL y pueda eliminar las viricas antes que entren en uso

Es tras ello que interesa ver el contenido de c:\infosat.txt para ver el resultado del proceso

saludos

ms, 8-03-2007

eLaLbO · Mensaje por **eLaLbO** » 08 Mar 2007, 20:07

esta es la continuacion del log despues de lo que ya pegue

Wed Mar 07 21:19:46 2007

EliTriIP v3.29 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Acción Directa):

Wed Mar 07 21:23:08 2007

EliStartPage v13.48 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Por favor, envienos una muestra del fichero

C:\Muestras\VTUUURS.DLL.Muestra EliStartPage v13.48

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\VTUUURS.DLL --> Acceso Denegado.

Por favor, envienos una muestra del fichero

C:\Muestras\GEBYY.DLL.Muestra EliStartPage v13.48

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\GEBYY.DLL --> Acceso Denegado.

C:\WINDOWS\SYSTEM32\YYBEG.ini --> Eliminado (Fichero Complementario).

Eliminada Class, "{D67781DF-BF0B-4559-B8A0-6F7ACA31ACF1}" -> C:\WINDOWS\system32\gebyy.dll

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Wed Mar 07 21:23:22 2007

EliStartPage v13.48 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\Archivos de programa\MOVAVI VideoSuite 3.4\UNINST.EXE --> AutoExtraible

Wed Mar 07 21:27:08 2007

EliStartPage v13.48 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad E:\

E:\Nicolás\Programas\MULTIPLE_OUTPUT_PLUGIN_.EXE --> AutoExtraible

No Detectada Utilidad "ELINOTIF.DLL" (Necesaria para la Limpieza)

Wed Mar 07 21:32:49 2007

EliStartPage v13.48 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Por favor, envienos una muestra del fichero

C:\Muestras\VTUUURS.DLL.Muestra EliStartPage v13.48

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\VTUUURS.DLL --> Acceso Denegado.

Por favor, envienos una muestra del fichero

C:\Muestras\GEBYY.DLL.Muestra EliStartPage v13.48

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\GEBYY.DLL --> Acceso Denegado.

C:\WINDOWS\SYSTEM32\YYBEG.ini --> Eliminado (Fichero Complementario).

Eliminada Class, "{D67781DF-BF0B-4559-B8A0-6F7ACA31ACF1}" -> C:\WINDOWS\system32\gebyy.dll

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Wed Mar 07 21:32:57 2007

EliStartPage v13.48 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\Archivos de programa\MOVAVI VideoSuite 3.4\UNINST.EXE --> AutoExtraible

Wed Mar 07 23:08:02 2007

EliStartPage v13.48 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Por favor, envienos una muestra del fichero

C:\Muestras\VTUUURS.DLL.Muestra EliStartPage v13.48

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\VTUUURS.DLL --> Acceso Denegado.

Por favor, envienos una muestra del fichero

C:\Muestras\GEBYY.DLL.Muestra EliStartPage v13.48

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\GEBYY.DLL --> Acceso Denegado.

C:\WINDOWS\SYSTEM32\YYBEG.ini --> Eliminado (Fichero Complementario).

Eliminada Class, "{2151D046-BA6F-4E9D-B295-EDC754DC7018}" -> C:\WINDOWS\system32\gebyy.dll

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Instalada Utilidad "ELINOTIF.DLL"

EliNotify v1.7.03.01 (c)2006 S.G.H. / Satinfo S.L.

---------------------------------------------------

Lista de Acciones:

Detectado Vundo

Elininada KEY "Winlogon\Notify\gebyy"

Detectado DownLoader.ConHook

C:\WINDOWS\SYSTEM32\vtuuurs.dll -> Eliminado.

Elininada KEY "Winlogon\Notify\vtuuurs"

Desinstalado EliNotif.dll

Thu Mar 08 10:34:31 2007

EliStartPage v13.48 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Thu Mar 08 14:21:13 2007

EliStartPage v13.48 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

[WinLogon\Notify\GEBYY]

Por favor, envienos una muestra del fichero

C:\WinLogon\GEBYY.DLL

a "virus@satinfo.es". Gracias.

Por favor, envienos una muestra del fichero

C:\Muestras\GEBYY.DLL.Muestra EliStartPage v13.48

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\GEBYY.DLL --> Acceso Denegado.

C:\WINDOWS\SYSTEM32\YYBEG.ini --> Eliminado (Fichero Complementario).

Eliminada Class, "{41BA2984-3735-4385-9826-8365114958B2}" -> C:\WINDOWS\system32\gebyy.dll

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Thu Mar 08 14:21:29 2007

EliStartPage v13.48 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\Archivos de programa\MOVAVI VideoSuite 3.4\UNINST.EXE --> AutoExtraible

Thu Mar 08 14:27:10 2007

EliStartPage v13.48 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad E:\

E:\Nicolás\Programas\MULTIPLE_OUTPUT_PLUGIN_.EXE --> AutoExtraible

Instalada Utilidad "ELINOTIF.DLL"

Thu Mar 08 14:27:59 2007

EliTriIP v3.29 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

Thu Mar 08 14:29:31 2007

EliTriIP v3.29 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad E:\

EliNotify v1.7.03.01 (c)2006 S.G.H. / Satinfo S.L.

---------------------------------------------------

Lista de Acciones:

Detectado Vundo

Elininada KEY "Winlogon\Notify\gebyy"

Elininado BHO: "{40CF5BBD-E233-427A-99E6-829EF1E26CC9}"

Elininada Class: "{40CF5BBD-E233-427A-99E6-829EF1E26CC9}"

Desinstalado EliNotif.dll

Thu Mar 08 14:31:52 2007

EliStartPage v13.48 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Thu Mar 08 14:34:28 2007

EliStartPage v13.48 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Por favor, envienos una muestra del fichero

C:\Muestras\GEBYY.DLL.Muestra EliStartPage v13.48

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\GEBYY.DLL --> Eliminado

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

supongo que esta todo solucionado (aunque vos tenes la ultima palabra) se borraron las dlls y pude borrar los programas que estas me instalaron en el inicio

desde ya muchas gracias

PD: me interesa saber si me pueden pasar un par de links para saber acerca de este troyano y de los programas que me facilitaste (igualmente voy a googleizar). No me puedo quedar sin saber lo que paso. Me encanta investigar y leer sobre informatica. Hay tanta informacion y tanto lugar en mi cabeza, que no merecen ser desperdiciados. Gracias de nuevo

Mensaje por **msc hotline sat** » 08 Mar 2007, 20:19

Pues no se ha terminado aun !

Debe enviarnos muestra de este fichero ahora que puede:

Por favor, envienos una muestra del fichero

C:\Muestras\GEBYY.DLL.Muestra EliStartPage v13.48

ya que antes no se podia acceder a él debido a impedirlo la accion del propio malware

Tras recibirla la analizaremos e implementaremos su control y eliminacion en el proximo ELISTARA

Recordar: https://foros.zonavirus.com/viewtopic.php?f=5&t=45334

sobre el VUNDO o Virtual Mundo, es de lo mas complejo en el terreno virico, le buscaré informacion

saludos

ms, 8-03-2007

nota: aqui puede ver una descripcion generica, pero hay muchas variantes de esta familia !:

http://www.vsantivirus.com/adware-virtumonde.htm

y otra:

http://alerta-antivirus.red.es/virus/detalle_virus.html?cod=4489

.

eLaLbO · Mensaje por **eLaLbO** » 08 Mar 2007, 20:33

me habia olvidado de mandar el gebyy.dll que el elistara puso en C:\winlogon (por eso creo que lo elimino, estoy casi seguro) las de Muestras ya las habia mandado pero lo volvi a hacer por las dudas

el elistara es un antspy recomendado del foro no lo habia leido

Mensaje por **msc hotline sat** » 08 Mar 2007, 20:46

Efectivamente el ELISTARA es la utilidad en la que implementamos diariamente las nuevas muestras de troyanos, asi como al ELITRIIP las de los gusanos que entran por intrusion a traves de los agujeros de seguridad, y las demas, ELIBAGLA, ELINETSA... para cada familia especifica.

Y aparte de los foreros de este foro, que evaluan nuestras utilidades, tenemos mas de 150.000 asociados a nuestros servicios que nos reportan continuamente muestras de variantes no controladas y asi vamos manteniendo el control, aparte de enviarlas a McAfee, de quienes somos mayoristas oficiales.

Y no es por decirlo, pero somos la primera ingenieria en nuestro pais que en el 88 ya controló el virus de la pelotita, y desde entonces vamos luchando en pro de la seguridad informatica, y llevamos mas de 200.000 malwares controlados...

Si tiene la DLL indicada, envienosla, pero si ya se la eliminó el ELISTARA, es que ya lo conocemos y controlamos por cadenas, lo que pasa es que cuesta llegar hasta él, y sin ello no podemos examinar que sea lo que pensamos, hasta que con la ayuda del ELINOTIF.DLL podemos desbaratar los planes del bicho antes de que se ponga en martcha, que ya es dificil...

saludos

ms, 8-03-2007

nota: Pues diganos si no encuentra la DLL, para obrar en consecuencia. ms.

eLaLbO · Mensaje por **eLaLbO** » 08 Mar 2007, 20:52

lo mande por mail Asunto: "perdon me habia olvidado - Muestras - WinLogon"

felicitaciones por su trabajo

repito estoy muy interesado en la informatica y valoro mucho su trabajo porque se lo que significa. Seguire leyendo, aprendiendo y practicando hasta deje de respirar para ser quien quiero ser.

Ah! voy a recomendar este foro a quien lo necesite y a quien este interesado.

Mensaje por **msc hotline sat** » 09 Mar 2007, 08:39

Siempre se debe indicar como referencia el nick del foro, o sea en su caso "eLaLbO", para poder aplicarlo a la carpeta adecuada, y, tras analizar los ficheros, poder informar al respecto.

En cuanto entremos hoy a trabajar, procederemos

saludos

ms, 9-03-2007

eLaLbO · Mensaje por **eLaLbO** » 10 Mar 2007, 00:35

uh! el gebyy sigue queriendo agregarse a mi inicio que paso?

la pc esta andando mejor pero sigue el gebyy en el inicio que hago?

Nuker · Mensaje por **Nuker** » 10 Mar 2007, 00:53

Pues espere a la actualizacion de la utilidad para acabarla completamente, tal como le indico MSC:

[quote]En cuanto entremos hoy a trabajar, procederemos[/quote]

Saludos.

Mensaje por **msc hotline sat** » 10 Mar 2007, 09:44

No consta ninguna entrada de muestras al respecto

Vuelvala a enviar, siguiendo instrucciones:

https://foros.zonavirus.com/viewtopic.php?f=5&t=45334

saludos

ms, 10-03-2007

Mensaje por **msc hotline sat** » 10 Mar 2007, 10:23

y COMO QUE AL PRINCIPIO DECIA:

" Tambien encontre 2chkdsk que ejecuta wyyktdmc.dll "

No hemos visto en el HJT la llamada en cuestion, pero debe tener el fichero, y hemos de controlarlo.

Envienos muestra del wyyktdmc.dll y lo analizaremos, gracias

saludos

ms, 10-03-2007

eLaLbO · Mensaje por **eLaLbO** » 11 Mar 2007, 21:12

ya mande las muestras del VTUUURS y la dll del gebyy que la tenia en C:\winlogon. la muestra de gebyy no la tengo mas me la debe haber eliminado el antivirus. igual es lo mismo que la dll supongo. El 2chkdsk lo borre del inicio y la dll no la encontre no volvio a aparecer tampoco. te pego el log de HJT por las dudas

Logfile of HijackThis v1.99.1

Scan saved at 16:17:59 , on 11/03/2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16414)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Archivos de programa\Ahead\InCD\InCDsrv.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\sttray.exe

C:\WINDOWS\system32\hkcmd.exe

C:\WINDOWS\system32\igfxpers.exe

C:\Archivos de programa\Hewlett-Packard\HP Software Update\HPWuSchd.exe

C:\Archivos de programa\HP\hpcoretech\hpcmpmgr.exe

C:\Archivos de programa\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe

C:\Archivos de programa\D-Tools\daemon.exe

C:\Archivos de programa\Eset\nod32kui.exe

C:\Archivos de programa\Java\jre1.5.0_11\bin\jusched.exe

C:\Archivos de programa\Ahead\InCD\InCD.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Archivos de programa\Archivos comunes\Ahead\lib\NMBgMonitor.exe

C:\Archivos de programa\Telefonica\Speedy\SATConMon.exe

C:\Archivos de programa\uTorrent\utorrent.exe

C:\Archivos de programa\Spybot - Search & Destroy\TeaTimer.exe

C:\Archivos de programa\InterVideo\Common\Bin\WinCinemaMgr.exe

C:\WINDOWS\system32\DRIVERS\CDANTSRV.EXE

C:\Archivos de programa\Ewido Antispy\security suite\ewidoctrl.exe

C:\Archivos de programa\Ewido Antispy\security suite\ewidoguard.exe

C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7DEBUG\MDM.EXE

C:\Archivos de programa\Eset\nod32krn.exe

C:\WINDOWS\system32\STacSV.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Archivos de programa\Mozilla Firefox\firefox.exe

C:\Archivos de programa\MSN Messenger\msnmsgr.exe

C:\WINDOWS\system32\svchost.exe

C:\Archivos de programa\Total Commander\TOTALCMD.EXE

C:\DOCUME~1\Sergio\CONFIG~1\Temp\_tc\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: Aplicación auxiliar de vínculos de Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Archivos comunes\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {146DBEDA-32D7-40A4-8109-540966D47FC4} - (no file)

O2 - BHO: (no name) - {2C58AADB-ED25-4266-859C-89E506FF45F8} - C:\WINDOWS\system32\vtuuurs.dll (file missing)

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.5.0_11\bin\ssv.dll

O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: (no name) - {A8F38D8D-E480-4D52-B7A2-731BB6995FDD} - (no file)

O3 - Toolbar: (no name) - {C4069E3A-68F1-403E-B40E-20066696354B} - (no file)

O4 - HKLM\..\Run: [SigmatelSysTrayApp] sttray.exe

O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe

O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe

O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe

O4 - HKLM\..\Run: [NeroFilterCheck] C:\Archivos de programa\Archivos comunes\Ahead\Lib\NeroCheck.exe

O4 - HKLM\..\Run: [HP Software Update] "C:\Archivos de programa\Hewlett-Packard\HP Software Update\HPWuSchd.exe"

O4 - HKLM\..\Run: [HP Component Manager] "C:\Archivos de programa\HP\hpcoretech\hpcmpmgr.exe"

O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb09.exe

O4 - HKLM\..\Run: [DeviceDiscovery] C:\Archivos de programa\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe

O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Archivos de programa\D-Tools\daemon.exe" -lang 1033

O4 - HKLM\..\Run: [nod32kui] "C:\Archivos de programa\Eset\nod32kui.exe" /WAITSERVICE

O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Archivos de programa\Java\jre1.5.0_11\bin\jusched.exe"

O4 - HKLM\..\Run: [InCD] C:\Archivos de programa\Ahead\InCD\InCD.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Archivos de programa\Archivos comunes\Ahead\lib\NMBgMonitor.exe"

O4 - HKCU\..\Run: [tspcm] C:\Archivos de programa\Telefonica\Speedy\SATConMon.exe

O4 - HKCU\..\Run: [µTorrent] "C:\Archivos de programa\uTorrent\utorrent.exe"

O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Archivos de programa\Spybot - Search & Destroy\TeaTimer.exe

O4 - HKCU\..\Run: [ares] "C:\Archivos de programa\Ares\Ares.exe" -h

O4 - Global Startup: Adobe Gamma Loader.lnk.disabled

O4 - Global Startup: Adobe Reader Synchronizer.lnk.disabled

O4 - Global Startup: Inicio rápido de Adobe Reader.lnk = C:\Archivos de programa\Adobe\Reader 8.0\Reader\reader_sl.exe

O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Archivos de programa\InterVideo\Common\Bin\WinCinemaMgr.exe

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_11\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_11\bin\ssv.dll

O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O11 - Options group: [INTERNATIONAL] International*

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1172287470934

O17 - HKLM\System\CCS\Services\Tcpip\..\{40D131EA-A28C-4266-A878-481F0564C61B}: NameServer = 200.51.212.7 200.51.211.7

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxdev.dll

O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll

O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll

O23 - Service: Ares Chatroom server (AresChatServer) - Ares Development Group - C:\Archivos de programa\Ares\chatServer.exe

O23 - Service: C-DillaSrv - C-Dilla Ltd - C:\WINDOWS\system32\DRIVERS\CDANTSRV.EXE

O23 - Service: ewido security suite control - ewido networks - C:\Archivos de programa\Ewido Antispy\security suite\ewidoctrl.exe

O23 - Service: ewido security suite guard - ewido networks - C:\Archivos de programa\Ewido Antispy\security suite\ewidoguard.exe

O23 - Service: hpdj - Unknown owner - C:\DOCUME~1\Sergio\CONFIG~1\Temp\hpdj.exe (file missing)

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Archivos de programa\Archivos comunes\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: InCD Helper (InCDsrv) - Nero AG - C:\Archivos de programa\Ahead\InCD\InCDsrv.exe

O23 - Service: InCD Helper (read only) (InCDsrvR) - Nero AG - C:\Archivos de programa\Ahead\InCD\InCDsrv.exe

O23 - Service: LJLZG - Unknown owner - C:\DOCUME~1\Sergio\CONFIG~1\Temp\LJLZG.exe (file missing)

O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Archivos de programa\Eset\nod32krn.exe

O23 - Service: SigmaTel Audio Service (STacSV) - SigmaTel, Inc. - C:\WINDOWS\system32\STacSV.exe

Mensaje por **lucl** » 11 Mar 2007, 21:24

Haz fix cheked en modo seguro a estas claves

O2 - BHO: (no name) - {146DBEDA-32D7-40A4-8109-540966D47FC4} - (no file)

O2 - BHO: (no name) - {2C58AADB-ED25-4266-859C-89E506FF45F8} - C:\WINDOWS\system32\vtuuurs.dll (file missing)

O2 - BHO: (no name) - {A8F38D8D-E480-4D52-B7A2-731BB6995FDD} - (no file)

O3 - Toolbar: (no name) - {C4069E3A-68F1-403E-B40E-20066696354B} - (no file)

http://www.zonavirus.com/articulos/como-arrancar-en-modo-seguro-o-a-prueba-de-fallos.asp

respecto al envio ,´mañana cuando lo analicen te daran respuesta, saludos

Mensaje por **msc hotline sat** » 11 Mar 2007, 21:28

aparte, elimina tambien esta clave:

O23 - Service: LJLZG - Unknown owner - C:\DOCUME~1\Sergio\CONFIG~1\Temp\LJLZG.exe (file missing)

saludos

ms, 11-03-2007

Mensaje por **msc hotline sat** » 12 Mar 2007, 18:26

Ficheros analizados son variante de VUNDO y COMHOOK, ya controlados con el actual ELISTARA

saludos

ms, 12-03-2007