problemas con el win32/adware.virtumonde.BQ (SOLUCIONADO)

Morlax · Mensaje por **Morlax** » 30 Mar 2007, 23:57

hola, yo nuevamente, la verdad es que hace muy pocos días ustedes me ayudaron con un troyan, el spylocked, pues bien al parecer nuevamente me he infectado con una variante de este trojan el win32/adware.virtumonde.BQ, ya que me apareció el mensaje de codigo malicioso detectado, en mi antivirus el nod32, pues bien lo elimine y el mensaje me arrojo que debía reiniciar pues el archivo infectado estaba corriendo en le sistema, lo hice pero al reiniciar volvió a aparecer el mensaje, pues entonces me decidí a iniciar en safe mode ydesde allí echar a correr el nod32, bueno me detecto las archivos ingfectados en el system 32 y los elimino (todo esto lo hice habiendo deshabilito el restaurar sistema), y nuevamente me dijo que reiniciaría que ya los había eliminiado pero nada de eso paso, pues otra vez me salió el mensaje de codigo malicioso detetado, ya con el ánimo más bien desajustado, reinicie nuevamente en safe con el restaurar sistema desahbilitado, y eché a correr el spybot search&destroy con las opciones avanzadas en herramientas las entradas que encontré en un foro hace un tiemppo, que creo ustedes deben conocer, he hice todo lo que se dice en ese foro ayuda: le di a herramientas y marque todas las casillas del recuadro derecho, luego en información de desintalación elimine las entradas que no correspondian a programas que yo conociera y las que tenian extenciones sin programas, luego en inicio de sistema donde se muestran los programas que inician con windows y allí el programa da las recomendaciones de necesarios o innecesarios, pues bien aqui encontré una disyuntiva, ya que en ese foro de ayuda del spybot decían que no habia que tocar los que decian winlogon, pero resulta que ahí encontré el archivo infectado por el trojan que me sale en le mensaje de codigo mailicioso; es el win32/fccddcc.dll asi es que lo borre de todas formas no importando lo que pasará, pero no pasó nada, bueno despues le di en partes internas donde se buscan inconsistencias en el registro pero no apareció nada, y posteriormente en activex y en BHO, en la ultima me aparecen dos entradas en negro que son las que no estan en la base de datos del spybot y que por lo tanto deben ser eliminadas pero cuando elimino una y posteriormente la otra inmediatamente me vuelve a aparecer, la que había borrado primero, y una de estas entradas corresponde justamente al archivo infectado, la verda es que ya no sé que hacer le di tambien con el ad-ware SE personal, pero no me arroja ningun problema, lo peor es que el nod32 lo detecta pero no lo elimina, siendo que está actualizada para esta amenaza aqui de todas formas le envió mi log, que aparentemente está ok.:

Logfile of HijackThis v1.99.1

Scan saved at 17:03:14, on 30/03/2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16414)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\Archivos de programa\Eset\nod32kui.exe

C:\Archivos de programa\Messenger\msmsgs.exe

C:\Program Files\Intel\IDU\IDUServ.exe

C:\Archivos de programa\Eset\nod32krn.exe

C:\Archivos de programa\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe

C:\WINDOWS\system32\svchost.exe

C:\Archivos de programa\Mozilla Firefox\firefox.exe

c:\docume~1\famili~1\datosd~1\waveus~1\scr2army.exe

C:\Program Files\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O4 - HKLM\..\Run: [nod32kui] "C:\Archivos de programa\Eset\nod32kui.exe" /WAITSERVICE

O4 - HKCU\..\Run: [MSMSGS] "C:\Archivos de programa\Messenger\msmsgs.exe" /background

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_10\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_10\bin\ssv.dll

O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O11 - Options group: [INTERNATIONAL] International*

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{6BD9097D-57AA-4739-AD9C-4C8FFFFD8C4D}: NameServer = 200.28.4.129 200.28.4.130

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O23 - Service: Ares Chatroom server (AresChatServer) - Ares Development Group - C:\Archivos de programa\Ares\chatServer.exe

O23 - Service: Intel(R) Desktop Utilities Service (iHCService) - OSA Technologies, Inc. - C:\Program Files\Intel\IDU\IDUServ.exe

O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Archivos de programa\Eset\nod32krn.exe

O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Archivos de programa\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe

Logfile of HijackThis v1.99.1

Scan saved at 17:03:14, on 30/03/2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16414)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\Archivos de programa\Eset\nod32kui.exe

C:\Archivos de programa\Messenger\msmsgs.exe

C:\Program Files\Intel\IDU\IDUServ.exe

C:\Archivos de programa\Eset\nod32krn.exe

C:\Archivos de programa\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe

C:\WINDOWS\system32\svchost.exe

C:\Archivos de programa\Mozilla Firefox\firefox.exe

c:\docume~1\famili~1\datosd~1\waveus~1\scr2army.exe

C:\Program Files\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O4 - HKLM\..\Run: [nod32kui] "C:\Archivos de programa\Eset\nod32kui.exe" /WAITSERVICE

O4 - HKCU\..\Run: [MSMSGS] "C:\Archivos de programa\Messenger\msmsgs.exe" /background

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_10\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_10\bin\ssv.dll

O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O11 - Options group: [INTERNATIONAL] International*

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{6BD9097D-57AA-4739-AD9C-4C8FFFFD8C4D}: NameServer = 200.28.4.129 200.28.4.130

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O23 - Service: Ares Chatroom server (AresChatServer) - Ares Development Group - C:\Archivos de programa\Ares\chatServer.exe

O23 - Service: Intel(R) Desktop Utilities Service (iHCService) - OSA Technologies, Inc. - C:\Program Files\Intel\IDU\IDUServ.exe

O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Archivos de programa\Eset\nod32krn.exe

O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Archivos de programa\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe

Morlax · Mensaje por **Morlax** » 31 Mar 2007, 00:03

ahh se me olvidaba decirles que tambien intente entrando al regedit y eliminando el registro pero no me lo permite en realidad cuando le pongo eliminar es como si me ignorará, pueden ver pues mi grado de desesperación. Gracias por leerme.

P.D. conozco la entrada del registro del .dll

Mensaje por **msc hotline sat** » 31 Mar 2007, 12:12

Ya tenemos cierta experiencia con los VUNDO, tras cientos, por no decir miles, de casos, con sus constantes variantes

Pruebe nuestras utilidades ELISTARA con el ELINOTIF:

ELISTARA:

http://www.zonavirus.com/descargas/elistara.asp

ELINOTIF.DLL

http://www.zonavirus.com/descargas/elinotif.asp

Descargar los dos en una misma carpeta y probar el ELISTARA, tras lo cual reiniciar para terminar la eliminacion y luego postearnos el contenido de C:\infosat.txt para ver el resultado del proceso

saludos

ms, 31-03-2007

Morlax · Mensaje por **Morlax** » 31 Mar 2007, 19:11

Bueno todo resulto bien, les agradezco nuevamente, aqui va el registro del elistara:

Sat Mar 31 12:00:32 2007

EliStartPage v13.67 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

Instalada Utilidad "ELINOTIF.DLL"

EliNotify v1.7.03.13 (c)2006 S.G.H. / Satinfo S.L.

---------------------------------------------------

Lista de Acciones:

Detectado Vundo

Elininada KEY "Winlogon\Notify\awtqr"

Elininado BHO: "{9C07E323-0B24-4BDD-A31F-E22F224A8A93}"

Elininada Class: "{9C07E323-0B24-4BDD-A31F-E22F224A8A93}"

Detectado DownLoader.ConHook

C:\WINDOWS\SYSTEM32\fccddcc.dll -> Eliminado.

Elininada KEY "Winlogon\Notify\fccddcc"

Desinstalado EliNotif.dll

:D :D

Mensaje por **msc hotline sat** » 31 Mar 2007, 19:21

[url=http://forum.telecharger.01net.com]

[img]http://forum.telecharger.01net.com/data/units/microhebdo/smilies/65.gif[/img][/url]

Pues lo celebramos, y dando el Tema por solucionado, procedemos a cerrarlo.

Si nos necesita de nuevo, ya sabe donde estamos

saludos

ms, 30-03-2007

Mensaje por **msc hotline sat** » 21 Abr 2007, 12:56

Nota postcierre:

Aparte de lo eliminado, para lo del Spylocked:

En otro Tema se nos ha informado que el fichero responsable era:

C:\WINDOWS\system32 \yronl.dll

y lo pedimos en todos los Temas relacionados, para que nos lo envien y podamos pasar a controlarlo en la siguiente version del ELISTARA, pues no aparece en el log del HJT .

Asi que si alguien tiene el fichero indicado, que nos lo envie:

https://foros.zonavirus.com/viewtopic.php?f=5&t=45334

y asi pasaremos a controlarlo

saludos

ms,. 21.04-2007