Smitfraud-C.Toolbar 888 (SOLUCIONADO)

[AS1972]

Estimados:

El titulo lo dice, se me ha instalado este coso y no consigo eliminarlo.

He probado todas las soluciones que encontre en es foro sin resultado.

Tambien hice:
[list]

[*]Deshabilite Restaurar sistema

[*]Arranque en Modo Seguro

[*]Pase el Spybot S&D en Modo Avanzado

[*]Pase el DelPSGuard

[*]Corri el antivirus

[*]Reinicie y volvi a pasar todo

[/list]

...y nada.

Una cosa curiosa ocurrio cuando pasaba el SS&D Avanzado:

Al verificar las BHOS me aparecen 2 que no estan en verde (las que deben ser eliminadas). Elimino sin problemas una de ellas, pero al eliminar la segunda, vuelve a aparecer la primera. No importa cual elimine primero, es lo mismo.

Este es el log de HJT:



Logfile of HijackThis v1.99.1

Scan saved at 23:38:16, on 01/07/2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16473)



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\Archivos de programa\Windows Defender\MsMpEng.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\explorer.exe

C:\Descargas\hijackthis\HijackThis.exe



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.forospyware.com/

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://windowsupdate.microsoft.com/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = VÌnculos

O4 - HKLM\..\Run: [Windows Defender] "C:\Archivos de programa\Windows Defender\MSASCui.exe" -hide

O4 - HKLM\..\Run: [AVG7_CC] C:\ARCHIV~1\Grisoft\AVG7\avgcc.exe /STARTUP

O4 - Global Startup: Troyan Explore Antivirus.LNK = C:\EXTROYAN\EXTROYAN.EXE

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~1\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_11\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_11\bin\ssv.dll

O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~1\OFFICE11\REFIEBAR.DLL

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O11 - Options group: [INTERNATIONAL] International*

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1175450134749

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O23 - Service: Apple Time Service (AppleTimeSrv) - Apple Inc. - C:\WINDOWS\system32\AppleTimeSrv.exe

O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\ARCHIV~1\Grisoft\AVG7\avgamsvr.exe

O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\ARCHIV~1\Grisoft\AVG7\avgupsvc.exe

O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\ARCHIV~1\Grisoft\AVG7\avgemc.exe

O23 - Service: SigmaTel Audio Service (STacSV) - SigmaTel, Inc. - C:\WINDOWS\system32\STacSV.exe



Desde ya muchas gracias por su ayuda

[msc hotline sat]

Pruebe el ELISTARA:


[quote]

ELISTARA:

http://www.zonavirus.com/descargas/elistara.asp



ELINOTIF.DLL

http://www.zonavirus.com/descargas/elinotif.asp



Descargar los dos en una misma carpeta y probar el ELISTARA, tras lo cual reiniciar para terminar la eliminacion y luego postearnos el contenido de C:\infosat.txt para ver el resultado del proceso


[/quote]





SALUDOS



ms, 2-07-2007

[AS1972]

Bueno, antes que nada gracias por tu respuesta.

He pasado el Ellistar A.

Me pide enviar dos muestras (AWTU.DLL y XCCIMXG.DLL, me dices adonde las envio por favor).

Este es es infosat.txt:



Gracias



Mon Jul 02 18:35:05 2007



EliStartPage v14.32 (c)2007 S.G.H. / Satinfo S.L.



--------------------------------------------------



Lista de Acciones (por AcciÛn Directa):



Key Eliminada [WinLogon\Notify\JKKKHGH] -> C:\WINDOWS\SYSTEM32\JKKKHGH.DLL



C:\WINDOWS\SYSTEM32\JKKKHGH.DLL --> DownLoader.ConHook(notify) Acceso Denegado.



Por favor, envienos una muestra del fichero



C:\Muestras\AWVTU.DLL.Muestra EliStartPage v14.32



a "virus@satinfo.es". Gracias.



C:\WINDOWS\SYSTEM32\AWVTU.DLL --> Acceso Denegado.



C:\WINDOWS\SYSTEM32\JKKKHGH.DLL --> DownLoader.ConHook(notify) Acceso Denegado.



Por favor, envienos una muestra del fichero



C:\Muestras\XCCIXMXG.DLL.Muestra EliStartPage v14.32



a "virus@satinfo.es". Gracias.



C:\WINDOWS\SYSTEM32\XCCIXMXG.DLL --> Eliminado



C:\WINDOWS\SYSTEM32\JKKKHGH.DLL --> DownLoader.ConHook(notify) Acceso Denegado.



C:\WINDOWS\SYSTEM32\MPQSS.ini --> Eliminado (Fichero Complementario).



Eliminada Class, "{066A2CDC-319E-4460-BA45-C24562CD51AA}" -> C:\WINDOWS\system32\jkkkhgh.dll



Eliminada Class, "{1F6581D5-AA53-4B73-A6F9-41420C6B61F1}" -> C:\WINDOWS\system32\xccixmxg.dll



Eliminada Clave "HKLM\...\Image File Execution Options\Your Image File Name Here without a path"



Eliminadas las Paginas de Inicio y de Busqueda del IE



Eliminados Ficheros Temporales del IE







Mon Jul 02 18:37:07 2007



EliStartPage v14.32 (c)2007 S.G.H. / Satinfo S.L.



--------------------------------------------------



Lista de Acciones (por ExploraciÛn):



Explorando Unidad C:\



C:\WINDOWS\system32\AWTUSTU.DLL --> Eliminado, DownLoader.ConHook(notify)



C:\WINDOWS\system32\CMDOW.EXE --> Eliminado, Tool-HideWindow



C:\WINDOWS\system32\JKKKHGH.DLL --> Acceso Denegado, DownLoader.ConHook(notify)



C:\WINDOWS\system32\MLJKHHI.DLL --> Eliminado, DownLoader.ConHook(notify)



C:\WINDOWS\system32\PTEXYWMG.DLL --> Eliminado, Vundo7







Mon Jul 02 18:43:34 2007



EliStartPage v14.32 (c)2007 S.G.H. / Satinfo S.L.



--------------------------------------------------



Lista de Acciones (por ExploraciÛn):



Explorando Unidad C:\



C:\WINDOWS\system32\JKKKHGH.DLL --> Acceso Denegado, DownLoader.ConHook(notify)



Instalada Utilidad "ELINOTIF.DLL"







Mon Jul 02 18:56:39 2007



EliStartPage v14.32 (c)2007 S.G.H. / Satinfo S.L.



--------------------------------------------------



Lista de Acciones (por AcciÛn Directa):



C:\WINDOWS\SYSTEM32\JKKKHGH.DLL --> DownLoader.ConHook(notify) Acceso Denegado.



Por favor, envienos una muestra del fichero



C:\Muestras\AWVTU.DLL.Muestra EliStartPage v14.32



a "virus@satinfo.es". Gracias.



C:\WINDOWS\SYSTEM32\AWVTU.DLL --> Acceso Denegado.



C:\WINDOWS\SYSTEM32\JKKKHGH.DLL --> DownLoader.ConHook(notify) Acceso Denegado.



C:\WINDOWS\SYSTEM32\UTVWA.ini --> Eliminado (Fichero Complementario).



Eliminada Class, "{066A2CDC-319E-4460-BA45-C24562CD51AA}" -> C:\WINDOWS\system32\jkkkhgh.dll



Eliminada Class, "{9189524C-151D-4ACF-839D-13CB9D4E4D25}" -> C:\WINDOWS\system32\awvtu.dll



Eliminadas las Paginas de Inicio y de Busqueda del IE



Eliminados Ficheros Temporales del IE







Mon Jul 02 18:56:51 2007



EliStartPage v14.32 (c)2007 S.G.H. / Satinfo S.L.



--------------------------------------------------



Lista de Acciones (por ExploraciÛn):



Explorando Unidad C:\



C:\WINDOWS\system32\JKKKHGH.DLL --> Acceso Denegado, DownLoader.ConHook(notify)



Instalada Utilidad "ELINOTIF.DLL"







EliNotify v1.7.06.19 (c)2007 S.G.H. / Satinfo S.L.



--------------------------------------------------



Lista de Acciones:



Detectado Vundo



Elininada KEY "Winlogon\Notify\awvtu"



Elininado BHO: "{73781F67-5728-4321-BD46-5F4D19661440}"



Elininada Class: "{73781F67-5728-4321-BD46-5F4D19661440}"



Detectado DownLoader.ConHook



C:\WINDOWS\SYSTEM32\jkkkhgh.dll -> Eliminado.



Elininada KEY "Winlogon\Notify\jkkkhgh"



Desinstalado EliNotif.dll







EliNotify v1.7.06.19 (c)2007 S.G.H. / Satinfo S.L.



--------------------------------------------------



Lista de Acciones:



Detectado Vundo



Elininada KEY "Winlogon\Notify\awvtu"



Detectado DownLoader.ConHook



Elininada KEY "Winlogon\Notify\jkkkhgh"



Desinstalado EliNotif.dll







[b]He intentado eliminar manualmente el jkkkhgh.dll pero no lo consigo.[/b]

[msc hotline sat]

Para eliminar el fichero en cuestion, puede esperar a la version de mañana del ELISTARA 14.34 que estamos cambiando el ELINOTIF para controlarlo (y bajar nuevos ELISTARA Y ELNOTIF, claro) o arrancar en CONSOLA DE RECUPERACION y borrarlo:



Para esto ultimo, arrancar con el CD de instlalacion y pulsar R



pulsar





C: <enter>



CD windows <enter>



CD system32 <enter>



DEL jkkkhgh.dll <enter>





Si tiene algun problema en ello, comnetenoslo, asi como el resultado, gracias



saludos



ms, 3-07.2007

[msc hotline sat]

Y para el envio de muestras:



->[b] Para ello recordar[/b]: https://foros.zonavirus.com/viewtopic.php?f=2&t=45334





saludos



ms, 3-07-2007

[msc hotline sat]

Recibidas muestras, pasan a controlarse en el ELISTARA de hoy, 14.35 que estará en esta web, para pruebas de evaluacion, a partir de las 16 H GMT



Son variantes de VUNDO6 y JuanSearch



saludos



ms, 5-07-2007

[AS1972]

Bueno, aparentemente los virus fueron eliminados con la nueva versión del Elistar.

Muchisimas gracias por su invalorable ayuda y la cordial atencion

Saludos

Ariel

[Claudia34]

Igual te agradeceriamos si pudieras pegarnos el log del Elistara si no es mucha molestia para obrar en consecuencia. Saludos.

[AS1972]

OK, no es ninguna molestia, el agradecido soy yo.

Saludos



Aca va:





Mon Jul 02 18:35:05 2007

EliStartPage v14.32 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Key Eliminada [WinLogon\Notify\JKKKHGH] -> C:\WINDOWS\SYSTEM32\JKKKHGH.DLL

C:\WINDOWS\SYSTEM32\JKKKHGH.DLL --> DownLoader.ConHook(notify) Acceso Denegado.

Por favor, envienos una muestra del fichero

C:\Muestras\AWVTU.DLL.Muestra EliStartPage v14.32

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\AWVTU.DLL --> Acceso Denegado.

C:\WINDOWS\SYSTEM32\JKKKHGH.DLL --> DownLoader.ConHook(notify) Acceso Denegado.

Por favor, envienos una muestra del fichero

C:\Muestras\XCCIXMXG.DLL.Muestra EliStartPage v14.32

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\XCCIXMXG.DLL --> Eliminado

C:\WINDOWS\SYSTEM32\JKKKHGH.DLL --> DownLoader.ConHook(notify) Acceso Denegado.

C:\WINDOWS\SYSTEM32\MPQSS.ini --> Eliminado (Fichero Complementario).

Eliminada Class, "{066A2CDC-319E-4460-BA45-C24562CD51AA}" -> C:\WINDOWS\system32\jkkkhgh.dll

Eliminada Class, "{1F6581D5-AA53-4B73-A6F9-41420C6B61F1}" -> C:\WINDOWS\system32\xccixmxg.dll

Eliminada Clave "HKLM\...\Image File Execution Options\Your Image File Name Here without a path"

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Mon Jul 02 18:37:07 2007

EliStartPage v14.32 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\WINDOWS\system32\AWTUSTU.DLL --> Eliminado, DownLoader.ConHook(notify)

C:\WINDOWS\system32\CMDOW.EXE --> Eliminado, Tool-HideWindow

C:\WINDOWS\system32\JKKKHGH.DLL --> Acceso Denegado, DownLoader.ConHook(notify)

C:\WINDOWS\system32\MLJKHHI.DLL --> Eliminado, DownLoader.ConHook(notify)

C:\WINDOWS\system32\PTEXYWMG.DLL --> Eliminado, Vundo7



Mon Jul 02 18:43:34 2007

EliStartPage v14.32 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\WINDOWS\system32\JKKKHGH.DLL --> Acceso Denegado, DownLoader.ConHook(notify)

Instalada Utilidad "ELINOTIF.DLL"



Mon Jul 02 18:56:39 2007

EliStartPage v14.32 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\SYSTEM32\JKKKHGH.DLL --> DownLoader.ConHook(notify) Acceso Denegado.

Por favor, envienos una muestra del fichero

C:\Muestras\AWVTU.DLL.Muestra EliStartPage v14.32

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\AWVTU.DLL --> Acceso Denegado.

C:\WINDOWS\SYSTEM32\JKKKHGH.DLL --> DownLoader.ConHook(notify) Acceso Denegado.

C:\WINDOWS\SYSTEM32\UTVWA.ini --> Eliminado (Fichero Complementario).

Eliminada Class, "{066A2CDC-319E-4460-BA45-C24562CD51AA}" -> C:\WINDOWS\system32\jkkkhgh.dll

Eliminada Class, "{9189524C-151D-4ACF-839D-13CB9D4E4D25}" -> C:\WINDOWS\system32\awvtu.dll

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Mon Jul 02 18:56:51 2007

EliStartPage v14.32 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\WINDOWS\system32\JKKKHGH.DLL --> Acceso Denegado, DownLoader.ConHook(notify)

Instalada Utilidad "ELINOTIF.DLL"



EliNotify v1.7.06.19 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones:

Detectado Vundo

Elininada KEY "Winlogon\Notify\awvtu"

Elininado BHO: "{73781F67-5728-4321-BD46-5F4D19661440}"

Elininada Class: "{73781F67-5728-4321-BD46-5F4D19661440}"

Detectado DownLoader.ConHook

C:\WINDOWS\SYSTEM32\jkkkhgh.dll -> Eliminado.

Elininada KEY "Winlogon\Notify\jkkkhgh"

Desinstalado EliNotif.dll



EliNotify v1.7.06.19 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones:

Detectado Vundo

Elininada KEY "Winlogon\Notify\awvtu"

Detectado DownLoader.ConHook

Elininada KEY "Winlogon\Notify\jkkkhgh"

Desinstalado EliNotif.dll



EliNotify v1.7.06.19 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones:

Detectado Vundo

Elininada KEY "Winlogon\Notify\awvtu"

Elininado BHO: "{678FC431-16B9-4ECF-8E57-5F7D7A6DBE30}"

Elininada Class: "{678FC431-16B9-4ECF-8E57-5F7D7A6DBE30}"

Detectado DownLoader.ConHook

Elininada KEY "Winlogon\Notify\jkkkhgh"

Desinstalado EliNotif.dll



Tue Jul 03 14:47:29 2007

EliStartPage v14.32 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminada Class, "{066A2CDC-319E-4460-BA45-C24562CD51AA}" -> C:\WINDOWS\system32\jkkkhgh.dll

Eliminados Ficheros Temporales del IE



Tue Jul 03 14:48:17 2007

EliStartPage v14.32 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\



Tue Jul 03 15:13:04 2007

EliStartPage v14.32 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminados Ficheros Temporales del IE



Tue Jul 03 15:13:06 2007

EliStartPage v14.32 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\



Fri Jul 06 19:22:39 2007

EliStartPage v14.36 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Fri Jul 06 19:22:48 2007

EliStartPage v14.36 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\RECYCLER\S-1-5-21-796845957-838170752-725345543-500\Dc2\AWVTU.DLL.MUESTRA ELISTARTPAGE V14.32 --> Eliminado, Vundo6(notify)

C:\RECYCLER\S-1-5-21-796845957-838170752-725345543-500\Dc2\XCCIXMXG.DLL.MUESTRA ELISTARTPAGE V14.32 --> Eliminado, JuanSearch(BHO)



Sat Jul 14 22:26:58 2007

EliStartPage v14.36 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Sat Jul 14 22:27:15 2007

EliStartPage v14.36 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

[msc hotline sat]

Perfecto, gracias:


[quote]
EliStartPage v14.36 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\RECYCLER\S-1-5-21-796845957-838170752-725345543-500\Dc2\AWVTU.DLL.MUESTRA ELISTARTPAGE V14.32 --> Eliminado, Vundo6(notify)

C:\RECYCLER\S-1-5-21-796845957-838170752-725345543-500\Dc2\XCCIXMXG.DLL.MUESTRA ELISTARTPAGE V14.32 --> Eliminado, JuanSearch(BHO)
[/quote]

Detectados y eliminados los malwares, damos el Tema por solucionado y procedemos a cerrarlo



Si nos necesitas de nuevo. ya sabes donde estamos



saludos



ms, 15-07-2007