Tengo unos cuantos spywares y otras cosas mas

LeJump · Mensaje por **LeJump** » 04 Feb 2008, 05:54

Muy buenas, tiempo sin pasarme por aca. lamentablemente he tenido que volver (lamentable porq la pc me esta fallando, no por otra cosa xD)

El problema es q aparentemente alguien se dispuso a bajar un programa desde una dudosa procedencia... como no podia ser de otra forma el "programa" vino con ciertos "regalitos incluidos"...

... la pc va mas lenta de lo normal, tarda un monton en abrir aplicaciones, me lleva a sitios como el siguiente para q me descargue programas antispyware y demas...http://img521.imageshack.us/my.php?image=82730416ff6.jpg

o tambien me da errores como el siguiente http://img513.imageshack.us/img513/9949/60603178bu8.jpg

En un primer momento utilice el NOD32 para eliminarlos, detecto algunos de los problemas y aparentemente los elimino, pero al reiniciar todavia seguian varios de ellos y el NOD dejo de funcionar.

Luego de ello, le di una pasada con el elistara y me detecto 5 problemas de los cuales elimino cuatro, el q falta por eliminar es el Vundo9, archivos NNNMK.DLL y NNNMK.EXE... instalo el ELINOTIF.DLL para q lo haga pero cuando se reinicia la maquina

llega un punto q se vuelve a reiniciar y arranca el windows normalmente sin eliminar el problema

Por ultimo le di una pasada con el Panda Online scan y me arrojo q tengo 28 spywares.

Me gustaria que por favor me ayuden a solucionar los problemas que tengo, pensaba que seria mas facil pero ahi estan dando guerra..

Salu2 y grax de antemano

Mensaje por **msc hotline sat** » 04 Feb 2008, 06:28

Pues aunque no nos postea el contenido del c:\infosat.txt, (que pedimos que se haga siempre que se prueba el ELISTARA de evaluacion) por lo que nos indica del VUNDO 9 vea:

https://foros.zonavirus.com/informacion-sobre-vundo-9-control-y-eliminacion-vt22997.html

y luego, tras reiniciar normalmente, lance este AV ONLINE y posteenos el resultado, gracias:

[url=https://www.kaspersky.es/downloads/thank-you/free-antivirus-download][color=darknesred]~~[b]~~ SOLO TESTEO AV ONLINE[/b][/color][/url]

saludos

ms, 4-2-2008

LeJump · Mensaje por **LeJump** » 04 Feb 2008, 17:01

Gracias por responder, jeje intente eliminar el archivo por msdos pero solo con simbolo del sistema por lo q ya se habia iniciado el virus.

El contenido del infosat es

Sun Feb 03 11:06:25 2008

EliBagle v10.96 (c)2008 S.G.H. / Satinfo S.L.

----------------------------------------------

Lista de Acciones (por AcciÛn Directa):

Sun Feb 03 11:06:35 2008

EliBagle v10.96 (c)2008 S.G.H. / Satinfo S.L.

----------------------------------------------

Lista de Acciones (por ExploraciÛn):

Explorando Unidad C:\

N∫ Total de Directorios: 2721

N∫ Total de Ficheros: 43520

N∫ de Ficheros Analizados: 5324

N∫ de Ficheros Infectados: 0

N∫ de Ficheros Limpiados: 0

Sun Feb 03 17:25:03 2008

EliStartPage v15.57 (c)2008 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por AcciÛn Directa):

Key Eliminada [WinLogon\Notify\PMNONOP] -> C:\WINDOWS\SYSTEM32\NULL2

Key Eliminada [WinLogon\Notify\YNOELMKS] -> C:\WINDOWS\SYSTEM32\NULL2

Eliminada Class, "{A95B2816-1D7E-4561-A202-68C0DE02353A}" -> NULL2

Eliminada Class, "{FA16FE06-B462-470E-9653-79C54B1871FF}" -> NULL2

No detectado Parche MS06-070 de Microsoft instalado. (SServidor)

ALERTA. WindowsUpdate Incompleto.

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Mon Feb 04 00:52:55 2008

EliStartPage v15.57 (c)2008 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por AcciÛn Directa):

Por favor, envienos una muestra del fichero

C:\Muestras\NNNMK.DLL.Muestra EliStartPage v15.57

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\NNNMK.DLL --> Acceso Denegado.

Por favor, envienos una muestra del fichero

C:\Muestras\NNNMK.EXE.Muestra EliStartPage v15.57

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\NNNMK.EXE --> Eliminado

Eliminada Class, "{7E4E9AA0-04E2-437D-9C11-82CB847CCB17}" -> C:\WINDOWS\system32\nnnmk.dll

No detectado Parche MS06-070 de Microsoft instalado. (SServidor)

ALERTA. WindowsUpdate Incompleto.

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Sistema Infectado por el Vundo9

(C:\WINDOWS\SYSTEM32\NNNMK.DLL)

Instalada Utilidad "ELINOTIF.DLL" (Reinicie de Nuevo para Completar la Limpieza)

------------------------------------------------------------------

Ahora voy a probar el antivirus y a acabar con el Vundo :D

Tengo las muestras ahi, si hay q enviarlas decirmelo

Grax

Mensaje por **msc hotline sat** » 04 Feb 2008, 17:06

Si es el VUNDO 9 NO BASTA ARRANCAR EN MODO SEGURO CON SOLO SIMBOLO DE SISTEMA, SINO ARRANCAR CON EL cd DE INSTALACION y pulsando R acceder a la CONSOLA DE RECUPERACION, y asi acceder a la carpeta de sistema y eliminar el fichero en cuestion con DEL <nombredel fichero.ext>

Pero vemos que el infosat.txt pide que nos envies una muestra para analizar:

Por favor, envienos una muestra del fichero

C:\Muestras\NNNMK.DLL.Muestra EliStartPage v15.57

Pues hazlo:

->~~[b]~~ Para ello recordar[/b]: https://foros.zonavirus.com/viewtopic.php?f=2&t=45334

y tras recibirla la analizaremos e informaremos

saludos

ms, 4-2-2008

LeJump · Mensaje por **LeJump** » 04 Feb 2008, 18:10

Muestras enviadas

El Vando todavia no desaparece, intente hacer lo de borrarlo a traves de la consola de recuperacion pero me llevo la sorpresa de que lo q encuentro es un archivo llamado nnnmk.dll_old y tambien nnnmk.exe; pero el nnnmk.dll no esta, luego cuando reinicio windows si que lo tengo dando guerra otra vez.

Ahora voy a pasar el AV a ver que mas animalejos tengo en la pc :cry:

Mensaje por **msc hotline sat** » 04 Feb 2008, 18:28

No, el fichero C:\Muestras\NNNMK.DLL.Muestra EliStartPage v15.57 te pedimos que nos lo envies para analizar, ya lo hemos borrado nosotros y mobvido a la carpeta C:\muestras.

->~~[b]~~ Para ello recordar[/b]: https://foros.zonavirus.com/viewtopic.php?f=2&t=45334

y claro que lo tienes, pero con la extension cambiada y en dicha carpeta.

En cuanto lo recibamos, entrará en cola de monitorizacion, y tras analizarlo, informaremos

saludos

ms, 4-2-2008

LeJump · Mensaje por **LeJump** » 04 Feb 2008, 18:31

Ya lo he enviado junto con el nnnmk.exe.

En cuanto a la eliminacion del archivo nnnmk.dll me refiero a que todavia sigue en system32. Tengo el de las muestra y tambien el de system32 totalmente activo.

Mensaje por **msc hotline sat** » 04 Feb 2008, 18:49

Pues no hemos visto el mansaje de ACCESO DENEGADO. Quizas es porque no había terminado el proceso, ya que decía:

"~~[b]~~[i]Instalada Utilidad "ELINOTIF.DLL" ([u]Reinicie de Nuevo para Completar la Limpieza[/u]) [/i][/b]"

y tras reiniciar es posible que al infosat.txt se le haya añadido dicho mensaje de ACCESO DENEGADO que esperabamos ver.

Entonces, si lo tienes, has de poder verlo en CONSOLA DE RECUPERACION y poder eliminarlo en consecuencia...

Confirmanoslo, gracias

saludos

ms, 4-2-2008

LeJump · Mensaje por **LeJump** » 04 Feb 2008, 19:38

Gracias por tu paciencia, esta bastante resistente el Vundo este

Volvi a usar el elistara y aca el infosat

Mon Feb 04 13:47:02 2008

EliStartPage v15.57 (c)2008 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Key Eliminada [WinLogon\Notify\VSPXIXZL] -> C:\WINDOWS\SYSTEM32\vspxixzl.dll

C:\WINDOWS\SYSTEM32\VSPXIXZL.DLL --> Vundo Acceso Denegado.

No detectado Parche MS06-070 de Microsoft instalado. (SServidor)

ALERTA. WindowsUpdate Incompleto.

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Detectado AUTORUN.INF en la Unidad (D)

open=setup.exe

Si Desconoce la Aplicación, por favor envienosla

acompañada del AUTORUN.INF a "virus@satinfo.es". Gracias.

Sistema Infectado por el Downloader.ConHook2

Sistema Infectado por el Vundo9

(C:\WINDOWS\SYSTEM32\NNNMK.DLL)

Instalada Utilidad "ELINOTIF.DLL" (Reinicie de Nuevo para Completar la Limpieza)

EliNotify v1.7.11.28 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones:

Detectado DownLoader.ConHook2

C:\WINDOWS\SYSTEM32\vspxixzl.dll -> Eliminado.

Elininada KEY "Winlogon\Notify\VSPXIXZL"

Detectado Vundo9

Elininada Class {A030EF44-6149-492D-83BB-BC44D38324E8}

Elininado BHO {A030EF44-6149-492D-83BB-BC44D38324E8}

Desinstalado EliNotif.dll

Mon Feb 04 13:59:28 2008

EliStartPage v15.57 (c)2008 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Por favor, envienos una muestra del fichero

C:\Muestras\NNNMK.DLL.Muestra EliStartPage v15.57

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\NNNMK.DLL --> Acceso Denegado.

Por favor, envienos una muestra del fichero

C:\Muestras\NNNMK.EXE.Muestra EliStartPage v15.57

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\NNNMK.EXE --> Eliminado

Eliminada Class, "{1591B391-F2AF-4E0D-80A1-AE3A9385269E}" -> C:\WINDOWS\system32\nnnmk.dll

No detectado Parche MS06-070 de Microsoft instalado. (SServidor)

ALERTA. WindowsUpdate Incompleto.

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Detectado AUTORUN.INF en la Unidad (D)

open=setup.exe

Si Desconoce la Aplicación, por favor envienosla

acompañada del AUTORUN.INF a "virus@satinfo.es". Gracias.

Sistema Infectado por el Vundo9

(C:\WINDOWS\SYSTEM32\NNNMK.DLL)

Instalada Utilidad "ELINOTIF.DLL" (Reinicie de Nuevo para Completar la Limpieza)

Ahi puedes ver lo de acceso denegado, la aplicacion me pide que reinicie la maquina y lo hago, pero cuando esta iniciando Windows se vuelve a reiniciar y el Elistara actua nuevamente identificando el virus pidiendo otro reinicio... y vuelta a empezar.

En cuanto a la consola de recuperacion, lo intente nuevamente y "consegui" borrar los archivos NNNMK.DLL y NNNMK.exe.... para mi sorpresa al reiniciar la maquina y dirigirme a system32, los archivos han "resucitado".... al parecer hay algo mas que tendria q borrar para q no vuelvan.

LeJump · Mensaje por **LeJump** » 04 Feb 2008, 20:25

Aca la info del antivirus Kaspersky online

KASPERSKY ONLINE SCANNER INFORME

lunes, 04 de febrero de 2008 14:53:27

Sistema operativo: Microsoft Windows XP Professional, Service Pack 2 (Build 2600)

Kaspersky Online Scanner versión: 5.0.84.1

Ultima actualización: 4/02/2008

Registros en la base antivirus: 508097

Configuración del análisis

Analizar usando las siguientes bases standard

Analizar archivos verdadero

Analizar bases de correo verdadero

Objetivo a analizar Carpetas

C:\Archivos de programa\

C:\Documents and Settings\

Estadísticas

Número de objeros analizados 8877

Virus encontrados 1

Objetos infectados 4 / 0

Objetos sospechosos 0

Duración del análisis 00:07:39

Bombre del objeto infectado Nombre del virus Última acción

C:\Archivos de programa\Adobe\Reader 8.0\Reader\Reader_sl.exe Infectados: Trojan-Dropper.Win32.Agent.dgo saltado

C:\Archivos de programa\Spybot - Search & Destroy\TeaTimer.exe Infectados: Trojan-Dropper.Win32.Agent.dgo saltado

C:\Archivos de programa\VIA\VIAudioi\SBADeck\ADeck.exe Infectados: Trojan-Dropper.Win32.Agent.dgo saltado

C:\Archivos de programa\VIAudioi\SBADeck\ADeck.exe Infectados: Trojan-Dropper.Win32.Agent.dgo saltado

C:\Documents and Settings\&LJMP$.MASTERPA-7679D5\Configuración local\Archivos temporales de Internet\AntiPhishing\B3BB5BBA-E7D5-40AB-A041-A5B1C0B26C8F.dat Object is locked saltado

C:\Documents and Settings\&LJMP$.MASTERPA-7679D5\Configuración local\Archivos temporales de Internet\Content.IE5\index.dat Object is locked saltado

C:\Documents and Settings\&LJMP$.MASTERPA-7679D5\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat Object is locked saltado

C:\Documents and Settings\&LJMP$.MASTERPA-7679D5\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat.LOG Object is locked saltado

C:\Documents and Settings\&LJMP$.MASTERPA-7679D5\Configuración local\Historial\History.IE5\index.dat Object is locked saltado

C:\Documents and Settings\&LJMP$.MASTERPA-7679D5\Configuración local\Temp\Perflib_Perfdata_168.dat Object is locked saltado

C:\Documents and Settings\&LJMP$.MASTERPA-7679D5\Cookies\index.dat Object is locked saltado

C:\Documents and Settings\&LJMP$.MASTERPA-7679D5\NTUSER.DAT Object is locked saltado

C:\Documents and Settings\&LJMP$.MASTERPA-7679D5\NTUSER.DAT.LOG Object is locked saltado

C:\Documents and Settings\All Users\Datos de programa\eboostr\filestat.dat Object is locked saltado

C:\Documents and Settings\All Users\Datos de programa\Microsoft\Network\Downloader\qmgr0.dat Object is locked saltado

C:\Documents and Settings\All Users\Datos de programa\Microsoft\Network\Downloader\qmgr1.dat Object is locked saltado

C:\Documents and Settings\LocalService\Configuración local\Archivos temporales de Internet\Content.IE5\index.dat Object is locked saltado

C:\Documents and Settings\LocalService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat Object is locked saltado

C:\Documents and Settings\LocalService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat.LOG Object is locked saltado

C:\Documents and Settings\LocalService\Configuración local\Historial\History.IE5\index.dat Object is locked saltado

C:\Documents and Settings\LocalService\Cookies\index.dat Object is locked saltado

C:\Documents and Settings\LocalService\NTUSER.DAT Object is locked saltado

C:\Documents and Settings\LocalService\ntuser.dat.LOG Object is locked saltado

C:\Documents and Settings\NetworkService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat Object is locked saltado

C:\Documents and Settings\NetworkService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat.LOG Object is locked saltado

C:\Documents and Settings\NetworkService\NTUSER.DAT Object is locked saltado

C:\Documents and Settings\NetworkService\ntuser.dat.LOG Object is locked saltado

Análisis completado.

Mensaje por **msc hotline sat** » 04 Feb 2008, 21:19

Eso es, pues ahor ya ves que tiene acceso denegado, procede a eliminarlo arrancando en consola de recuperacion.

Y ademas de los ficheros que te pediamos para analizar, envianos tambien estos otros cuatro:

C:\Archivos de programa\Adobe\Reader 8.0\Reader\Reader_sl.exe

C:\Archivos de programa\Spybot - Search & Destroy\TeaTimer.exe

C:\Archivos de programa\VIA\VIAudioi\SBADeck\ADeck.exe

C:\Archivos de programa\VIAudioi\SBADeck\ADeck.exe

Tras recibirlos los analizaremos e implementaremos en las nuevas versiones de nuestas utilidades, de lo cual informaremos

saludos

ms, 4-2-2008

->~~[b]~~ Para ello recordar[/b]: https://foros.zonavirus.com/viewtopic.php?f=2&t=45334