Desinfectar Virtumonde (SOLUCIONADO )

[drakken1]

Hola, antes de nada decir que no estoy muy seguro de si se puede poner este post aqui, pero si no se puede os rogaria que me dijerais donde ponerlo.

El problema en sí es el consabido Virtumonde :squigglemouth: que me ha infectado el ordenador. He leido otro post que habla de su desinfección pero no sé si es una solución válida sólo para el ordenador del que ha posteado. En definitiva, que me enrollo, me gustaria que me dijerais el camino a seguir para poder eliminarlo, que datos necesitais de mi configuración, etc...

Muchisimas gracias de antemano y un saludo a tod@s

 

[razor]

Si drakken1, esa misma solucion es valida para cualquier equipo. Post para eliminar virtumonde: http://www.razorman.net/forodeinfor...dad-inform-tica/1096-eliminar-virtumonde.html

Siempre es aconsejable, que nos participes los datos relativos a tu equipo: por favor revisa las NORMAS DEL FORO. Asi tendremos una composicion de tu equipo y te podremos ayudar mas facilmente y más rapido.

Gracias!

Nota: Con el enlace de ese hilo que te propongo, con las herramientas que posteo dunanea ya posiblemente podremos olvidarnos de el.

 

[drakken1]

Muchas gracias razor, tomo buena nota. Ahh, y perdon por no leer las normas, a ello voy

 

[razor]

No te preocupes, lee lo que te he puesto y nos cuentas que tal te ha ido!

 

[indy]

Hola, bienvenido a la web.

Por si no te basta con lo que te han comentado, puedes darle una ojeada al siguiente enlace:
Eliminar Vundo \ Winfixer \ Virtuamundo - Foro de Spyware
Tampoco estaría de mas que pegaras un log de hijackthis, mírate el siguiente post para ver cómo hacerlo:
http://www.razorman.net/forodeinformatica/problemas-con-aplicaciones/2155-propaganda-solucionado.html#post6022

Un saludo!!!

 

[drakken1]

Bueno, pues os cuento. Leí el post que me ponia razor en su mensaje, usando el programilla de dunanea y no me detectó nada en el equipo. Despues le he pasado el Panda internet security 2008 actualizado a dia de hoy, lo detecta, parece o al menos dice que lo elimina, pero vuelve a aparecer. Lo intenté con el spybot y tres cuartos de lo mismo (que sí que está aqui y lo borro pero al final no lo borro :cry. Tambien probé con el Ad-aware 2008 y tampoco. Todos estos analisis los realice tanto en modo normal como en "a prueba de errores".

Leyendo los dos enlaces últimos que me ha puesto indy he comprobado que me ocurre exactamente lo mismo que al autor del post, el de propaganda, los sintomas son exactamente los mismos, por lo que sobra escribirlos de nuevo.

En cuanto a pegar el log del Hijackthis en cuanto llegue a casa lo hago y os lo pego, que ahora me pillais en el curro.

Os pongo de momento algún programa instalado en mi equipo por si fuera de utilidad.

S.O. Windows XP SP2
Panda Internet Security 2008 con licencia y actualizado a diario
Spybot Search & Destroy
Internet Explorer 7

Mil gracias de nuevo por vuestro tiempo.

 

[razor]

Ok, pero por favor cierra todos aquellos programas que no son imprescindibles antes de pegar el log. Gracias!

 

[drakken1]

Bueno, aqui os dejo el log del Hijackthis, a ver si podemos arrojar algo de luz sobre el tema. Saludos

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 9:11:58, on 13/08/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0011)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\Archivos de programa\Panda Software\Panda Internet Security 2007\pavsrv51.exe
C:\Archivos de programa\Panda Software\Panda Internet Security 2007\AVENGINE.EXE
C:\WINDOWS\system32\svchost.exe
C:\Archivos de programa\Panda Software\Panda Internet Security 2007\TPSrv.exe
C:\Archivos de programa\Lavasoft\Ad-Aware\aawservice.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Archivos de programa\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Archivos de programa\Panda Software\Panda Internet Security 2007\PsCtrls.exe
C:\Archivos de programa\Panda Software\Panda Internet Security 2007\PavFnSvr.exe
C:\Archivos de programa\Archivos comunes\Panda Software\PavShld\pavprsrv.exe
C:\WINDOWS\system32\HPZipm12.exe
C:\Archivos de programa\Panda Software\Panda Internet Security 2007\AntiSpam\pskmssvc.exe
c:\archivos de programa\panda software\panda internet security 2007\firewall\PSHOST.EXE
C:\Archivos de programa\Panda Software\Panda Internet Security 2007\psimsvc.exe
C:\Archivos de programa\CyberLink\Shared Files\RichVideo.exe
C:\Archivos de programa\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Archivos de programa\Microsoft ActiveSync\wcescomm.exe
C:\Archivos de programa\Archivos comunes\Ahead\Lib\NMBgMonitor.exe
C:\Archivos de programa\Archivos comunes\Ahead\Lib\NMIndexStoreSvr.exe
C:\ARCHIV~1\MICROS~2\rapimgr.exe
C:\Archivos de programa\Archivos comunes\Ahead\Lib\NMIndexingService.exe
C:\Archivos de programa\Panda Software\Panda Internet Security 2007\apvxdwin.exe
C:\Archivos de programa\Panda Software\Panda Internet Security 2007\SRVLOAD.EXE
C:\Archivos de programa\Panda Software\Panda Internet Security 2007\WebProxy.exe
C:\Archivos de programa\Panda Software\Panda Internet Security 2007\PavBckPT.exe
C:\Archivos de programa\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = MSN.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = Live Search
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = Live Search
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = MSN.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Archivos de programa\Adobe\Photoshop Album Starter Edition\3.2\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [ISUSPM Startup] C:\ARCHIV~1\ARCHIV~1\INSTAL~1\UPDATE~1\isuspm.exe -startup
O4 - HKLM\..\Run: [BMd3413dc9] Rundll32.exe "C:\WINDOWS\system32\grnqwfju.dll",s
O4 - HKLM\..\Run: [d0720e55] rundll32.exe "C:\WINDOWS\system32\vrbbwuck.dll",b
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Archivos de programa\Microsoft ActiveSync\wcescomm.exe"
O4 - HKCU\..\Run: [updateMgr] C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe AcRdB7_0_9
O4 - HKCU\..\Run: [LogitechSoftwareUpdate] "C:\Archivos de programa\Logitech\Video\ManifestEngine.exe" boot
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Archivos de programa\Archivos comunes\Ahead\Lib\NMBgMonitor.exe"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICIO LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Servicio de red')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: E&xport to Microsoft Excel - res://c:\archivos de programa\microsoft office\office12\excel.exe/3000
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~3\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: Agregar entrada - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Archivos de programa\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra 'Tools' menuitem: &Agregar entrada en Windows Live Writer - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Archivos de programa\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra button: Enviar a OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\ARCHIV~1\MICROS~3\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: &Enviar a OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\ARCHIV~1\MICROS~3\Office12\ONBttnIE.dll
O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\ARCHIV~1\MICROS~2\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\ARCHIV~1\MICROS~2\INetRepl.dll
O9 - Extra 'Tools' menuitem: Crear un favorito móvil... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\ARCHIV~1\MICROS~2\INetRepl.dll
O9 - Extra button: PokerStars - {3AD14F0C-ED16-4e43-B6D8-661B03F6A1EF} - C:\Archivos de programa\PokerStars\PokerStarsUpdate.exe
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~3\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O12 - Plugin for .spop: C:\Archivos de programa\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {2D8ED06D-3C30-438B-96AE-4D110FDC1FB8} (ActiveScan 2.0 Installer Class) - http://acs.pandasoftware.com/activescan/cabs/as2stubie.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/win...ls/en/x86/client/wuweb_site.cab?1185286870226
O16 - DPF: {B785FA3C-1DE9-4D20-8396-613C486FE95E} (AeatCtl Class) - https://aeat.es/imagenes/comun/cactivex.cab
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\ARCHIV~1\MICROS~3\Office12\GR99D3~1.DLL
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Archivos de programa\Lavasoft\Ad-Aware\aawservice.exe
O23 - Service: Adobe LM Service - Adobe Systems - C:\Archivos de programa\Archivos comunes\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Archivos de programa\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: HP Port Resolver - Hewlett-Packard Company - C:\WINDOWS\system32\spool\drivers\w32x86\3\HPBPRO.EXE
O23 - Service: HP Status Server - Hewlett-Packard Company - C:\WINDOWS\system32\spool\drivers\w32x86\3\HPBOID.EXE
O23 - Service: NBService - Nero AG - C:\Archivos de programa\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Archivos de programa\Archivos comunes\Ahead\Lib\NMIndexingService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Panda Software Controller - Panda Software International - C:\Archivos de programa\Panda Software\Panda Internet Security 2007\PsCtrls.exe
O23 - Service: Panda Function Service (PAVFNSVR) - Panda Software International - C:\Archivos de programa\Panda Software\Panda Internet Security 2007\PavFnSvr.exe
O23 - Service: Panda Process Protection Service (PavPrSrv) - Panda Software - C:\Archivos de programa\Archivos comunes\Panda Software\PavShld\pavprsrv.exe
O23 - Service: Panda anti-virus service (PAVSRV) - Panda Software International - C:\Archivos de programa\Panda Software\Panda Internet Security 2007\pavsrv51.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: Panda Antispam Engine (pmshellsrv) - Panda Software International - C:\Archivos de programa\Panda Software\Panda Internet Security 2007\AntiSpam\pskmssvc.exe
O23 - Service: Panda Host Service (PSHost) - Panda Software International - c:\archivos de programa\panda software\panda internet security 2007\firewall\PSHOST.EXE
O23 - Service: Panda IManager Service (PSIMSVC) - Panda Software International - C:\Archivos de programa\Panda Software\Panda Internet Security 2007\psimsvc.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Archivos de programa\CyberLink\Shared Files\RichVideo.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Archivos de programa\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
O23 - Service: Panda TPSrv (TPSrv) - Panda Software International - C:\Archivos de programa\Panda Software\Panda Internet Security 2007\TPSrv.exe

--
End of file - 9897 bytes

 

[razor]

Hola, borra estas entradas:

O4 - HKLM\..\Run: [BMd3413dc9] Rundll32.exe "C:\WINDOWS\system32\grnqwfju.dll",s
O4 - HKLM\..\Run: [d0720e55] rundll32.exe "C:\WINDOWS\system32\vrbbwuck.dll",b

Aparte de estas, borra todas las entradas que pone (no name)

Por lo que veo, tienes la ultima variante de Virtumonde, el Vundo. Baja esta herramienta: http://www.atribune.org/ccount/click.php?id=4 y ejecutala.

Antes de darle a fix-cheked, desactiva "Restaurar Sistema". Bajate tambien el cccleaner:CCleaner - Home y haz un scan.

Despues nos cuentas. Salu2

 

[drakken1]

Pues bueno, por aqui de nuevo. Os cuento lo que he hecho.

- Desactivé "restaurar sistema" del windows
- Borré las entradas que me indicabas del log del Hijackthis
- Ejecuté el Vundofix y encontró 10 archivos infectados (te pongo los nombres por si es de utilidad)

- axwusuba.dll, fzyogs.dll, grnqwfju.dll, jkkjkHyW.dll, kcuwbbrv.ini, lqxbamxy.dll, vrbbwuck.dll, WyHkjkkj.ini, WyHkjkkj.ini2, ygdcam.dll
Todos estaban en windows/system32

- Se reinició el equipo y le pasé una segunda vez el vundofix (por ver los resultados) y me detectó 6 archivos

- jbvucrnp.ini, kikomikn.dll (éste no se dejaba borrar pero se borró al reiniciar), oshrjohw.dll, pnrcuvbj.dll, ssqPiGWq.dll, tlfrmy.dll
- Se volvió a reiniciar el equipo y le pasé una tercera vez el vundofix viendo los resultados del segundo escaneo. Éste tercer escaneo salió limpio
- Por último ejecuté el CCleaner y reparé lo que encontró.

Bueno, como resultado, de momento navego sin mayor problema, muchisimo mejor que antes. En alguna página me salta el Panda con que ha detectado un spyware y lo ha eliminado, aparte de esto, nada de nada (esperemos que siga así). Si el vundo volviera a las andadas ya os lo comentaría, pero de momento solo me queda estar eternamente agradecido a vuestra ayuda desinteresada ante la cual me quito el sombrero (y eso que no llevo :neutral

Mil gracias os debo una :bigsmile:

 

[razor]

Ok. Perfecto. De eso se trata, de que te solucionemos el problema, para eso esta esta web y este foro en concreto.

La mejor manera de agradecernoslo, es visitandonos asiduamente, tanto en el foro y en la web, y si participas en el foro ¡muchisimo mejor!

Un saludo, cualquier cosa aqui estamos.