| ErManu85 |  |
|
Re: Problema Virtumonde (solucionado) - 2010-04-26 21:13 - Respuesta 7
Vuelvo a escribir, siento ser una pesadilla, pero ni con este programa me vale. Lo seguí al pie de la letra y me detectó el siguiente archivo: C:\WINDOWS\system32\kueeqbpf.dll el cual tampoco me ha sido capaz de borrar.
Me he fijado que sale en el log del HijackThis: O2 - BHO: (no name) - {034CBC18-8E4E-444D-81DE-17E0424EA43e} - C:\WINDOWS\system32\kueeqbpf.dll
Si podeis darme alguna otra solución... leí algo por ahi de un progrma: ComboFix.exe, pero no se si valdrá, porque visto lo visto... | |
|
|
| marinalope |  |
|
Re: Problema Virtumonde (solucionado) - 2010-04-26 21:46 - Respuesta 8
Descarga el Combofix y se lo pasas.
No requiere instalación. Se descarga y se deja en el escritorio
En el caso de Windows vista (Y supongo que también en Windows 7), se debe ejecutar como administrador (Boton derecho-ejecutar como
administrador)
Se recomienda desactivar temporalmente el antivirus, ya que algunos pueden detectarlo como virus (es un falso positivo, esto es por los códigos que
necesita ejecutar)
Se hace doble click en el arcihivo combofix.exe y se aceptan los términos de uso
Se abrirá una ventana de DOS. Los íconos del escritorio desaparecerán (Esto es normal) y aparecerá ese mensaje:
"Please, wait. ComboFix is preparing to run". "Attempting to create a new restore point".
Traducido, dice algo así como ComboFix se está preparando para ejecutarse y está intentando crear un nuevo punto de Restauración del Sistema.
Después comenzará el proceso de desinfección. No se debe mover el mouse para no interferir
En caso de que se use Windows XP se reiniciará automáticamente (No se debe reiniciar manualmente). En Vista esto no es necesario.
Después pega un nuevo log.
| |
|
|
| ErManu85 | |
|
Re: Problema Virtumonde (solucionado) - 2010-04-27 00:28 - Respuesta 9
Después de pasrle el Combofix (tardó bastante) reinicié el equipo y parecia que iba mejor. Le he pasado el Spybot y para mi sorpresa me Felicita por no tener nada sospechoso. No se si creermelo o no, después del tiempo que llevo y todo lo que he probado.
Dejo el log:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 0:21:43, on 27/04/2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Archivos de programa\Antivirus Banda Ancha\bin\OPT_SecS.exe
C:\Archivos de programa\WMonitor\WLService.exe
C:\Archivos de programa\WMonitor\WLanCfgG.exe
C:\WINDOWS\system32\CTsvcCDA.EXE
C:\Archivos de programa\Java\jre6\bin\jqs.exe
C:\Archivos de programa\Archivos comunes\Nero\Nero BackItUp 4\NBService.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Archivos de programa\Antivirus Banda Ancha\bin\OPT_GUI.exe
C:\Archivos de programa\Antivirus Banda Ancha\bin\OPT_PMON.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxpers.exe
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\system32\RunDll32.exe
C:\Archivos de programa\Creative\SBLive 24-Bit External\Surround Mixer\CTSysVol.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\igfxsrvc.exe
C:\Archivos de programa\Unlocker\UnlockerAssistant .exe
C:\Archivos de programa\Windows Live\Messenger\msnmsgr .exe
C:\WINDOWS\system32\ctfmon.exe
C:\Archivos de programa\Archivos comunes\AVerMedia\AVerQuick\AVerQuick.exe
C:\Archivos de programa\Internet Explorer\IEXPLORE.EXE
C:\Archivos de programa\Antivirus Banda Ancha\bin\OPT_GUI .exe
C:\Archivos de programa\Trend Micro\HijackThis\HijackThis.exe
C:\Archivos de programa\Internet Explorer\IEXPLORE.EXE
C:\Archivos de programa\Internet Explorer\IEXPLORE.EXE
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.es/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: (no name) - {034CBC18-8E4E-444D-81DE-17E0424EA43e} - C:\WINDOWS\system32\kueeqbpf.dll (file missing)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Windows Live Aplicación auxiliar de inicio de sesión - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Archivos de programa\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Archivos de programa\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [SbUsb AudCtrl] RunDll32 sbusbdll.dll,RCMonitor
O4 - HKLM\..\Run: [CTSysVol] C:\Archivos de programa\Creative\SBLive 24-Bit External\Surround Mixer\CTSysVol.exe /r
O4 - HKLM\..\Run: [OPTENET_OPTGUI_AV_TDE] C:\Archivos de programa\Antivirus Banda Ancha\bin\OPT_GUI.exe
O4 - HKLM\..\Run: [UnlockerAssistant] "C:\Archivos de programa\Unlocker\UnlockerAssistant .exe"
O4 - HKCU\..\Run: [RemoteCenter] C:\Archivos de programa\Creative\MediaSource\RemoteControl\RCMan.EXE
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Archivos de programa\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Archivos de programa\Windows Live\Messenger\msnmsgr .exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: AVerQuick.lnk = C:\Archivos de programa\Archivos comunes\AVerMedia\AVerQuick\AVerQuick.exe
O8 - Extra context menu item: Add to Google Photos Screensa&ver - res://C:\WINDOWS\system32\GPhotos.scr/200
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O12 - Plugin for .spop: C:\Archivos de programa\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {B91AEDBE-93DF-4017-8BB3-F1C300C0EC51} (InstallShield Setup Player 2K2) - http://av3m.telefonica.net/public/AntivirusOneClickInstall/setup.exe
O16 - DPF: {E77F23EB-E7AB-4502-8F37-247DBAF1A147} (Windows Live Hotmail Photo Upload Tool) - http://gfx2.hotmail.com/mail/w4/pr01/photouploadcontrol/MSNPUpld.cab
O21 - SSODL: GootkitSSO - {EA2B6FFE-E15F-4303-8DD2-401CED3B836C} - C:\WINDOWS\System32\msxsltsso.dll
O23 - Service: 54Mbps Wireless Network Service (54Mbps Wireless Network) - Unknown owner - C:\Archivos de programa\WMonitor\WLService.exe
O23 - Service: Antivirus - Telefónica de España S.A.U - C:\Archivos de programa\Antivirus Banda Ancha\bin\OPT_SecS.exe
O23 - Service: CardBusService - Unknown owner - C:\Archivos de programa\Archivos comunes\AVerMedia\Service\CardBusService.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.EXE
O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - MAGIX® - C:\Archivos de programa\MAGIX\Common\Database\bin\fbserver.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Archivos de programa\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: hpdj - Unknown owner - C:\DOCUME~1\PROPIE~1\CONFIG~1\Temp\hpdj.exe (file missing)
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Archivos de programa\Java\jre6\bin\jqs.exe
O23 - Service: NBService - Nero AG - C:\Archivos de programa\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: Nero BackItUp Scheduler 4.0 - Nero AG - C:\Archivos de programa\Archivos comunes\Nero\Nero BackItUp 4\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Archivos de programa\Archivos comunes\Ahead\Lib\NMIndexingService.exe
O23 - Service: UPnPService - Magix AG - C:\Archivos de programa\Archivos comunes\MAGIX Shared\UPnPService\UPnPService.exe
End of file - 7886 bytes
Que tal pinta tiene? Mañana por la mañana miraré a ver si sigue todo igual.
Un Saludo. | |
|
|
| marinalope | |
|
Re: Problema Virtumonde (solucionado) - 2010-04-27 01:53 - Respuesta 10
El combofix es una de las últimas cosas que recomendamos,porque es una herramienta muy agresiva,pero la verdad es que ya había agotado las demás posibilidades.
Cierra todos los programas incluido el navegador,abre el HijackThis,pulsa do a system scan only y marca estas entradas:
O2 - BHO: (no name) - {034CBC18-8E4E-444D-81DE-17E0424EA43e} - C:\WINDOWS\system32\kueeqbpf.dll (file missing)
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O21 - SSODL: GootkitSSO - {EA2B6FFE-E15F-4303-8DD2-401CED3B836C} - C:\WINDOWS\System32\msxsltsso.dll
O23 - Service: Google Updater Service (gusvc) - Google - C:\Archivos de programa\Google\Common\Google Updater\GoogleUpdaterService.exe
Pulsa fix checked.
Con la opción mostrar archivos y carpetas ocultos activada elimina lo siguiente:
C:\Archivos de programa\Google
Arranca en modo seguro,ve a inicio,ejecutar,escribe %temp% y eliminas todo lo que te salga en esa carpeta.
Pega un nuevo log y comentanós si va mejor.
| |
|
|
|
