Utilizamos Cookies de terceros para generar estadísticas de audiencia y mostrar publicidad personalizada analizando tu navegación. Si sigues navegando estarás aceptando su uso. Más información X
PortadaForo AyudaTutoriales
InicioForosForo Virus

Problema virus virtumonde

zeroseis
2008-02-07 20:04 - Respuestas: 5 - Tema nº: 2499470


Características: Windows XP Profesional, Amd athlon 3200 de 64bits, 2gb ram, 160 gb disco.

mira desde hace varios dias tengo un virus en los que segun el nod32 pone
archivo:
c:\windows\system32\mljijji.dll
codigo malicioso:
win32/adware.virtumonde aplicacion
descripcion:
el archivo puede ser eliminado.verifique haber efectuado una copia de seguridad de cualquier dato importante antes de proceder con la desinfeccion.Suceso ocurrido cuando se produjo un intento de acceso al archivo por la aplicacion \??\c:\windows\system32\winlogon.exe.

He seguido los pasos que pone hurricane para este tipo de archivos virtumonde, desactivar restaurar sistema, arrancar a modo prueba de fallos, pasar nod32, spyboot, adware, el cleaner, y cuando paso el hijackthis me sale lo siguiente:Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:43:23, on 07/02/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Archivos de programa\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\Archivos de programa\Java\jre1.5.0_11\bin\jusched.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\rundll32.exe
C:\Archivos de programa\Eset\nod32kui.exe
C:\Archivos de programa\Archivos comunes\Ahead\Lib\NMBgMonitor.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\T?sks\w?nspool.exe
C:\Archivos de programa\Drmupgds\Drmupgds.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Archivos de programa\Eset\nod32krn.exe
C:\ARCHIV~1\STEM~1\msconfig.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\Archivos de programa\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Archivos de programa\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Archivos de programa\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Archivos de programa\Java\jre1.5.0_11\bin\jusched.exe"
O4 - HKLM\..\Run: [DAEMON Tools-1033] "D:\cazador\crear imagen\daemon\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Archivos de programa\Archivos comunes\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [bm] "C:\Archivos de programa\Archivos comunes\AVSystemCare\bm.exe" dm=http://avsystemcare.com ad=http://avsystemcare.com sd=http://ykeeper.avsystemcare.com
O4 - HKLM\..\Run: [e86bf0c5] rundll32.exe "C:\WINDOWS\system32\xiybfnkn.dll",b
O4 - HKLM\..\Run: [McAfeeUpdaterUI] "C:\Archivos de programa\Network Associates\Common Framework\UpdaterUI.exe" /StartedFromRunKey
O4 - HKLM\..\Run: [Network Associates Error Reporting Service] "C:\Archivos de programa\Archivos comunes\Network Associates\TalkBack\TBMon.exe"
O4 - HKLM\..\Run: [ShStatEXE] "C:\Archivos de programa\Network Associates\VirusScan\SHSTAT.EXE" /STANDALONE
O4 - HKLM\..\Run: [nod32kui] "C:\Archivos de programa\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKCU\..\Run: [MsnMsgr] "C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Archivos de programa\Archivos comunes\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Pando] "D:\cazador\descargas\pando\pando.exe" /Minimized
O4 - HKCU\..\Run: [Gawyjbk] C:\WINDOWS\T?sks\w?nspool.exe
O4 - HKCU\..\Run: [Drmupgds] C:\Archivos de programa\Drmupgds\Drmupgds.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Archivos de programa\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [Ealh] "C:\ARCHIV~1\STEM~1\msconfig.exe" -vt ndrv
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICIO LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Servicio de red')
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft - C:\Archivos de programa\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Archivos de programa\Archivos comunes\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Archivos de programa\Eset\nod32krn.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Archivos de programa\Analog Devices\SoundMAX\SMAgent.exe
O24 - Desktop Component 0: (no name) - C:\Archivos de programa\Windows Media Player\prohdyhd.html


End of file - 5225 bytes

A ver si alguien me podria echar una mano gracias de antemano

Comentarios adicionales: No había instalado ningún programa, ni cambiado nada de hardware en el PC.
Posibles soluciones:
Problema virus virtumondeProblema virus virtumonde
Virus virtumonde detectadoVirus virtumonde detectado
Ayuda con el virus virtumondeAyuda con el virus virtumonde
Virus en mem.operativa(win32/adware.virtumonde.fp)Virus en mem.operativa(win32/adware.virtumonde.fp)
Problema virtumondeProblema virtumonde
tordanxa

Re: Problema virus virtumonde - 2008-02-07 20:36 - Respuesta 2

Antes de pegar el log

Lee esto: http://www.configurarequipos.com/problemas-frecuentes/90/eliminar-trojanvundo-virtumonde-y-otras-infecciones-similares

Pasa a tu ordenador tu antivirus (o uno online: Panda Activescan ; ESET Online Scanner; F-Secure Online Scanner ;
Kaspersky Online Scanner ) y los siguientes programas actualizados y en modo a prueba de fallos:

SUPERAntispyware
Ad-aware
AVG AntiSpyware

El Ad-Aware pásalo con la opción Full Scan

Limpia el ordenador de archivos y entradas de registro innecesarias con el ccleaner

Y si aún así no has solucionado el problema el
HijackThis

En este último programa debes de hacer lo siguiente:
1.- Descarga e instala el programa
2.- En Modo normal haz doble clic en dicho archivo
3.- Selecciona la opción do a system scan and save logfile
4.- Se abrirá una ventana y el bloc de notas. Pega el contenido de este último aquí (en este mismo post).

Saludos
zeroseis

Re: Problema virus virtumonde - 2008-02-12 20:03 - Respuesta 3

Rahel he hecho lo que me dijiste vundofix, antivirus, los dos spywares, el adware, el ccleaner, en modo a prueba de fallos, y nada chico que me es imposible llevo varios dias intentadolo, y nada la aplicacion del virtumonde se me ejecuta al iniciar el ordenador y me es imposible de quitar, por eso te vuelvo a dejar el blog del hijackthis, si me puedes ayudar tu o cualquier otra persona os lo agradeceria.



Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:50:33, on 12/02/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Archivos de programa\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Archivos de programa\Eset\nod32krn.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\Archivos de programa\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\system32\svchost.exe
C:\Archivos de programa\Java\jre1.5.0_11\bin\jusched.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\rundll32.exe
C:\Archivos de programa\Eset\nod32kui.exe
C:\Archivos de programa\Archivos comunes\Ahead\Lib\NMBgMonitor.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\T?sks\w?nspool.exe
C:\Archivos de programa\Drmupgds\Drmupgds.exe
C:\ARCHIV~1\STEM~1\msconfig.exe
C:\WINDOWS\system32\msiexec.exe
C:\Archivos de programa\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\system32\wuauclt.exe
C:\Archivos de programa\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Archivos de programa\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Archivos de programa\Java\jre1.5.0_11\bin\jusched.exe"
O4 - HKLM\..\Run: [DAEMON Tools-1033] "D:\cazador\crear imagen\daemon\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Archivos de programa\Archivos comunes\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [bm] "C:\Archivos de programa\Archivos comunes\AVSystemCare\bm.exe" dm=http://avsystemcare.com ad=http://avsystemcare.com sd=http://ykeeper.avsystemcare.com
O4 - HKLM\..\Run: [e86bf0c5] rundll32.exe "C:\WINDOWS\system32\xiybfnkn.dll",b
O4 - HKLM\..\Run: [McAfeeUpdaterUI] "C:\Archivos de programa\Network Associates\Common Framework\UpdaterUI.exe" /StartedFromRunKey
O4 - HKLM\..\Run: [Network Associates Error Reporting Service] "C:\Archivos de programa\Archivos comunes\Network Associates\TalkBack\TBMon.exe"
O4 - HKLM\..\Run: [ShStatEXE] "C:\Archivos de programa\Network Associates\VirusScan\SHSTAT.EXE" /STANDALONE
O4 - HKLM\..\Run: [nod32kui] "C:\Archivos de programa\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKCU\..\Run: [MsnMsgr] "C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Archivos de programa\Archivos comunes\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Pando] "D:\cazador\descargas\pando\pando.exe" /Minimized
O4 - HKCU\..\Run: [Gawyjbk] C:\WINDOWS\T?sks\w?nspool.exe
O4 - HKCU\..\Run: [Drmupgds] C:\Archivos de programa\Drmupgds\Drmupgds.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Archivos de programa\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [Ealh] "C:\ARCHIV~1\STEM~1\msconfig.exe" -vt ndrv
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICIO LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Servicio de red')
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O16 - DPF: {56762DEC-6B0D-4AB4-A8AD-989993B5D08B} (OnlineScanner Control) - http://www.eset.eu/buxus/docs/OnlineScanner.cab
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft - C:\Archivos de programa\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Archivos de programa\Archivos comunes\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Archivos de programa\Eset\nod32krn.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Archivos de programa\Analog Devices\SoundMAX\SMAgent.exe
O24 - Desktop Component 0: (no name) - C:\Archivos de programa\Windows Media Player\prohdyhd.html


End of file - 5405 bytes
tordanxa

Re: Problema virus virtumonde - 2008-02-12 20:26 - Respuesta 4

Cierra todos los programas. Ejecuta el HijackThis (Do a system scan only y marca las siguientes entradas, después las eliminas utilizando la opción Fix checked

O4 - HKLM\..\Run: [e86bf0c5] rundll32.exe "C:\WINDOWS\system32\xiybfnkn.dll",b

Elimina los siguientes archivos o carpetas si las tienes (Debes de tener la opción mostrar todos los archivos y carpetas habilitada en opciones de carpeta):

C:\WINDOWS\system32\xiybfnkn.dll",b

Pasa el ccleaner de nuevo para eliminar los archivos y entradas de registro innecesarias.
Reinicia y nos cuentas.
zeroseis

Re: Problema virus virtumonde - 2008-02-12 20:44 - Respuesta 5

Ya he hecho lo que me dices, pero al reiniciar me sigue saliendo, segun el nod32 pone
archivo:
c:\windows\system32\mljijji.dll
codigo malicioso:
win32/adware.virtumonde aplicacion
descripcion:
el archivo puede ser eliminado.verifique haber efectuado una copia de seguridad de cualquier dato importante antes de proceder con la desinfeccion.Suceso ocurrido al intentar acceder al archivo.

Por si te sirve parece que al reiniciarse cuando va a entrar en la imagen de bienvenido parece como que lee algo y despues sale esto.
Página:1 Siguiente

Respuestas relacionadas:

Problema virtumondeProblema virtumondeForo
Problema virtumondeProblema virtumondeForo
VirtumondeVirtumondeForo
Virtumonde.dllVirtumonde.dllForo
Virtumonde y virtumonde.prxVirtumonde y virtumonde.prxForo
VirtumondeVirtumondeForo
VirtumondeVirtumondeForo
Virtumonde.dllVirtumonde.dllForo
Virtumonde (solucionado)Virtumonde (solucionado)Foro
Virtumonde.genericVirtumonde.genericForo
InicioSecciones
^ SubirAviso legal
Política Privacidad
Configurarequipos23 Diciembre 2024