Tema: PROBLEMA MSN - EXPLORER y POPUPS!
Ver Mensaje Individual
  post #1 (permalink)  
Antiguo 29/04/08, 23:05:12
skyel skyel está offline
Usuario
  
Registrado: abr 2008
Ubicación: Argentina
Mensajes: 1
Molesto PROBLEMA EXPLORER y POPUPS!
Tuve un problema, mi tia usando el msn se infecto del tipico virus que automaticamente se envia a todos los contactos.. ademas se abren popups con publicidad y el explorer tira un error (IMAGEN ADJUNTA) y se cierra..


Escribo mas o menos todo lo que hice para intentar solucionarlo y no pude..

>msconfig - detecte 5 elementos extraños y los deshabilite..
> inbvauri
> tffytxkk
> wlloginmsgs
> u (uabgab.exe)
> krnlx86

>ATF Cleaner (limpia historiales, archivos temp, etc)

>Spybot (anti spyware)
Virtumonde 1 elemento - Registro
virtumonde.dll 8 elementos > 4 archivos
> 4 registro
>Anti-Malware - 17 elementos

Cita:
Módulos en Memoria Infectados:
C:\WINDOWS\system32\awtuttUo.dll (Trojan.Vundo)

Claves del Registro Infectadas:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\affltid (Malware.Trace)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\affri (Malware.Trace)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MS Juan (Malware.Trace)
HKEY_CLASSES_ROOT\CLSID\{0bb6ef78-ffc8-4f7a-bd2c-09da1169a4b5} (Trojan.Vundo)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Explorer\ Browser Helper Objects\{0bb6ef78-ffc8-4f7a-bd2c-09da1169a4b5} (Trojan.Vundo)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\awtuttuo (Trojan.Vundo)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\FCOVM (Trojan.Vundo)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\RemoveRP (Trojan.Vundo)

Valores del Registro Infectados:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Explorer\S hellExecuteHooks\{0bb6ef78-ffc8-4f7a-bd2c-09da1169a4b5} (Trojan.Vundo)

Ficheros Infectados:
C:\WINDOWS\system32\xxyXQgEX.dll_old (Trojan.Vundo)
C:\WINDOWS\system32\XEgQXyxx.ini (Trojan.Vundo)
C:\WINDOWS\system32\XEgQXyxx.ini2 (Trojan.Vundo)
C:\WINDOWS\system32\urqQheCU.dll (Trojan.Vundo)
C:\WINDOWS\system32\awtuttUo.dll (Trojan.Vundo)
C:\WINDOWS\system32\efcCstSM.dll (Trojan.Vundo)
C:\WINDOWS\system32\ljJBuVMD.dll (Trojan.Vundo)
> Restaure el archivo hosts con el "HostsXpert"
> Limpie el registro
> Utilize el windoctor y solucione absolutamente todos los problemas
>Utilize un winsock fix..
>Al utilizar el hijack this obtuve el sig log..

Cita:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 22:45:20, on 29/04/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16640)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7Debug\mdm.exe
C:\Archivos de programa\Eset\nod32krn.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Archivos de programa\Eset\nod32kui.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Archivos de programa\Archivos comunes\Ahead\Lib\NMBgMonitor.exe
C:\Archivos de programa\Kodak\Kodak EasyShare software\bin\EasyShare.exe
C:\Archivos de programa\Archivos comunes\Ahead\Lib\NMIndexingService.exe
C:\Archivos de programa\Archivos comunes\Ahead\Lib\NMIndexStoreSvr.exe
C:\Archivos de programa\Internet Explorer\iexplore.exe
F:\Menu.exe
C:\Archivos de programa\Trend Micro\HijackThis\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe
O4 - HKLM\..\Run: [nod32kui] "C:\Archivos de programa\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Archivos de programa\Archivos comunes\Ahead\Lib\NeroCheck.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Archivos de programa\Archivos comunes\Ahead\Lib\NMBgMonitor.exe"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICIO LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Servicio de red')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Software Kodak EasyShare.lnk = C:\Archivos de programa\Kodak\Kodak EasyShare software\bin\EasyShare.exe
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {5ED80217-570B-4DA9-BF44-BE107C0EC166} (Windows Live Safety Center Base Module) - http://cdn.scan.onecare.live.com/resource/download/scanner/wlscbase370.cab
O16 - DPF: {67A5F8DC-1A4B-4D66-9F24-A704AD929EEE} (System Requirements Lab) - http://www.nvidia.com/content/DriverDownload/srl/2.0.0.1/sysreqlab2.cab
O23 - Service: NBService - Nero AG - C:\Archivos de programa\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Archivos de programa\Archivos comunes\Ahead\Lib\NMIndexingService.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Archivos de programa\Eset\nod32krn.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

--
End of file - 4502 bytes
me llamaron la atencion 3 puntos:

> O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
> O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
> O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe


hice casi todo.. y no se que mas puedo hacer.. los popups y el error siguen apareciendo.. no abri el msn aun para ver si se sigue enviando este archivo a mis contactos..

cualkier duda que tengan pregunten..

muchisimas gracias de antemano

Skyel
Última edición por skyel fecha: 30/04/08 a las 12:37:36.
Responder Con Cita