Hola, buenas, saludos a todo el mundo, es mi primer mensaje en este foro.

Tengo un problema en mi ordenador, en el que se ha instalado el malware Win32/Adware.Virtumonde, afectando al archivo ssqropn.dll.

Me está causando una ralentización del sistema, y no me deja utilizar algunos programas que tengo instalados, como nominaplus y contaplus.

El log que me da el programa hijackthis es el siguiente

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15:04:41, on 05/02/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Archivos de programa\Eset\nod32krn.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Archivos de programa\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe
C:\Archivos de programa\Adobe\Acrobat 7.0\Distillr\Acrotray.exe
C:\Archivos de programa\VIA\VIAudioi\SBADeck\ADeck.exe
C:\WINDOWS\system32\rundll32.exe
C:\Archivos de programa\Google\GoogleToolbarNotifier\GoogleToolba rNotifier.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\explorer.exe
C:\Archivos de programa\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.es/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Internet Explorer gestionado por CiberGest
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O3 - Toolbar: PDF de Adobe - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\archivos de programa\google\googletoolbar1.dll
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Archivos de programa\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [nod32kui] "C:\Archivos de programa\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKLM\..\Run: [Acrobat Assistant 7.0] "C:\Archivos de programa\Adobe\Acrobat 7.0\Distillr\Acrotray.exe"
O4 - HKLM\..\Run: [AudioDeck] C:\Archivos de programa\VIA\VIAudioi\SBADeck\ADeck.exe 1
O4 - HKLM\..\Run: [b8f02c1a] rundll32.exe "C:\WINDOWS\system32\yewiagdo.dll",b
O4 - HKCU\..\Run: [MsnMsgr] "C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [swg] C:\Archivos de programa\Google\GoogleToolbarNotifier\GoogleToolba rNotifier.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICIO LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Servicio de red')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Inicio rápido de Adobe Acrobat.lnk = ?
O4 - Global Startup: Inicio rápido de Adobe Reader.lnk = C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O8 - Extra context menu item: Convertir a PDF de Adobe - res://C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convertir a PDF existente - res://C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convertir destino de vínculo a PDF existente - res://C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convertir destino de vínculo en archivo PDF de Adobe - res://C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convertir selección a archivo PDF existente - res://C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convertir selección a PDF de Adobe - res://C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convertir vínculos seleccionados a PDF de Adobe - res://C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Convertir vínculos seleccionados a PDF existente - res://C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O16 - DPF: TruePass LocalEPF 6,0,200,81 - https://tp.seg-social.es/TruePassSample/applets/entrusttruepassapplet-localepf.cab
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab31267.cab
O16 - DPF: {3ADBB867-9732-4F8F-BF11-028BD4D2B7B1} (CEngine Control) - http://cam.gec.es/camw/cengine.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O16 - DPF: {B785FA3C-1DE9-4D20-8396-613C486FE95E} (AeatCtl Class) - https://www4.aeat.es/es13/h/cactivex.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZIntro.cab32846.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O23 - Service: Adobe LM Service - Adobe Systems - C:\Archivos de programa\Archivos comunes\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Cargador del Terminal (escSrv) - Unknown owner - C:\WINDOWS\system32\escsrv.exe (file missing)
O23 - Service: Google Updater Service (gusvc) - Google - C:\Archivos de programa\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Archivos de programa\Eset\nod32krn.exe

--
End of file - 6142 bytes

¿Como puedo hacer para eliminarlo? ¿Tengo que ejecutar el programa vundofix.exe y ya está? ¿Como lo hago, en modo a prueba de fallos o en modo normal? ¿o tengo que hacer antes otra cosa?

Os agradecería mucho que me pudierais ayudar a solucionar el problema que tengo.

Hola ryogasan, te doy la bienvenida al Foro de InfoSpyware.

Paso 1- Descarga, Instala y/o actualiza estos programas: (pero no los ejecutes aun).

• ComboFix.exe
• SUPERAntiSpyware

Paso 2- Con todos los programas cerrados ejecuta el HijackThis y dale a estas entradas:


O4 - HKLM\..\Run: [b8f02c1a] rundll32.exe "C:\WINDOWS\system32\yewiagdo.dll",b



Paso 3- Ejecuta estas herramientas, de a una:

• SUPERAntiSpyware

Paso 4- Descarga CCleaner y ejecútalo usando primero su opción de "Limpiador" para borrar cookies, temporales de Internet y todos los archivos que este te muestre como obsoletos, y luego usa su opción de "Registro" para limpiar todo el registro de Windows (haciendo copia de seguridad).

Reinicia y nos contas los resultados. junto con el reporte de CF.

Salu2

Muchísimas gracias, ElPiedra, no te puedes imaginar los problemas que me has ahorrado...

Ha funcionado todo estupendamente:

A continuación añado el reporte del CF:

ComboFix 08-02.05.3 - usuario8 2008-02-06 11:33:53.1 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.3082.18.289 [GMT 1:00]
Se ejecuta desde: C:\Documents and Settings\usuario8\Escritorio\ComboFix.exe
* Creado un nuevo punto de restauración

ADVERTENCIA - ESTE EQUIPO NO TIENE INSTALADA LA CONSOLA DE RECUPERACION!
.

(((((((((((((((((((((((((((((((((((( Otras eliminaciones )))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Documents and Settings\All Users\Datos de programa\Microsoft\Network\Downloader\qmgr0.dat
C:\Documents and Settings\All Users\Datos de programa\Microsoft\Network\Downloader\qmgr1.dat
C:\WINDOWS\system32\mcrh.tmp
C:\WINDOWS\system32\nltlrewn.ini
C:\WINDOWS\system32\odgaiwey.ini
C:\WINDOWS\system32\teuwiuux.ini
C:\WINDOWS\system32\uqxwssxd.ini
C:\WINDOWS\system32\wjwljhdr.ini
C:\WINDOWS\system32\xbsevlty.ini
C:\WINDOWS\system32\xqserpqo.ini
C:\WINDOWS\system32\xwxdceit.ini

----- BITS: Possible infected sites -----

hxxp://msgr.dlservice.microsoft.com
.
(((((((((((((((((( Archivos creados desde 2008-01-06 - 2008-02-06 )))))))))))))))))))))))))))))))))
.

2008-02-06 10:52 . 2008-02-06 10:52 <DIR> d-------- C:\Documents and Settings\usuario8\Datos de programa\SUPERAntiSpyware.com
2008-02-06 10:52 . 2008-02-06 10:52 <DIR> d-------- C:\Documents and Settings\All Users\Datos de programa\SUPERAntiSpyware.com
2008-02-06 10:52 . 2008-02-06 11:30 <DIR> d-------- C:\Archivos de programa\SUPERAntiSpyware
2008-02-06 10:51 . 2008-02-06 10:51 <DIR> d-------- C:\Archivos de programa\Archivos comunes\Wise Installation Wizard
2008-02-06 10:48 . 2004-08-20 13:00 402,944 --a------ C:\kmd.exe
2008-02-05 15:04 . 2008-02-05 15:04 <DIR> d-------- C:\Archivos de programa\Trend Micro
2008-02-05 14:04 . 2008-02-05 14:04 <DIR> d-------- C:\Documents and Settings\Administrador\Datos de programa\AdobeUM
2008-02-05 13:58 . 2005-06-04 21:03 <DIR> d--h----- C:\Documents and Settings\Administrador\Reciente
2008-02-05 13:58 . 2005-06-04 20:16 <DIR> d--h----- C:\Documents and Settings\Administrador\Plantillas
2008-02-05 13:58 . 2005-06-04 21:03 <DIR> d-------- C:\Documents and Settings\Administrador\Mis documentos
2008-02-05 13:58 . 2005-06-04 21:03 <DIR> dr------- C:\Documents and Settings\Administrador\Men£ Inicio
2008-02-05 13:58 . 2005-06-04 21:03 <DIR> d--h----- C:\Documents and Settings\Administrador\Impresoras
2008-02-05 13:58 . 2005-06-04 21:03 <DIR> d-------- C:\Documents and Settings\Administrador\Favoritos
2008-02-05 13:58 . 2005-06-04 21:03 <DIR> d-------- C:\Documents and Settings\Administrador\Escritorio
2008-02-05 13:58 . 2005-06-04 21:03 <DIR> d--h----- C:\Documents and Settings\Administrador\Entorno de red
2008-02-05 13:58 . 2008-02-05 14:04 <DIR> dr-h----- C:\Documents and Settings\Administrador\Datos de programa
2008-02-05 13:58 . 2008-02-05 13:58 <DIR> d--h----- C:\Documents and Settings\Administrador\Configuraci¢n local
2008-02-05 13:45 . 2007-06-05 10:56 44,928 --a------ C:\WINDOWS\system32\drivers\SDTHOOK.SYS
2008-02-05 13:41 . 2007-06-08 09:44 8,576 --a------ C:\WINDOWS\system32\drivers\vvvfahhvalya.sys
2008-02-05 13:28 . 2008-02-05 13:40 <DIR> d-------- C:\WINDOWS\system32\ActiveScan
2008-02-05 13:28 . 2008-02-05 13:28 30,590 --a------ C:\WINDOWS\system32\pavas.ico
2008-02-05 13:28 . 2008-02-05 13:28 2,550 --a------ C:\WINDOWS\system32\Uninstall.ico
2008-02-05 13:28 . 2008-02-05 13:28 1,406 --a------ C:\WINDOWS\system32\Help.ico
2008-02-05 12:52 . 2008-02-05 12:52 38,400 --a------ C:\WINDOWS\system32\ssqropn.V10dll
2008-02-05 12:52 . 2008-02-05 12:52 38,400 --a------ C:\WINDOWS\system32\ssqropn.V09dll
2008-02-05 12:23 . 2008-02-05 12:23 38,400 --a------ C:\WINDOWS\system32\ssqropn.V08dll
2008-02-05 12:22 . 2008-02-05 12:22 38,400 --a------ C:\WINDOWS\system32\ssqropn.V07dll
2008-02-05 12:22 . 2008-02-05 12:22 38,400 --a------ C:\WINDOWS\system32\ssqropn.V06dll
2008-02-05 12:22 . 2008-02-05 12:22 38,400 --a------ C:\WINDOWS\system32\ssqropn.V05dll
2008-02-05 12:22 . 2008-02-05 12:22 38,400 --a------ C:\WINDOWS\system32\ssqropn.V04dll
2008-02-05 11:49 . 2008-02-05 11:49 38,400 --a------ C:\WINDOWS\system32\ssqropn.V03dll
2008-02-04 08:37 . 2008-02-04 08:37 38,400 --a------ C:\WINDOWS\system32\ssqropn.V02dll
2008-01-31 10:41 . 2008-01-31 10:41 38,400 --a------ C:\WINDOWS\system32\ssqropn.V01dll
2008-01-30 09:59 . 2008-01-30 09:59 38,400 --a------ C:\WINDOWS\system32\ssqropn.V00dll
2008-01-28 15:51 . 2008-01-28 15:51 38,400 --a------ C:\WINDOWS\system32\ssqropn.Vdll
2008-01-22 17:16 . 2008-01-22 17:22 32,764 --a------ C:\WINDOWS\17PHolmes572.exe

.
(((((((((((((((((((((((((((((((((((((( Reporte Find3M )))))))))))))))))))))))))))))))))))))))))))))))))) )
.
2008-01-22 16:15 --------- d-----w C:\Archivos de programa\ESET
2008-01-04 10:03 --------- d-----w C:\Archivos de programa\MSECache
.

((((((((((((((((((((((((((((((((( Cargando Puntos Reg ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Nota* entradas vac¡as & entradas leg¡timas predeterminadas no son mostradas

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\Run]
"MsnMsgr"="C:\Archivos de programa\MSN Messenger\MsnMsgr.exe" [2007-01-19 12:55 5674352]
"SUPERAntiSpyware"="C:\Archivos de programa\SUPERAntiSpyware\SUPERAntiSpyware.exe" [2007-06-21 14:06 1318912]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run]
"Adobe Photo Downloader"="C:\Archivos de programa\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe" [2005-07-14 15:09 57344]
"nod32kui"="C:\Archivos de programa\Eset\nod32kui.exe" [2007-01-22 10:53 921600]
"Acrobat Assistant 7.0"="C:\Archivos de programa\Adobe\Acrobat 7.0\Distillr\Acrotray.exe" [2004-12-14 02:12 483328]
"AudioDeck"="C:\Archivos de programa\VIA\VIAudioi\SBADeck\ADeck.exe" [2006-11-02 16:57 528384]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\Cur rentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-20 13:00 15360]

[hkey_local_machine\software\microsoft\windows\curr entversion\explorer\shellexecutehooks]
"{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA}"= C:\Archivos de programa\SUPERAntiSpyware\SASSEH.DLL [2006-12-20 13:55 77824]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\!SASWinLogon]
C:\Archivos de programa\SUPERAntiSpyware\SASWINLO.dll 2007-04-19 13:41 294912 C:\Archivos de programa\SUPERAntiSpyware\SASWINLO.dll

S2 escSrv;Cargador del Terminal;C:\WINDOWS\system32\escsrv.exe []
S3 EverestDriver;Lavalys EVEREST Kernel Driver;C:\Archivos de programa\Lavalys\EVEREST Home Edition\kerneld.wnt [2005-08-18 00:00]

.
************************************************** ************************

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-02-06 11:37:01
Windows 5.1.2600 Service Pack 2 NTFS

escaneando procesos ocultos ...

escaneando entradas ocultas de autostart ...

escaneando archivos ocultos ...

el escaneo se completo con exito
archivos ocultos: 0

************************************************** ************************
.
--------------------- DLLs cargados bajo los procesos en ejecuci¢n ---------------------

PROCESS: C:\WINDOWS\system32\lsass.exe [5.01.2600.2180]
-> C:\Archivos de programa\Eset\pr_imon.dll
.
------------------------ Other Running Processes ------------------------
.
C:\Archivos de programa\Eset\nod32krn.exe
C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\acrobat_sl.exe
C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\reader_sl.exe
C:\WINDOWS\system32\wscntfy.exe
.
************************************************** ************************
.
Tiempo completado: 2008-02-06 11:38:37 - machine was rebooted [usuario8]
ComboFix-quarantined-files.txt 2008-02-06 10:38:34

En cuanto al programa Combofix, debería desinstalarlo ahora que los problemas que tenía mi ordenador se han solucionado?

Muchas gracias de nuevo, estais haciendo aquí una labor extraordinaria.