Versión InglésVersión en francésVersión en españolRegistrese, es gratis ! (contraseña olvidada)
- Viernes 10 octubre 2008 - 20:27:32
- registrados : 1002342
- conectados : 51400
- preguntas/dia : 4533
- % respuestas : 74.69%
Antivirus gratis para eliminar troyanos y gusanos Avg antivirus eliminar troyano Como eliminar troyano del computador Como eliminar troyano downloader.agent.duj Como eliminar troyano generic 11 Como eliminar troyano srosa.sys Como eliminar troyanos virus en so Como eliminar troyanos y espias de la memoria del pc Como elimino troyano del msn con spybot Como elimino troyanos facilmente Crear autorun eliminar troyano usb Descarga gratis antivirus eliminar troyano Disco arranque eliminar troyano Elimina troyano vundo Eliminar troyano Eliminar troyano injector Eliminar troyano online.game Eliminar troyano onlinegames Eliminar troyano pagina de inicio Eliminar troyano vundo y horse Eliminar troyano win32/adware.virtumonde Eliminar troyanos Quiero eliminar troyano en c/:windows service Trucos para eliminar troyanos downloader - tf Un buen antivirus para eliminar troyanosPlus
Cómo eliminar el troyano Vundo/Virtumonde
Publicado por Carlos-vialfa, última actualización le viernes 10 octubre 2008 à 20:19:36 por Carlos-vialfaEste troyano conocido como Vundo o Virtumonde, o también troyano agente cs se caracteriza por crear uno o varios archivos .dll de nombre aleatorio en la carpeta system32, los cuales son visibles en un reporte hijackthis en las líneas 02 y/ó 020.
Las últimas variantes de este troyano a veces bastante difíciles de eliminar presentan varias particularidades, como la apertura de ventanas publicitarias emergentes o la ausencia de las líneas 02 y 020 en un reporte hijackthis.
Felizmente existen varios métodos para eliminarlos!
Logfile of HijackThis v1.99.1
Scan saved at 13:13:20, on 17/05/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\WINDOWS\System32\FTRTSVC.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Fichiers communs\McAfee\HackerWatch\HWAPI.exe
C:\Program Files\Network Associates\Common Framework\FrameworkService.exe
C:\PROGRA~1\McAfee\MSC\mcmscsvc.exe
c:\program files\fichiers communs\mcafee\mna\mcnasvc.exe
C:\PROGRA~1\McAfee\MSC\mcpromgr.exe
C:\Program Files\Network Associates\VirusScan\Mcshield.exe
C:\Program Files\Network Associates\VirusScan\VsTskMgr.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
C:\Program Files\McAfee\MPF\MPFSrv.exe
C:\Program Files\Pinnacle\MediaServer\Microsoft SQL Server\MSSQL$PINNACLESYS\Binn\sqlservr.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\Program Files\MSN Messenger\usnsvc.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\hijackthis\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://google.dospop.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://yahoo.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Enlaces
R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\Wanadoo\SEARCH~1.DLL
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {2EDB63B7-7432-42B8-B484-B7DE2779F848} - C:\WINDOWS\system32\gebcaxw.dll
O2 - BHO: (no name) - {4C8DB378-7DAD-46A6-AA86-7BD344296187} - C:\WINDOWS\system32\mljgh.dll
O2 - BHO: (no name) - {55DB983C-BDBF-426f-86F0-187B02DDA39B} - C:\WINDOWS\system32\reejepwh.dll
O2 - BHO: EoRezoBHO - {64F56FC1-1272-44CD-BA6E-39723696E350} - (no file)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
O4 - HKLM\..\Run: [RestoreIT!] "C:\Program Files\Phoenix Technologies Ltd\RecoverPro_XP\VBPTASK.EXE" VBStart
O4 - HKLM\..\Run: [High Definition Audio Property Page Shortcut] HDAShCut.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\system32\PSDrvCheck.exe -CheckReg
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe"
O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\Wanadoo\Watch.exe
O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\Wanadoo\GestMaj.exe TaskBarIcon.exe
O4 - HKLM\..\Run: [ShStatEXE] "C:\Program Files\Network Associates\VirusScan\SHSTAT.EXE" /STANDALONE
O4 - HKLM\..\Run: [McAfeeUpdaterUI] "C:\Program Files\Network Associates\Common Framework\UpdaterUI.exe" /StartedFromRunKey
O4 - HKLM\..\Run: [Network Associates Error Reporting Service] "C:\Program Files\Fichiers communs\Network Associates\TalkBack\TBMon.exe"
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKLM\..\Run: [WindowsUpdate] rundll32.exe "C:\WINDOWS\system32\kfoefyyx.dll",realset
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [WOOKIT] C:\PROGRA~1\Wanadoo\GestMaj.exe GestionnaireInternet.exe
O4 - HKCU\..\Run: [updateMgr] C:\Program Files\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe AcRdB7_0_9
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe
O4 - Global Startup: Lanzamiento rapido de Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000
O9 - Extra button: Messenger - -{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - -{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {05CA9FB0-3E3E-4B36-BF41-0E3A5CAA8CD8} (Office Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=67633
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/...
O17 - HKLM\System\CCS\Services\Tcpip\..\{F79A0EAF-8E03-4AF2-AA8C-548940B99FDD}: NameServer = 80.10.246.1 80.10.246.132
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: gebcaxw - C:\WINDOWS\SYSTEM32\gebcaxw.dll
O20 - Winlogon Notify: mljgh - C:\WINDOWS\system32\mljgh.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: McAfee HackerWatch Service - McAfee, Inc. - C:\Program Files\Fichiers communs\McAfee\HackerWatch\HWAPI.exe
O23 - Service: Service Framework McAfee (McAfeeFramework) - Network Associates, Inc. - C:\Program Files\Network Associates\Common Framework\FrameworkService.exe
O23 - Service: McAfee Update Manager (mcmispupdmgr) - McAfee, Inc. - C:\PROGRA~1\McAfee\MSC\mcupdmgr.exe
O23 - Service: McAfee Services (mcmscsvc) - McAfee, Inc. - C:\PROGRA~1\McAfee\MSC\mcmscsvc.exe
O23 - Service: McAfee Network Agent (McNASvc) - McAfee, Inc. - c:\program files\fichiers communs\mcafee\mna\mcnasvc.exe
O23 - Service: McAfee Protection Manager (mcpromgr) - McAfee, Inc. - C:\PROGRA~1\McAfee\MSC\mcpromgr.exe
O23 - Service: Network Associates McShield (McShield) - Network Associates, Inc. - C:\Program Files\Network Associates\VirusScan\Mcshield.exe
O23 - Service: Network Associates Task Manager (McTaskManager) - Network Associates, Inc. - C:\Program Files\Network Associates\VirusScan\VsTskMgr.exe
O23 - Service: McAfee Personal Firewall Service (MpfService) - McAfee, Inc. - C:\Program Files\McAfee\MPF\MPFSrv.exe
Si el reporte no tiene ninguna línea 02 ó 020, puede que la infección esté oculta. Para hacerla visibles, basta con renombrar hijackthis y aparecerán las lineas ausentes.
Descarga hijackthis en el escritorio o en una carpeta creada para este efecto, luego haz clic derecho sobre el icono del software < renombrar < y ponle de nombre CCM.exe por ejemplo, a continuación genera un nuevo reporte, éste será parecido al que aparece líneas arriba.
Descarga Vundofix.exe (de Atribune) en tu escritorio.
O2 - BHO: (no name) - {2EDB63B7-7432-42B8-B484-B7DE2779F848} - C:\WINDOWS\system32\gebcaxw.dll (file missing)
O2 - BHO: (no name) - {4C8DB378-7DAD-46A6-AA86-7BD344296187} - C:\WINDOWS\system32\mljgh.dll (file missing)
Ahota tan solo habrá que volver a ejecutar hjackThis y seleccionar do a scan only en el menú principal. Luego marcaremos las casillas delante de estas líneas, y haremos clic en fix checked para eliminarlas.
Descarga VirtumundoBegone en el escritorio:
Haz Doble clic en VirtumundoBeGone.exe y sigue las instrucciones.
Una vez terminado, reinicia el PC, en el escritorio será creado el reporte VBG.TXT.
(Si un mensaje Pantalla azul "Error fatal" apareciera, no te preocupes porque que es normal). Como en el caso anterior, vuelve a generar un reporte hijackthis, y elimina las líneas infectadas.
Nota: Esta herramienta sólo es eficaz contra las variantes que generan a la vez una línea 02 y una línea 020 con el mismo archivo. Esta eficacia está ligada al modo mismo de funcionamiento de la herramienta y puede verse en el reporte. La herramienta examina todas las claves del registro correspondientes a las líneas 02 de un reporte Hijackthis (clave HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects). Esta se focaliza en las líneas (no name). Para cada una busca la existencia de la clave de registro correspondiente a las líneas 020 que tengan las características buscadas (llave HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify). Si la encuentra, entonces elimina los elementos correspondientes.
Descarga ComboFix (de sUBs) en el Escritorio
En Vista:
Advertencia: En algunos casos, puede que el uso de una sola herramienta no consiga erradicar el troyano Vundo, en ese caso, podemos utilizar dos o incluso las tres para eliminarlo.
Tan solo queda por hacer una pequeña limpieza para eliminar los « basuras » que quedan!
PD: El artículo original fue escrito por green day contribuidor de CommentCaMarche
Las últimas variantes de este troyano a veces bastante difíciles de eliminar presentan varias particularidades, como la apertura de ventanas publicitarias emergentes o la ausencia de las líneas 02 y 020 en un reporte hijackthis.
Felizmente existen varios métodos para eliminarlos!
- ¿Cómo identificar la infección en un informe hijackthis?
- Procedimiento de desinfección:
- Limpieza complementaria
¿Cómo identificar la infección en un informe hijackthis?
- Ejemplo de un reporte hijackthis revelando la presencia de un troyano:
- (La parte en negrita de este reporte)
Logfile of HijackThis v1.99.1
Scan saved at 13:13:20, on 17/05/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\WINDOWS\System32\FTRTSVC.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Fichiers communs\McAfee\HackerWatch\HWAPI.exe
C:\Program Files\Network Associates\Common Framework\FrameworkService.exe
C:\PROGRA~1\McAfee\MSC\mcmscsvc.exe
c:\program files\fichiers communs\mcafee\mna\mcnasvc.exe
C:\PROGRA~1\McAfee\MSC\mcpromgr.exe
C:\Program Files\Network Associates\VirusScan\Mcshield.exe
C:\Program Files\Network Associates\VirusScan\VsTskMgr.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7Debug\mdm.exe
C:\Program Files\McAfee\MPF\MPFSrv.exe
C:\Program Files\Pinnacle\MediaServer\Microsoft SQL Server\MSSQL$PINNACLESYS\Binn\sqlservr.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\Program Files\MSN Messenger\usnsvc.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\hijackthis\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://google.dospop.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://yahoo.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Enlaces
R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\PROGRA~1\Wanadoo\SEARCH~1.DLL
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {2EDB63B7-7432-42B8-B484-B7DE2779F848} - C:\WINDOWS\system32\gebcaxw.dll
O2 - BHO: (no name) - {4C8DB378-7DAD-46A6-AA86-7BD344296187} - C:\WINDOWS\system32\mljgh.dll
O2 - BHO: (no name) - {55DB983C-BDBF-426f-86F0-187B02DDA39B} - C:\WINDOWS\system32\reejepwh.dll
O2 - BHO: EoRezoBHO - {64F56FC1-1272-44CD-BA6E-39723696E350} - (no file)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_01\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll
O4 - HKLM\..\Run: [RestoreIT!] "C:\Program Files\Phoenix Technologies Ltd\RecoverPro_XP\VBPTASK.EXE" VBStart
O4 - HKLM\..\Run: [High Definition Audio Property Page Shortcut] HDAShCut.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\system32\PSDrvCheck.exe -CheckReg
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_01\bin\jusched.exe"
O4 - HKLM\..\Run: [WOOWATCH] C:\PROGRA~1\Wanadoo\Watch.exe
O4 - HKLM\..\Run: [WOOTASKBARICON] C:\PROGRA~1\Wanadoo\GestMaj.exe TaskBarIcon.exe
O4 - HKLM\..\Run: [ShStatEXE] "C:\Program Files\Network Associates\VirusScan\SHSTAT.EXE" /STANDALONE
O4 - HKLM\..\Run: [McAfeeUpdaterUI] "C:\Program Files\Network Associates\Common Framework\UpdaterUI.exe" /StartedFromRunKey
O4 - HKLM\..\Run: [Network Associates Error Reporting Service] "C:\Program Files\Fichiers communs\Network Associates\TalkBack\TBMon.exe"
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKLM\..\Run: [WindowsUpdate] rundll32.exe "C:\WINDOWS\system32\kfoefyyx.dll",realset
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [WOOKIT] C:\PROGRA~1\Wanadoo\GestMaj.exe GestionnaireInternet.exe
O4 - HKCU\..\Run: [updateMgr] C:\Program Files\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe AcRdB7_0_9
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe
O4 - Global Startup: Lanzamiento rapido de Adobe Reader.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000
O9 - Extra button: Messenger - -{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - -{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {05CA9FB0-3E3E-4B36-BF41-0E3A5CAA8CD8} (Office Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=67633
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/...
O17 - HKLM\System\CCS\Services\Tcpip\..\{F79A0EAF-8E03-4AF2-AA8C-548940B99FDD}: NameServer = 80.10.246.1 80.10.246.132
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: gebcaxw - C:\WINDOWS\SYSTEM32\gebcaxw.dll
O20 - Winlogon Notify: mljgh - C:\WINDOWS\system32\mljgh.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: McAfee HackerWatch Service - McAfee, Inc. - C:\Program Files\Fichiers communs\McAfee\HackerWatch\HWAPI.exe
O23 - Service: Service Framework McAfee (McAfeeFramework) - Network Associates, Inc. - C:\Program Files\Network Associates\Common Framework\FrameworkService.exe
O23 - Service: McAfee Update Manager (mcmispupdmgr) - McAfee, Inc. - C:\PROGRA~1\McAfee\MSC\mcupdmgr.exe
O23 - Service: McAfee Services (mcmscsvc) - McAfee, Inc. - C:\PROGRA~1\McAfee\MSC\mcmscsvc.exe
O23 - Service: McAfee Network Agent (McNASvc) - McAfee, Inc. - c:\program files\fichiers communs\mcafee\mna\mcnasvc.exe
O23 - Service: McAfee Protection Manager (mcpromgr) - McAfee, Inc. - C:\PROGRA~1\McAfee\MSC\mcpromgr.exe
O23 - Service: Network Associates McShield (McShield) - Network Associates, Inc. - C:\Program Files\Network Associates\VirusScan\Mcshield.exe
O23 - Service: Network Associates Task Manager (McTaskManager) - Network Associates, Inc. - C:\Program Files\Network Associates\VirusScan\VsTskMgr.exe
O23 - Service: McAfee Personal Firewall Service (MpfService) - McAfee, Inc. - C:\Program Files\McAfee\MPF\MPFSrv.exe
Si el reporte no tiene ninguna línea 02 ó 020, puede que la infección esté oculta. Para hacerla visibles, basta con renombrar hijackthis y aparecerán las lineas ausentes.
Descarga hijackthis en el escritorio o en una carpeta creada para este efecto, luego haz clic derecho sobre el icono del software < renombrar < y ponle de nombre CCM.exe por ejemplo, a continuación genera un nuevo reporte, éste será parecido al que aparece líneas arriba.
Procedimiento de desinfección:
1er método: Utilizando Vundofix
Descarga Vundofix.exe (de Atribune) en tu escritorio.
- Haz doble clic en VundoFix.exe para ejecutarlo.
- Haz clic en el botón Scan for Vundo.
- Cuando el scan haya terminado, haz clic en el botón fix Vundo.
- Te preguntarán si deseas eliminar los archivo, haz clic en YES
- Después de haber hecho clic en "YES", el Escritorio desaparecerá un momento mientras se eliminan los archivos.
- Una ventana te pedirá que reinicies el PC ("shutdown"). Haz clic en OK para que reinicie.
- El contenido del reporte está en C:\vundofix.txt, ábrelo y asegúrate de que la mención ¡ Has been deleted! aparece en cada archivo.dll detectado
- Vuelve a generar un reporte hijackthis, y asegúrate de que las líneas 02 ó 020 han sido eliminadas, o que aparezca la mención file missing al lado de las líneas en cuestión, esto significará que la infección ha sido totalmente neutralizada! En nuestro ejemplo, obtendremos:
O2 - BHO: (no name) - {2EDB63B7-7432-42B8-B484-B7DE2779F848} - C:\WINDOWS\system32\gebcaxw.dll (file missing)
O2 - BHO: (no name) - {4C8DB378-7DAD-46A6-AA86-7BD344296187} - C:\WINDOWS\system32\mljgh.dll (file missing)
Ahota tan solo habrá que volver a ejecutar hjackThis y seleccionar do a scan only en el menú principal. Luego marcaremos las casillas delante de estas líneas, y haremos clic en fix checked para eliminarlas.
2do método: Utilizando VirtumundoBegone
Descarga VirtumundoBegone en el escritorio:
Haz Doble clic en VirtumundoBeGone.exe y sigue las instrucciones.
Una vez terminado, reinicia el PC, en el escritorio será creado el reporte VBG.TXT.
(Si un mensaje Pantalla azul "Error fatal" apareciera, no te preocupes porque que es normal). Como en el caso anterior, vuelve a generar un reporte hijackthis, y elimina las líneas infectadas.
Nota: Esta herramienta sólo es eficaz contra las variantes que generan a la vez una línea 02 y una línea 020 con el mismo archivo. Esta eficacia está ligada al modo mismo de funcionamiento de la herramienta y puede verse en el reporte. La herramienta examina todas las claves del registro correspondientes a las líneas 02 de un reporte Hijackthis (clave HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects). Esta se focaliza en las líneas (no name). Para cada una busca la existencia de la clave de registro correspondiente a las líneas 020 que tengan las características buscadas (llave HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify). Si la encuentra, entonces elimina los elementos correspondientes.
3er método: Utilizando Combofix
Descarga ComboFix (de sUBs) en el Escritorio
- Inicia en modo seguro
- Haz doble clic en combofix.exe.
- Presiona la tecla Y (Yes) para iniciar el scan
- El reporte será creado en: C:\Combofix.txt
- Vuelve a generar un reporte hijackhthis, y elimina las líneas correspondientes como se indico anteriormente.
En Vista:
- Desactiva el control de las cuentas de usuario (reactivarlo al final de la desinfección):
- Ve a Inicio, luego Panel de control
- Haz doble clic en el icono Cuentas de usuarios
- Luego haz clic en desactivar y aceptar.
- Inicia en modo seguro
- Haz clic derecho sobre combofix en el escritorio y selecciona Ejecutar como administrador
- Haz doble clic en combofix.exe.
- Presiona la tecla Y (Yes) para iniciar el scan
- El reporte será creado en: C:\Combofix.txt
Advertencia: En algunos casos, puede que el uso de una sola herramienta no consiga erradicar el troyano Vundo, en ese caso, podemos utilizar dos o incluso las tres para eliminarlo.
Limpieza complementaria
Tan solo queda por hacer una pequeña limpieza para eliminar los « basuras » que quedan!
PD: El artículo original fue escrito por green day contribuidor de CommentCaMarche
Eliminar al troyano Vundo/VirtumondeEste troyano denominado Vundo o Virtumonde, o incluso troyano agente cs se caracteriza por la presencia de uno o varios archivos.dll de nombre aleatorio, se ubican en los archivos system32 y son visibles en los informes hijackthis a nivel de las...
es.kioskea.net/faq/sujet-306-eliminar-al-troyano-vundo-virtumonde
URGENTE COMO ELIMINAR TROYANOHola, Por favor, agradecerá la ayuda de como puedo eliminar el siguiente problema: tengo en mi PC el Nod32, pero no me elinimo el sig. codigo malicioso: win32/PSW.OnLineGames.NMY por favor, ya sea con dejar correr un programa o en forma manual, si...
es.kioskea.net/forum/affich-20661-urgente-como-eliminar-troyano
[Spybot] Eliminar un programa espia (spywares)¿Crees que hay un "programa espia" (spyware) en tu PC?
El programa Spybot
Cómo utilizarlo
Actualización
Eliminación de spywares
Los programas durante el arranque
Ad-Aware
A-squared Free
Ver también
Prudencia
Enlaces
El programa...
es.kioskea.net/faq/sujet-152-spybot-eliminar-un-programa-espia-spywares
Detectar infecciones y desinfectarlas con The CleanerThe Cleaner es un software especializado en la lucha contra los programas maliciosos. Permite detectarlos y eliminarlos.
Es de gran utilidad contra:
Los troyanos
Gusanos
BackDoor
Ad-Aware
AdTool.Win32.MyWeb search
Hoax
Email...
es.kioskea.net/faq/sujet-273-detectar-infecciones-y-desinfectarlas-con-the-cleaner
[Spywares] MagicControl e Instant AccessMagicControl es un troyano peligroso y difícil de eliminar.
Si estás infectado con MagicControl es posible que este troyano haya descargado otros malwares, especialmente el dialer Instant Access.
1er Método: utilizando anti-spywares
2do...
es.kioskea.net/faq/sujet-1365-spywares-magiccontrol-e-instant-access
COMO ELIMINAR TROYANOHola, soy nuevo aqui, tengo un problema con un virus que no puedo limpiar de mi pc, eh probado varios antivirus online y tengo el nod32, no encuentro solucion y no quiero formatear. agredesria su ayuda. paso la ubicacion y el nombre del maldito bicho...
es.kioskea.net/forum/affich-100-como-eliminar-troyano
Como eliminar adware.virtumondeHola, deseo saber como eliminar el win32.adware. virtumonde. el nod32 lo reconoce y no lo puede borrar. SE EJECUTA A LA MEMORIA OPERATIVA y el archivo infectado es FCCABSDL.DLL Muchas GRACIAS
es.kioskea.net/forum/affich-4877-como-eliminar-adware-virtumonde
Virus (Troyano) Win32/PSW.Delf.ABX.Por favor quiero saber como eliminar este virus de mi pendrive ya que el NOD32 no lo puede eliminar, el virus tiene como nombre (Troyano) Win32/PSW.Delf.ABX. Por favor se me ha sido imposible de eliminar, ayudenme!!!
es.kioskea.net/forum/affich-7061-virus-troyano-win32-psw-delf-abx
Descargar Ad-aware 2007 freeEste programa te detecta y elimina spywares, dialers, troyanos, parásitos etc de tu PC de forma rápida y segura.
Además la nueva versión de Ad-Aware le permite elegir los módulos a eliminar, guardar los ficheros del registro, y personalizar el menú...
es.kioskea.net/telecharger/telecharger-25-ad-aware-2007-free
Descargar Malwarebytes Anti-MalwareEste software nos ayuda en la detección y eliminación de toda clase de virus, como: troyanos, gusanos, spyware…
Realiza dos tipos de exámenes (scaneo): rápido, en busca de tipos de malware más comunes y el completo que examinará todos los discos...
es.kioskea.net/telecharger/telecharger-205-malwarebytes-anti-malware
Descargar Dr Web CureIt !Es un programa gratuito que analiza y elimina virus y espías.Tambien detecta y elimina todo tipo de Troyanos, Virus, Gusanos, Virus polimorfos, Rootkits, Espías, Macro Virus, Script virus, Adware o publicidad no deseada, Dialers de pago, Password...
es.kioskea.net/telecharger/telecharger-255-dr-web-cureit
Virus - Troyanos Un Troyano es un programa de informática que produce operaciones malintencionadas sin el conocimiento del usuario. El nombre "Troyano" proviene de una leyenda contada por los griegos en la Ilíada (escrita por Homero) sobre el bloqueo de la ciudad de...
es.kioskea.net/virus/trojan.php3
Todas las respuestas a « Cómo eliminar el troyano Vundo/Virtumonde »