SE ME CIERRA EL EXPORARDOR, ME CAMBIA LA CONFIGURACION DE INTERNET ETC

Responder
pattyi
Novato
Novato
Mensajes: 12
Registrado: 21 Abr 2017, 13:48

Re: SE ME CIERRA EL EXPORARDOR, ME CAMBIA LA CONFIGURACION DE INTERNET ETC

Mensaje por pattyi » 03 May 2017, 18:03

hola de nuevo,



bueno os cuento que hoy me ha vuelto a pasar la misma, salto una alarma del avast de riesgo, cuando vine al ordenador ya se había cerrado chrome y firefox y al abrirlo pues lo de siempre se habia cambiado toda la configuración, como pagina de inicio hoy estaba www.luckystarting.com/?type=sp

por supuesto todo desconfigurado, he pasado todo lo que tengo y el avast al arrancar a encontrado en system32 etc un archivo updater_20170427_nwwmm(1).exe y ponia que estaba infectado por win32:adware-g en (Adw)



luego mirando en archivos de programa he visto que hay varias carpetas que se han creado cuando habido el ataque, una que se llama MIO y dentro hay dos archivos mio.exe y otra carpeta que se llama loader y una imagen de disco dentro.

por otro lado otra carpeta ISS dentro otra carpeta, microsoft web deploy V3 con dos dll dentro

y otra dayglad que si la abres hay chrome.exe y muchas mas carpetas.



Todas se han creado a las 14.37 momento que avast anuncio el ataque.



Tengo instalado de todo y ya no se que mas hacer, si es que tengo algo dentro, o que cada dos por tres me lanzan algo. Pero es desesperante pierdo cantidad de tiempo en restablecer todo lo roto y ataca cada tres o cuatro dias :cry: :cry: :cry:



os copio lo de adwcleaner



# AdwCleaner v6.046 - Archivo de registro creado 03/05/2017 en 16:59:58

# Actualizado en 24/04/2017 por Malwarebytes

# Base de datos : 2017-05-02.1 [Servidor]

# Sistema Operativo : Windows 10 Home (X64)

# Nombre de usuario : usuario - DESKTOP-FUF1T18

# Ejecutado desde : C:\Users\usuario\Downloads\adwcleaner_6.046.exe

# Modo: Limpiar

# Soporte : https://www.malwarebytes.com/support







***** [ Servicios ] *****



[-] Servicio eliminado: FirefoxU

[-] Servicio eliminado: WinSAPSvc

[-] Servicio eliminado: Kitty





***** [ Carpetas ] *****



[-] Carpeta eliminada: C:\Users\usuario\AppData\Roaming\WinSAPSvc

[-] Carpeta eliminada: C:\Program Files (x86)\Firefox

[-] Carpeta eliminada: C:\Users\usuario\AppData\Roaming\Firefox

[-] Carpeta eliminada: C:\Users\usuario\AppData\Local\Firefox

[-] Carpeta eliminada: C:\Users\usuario\AppData\Local\Kitty





***** [ Archivos ] *****



[-] Archivo eliminado: C:\Users\Public\Documents\temp.dat

[-] Archivo eliminado: C:\Users\Public\Documents\report.dat





***** [ DLL ] *****







***** [ WMI ] *****







***** [ Accesos directos ] *****







***** [ Tareas programadas ] *****



[-] Tarea eliminada: Milimili

[-] Tarea eliminada: Windows-PG





***** [ Registro ] *****



[-] Llave eliminada: HKLM\SOFTWARE\ScreenShot

[-] Llave eliminada: [x64] HKLM\SOFTWARE\InterSect Alliance

[-] Valor borrado: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost [WinSAPSvc]

[-] Llave eliminada: HKCU\SOFTWARE\Classes\ChromeHTML

[-] Llave eliminada: HKCU\SOFTWARE\Clients\StartMenuInternet\ChromeHTML

[-] Valor borrado: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost [Kitty]





***** [ Navegadores ] *****







*************************



:: Llaves "Tracing" eliminadas

:: Se han borrado los ajustes de Winsock



*************************



C:\AdwCleaner\AdwCleaner[C0].txt - [2300 Bytes] - [21/04/2017 17:38:27]

C:\AdwCleaner\AdwCleaner[C2].txt - [1970 Bytes] - [27/04/2017 18:21:08]

C:\AdwCleaner\AdwCleaner[C3].txt - [1982 Bytes] - [03/05/2017 16:59:58]

C:\AdwCleaner\AdwCleaner[S0].txt - [2352 Bytes] - [21/04/2017 17:37:53]

C:\AdwCleaner\AdwCleaner[S1].txt - [2035 Bytes] - [27/04/2017 18:17:02]

C:\AdwCleaner\AdwCleaner[S2].txt - [2416 Bytes] - [03/05/2017 16:57:00]



########## EOF - C:\AdwCleaner\AdwCleaner[C3].txt - [2274 Bytes] ##########

Avatar de Usuario
msc hotline sat
Administrador
Administrador
Mensajes: 89175
Registrado: 09 Mar 2004, 20:39
Ubicación: BARCELONA (ESPAÑA)
Contactar:

Re: SE ME CIERRA EL EXPORARDOR, ME CAMBIA LA CONFIGURACION DE INTERNET ETC

Mensaje por msc hotline sat » 04 May 2017, 08:00

Pues envianos todo lo que hay en esta carpeta MIO, tanto el Mio.exe como esto otro que dices hay en LOADER conuna imagen de disco dentro, que puede ser otro fichero con un icono de carpeta para despistar...



Lo examinaremos a ver lo que son, ya que es probable que sean la causa de dichos problemas.



Saludos



ms, 4-5-2017

pattyi
Novato
Novato
Mensajes: 12
Registrado: 21 Abr 2017, 13:48

Re: SE ME CIERRA EL EXPORARDOR, ME CAMBIA LA CONFIGURACION DE INTERNET ETC

Mensaje por pattyi » 04 May 2017, 11:03

Ok ahora os envío las dos carpetas, me dices donde y como os lo envío?



edito que he mirado el post de como enviarlo y no veo nada que ponga envio de muestras perdonar mi ignorancia :?

pattyi
Novato
Novato
Mensajes: 12
Registrado: 21 Abr 2017, 13:48

Re: SE ME CIERRA EL EXPORARDOR, ME CAMBIA LA CONFIGURACION DE INTERNET ETC

Mensaje por pattyi » 04 May 2017, 16:57

Si si ese post le vi pero no veo el botón de envío de muestras, bueno os les mando por email

Avatar de Usuario
msc hotline sat
Administrador
Administrador
Mensajes: 89175
Registrado: 09 Mar 2004, 20:39
Ubicación: BARCELONA (ESPAÑA)
Contactar:

Re: SE ME CIERRA EL EXPORARDOR, ME CAMBIA LA CONFIGURACION DE INTERNET ETC

Mensaje por msc hotline sat » 04 May 2017, 21:12

Pues si lo has enviado por mail, lo encontraremos mañana por la mañana, y pasaremos a analizarlo.



Acto seguido te informaremos del resultado, como respuesta a este Tema



saludos



ms, 4-5-2017

Avatar de Usuario
msc hotline sat
Administrador
Administrador
Mensajes: 89175
Registrado: 09 Mar 2004, 20:39
Ubicación: BARCELONA (ESPAÑA)
Contactar:

Re: SE ME CIERRA EL EXPORARDOR, ME CAMBIA LA CONFIGURACION DE INTERNET ETC

Mensaje por msc hotline sat » 05 May 2017, 09:49

Pues recibidos los ficheros de la carpeta IIS, resulta que como se ve, corresponde a la carpeta de Microsoft Internet Information Server, que no es propio de un terminal con windows10, y de los dos ficheros que incluye, uno es un .pak que no es operativo y ningun AV detecta rutina viricas, y el otro que es una DLL, en el que sí que hay detecciones de virustotal:



SHA256:

abd83b988e8fa12c82161142b6f823c6f9dec8ae44133b83e5e7ff07af224231

Nombre:

msdeploy.resources.dll

Detecciones:

9 / 62

Fecha de análisis:

2017-05-05 07:36:01 UTC ( hace 1 minuto )



cuyo informe completo puede verse em:



https://www.virustotal.com/es/file/abd83b988e8fa12c82161142b6f823c6f9dec8ae44133b83e5e7ff07af224231/analysis/1493969761/



Como que no conocemos la utilidad de dicho fichero, para no hacer nada que pudiera afectar al comportamiento del equipo, sugerimos que añada .VIR a dicho fichero, para que tras reiniciar ya no sea utilizado, a ver si asi no incordia y se solucionan las anomalias



Esperamos que tras ello, nos comente el reultado, gracias.





saludos



ms, 5-5-2017

pattyi
Novato
Novato
Mensajes: 12
Registrado: 21 Abr 2017, 13:48

Re: SE ME CIERRA EL EXPORARDOR, ME CAMBIA LA CONFIGURACION DE INTERNET ETC

Mensaje por pattyi » 08 May 2017, 10:34

Creo que se no se envió o se ha borrado el ultimo mensaje que os mande. Tampoco veo el mensaje que puso uno de los chico que me decía que pasase el ccleaner y el sophos y algo mas.



os decía que el viernes había vuelto a tener un nuevo ataque, y pille las carpetas que os comentaba anteriormente. Os las mando como adjuntos al foro que creo que encontré la opción. Una de las carpetas instaladas he tenido que dividirlo en tres partes porque superaba los 2mg máximo para enviaros archivos. Comentar, que tras el ataque se me puso un acceso directo en el escritorio de un juego.
Adjuntos
mues.zip
(104.34 KiB) Descargado 9 veces
terceraparte.zip
(1.73 MiB) Descargado 9 veces
segundaparte.zip
(1.64 MiB) Descargado 10 veces
primeraparte.zip
(1.33 MiB) Descargado 8 veces

Avatar de Usuario
msc hotline sat
Administrador
Administrador
Mensajes: 89175
Registrado: 09 Mar 2004, 20:39
Ubicación: BARCELONA (ESPAÑA)
Contactar:

Re: SE ME CIERRA EL EXPORARDOR, ME CAMBIA LA CONFIGURACION DE INTERNET ETC

Mensaje por msc hotline sat » 08 May 2017, 13:11

Extraidos los ejecutables de los ZIP , se envian a monitorización y se informará del resultado



saludos



ms, 8-5-2017

Avatar de Usuario
msc hotline sat
Administrador
Administrador
Mensajes: 89175
Registrado: 09 Mar 2004, 20:39
Ubicación: BARCELONA (ESPAÑA)
Contactar:

Re: SE ME CIERRA EL EXPORARDOR, ME CAMBIA LA CONFIGURACION DE INTERNET ETC

Mensaje por msc hotline sat » 08 May 2017, 15:37

Pues en tres de los ejecutables se han encontrado rutinas de adware ELEX, y los pasamos a controlar a partir del ELISTARA 36.78 de hoy



Se adjuntan informes de virustotal de los mismos:



https://www.virustotal.com/es/file/d96488ab31d74b1151aed074031cfd41d77e3df3713533239075e508a194d2a8/analysis/1494243495/



https://www.virustotal.com/es/file/20ee74067760dd2799b699cd08109742d4d6a4ec206f80e4dfcd87ab2e9ce81a/analysis/1494248795/



https://www.virustotal.com/es/file/472a95792c4e86ec48e1a1872c111221f78c9b437feb456fafc193667d4a4dfd/analysis/1494243504/





saludos



ms, 8-5-2017

pattyi
Novato
Novato
Mensajes: 12
Registrado: 21 Abr 2017, 13:48

Re: SE ME CIERRA EL EXPORARDOR, ME CAMBIA LA CONFIGURACION DE INTERNET ETC

Mensaje por pattyi » 10 May 2017, 13:00

Bueno pues sea lo que sea no consigo eliminarlo. ayer volvió otra vez atacar y de nuevo desconfiguro todo, volví a descargar el elistara como me dijiste y decía que no encontraba nada. Pero sin embargo el adware detecto varios archivos infectados.

pero los elimina y por alguna extraña razon cada dos días vuelve a saltar, debo tener algo por ahi y no damos con ello.



Lo único que vi sospechoso es algo instalado que se llamaba alphago y no dejaba desinstalar, así que lo hicimos a capón, nos metimos en el regedit y eliminamos todas las entradas que vimos.

Avatar de Usuario
msc hotline sat
Administrador
Administrador
Mensajes: 89175
Registrado: 09 Mar 2004, 20:39
Ubicación: BARCELONA (ESPAÑA)
Contactar:

Re: SE ME CIERRA EL EXPORARDOR, ME CAMBIA LA CONFIGURACION DE INTERNET ETC

Mensaje por msc hotline sat » 10 May 2017, 15:06

Pues ya que dices "Pero sin embargo el adware detecto varios archivos infectados.", mira de pasar dicha utilidad que usas pero, para asegurarse que no esté en uso, pues podría ser que por ello lo detectara pero no pudiera eliminarlo, o volviera a ingresarlo tras elimnar el fichero, pero no totalmente...

Y si persiste el problema, dinos los nombres de los ficheros que te detecta infectados, a ver si con ello podemos saber lo que te incordia !

Y si con lo indicado se soluciona, dínoslo tambien, gracias !

Saludos

ms, 10-5-2017

pattyi
Novato
Novato
Mensajes: 12
Registrado: 21 Abr 2017, 13:48

Re: SE ME CIERRA EL EXPORARDOR, ME CAMBIA LA CONFIGURACION DE INTERNET ETC

Mensaje por pattyi » 12 May 2017, 13:11

Buenos días de nuevo.



Nada la cosa sigue igual, cada día o como mucho cada dos días sobre las 13 a las 15 hay un nuevo ataque que opera de la misma manera, pero ni mi antivirus ni nada lo frena. Que desesperación.



Quería comentaros, el otro día en los programas instalados veo uno que pone AlphaGo , no deja desinstalarle de la manera habitual, y por medio de regedit borramos todas las entradas, se elimino de la lista pero hoy vuelve a estar.



Por cierto en el ataque de ayer vi que mi antivirus que es el avast se había cerrado solo, imagino que es una acción del ataque.



En el baúl de avast hay un montón de archivos, pero no se como sacar el listado de todo lo que detecto para enviároslo.



saludos,

Avatar de Usuario
msc hotline sat
Administrador
Administrador
Mensajes: 89175
Registrado: 09 Mar 2004, 20:39
Ubicación: BARCELONA (ESPAÑA)
Contactar:

Re: SE ME CIERRA EL EXPORARDOR, ME CAMBIA LA CONFIGURACION DE INTERNET ETC

Mensaje por msc hotline sat » 12 May 2017, 14:50

Desconocemos esta aplicación AlphaGo, y no podemos ayudarle al respecto.



Vea la información al respecto que hemos podido obtener:



https://www.theguardian.com/technology/2017/apr/10/deepminds-alphago-to-take-on-five-human-players-at-once



Posiblemente se trata de un ataque remoto desde alguna botnet que a determinada hora lanza diariamente dicho ataque.





Sugiero que miren si desconectando internet desde las 13 hasta las 15 no se reproduce dicho AlphaGo ni se desinstala su antivirus.



Si asi lo evitan, se puede mirar si instalando un cortafuegos por hardware se puede controlar.



Es cuanto podemos decirle por ahora.





saludos



ms, 12-5-2017

pattyi
Novato
Novato
Mensajes: 12
Registrado: 21 Abr 2017, 13:48

Re: SE ME CIERRA EL EXPORARDOR, ME CAMBIA LA CONFIGURACION DE INTERNET ETC

Mensaje por pattyi » 17 May 2017, 10:58

Hola de nuevo, desgraciadamente todo sigue igual. Ayer un nuevo ataque y paso al ADWcleaner y siempre siempre tanto en modo seguro como normal detecta un montón de ficheros maliciosos, le doy a limpiar y si lo vuelvo a pasar detecta nuevas cosas. También he pasado el ZHPCLEANER y detecta otros diferentes. Os copio los resultados de los dos.



por otro lado me gustaría me dijeseis a parte del antivirus que tengo el avast y que por cierto no me esta resultando nada bueno (me quedan 10 meses de licencia) si seria bueno tener algún otro programa protegiendo a tiempo real.

# AdwCleaner v6.046 - Archivo de registro creado 16/05/2017 en 19:35:30

# Actualizado en 24/04/2017 por Malwarebytes

# Base de datos : 2017-05-10.1 [Local]

# Sistema Operativo : Windows 10 Home (X64)

# Nombre de usuario : usuario - DESKTOP-FUF1T18

# Ejecutado desde : C:\Users\usuario\Downloads\adwcleaner_6.046.exe

# Modo: Limpiar

# Soporte : https://www.malwarebytes.com/support







***** [ Servicios ] *****



[-] Servicio eliminado: iSafeKrnlMon

[-] Servicio eliminado: FirefoxU

[-] Servicio eliminado: WinSAPSvc

[-] Servicio eliminado: BIT





***** [ Carpetas ] *****



[-] Carpeta eliminada: C:\Users\usuario\AppData\Roaming\WinSAPSvc

[-] Carpeta eliminada: C:\Program Files (x86)\Firefox

[-] Carpeta eliminada: C:\Users\usuario\AppData\Roaming\Firefox

[-] Carpeta eliminada: C:\Users\usuario\AppData\Local\Firefox

[-] Carpeta eliminada: C:\ProgramData\BIT





***** [ Archivos ] *****



[-] Archivo eliminado: C:\Windows\SysNative\log\iSafeKrnlCall.log

[-] Archivo eliminado: C:\Windows\SysNative\drivers\iSafeKrnlBoot.sys

[-] Archivo eliminado: C:\Windows\SysNative\drivers\iSafeNetFilter.sys

[-] Archivo eliminado: C:\Users\Public\Documents\temp.dat

[-] Archivo eliminado: C:\Users\Public\Documents\report.dat





***** [ DLL ] *****







***** [ WMI ] *****







***** [ Accesos directos ] *****







***** [ Tareas programadas ] *****



[-] Tarea eliminada: Milimili





***** [ Registro ] *****



[#] Llave eliminada al reiniciar: HKLM\SYSTEM\CurrentControlSet\services\isafekrnlmon

[-] Llave eliminada: HKLM\SOFTWARE\ScreenShot

[-] Llave eliminada: [x64] HKLM\SOFTWARE\InterSect Alliance

[-] Valor borrado: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost [WinSAPSvc]

[-] Llave eliminada: HKCU\SOFTWARE\Classes\ChromeHTML

[-] Llave eliminada: HKCU\SOFTWARE\Clients\StartMenuInternet\ChromeHTML

[-] Valor borrado: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost [BIT]





***** [ Navegadores ] *****







*************************



:: Llaves "Tracing" eliminadas

:: Se han borrado los ajustes de Winsock

Avatar de Usuario
msc hotline sat
Administrador
Administrador
Mensajes: 89175
Registrado: 09 Mar 2004, 20:39
Ubicación: BARCELONA (ESPAÑA)
Contactar:

Re: SE ME CIERRA EL EXPORARDOR, ME CAMBIA LA CONFIGURACION DE INTERNET ETC

Mensaje por msc hotline sat » 17 May 2017, 17:13

Nosotros tenemos puesta nuestra confianza en los antivirus de McAfee y Kaspersky, de quienes somos mayoristas oficiales en España, pero sin duda hay otros de muy buenos que se pueden ver en los informes de virustotal, detectando nuevas variantes víricas diariamente, pero visto que no solo usas el AVAST, sino tambien otras "hierbas" y que hasta ahora no te han solucionado el problema, pensamos que igual no es problema de virus, sino de degradación del sistema operativo, o falta de algun complemento, por lo que vamos a ver si se soluciona algo lanzando un SFC /SCANNOW desde una sesión del DOS (que puedes abrir lanzando el CMD)



A ver si te restaura o repone algun fichero de sistema dañado o borrado, y asi se soluciona el problema.



saludos



ms, 17-5-2017

Responder

Volver a “Foro Virus - Cuentanos tu problema”

¿Quién está conectado?

Usuarios navegando por este Foro: No hay usuarios registrados visitando el Foro y 3 invitados