Problema EXTRAÑO, explorer.exe 100% USO de CPU, Firefox.exe

bLaSt · Mensaje por **bLaSt** » 05 Jun 2007, 11:58

Hola a todos.

Desde hace algunos dias instalé Opera y me acabo gustando y decidí desinstalar Firefox, pero no me dejaba desinstalarlo porque me deciá que debía cerrar Firefox (estaba cerrado), abrí el administrador de tareas y noté que habia un proceso Firefox.exe le dí a Terminar Proceso pero 1 segundo despues se abría automaticamente y no me dejaba desistalarlo.

Reinicie Windows y entre en modo seguro, y pude desinstalar el Firefox correctamente. Reinicie otra vez y entro Windowsy veo que esta tardando demaciado, abro el administrador de tareas y veo que el proceso explorer.exe (ojo no iexplorer) estaba usando el CPU al 100% .... (de aqui intente varias cosas pero nada funcionó)

Se me ocurriò instalar el Firefox otra vez (estando aun el explorer.exe en 100%) y cuando termina de instalar el Firefox, resulta que el explorer.exe deja de estar en 100% (osea normal) y apareció otra vez el segundo proceso de firefox.exe!!!! :shock:

Despues abrí msconfig para ver el inicio y noté esto: [url]http://img372.imageshack.us/img372/7140/inicioap2.png[/url] y pasé el antivirus (tengo el NOD32) y no detecto nada, se me ocurrio pasar el ELISTARA y me detecto esto:

[code]

	  Tue Jun 05 03:46:17 2007
EliStartPage v14.11  (c)2007 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Acción Directa):
(Valor Run y RunServices "MICROSOFT")
Por favor, envienos una muestra del fichero
C:\WINDOWS\SYSTEM32\window.exe
a "virus@satinfo.es". Gracias.
C:\WINDOWS\ALCMTR.EXE --> Eliminado SpyRealtek
Eliminadas las Paginas de Inicio y de Busqueda del IE
Eliminados Ficheros Temporales del IE

	  Tue Jun 05 03:46:53 2007
EliStartPage v14.11  (c)2007 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\
C:\Archivos de programa\Realtek\InstallShield\ALCMTR.EXE --> Eliminado, SpyRealtek

[/code]

Aun tenia el segundo proceso de firefox.exe, pero como "pensaba" que había eliminado el "virus", volví a modo seguro y desinstalé firefox. Cuandor regresé a windows otra vez, me volvio a pasar lo mismo, Explorer.exe usando 100% del CPU: [url]http://img469.imageshack.us/img469/261/explorer100cpuxe8.jpg[/url], Volví a instalar Firefox e ironicamente me volvio a pasar lo mismo, el explorer.exe deja de estar en 100% y apareció otra vez el segundo proceso de firefox.exe: [url]http://img469.imageshack.us/img469/1470/despuesdeinstalarfffp9.jpg[/url].

Al reiniciar me quedo asi:[url]http://img469.imageshack.us/img469/6488/finalei9.jpg[/url], Noten que no tengo el Firefox abierto pero aun me sale el firefox.exe ese (ademas no me deja cerrarlo ni desinstalarlo)

Disculpen por haber hecho el Post tan largooo. :oops:

Muchas Gracias.

Mensaje por **msc hotline sat** » 05 Jun 2007, 12:07

No damos soporte a FIREFOX ni a OPERA, pero ya que ha pasado el ELISTARA y ha indicado:

Por favor, envienos una muestra del fichero

C:\WINDOWS\SYSTEM32\window.exe

hagalo y la analizaremos:

->~~[b]~~ Para ello recordar[/b]: https://foros.zonavirus.com/viewtopic.php?f=2&t=45334

Y si quiere preguntarnos algo mas y usar nuestras utilidades, hagalo con el Internet Explorer, que es con el que desarrollamos las utilidades al ser el mayoritariamente usado.

saludos

ms, 5-06-2007

bLaSt · Mensaje por **bLaSt** » 05 Jun 2007, 12:22

Lo acabo de enviar el window.exe.

Por cierto utilizo muchisimo el IE7.

Mensaje por **msc hotline sat** » 05 Jun 2007, 15:49

Recibida la muestra, si bien el nombre es muy sospechoso el analisis previo con VirusTotal solo aporta dos antivirus que lo detecten como virus, Bit Defender e Ikarus, por lo que no se tiene en consideracion dichas detecciones, aparte de otras tres por sospecha de encriptacion... no es significativo:

[quote="·VirusTotal"]
STATUS: FINISHEDComplete scanning result of "window.exe", received in VirusTotal at 06.05.2007, 14:48:22 (CET).

Antivirus Version Update Result

AhnLab-V3 2007.5.31.2 06.05.2007 no virus found

AntiVir 7.4.0.29 06.05.2007 HEUR/Crypted

Authentium 4.93.8 05.23.2007 no virus found

Avast 4.7.997.0 06.04.2007 no virus found

AVG 7.5.0.467 06.04.2007 no virus found

BitDefender 7.2 06.05.2007 DeepScan:Generic.Malware.G!SKI!!FLMPWX!!BVg.18C50696

CAT-QuickHeal 9.00 06.04.2007 no virus found

ClamAV devel-20070416 06.05.2007 no virus found

DrWeb 4.33 06.05.2007 no virus found

eSafe 7.0.15.0 06.04.2007 no virus found

eTrust-Vet 30.7.3693 06.05.2007 no virus found

Ewido 4.0 06.05.2007 no virus found

FileAdvisor 1 06.05.2007 no virus found

Fortinet 2.85.0.0 06.05.2007 suspicious

F-Prot 4.3.2.48 06.04.2007 no virus found

F-Secure 6.70.13030.0 06.05.2007 no virus found

Ikarus T3.1.1.8 06.05.2007 Backdoor.VB.EV

Kaspersky 4.0.2.24 06.05.2007 no virus found

McAfee 5045 06.04.2007 no virus found

Microsoft 1.2503 06.05.2007 no virus found

NOD32v2 2309 06.05.2007 no virus found

Norman 5.80.02 06.05.2007 no virus found

Panda 9.0.0.4 06.05.2007 no virus found

Prevx1 V2 06.05.2007 no virus found

Sophos 4.18.0 06.01.2007 no virus found

Sunbelt 2.2.907.0 06.04.2007 VIPRE.Suspicious

Symantec 10 06.05.2007 no virus found

TheHacker 6.1.6.129 06.04.2007 no virus found

VBA32 3.12.0 06.04.2007 no virus found

VirusBuster 4.3.23:9 06.04.2007 no virus found

Webwasher-Gateway 6.0.1 06.05.2007 Heuristic.Crypted

Aditional Information

File size: 1369682 bytes

MD5: 5950baf29916807ccd17b2177e3828ae

SHA1: 6751d399c41197bd049f7d48a7fd3d0ada18af47

packers: Themida

Sunbelt info: VIPRE.Suspicious is a generic detection for potential threats that are deemed suspicious through heuristics.
[/quote]

En cualquier caso, en la duda, renombre del fichero a extension .VIR, y tras reiniciar ya no será puesto en uso

Luego reinicie y diganos si persiste alguna anomalia, gracias

saludos

ms, 5-06-2007

bLaSt · Mensaje por **bLaSt** » 05 Jun 2007, 21:36

Ya renombre el archivo window.exe.

Tengo el proceso explorer.exe usando el 100% del CPU: [url]http://img529.imageshack.us/img529/4259/100cpuzp5.jpg[/url]

:cry:

bLaSt · Mensaje por **bLaSt** » 06 Jun 2007, 08:56

Bueno ya lo he solucionado. Era un Malware. Gracias a la informacion dada [url=http://kb.mozillazine.org/Firefox.exe_always_open]aca[/url] (lo dejo para que alguien que llegue a tener el mismo problema que yo, lo pueda solucionar).

Gracias de todas formas. :wink:

Mensaje por **msc hotline sat** » 06 Jun 2007, 10:34

Pues muchas gracias por participarlo!. Por lo visto afecta a los usuarios de Mozilla, razon por la que no lo tenemos contemplado:

[quote]Numerous users have reported experiencing one or more of the following issues:

firefox.exe automatically loads on Windows boot up (a Poison Ivy server-file build-option).

Windows Task Manager's Processes tab shows 2 or more copies of firefox.exe (Ctrl+Alt+Del to bring up Task Manager)

firefox.exe persists in Task Manger's Processes tab after Firefox is closed down normally from within the browser.

firefox.exe persists in Task Manager's Processes tab after its process is manually killed via "End Task".

Firewall alerts that Firefox is trying to connect to an unrequested IP address on a remote port (typically Port 3460, which is Poison Ivy's default Port setting - though any Port# may have been chosen).

Firefox/system is mysteriously sluggish (The hacker may be searching for or transferring files, taking screencaptures, keylogging, packet-sniffing, etc). [/quote]

Y ademas nos dice que hora usaba Opera ... puede que le afectara la instalacion anterior ?

Y los ficheros que dicen usa este malware, no aparecen en su log, pero podían estar sin ser usados ?:

[quote]Though the server (& logfile) could use *any* filename, confirmed reported filenames have included: - RegMen.exe - lssas.exe (Note: do not confuse with legitimate file, 'lsass.exe') - svlchost.exe (Note: do not confuse with legitimate file, 'svchost.exe') - ivy.exe - XP-Clean.exe - cmdow.exe (Note: this legitimate tool allows a user to hide, open & close windows; may be installed maliciously by a trojan.)[/quote]

Si encuentra aun alguno de estos en su ordenador envienoslo para analizarlo y controlarlo para el futuro.

->~~[b]~~ Para ello recordar[/b]: https://foros.zonavirus.com/viewtopic.php?f=2&t=45334

saludos

ms, 6-06-2007

bLaSt · Mensaje por **bLaSt** » 06 Jun 2007, 12:06

[quote="msc hotline sat"]Y ademas nos dice que hora usaba Opera ... puede que le afectara la instalacion anterior ?[/quote]

No. Porque el segundo proceso de firefox ya lo había notado antes (lo que pasa es que no me había molestado, hasta que lo desinstale (y en modo seguro) y me paso lo del explorer.exe consumiendo 100% de CPU), con eso ya me preocupe.

[quote="msc hotline sat"]Si encuentra aun alguno de estos en su ordenador envienoslo para analizarlo y controlarlo para el futuro.[/quote]

Enviado. :wink:

Mensaje por **msc hotline sat** » 06 Jun 2007, 16:08

Pues lo analizaremos, a ver si aunque sea solo para el mozilla, podemos contorlarlo por cadenas y restaurar las claves mas criticas.

En cuanto lo hayamos analizado, implementaremos su control y eliminacion en nuestras utilidades, de lo cual informaremos.

saludos

ms, 6-06-2007

Mensaje por **msc hotline sat** » 07 Jun 2007, 17:06

Analizadas las tres muestras enviadas, pasan a ser detectadas como BIFROSE a partir del ELITRIIP 3.62 de hoy, que estara disponible para evalucion en esta web, a partir de las 20 h GMT

saludos

ms, 7-06-2007