Clave del Reg infectada -> analizarla online?

zetor · Mensaje por **zetor** » 12 Jul 2007, 00:02

Hola, la consulta es la del titulo, si exporto una clave que un antispyware online me la marca como infectada, puedo analizarla online?

La pregunta viene a raiz de que Trend micro me detecta una clave infectada con el adware Bestoffers cada vez que scaneo, la exporte y analice online con Kaspersky, Virus Total, Avast, Dr Web.. y hasta con el mismo Trend micro : ninguno encontro nada!!

Saludos

Mensaje por **msc hotline sat** » 12 Jul 2007, 07:08

La clave no, envie al VirusTotal el fichero que lanza dicha clave.

Mejor lance el HJT y posteenos el log y veremos si hay algo raro:

~~[b]~~

[color=yellow]HJT : (HiJackThis)[/color][/b]

[i]¿Como utilizar el Hijackthis ?[/i]

Lo primero que debemos hacer es descargarlo en nuestro ordenador y ubicarlo en una carpeta propia C:\HijackThis\

Ejecútarlo y presionar el botón "~~[b]~~Do a system scan and save a logfile[/b]"; el programa realizará el escaneo e inmediatamente generará el Log, sólo te pedira el nombre del archivo y su ubicación, puedes simplemente guardarlo así como está.

Se abrirá el Bloc de Notas, copia todo el contenido y pégalo como respuesta de este Tema

· [url=http://www.zonavirus.com/descargas/trendmicro-hijackthis.asp]~~[b]~~Descargar Hijackthis[/b][/url]

Tras analizarlo, informaremos

saludos

ms, 12-07-2007

zetor · Mensaje por **zetor** » 12 Jul 2007, 19:29

Que tal ~~[b]~~msc hotline sat[/b], debo decirte que el informe de Trend ya es historico, tambien el X-Cleaner siempre me informa de un adware Smiley Source. Por lo que pude averiguar éste y el BestOffers son dos nombres del mismo adware.

Lo mas probable es que se trate de un falso positivo.. pero igual saque el log con el hjt. Creo haberte leido en un post que el HJT solo scanea una porcion minima del registro, la implicancia de esto es que un log limpio no siempre implica un sistema limpio?.

Tambien te comento que despues de exportar la clave (subclave en realidad), la elimine, pero al dia siguiente se volvio a crear..como muestro en la captura

[url=http://img118.imageshack.us/my.php?image=bestoffers11jul07yu1.jpg]

[img]http://img118.imageshack.us/img118/1715/bestoffers11jul07yu1.th.jpg[/img][/url]

Como puedes ver, el Kaspersky esta involucrado..

El log:

Logfile of HijackThis v1.99.1

Scan saved at 13:00:27, on 12/07/2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16473)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\Archivos de programa\Webroot\Spy Sweeper\SpySweeper.exe

C:\WINDOWS\Explorer.EXE

D:\Prog. Vs\Hijackthis-Aplic\Hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\Spybot - Search & Destroy\SDHelper.dll

O4 - HKLM\..\Run: [VTTimer] VTTimer.exe

O4 - HKLM\..\Run: [VTTrayp] VTtrayp.exe

O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd

O4 - HKLM\..\Run: [AVP] "C:\Archivos de programa\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe"

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Archivos de programa\Adobe\Reader 8.0\Reader\Reader_sl.exe"

O4 - HKLM\..\Run: [NeroFilterCheck] "C:\Archivos de programa\Archivos comunes\Ahead\Lib\NeroCheck.exe"

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Archivos de programa\Archivos comunes\Ahead\Lib\NMBgMonitor.exe"

O4 - Global Startup: DSLMON.lnk = ?

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~1\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: Estadísticas del Antivirus de la Web - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Archivos de programa\Kaspersky Lab\Kaspersky Internet Security 6.0\scieplugin.dll

O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)

O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O11 - Options group: [INTERNATIONAL] International*

O16 - DPF: Yahoo! Chess - http://download2.games.yahoo.com/games/clients/y/ct5_x.cab

O16 - DPF: {0B79F48A-E8D6-11DB-9283-E25056D89593} (F-Secure Online Scanner 3.1) - http://support.f-secure.com/ols/fscax.cab

O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/spanish//kavwebscan_unicode.cab

O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - http://downloads.ewido.net/ewidoOnlineScan.cab

O16 - DPF: {215B8138-A3CF-44C5-803F-8226143CFC0A} (Trend Micro ActiveX Scan Agent 6.6) - http://housecall65.trendmicro.com/housecall/applet/html/native/x86/win32/activex/hcImpl.cab

O16 - DPF: {2882C368-D508-11D4-A2AB-000102598CE4} (LProtect Control) -

O16 - DPF: {556DDE35-E955-11D0-A707-000000521957} - http://www.xblock.com/download/xclean_micro.exe

O16 - DPF: {56393399-041A-4650-94C7-13DFCB1F4665} (PSFormX Control) - http://www.ca.com/ar/securityadvisor/pestscan/pestscan.cab

O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scan8/oscan8.cab

O16 - DPF: {6531D99C-0D0E-4293-B3CB-A3E1D0D41847} (AhnASP Control) - http://aspglobal.ahnlab.com/asp/cab/AhnASP.cab

O16 - DPF: {7B297BFD-85E4-4092-B2AF-16A91B2EA103} (WScanCtl Class) - http://www.ca.com/us/securityadvisor/virusinfo/webscan.cab

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab

O16 - DPF: {BB21F850-63F4-4EC9-BF9D-565BD30C9AE9} (a-squared Scanner) - http://ax.emsisoft.com/asquared.cab

O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - http://download.mcafee.com/molbin/iss-loc/mcfscan/2,2,0,5069/mcfscan.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{C690FC3A-696A-4812-9AFE-8866A3A5D893}: NameServer = 192.168.1.10

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O20 - AppInit_DLLs: C:\ARCHIV~1\KASPER~1\KASPER~1.0\adialhk.dll

O20 - Winlogon Notify: klogon - C:\WINDOWS\system32\klogon.dll

O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\

O20 - Winlogon Notify: WRNotifier - C:\WINDOWS\SYSTEM32\WRLogonNTF.dll

O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll

O23 - Service: Ares Chatroom server (AresChatServer) - Ares Development Group - C:\Archivos de programa\Ares\chatServer.exe

O23 - Service: Kaspersky Internet Security 6.0 (AVP) - Unknown owner - C:\Archivos de programa\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe" -r (file missing)

O23 - Service: Google Updater Service (gusvc) - Google - C:\Archivos de programa\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: NBService - Nero AG - C:\Archivos de programa\Nero\Nero 7\Nero BackItUp\NBService.exe

O23 - Service: NMIndexingService - Nero AG - C:\Archivos de programa\Archivos comunes\Ahead\Lib\NMIndexingService.exe

O23 - Service: StarWind AE Service (StarWindServiceAE) - Rocket Division Software - C:\Archivos de programa\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe

O23 - Service: Motor de Spy Sweeper de Webroot (WebrootSpySweeperService) - Webroot Software, Inc. - C:\Archivos de programa\Webroot\Spy Sweeper\SpySweeper.exe

[quote]La clave no, envie al VirusTotal el fichero que lanza dicha clave. [/quote]

Esta frase tiene informacion que necesito que me aclares para que no me queden dudas : "la clave no" significa que es incorrecto exportarla para poder analizarla??

Y el fichero que lanza dicha clave, como y donde lo busco??

Gracias

Mensaje por **msc hotline sat** » 13 Jul 2007, 10:51

Los escaneadores ONLINE no analizan claves, solo ficheros, por eso te decia que les enviases el fichero que lanza.

Pero como que posteas el log del HJT, te lo analizo:

Pues elimina estas claves:

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

->~~[b]~~ Para ello recordar[/b]: https://foros.zonavirus.com/viewtopic.php?f=2&t=45334

para limpiar restos del registro, si bien no se aprecia nada virico propiamente dicho, y menos del Troyano bestoffers:

http://vil.nai.com/vil/content/v_136251.htm

por lo que podría ser un fallo de Trend dicha deteccion, especialmente cuando analizado con su propio ONLINE dices que no detectas nada ...

saludos

ms, 13-07-2007

zetor · Mensaje por **zetor** » 13 Jul 2007, 20:34

Hecho, eliminé las claves, aunque dices que no hay rastros viricos y no te explayas mucho :wink: , ya estan eliminadas.

[quote]Los escaneadores ONLINE no analizan claves, solo ficheros, por eso te decia que les enviases el fichero que lanza. [/quote]

De acuerdo, pero al exportar la clave se transforma en un fichero con extension .reg... y la pregunta es si este fichero es correcto analizarlo. Si no lo es, como y donde busco el fichero que lanza??

[quote]por lo que podría ser un fallo de Trend dicha deteccion, especialmente cuando analizado con su propio ONLINE dices que no detectas nada ... [/quote]

No digo exactamente eso, digo que el .reg con la clave exportada, lo detecta limpio..

De echo me sigue detectando el BetsOffers, pero ya no en la subclave que elimine ( y que luego se regenero), sino y si por favor te vas a la captura, ahora lo detecta en la carpeta que esta mas arriba y que empieza con {EDDBDEA4-...}, como si se hubiera "corrido".

Saludos

Mensaje por **msc hotline sat** » 13 Jul 2007, 21:34

Y quien te ha dicho que exportases una clave ??? aqui justamente evitamos usar el REGEDIT !!!

Un .reg no es un fichero a examinar sino un modificador de claves en el registro, a traves del REGEDIT, lo cual raras veces usamos en el foro, solo cuando necesitamos ver funciones urtilizadas por alguna DLL para poder examinarla.

Pero este no es el caso, aqui no se ha pedido, y en el HJT no aparece ninguna clave que empiece por EDDBDEA4, y en la descripcion del troyano en cuestion lo miro...

tampoco aparece:

[quote]System Changes

General defaults for typical path variables (although they may be different, they usually are not):

%WinDir% = \WINDOWS (Windows 9x/ME/XP), \WINNT (Windows NT/2000)

%SystemDir% = \WINDOWS\SYSTEM32 (Windows 9x/ME/XP), \WINNT\SYSTEM32 (Windows NT/2000)

%ProgramFiles% = \Program Files

Files Added

c:\program files\tbonbin\uninstall.exe (162 KB)

MD5: 55E57234FD2D1D97898F52BA8928CBAD

c:\program files\tbonbin\tbon.exe (162 KB)

MD5: 55E57234FD2D1D97898F52BA8928CBAD

c:\program files\tbonbin\tboninst.cfg (1 KB)

c:\program files\tbonbin\tbonwnd.exe (82 KB)

MD5: F12BBD5D3FAE28F3209E1D4A489CD1D0

c:\documents and settings\(username)\cookies\

(username)@offeroptimizer[#].txt (1 KB)

c:\documents and settings\(username)\cookies\

(username)@btg.btgrab[#].txt (1 KB)

c:\documents and settings\(username)\cookies\

(username)@abetterinternet[#].txt (1 KB)

Registry

The following registry keys are created:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\

CurrentVersion\Uninstall\TBON

HKEY_CURRENT_USER\Software\Classes\tbonac

HKEY_CURRENT_USER\Software\tbon

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

"tbon"="C:\Program Files\TBONBin\tbon.exe /r" HKEY_CLASSES_ROOT\tbonac

Network Impact

Additional overhead in bandwidth due to transmission of browsing data to remote servers and retrival of advertisement data. Additional load could be incurred when performing self-update.

Removal

Instructions on Enabling/Disabling Detection and Removal of Potentially Unwanted Programs

Aliases

Aliases

N/A [/quote]

Así que dejese de hacer lo que no se le dice y limitese a seguir nuestras indicaciones si quiere que le ayudemos.

Si hay una clave sospechosa, envienos el fichero que lanza o que está relacionado con ella, EXE o DLL, nada mas.

saludos

ms, 13-07-2007

zetor · Mensaje por **zetor** » 13 Jul 2007, 21:56

Amigo ~~[b]~~msc hotline sat[/b], nadie me dijo que exportara la clave, esto lo hice [u][i]antes[/i][/u] de postear aquí y como un respaldo porque iba a eliminarla....primer post:

[quote]la ~~[b]~~exporte[/b] y analice online con Kaspersky, Virus Tot.....[/quote]

Y si quisiera que me ayuden o mas bien en este caso que me expliques:

[quote]Si hay una clave sospechosa, envienos el fichero que lanza o que está relacionado con ella, EXE o DLL, nada mas. [/quote]

Cómo encuentro ese .exe o DLL a partir de una clave???

Gracias

Mensaje por **msc hotline sat** » 13 Jul 2007, 22:15

Las claves son justamente instrucciones en el registro para lanzar aplicaciones, pues justamente la aplicacion o fichero que lanza, si lo considera sospechoso, es lo que se puede analizar

Pero en su log del HJT no hay nada sospechoso, y como le hemos indicado mas bien parece una falsa alarma de TREND, esepcialmente si los demas antivirus no detectan nada.

Si quiere haga la prueba con estos ONLINE y si detectan algo, nos lo comentan:

[url=https://www.eset.es/analisis-online/]~~[b]~~[color=Darknesred]Antivirus ONLINE aconsejado[/color][/b][/url]

y una manera facil y rapida de saber si se tiene virus en memoria es lanzar este escaneo ONLINE que tarda menos de 1 minuto:

testeo ONLINE de virus en memoria

[url=https://www.pandasecurity.com/spain/homeusers/solutions/online-antivirus/]~~[b]~~[color=Darknesred]testeo ONLINE de virus en memoria[/color][/b][/url]

saludos

ms, 13-07-2007