Virus Residente en Disco Duro Aun formateando

[z.Diego]

-- HOLA --



MI problema se remonta años atras cuando compre mi primer ordenador y contrate una banda ancha ADSL de telefonica.( diciembre 2003 ). COmo nadie me había alerta de los virus, ( novato total) inocentemente me dispuse a entrar a internet sin ningún tipo de seguridad.... con lo que a los 15minutos mi ordenador estaba totalmente infectado.

Desde entonces hasta ahora no he tenido ni un solo virus más en mi ordenador, dado que aprendí la lección.

Mi problema es que me entro el dichoso Sasser o Blaster con su típica cuentra atras de 1 minuto.

Tras investigar y romperme la cabeza intentando eliminarlo nunca lo he conseguido.



- Actualizaciones de windows al día, diversos parches y antivirus..... nada. No lo consigo quitar ni formateando.



Deje hace un tiempo de preocuparme por el tema porque la verdad es que si que lo tengo en memoria, pero aparentemente no tiene acción ninguna. Eso sí, si termino el proceso me sale la cuenta atras, y además se lleva consigo al DCOM y alguna cosilla más que corre bajo SVCHOST.



Nunca había recurrido a un foro se este tipo, pero viendo como amablemente vais respondiendo a las preguntas me he decidido a abrir el tema, y haber si de una vez por todas acabo con este problema que me ha acarreado tantos quebraderos de cabeza.



--- GRACIAS ---

[msc hotline sat]

Posiblemente el problema es que no tienes instalados los parches y al conectar a Internet intrusionan este tipo de virus que se propagan por dicho medio, como inicialmente el Blaster y luego miles de variantes como los Sasser

Baja el ELITRIIP, y copialo a esta maquina, luego la arrancas sin el cable de internet y lo pruebas, aceptando el BLOQUEAR INTENTO DE INTRUSION, y terminas el proceso, explorando y eliminando todo rastro virico al respecto.

ELITRIIP:
http://www.zonavirus.com/descargas/elitriip.asp

Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso


Tras ello, sin reiniciar, conectas el cable y accedes al windowsupdate e instalas todos los parches



Tras ello reinicias y ya ni tendrás dicho virus y ademas tendrás los parches que impiden este tipo de intrusion

saludos

ms, 13-09-2007

[z.Diego]

Hola otra vez.



El caso es que ayer, que es cuando empece a buscar más información sobre el virus, ya me encontré con EliTrip y varias actualizaciones recomendadas.



>>>Primero ejecute el EliTriP ( sin desconectar de la red .. ) :



- Wed Sep 12 17:37:52 2007

EliTriIP v3.86 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\Documents and Settings\diego\Escritorio\Adobe Audition 2.0.exe --> Eliminado, Bifrose (dropper)



Wed Sep 12 17:40:41 2007

EliTriIP v3.86 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad D:\



Instale algunas actualizaciones sobre el virus y aguna otra,( aun sabiendo que lo tengo actualizado ) con lo que se me activaron CENTRO DE SEGURIDAD ,FIREWALL WINDOWS; REGISTRO REMOTO ( Porqué? ) y alguna más.

He ejecutado de nuevo el Elitrip hoy, con estos servicios habilitados y me ha dado esto:





Thu Sep 13 15:35:38 2007

EliTriIP v3.86 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Acción Directa):

Linea Eliminada del HOSTS --> 127.0.0.1 babe.the-killer.bz

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.babe.the-killer.bz

Linea Eliminada del HOSTS --> 127.0.0.1 babe.k-lined.com

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.babe.k-lined.com

Linea Eliminada del HOSTS --> 127.0.0.1 did.i-used.cc

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.did.i-used.cc

Linea Eliminada del HOSTS --> 127.0.0.1 coolwwwsearch.com

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.coolwwwsearch.com

Linea Eliminada del HOSTS --> 127.0.0.1 coolwebsearch.com

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.coolwebsearch.com

Linea Eliminada del HOSTS --> 127.0.0.1 hi.studioaperto.net

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.hi.studioaperto.net

Linea Eliminada del HOSTS --> 127.0.0.1 wazzupnet.com

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.wazzupnet.com

Linea Eliminada del HOSTS --> 127.0.0.1 gueb.com

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.gueb.com

Linea Eliminada del HOSTS --> 127.0.0.1 kabex.com

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.kabex.com

Linea Eliminada del HOSTS --> 127.0.0.1 hityou.com

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.hityou.com

Linea Eliminada del HOSTS --> 127.0.0.1 miosearch.com

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.miosearch.com

Linea Eliminada del HOSTS --> 127.0.0.1 blue-elefant.com

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.blue-elefant.com

Linea Eliminada del HOSTS --> 127.0.0.1 babeweb.de

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.babeweb.de

Linea Eliminada del HOSTS --> 127.0.0.1 start-seite.com

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.start-seite.com

Linea Eliminada del HOSTS --> 127.0.0.1 sexolymp.com

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.sexolymp.com

Linea Eliminada del HOSTS --> 127.0.0.1 toriii.cc

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.toriii.cc





Y SIGUE CON UNA LISTA INTERMINABLE 200 VECES ESTO.

(o más)



Qué significa esto? TOdas las conexiones a las que se ha estado conectando el virus? De ser así da mucho miedo.





Por defecto yo siempre deshabilito :

- Cliente WeB, enrutamiento y acceso remoto, registro remoto, Terminal Server y Servidor. Asi que los he vuelto a desactivar todos al encontrarlos activados debido a estos parches de windows update.



Tengo el WIndows actualizado, con mcfee actualizado, con los parches instalados, y el Elitrip pasado, y aún así tengo el virus.

He formateado muchas veces, y solo con entrar a windows la primera vez (después de formatear) , el virus está en memoria.

Alguna vez he tenido problemas al actualizar la placa madre,

me daba error al enceder el pc. Como que estaba mal configurado y que restableciera la configuración de fábrica.

No se si leí alguna vez que se podrían quedar en archivos ocultos en la paca madre o en el disco duro. Creo que este es mi caso.



Y por si sirve de ayuda, aquí lo que muestra el Hijackthis:



Logfile of HijackThis v1.99.1

Scan saved at 17:27:44, on 13/09/2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\Archivos de programa\Archivos comunes\McAfee\HackerWatch\HWAPI.exe

C:\ARCHIV~1\McAfee\MSC\mcmscsvc.exe

c:\archivos de programa\archivos comunes\mcafee\mna\mcnasvc.exe

C:\ARCHIV~1\McAfee\VIRUSS~1\mcods.exe

C:\ARCHIV~1\McAfee\MSC\mcpromgr.exe

c:\ARCHIV~1\ARCHIV~1\mcafee\redirsvc\redirsvc.exe

C:\ARCHIV~1\McAfee\VIRUSS~1\mcshield.exe

C:\Archivos de programa\McAfee\MPF\MPFSrv.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\WINDOWS\Explorer.EXE

C:\ARCHIV~1\mcafee.com\agent\mcagent.exe

C:\Archivos de programa\Analog Devices\Core\smax4pnp.exe

C:\Archivos de programa\Analog Devices\SoundMAX\Smax4.exe

C:\WINDOWS\system32\RUNDLL32.EXE

C:\WINDOWS\system32\ctfmon.exe

C:\ARCHIV~1\mcafee\msc\mcuimgr.exe

C:\Archivos de programa\Winamp\winamp.exe

C:\Archivos de programa\Mozilla Firefox\firefox.exe

C:\ARCHIV~1\FREEDO~1\fdm.exe

C:\Documents and Settings\diego\Escritorio\HijackThis.exe



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.BadStartingPage.com

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O1 - Hosts: 66.98.148.65 auto.search.msn.com

O1 - Hosts: 66.98.148.65 auto.search.msn.es

O2 - BHO: scriptproxy - {7DB2D5A0-7241-4E79-B68D-6309F01C5231} - c:\archivos de programa\mcafee\virusscan\scriptcl.dll

O2 - BHO: FDMIECookiesBHO Class - {CC59E0F9-7E43-44FA-9FAA-8377850BF205} - C:\Archivos de programa\Free Download Manager\iefdm2.dll

O4 - HKLM\..\Run: [High Definition Audio Property Page Shortcut] HDAShCut.exe

O4 - HKLM\..\Run: [SoundMAXPnP] C:\Archivos de programa\Analog Devices\Core\smax4pnp.exe

O4 - HKLM\..\Run: [SoundMAX] "C:\Archivos de programa\Analog Devices\SoundMAX\Smax4.exe" /tray

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O8 - Extra context menu item: Descargar con Free Download Manager - file://C:\Archivos de programa\Free Download Manager\dllink.htm

O8 - Extra context menu item: Descargar la selección con Free Download Manager - file://C:\Archivos de programa\Free Download Manager\dlselected.htm

O8 - Extra context menu item: Descargar todo con Free Download Manager - file://C:\Archivos de programa\Free Download Manager\dlall.htm

O8 - Extra context menu item: Download video with Free Download Manager - file://C:\Archivos de programa\Free Download Manager\dlfvideo.htm

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1189613393578

O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll

O23 - Service: Adobe LM Service - Adobe Systems - C:\Archivos de programa\Archivos comunes\Adobe Systems Shared\Service\Adobelmsvc.exe

O23 - Service: McAfee E-mail Proxy (Emproxy) - McAfee, Inc. - C:\ARCHIV~1\ARCHIV~1\McAfee\EmProxy\emproxy.exe

O23 - Service: McAfee HackerWatch Service - McAfee, Inc. - C:\Archivos de programa\Archivos comunes\McAfee\HackerWatch\HWAPI.exe

O23 - Service: McAfee Update Manager (mcmispupdmgr) - McAfee, Inc. - C:\ARCHIV~1\McAfee\MSC\mcupdmgr.exe

O23 - Service: McAfee Services (mcmscsvc) - McAfee, Inc. - C:\ARCHIV~1\McAfee\MSC\mcmscsvc.exe

O23 - Service: McAfee Network Agent (McNASvc) - McAfee, Inc. - c:\archivos de programa\archivos comunes\mcafee\mna\mcnasvc.exe

O23 - Service: McAfee Scanner (McODS) - McAfee, Inc. - C:\ARCHIV~1\McAfee\VIRUSS~1\mcods.exe

O23 - Service: McAfee Protection Manager (mcpromgr) - McAfee, Inc. - C:\ARCHIV~1\McAfee\MSC\mcpromgr.exe

O23 - Service: McAfee Redirector Service (McRedirector) - McAfee, Inc. - c:\ARCHIV~1\ARCHIV~1\mcafee\redirsvc\redirsvc.exe

O23 - Service: McAfee Real-time Scanner (McShield) - McAfee, Inc. - C:\ARCHIV~1\McAfee\VIRUSS~1\mcshield.exe

O23 - Service: McAfee SystemGuards (McSysmon) - McAfee, Inc. - C:\ARCHIV~1\McAfee\VIRUSS~1\mcsysmon.exe

O23 - Service: McAfee Personal Firewall Service (MpfService) - McAfee, Inc. - C:\Archivos de programa\McAfee\MPF\MPFSrv.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe





-- MUCHAS GRACIAS --

[msc hotline sat]

Las URL que figuran en el HOSTS al lado de 127.0.0.1 son URL bloqueadas, pues son redirigidas al LOCAL HOST

y paso a analizar el log del HJT, si bien debias haber seguido los pasos ya indicados, aunque previamente hubieras hecho lo que fuere.

en proceso...

Puedes eliminar estas dos claves:

O1 - Hosts: 66.98.148.65 auto.search.msn.com
O1 - Hosts: 66.98.148.65 auto.search.msn.es


y sigue luego con lo inicialmente indicado en mi anterior post

saludos

ms, 13-09-2007

[z.Diego]

Una pregunta, al formatear eliminas por completo todos los archivos del disco duro?



Me comentas que pase el Elitrip y posteriormente actualice windows. Lo tengo actualizado hasta la fecha, no hay actualizaciones posibles. Entonces que me aconsejas, que os mando una muestra del archivo?



__MUCHAS GRACIAS__

[msc hotline sat]

Si tuvieras los parches al día, no podría haber intrusionado dicho virus, quizas desinstalaste el SP2 por algo... No cuesta nada lanzar un windowsupdate de nuevo.

Y depende del formato se eliminan los ficheros o solo se desactiva su acceso, y se permite que sean sobreescritos.

Y no sé que muestra dices, pero si te la pedimos, envianosla, claro.


saludos

ms, 13-08-2007

[z.Diego]

Con todo el respeto del mundo, leyendo mi primer post digo que me entro haya por el 2004, cuando NO TENÏA SEGURIDAD alguna. Mi primera vez en internet.

Y ha estado conmigo hasta ahora. Acabo de pasar el windows update, como lo hice ayer, la semana pasada, la otra...





hay alguna solución?



Gracias-

[z.Diego]

He formateado como 20 veces , siempre el virus presente al iniciar xp.

[msc hotline sat]

A ver, por mas que formatees el disco duro, al entrar en internet sin parches lo mas facil es que te infectes !

Actualmente el sistema operativo XP ya contiene el SP2 pero si el que instalas no lo tiene, en cuanto te conectas te infectas.

Para evitarlo, una vez instalado el sistema, antes de conectar el cable de internet, prueba el ELITRIIP y acepta en bloquear el intento de intrusion, y sin apagar el equipo, conecta el cable y lanza un windowsupdate, y asi cuando reinicies ya no te entraran estos intrusos

ELITRIIP:
http://www.zonavirus.com/descargas/elitriip.asp

Ya nos contarás el resultado, gracias

saludos

ms, 13-09-2007

[z.Diego]

Muchisimas gracias.



Cuando formateo , siempre guardo todas las actualizaciones y las EJECUTO ANTES DE ENTRAR EN INTERNET.

Con lo cual el pc debería estar protegido. Seguidamente ejecuto WINDOWS UPDATE para posibles actualizaciones.

[z.Diego]

Y por cierto, como me puede entrar un virus , si primero actualizo antes de tener instalar internet, y ademas con un antivirus de respaldo. Es que no lo puedo comprender. Mi cabezonía me dice que lo tengo en el disco duro, y por mucho que formatee ,no puedo eliminarlo.



Hablando mas claro. Que si formateo el disco duro, y lo conecto en otro ordenador diferente. Ese ordenador va tener el virus por tener mi Disco Duro. Así de sencillo.

Creo que se debería analizar más esta posibilidad aa cualquier otra.

Un fallido intento de eliminarlo y se ha quedado ahí? no lo sé.

[Claudia34]

Pues para empezar utiliza un cortafuegos personal que no sea la de windows xp que es de lo peor, puedes utilizar los software cortafuegos gratuitos como el zone alarm (lo instalas desde algun cd).
Una vez que hayas deshabilitado ciertos servicios innecesarios que vienen por defecto con windows xp, ademas de haber instalado el zone alarm con las configuraciones al maximo, y haber desmarcado "cliente para redes de microsoft" y "compartir impresoras y archivos para redes de microsoft", y luego de haber instalado un antivirus (obviamente lo actualizas cuando estas conectado a internet) desde obviamente un cd para no tener que conectarte a internet, recien ahi cuando hayas hecho todo eso conectate a internet y sin perder tiempo realiza un windows update completo sin obviar y sin perder tiempo en otras cosas triviales y listo.


Saludos y coméntanos los resultados.

[Claudia34]

Y como dices que el virus esta en memoria y no se quita con formatear lo cual encuentro raro, utiliza los siguientes antivirus online ( los dos primeros obviamente en primer lugar) obviamente luego de haber hecho las recomendaciones anteriormente citadas:



Y no te vendria mal mientras probar los siguientes antivirus online en modo a prueba de fallos con la opcion de red (para asi poder conectarte a internet) y obviamente tienes que tener la restauracion del sistema desactivado para que te de mejores resultados el analisis:



https://www.virustotal.com/es/



https://www.pandasecurity.com/spain/homeusers/solutions/online-antivirus//



Nota: Hay mas antivirus online para usar, aunque alli arriba solo te dimos dos, nada impide que uses otros, es mas es mucho mejor por el tema de los resultados usar todas las que puedas.

Y te dejo tambien otro enlace para que lo disfrutes:



http://www.zonavirus.com/antivirus-on-line/



Saludos.