Backdoor.Win32.Sinowal.a ???? (SOLUCIONADO)

[NoSeNa]

Hola,



Cada vez que reinicio el PC el Kaspersky me detecta un "Virus o Troyano" no se bien.

Sector de disco fisico:\Device\Harddisk2\DR5



Os dejo una imagen y el LOG.



Muchas Gracias y Saludos.



[img]http://club.telepolis.com/amip/sinowal.jpg[/img]







Logfile of HijackThis v1.99.1

Scan saved at 12:06:58, on 14/03/2008

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\SOUNDMAN.EXE

C:\Archivos de programa\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe

C:\Archivos de programa\Microsoft ActiveSync\WCESCOMM.EXE

C:\Archivos de programa\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\WINDOWS\system32\slserv.exe

C:\WINDOWS\system32\wscntfy.exe

C:\ARCHIV~1\MOZILL~1\FIREFOX.EXE

C:\Archivos de programa\Azureus\Azureus.exe

C:\WINDOWS\system32\svchost.exe

D:\GENERAL\VIRUS Soluciones\HijackThis.exe



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.es/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: PDFCreator Toolbar Helper - {C451C08A-EC37-45DF-AAAD-18B51AB5E837} - C:\Archivos de programa\PDFCreator Toolbar\v3.0.0.0\PDFCreator_Toolbar.dll

O3 - Toolbar: PDFCreator Toolbar - {31CF9EBE-5755-4A1D-AC25-2834D952D9B4} - C:\Archivos de programa\PDFCreator Toolbar\v3.0.0.0\PDFCreator_Toolbar.dll

O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [AVP] "C:\Archivos de programa\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe"

O4 - HKCU\..\Run: [AZUREUS] C:\\Archivos de programa\\Azureus\\Azureus.exe

O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Archivos de programa\Microsoft ActiveSync\WCESCOMM.EXE"

O8 - Extra context menu item: Agregar a Kaspersky Anti-Banner - C:\Archivos de programa\Kaspersky Lab\Kaspersky Internet Security 6.0\ie_banner_deny.htm

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: Antivirus de la Web - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Archivos de programa\Kaspersky Lab\Kaspersky Internet Security 6.0\scieplugin.dll

O9 - Extra button: Crear un favorito móvil - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Archivos de programa\Microsoft ActiveSync\INetRepl.dll

O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Archivos de programa\Microsoft ActiveSync\INetRepl.dll

O9 - Extra 'Tools' menuitem: Crear un favorito móvil... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Archivos de programa\Microsoft ActiveSync\INetRepl.dll

O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O20 - AppInit_DLLs: "C:\ARCHIV~1\KASPER~1\KASPER~1.0\adialhk.dll"

O20 - Winlogon Notify: klogon - C:\WINDOWS\system32\klogon.dll

O23 - Service: Kaspersky Internet Security 6.0 (AVP) - Unknown owner - C:\Archivos de programa\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe" -r (file missing)

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: SmartLinkService (SLService) - Smart Link - C:\WINDOWS\SYSTEM32\slserv.exe

[msc hotline sat]

Pues de nada sirve el log del HJT en este caso, ya que es del sector fisico del disco duro, no del logico, pero ya que lo enviaba, hemos analizado el log y está limpio.



Simplemente se ha de arrancar con el CDROM de instalacion y seleccionar entrar en consola de recuperacion. Una vez alli ejecutar



MBRFIX /DRIVE 0 FIXMBR



y si tienes otra unidad:



MBRFIX /DRIVE 1 FIXMBR



...



y subiendo un numero al DRIVE, todas las demas unidades que hubiera de disco duro.





saludos



ms, 14-3-2008

[NoSeNa]

Gracias por responder tan pronto.



Tengo una partición en el Disco duro,



luego un Disco duro Exterior, y otro disco Duro Multimedia, estos DOS en el arranque suelen estar desconectados.



Las notas son:



Sector de disco fisico:\Device\Harddisk2\DR5

Sector de disco fisico:\Device\Harddisk1\DR1



¿ Es un VIRUS ?. :roll:



De nuevo Gracias y Saludos.

[NoSeNa]

Se me olvidaba.



Tengo otro disco en FAT32 de 20 Gb como exclavo.



Saludos

[msc hotline sat]

Aplica lo indicado en los discos duros en los que el antivirus te detecte dicho virus.



Y tras ello vuelve a pasar el antivirus y nos cuentas el resultado, gracias



saludos



ms, 14-3-2008

[NoSeNa]

[quote="msc hotline sat"]Aplica lo indicado en los discos duros en los que el antivirus te detecte dicho virus.



Y tras ello vuelve a pasar el antivirus y nos cuentas el resultado, gracias



saludos



ms, 14-3-2008[/quote]

En este momento no me es posible, pero cuando lo ejecute, les informaré del resultado.



Muchas Gracias.



Saludos.

[msc hotline sat]

Bien, pues dejamos abierto el Tema a tal efecto.



saludos



ms, 14-3-2008

[NoSeNa]

Hola de nuevo,



Al entrar en consola de recuperacion sale esto



C:\windows>



Y ahí escribo MBRFIX y pone Comando no reconocido.



De todas formas he notado que cada vez que reinicio Windows, el Kaspersky, reconoce el Troyano, y lo neutraliza, pero al reinicar de nuevo lo vuelve a RECONOCER y de nuevo a neutralizar.



Si Formateo el Disco desaparecerá. Aunque un poco drastico... ????



Gracias y saludos

[msc hotline sat]

No, si formateas no desaperecerá, pues está en en sector físico del MBR, al que no llega el formateo, pues justamente es el sector donde se indican las particiones del disco duro, y solo sobreescribiendolo se soluciona, y ello se consigue con lo indicado.



Pues el MBRFIX es un comando de la consola de recuperacion. Dinos el sistema que instala el CD con el que arrancas... ???



Evidentemente se supone que el el original de microsoft, claro !



saludos



ms, 16-03-2008

[NoSeNa]

[quote="msc hotline sat"]
Pues el MBRFIX es un comando de la consola de recuperacion. Dinos el sistema que instala el CD con el que arrancas... ???



Evidentemente se supone que el el original de microsoft, claro !



saludos



ms, 16-03-2008[/quote]

Windows XP profesional. Es un CD que me pasaron.



Por cierto he dejado de hacer actualizaciones de Microsoft (Windos Update) despues de haber formateado el disco hace poco.

1º Puede faltar el COMANDO, por culpa de no actualizar

2º Es bueno actualizar a menudo.



Gracias y disculpas por tantas preguntas.



Saludos.

[msc hotline sat]

Dices:



"[b][i]Windows XP profesional. Es un CD que me pasaron.[/i][/b]"



Debes utilizar el CD original de Microsoft, el que te entregaron con la licencia de uso y registro del sistema operativo.



Esto de que [b][i]"te pasaron"[/i][/b] huele a piratería, y en este foro no se da soporte a sistemas pirata.



saludos



ms, 16-03-2008

[NoSeNa]

El Cd que me entregaron el XP Home, si no recuerdo mal, pero no lo he llegué a usar.



Osea, que pinta mal según parece, y me voy a tener que quedar con el Troyano :oops:



Saludos

[msc hotline sat]

Ni en broma ! Eso es ir con un coche sin frenos a sabiendas !



Usa uno legal de Microsoft, da igual que sea de otro sistema operativo, XP profesional, Windows 2000, no vas a instalar nada, solo a arrancar con él y usar sus comandos



saludos



ms, 16-03-2008

[NoSeNa]

[quote="msc hotline sat"]


Usa uno legal de Microsoft, da igual que sea de otro sistema operativo, XP profesional, Windows 2000, no vas a instalar nada, solo a arrancar con él y usar sus comandos



saludos



ms, 16-03-2008[/quote]

Vale, intentaré buscarlo, y ya les contaré. :cry:



Saludos.

[msc hotline sat]

Sin animo de hacer apología de la piratería, puedes probar esta utilidad, tras descargarla, copiala a carpeta de windows y desde la consola de recuperacion la pruebas con la misma secuencia que te deciamos



http://i.d.com.com/i/dl/media/dlimage/33/16/9/33169_large.jpeg



y tras reiniciar nos cuentas el resultado, gracias



saludos



ms, 16-03-2008



NOTA: Ten en cuenta que no es nuestra ni la hemos probado... toma precaciones de backup. ms.

[NoSeNa]

Hola de nuevo,



He encontrado el CD de instalación Windows XP Home Edition w/SP2.(Original)



He seguido las instrucciones y el archivo MRBFIX no existe. El que viene es FIXMRB. Pero lo que dice al activarlo, no me atrevo a EJECUTAR :shock:



De todas formas creo que escribo bien MBRFIX_/DRIVE_0_FIXMBR (¿Los espacios son correctos?).



Saludos.

[msc hotline sat]

Dices:



[b][i]"He seguido las instrucciones y el archivo MRBFIX no existe"[/i][/b]



ojo, no es como indicas, sino MBRFIX... y puede que no sea un fichero sino un comando interno. (Otra cosa era el fichero alternativo que no era de Microsoft...)



Ejecute la linea en cuestion, indicando la correspondiente unidad, claro.



saludos



ms, 17-3-2008

[NoSeNa]

[quote="msc hotline sat"]Dices:



[b][i]"He seguido las instrucciones y el archivo MRBFIX no existe"[/i][/b]



ojo, no es como indicas, sino MBRFIX... y puede que no sea un fichero sino un comando interno. (Otra cosa era el fichero alternativo que no era de Microsoft...)



Ejecute la linea en cuestion, indicando la correspondiente unidad, claro.



saludos



ms, 17-3-2008[/quote]

Lo pongo correcto MBRFIX, me equivoqué al poner el mensaje.



De todas formas creo que escribo bien MBRFIX_/DRIVE_0_FIXMBR (¿Los espacios son correctos?).



Me lo sigue detectando el Kaspersky en cada arranque, y a continuación me dice que lo ha eliminado ?



Saludos

[msc hotline sat]

Revisando este Tema, dos cosas.



La primera ofrecerte la informacion al respecto de Microsoft:



http://www.microsoft.com/en/us/default.aspxsecurity/encyclopedia/details.aspx?name=Win32%2fSinowal



y la segunda que pruebes de poner una barra inmediatamente antes de la opcion y hacerlo para las dos particiones detectadas.



MBRFIX /DRIVE0 /FIXMBR





y nos cuentes el resultado, gracias



saludos



saludos



ms, 17--3-2008

[msc hotline sat]

Revisando este Tema, dos cosas.



La primera ofrecerte la informacion al respecto de Microsoft:



http://www.microsoft.com/en/us/default.aspxsecurity/encyclopedia/details.aspx?name=Win32%2fSinowal



y la segunda que pruebes de poner una barra inmediatamente antes de la opcion y hacerlo para las dos particiones detectadas.



MBRFIX /DRIVE 0 /FIXMBR





y nos cuentes el resultado, gracias



saludos



saludos



ms, 17--3-2008

[NoSeNa]

Hola de nuevo,



Hago esto.



Reinicio el ordenador, doy F8 y entro en una pantalla, para dar orden de empezar desde el Cd de Instalacion de Windows XP Home Edition Sp 2, cuando se CARGA doy a la tecla R, entro en una pantalla en negro donde pone que elija el disco, lo elijo, me pide el nombre del Administrador, NO LO PONGO y doy enter y sale



C:\WINDOWS>



Y escribo



C:\WINDOWS>MBRFIX /DRIVE 1 /FIXMBR (He provado con 0 separandolo de la palabra DRIVE Etc.) Y sale



No se reconoce el comando. Escriba HELP para tener una lista de comandos Permitidos.



HELP.... y salen todos los comandos permitidos el comando MBRFIX no existe en la lista el comando FIXMBR si.



Salgo reinico el PC y me sale este anuncio

[img]http://club.telepolis.com/amip/troyano.jpg[/img]



Doy orden de Eliminar y el Antivirus lo elimina....???? hasta que vuelvo a reiniciar.... y de nuevo el Jodio sigue VIVO.



Perdonar por lo larga de la explicación, y Gracias de nuevo.



Saludos

[NoSeNa]

Por cierto he pasado el MbrFix.exe directamente en Windowsy me da esto:



MbrFix.exe



Copyright (C) 2004 Systemintegrasjon AS



http://www.sysint.no



Usage:



MbrFix /drive <num> <command> { /yes } { /byte }



Requirements:



The program is made for Windows NT, Windows 2000, Windows XP, Windows Server 2003 and Windows PE.



You need administrative privileges to make it work!

Commands:



MbrFix /drive <num> driveinfo Display drive information

MbrFix /drive <num> listpartitions Display partition information

MbrFix /drive <num> savembr <file> Save MBR and partitions to file

MbrFix /drive <num> restorembr <file> Restore MBR and partitions from file

MbrFix /drive <num> fixmbr Update MBR code to W2K/XP/2003

MbrFix /drive <num> clean Delete partitions in MBR

MbrFix /drive <num> readsignature {/byte} Read disk signature from MBR

MbrFix /drive <num> generatesignature Generate disk signature in MBR

MbrFix /drive <num> readstate Read state from byte 0x1b0 in MBR

MbrFix /drive <num> writestate <state> Write state to byte 0x1b0 in MBR



Drive numbering <num> starts on 0.



Commands restorembr, fixmbr, generatesignature, writestate and clean will ask for confirmation unless /yes is included.



If the /byte option is given for the readsignature command, the signature is returned as a byte array instead of as a DWORD.

Return codes:



The program reports an errorlevel as 0 for OK and other values for errors.

The exception to this is the ReadState command which returns the state as a return code as well as printing to stdout. Any errors for this command are returned as negative values because of this.

Why do I need this utility?



Well, I was testing Windows Embedded XP using a virtual PC, and was booting Windows PE from a CD-ROM to partition a brand new harddisk (quite cheap, since it was virtual !). Using the diskpart.exe utility (found in Windows XP and Windows Server 2003, available as a download for Windows 2000), I created the partition, made it Active, assigned it a drive letter. I then used the format.exe utility to format it to NTFS (format C: /fs:ntfs).



DISKPART> detail part

Partition 1

Type: 07

Hidden: No

Active: Yes



Volume ### Letter Lable Fs Type Size Status Info.

---------- --- ----------- ----- ---------- ------- --------- --------

* Volume 1 C WinXP NTFS Partition 149 MB OK System





I then mounted a network drive to my physical computer and copied the boot.ini, ntldr, ntdetect.com, windows folder, program files folder, etc. from the Windows Embedded XP image directory. Everything to make it boot.



Well everything should be OK, so I rebooted the (virtual) computer and expected it to boot up Windows Embedded XP.



But not so! It just sat there with a nice black screen. No error message at all.



Some investigation later on the Internet, I found this very informative page by Daniel B. Sedory: http://www.geocities.com/thestarman3/asm/mbr/MBR_in_detail.htm, containing a wealth of MBR info. The info on one of the pages states that the MBR code is installed on the drive when the Windows setup program runs and no MBR code exists already. Hmm.., seemed to be right on the mark.



I searched further on the Internet, but the only utilities I found which could install MBR code was for other operating systems, like FDISK.exe /MBR for DOS (but I wouldn't boot to DOS...) or the fixmbr command in the Windows 2000/XP/2003 Recovery Console. Didn't want that either. Wanted something to work on a Windows 32 bit platform, to be able to fix the problem in other cases when using Win PE and just plain copying in the operating system files. So, then I was left to make the utility myself!



Problem solved: After booting up Windows PE from CD again, the command MBRFix /drive 0 fixmbr /yes solved it all. Embedded XP booted like a charm.

Samples:



C:\> MbrFix /drive 0 listpartitions

# Boot Size (MB) Type

1 Yes 151001 6 DOS 3.31+ 16-bit FAT (over 32M)

2 1623 12 WIN95 OSR2 32-bit FAT, LBA-mapped

3 0 0 None

4 0 0 None



C:\> MbrFix /drive 0 savembr Backup_MBR_0.bin



C:\> MbrFix /drive 0 restorembr Backup_MBR_0.bin

You are about to Restore MBR,

are you sure (Y/N)? Y



C:\> MbrFix /drive 0 fixmbr /yes





Readstate and Writestate:



The commands readstate and writestate use a byte at offset 0x1b0 to store state. The commands are only useful in a scenario where you use Windows PE to roll out other MS operating systems, and you have no other place to store information about where you are in the installation process. This location in the MBR is unused as far as known.



Credits:



Daniel B. Sedory, for his compilation of information on http://www.geocities.com/thestarman3/asm/mbr/MBR_in_detail.htm and for his feedback on the program.

User License Agreement:



The program is delivered AS-IS, that is without any form of guarantee. You may freely use the program for any legal purpose, and you may freely distribute it as long as this file is distributed along the program file.



Incorrect use of this program may cause loss of all data on your disk-drives. All use of this program is at the risk of the user. Systemintegrasjon AS does not accept any liability for any damage the program might cause.



If you do not accept these terms, you must delete the program, MbrFix.exe, at once!



Developed by Kåre Smith, 29. november 2004



[b]Como no entiendo Ingles[/b] no sé si sera interesante.



Saludos

[msc hotline sat]

Como le dijimos es una alternativa, y en tal caso la forma de ejecutarlo es:



C:\> MbrFix /drive 0 fixmbr /yes



Ya nos contarás el resultado, gracias



saludos



ms, 17-03-2008

[NoSeNa]

[quote="msc hotline sat"]Como le dijimos es una alternativa, y en tal caso la forma de ejecutarlo es:



C:\> MbrFix /drive 0 fixmbr /yes



Ya nos contarás el resultado, gracias



saludos



ms, 17-03-2008[/quote]

El archivo lo he colocado en la carpeta Windows, por indicaciones vuestras... Entonces seria :



A prueba de FALLOS en C:



C:\>WINDOWS>MBRFIX / DRIVE 0 FIXMBR / YES



Es correcto ?...



Y otra cosa si ejecuto ESO es Rebersible, si no funciona ??

[msc hotline sat]

Serás conejito de indias ... :lol: :lol: :lol:



El MBR puede ser sobreescrito despues, pero si quieres hazte una copia por si necesitas volver a lol actual, con:



MbrFix /drive <num> savembr <file> Save MBR and partitions to file



donde <file> es el nombre que elijas, por ejemplo "segu"



y si hiciera falta lo podrás revertir con:



MbrFix /drive <num> restorembr SEGU (Restore MBR and partitions from file)



Y por cierto, cuando lo hayas hecho , envianos una copia que veremos lo que implanta en el MBR, ya que no tenemos el disgusto de conocerlo :wink:



[b]¿Como enviar las muestras a zonavirus? - Para ello recordar[/b]:

https://foros.zonavirus.com/viewtopic.php?f=5&t=14253



saludos



ms, 17-03-2008

[NoSeNa]

[quote="msc hotline sat"]Serás conejito de indias ... :lol: :lol: :lol:





Y por cierto, cuando lo hayas hecho , envianos una copia que veremos lo que implanta en el MBR, ya que no tenemos el [b]disgusto[/b] de conocerlo :wink:



ms, 17-03-2008[/quote]

........????? :shock: Me habeis ACON...GOJADO....



Esto.... El Troyano, YA casi es de la familia. Estoy por dejar pasar Semana Santa y Fallas y luego..... :roll: Me acordaré de todos sus Muertos.



Me voy a estudiar bien el POST y .... Joer Complicado :cry:



No sé si en lugar de echarle del PC alquilarle una parcelita en el dico Duro



Ya os diré algo.



Gracias y Saludos

[msc hotline sat]

Es la primera vez que atacamos a un Rootkit en MBR, pero antes (hace años) habian estado de moda los virus de MBR y teníamos mucha costumbre de modificar el código de la tabla de particion, sin modificar los datos, y asi cepillarnos el virus existente en los primeros 446 bytes de los 512 del sector MBR, lo que pasa es que ahora con tecnología NT, el acceso a dicho sector está restringido y pasaron de moda :wink:



Y este es un recordatorio de aquellos, pero con tecnología NT, pues a por él ...



Por esto te pedimos copia del fichero "segu" para poder analizar de qué se trata, y aparte de resguardar una copia del MBR infectado, nos servirá para ver lo que hace, modifica y demas, por si hemos de restaurar alguna otra cosa.



Pero si te lo damos chupado ! un poco mas y te hacemos la faena y todo :lol: :lol: :lol:



saludos



ms, 17-03-2008

[NoSeNa]

[quote="msc hotline sat"]
Pero si te lo damos chupado ! un poco mas y te hacemos la faena y todo :lol: :lol: :lol:



saludos



ms, 17-03-2008[/quote]



Muchisimas Gracias por vuestro interes, lo que OCURRE, es que lo que para vosotros parece [b]CHUPADO[/b] para mi que no entiendo, es todo un [b]MUNDO[/b].



De hay que me lo tenga que pensar, por que la verdad es que me ACOJON....Piiiiii, temo estropear algo y perder toda la información que tengo que este momento es un MONTON.



De nuevo GRACIAS porque ademas en otras ocasiones me habeis solucionado RAPIDAMENTE el problema. Tambien sentia YO menos miedo a la hora de dar MATARILE al PC.



Gracias y Gracias.



P.D. He hecho he arrancado el Pc con el Disco Duro externo (500Gb) encendido y tambien me reconoce el mismo problema, quiere decir que el BICHO esta en los Dos discos duros DR1 y DR5

[msc hotline sat]

Por esto te lo detectaba en los dos...



Aplica la soluciona a los dos, cambiando el numero de drive.



saludos



ms, 17-03-2008

[NoSeNa]

Saludos de nuevo,



He encontrado en esta web lo siguiente:



[url]http://www.oral8.net/BackdoorWin32/BackdoorWin32_67.html[/url]



[b]How to remove Backdoor.Win32.Sinowal.a,Backdoor.Win32.Sinowal.a removal instruction[/b]



Pero está en Ingles y aunque lo traduzco no doy Pie con Bola.



tiene algo que ver con el troyano del que hablamos.



Gracias.