Secuelas post-troyano

[lancelott]

Hola, gracias de antemano.



Bueno sucede que mi pc se infecto con un troyano llamado bravesentry y apartir de ese momento he tenido varios problemas en forma de cadena.



1- La pc se reinicia de golpe

2- Se bloqueo el Administrador de tareas

3- No me deja mostrar archivos ocultos

4 - Todo se ha alentado.



En el orden que sucedio segun mi hermana:



Navegando tranquilamente la pc se le reinicio de golpe y luego al volver a cargarse todo salieron varias ventanas de que la pc estaba infectada con spywares y otros malwares y que compraramos la version comercial de un producto para desinfectarla.



bueno, fuia al msconfig y quite todos los programas que se cargaban al inicio, fui a agregar y quitar programas y desisntale todo lo que se habia instalado en ese momento. Baje el NOD32 lo actualice y lo corri y me detecto varios bichos pero al parecer pudo eliminar todo.



tambien baje el spybot, lo actualice y lo corri y tambien me detecto otros malwares y tambien los borro satisfactoriamente.



todo esto en modo seguro y con restaurar sistema desactivado.



tambien pase el ccleaner para borrar toda huella, desfragmente pase un un chkdsk y al parecer ya me habia librado de ese bicho.



pero al volver al modo normal la pc parecia como si todavia estuviera infectada, se sigue reiniciando cada 10 minutos, el administrador seguia bloqueado y todavia no me permitia mostrar los archivos oculto.



busque soluciones en internet y pude desbloquear el administrador de tareas editando una entrada del registro.



pero los demás problemas continuan, lei que para que no se reiniciara y en lugar de eso me mostrara la pantalla azul tenia que desmrcar una casilla en la configuración del sistema, lo hice y en efecto ahora en lugar de reiniciarse me muestra esa dichosa pantalla.



y cada 10 minutos me muestra ese pantallazo con este mensaje y otras cosas:


[quote]DRIVER IRQL NOT LESS OR EQUAL[/quote]

No creo que sea problema de hardaware porque solo me pasa en el modo normal, [b]en modo seguro no se reinicia[/b] y ese problema comenzo en el mismo momento que la pc se infecto con el bravesentry.



incluso ahora estoy posteando desde modo seguro porque de otra forma la pc se reinicia aproximadamente en 10 minutos, he vuelto a pasar el antivirusm el antispyware y me sale como si estuviera limpia pero los problemas continuan.



baje el hijackthis y limpie algunas entradas que me parecia sospechosas, tambien pase otras tools para ver si solucionaban el problema pero todo sigue igual.



asi tengo mi log del hijackthis actualmente:


[quote]Logfile of Trend Micro HijackThis v2.0.0 (BETA)

Scan saved at 12:42:56, on 04/04/2008

Platform: Windows XP SP2 (WinNT 5.01.2600)

Boot mode: Safe mode with network support



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\Documents and Settings\Familia\Mis documentos\clean\HiJackThis_v2.exe



R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)

O2 - BHO: Aplicación auxiliar de vínculos de Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Archivos comunes\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: Yahoo! IE Services Button - {5BAB4B5B-68BC-4B02-94D6-2FC0DE4A7897} - C:\Archivos de programa\Yahoo!\Common\yiesrvc.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.6.0_02\bin\ssv.dll

O2 - BHO: Windows Live Aplicación auxiliar de inicio de sesión - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_02\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_02\bin\ssv.dll

O9 - Extra button: Yahoo! Services - {5BAB4B5B-68BC-4B02-94D6-2FC0DE4A7897} - C:\Archivos de programa\Yahoo!\Common\yiesrvc.dll

O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O16 - DPF: {AF2E62B6-F9E1-4D4F-A10A-9DC8E6DCBCC0} (VideoEgg ActiveX Loader) - http://update.videoegg.com/Install/Windows/Initial/VideoEggPublisher.exe

O22 - SharedTaskScheduler: Precargador Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll

O22 - SharedTaskScheduler: Demonio de caché de las categorías de componente - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll

O23 - Service: Servicio del administrador de discos lógicos (dmadmin) - Unknown owner - C:\WINDOWS\System32\dmadmin.exe

O23 - Service: Registro de sucesos (Eventlog) - Unknown owner - C:\WINDOWS\system32\services.exe

O23 - Service: Servicio COM de grabación de CD de IMAPI (ImapiService) - Unknown owner - C:\WINDOWS\system32\imapi.exe

O23 - Service: Escritorio remoto compartido de NetMeeting (mnmsrvc) - Unknown owner - C:\WINDOWS\system32\mnmsrvc.exe

O23 - Service: Plug and Play (PlugPlay) - Unknown owner - C:\WINDOWS\system32\services.exe

O23 - Service: Administrador de sesión de Ayuda de escritorio remoto (RDSessMgr) - Unknown owner - C:\WINDOWS\system32\sessmgr.exe

O23 - Service: Tarjeta inteligente (SCardSvr) - Unknown owner - C:\WINDOWS\System32\SCardSvr.exe

O23 - Service: Registros y alertas de rendimiento (SysmonLog) - Unknown owner - C:\WINDOWS\system32\smlogsvc.exe

O23 - Service: Instantáneas de volumen (VSS) - Unknown owner - C:\WINDOWS\System32\vssvc.exe

O23 - Service: Adaptador de rendimiento de WMI (WmiApSrv) - Unknown owner - C:\WINDOWS\system32\wbem\wmiapsrv.exe



--

End of file - 3824 bytes
[/quote]

ya estoy deseperado y la verdad no quiero tener que formatear la maquina.



agradesco su ayuda.

[msc hotline sat]

Elimina esta clave,



O16 - DPF: {AF2E62B6-F9E1-4D4F-A10A-9DC8E6DCBCC0} (VideoEgg ActiveX Loader) - http://update.videoegg.com/Install/Wind ... lisher.exe





pues un analisis preliminar del fichero que descarga indica que es malware:



http://www.virustotal.com/analisis/fd8ded011ba770e7bc51b1ecd184ad53



El lunes, de vuelta al trabajo en SATINFO, la monitorizaremos e implementaremos su control y eliminacion en la nueva version 16.00 del ELISTARA



saludos



ms, 4-4-2008





nota:





[b]¿Como enviar las muestras a zonavirus? - Para ello recordar[/b]:

https://foros.zonavirus.com/viewtopic.php?f=5&t=14253

[lancelott]

gracias, ya he eliminado esa entrada, volvi a actualizar el NOD32 y lo volví a correr y me detecto otro troyano en C: pero al parecer lo elimino correctamente porque ya no volvió a aparecer, baje el ad-aware, lo actualice también lo corrí y borre todo lo que me detecto.



busque en Internet y pude hacer que se mostraran ya los archivos ocultos editando una entrada en el registro. Pero el problema principal siempre persiste!



aproximadamente cada 10 minutos me sale ese pantallazo azul que no me deja hacer prácticamente nada :( y trabaja en modo seguro es en realidad terrible!!

[msc hotline sat]

Has probado el ELISTARA actual ? Aunque no sea la version que controle este malware especificamente, conoce y elimina mas de 100.000 variantes y corrige las correspondientes claves modificadass, entre ellas las que el ONLINE GAMES impiden ver ficheros ocultos...



Hasta que el lunes subamos la version 16.00 para el caso, prueba la actual e informanos del resultado:


[quote="para DESCARGAR el ELISTARA, msc"] http://www.zonavirus.com/descargas/elistara.asp



Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso [/quote]

saludos



ms, 5-4-2008

[lancelott]

gracias, acabo de correr el Elistara y en efecto me detecto el online games y lo elimino. Pero por desgracia el problema persiste, sigue dándome ese pantallazo azul cada 10 mins.



adjunto el log-


[quote]
Sat Apr 05 11:34:08 2008

EliStartPage v15.99 (c)2008 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

C:\Documents and Settings\Familia\Datos de programa\Install.dat --> Eliminado (Fichero Complementario).

No detectado Parche MS06-070 de Microsoft instalado. (SServidor)

ALERTA. WindowsUpdate Incompleto.

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Sat Apr 05 11:34:33 2008

EliStartPage v15.99 (c)2008 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\22WCB21O.EXE --> Eliminado, PWS-OnLineGames.AMVO

C:\AWDA2.EXE --> Eliminado, PWS-OnLineGames.AMVO

C:\STW1OJDE.BAT --> Eliminado, PWS-OnLineGames.AMVO

C:\TA2.CMD --> Eliminado, PWS-OnLineGames.AMVO

C:\Archivos de programa\GeoVid\Video Avatar\MUISUPPORT.DLL --> Eliminado, 180Solutions

C:\Archivos de programa\Java\jre1.6.0_02\bin\JLI.DLL --> Eliminado, SpyBurner



Nº Total de Directorios: 1615

Nº Total de Ficheros: 19353

Nº de Ficheros Analizados: 7161

Nº de Ficheros Infectados: 6

Nº de Ficheros Limpiados: 6



Sat Apr 05 11:54:09 2008

EliStartPage v15.99 (c)2008 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

No detectado Parche MS06-070 de Microsoft instalado. (SServidor)

ALERTA. WindowsUpdate Incompleto.

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Sat Apr 05 11:54:20 2008

EliStartPage v15.99 (c)2008 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\



Nº Total de Directorios: 1616

Nº Total de Ficheros: 19325

Nº de Ficheros Analizados: 7162

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0
[/quote]

[msc hotline sat]

Pues ojo con tus pendrives, porque deben estar infectadois y pueden volverte a infectar.



Vacuna ordenador y unidades en cuestion con el ELIPEN:


[quote="para DESCARGAR el ELIPEN, msc"] http://www.zonavirus.com/descargas/elipen.asp



Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso [/quote]



saludos



ms, 5-4-2008