Malware al entrar en un sitio web hackeado (SOLUCIONADO)

[Dandy]

Hola, que tal? Ayer quería pedir empanadas a domicilio y me metí en soloempanadas.com (NO ENTRAR SALVO EXPERTOS: TIENE UN JAVASCRIPT MALICIOSO). Resulta que a partir de ese momento, ya no puedo ejecutar ninguna aplicación.



Lo que hice fué pasar el ewido online en modo seguro, y el panda online (que no terminó, porque se colgó en la mitad).

Luego también pasé el AVG-AntiSpyware, y no me detectó nada.

Los 2 antivirus anteriores me detectaron algunos virus, y los borré, pero en definitiva, no solucionó nada, porque reinicié en modo normal y el problema persistía: no pude ejecutar ninguna aplicación (no las abría).

También pasé el cc cleaner.



Luego, reinicio nuevamente en modo seguro, pero resulta que ya no puedo ejecutar ninguna aplicación tampoco.

tengo la máquina inutilizada. Salvo el explorer.exe, no me funciona nada.



Cómo prosigo para detectar y eliminar el malware/virus?



Dejo a continuación el reporte del panda. que aunque no haya terminado, devolvió el reporte.



Gracias

Dandy





--------------------------------------------
[code];***********************************************************************************************************************************************************************************
ANALYSIS: 2008-05-02 08:05:03
PROTECTIONS: 1
MALWARE: 40
SUSPECTS: 0
;***********************************************************************************************************************************************************************************
PROTECTIONS
Description Version Active Updated
;===================================================================================================================================================================================
ESET NOD32 antivirus system 2.70 2.70 Yes No
;===================================================================================================================================================================================
MALWARE
Id Description Type Active Severity Disinfectable Disinfected Location
;===================================================================================================================================================================================
00041595 PHP/Santy.C Virus/Worm No 0 Yes No C:\Program Files\EasyPHP\www\tgptrades\Back UP Pasaje Server Gaby\log\xpl.txt
00092471 Application/MotherboardMonitor.A HackTools No 0 Yes No C:\PhAnATiC\System\dlls\moo.dll
00139064 Cookie/Atlas DMT TrackingCookie No 0 Yes No C:\Documents and Settings\Dandy\Application Data\Mozilla\Firefox\Profiles\kkxtmz32.default\cookies.txt[.atdmt.com/]
00145731 Cookie/Tribalfusion TrackingCookie No 0 Yes No C:\Documents and Settings\Dandy\Cookies\dandy@tribalfusion[2].txt
00149116 Cookie/Ccbill TrackingCookie No 0 Yes No C:\Documents and Settings\Dandy\Cookies\dandy@ccbill[2].txt
00159564 Cookie/WUpd TrackingCookie No 0 Yes No C:\Documents and Settings\Dandy\Cookies\dandy@revenue[2].txt
00161845 Cookie/Powerscan TrackingCookie No 0 Yes No C:\Documents and Settings\Dandy\Cookies\dandy@gammae[1].txt
00167642 Cookie/Com.com TrackingCookie No 0 Yes No C:\Documents and Settings\Dandy\Cookies\dandy@com[1].txt
00167647 Cookie/Yadro TrackingCookie No 0 Yes No C:\Documents and Settings\Dandy\Cookies\dandy@yadro[2].txt
00167653 Cookie/Outster TrackingCookie No 0 Yes No C:\Documents and Settings\Dandy\Cookies\dandy@outster[3].txt
00167653 Cookie/Outster TrackingCookie No 0 Yes No C:\Documents and Settings\Dandy\Cookies\dandy@outster[1].txt
00167704 Cookie/Xiti TrackingCookie No 0 Yes No C:\Documents and Settings\Dandy\Cookies\dandy@xiti[2].txt
00167704 Cookie/Xiti TrackingCookie No 0 Yes No C:\Documents and Settings\Dandy\Application Data\Mozilla\Firefox\Profiles\kkxtmz32.default\cookies.txt[.xiti.com/]
00167724 Cookie/HotLog TrackingCookie No 0 Yes No C:\Documents and Settings\Dandy\Cookies\dandy@hotlog[1].txt
00167744 Cookie/GoStats TrackingCookie No 0 Yes No C:\Documents and Settings\Dandy\Cookies\dandy@gostats[2].txt
00167749 Cookie/Toplist TrackingCookie No 0 Yes No C:\Documents and Settings\Dandy\Cookies\dandy@toplist[2].txt
00167749 Cookie/Toplist TrackingCookie No 0 Yes No C:\Documents and Settings\Dandy\Cookies\dandy@toplist[1].txt
00167749 Cookie/Toplist TrackingCookie No 0 Yes No C:\Documents and Settings\Dandy\Application Data\Mozilla\Firefox\Profiles\kkxtmz32.default\cookies.txt[.toplist.cz/]
00168056 Cookie/YieldManager TrackingCookie No 0 Yes No C:\Documents and Settings\Dandy\Application Data\Mozilla\Firefox\Profiles\kkxtmz32.default\cookies.txt[ad.yieldmanager.com/]
00168056 Cookie/YieldManager TrackingCookie No 0 Yes No C:\Documents and Settings\Dandy\Application Data\Mozilla\Firefox\Profiles\kkxtmz32.default\cookies.txt[ad.yieldmanager.com/]
00168056 Cookie/YieldManager TrackingCookie No 0 Yes No C:\Documents and Settings\Dandy\Application Data\Mozilla\Firefox\Profiles\kkxtmz32.default\cookies.txt[ad.yieldmanager.com/]
00168056 Cookie/YieldManager TrackingCookie No 0 Yes No C:\Documents and Settings\Dandy\Application Data\Mozilla\Firefox\Profiles\kkxtmz32.default\cookies.txt[ad.yieldmanager.com/]
00168056 Cookie/YieldManager TrackingCookie No 0 Yes No C:\Documents and Settings\Dandy\Application Data\Mozilla\Firefox\Profiles\kkxtmz32.default\cookies.txt[ad.yieldmanager.com/]
00168061 Cookie/Apmebf TrackingCookie No 0 Yes No C:\Documents and Settings\Dandy\Application Data\Mozilla\Firefox\Profiles\kkxtmz32.default\cookies.txt[.apmebf.com/]
00168076 Cookie/BurstNet TrackingCookie No 0 Yes No C:\Documents and Settings\Dandy\Cookies\dandy@burstnet[2].txt
00168090 Cookie/Serving-sys TrackingCookie No 0 Yes No C:\Documents and Settings\Dandy\Cookies\dandy@serving-sys[2].txt
00168093 Cookie/Serving-sys TrackingCookie No 0 Yes No C:\Documents and Settings\Dandy\Cookies\dandy@bs.serving-sys[2].txt
00168102 Cookie/Falkag TrackingCookie No 0 Yes No C:\Documents and Settings\Dandy\Cookies\dandy@as1.falkag[1].txt
00168106 Cookie/Weborama TrackingCookie No 0 Yes No C:\Documents and Settings\Dandy\Cookies\dandy@weborama[2].txt
00168109 Cookie/Adtech TrackingCookie No 0 Yes No C:\Documents and Settings\Dandy\Cookies\dandy@adtech[1].txt
00168110 Cookie/Server.iad.Liveperson TrackingCookie No 0 Yes No C:\Documents and Settings\Dandy\Cookies\dandy@server.iad.liveperson[1].txt
00168114 Cookie/onestat.com TrackingCookie No 0 Yes No C:\Documents and Settings\Dandy\Cookies\dandy@stat.onestat[2].txt
00168116 Cookie/Comclick TrackingCookie No 0 Yes No C:\Documents and Settings\Dandy\Cookies\dandy@fl01.ct2.comclick[2].txt
00170495 Cookie/PointRoll TrackingCookie No 0 Yes No C:\Documents and Settings\Dandy\Cookies\dandy@ads.pointroll[1].txt
00170533 Cookie/Adrevolver TrackingCookie No 0 Yes No C:\Documents and Settings\Dandy\Cookies\dandy@mbe[2].txt
00170557 Cookie/Com.com TrackingCookie No 0 Yes No C:\Documents and Settings\Dandy\Cookies\dandy@terra.com[2].txt
00171982 Cookie/QuestionMarket TrackingCookie No 0 Yes No C:\Documents and Settings\Dandy\Cookies\dandy@questionmarket[1].txt
00184846 Cookie/Adrevolver TrackingCookie No 0 Yes No C:\Documents and Settings\Dandy\Application Data\Mozilla\Firefox\Profiles\kkxtmz32.default\cookies.txt[.adrevolver.com/]
00184846 Cookie/Adrevolver TrackingCookie No 0 Yes No C:\Documents and Settings\Dandy\Application Data\Mozilla\Firefox\Profiles\kkxtmz32.default\cookies.txt[.adrevolver.com/]
00184846 Cookie/Adrevolver TrackingCookie No 0 Yes No C:\Documents and Settings\Dandy\Application Data\Mozilla\Firefox\Profiles\kkxtmz32.default\cookies.txt[.adrevolver.com/]
00184846 Cookie/Adrevolver TrackingCookie No 0 Yes No C:\Documents and Settings\Dandy\Application Data\Mozilla\Firefox\Profiles\kkxtmz32.default\cookies.txt[.adrevolver.com/]
00187950 Cookie/bravenetA TrackingCookie No 0 Yes No C:\Documents and Settings\Dandy\Cookies\dandy@bravenet[2].txt
00194327 Cookie/Go TrackingCookie No 0 Yes No C:\Documents and Settings\Dandy\Cookies\dandy@go[2].txt
00199984 Cookie/Searchportal TrackingCookie No 0 Yes No C:\Documents and Settings\Dandy\Cookies\dandy@searchportal.information[2].txt
00262020 Cookie/Atwola TrackingCookie No 0 Yes No C:\Documents and Settings\Dandy\Cookies\dandy@atwola[2].txt
00262020 Cookie/Atwola TrackingCookie No 0 Yes No C:\Documents and Settings\Dandy\Cookies\dandy@atwola[3].txt
00279000 Trj/ClassLoader.E Virus/Trojan No 0 Yes No C:\Documents and Settings\Dandy\Application Data\Sun\Java\Deployment\cache\javapi\v1.0\jar\ms0311.jar-598c690d-674ec838.zip[SuperMSClassLoader.class]
00286732 Cookie/Cgi-bin TrackingCookie No 0 Yes No C:\Documents and Settings\Dandy\Cookies\dandy@www3.addfreestats[1].txt
00286736 Cookie/Cgi-bin TrackingCookie No 0 Yes No C:\Documents and Settings\Dandy\Cookies\dandy@www6.addfreestats[1].txt
00286736 Cookie/Cgi-bin TrackingCookie No 0 Yes No C:\Documents and Settings\Dandy\Cookies\dandy@www6.addfreestats[2].txt
01262593 Application/NirCmd.A HackTools No 0 No No C:\Documents and Settings\Administrator\Desktop\forospyware\ComboFix.exe[nircmd.cfexe]
01262593 Application/NirCmd.A HackTools No 0 No No C:\Documents and Settings\Dandy\Desktop\Varios\forospyware\ComboFix.exe[nircmd.cfexe]
01262593 Application/NirCmd.A HackTools No 0 No No C:\Documents and Settings\Administrator\Desktop\forospyware\ComboFix.exe[nircmd.exe]
01262593 Application/NirCmd.A HackTools No 0 No No C:\Documents and Settings\Dandy\Desktop\Varios\forospyware\ComboFix.exe[nircmd.exe]
01606636 Cookie/Adserver TrackingCookie No 0 Yes No C:\Documents and Settings\Dandy\Cookies\dandy@adserver.easyad[2].txt
01606636 Cookie/Adserver TrackingCookie No 0 Yes No C:\Documents and Settings\Dandy\Cookies\dandy@adserver.easyad[1].txt
01606636 Cookie/Adserver TrackingCookie No 0 Yes No C:\Documents and Settings\Dandy\Cookies\dandy@adserver.easyad[3].txt
02906751 W32/Sdbot.LSL.worm Virus/Trojan No 1 Yes No C:\qoobox\Quarantine\C\WINDOWS\exefld\21777656.exe.vir
02906751 W32/Sdbot.LSL.worm Virus/Trojan No 1 Yes No C:\qoobox\Quarantine\C\WINDOWS\exefld\1424921.exe.vir
;===================================================================================================================================================================================
SUSPECTS
Sent Location
;===================================================================================================================================================================================
;===================================================================================================================================================================================
VULNERABILITIES
Id Severity Description
;===================================================================================================================================================================================
;===================================================================================================================================================================================
[/code] :P

[lucl]

Lo primero de todo vamos a probar el elibagla por si tuvieras un bagle pululando por ahi y que se dedica a fastidiar los ejecutables, pasalo lo primero y luego seguimos te dejo link de descarga



http://www.zonavirus.com/descargas/elibagla.asp



nos pegas el log que te dejara en C infosat.txt



ademas tienes varias cookies con un buen antiespias quedaria resuelto a mi me gusta el spybot te dejo link de descarga pruebalo y nos dices si te elimino estas



http://www.zonavirus.com/descargas/spybot-sd.asp



y prueba de paso estos antitrojanos y nos pegas el log completo llamado infosat.txt que tendras en C , saludos



http://www.zonavirus.com/descargas/elistara.asp



http://www.zonavirus.com/descargas/elitriip.asp

[Dandy]

Muy bien. Voy a vewr si los puedo ejecutar, porque el virus no me deja ejecutar nada. Igual, si trato de ejecutar un .exe muchas veces y rapido, parece que sí lo agarra.



Supongo quew demoraré unas cuantas horas.

Gracias y respondo con los reportes.

[Dandy]

Bueno. He pasado las 3 aplicaciones.



Aparentemente era el EliStarA, porque me detecto 10 archivos infectados y ya puedo ejecutar aplicaciones.



Pongo el reporte del InfoSat.

Hay algo mas que deba hacer? (estoy en safe mode y tengo el system restore desactivado).

Tengo que hcer algo cuando vuelva al modo normal de windows?



Desde ya, muchas gracias por tu ayuda.

Creo que fue la vez que mas rapido he resuelto un problema de virus.



----------------------------------


[code]
Fri May 02 12:47:29 2008
EliTriIP v4.67 (c)2008 S.G.H. / Satinfo S.L.
---------------------------------------------
Lista de Acciones (por Acción Directa):

Fri May 02 12:47:44 2008
EliTriIP v4.67 (c)2008 S.G.H. / Satinfo S.L.
---------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\

Nº Total de Directorios: 25593
Nº Total de Ficheros: 375661
Nº de Ficheros Analizados: 50922
Nº de Ficheros Infectados: 0
Nº de Ficheros Limpiados: 0



Fri May 02 13:07:54 2008
EliBagle v11.32 (c)2008 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Acción Directa):
Nº Total de Directorios: 25594
Nº Total de Ficheros: 375665
Nº de Ficheros Analizados: 10880
Nº de Ficheros Infectados: 0
Nº de Ficheros Limpiados: 0

Fri May 02 13:41:20 2008
EliStartPage v16.20 (c)2008 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Acción Directa):
Restaurado fichero de Configuración del IE, (IERESET.INF)
Eliminadas las Paginas de Inicio y de Busqueda del IE
Eliminados Ficheros Temporales del IE

Fri May 02 13:44:13 2008
EliStartPage v16.20 (c)2008 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\
C:\Documents and Settings\Dandy\Desktop\Varios\BACK UPS DBs SERVER\BACKUP PLESK SERVER COMPLETO\usr\share\doc\db4-devel-4.1.25\api_c\SET_FUNC_SLEEP.HTML --> Eliminado, MalWare.Celular
C:\Program Files\EasyPHP_viejo\php\PHP4TS.DLL --> Eliminado, MailSkinner
C:\Program Files\Online Services\AOL90US\comps\qt\QT.EXE --> Eliminado, Puper-Isa
C:\Program Files\Online Services\PeoplePC\ISP50\Bin\ISPUTIL5.DLL --> Eliminado, CommanderNET (TB)
C:\SWSetup\MSWorks\US\PFILES\MSWORKS\WKDBOLE.DLL --> Eliminado, ZangoSA (BHO)
C:\SWSetup\MSWorks\US\PFILES\MSWORKS\WKSSOLE.DLL --> Eliminado, ZangoSA (BHO)
C:\WINDOWS\NIRCMD.EXE --> Eliminado, Tool-NirCmd
C:\WINDOWS\ImageMagick\modules\coders\IM_MOD_RL_OTB_.DLL --> Eliminado, Puper-Isf
C:\WINDOWS\system32\SINTF32.DLL --> Eliminado, Spy-CmdLineExt
C:\WINDOWS\system32\SINTFNT.DLL --> Eliminado, Spy-CmdLineExt

Nº Total de Directorios: 25568
Nº Total de Ficheros: 360924
Nº de Ficheros Analizados: 55160
Nº de Ficheros Infectados: 10
Nº de Ficheros Limpiados: 10
[/code]

[lucl]

Arranca en modo normal, activa de nuevo la restauracion del sistema, y deberias vacunar tu pc con elipen, te dejo link de descarga



http://www.zonavirus.com/descargas/elipen.asp



y para bordarlo ya del todo prueba este online, solo testea por lo que podremos ver si tienes algun virus mas, nos pegas el log que te de y te decimos algo, te dejo link del online



https://www.kaspersky.es/downloads/thank-you/free-antivirus-download



y si quieres mandame mediante mp la direccion exacta donde entraste y te descargaron el virus, yo se la dare al administrador y obraremos en consecuencia, saludos

[lucl]

Recibido un mp del forero comunicando que esta solucionado pasamos a cerrarlo , no obstante recuerda vacunarlo con elipen como te sugeri en el post anterior, saludos y vuelve cuando quieras