Crucecita de marras (SOLUCIONADO)

[TuaLeT]

Hola

Vuelvo a lo mismo. Aunque ayer parecia que el tema estaa solucionado, hoy de nuevo "my computer is infected". No esta conectado a internet, tengo "restaurar sistema" desativado, y, bueno, todo lo que conte en el post anterior, que es este... viewtopic.php?f=6&t=25305

Lo unico evidente que veo es que hay algun otro proceso que esta generando los archivos del fake, puesto que se han vuelto a generar. Posteo mi ultimo log del Elistara (desde hoy, hasta ayer los obvio por estar en el post anterior)

Thu Jul 31 08:08:23 2008
EliStartPage v16.82 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 30 de Julio del 2008)
--------------------------------------------------
Lista de Acciones (por Acción Directa):
Eliminadas las Paginas de Inicio y de Busqueda del IE
Eliminados Ficheros Temporales del IE

Thu Jul 31 08:08:26 2008
EliStartPage v16.82 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 30 de Julio del 2008)
--------------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\

Nº Total de Directorios: 364
Nº Total de Ficheros: 5010
Nº de Ficheros Analizados: 2060
Nº de Ficheros Infectados: 0
Nº de Ficheros Limpiados: 0
Exploración Detenida por el Usuario.

Thu Jul 31 08:26:18 2008
EliStartPage v16.82 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 30 de Julio del 2008)
--------------------------------------------------
Lista de Acciones (por Acción Directa):
Eliminadas las Paginas de Inicio y de Busqueda del IE
Eliminados Ficheros Temporales del IE

Thu Jul 31 08:26:22 2008
EliStartPage v16.82 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 30 de Julio del 2008)
--------------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\
C:\WINDOWS\BURITOS.EXE --> Eliminado, FakeAlert(braviax)
C:\WINDOWS\KARINA.DAT --> Eliminado, WinAntispyware2008(dldr)
C:\WINDOWS\system32\BURITOS.EXE --> Acceso Denegado, FakeAlert(braviax) (Reiniciar para Completar la Limpieza)
C:\WINDOWS\system32\KARINA.DAT --> Eliminado, WinAntispyware2008(dldr)

Nº Total de Directorios: 10995
Nº Total de Ficheros: 145405
Nº de Ficheros Analizados: 36094
Nº de Ficheros Infectados: 4
Nº de Ficheros Limpiados: 3

Thu Jul 31 08:38:59 2008
EliStartPage v16.82 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 30 de Julio del 2008)
--------------------------------------------------
Lista de Acciones (por Acción Directa):
Eliminadas las Paginas de Inicio y de Busqueda del IE
Eliminados Ficheros Temporales del IE

Thu Jul 31 08:39:03 2008
EliStartPage v16.82 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 30 de Julio del 2008)
--------------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\
C:\WINDOWS\BURITOS.EXE --> Eliminado, FakeAlert(braviax)
C:\WINDOWS\KARINA.DAT --> Eliminado, WinAntispyware2008(dldr)
C:\WINDOWS\system32\BURITOS.EXE --> Eliminado, FakeAlert(braviax)
C:\WINDOWS\system32\BURITOS.EXE.VIR --> Eliminado, FakeAlert(braviax)
C:\WINDOWS\system32\KARINA.DAT --> Eliminado, WinAntispyware2008(dldr)

Nº Total de Directorios: 10994
Nº Total de Ficheros: 145405
Nº de Ficheros Analizados: 36094
Nº de Ficheros Infectados: 5
Nº de Ficheros Limpiados: 5

Saludos

[TuaLeT]

---Novedades---

Despues de pasar y pasar el ElistarA 13.82 y estar seguro de que no me detecta nada, he descargado el programa OTMoveIt2, y le he dicho que me eliminara los archivos

C:\WINDOWS\system32\dllcache\beep.sys
C:\WINDOWS\system32\drivers\beep.sys
C:\WINDOWS\system32\winivstr.exe

Y el log me ha dicho que...

C:\WINDOWS\system32\dllcache\beep.sys moved successfully.
C:\WINDOWS\system32\drivers\beep.sys moved successfully.
C:\WINDOWS\system32\winivstr.exe moved successfully.

Luego he descargado la herramienta SDFix Y tambien la he ejecutado, la cual me ha eliminado

Trojan Files Found:

C:\WINDOWS\system32\delself.bat - Deleted

Luego me he descargado el MalwareBytes' Antimalware, el cual me ha encontrado y eliminado...

Claves del Registro Infectadas:
HKEY_LOCAL_MACHINE\SOFTWARE\rhcvvkj0epb5 (Rogue.Multiple) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\XP_SecurityCenter (Rogue.XPSecurityCenter) -> Quarantined and deleted successfully.

Valores del Registro Infectados:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Network\UID (Malware.Trace) -> Quarantined and deleted successfully.

Elementos de Datos del Registro Infectados:
(No se han detectado elementos maliciosos)

Carpetas Infectadas:
C:\Documents and Settings\sarenas\Datos de programa\rhcvvkj0epb5 (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\Documents and Settings\sarenas\Datos de programa\rhcvvkj0epb5\Quarantine (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\Documents and Settings\sarenas\Datos de programa\rhcvvkj0epb5\Quarantine\Autorun (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\Documents and Settings\sarenas\Datos de programa\rhcvvkj0epb5\Quarantine\Autorun\HKCU (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\Documents and Settings\sarenas\Datos de programa\rhcvvkj0epb5\Quarantine\Autorun\HKCU\RunOnce (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\Documents and Settings\sarenas\Datos de programa\rhcvvkj0epb5\Quarantine\Autorun\HKLM (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\Documents and Settings\sarenas\Datos de programa\rhcvvkj0epb5\Quarantine\Autorun\HKLM\RunOnce (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\Documents and Settings\sarenas\Datos de programa\rhcvvkj0epb5\Quarantine\Autorun\StartMenuAllUsers (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\Documents and Settings\sarenas\Datos de programa\rhcvvkj0epb5\Quarantine\Autorun\StartMenuCurrentUser (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\Documents and Settings\sarenas\Datos de programa\rhcvvkj0epb5\Quarantine\BrowserObjects (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\Documents and Settings\sarenas\Datos de programa\rhcvvkj0epb5\Quarantine\Packages (Rogue.Multiple) -> Quarantined and deleted successfully.

Ficheros Infectados:
C:\RECYCLER\S-1-5-21-1177238915-1284227242-839522115-1115\Dc84.exe (Rogue.Installer) -> Quarantined and deleted successfully.
C:\Documents and Settings\slroot.GARAU\Configuración local\Temp\Temporary Internet Files\Content.IE5\2JJFHQTW\Install[1].exe (Rogue.Installer) -> Quarantined and deleted successfully.
C:\Documents and Settings\slsat\XPSecurityCenter.dll (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\Documents and Settings\slsat\XPSecurityCenter.exe (Rogue.Installer) -> Quarantined and deleted successfully.
C:\Documents and Settings\slroot.GARAU\XPSecurityCenter.dll (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\Documents and Settings\slroot.GARAU\XPSecurityCenter.exe (Rogue.Installer) -> Quarantined and deleted successfully.
C:\Documents and Settings\sarenas\XPSecurityCenter.dll (Rogue.Multiple) -> Quarantined and deleted successfully.
C:\Documents and Settings\sarenas\Datos de programa\Microsoft\Internet Explorer\Quick Launch\Antivirus XP 2008.lnk (Rogue.Antivirus2008) -> Quarantined and deleted successfully.
C:\Documents and Settings\slroot.GARAU\Configuración local\Temp\.tt3.tmp (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\Documents and Settings\slroot.GARAU\Configuración local\Temp\.tt4.tmp (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\Documents and Settings\slroot.GARAU\Configuración local\Temp\.tt5.tmp (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\Documents and Settings\slroot.GARAU\Configuración local\Temp\.tt7.tmp (Trojan.Downloader) -> Quarantined and deleted successfully.

Después de todo esto, hecho siempre en modo seguro, he iniciado en modo normal, y ya he podido arrancar el HijackThis, el cual no mostraba ningún proceso extraño mas que una linea que apuntaba al famoso archivo BURITOS.EXE, que he eliminado. Tambien me ha permitido instalar, ejecutar y actualizar el SuperAntiSpyware, que ahora mismo estoy pasando, que me ha encontrado 538 cookies y un "TrojanXP Security center", todo esto en una copia antigua, con lo que no hay peligro. Igual me los ha eliminado.

Acabo de reiniciar el sistema y parece que el problema ha sido definitivamente resuelto. Si hay algo a lo largo del dia os ire informando. Os envio una copia de los archivos detectados por OTMoveIT y SDFix, para que los analiceis.

Saludos

PD: revisaros el envio de muestras desde el Firefox 3, que no funciona

[msc hotline sat]

Si, el firefox no está soportado en este foro, al no ser el standar (ni van los AV ONLINE ni demas)

Envianos las muestras empaquetadas con password VIRUS y adjuntandolas al mail dirigido a zonavirus@satinfo.es , en cuyo asunto indiques tu nick del foro

Mientras estudiaremos lo que nos dices.

saludos
ms, 31-07-2008

[TuaLeT]

Enviados por mail...



Saludos

[msc hotline sat]

Pues recibidas las muestras, vemos una muy interesante que no conociamos, que es el BEEP.SYS, el cual resulta ser un RootKit que nos podía marear al respecto (como ha hecho )

De los demas, el WINIVSTR.EXE tambien lo pasamos a controlar por cadenas en la version de hoy del ELISTARA 16.83

Y el DELSELF.BAT no hace falta hacer nada con él ya que tras eliminar un temporal (pistas) se autoborra:

@echo off
:try
del "C:\WINDOWS\TEMP\5.tmp"
if exist "C:\WINDOWS\TEMP\5.tmp" goto try
del delself.bat

Pues maraña tiene... a ver si con lo que implementamos ya los futuros infectados lo tienen mas fácil ...

Muchas gracias por su colaboracion, especialmente cuando ya lo ha solucionado ! y felicidades por haberlo logrado, ya se puede ir de vacaciones !

saludos
ms, 31-07-2008

[TuaLeT]

Deciros que efectivamente se ha solucionado el tema, ya no hay rastro de la infeccion.

Ahora a por el de la bromita del salva-pantallazo este creo que el SuperAntiSpyware lo quita

Encantado de colaborar con vosotros, en definitiva, hacienda somos todos

Saludos
PD: Vacaciones, lo que se dice vacaciones... pocas, mas bien, ninguna.

[msc hotline sat]

Pues mientras hayas enviado el virus de vacaciones, ya te quedas tranquilo, y a veces se está mejor trabajando, mas fresquito y todo !

Celebramos que lo hayas solucionado y procedemos a cerrar el Tema

Si nos necesitas de nuevo, ya sabes donde estamos

saludos
ms, 31-07-2008