Me baje un archivo infectado (TERMINADO)

[Sash]

Aqui esta el informe de Virus Total.



Motor antivirus Versión Última actualización Resultado

a-squared 4.0.0.101 2009.05.29 -

AhnLab-V3 5.0.0.2 2009.05.29 -

AntiVir 7.9.0.180 2009.05.29 -

Antiy-AVL 2.0.3.1 2009.05.27 -

Authentium 5.1.2.4 2009.05.29 -

Avast 4.8.1335.0 2009.05.29 -

AVG 8.5.0.339 2009.05.28 -

BitDefender 7.2 2009.05.29 -

CAT-QuickHeal 10.00 2009.05.29 -

ClamAV 0.94.1 2009.05.29 -

Comodo 1211 2009.05.28 -

DrWeb 5.0.0.12182 2009.05.29 -

eSafe 7.0.17.0 2009.05.27 [color=#FF0000]Suspicious File[/color]

eTrust-Vet 31.6.6527 2009.05.29 -

F-Prot 4.4.4.56 2009.05.29 -

F-Secure 8.0.14470.0 2009.05.29 -

Fortinet 3.117.0.0 2009.05.29 -

GData 19 2009.05.29 -

Ikarus T3.1.1.57.0 2009.05.29 -

K7AntiVirus 7.10.748 2009.05.28 -

Kaspersky 7.0.0.125 2009.05.29 -

McAfee 5629 2009.05.28 -

McAfee+Artemis 5629 2009.05.28 -

McAfee-GW-Edition 6.7.6 2009.05.28 -

Microsoft 1.4701 2009.05.29 -

NOD32 4115 2009.05.29 -

Norman 6.01.05 2009.05.28 -

nProtect 2009.1.8.0 2009.05.29 -

Panda 10.0.0.14 2009.05.29 -

PCTools 4.4.2.0 2009.05.21 -

Prevx 3.0 2009.05.29 [color=#FF0000]High Risk Cloaked Malware[/color]

Rising 21.31.21.00 2009.05.27 -

Sophos 4.42.0 2009.05.29 -

Sunbelt 3.2.1858.2 2009.05.29 -

Symantec 1.4.4.12 2009.05.29 -

TheHacker 6.3.4.3.334 2009.05.29 -

TrendMicro 8.950.0.1092 2009.05.29 -

VBA32 3.12.10.6 2009.05.27 -

ViRobot 2009.5.29.1760 2009.05.29 -

VirusBuster 4.6.5.0 2009.05.28 -

Información adicional

Tamano archivo: 14250 bytes

MD5...: b2c4b6d3ae04ed7f705b7cef3fa88e4a

SHA1..: 7dd3dc79c258c7fd1ec699673e66e77eab700df9

SHA256: 9706b5f53d07e3e1507594fe86797d41e69516208518de5a9c410daa627e0711

ssdeep: 384:K6WsfWw6gJmGtWWN3a69un1cd28SmHV2pXhHU8:KrMWw6bG4WNzjd2VsVWBF

PEiD..: Crypto-Lock v2.02 (Eng) -> Ryan Thian

TrID..: File type identification

DOS Executable Generic (99.6%)

Autodesk FLIC Image File (extensions: flc, fli, cel) (0.3%)

PEInfo: PE Structure information



( base data )

entrypointaddress.: 0xb550

timedatestamp.....: 0x4a1576b6 (Thu May 21 15:43:50 2009)

machinetype.......: 0x14c (I386)



( 3 sections )

name viradd virsiz rawdsiz ntrpy md5

UPX0 0x1000 0x8000 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e

UPX1 0x9000 0x3000 0x2800 7.75 defd6714dce423e313dea8749c58ae5c

.rsrc 0xc000 0x1000 0xa00 3.28 84b76be78192e6434b55fb643bc330e5



( 5 imports )

> KERNEL32.DLL: LoadLibraryA, GetProcAddress, ExitProcess

> ADVAPI32.dll: RegEnumKeyA

> MFC42.DLL: -

> MSVCRT.dll: exit

> USER32.dll: IsIconic



( 0 exports )

PDFiD.: -

RDS...: NSRL Reference Data Set

-

packers (Kaspersky): UPX

packers (F-Prot): UPX

Prevx info: <a href='http://info.prevx.com/aboutprogramtext.asp?PX5=6A9B5B7DAA4AEC19372500E2AD2E820064028202' target='_blank'>http://info.prevx.com/aboutprogramtext.asp?PX5=6A9B5B7DAA4AEC19372500E2AD2E820064028202</a>



Importante IMPORTANTE: VirusTotal es un servicio gratuito ofrecido por Hispasec Sistemas, quien no garantiza la disponibilidad y continuidad de funcionamiento de éste. Pese a que el índice de detección ofrecido por el análisis simultáneo de múltiples motores antivirus es muy superior al de un sólo producto, los resultados NO garantizan la inocuidad de un archivo. No existe solución que pueda ofrecer un 100% de efectividad en el reconocimiento de virus y malware en general.





En cuanto al Elimover, me sigue saliendo lo mismo en cuanto lo bajo. Voy a probar a descargar el Elimover en modo seguro aver si asi.



Gracias,

[msc hotline sat]

Pues no sé de qué va esta detección que decía:


[quote]Ya que el trojan remover encuentra esto y no puede borrarlo:

En: C:\WINDOWS\system32\cabine.dll



Registry Key: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{CF5EE7DF-9D28-4121-A275-745E434C3E58}[/quote]

si con 40 antivirus no lo detectan..., pero de todas formas añadale extension .VIR y tras reiniciar indiquenos si persiste alguna anomalia.



saludos



ms, 29-5-2009

[Sash]

El informe del Virus Total es del Elimover que sigue sin arrancar.



Que intento usar para encontrar el cabine.dll y subirlo para que lo analizen. Gracias.

[Sash]

Acabo de descargar el EliMover desde otra maquina y me aparece el mismo mensaje de que ha sido modificado por un virus.



Puede que sea un problema del archivo subido? Ya que es raro que pase lo mismo en un pc no infecado.



Gracias

[msc hotline sat]

Voy a bajarlo como puedes hacer tu y postear la captura de pantalla de la ejecucion del ELIMOVER:



DESCARGA DE ELIMOVER

http://www.zonavirus.com/descargas/elimover.asp


[attachment=0]captura del elimover.GIF[/attachment]

Funcionamiento correcto. Vuelve a descargarlo y probarlo, si te indica que ha sido modificado, lo mas probable es que tengas un virus infector, como el VIRUT o el VITRO, que te está modificanco los ficheros que bajas...



Pruebalo de nuevo y nos informas del resultado.



saludos



ms, 29-5-2009

[msc hotline sat]

Ojo, fijate lo que está diciendo otro forero :


[quote="NTL"]
Asunto: Re: Archivo modificado, posiblemente por un virusPublicado: Vie



Registrado: Vie Oct 27, 2006 5:21 pm

Mensajes: 62

Ubicación: Cáceres

He probado a ejecutarlo online desde Internet Explorer y funciona En cambio, si lo ejectuto desde Mozilla Firefox o Chrome no... Mi amiga también usa Mozilla, y con IE también le funciona. ¿Puede ser por el navegador?


[/quote]

Así que, usa el I.E. para descargarlo si es que no lo haces .



saludos



ms, 29-5-2009

[Sash]

Bien, ya consegui ejecutar el Elimover al usar el Internet Explorer. Gracias.

Pero al poner el directorio que indica el trojan remover, dice que el archivo no existe.





Saludos.

[msc hotline sat]

Pues igual ya lo eliminaste antes... De todas formas, pruebalo arrancando en modo seguro, no sea que haya un rootkit que lo esté ocultando en modo normal.



saludos



ms, 29-5-2009

[Sash]

He hecho todo eso.



Sin Embargo me sigue apareciendo esta alerta:



Aqui subo la captura de pantalla:
[attachment=0]Dibujo.JPG[/attachment]





Al parecer es algo del registro que no puedo borrar con el Auto Runs



Que mas debo hacer?

[msc hotline sat]

Solo está en el registro, y si no hay el fichero, de poco sirve, pero hagamos limpieza, elimina esta clave:



O2 - BHO: (no name) - {CF5EE7DF-9D28-4121-A275-745E434C3E58} - C:\WINDOWS\system32\cabine.dll (file missing)



Arranca para ello en modo seguro, abres del HJT, seleccionas la segunda opcion, marcas la casilla de la izquierda de dicha clave y pulsas FIX CHECKED



Y espero que asi quede solucionado. Tras reiniciar normalmente, nos lo comentas, gracias



saludos



ms, 29-5-2009

[Sash]

Bien. He heco lo que me dijo con el HJT, y no parece haber ningun problema.

Sin embargo sigue apareciendo en el mismo registro con HJT. Asi que es como si no hiciera nada, (eso es lo que creo que ha hecho).

Pero al final del nombre pone (fILE missing) nose si sera por eso que no lo borra.

Gracias y saludos

[lucl]

Veamos que dice Msc pero el que ponga file missing no creo que tenga que ver para que no se vaya, mas bien pienso que es al reves que deberia poder borrarse mas facilmente pero espera su comentario ok? saludos

[msc hotline sat]

Bueno (FILE MISSING) lo indica cuando no lo encuentra, bien porque ya no está, o porque está oculto, o porque no se indica ruta al estar en path...



Aqui parece que está en la carpeta de sistema, pero igual tiene atributo de oculto y está en uso...



Prueba de eliminar dicha clave arrancando en modo seguro, como ya indicamos en :



[b]¿Como enviar las muestras a zonavirus? - Para ello recordar[/b]:

https://foros.zonavirus.com/viewtopic.php?f=5&t=14253



Tras ello, cuando ya no se regenere, mira si puedes enviarnos dicho fichero...



saludos



ms, 31-5-2009

[Sash]

Nose si le he entendido bien, pero lo que yo entendi es que quiere que haga lo que acabo de hacer, de nuevo?

Ya que en el anterior post me pidio que hiciese eso y parecia no hacer efecto.





Gracias y perdon si me equivoco.

[msc hotline sat]

Lo hiciste en MODO SEGURO y como Administrador (no usuario administrador)???



Si es asi, algo te lo regenera, y eso habrá que buscarlo.





De entrada lanza un windowsupdate por si te faltaran parches...





y si no eres consciente de usar proxy, elimina estas otras claves:



R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings,ProxyServer = 218.182.134.23:8080



R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local





Aunque el servidor a donde quieres acceder por el port 8080 es de un banco de OSAKA, en Japon... te suena algo de ello ??? :



218.182.134.23 JP Japan 32 Osaka Osaka 34.6667 135.5000 Softbank BB Corp Softbank BB Corp



y si no lo conoces, elimina dichas claves, ya que al ser accesos a bancos orientales... no vayan a hacer transferencias de tus dineros para allá !!!



[b]¿Como enviar las muestras a zonavirus? - Para ello recordar[/b]:

https://foros.zonavirus.com/viewtopic.php?f=5&t=14253





Es todo lo raro que hay aparte de la clave del cabine.dll



Cuentanos tus progresos al respecto, y mucho cuidado si tienes satos bancarios en este ordenador... habla con tu banco e impide cualquier transferencia que no conozcas !



saludos



ms, 1-6-2009

[Sash]

Bien, he borrado las entradas del registro que conte[b][i]ní[/i][/b]an lo del proxy, y no no tenia ni idea.

Gracias. Esas se arreglaron sin problemas con el HJT.

Sin embargo, como me paso anteriormente la entrada del cabine.dl le doy a fix y al hacer de vuelta el escan sigue apareciendo con el parentesis al final de file missing.



Que debo hacer ahora?



Gracias por todo.

[msc hotline sat]

Pues si no aparece y se regenera, veamos si se trata de un RootKit...



Lanza este AntiRootkit Detective de McAfee y posteanos el informe resultante:



http://download.nai.com/products/mcafee-avert/McafeeRootkitDetective.zip



saludos



ms, 1-6-2009

[Sash]

Bueno aqui le dejo el informe del Rootkit Detective.


[attachment=0]RootkitDetectiveReport.txt[/attachment]



Y otra cosa rara, despues de pasar el Rootkit detective en modo seguro (que me di cuenta que no habia que hacer ya que no aparecia ninguna entrada) al volver a reinciar, el fast scan del Trojan Remover me detecta muchas entradas en las que falta el archivo, como por ejemplo:



C:\WINDOWS\system32\2601B.sys

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\2601B\"ImagePath"



Todas son muy parecidas, eso que es?



Gracias.

[Sash]

Aqui le dejo el informe del Trojan Remover:


[attachment=0]TRLOG.TXT[/attachment]

[msc hotline sat]

Pues no parece haber rootkit (al menos no hay ficheros en procesos ocultos), y solo queda esta clave del CABINE.DLL, que igual instala alguna aplicacion cada vez que arrancas en modo normal...



Prueba de eliminarla con el HJT y luego arranca en modo seguro y mira si está o no, sino, es que la has eliminado y si tras ello, cuando vuelves a arrancar en modo normal, se regenera, es que alguna de las aplicaciones instaladas la regeneran.



Si es asi, es cualquiera de las que usas normalmente, mira de reducir las aplicaciones que cargas en el arranque, a ver si logras que no se regenere, y nos dices cual era la que lo hacía.



Aparte de ello, dinos si persiste alguna anomalía, pues lo grave era la instalacion del proxy, que te hacía navegar hacia una web oriental, y esto ya lo has solucionado eliminando las dos claves en cuestion.



saludos



ms, 2-6-2009











http://www.prevx.com/filenames/1213527384373449268-X1/CABINE.DLL.html

[Sash]

Bueno,eso de intentar borrar la entrada del cabine.dll ya lo hice como indique un post anterior, y al borrarla y volver a iniciar el HJT , la entrada vuelve a aparecer (sin que apague el equipo) simplemente al reiniciar la aplicacion y esto me pasa en modos seguro y en modo normal.



Ahora intentare hacer lo siguiente que me dijo, saludos.

[msc hotline sat]

Posiblemente lo dijiste, pero Temas con tantos post se hacen engorrosos al no poder releerlos todos en cada respuesta, asi que no habiendo rootkit y habiendo solucionado lo del proxy, atribuimos que esta clave es creada por alguna aplicacion que lanzas en el inicio, por lo que ya te dijimos que probaras de reducirlas al maximo, y tras ello nos comentas si persiste alguna anomalia o ya podemos dar por solucionado el tema, gracias



saludos



ms, 3-6-2009

[Sash]

Bien, he desactivado todas las aplicaciones de inicio pero la entrada sigue en el registro con HJT y aparece en el Trojan Remover:
[attachment=0]Dibujo.JPG[/attachment]





Asi que no es un programa de los de inicio (Los he desactivado mediante msconfig)







Que sera?



Saludos

[msc hotline sat]

Y causa alguna anomalía ??? dinos cual, gracias.



Aparte, ahora que lo tienes sin nada en el Inicio, prueba el SPROCES y posteanos el SPROCLOG.txt actual, para ver los procesos en memoria...



saludos



ms, 3-6-2009

[Sash]

Bueno gracias por todo pero lo que he hecho ha sido formatear, gracias por el intento de ayuda.



Saludos.

[msc hotline sat]

Ha sido tu decisión... pues damos por terminado el Tema y procedemos a cerrarlo



saludos



ms, 7-6-2009

Ref SP/Al+38.35-0.48