Bloqueo de tarjetas de red (TERMINADO)

[lanr9704]

Hola buen dia , ayer un usuario recibio un correo mencionandole que habia cambiado su contraeña de Facebook y como es de esperarse dio click en el link y pss se infecto...el problema es el siguiente, a pesar que el Nod32 identifico y elimino el virus el cual era Variante Win32/Kryptik.AYV ademas de Win32/Protector.C, ademas de correr el ElistarA (el cual me elimino varias entradas y un torjano) y el Sproces Resulta que me tiene bloqueadas las tarjetas de red y me añadio otros disositivos de red que a continuacion les mencionare:



Minipuerto WAN (IP)

Minipuerto WAN (IP) - Minipuerto del administrador de paquetes

Minipuerto WAN (L2TP)

Minipuerto WAN (PPPOE)

Minipuerto WAN (PPTP)

Paralelo directo



EStos aparacen con un signo de admiracion al igual que las terjetas de red tanto locales como inalambricas las cuales al eliminarlas del administrador de dispositivos si me las deja eliminar, pero de la lista anterior al querer eliminarlas me manda el error: Error al desinstalar el dispositivo.Puede que sea necesario para iniciar el equipo.





De ahi no paso , he querido hacer cambios desde Modo seguro y ni aun asi me deja eliminar dichos dispositivos y el querer reinstalar los controladores de las tarjetas me manda un error en la instalacion y me pone de nuevo un signo de admiracion en las 2 tarjetas de red ademas de que siguen apareciendo dichos minipuertos.



Necesito de su ayudada para poder aceceder a la red y a internet ...por su atencion gracias y seguimos en contacto





P.D. les anexo archivos de Elistara y Sproces... tambien se me olvido mencionar que corri el Spyware doctor el cual me encontro Trojan.Agent y Trojan-Spy.Zbot.A los cuales ya fueron eliminados

[msc hotline sat]

Sí, ya lo avisamos ayer:



http://zonavirus.com/noticias/2009/se-estan-recibiendo-mails-anexando-fichero-infectado-con-bredolab-aparentando-ser-confirmacion-de-contrasena-facebook.asp





Lo malo es que se trata de un Bredolab, y estos descargan continuamente nuevas variantes y surtidas... entre ellos los Rootkits de MBR !



Habiendo pasado tantas utilidades, has quemado las naves ! Sin muestras que monitorizar no podemos saber las claves que han modificado y lo que necesitas restaurar.



Vamos a ver si algo no conocido por todo esto que has pasado, aparece en el SProclog.txt y te lo podemos pedir como muestra para analizar y monitorizar, para asi controlarlo.



Envianos estos ficheros para analizar:



%Windir%\temp\wpv861256600826.exe

%Programs%\Startup\isqsys32.exe





http://blog.mxlab.eu/2009/10/27/bredolab-masked-as-facebook-password-reset-confirmation/





Al menos este último veo que aparece en el log:



O4 - Startup: isqsys32.exe





(en la carpeta de inicio)





Pues trabajaremos con este, que los demás se les ha pasado, envianoslo y tras analizarlo, informaremos





y mientras puedes añadirle .VIR a su extension, al menos que no se cargue a partir del proximo reinicio





Recuerda:







[b]¿Como enviar las muestras a zonavirus? - Para ello recordar[/b]:

https://foros.zonavirus.com/viewtopic.php?f=5&t=14253





Tras recibir el/los fichero/s, lo/s analizaremos e implementaremos su control y eliminacion, si procede, en nuestras utilidades, de lo cual informaremos



saludos



ms, 28-10-2009











NOTA:

y menos mal que el ELISTARA ya hizo su faena con los que conocía:





(28-10-2009 16:03:10 (GMT))

EliStartPage v19.55 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 27 de Octubre del 2009)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\SYSTEM32\WBEM\PROQUOTA.EXE --> Eliminado

C:\WINDOWS\SYSTEM32\SDRA64.EXE --> Eliminado

C:\Documents and Settings\Administrador\Datos de programa\WIASERVG.LOG --> Eliminado (Fichero Complementario).

Entrada Eliminada [HKCU\...\Run] "reader_s"="C:\Documents and Settings\Administrador\reader_s.exe"

Entrada Eliminada [HKLM\...\Run] "reader_s"="C:\WINDOWS\System32\reader_s.exe"

Eliminada Carpeta "%WinSys%\Lowsec"

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



todos estos fueron descargados por el Bredolab , pero ya los liquidamos, ahora a ver si con este que te pedimos, lo rematamos ! ms.

[lanr9704]

Hola de nuevo , una pregunta... donde encnuetro estos archivos



%Windir%\temp\wpv861256600826.exe

%Programs%\Startup\isqsys32.exe



ya que me piden q se los envie







por cierto el nod 32 los estoy corriendo en windows a modo a prueba de errores y ya encontro y elimino isqsys32.exe

[msc hotline sat]

pues si lo has eliminado, como quieres enviarnoslo ???



Y el otro es un temporal, mira si aun lo tieen en c:\windows\temp\, pero me parece que va a ser que no, y sin muestras, nada que monitorizar para ver las claves modificadas y poder restaurarlas...



saludos



ms, 28-10-2009

[lanr9704]

ok he de comentarle q he corrido el CCleaner el cual me ha reparado problemas en el registro y ademas borredo archvios temporales de internet y del sistema





Solo espero q termin de escanear el ndo32 para ver si ya es posible habiltar las terjetas de red ....estaremos en contacto y gracias

[lanr9704]

Pues informo q a pesar q encontre y elimine virus antes mencionados pues nada mas no se soluciono el proeblema, asi q procedo a respaldar informacion y formatear.....grax por todo y seguimos en contacto

[msc hotline sat]

Pues muerto el perro, se acabó la rabia :?



Damos el Tema por terminado y procedemos a cerrarlo



Si nos necesitas de nuevo, ya sabes donde estamos



saludos



ms, 29-10-2009