No se deja eliminar Tr/Rootkit.Gen (SOLUCIONADO)

[gccela]

Hola, que tal?? Antes que nada mandar un saludo a todos los usuarios y moderadores.

Os pido ayuda porque el antivirus Avira me detecta perfectamente el troyano, le indico que lo mueva a cuarentena y lo hace y me indica que para eliminarlo definitivamente debo reiniciar automáticamente después de finalizar el escaneo. Asi lo hago, pero no hay forma de eliminarlo. Desactivo restaurar, abro en modo seguro, paso el antivirus y no me detecta el troyao, intento eliminar el fichero, moverlo, renombrarlo, desbloquearlo, pero no hay forma, no me deja hacer nada con él... incluso en la informacion del fichero (en el explorador de windows) va cambiando la hora conjuntamente con la del reloj de mi ordenador, con lo que imagino que se reactiva constantemente... Hace unos días pasé el Elistar A que me descargué, pero al intentar volver a pasarlo hoy ya no estaba activo, así que no sé si lo hubiera solucionado. El Malware bites también lo detecta... En vuestra web he intentado analizarlo con los dos antivirus que tenéis, pero me dicen que el fichero que intento analizar está vacío, cuando en mi explorer me dice que ocupa 819Kb. La verdad es que se me acaban los recursos... Si podeis ayudarme os estaré agradecido y si no, pues también os agradezco el que me hayáis leido... Saludos...



Pd: Os he intentado enviar el fichero a muestras, pero me ha dado un error el comprimirlo, me dice que no me deja... en cambio ha creado un fichero zip de solemente 22K que os he enviado...

[msc hotline sat]

Posiblemente tienes algun antivirus residente que te impide comprimir dicho fichero.



Arranca en MODO SEGURO , asi no estará activo y podrás comprimirlo y luego arrancando en modo normal, enviarnos el ZIP o RAR con password virus que hayas hecho.





[b]¿Como enviar las muestras a zonavirus? - Para ello recordar[/b]:

https://foros.zonavirus.com/viewtopic.php?f=5&t=14253



Tras recibirlos, los analizaremos e implementaremos su control y eliminacion, si procede, en nuestras utilidades, de lo cual informaremos



saludos



ms, 5-4-2010





NOTA: Y por cierto, aunque no nos has posteado el infodat.txt, lo cual conviene hacer para poder ayudarte con conocimiento de causa, dado que se trata de un ROOTKIT, descarga el ELINOTIF.DLL en la misma carpeta que el ELISTARA, y vuelve a probarlo, y tras reiniciar nos posteas el informe resultante:




[quote="para DESCARGAR el ELISTARA, msc"] http://www.zonavirus.com/descargas/elistara.asp



Y si pide el ELINOTIF.DLL, copiar dicho fichero en la misma carpeta que el ELISTARA.EXE, el cual la utilizará si la necesita:



ELINOTIF.DLL

http://www.zonavirus.com/descargas/elinotif.asp



Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso


[/quote]

ms.

[gccela]

Hola que tal?? Gracias por vuestra pronta respuesta. Ya me he descargado los dos ficheros que me habéis aconsejado y ahora los pasaré y os reportaré el resultado. Deciros que os he enviado una muestra del fichero que el Avira ha colocado en cuarentena además del mencionado en el post anterior en un fichero .rar . El mensaje que me da cuando intento meterlo desde su ubicacion (C/windows/system32/drivers/ejqlftqt.sys) en un zip es : "Archivo no encontrado o falta permiso de lectura". He intentado también quitar del registro la entrada "Hidden value : HKEY_LOCAL_MACHINE\System\ControlSet002\Services\ejqlftqt (y 13 entradas más)"

y las carpetas correspondientes al fichero infectado en cuestion pero tampoco me deja pues me dice: "No se puede abrir ejqlftqt: error al abrir la clave". En fins... paso el ElistarA junto con el EliNotif y os digo...

Saludos y gracias de nuevo

[msc hotline sat]

Si en modo seguro tienes problemas para empaquetar con password dichos ficheros, es posible que sea por falta de permisos y requieras permisos de Administrador. Hazlo arrancando asi o bien para empaquetarlos pulsa con el boton derecho sobre el icono del WINRAR o WINZIP y seleccionas EJECUTAR COMO >Administrador



saludos



ms, 5-4-2010

[gccela]

Hola de nuevo, os pego el log que ha generado el ElistarA...



(23-3-2010 16:36:46 (GMT))

EliStartPage v20.57 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 19 de Marzo del 2010)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

No detectado SP3 de Windows XP



(23-3-2010 17:05:24 (GMT))

EliStartPage v20.57 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 19 de Marzo del 2010)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"

C:\WINDOWS\system32\FJHDYFHSN.BAT --> Eliminado, Trojan.Delete.BAT



Nº Total de Directorios: 10261

Nº Total de Ficheros: 76521

Nº de Ficheros Analizados: 20538

Nº de Ficheros Infectados: 1

Nº de Ficheros Limpiados: 1



(5-4-2010 19:17:32 (GMT))

EliStartPage v20.65 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 31 de Marzo del 2010)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

No detectado SP3 de Windows XP



(5-4-2010 19:32:22 (GMT))

EliStartPage v20.65 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 31 de Marzo del 2010)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"



Nº Total de Directorios: 10405

Nº Total de Ficheros: 89741

Nº de Ficheros Analizados: 21369

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



Lo de comprimir el fichero no me deja ni en modo seguro y no creo que sea por permisos, pues aparte de no tener mas sesión que la mia, en todos los demás ficheros de la carpeta sí que me deja hacerlo sin problemas...

Disculpa si te envio mas informacion de la que me pides, pues para nada quisiera "liar más el tema", si crees que no es necesario, simplemente dimelo y me ajustare a lo que me pidas... mientras tanto te envío tambien el log. del Avira rootkits por si os aporta algo...









Avira AntiRootkit Tool (1.1.0.1)



========================================================================================================

- Scan started lunes, 05 de abril de 2010 - 18:20:44

========================================================================================================



--------------------------------------------------------------------------------------------------------

Configuration:

--------------------------------------------------------------------------------------------------------

- [X] Scan files

- [X] Scan registry

- [X] Scan processes

- [ ] Fast scan

- Working disk total size : 74.52 GB

- Working disk free size : 46.37 GB (62 %)

--------------------------------------------------------------------------------------------------------



Results:

Hidden value : HKEY_LOCAL_MACHINE\System\ControlSet002\Services\ejqlftqt -> type

Hidden value : HKEY_LOCAL_MACHINE\System\ControlSet002\Services\ejqlftqt -> start

Hidden value : HKEY_LOCAL_MACHINE\System\ControlSet002\Services\ejqlftqt -> errorcontrol

Hidden value : HKEY_LOCAL_MACHINE\System\ControlSet002\Services\ejqlftqt -> group

Hidden value : HKEY_LOCAL_MACHINE\System\ControlSet002\Services\ejqlftqt -> ov1q8pc6sc

Hidden value : HKEY_LOCAL_MACHINE\System\ControlSet002\Services\ejqlftqt -> w0yi3de5c0

Hidden value : HKEY_LOCAL_MACHINE\System\ControlSet002\Services\ejqlftqt -> mpco1

Hidden value : HKEY_LOCAL_MACHINE\System\ControlSet003\Services\ejqlftqt -> type

Hidden value : HKEY_LOCAL_MACHINE\System\ControlSet003\Services\ejqlftqt -> start

Hidden value : HKEY_LOCAL_MACHINE\System\ControlSet003\Services\ejqlftqt -> errorcontrol

Hidden value : HKEY_LOCAL_MACHINE\System\ControlSet003\Services\ejqlftqt -> group

Hidden value : HKEY_LOCAL_MACHINE\System\ControlSet003\Services\ejqlftqt -> ov1q8pc6sc

Hidden value : HKEY_LOCAL_MACHINE\System\ControlSet003\Services\ejqlftqt -> w0yi3de5c0

Hidden value : HKEY_LOCAL_MACHINE\System\ControlSet003\Services\ejqlftqt -> mpco1



--------------------------------------------------------------------------------------------------------

Files: 0/54556

Registry items: 14/504352

Processes: 0/54

Scan time: 00:13:43

--------------------------------------------------------------------------------------------------------

Active processes:

- nujkjktp.exe (PID 1776) (Avira AntiRootkit Tool)

- System (PID 4)

- smss.exe (PID 480)

- csrss.exe (PID 644)

- winlogon.exe (PID 668)

- services.exe (PID 712)

- lsass.exe (PID 724)

- svchost.exe (PID 888)

- svchost.exe (PID 944)

- svchost.exe (PID 1008)

- svchost.exe (PID 1044)

- svchost.exe (PID 1352)

- svchost.exe (PID 1384)

- explorer.exe (PID 1396)

- spoolsv.exe (PID 1588)

- sched.exe (PID 1768)

- PowerS.exe (PID 1792)

- jusched.exe (PID 1800)

- rundll32.exe (PID 1824)

- WZCSLDR2.exe (PID 1844)

- rundll32.exe (PID 1868)

- qttask.exe (PID 1884)

- ContentTransferWMDetector.exe (PID 1892)

- GrooveMonitor.exe (PID 1920)

- iTunesHelper.exe (PID 2028)

- AirPlusCFG.exe (PID 2036)

- avgnt.exe (PID 160)

- GoogleToolbarNotifier.exe (PID 204)

- GoogleUpdate.exe (PID 220)

- svchost.exe (PID 248)

- ctfmon.exe (PID 256)

- TosBtMng.exe (PID 380)

- NkbMonitor.exe (PID 420)

- MSOFFICE.EXE (PID 500)

- ANIWZCSdS.exe (PID 764)

- TosA2dp.exe (PID 980)

- avguard.exe (PID 992)

- TosBtHid.exe (PID 1148)

- svchost.exe (PID 1088)

- OSA.EXE (PID 1188)

- SAgent2.exe (PID 1280)

- TosBtHSP.exe (PID 1536)

- nvsvc32.exe (PID 2072)

- StarWindService.exe (PID 2584)

- TosAVRC.exe (PID 2620)

- svchost.exe (PID 2644)

- TosBtSrv.exe (PID 2664)

- TosOBEX.exe (PID 3128)

- iPodService.exe (PID 3968)

- alg.exe (PID 1344)

- iexplore.exe (PID 3012)

- iexplore.exe (PID 3192)

- iexplore.exe (PID 1780)

- avirarkd.exe (PID 3064)

========================================================================================================

- Scan finished lunes, 05 de abril de 2010 - 18:34:28

========================================================================================================

[msc hotline sat]

No, mas vale informacion por exceso que por defecto :) !



y tras eliminar el virus, no te olvides de lanzar un windowsupdate e instalar los parches que faltan:



[b][i]No detectado SP3 de Windows XP[/i][/b]



Y ete fichero que no se deja empaquetar, mira de enviarnoslo como puedas, o desde otro ordenador...



saludos



ms, 6-4-2010

[msc hotline sat]

El fichero que has enviado no es ejecutable:



4c2b1afe.qua



posiblemente ha sido tratado por algun antivirus y dejado inservible- Antivirus qua ???



Mira de enviarnos el EXE o ejecutable con la extension que sea, pues el que has enviado no es monitorizable.



y si no lo encuentras, envianos este que parece llama al principio del codigo:



C:\WINDOWS\system32\drivers\ejqlftqt.sys



saludos



ms, 6-4-2010

[gccela]

Perdona mi tardanza en la respuesta, pero los turnos de trabajo no me dejan más opciones...

Nada, no hay forma, no se deja hacer nada de nada el fichero en cuestión. El que os envié ".qua" lo cogí de la cuarentena del Avira, que es del único sitio que se dejaba hacer algo. He intentado comprimirlo en rar, en zip, en modo seguro, he intentado cambiarle el nombre, en modo normal y seguro, he intentado incluso enviarlo directamente por mail sin comprimir y tampoco, he intentado moverlo, copiarlo y nada...



El mensaje que me da al intentar comprimirlo: ejqlftqt.rar: No se puede abrir C:\WINDOWS\system32\drivers\ejqlftqt.sys

Uno de los dispositivos vinculados al sistema no funciona.



Quisiera enviaros la pequeña captura de pantalla en la que el Avira me indica que es el troyano en cuestión pero no he sido capaz de conseguir pegar la imagen aqui en el texto, sorry...



Saludos...

[msc hotline sat]

Bueno, pues centraremos el problema en el C:\WINDOWS\system32\drivers\ejqlftqt.sys



Seguramente no puedes empaquetarlo ni tocarlo por estar "atrapado" por el sistema y es el que tendríamos que analizar para obrar en consecuencia...



Mira si en MODO SEGURO CON SOLO SIMBOLO DE SISTEMA puedes renombrarlo ( con un REN) y sobre todo ponerle extension .VIR al final.





Sino habrás de arrancar con otro medio (LIVE CD o Pilitos), o colocar este disco duro como esclavo en otro ordenador y asi arrancando con el MASTER, podrás acceder y modificarm sacar, copiar, renombrer o lo que quieras, el fichero de marras.



Cuentanos tus progresos al respecto, gracias



saludos



ms, 7-4-2010

[gccela]

Ok intentare hacer avances y os lo comunicare... Si veis que tardo no es que os he olvidado... es por la disponibilidad en ir haciendo las cosas... Saludos...

[msc hotline sat]

No se preocupe, dejaremos el Tema abierto , y nos va indicando sus avances al respecto.



Y tenga paciencia, que por lo que vemos es bastante peludo, pero como este nos las habemos con muchos cada día, ahora mismo tenemos varios frentes con Fraud Tools de clientes, que cambian el nombre en cada infeccion, instalandose en distinta carpeta, y en un indeterminado numero de combinaciones de codigos distintos... Y aun asi no tiramos la toalla y los vamos controlando :?



Animo y al loro :)



saludos



ms, 7-4-2010

[gccela]

Hola de nuevo... Me he descargado Ubuntu y he creado un live cd, he ido a grabar la imagen y para mi sorpresa, windows no me reconoce ninguna de las dos grabadoras, jeje, esto ya no sé si tendrá algo que ver con el ficherito o no, lo que si sé es que al arrancar el sistema si que me las reconoce en los IDE de la placa base, pues las muestra claramente. En fins, he grabado la imagen en mi ordenador portatil, he arrancado con Ubuntu, (que tampoco me reconoce las grabadoras), me he ido hasta el ficherito de marras y POR FIN me deja trastearlo... Lo primero que he hecho (ganas me daban de eliminarlo directamente :) ) ha sido renombrarlo con .Vir al final... Luego me he venido a esta pagina para enviar la muestra, pero no me ha dejado mandarla porque me dice que tiene que ser en formato .rar ó .zip. Y en ello estoy en este momento, en intentar averiguar como se zipea en Ubuntu, pues es la primera vez que lo trasteo. Imagino que no pasa nada si cambio de lugar el fichero, es decir si lo paso (si me deja) a la papelera de momento para ver si ahí no actua... en cualquier caso, intentare zipearlo y ahora que ya se que desde Ubuntu me deja trastearlo, lo dejo cambiado de nombre, no lo tocare de ubicacion y esperare noticias vuestras...



Saludossssssssss

[gccela]

Bueno, creo que ya está enviado... No he conseguido saber como se zipea un archivo, pero sí una carpeta, asi que lo he metido en una carpeta y os lo he enviado... Al final lo he cambiado a otra carpeta que he creado y ahí esta guardado por si os hace falta junto con el .zip que os he mandado... Ahora con windows ya me deja trastearlo tambien, incluso en la fecha de modificacion del explorador de windows, ya NO se actualiza constantemente, se ha quedado con la fecha y hora de cuando lo he renombrado, pues antes la hora cambiaba sincronizada y conjuntamente con la del reloj de mi ordenador...

Y bueno... lo de que me reconozca las grabadoras sera cuestion del proximo reinicio a ver si afectaba en algo... aunque funcionar funcionan, pues me ha leido el cd de Ubuntu sin problemas...



Saludos y gracias de nuevo y... bona nit...

[msc hotline sat]

Si, claro, una vez renmbrado a extension .VIR ya no se activa y lo puedes empaquetar desde windows, mejor con password para que no lo intercepten los servidores de internet.



Veremos lo que nos llega e informaremos de lo procedente.



saludos



ms, 8-4-2010

[msc hotline sat]

Pues sí que es de los duros !



Es de la familia RootKit Bubnix, de los que ya tenemos tres o cuatro variantes, y ninguno se deja eliminar hasta que se renombra el fichero arrancando en Consola o con otro medio que no es el propio, dado que se instala como servicio y no permite hacerlo de otra manera.



Implementamos su control y eliminacion de esta variante a partir del ELISTARA de hoy, 20.68:


[quote]
[b] ELISTARA: [/b]

http://www.zonavirus.com/descargas/elistara.asp



Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso
[/quote]

A partir de las 19 h GMT, estará disponible en esta web, para pruebas de evaluacion en el foro de zonavirus



saludos



ms, 8-4-2010

[gccela]

Bueno, pues eliminado de una vez el dichoso troyano...

Quedan los "efectos secundarios", la grabadora y el lector de cd's no los reconoce, me dice que windows no tiene los controladores o estan dañados. He mirado varios articulos en internet pero no me ha dado resultado...

Crees que pasando el EliStarA me restaurara los daños ocasionados por el troyano?? O si no es asi, intentare buscarme la vida por mi mismo y si no lo consigo quizas abra otro post en un foro vuestro de software... porque seguir en este mismo post no es muy apropiado imagino... Espero me digais algo...

En cualquier caso gracias por vuestra ayuda y procuraremos ver el lado bueno, siempre se aprende algo nuevo con los problemas...



Saludos

[msc hotline sat]

Hemos implementado en el actual ELISTARA lo que hemos visto que ha modificado en el ordenador de monitorizacion, pero claro, puede que en funcion de las aplicaciones que se tengan instaladas, hayas de reinstalarlas para normalizar su funcionamiento, pero de entrada prueba la nueva version del ELISTARA y nos comentas el resultado.



saludos



ms, 9-4-2010

[gccela]

Bueno pues eliminado del todo el dichoso virus y vuelta a funcionar la grabadora y el lector de cd`s... Reinstalé los drivers de la grabadora pero no funcionó, así que volví a cargar los controladores con un cd bootable del Xp, reinicié y por fin las volvió a reconocer...

Crees que deberia pasar el ElistarA ?? no hay problema por volverlo a descargar y pasarlo... Lo que me digas...

Si lo crees oportuno, lo descargo, lo paso, te remito el Log. y si todo es correcto cerramos de una vez el tema... :)



Saludos y gracias de nuevo...



Pd: Por cierto, se puede saber que tipo de información y donde la enviaba?? Imagino que no, que seria casi una labor policial algo asi :),pero es que (igual no tiene nada que ver, pero...) algunos contactos de mi msn me han comentado de verme conectado a unas horas imposibles para mi y con una actitud "diferente" a la habitual... Ya he cambiado la contraseña, claro...

[msc hotline sat]

Pues por la [url=http://www.microsoft.com/security/portal/Threat/Encyclopedia/Entry.aspx?Name=TrojanDownloader%3AWin32%2FBubnix.A]información[/url] que hay de este malware vemos que se conecta a estas tres ip, que son de EE.UU :



> 69.4.230.76 US United States VA Virginia Arlington 38.8782 -77.1054 Hosting Services Hosting Services 511 703



> 208.101.27.44 US United States TX Texas Dallas 75207 32.7825 -96.8207 SoftLayer Technologies http :// www. Adamtube. com 623 214



> 74.86.210.134 US United States TX Texas Dallas 75207 32.7825 -96.8207 SoftLayer Technologies SoftLayer Technologies



quien hay detrás de estas URL en cada momento, ya solo Dios lo puede saber..., pero nadie recomendable, claro.



Y sobre probar la nueva version del ELISTARA, claro que sí, por esto implementamos el control de esta variante, aunque quizás con lo hecho manualmente ya estará eliminado, pero vista la malicia y sofisticación de l bicho en cuestión, nunca está de mas asegurarse !



Lo que pone la mosca en la oreja es esto que dices que alguien está usando tu identidad en el MSN ... ??? Cambiaste las claves despues de eliminar este bicho ??? Es que si lo hiciste antes, puede que conozca tambien las nuevas, claro. En tal caso vuelve a cambiarlas despues que el ELISTARA actual ya no detecte nada, y confirmanos que ya está del todo resuelto para dar por solucionado el Tema, gracias.



saludos



ms, 10-4-2010

[gccela]

Bueno pues aunque con algo de retraso os pego el log. del ElistarA... Todo limpio...

Saludos y gracias de nuevo...



Gccela



(13-4-2010 10:26:30 (GMT))

EliStartPage v20.70 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 12 de Abril del 2010)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

No detectado SP3 de Windows XP

Eliminados Ficheros Temporales del IE



(13-4-2010 10:47:27 (GMT))

EliStartPage v20.70 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 12 de Abril del 2010)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"



Nº Total de Directorios: 9977

Nº Total de Ficheros: 84699

Nº de Ficheros Analizados: 20552

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



(13-4-2010 11:04:44 (GMT))

EliStartPage v20.70 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 12 de Abril del 2010)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"



Nº Total de Directorios: 9978

Nº Total de Ficheros: 84702

Nº de Ficheros Analizados: 20554

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

[msc hotline sat]

Pues aprovecha la informacion del ELISTARA :



[b][i]No detectado SP3 de Windows XP[/i][/b]



Lanza un windowsupdate e instala los parches que detecte que faltan



Y dando por solucionado el Tema, procedemos a cerrarlo



Si nos necesitas de nuevo, ya sabes donde estamos



saludos



ms, 14-4-2010