msvmiode.exe malware gen (SOLUCIONADO)

[abarcajc]

Buen día estimados, les escribo por un problema de virus que tengo desde hace 2 meses. El caso es que he tenido los siguientes síntomas: el ordenador al conectarse a internet no puede acceder a ninguna pagina que contenga antivirus ni foros antivirus, cuando me conecto con un modem inalambrico el software del modem me dice que el dispositivo está siendo utilizado por otro usuario y cancela la conexión, aparece un mensaje de error en aplicación explorer.exe y svhost... al mismo tiempo la máquina se ralentiza y no permite iniciar en modo a prueba de fallos. Mi antivirus residente era el PANDA, pero dado el inconveniente he utilizado el NOD32, el Kaspersky, Norton, Mcafee y varias utilidades de las marcas antes citadas como el Kidokiller, etc... pero ninguna lo detectó a excepción del Avast que me dice que tengo un virus llamado [b]"msvmiode.exe malware gen[/b] pero no lo elimina. Entonces segui investigando sobre este individuo (virus) y encontré en su foro un post sobre "TROYANO CAPRICHOSO (SOLUCIONADO)" en donde ustedes recomendaban la herramienta "ElistarA 21.80" y colocaban un link en el que encontré la v21.97. En efecto lo descargué y lo ejecuté en mi máquina eliminando 3 infectados, y ahora ya puedo acceder a paginas de antivirus y ya no tengo el mensaje de error en "explorer.exe", pero no estoy seguro si con eso el asunto está solucionado completamente, pues el ElistarA tenia 3 archivos que me recomendaba enviar para su revisión y dentro de ellos estaba el "msvmiode.exe". Espero sus recomendaciones sobre la amenaza antes citada.



Atentamente,



JC

[lucl]

Pues hiciste bien en pasar elistara pero ahora debes enviarnos las muestras que te pidio que tendras en C en una carpeta llamada muestras porque aun no tienes limpio el pc. Importante que nos copies luego el Infosat.txt que te dejara en C y en el que veremos la limpieza que hizo elistara. Otra cosa , nos dices esto



explorer.exe y [b]svhost... [/b]. Si lo que te marco en negrita esta bien puesto es otro virus pero ya elistara nos dira algo al respecto. Asi que envianos las muestras y peganos el log de Infosat.txt y ya continuaremos. Saludos.

[lucl]

Por cierto se me olvidaba arriba ala derecha de esta pagina tienes el boton de envio muestras. Antes empaquetalas con winrar y ponle de contraseña la palabra virus para que no sea interceptado por los servidores. Saludos.

[abarcajc]

[b]Ya envié las muestras que se encontraban en la carpeta, la contraseña como solicitaste es "virus" y ahora les agrego el Infosat:[/b]



(9-11-2010 18:02:34 (GMT))

EliStartPage v21.97 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 9 de Noviembre del 2010)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\UNINSTALL.EXE --> Eliminado

C:\RECYCLER\S-1-5-21-0243936033-3052116371-381863308-1811\VSBNTLO.EXE --> Eliminado Malware.Vsbntlo

Por favor, envienos una muestra del fichero

C:\Muestras\MSVMIODE.EXE.Muestra EliStartPage v21.97

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\MSVMIODE.EXE --> Eliminado

Por favor, envienos una muestra del fichero

C:\Muestras\CFDRIVE32.EXE.Muestra EliStartPage v21.97

a "virus@satinfo.es". Gracias.

C:\WINDOWS\CFDRIVE32.EXE --> Eliminado

C:\WINDOWS\Tasks\{35DC3473-A719-4d14-B7C1-FD326CA84A0C}.job --> Eliminado (Fichero Complementario).

Entrada Eliminada [HKLM\...\Run] "Microsoft Driver Setup"="C:\WINDOWS\cfdrive32.exe"

Entrada Eliminada [HKLM\...\Run] "MSODESNV7"="C:\WINDOWS\system32\msvmiode.exe"

Entrada Eliminada [HKLM\...\Run] "UserFaultCheck"="%systemroot%\system32\dumprep 0 -u"

Entrada Eliminada [HKLM\...\Policies\Explorer\Run] "Microsoft Driver Setup"="C:\WINDOWS\cfdrive32.exe"

Restaurada Clave: "SafeBoot\Minimal y Network"

No detectado SP3 de Windows XP

No detectado Parche MS08-067 de Microsoft instalado. (SServidor)

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Detectado HOSTS no Standar.

Restaurado HOSTS por Defecto.

Detectado "Shell" Sospechoso: "EXPLORER.EXE RUNDLL32.EXE QQNT.BNO OIQDKS"



(9-11-2010 18:21:02 (GMT))

EliStartPage v21.97 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 9 de Noviembre del 2010)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"

C:\INSTALL.48208.EXE --> Eliminado, FakeAlert.Renos

C:\Documents and Settings\Soujiro.EQUIPO2\Datos de programa\62202..EXE --> Eliminado, Trojan.Ircbrute

C:\Documents and Settings\Training\Configuración local\Archivos temporales de Internet\Content.IE5\WLQF01UB\INSTALL.48208[1].EXE --> Eliminado, FakeAlert.Renos



Nº Total de Directorios: 17566

Nº Total de Ficheros: 160726

Nº de Ficheros Analizados: 29106

Nº de Ficheros Infectados: 3

Nº de Ficheros Limpiados: 3



(9-11-2010 19:04:29 (GMT))

EliStartPage v21.97 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 9 de Noviembre del 2010)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"



Nº Total de Directorios: 17573

Nº Total de Ficheros: 160860

Nº de Ficheros Analizados: 29191

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



(9-11-2010 20:35:00 (GMT))

EliStartPage v21.97 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 9 de Noviembre del 2010)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

No detectado SP3 de Windows XP

No detectado Parche MS08-067 de Microsoft instalado. (SServidor)

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Detectado "Shell" Sospechoso: "EXPLORER.EXE RUNDLL32.EXE QQNT.BNO OIQDKS"



(9-11-2010 21:13:19 (GMT))

EliStartPage v21.97 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 9 de Noviembre del 2010)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"



Nº Total de Directorios: 14910

Nº Total de Ficheros: 130554

Nº de Ficheros Analizados: 29021

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0





[b]Atentamente,



JC[/b]

[msc hotline sat]

Pues en cuanto recibamos las muestras en cuestion,



Por favor, envienos una muestra del fichero

C:\Muestras\MSVMIODE.EXE.Muestra EliStartPage v21.97



Por favor, envienos una muestra del fichero

C:\Muestras\CFDRIVE32.EXE.Muestra EliStartPage v21.97



las analizaremos e informaremos.



Pero vemos que le faltan parches:



No detectado SP3 de Windows XP

No detectado Parche MS08-067 de Microsoft instalado. (SServidor)



lance un windowsupdate e instale los pendientes, pues sino tiene muchos agujeros de seguridad por los que pueden entran malwares a pesar de cualquier antivirus !



y ojo con esto:



Detectado HOSTS no Standar.

Restaurado HOSTS por Defecto.

Detectado "Shell" Sospechoso: "EXPLORER.EXE RUNDLL32.EXE QQNT.BNO OIQDKS"



el HOSTS había sido manipulado, lo cual se ha restaurado, pero tiene un fichero típico de haber ejecutado algun fichero anexado de los mails maliciosos que llegan con falso remitente DHL y otros... :



envienos tambien este fichero presuntamente malicioso, que es el creado por ellos:



[b]C:\windows\system32\QQNT.BNO[/b]



y mientras, ejecute el ELISHELL para normalizar la clave:



http://www.zonavirus.com/datos/descargas/elishellexe.asp





Cuando recibamos las muestras, las analizaremos e informaremos del resultado



saludos



ms, 10-11-2010

RELSAL

[abarcajc]

Ya envié las muestras como archivo ZIP, con clave [b]infected[/b]

[abarcajc]

Ya ejecuté el programa EliShell 1.2, pero el archivo con la extensión [b]C:\windows\system32\QQNT.BNO[/b] no lo he encontrado por ningun lado, no se si eso sea normal o deba buscar en algún otro lugar diferente al del enlace dado o probar con un nombre distinto... ??

[abarcajc]

[b]Les agrego la actualización del Infosat que generó EliShell:[/b]



(10-11-2010 05:28:32)

EliShell v1.2 (c)2010 S.G.H. / Satinfo S.L.

--------------------------------------------

Lista de Acciones:

El "Shell" Anterior a la Limpieza era:

"EXPLORER.EXE RUNDLL32.EXE QQNT.BNO OIQDKS"



[b]Atentamente,



JC[/b]

[msc hotline sat]

Pues prueba con el ELIMOVER entrandole esta ruta y nombre (con un copiar y pegar)



C:\windows\system32\QQNT.BNO



DESCARGA DE ELIMOVER



http://www.zonavirus.com/descargas/elimover.asp





y como que se trata de malwares, marcar la casilla inferior izquierda para que se añada .VIR al fichero original, y asi no pueda ponerse en marcha a partir del siguiente reinicio



saludos



ms, 10-11-2010







NOTA:



Es posible que no lo veas porque tenga atributo de sistema, y por defecto windows tiene marcada en Opciones de carpeta, la casilla de Ocultar ficheros de sistema... desmarcala si quieres verlos.



Con el ELIMOVER, si lo hay, lo copiará sin atributos a C:\muestras , desde donde te será fácil enviarnoslo,



ms.

[abarcajc]

Ya descargué y ejecuté el Elimover, pero me dio como resultado que "No existe el fichero" con la ruta [b]C:\windows\system32\QQNT.BNO[/b]. También activé la visualización de todos los archivos ocultos y de sistema y lo busqué manualmente sin haberlo podido encontrar.



Pero me llamó la atención que en la carpeta [b]C:\windows[/b] hay 138 carpetas ocultas que tienen el nombre $NtUninstallKB873339$ y la diferencia entre todos solo es la serie numérica. No se si son archivos normales o podrian ser maliciosos?



Atentamente,



JC

[abarcajc]

Por cierto, los nombres de estas carpetas ocultas antes mencionadas estan en color azul

[msc hotline sat]

Sí, son parches instalados. Ningun problema con ello



Y si ya no tiene el fichero que buscabamos es que algun antivirus ya lo eliminó, pero se olvidó de limpiar la clave , que el ELISHELL ha restaurado



Para que veas uno que crea y lanza ficheros de este tipo, mira en:



http://www.zonavirus.com/noticias/2010/nuevas-variantes-no-controladas-del-bredavi-causadas-por-el-falso-mail-de-dhl-cazadas-por-el-elistara.asp



saludos



ms, 10-11-2010





NOTA: No recuerdas haber recibido un mail de DHL, UPS o similar ??? no sé en tu pais, pero aqui en España vienen a oleadas... ms.

[abarcajc]

Interesante, recuerdo haber recibido a finales de agosto un correo en el que sospechaba la suplantación de la identidad de un compañero universitario que enviaba su curriculum vitae para aplicar a un trabajo en mi empresa, e incluía un link al que di click sin llevarme a ningun lugar, a ninguna otra pagina. Solo lanzó una nueva pagina de firefox pero no cargó nada. Es la única vez que he tenido esa situación extraña y sospechosa en un correo.



Entonces, es decir que si el archivo buscado ya fue eliminado, estaría solucionado el problema del virus? :)



Atentamente,



JC

[abarcajc]

Por cierto, el correo llevaba como remitente el nombre de una compañía reconocida en el pais que se dedica al reclutamiento y selección de personal, así como a la oferta de plazas laborales (bolsa de trabajo) y nuestra empresa está inscrita en su base de datos.

[msc hotline sat]

Sí, claro, puede venir en falsos mails de empresas reconocidas en cada pais, aqui vienen normalmente de UPS y de DHL



Por si fuera el caso, quizas tu antivirus detectó y eliminó un "Oficla" que es como algunos antivirus llaman a esta variante del Bredavi



y a título de información aqui tienes mas info al respecto:



http://www.exterminate-it.com/malpedia/remove-oficla



siendo algunos de los ficheros creados por él, los siguientes:





1.drhg.ipo

2.rrrc.yeo

3.yise.ero

4.ufyw.gho

5.augy.vko

6.bqtj.xco

7.THXI.IXO

8.syce.xto

9.qqnt.bno

10.thxr.wgo

11.EJQG.QQO

12.jiuh.mjo



Pero no te preocupes, que no solo ya no tienes el fichero, sino que además hemos restaurado la clave de carga, con lo cual se ha hecho limpieza total.



En breve nos repartiran el correo y veremos tus muestras, las cuales analizaremos e informaremos



saludos



ms, 10-11-2010

[abarcajc]

Ya tengo la lección bien aprendida, despues de 2 meses con este problema!! No saben cuanto les estoy agradecido, estaré al pendiente de la respuesta a cerca de los ficheros de muestra. y les reitero mis agradecimientos una vez más :D Y gracias también por la información extra sobre los virus en cuestión. Cuando no es su especialidad uno lo ve muy dificil, pero ustedes lo hacen ver todo muy fácil, se les agradece de nuevo :D



Si necesito contactarlos en un futuro debo abrir un nuevo post o puedo hacerlo desde este mismo?



Atentamente,



JC

[lucl]

Todos los dias hacia las siete de la tarde se actualizan las herramientas por lo que descarga de nuevo elistara y pasalo en el pc. En cuanto si tienes problemas en el futuro mejor abres otro post porque este si todo va bien lo daremos como solucionado cuando nos pongas el nuevo log de infosat y nos indiques que ya esta todo correcto. Saludos.

[msc hotline sat]

Efectivamente, como bien indica lucl, ya hay ahora la version 21.98 del ELISTARA.



Tras descargarla, la pruebas y nos posteas el infosat.txt resultante, asi veremos lo que ha hecho y si hay que hacer algo mas.



saludos



ms, 11-11-2010

[abarcajc]

Buen día, he dado un tiempo de prueba a la máquina y he instalado todas las actualizaciones que me faltaban. Al mismo tiempo, he descargado la versión 21.98 de EliStarA y la he ejecutado teniendo los siguiente resultados:



[b](11-11-2010 14:48:07 (GMT))

EliStartPage v21.98 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 10 de Noviembre del 2010)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



(11-11-2010 16:46:06 (GMT))

EliStartPage v21.98 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 10 de Noviembre del 2010)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"



Nº Total de Directorios: 18700

Nº Total de Ficheros: 173937

Nº de Ficheros Analizados: 35012

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

[/b]





Ustedes me dicen que más debo hacer o si ya está todo solucionado. No está demás decir que hasta este momento he observado un rendimiento notable de parte de mi computador. Agradeciendoles de antemano tan enorme favor,



Atentamente,



JC

[msc hotline sat]

Parece que ya todo está perfecto.



Pues lo celebramos, y dando el Tema por solucionado, procedemos a cerrarlo



Si nos necesita de nuevo, ya sabe donde estamos



saludos



ms, 11-11-2010