No instala antivirus (probado Eset -AVG). No activa protección residente de Malwarebite o de otros antivirus (SOLUCIONADO)

[clepsidra21]

Cordial Saludo,



Me he encontrado con un posibles virus y he corrido el elistara. He realizado algunas acciones para eliminar el siguiente virus:



xhbop5iv.exe



He eliminado las claves de registro que tienen relación con este virus (al parecer un gusano -según esta página [url]http://blog.teesupport.com/how-to-remove-malvbcheman-a-malvbcheman-a-virus-removal-guide/[/url] y otras. He seguido los pasos para la eliminación de este virus que señala dicha página. Elimine los archivos y las claves relacionadas. El problema es que aún no puedo instalar el antivirur. Antes tenia el ESET y de un momento a otro empezó a señalar que sus módulos estaban desactivados y que había que reinstalar, lo intenté y me botó un mensaje de erro de instalación. Intenté con el AVG y lo mismo. Solo el Malwarebites puede instalar, y no fue posible activar su residente. Así pues en este momento estoy sin antivirus residente. Esto del antivirus ocurrió antes de empezar a eliminar el gusano, sus archivos y sus claves.



También encontré este ejecutable 7Z8QAJ0TXD.EXE(al parecer un troyano), que probablemente estaba relacionado con el gusano mencionado anteriormente. El elistara lo reconoció y les he enviado una muestra de él. Con el Malwarebite lo he eliminado.



Además al utilizar el sprocess he encontrado una clave de un servicio (el archivo está perdido) que también parece pertenecer a virus, un gusano o un troyano.

Service: FXDrv32 - Unknown owner - E:\FXDrv32.sys (file missing)



EN CONCLUSION: No puedo instalar un activirus como ESET o AVG, y el Malwarebite no puedo acitvar su residente. Tampoco puedo activar las actualizaciones automáticas de windows ¿es posible que el gusano haya dañado un archivo o cambiado alguna regla de seguridad? Dejo el sproces aquí posteado. Les agradezco su ayuda.



Nota: Todas las acciones fueron realizadas en modo a prueba de fallos. Se utilizó el Malwarebite y su herramienta de eliminación. Las claves fueron eliminadas con el sprocess y directamente en el regedit. Fueron hechas copias de seguridad de todas ellas.

En el sprocess aparece mozilla y el plugin conteiner porque estaba escribiendo este mensaje cuando hice la ultima revisión con el programa.



(21-3-2012 15:44:11 GMT)

SProces v6.1 (c)2012 S.G.H. / Satinfo S.L.

-------------------------------------------

Sistema Operativo: Microsoft Windows XP (v5.1.2600) Service Pack 3

Parche MS08-067 (Servicio Servidor) NO Instalado.

Internet Explorer: (v8.0.6001.18702) 0

Equipo: DOE

Usuario: clep

Sesión de Usuario: clep



22 Procesos Activos:

C:\WINDOWS\SYSTEM32\SMSS.EXE

C:\WINDOWS\SYSTEM32\CSRSS.EXE

C:\WINDOWS\SYSTEM32\WINLOGON.EXE

C:\WINDOWS\SYSTEM32\SERVICES.EXE

C:\WINDOWS\SYSTEM32\LSASS.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\EXPLORER.EXE

C:\WINDOWS\SYSTEM32\SPOOLSV.EXE

C:\WINDOWS\RTHDCPL.EXE

C:\WINDOWS\SYSTEM32\CTFMON.EXE

C:\WINDOWS\SYSTEM32\NVSVC32.EXE

C:\PROGRAM FILES\MICROSOFT\SEARCH ENHANCEMENT PACK\SEAPORT\SEAPORT.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\WSCNTFY.EXE

C:\WINDOWS\SYSTEM32\ALG.EXE

C:\PROGRAM FILES\MOZILLA FIREFOX\FIREFOX.EXE

C:\PROGRAM FILES\MOZILLA FIREFOX\PLUGIN-CONTAINER.EXE

D:\DESCARGAS\SPROCES.EXE



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch

R0 - HKUS\S-1-5-21-1220945662-448539723-1801674531-1004\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank (User 'UpdatusUser')

R0 - HKUS\S-1-5-21-1220945662-448539723-1801674531-1004\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch (User 'UpdatusUser')

R0 - HKUS\S-1-5-21-1220945662-448539723-1801674531-500\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank (User 'Administrator')

R0 - HKUS\S-1-5-21-1220945662-448539723-1801674531-500\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch (User 'Administrator')

O2 - BHO: Search Helper - {6EBF7485-159F-4bff-A14F-B9E3AAC4465B} - C:\Program Files\Microsoft\Search Enhancement Pack\Search Helper\SearchHelper.dll

O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKUS\S-1-5-21-1220945662-448539723-1801674531-500\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe (User 'Administrator')

O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] C:\Program Files\NVIDIA Corporation\nView\nwiz.exe /installquiet

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Servicio Local')

O9 - Extra button: Blog This - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Plug-in 1.6.0_22) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_22-windows-i586.cab

O16 - DPF: {CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA} (Java Plug-in 1.6.0_22) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_22-windows-i586.cab

O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} (Java Plug-in 1.6.0_22) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_22-windows-i586.cab

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\WINDOW~4\MESSEN~1\MSGRAP~1.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\WINDOW~4\MESSEN~1\MSGRAP~1.DLL

O18 - Protocol: wlmailhtml - {03C514A3-1EFB-4856-9F99-10D7BE1653C0} - C:\Program Files\Windows Live\Mail\mailcomm.dll

O20 - Winlogon Notify: DIMSNTFY - %SYSTEMROOT%\SYSTEM32\DIMSNTFY.DLL

O21 - SSODL: PostBootReminder - {7849596a-48ea-486e-8937-a2a3009f31a9} - %SystemRoot%\system32\SHELL32.dll

O21 - SSODL: CDBurn - {fbeb8a05-beee-4442-804e-409d6c4515e9} - %SystemRoot%\system32\SHELL32.dll

O21 - SSODL: SysTray - {35CEC8A3-2BE6-11D2-8773-92E220524153} - C:\WINDOWS\system32\stobject.dll

O22 - SharedTaskScheduler: Browseui preloader - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - %SystemRoot%\system32\browseui.dll

O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - %SystemRoot%\system32\browseui.dll



Información Adicional:

----------------------

WinSys\Drivers\dmboot.sys (de 799744 bytes) () Microsoft Corp., Veritas Software

WinSys\Drivers\mrxsmb.sys (de 456576 bytes) () Microsoft Corporation

WinSys\Drivers\ntfs.sys (de 574976 bytes) () Microsoft Corporation

WinSys\Drivers\nvnrm.sys (de 950272 bytes) (+r) NVIDIA Corporation



Listado de Servicios (Carga Automatica):

----------------------------------------

O23 - Service: MBAMService - Malwarebytes Corporation - C:\Program Files\Malwarebytes' Anti-Malware\mbamservice.exe

O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe



Listado de Servicios (Carga Manual):

------------------------------------

**O23 - Service: Logical Disk Manager Administrative Service (dmadmin) - Microsoft Corp., Veritas Software - C:\WINDOWS\System32\dmadmin.exe

O23 - Service: FXDrv32 - Unknown owner - E:\FXDrv32.sys (file missing)

O23 - Service: Microsoft UAA Bus Driver for High Definition Audio (HDAudBus) - Windows (R) Server 2003 DDK provider - C:\WINDOWS\SYSTEM32\DRIVERS\HDAudBus.sys

O23 - Service: Service for Realtek HD Audio (WDM) (IntcAzAudAddService) - Realtek Semiconductor Corp. - C:\WINDOWS\SYSTEM32\drivers\RtkHDAud.sys

O23 - Service: mbamchameleon - Unknown owner - C:\WINDOWS\system32\drivers\mbamchameleon.sys

O23 - Service: MBAMProtector - Malwarebytes Corporation - C:\WINDOWS\system32\drivers\mbam.sys

O23 - Service: nv - NVIDIA Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\nv4_mini.sys

O23 - Service: NVIDIA nForce Networking Controller Driver (NVENETFD) - NVIDIA Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\NVENETFD.sys

O23 - Service: NVIDIA Network Bus Enumerator (nvnetbus) - NVIDIA Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\nvnetbus.sys

O23 - Service: Direct Parallel Link Driver (Ptilink) - Parallel Technologies, Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\ptilink.sys

O23 - Service: Secdrv - Macrovision Corporation, Macrovision Europe Limited, and Macrovision Japan and Asia K.K. - C:\WINDOWS\SYSTEM32\DRIVERS\secdrv.sys

O23 - Service: ZTE Proprietary USB Driver (ZTEusbmdm6k) - ZTE Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\ZTEusbmdm6k.sys

O23 - Service: ZTE NMEA Port (ZTEusbnmea) - ZTE Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\ZTEusbnmea.sys

O23 - Service: ZTE Diagnostic Port (ZTEusbser6k) - ZTE Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\ZTEusbser6k.sys



Listado de Servicios (Deshabilitados):

--------------------------------------

**O23 - Service: dmboot - Microsoft Corp., Veritas Software - C:\WINDOWS\SYSTEM32\drivers\dmboot.sys

O23 - Service: Human Interface Device Access (HidServ) - Unknown owner - %SystemRoot%\System32\svchost.exe -k netsvcs - C:\WINDOWS\System32\hidserv.dll (file missing)



18 Servicios.

2 de Carga Automatica.

14 de Carga Manual.

2 Deshabilitados.

[msc hotline sat]

Efectivamente el fichero indicado [b]xhbop5iv.exe [/b] parece ser malware:



http://incodesolutions.com/threats.php?file=AppdataFolderxhbop5ivexe





No hemos recibido aun el fichero en cuestion. Cuando lo recibamos, se analizará y procederá en consecuencia, implementando su control y eliminacion, si procede, en nuestras utilidades, de lo cual informaremos





Para el envio de muestras, recordar:


[quote]


https://foros.zonavirus.com/viewtopic.php?f=5&t=14253



Tras recibirlo/s, lo/s analizaremos e implementaremos su control y eliminación, si procede, en nuestras utilidades, de lo cual informaremos


[/quote]



saludos



ms, 21-3-2012









NOTA: Y cuidado con los parches de windows, que falta uno muy importante contra el Conficker:



Parche MS08-067 (Servicio Servidor) NO Instalado.



Lance un windowsupdate e instale los que encuentre a faltar !!! (http://www.update.microsoft.com)



ms.

[msc hotline sat]

Seguimos sin recibir el fichero indicado



Por otro lado, otras dos muestras pasamos a controlarlas con el ELISTARA 25.14, segun indicamos en :







CUTWAIL:



http://www.zonavirus.com/noticias/2012/variante-de-cutwail-que-utiliza-driver-sys-de-16-digitos-para-su-proteccion.asp







SPY PASSVIEW:



http://www.zonavirus.com/noticias/2012/nueva-variante-de-spy-passview-cazado-por-la-heuristica-del-elistara.asp





saludos



ms, 21-3-2012

[msc hotline sat]

Recibimos por ultimo un fichero HTM que parece haber interrumpido el proceso de envio:


[quote]McAfee®

Archivo protegido detectado

No se pudo analizar un archivo protegido con contraseña.





--------------------------------------------------------------------------------



Archivo protegido detectado

No se pudo analizar un archivo protegido con contraseña.



Consulte al administrador del sistema para obtener más información.





Copyright © 1993-2010 McAfee, Inc.

Reservados todos los derechos.

http://www.mcafee.com[/quote]

Desactive el antivirus para empaquetar / enviar las muestras .



Si no sabe como, arranque en MODO SEGURO CON FUNCIONES DE RED y podrá hacerlo



saludos



ms, 21-3-2012

[clepsidra21]

Cordial Saludo,



El caso es que ya había enviado los ficheros que el elistara había separado. Luego los envié nuevametne, sobre el tema que he abierto y parece que estos fueron los que salieron mal. Me doy cuenta de ello porque las dos modificaciones que señalan para el elistara controlan exactamente los virus que envie en el primer paquete. Por tanto no voy a volverlo a enviar.



CUTWAIL:

http://www.zonavirus.com/noticias/2012/ ... eccion.asp

SPY PASSVIEW:

http://www.zonavirus.com/noticias/2012/ ... istara.asp



He solucionado el problema de no poder instalar antivirus o activar el residente. He hecho dos cosas: Eliminé el driver Sys. de la variante cutwail (el ejecutable 7Z8QAJ0TXD.EXE que ya había encontrado en el equipo y eliminado parcialmente), como señalan en el post de la nueva actualización del elistara. También me dirigi al panel de control y a las herramientas administrativa donde reinicie algunos servicios como el de windows update.



Después de esto pude instalar el antivirus norton, el avg y activar el residente del malwarebites. Por supuesto, cada uno de ellos fueron activados aparte para no crear conflictos (ahora tengo el avg como residente los otros fueron desinstalados). También funciona las actualizaciones de windows y estoy descargando los parches faltantes. Me falta hacer un análisis general del pc con el avg, pero creo que el problema ya está solucionado. También correré la actualización del elistara cuando este disponible, por si acaso.



En cuanto al posible gusano xhbop5iv.exe ya había eliminado sus claves de registro, carpetas y ejecutables cuando corrí el elistara, por lo cual no voy a poder enviar una muestra de él. Sin embargo otro computador al cual tengo acceso es posible que esté infectado con este gusano, así que tan pronto como pueda revisar ese equipo y si encuentro el archivo lo envio.



Les agradezco la ayuda que me han dado en la solución de este problema.

[msc hotline sat]

Pues a la vista de lo indicado, damos por solucionado este Tema y en cuanto recibamos la muestra del otro ordenador, le pedimos que nos la envie y abra otro tema al respecto, para poder estudiarlo y contestarle al respecto, esperando poder ofrecerle de nuevo la utilidad que lo controle.



En consecuencia pasamos a cerrar este Tema dandolo por solucionado.



saludos



ms, 22-3-2012

[clepsidra21]

Cordial Saludo





Solicito el cierre del post.



Gracias.

[msc hotline sat]

Asi lo hacemos.



y en cuanto recibamos la muestra del otro ordenador, similar a la del gusano xhbop5iv.exe de este, la analizaremos y contestaremos en el Tema que abra al respecto.



saludos



ms, 23-3-2012