TROJANO GRAVE AYUDA PORFAVOR

Cerrado
Avatar de Usuario
msc hotline sat
Mensajes: 93500
Registrado: 09 Mar 2004, 20:39
Ubicación: BARCELONA (ESPAÑA)
Contactar:

Re: TROJANO GRAVE AYUDA PORFAVOR

Mensaje por msc hotline sat » 15 Mar 2018, 09:09

Posiblemente se carga el malware al reiniciar en MODO NORMAL.

Prueba de arrancar en MODO SEGURO y lanza los antivirus a ver si lo conocen.

Sino, descarga nuestro SPROCES , tambien en MODO SEGURO y tras lanzarlo y pulsar SALIR, posteanos con un COPIAR Y PEGAR el contenido de C:\infosat.txt y lo analizaremos, a ver si vemos de qué se trata.

Tan pronto nos lo postees, como respuesta a este Tema, lo analizaremos e informaremos.

saludos

ms, 15/3/2018

Avatar de Usuario
msc hotline sat
Mensajes: 93500
Registrado: 09 Mar 2004, 20:39
Ubicación: BARCELONA (ESPAÑA)
Contactar:

Re: TROJANO GRAVE AYUDA PORFAVOR

Mensaje por msc hotline sat » 16 Mar 2018, 07:33

El informe no está copiado totalmente, falta la mitad ...

Pero ya en lo enviado vemos una clave muy sospechosa:

O4 - User Startup: jsjgwdeu.lnk = C:\Windows\System32\cmd.exe /c start "" "C:\Users\Usuario\AppData\Roaming\Microsoft\Windows\jsjgwdeu\sttirueb.exe" (User 'Usuario')

Añade .vir a la extensión del fichero que lanza al final, y tras empaquetarlo en un ZIP o RAR con paswird virus, nos lo envias para analizar

Y dinos si este sttirueb.exe lo conoces o ha sido voluntariamente instalado por ti ???

Y tras reiniciar, dinos si se ha solucionado el problema, gracias.

Saludos

ms, 16-3-2018

Avatar de Usuario
msc hotline sat
Mensajes: 93500
Registrado: 09 Mar 2004, 20:39
Ubicación: BARCELONA (ESPAÑA)
Contactar:

Re: TROJANO GRAVE AYUDA PORFAVOR

Mensaje por msc hotline sat » 17 Mar 2018, 06:37

Debería ser mas largo, pero vamos a centrarnos en la clave que ya te indiqué:

O4 - User Startup: jsjgwdeu.lnk = C:\Windows\System32\cmd.exe /c start "" "C:\Users\Usuario\AppData\Roaming\Microsoft\Windows\jsjgwdeu\sttirueb.exe" (User 'Usuario')


Fijate que el link se llama jsjgwdeu.lnk y es el que abre una sesion de DOS, porque lanza el CMD, y desde allí ejecuta el dichoso sttirueb.exe al que ya debes haber añadido .vir a su extensión, y sea lo que sea, el lunes, cuando volvamos al trabajo, lo veremos y analizaremos.

Si vemos que es malicioso, como parece, eliminaremos la clave de marras con el nuevo ELISTARA que hagamos entonces.

Si quieres, pulsando SCAN en el SPROCES (en lugar de SALIR como haces para generar el informe), te aparecerán las claves para modificarlas. Es muy delicado dicho método, por lo cual siempre preferimos implementar la eliminación de dichas claves con nuestra utilidad ELISTARA, pero en este caso,y con mucho cuidado, puedes hacerlo y marcar la arriba indicada, y seleccionar ELIMINAR.

Si lo haces, comentanos el resultado (Tras reiniciar, claro)

En cualquier caso el lunes analizarems el fichero, pues puede ser que lance otras historias que tengamos que eliminar...

saludos

ms, 17-3-2018

Avatar de Usuario
msc hotline sat
Mensajes: 93500
Registrado: 09 Mar 2004, 20:39
Ubicación: BARCELONA (ESPAÑA)
Contactar:

Re: TROJANO GRAVE AYUDA PORFAVOR

Mensaje por msc hotline sat » 18 Mar 2018, 08:24

No deciamos nada de pulsar SCAN tras ejecutar el SPROCES, solo pulsar SALIR !!!

Y del fichero de marras, deciamos:

"Fijate que el link se llama jsjgwdeu.lnk y es el que abre una sesion de DOS, porque lanza el CMD, y desde allí ejecuta el dichoso sttirueb.exe al que ya debes haber añadido .vir a su extensión, y sea lo que sea, el lunes, cuando volvamos al trabajo, lo veremos y analizaremos."

Creo que está claro que el fichero que necesitamos que nos envies es el sttirueb.exe, y la manera de enviarlo lo indicamos en:

viewtopic.php?f=2&t=45334

Si lo recibimos lo analizaremos y si es malware como pensamos, lo añadiremos al control del ELISTARA, de lo cual informaremos.

saludos

ms, 18-3-2018

Avatar de Usuario
msc hotline sat
Mensajes: 93500
Registrado: 09 Mar 2004, 20:39
Ubicación: BARCELONA (ESPAÑA)
Contactar:

Re: TROJANO GRAVE AYUDA PORFAVOR

Mensaje por msc hotline sat » 19 Mar 2018, 07:39

Pues si no encuentra el fichero, pulsa SCAN en el SPROCES y selecciona la clave donde carga el fichero en cuestión , y le das a ELIMINAR.

Si hiciera falta, se podría restaurar la clave con la copia de seguridad que hace el SPROCES de las claves eliminadas

Tras ello, reinicia y cuentanos el resultado

Saludos

ms, 19-3-2018

Avatar de Usuario
msc hotline sat
Mensajes: 93500
Registrado: 09 Mar 2004, 20:39
Ubicación: BARCELONA (ESPAÑA)
Contactar:

Re: TROJANO GRAVE AYUDA PORFAVOR

Mensaje por msc hotline sat » 19 Mar 2018, 07:39

Pues si no encuentra el fichero, pulsa SCAN en el SPROCES y selecciona la clave donde carga el fichero en cuestión , y le das a ELIMINAR.

O4 - User Startup: jsjgwdeu.lnk = C:\Windows\System32\cmd.exe /c start "" "C:\Users\Usuario\AppData\Roaming\Microsoft\Windows\jsjgwdeu\sttirueb.exe" (User 'Usuario')

Si hiciera falta, se podría restaurar la clave con la copia de seguridad que hace el SPROCES de las claves eliminadas

Tras ello, reinicia y cuentanos el resultado

Saludos

ms, 19-3-2018

Avatar de Usuario
msc hotline sat
Mensajes: 93500
Registrado: 09 Mar 2004, 20:39
Ubicación: BARCELONA (ESPAÑA)
Contactar:

Re: TROJANO GRAVE AYUDA PORFAVOR

Mensaje por msc hotline sat » 19 Mar 2018, 11:01

Acabo de ejecutarlo bajo Windows 10 de mi equipo y en menos de 1 minuto me ha ofrecido un listado de claves y debajo tres pestañas, Restaurar, Eliminar y Salir, asi que si en tu equipo no va, pudiera ser por el dichoso fichero"sttirueb.exe" que el mismo SPROCES indica que se lanza desde:

C:\Users\Usuario\AppData\Roaming\Microsoft\Windows\jsjgwdeu\sttirueb.exe

Vuelve a mirar si lo encuentras, y si es asi y nos lo envias, lo analizaremos para ver lo que es y controlarlo en lo posible.

Por si fuera que estuviera oculto, recuerda que debes ir a Explorador de Archivos, Vista y alli seleccionar Elementos ocultos (Dentro de Marcar u Ocultar)

Suerte !

saludos

ms, 19-3-2018

Avatar de Usuario
msc hotline sat
Mensajes: 93500
Registrado: 09 Mar 2004, 20:39
Ubicación: BARCELONA (ESPAÑA)
Contactar:

Re: TROJANO GRAVE AYUDA PORFAVOR

Mensaje por msc hotline sat » 19 Mar 2018, 12:12

Y segun http://greatis.com/blog/howto/remove-mc ... orever.htm
tambien visto que esta DLL podría ser parte de un BiTCOINMINER, aunque no siempre , pero envianosla para analizar:

O22 - ShellExecuteHooks: - {BFD98515-CD74-48A4-98E2-13D209E3EE4F} - C:\WINDOWS\system32\mcicda64.dll

A su recepción , la analizaremos e informaremos

saludos

ms, 19-3-2018

Avatar de Usuario
msc hotline sat
Mensajes: 93500
Registrado: 09 Mar 2004, 20:39
Ubicación: BARCELONA (ESPAÑA)
Contactar:

Re: TROJANO GRAVE AYUDA PORFAVOR

Mensaje por msc hotline sat » 20 Mar 2018, 06:57

Buen está lo que bien acaba !

Pues lo celebramos, y dando por solucionado el Tema, procedemos a cerrarlo

Saludos

ms, 20-3-2018

Cerrado

Volver a “Foro Virus - Cuentanos tu problema”