GRAN PROBLEMA!! CAMBIOS EN EL REGISTRO!! ATAQUE PORT 445!

[Van HarDisk]

Hola de nuevo amigos....esta vez les tengo otro problema peor...

Les cuento: inicié mi máquina y el AD-WATCH (programa accesorio del Ad-Aware que monitorea cambios en el registro y bloquea cookies y pop-ups, entre otros) me empezo a detectar cambios en el registro tales como:



[color=red]Root:[/color]HKEY_LOCAL_MACHINE/regfile/shell/open/command

[color=red]New Data:[/color]regedit.exe"%1"

o

[color=red]Root:[/color]HKEY_LOCAL_MACHINE/software/Classes/.com

[color=red]New Data:[/color]comfile



y asi muchos otros...



La cuestion es que luego de tocar BLOCK a estos cambios, sucedían igual y entonces cuando doble clickeo un icono lo unico que sale es "este archivo no tiene un programa asociado para realizar esta accion....etc..." y no lo puedo abrir.

Esto ya me había pasado una vez, y tuve que formatear mi PC, cosa que no me gustaría volver a hacer.

Descubri una forma de abrir los programas que es usando click derecho sobre X archivo, y ahi ABRIR CON> y busco el exe del programa...Asi logre abrir el ELITRIIP y ELISTARA y el ELITRIIP fue el unico que encontro algo,ademas de un ataque en el PORT 445 (¿?):

--------------------------------------------------------

Sat Mar 31 08:32:38 2007

EliTriIP v3.40 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\Hernan Backup\sudokux8.exe --> Eliminado, Bifrose (dropper)



Sat Mar 31 08:37:49 2007

EliTriIP v3.40 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad D:\

D:\Hernan\sudokux8.exe --> Eliminado, Bifrose (dropper)



--------------------------------------------------------



Primero....que es un dropper? y tengo alguna forma de curar a mi registro o debo formatear de nuevo? AYUDA!

Saludos

Van HarDisk

:cry: :cry: :cry: :cry:

[msc hotline sat]

Un dropper es un generador de malwares



Y lo que permite el ELITRIIP es detener el intento de intrusion por el port TCP 445, para impedir los ataques por IP tipo Sasser y asi poder descargar los parches de microsoft, motivo de la facilidad para dicha entrada, pero que el desbordamiento del buffer provocado por ello causaba un error de sistema por el que windows lanza un shutdown, mientras que activando dicho bloqueo del servicio servidor, se logra evitarlo.



Y en el siguiente reinicio ya se normaliza dicho port, pero no es una deteccion, sino una opcion que permite el ELITRIIP.



En definitiva ha tenido una infeccion con el Bifrose dropper que podria haber generado troyanos hasta que la "madre" no se hubiera eliminado, como se he hecho, asi que, si tras reiniciar no persiste ninguna incidencia, nos lo comunica y daremos por solucionado el Tema



saludos



ms, 2-04-2007

[Van HarDisk]

Hola msc, pero lamento decir que sigue igual :(

Luego de reiniciarla, la PC todavia tira el error y no puede abrir ni RUNDLL32.exe ni WSCNTFY.exe ni todos los procesos propios de windows. No puedo abrir casi ningun archivo excepto por la forma anteriormente explicada....que hago? tengo que formatear?

Ademas, el buffer del proceso "lsass" es normal, no esta a full con el CPU...

[msc hotline sat]

Por lo menos a la madre la hemos localizado, ahora hace falta conocer a sus hijos, posiblemente variantes de los conocidos, pues cada dia salen un promedio de 200 nuevas variantes...



Como que dices que el Antispyware no los identifica, vamos a ver los residentes y los cambios realizados en el registro para obrar en consecuencia:



Descarga el SPROCES.EXE, lo ejecutas, y tras ello sales y nos posteas el contenido del fichero C:\SPROCLOG.TXT , como respuetsa de este Tema:





SPROCES (en fase beta)

http://www.zonavirus.com/descargas/sproces.asp



Es un HJT potenciado con el que veremos porqué no puede ejecutar ficheros y demas.



Tras analizarlo, informaremos



saludos



ms, 2-04-2007

[Van HarDisk]

Hola Amigos, y disculpen la tardanza, pero de verdad me paso algo raro....buscando un firewall para parar de una vez las conexiones del dichoso hacker, baje e instale mediante la forma anteriormente explicada el COMODO FIREWALL PRO, que me pidio al finalizar la instalacion que reinicie la PC.

Hago esto, y cuando inicia se pone la pantalla azul y sale "ROOTKIT KILLER" y no se que paso que cuando abre windows ya los procesos se empiezan a abrir y etc. etc.

Al darme cuenta de esto, active el TEA TIMER del spybot search & destroy y desinstale el AD WATCH del ad-aware, ya que tenia un error en el archivo de preferencias del usuario.

Y asi estuve hasta recien....la maquina no tiro ningun error excepto el de "ACCESS VIOLATION [monton de numeros]" y nada mas....

Les queria preguntar si hay alguna forma de que no salgan las "modificaciones del registro permitidas" del tea timer cuando se carga windows.

Aqui les dejo el SPROCES (despues de el "rootkit killer"):



-------------

Fri Apr 06 23:09:12 2007

SProces v2.6 (c)2006 S.G.H. / Satinfo S.L.

-------------------------------------------

Sistema Operativo: Microsoft Windows XP (v5.1.2600) Service Pack 2

Internet Explorer: (v6.0.2900.2180) ;SP2;



Procesos Activos:

C:\WINDOWS\SYSTEM32\SMSS.EXE

C:\WINDOWS\SYSTEM32\WINLOGON.EXE

C:\WINDOWS\SYSTEM32\SERVICES.EXE

C:\WINDOWS\SYSTEM32\LSASS.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\EXPLORER.EXE

C:\WINDOWS\SYSTEM32\SPOOLSV.EXE

D:\ARCHIV~1\GRISOFT\AVGFRE~1\AVGCC.EXE

C:\WINDOWS\SYSTEM32\RUNDLL32.EXE

D:\COMODO\FIREWALL\CPF.EXE

C:\WINDOWS\SYSTEM32\CTFMON.EXE

C:\ARCHIVOS DE PROGRAMA\MESSENGER\MSMSGS.EXE

D:\ARCHIVOS DE PROGRAMA\SPYBOT - SEARCH & DESTROY\TEATIMER.EXE

D:\ARCHIV~1\GRISOFT\AVGFRE~1\AVGAMSVR.EXE

C:\ARCHIVOS DE PROGRAMA\MEDIA KEY\MAGICKEY.EXE

C:\ARCHIVOS DE PROGRAMA\MEDIA KEY\OSD.EXE

D:\ARCHIV~1\GRISOFT\AVGFRE~1\AVGUPSVC.EXE

D:\COMODO\FIREWALL\CMDAGENT.EXE

C:\ARCHIVOS DE PROGRAMA\PINNACLE\MEDIASERVER\MICROSOFT SQL SERVER\MSSQL$PINNACLESYS\BINN\SQLSERVR.EXE

C:\WINDOWS\SYSTEM32\NVSVC32.EXE

C:\ARCHIVOS DE PROGRAMA\ANALOG DEVICES\SOUNDMAX\SMAGENT.EXE

D:\ARCHIVOS DE PROGRAMA\MOZILLA FIREFOX\FIREFOX.EXE

D:\COMODO\FIREWALL\CPFUPDAT.EXE

D:\DESCARGAS\SPROCES.EXE



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.com.ar/

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.microsoft.com/en/us/default.aspxisapi/redir.dll?prd={SUB_PRD}&clcid={SUB_CLSID}&pver={SUB_PVER}&ar=home

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/en/us/default.aspxisapi/redir.dll?prd=ie&ar=iesearch

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/en/us/default.aspxisapi/redir.dll?prd=ie&ar=iesearch

R3 - URLSearchHook: Hook de búsqueda de direcciones URL de Microsoft - {CFBFAE00-17A6-11D0-99CB-00C04FD64497} - %SystemRoot%\system32\shdocvw.dll

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,

O1 - Hosts: 127.0.0.1 localhost

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - d:\ARCHIV~1\SPYBOT~1\SDHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - D:\Archivos de programa\Java\jre1.5.0_06\bin\ssv.dll

O4 - HKLM\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKLM\..\Run: [MSMSGS] "C:\Archivos de programa\Messenger\msmsgs.exe" /background

O4 - HKLM\..\Run: [SpybotSD TeaTimer] d:\Archivos de programa\Spybot - Search & Destroy\TeaTimer.exe

O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\system32\PSDrvCheck.exe -CheckReg

O4 - HKLM\..\Run: [AVG7_CC] d:\ARCHIV~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [COMODO Firewall Pro] "D:\Comodo\Firewall\CPF.exe" /background

O4 - Startup: desktop.ini

O4 - Global Startup: Acelerador de inicio de AutoCAD.lnk

O4 - Global Startup: desktop.ini

O4 - Global Startup: Media Key.lnk

O4 - Global Startup: Troyan Explore Antivirus.LNK

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://D:\ARCHIV~1\MICROS~1\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Archivos de programa\Java\jre1.5.0_06\bin\ssv.dll

O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\ARCHIV~1\MICROS~1\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - http://download.ewido.net/ewidoOnlineScan.cab

O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Plug-in) - http://java.sun.com/update/1.5.0/jinstall-1_5_0_06-windows-i586.cab

O16 - DPF: {CAFEEFAC-0015-0000-0006-ABCDEFFEDCBA} (Java Plug-in) - http://java.sun.com/update/1.5.0/jinstall-1_5_0_06-windows-i586.cab

O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} (Java Plug-in 1.5.0_06) - http://java.sun.com/update/1.5.0/jinstall-1_5_0_06-windows-i586.cab

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{950C3AB4-A490-4A2F-A9F9-C1D40CD321F6}: NameServer = 200.42.97.111,200.42.0.111

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: mso-offdap - {3D9F03FA-7A94-11D3-BE81-0050048385D1} - C:\ARCHIV~1\ARCHIV~1\MICROS~1\WEBCOM~1\10\OWC10.DLL

O18 - Protocol: mso-offdap11 - {32505114-5902-49B2-880A-1F7738E5A384} - C:\ARCHIV~1\ARCHIV~1\MICROS~1\WEBCOM~1\11\OWC11.DLL

O21 - SSODL: PostBootReminder - {7849596a-48ea-486e-8937-a2a3009f31a9} - %SystemRoot%\system32\SHELL32.dll

O21 - SSODL: CDBurn - {fbeb8a05-beee-4442-804e-409d6c4515e9} - %SystemRoot%\system32\SHELL32.dll

O21 - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - %SystemRoot%\system32\webcheck.dll

O21 - SSODL: SysTray - {35CEC8A3-2BE6-11D2-8773-92E220524153} - C:\WINDOWS\system32\stobject.dll

O22 - SharedTaskScheduler: {438755C2-A8BA-11D1-B96B-00A0C90312E1} - Precargador Browseui - %SystemRoot%\system32\browseui.dll

O22 - SharedTaskScheduler: {8C7461EF-2B13-11d2-BE35-3078302C2030} - Demonio de caché de las categorías de componente - %SystemRoot%\system32\browseui.dll



Información Adicional:

----------------------

ShellExecuteHooks: {AEB6717E-7E19-11d0-97EE-00C04FD91972} - - shell32.dll

********

Saludos, y gracias...

Espero su respuesta,

Van HarDisk

:arrow:

[msc hotline sat]

Pues lo que no sé es qué lanza el mensaje de ROOTKIT KILLER ???



Pero a la vista de que nos puede rondar uno de estos bichos, que nos oculte clavbes, proicesos y ficheros malwares relacionados, arranque en modo seguro y lance de nuevo el SPROCES como antes ha hecho, pero el log de salida será diferente, posteenoslo de nuevo a ver si es el caso que veamos que nos estaban escondiendo lo que nos marea.



Tras ello podría probar un antirootkits, que en concepto shareware puede bajar de:



http://unhackme.softonic.com/ie/47964


[quote]Un rootkit es, a grandes rasgos, un código que permite permanecer invisible a ojos del usuario (y de muchos antivirus) y ocultar un troyano, virus, spyware o cualquier otro tipo de agradable ‘regalito’ de este estilo.



UnHackMe es una sencilla y rapidísima utilidad específica para detectar rootkits e intentar eliminarlos de tu sistema. Si alguna vez te has enfrentado a ellos, sabrás que no resulta tarea fácil.



Esta utilidad es muy simple, la ejecutas y pulsas sobre: “Check me now!”. Casi al momento verás si estás infectado o no.



También incluye un monitorizador que, cada minuto (configurable), comprobará si se ha colado alguno de estos peligrosos rootkits en tu sistema[/quote]

Pero prefeririamos poderlo cazar y analizar mas que nos lo mataran sin conocerlo... por lo que le pedimos que antes haga lo de arrancar en modo seguro y tras lanzar de nuevo el SPROCES para que, tras reiniciar, nos lo pudiera postear en su siguiente post de respuesta a este Tema



Y veremos su contenido e informaremos, y si prueba luego el UNHACKME, nos comenta el resultado, gracias



saludos



ms, 7-04-2007

[Claudia34]

Hola solo queria decir que el enlace anterior parece que tiene Adware segun el Site Advisor porque es de color amarillo. ¿No hay problema en ir a esa pagina? Saludos.

[msc hotline sat]

Muy bien Claudia34 !



Pero si entras en el circulo amarillo veras el porqué, y es que algunas de las descargas que ofrecen son consideradas peligrosas:



http://www.siteadvisor.com/sites/softonic.com?ref=safesearch&aff_id=0&premium=false&suite=false



como veras un par entre cientos de descargas tienen un adware, pero es del fabricante, no de la web de descarga:


[quote]
Turbo Torrent 1.1.2 (turbo-1.0.9.exe)

Adware-WhenU,Adware-Url



FlashGet (fgf171.exe)

Adware-FlashGet



Ace Utilities 2.3.0 (au_softonic.exe)





AceFTP 3 Pro (aftp3proSoftonic.exe)





Ashampoo AntiSpyWare


[/quote]

no por ello el site es peligroso, pues es muy conocido como site de descargas de utilidades para windows.



Pero gracias por el aviso !



saludos



ms, 7-04-2007

[Claudia34]

Lo tendre en cuenta esos detalles para futuro. Gracias y saludos.

[msc hotline sat]

De nada, es un placer.



Justamente lo que es positivo es aclarar las dudas, si se puede, claro !



saludos



ms, 8-04-2007