problemas con troyanos (SOLUCIONADO)

bernar · Mensaje por **bernar** » 26 Mar 2007, 21:15

Pues he hecho para ver todos los archivos ocultos y no aparecen,lo siento soy más pesado que las mulas :lol:

Mensaje por **msc hotline sat** » 27 Mar 2007, 07:47

Pues prescindiremos de analizar lo que no puede enviarnos...

Proceda a arrancar en modo seguro con funciones de red y lance este antivirus, a ver si los encuentra y elimina, pero sobre todo en MODO SEGURO CON FUNCIONES DE RED :

[url=https://www.eset.es/analisis-online/]~~[b]~~[color=Darknesred]Antivirus ONLINE aconsejado[/color][/b][/url]

saludos

ms, 27-03-2007

Moebius · Mensaje por **Moebius** » 28 Mar 2007, 09:52

Efectivamente tengo el mismo problema que bernar, voy a intentar un arranque en modo seguro para intentar localizar los dos archivos .dll, empaquetarlos y mand´´aroslos.

NOTA: el doble acento que aparece en la palabra me est´´a ocurriendo (otra vez) desde que tengo este problema. En el word'07 directamente no me los pone.

Moebius · Mensaje por **Moebius** » 28 Mar 2007, 11:35

No me permite abrirlos, y arrancando en modo seguro no aparecen, la carpeta no est´´a.

He trasteado un poco en el msconfig y tengo un proceso en el inicio que es ntos.exe arrancando desde windows/system32/ntos.exe ¿estan relacionados?

Mensaje por **msc hotline sat** » 28 Mar 2007, 12:01

Pues envianos dicho fichero y lo analizaremos

windows/system32/ntos.exe

recuerda: https://foros.zonavirus.com/viewtopic.php?f=2&t=45334

saludos

ms, 28-03-2007

Moebius · Mensaje por **Moebius** » 28 Mar 2007, 13:01

tampoco es posible mover/copiar/borrar el archivo ntos.exe

Mensaje por **msc hotline sat** » 28 Mar 2007, 13:21

Pruebalo arrancando en modo seguro, y muevelo bien a un disquete o al escritorio, luego arrancando en modo normal nos lo envias adjuntandolo a un mail:

https://foros.zonavirus.com/viewtopic.php?f=2&t=45334

Si no te lo dejara mover ni en modo seguro, mira al menos renombrarlo a .VIR y tras reiniciar enviarnoslo

saludos

ms, 28.-03-2007

nota: ya hemos tenido problema con este fichero, pero era porque no lo encontraban, pero si ya lo tienes, dale un empujon y listos... !!! :wink:

Moebius · Mensaje por **Moebius** » 28 Mar 2007, 17:27

Nada, que no se deja tocar de ninguna manera.

Incluso he iniciado con un CD bootable de Linux (knoppix 3.3) para ver si de esa forma pudiese acceder, pero ni con esas. Parece que estan enquistados.

He probado a desactivarlo en el arranque a traves de msconfig-> inicio pero se crea de nuevo otra entrada. Ya no se por donde cogerlo.

Mensaje por **msc hotline sat** » 28 Mar 2007, 17:46

Pues iba a proponerte arrancar en consola de recuperacion, con el CD de nstalacion del windows, pero si ni arrancando en LINUX puedes...

Ya resignandonos a no poder analizarlo, mira de eliminarlo con el KILLBOX:

[quote]
Para eliminacion de ficheros que se resistan_

http://www.zonavirus.com/datos/descargas/193/Pocket_KillBox.asp
[/quote]

pues no creo que sea cosa de un rootkit si no se arranca con el sistema... ???

Nos cuentas tus progresos al respecto, gracias

saludos

ms, 28.03.2007

Moebius · Mensaje por **Moebius** » 28 Mar 2007, 18:14

Me temo que ni con el Killbox ese...

[url=http://imageshack.us]

[img]http://img489.imageshack.us/img489/3443/screenshotbg8.jpg[/img][/url]

Cuando lo he intentado, me ha petado el explorer.exe (me desaparece la barra de tareas) que se ha reiniciado y luego me ha salido el mensaje ese de arriba.[/img]

Mensaje por **msc hotline sat** » 28 Mar 2007, 18:30

Pues si en modo Normal no deja, marca el modo de eliminar en el proximo reinicio, que está en segundo lugar, debajo mismo del Normal

y reinicia...

Se resiste el condenado :!:

saludos

ms, 28-03-2007

Moebius · Mensaje por **Moebius** » 28 Mar 2007, 18:50

Nada que hacer

Ni el borrado en el reinicio funciona.

Ya no se q mas probar

..excepto la reinstalacion...

Moebius · Mensaje por **Moebius** » 28 Mar 2007, 19:02

estoy probando RootkitRevealer 1.7 y me estan saliendo varias entradas

Moebius · Mensaje por **Moebius** » 28 Mar 2007, 19:07

Al intentar salvar el log del RootkitRevealer, se ha petao y no lo ha salvado, voy a intentarlo de nuevo y probare tambien Blacklight(F-Secure)

Moebius · Mensaje por **Moebius** » 28 Mar 2007, 19:10

Blacklight no encuentra nada

Mensaje por **msc hotline sat** » 28 Mar 2007, 19:23

pues sin muestra no podemos replicar el problma en nuestros ordenadores de prueba,

Creo que en consola de recuperacion, si te copias en undisquete el comando ATTRIB, te vas al directorio donde sabes que está el NTOS.EXE y ejecutas el ATTRIB, lo verá y te dirá los atributos, si es el caso se los sacas y lo mueves al disquete, a partir de ello ya podrás enviarnoslo y será cosa nuestra, pero mientras solo lo tengas tú...

saludos

ms, 28-03-2007

nota: sino aun podriamos intentarlo con el CACLS, ( privilegios de NTFS) pero la forma que le he indicado ha sido hasta ahora la que ninguno se ha resistido... ms.

Moebius · Mensaje por **Moebius** » 29 Mar 2007, 13:52

Problema (en principio) solucionado.

(yá téngó ácéntós :D)

¿Cómo? pues resulta que el troyano en cuestión también es conocido como Win32.Small.lu según vosotros

[quote="msc hotline sat"]Pues sin los ficheros, lo unico que puede ofrecerle es informacion:

http://research.sunbelt-software.com/threatdisplay.aspx?name=Backdoor.Win32.Small.lu&threatid=70959

[/quote]

Pues ese troyano se lo carga el Counterspy V2 (shareware version)

Moebius · Mensaje por **Moebius** » 29 Mar 2007, 13:57

Nota:

La limpieza la hace en un reboot, no lo limpia tal cual.

Se carga la carpeta "..Windows/system32/wsnpoem/"

Se carga los archivos "audio.dll" y "video.dll"

Se carga el archivo "ntos.exe" de "...windows/"

Sólo ha quedado pendiente la clave de registro asociada, que me he calzado en un scan posterior con Spybot S&D

Uff, no quiero echar campanas al vuelo todavía, pero ya estaba haciendo acopio de cd's para un formateo total.

Mensaje por **msc hotline sat** » 29 Mar 2007, 14:24

Bueno pues por lo menos que haya servido de algo la informacion...

Y si antes o despues podeis enviar muestras de los ficheros indicados en ella, por haber renombrado ficheros malwares, movidos a cuarentena u os reinfecteis sin querer (todo es posible) o lo que sea, mirad de enviarnos las muestras para poder implementar su control y eliminacion a nuestras utilidades.

saludos

ms, 29-03-2007

nota: y felicidades !

[img]http://www.satinfo.es/zonavirus/aplausos.gif[/img]

patquim · Mensaje por **patquim** » 30 Mar 2007, 03:32

Estoy en tu misma situaci´´on, aunque como puedes ver a mi me salen tambien doble acentuaci´´on.

en la carpeta wsnpoem (carpeta oculta por ser de sistema me sale) estan las librerias audio.dll y video.dll

Edito: sorry, no vi los dem´´as post del tema.. voy a ver ahora. :oops:

Mensaje por **msc hotline sat** » 30 Mar 2007, 06:20

Prueba si con este ANTIROOTKIT puedes localizar algo al respecto en tu PC y nos lo indicas:

ANALISIS ROOTKIT KERNEL:

http://www.resplendence.com/download/hookanlz.exe

Sino, probariamos lo que indicamos al autor del Tema aunque no sabemos a ciencia cierta ni lo que hace ni lo que deja de hacer ..., pero tras probar lo indicado, si no aparece el Rootkit, probaremos de nuevo : http://go.sunbelt-software.com/?linkid=410

y tras reiniciar nos comenta el resultado, gracias

saludos

ms, 30-03-2007

patquim · Mensaje por **patquim** » 30 Mar 2007, 13:49

Vale, he pasado el rookkit y el ElisarSta, os posteo los resultados:

El log del RootKit es el siguiente, solo pongo lo que salia en rojo:

Service name Syscall Address Hooked Module Product Company Description

----------------------------------------------------------------------------------------------------------------------------------------------------------------

NtClose, ZwClose 25 0xF789B514 YES sbhr.sys Active Protection SDK Sunbelt CounterSpy AP Driver

NtCreateKey, ZwCreateKey 41 0xF789B552 YES sbhr.sys Active Protection SDK Sunbelt CounterSpy AP Driver

NtEnumerateKey, ZwEnumerateKey 71 0xF750BC7E YES sptd.sys

NtEnumerateValueKey, ZwEnumerateValueKey 73 0xF750BFF6 YES sptd.sys

NtOpenKey, ZwOpenKey 119 0xF789B4D0 YES sbhr.sys Active Protection SDK Sunbelt CounterSpy AP Driver

NtQueryKey, ZwQueryKey 160 0xF750C0C0 YES sptd.sys

NtQueryValueKey, ZwQueryValueKey 177 0xF750BF58 YES sptd.sys

NtSetValueKey, ZwSetValueKey 247 0xF789B5A2 YES sbhr.sys Active Protection SDK Sunbelt CounterSpy AP Driver

El log del Hihackthis es el siguiente:

Logfile of HijackThis v1.99.1

Scan saved at 12:46:30, on 30/03/2007

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\csrss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\Archivos de programa\Browser MOUSE\mouse32a.exe

C:\WINDOWS\System32\alg.exe

C:\WINDOWS\System32\nvsvc32.exe

C:\Archivos de programa\Analog Devices\SoundMAX\SMAgent.exe

C:\WINDOWS\System32\svchost.exe

F:\Mis Documentos\Patricia\seguridad\comillas\counterspy.exe

C:\WINDOWS\System32\wbem\wmiprvse.exe

F:\Mis Documentos\Patricia\seguridad\comillas\SBCSSvc.exe

F:\Mis Documentos\Patricia\seguridad\comillas\SBCSTray.exe

C:\HijackThis_1.99.1.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.es

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

F2 - REG:system.ini: UserInit=C:\WINDOWS\SYSTEM32\Userinit.exe,C:\WINDOWS\System32\ntos.exe,

O1 - Hosts: seguida del nombre de host correspondiente.

O1 - Hosts: 86.109.161.231 L2authd.lineage2.com #Feagurth c4

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.5.0_06\bin\ssv.dll

O2 - BHO: (no name) - {A5366673-E8CA-11D3-9CD9-0090271D075B} - (no file)

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [IMJPMIG8.1] C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE /Spoil /RemAdvDef /Migration32

O4 - HKLM\..\Run: [IMEKRMIG6.1] C:\WINDOWS\ime\imkr6_1\IMEKRMIG.EXE

O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\System32\IME\PINTLGNT\ImScInst.exe /SYNC

O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /SYNC

O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /IMEName

O4 - HKLM\..\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [FLMOFFICE4DMOUSE] C:\Archivos de programa\Browser MOUSE\mouse32a.exe

O4 - HKLM\..\Run: [SBCSTray] F:\Mis Documentos\Patricia\seguridad\comillas\SBCSTray.exe

O4 - HKLM\..\RunOnce: [Borra Desinstalar_Sacred] command /c del "C:\Archivos de programa\FX Uninstall Information\Desinstalar_Sacred.exe"

O4 - HKCU\..\Run: [userinit] C:\WINDOWS\System32\ntos.exe

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present

O8 - Extra context menu item: Descargar con Fl&ashGet - C:\Archivos de programa\FlashGet\jc_link.htm

O8 - Extra context menu item: Descargar todo con Flas&hGet - C:\Archivos de programa\FlashGet\jc_all.htm

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office10\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_06\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_06\bin\ssv.dll

O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/spanish/kavwebscan_unicode.cab

O16 - DPF: {CAFEEFAC-0014-0001-0001-ABCDEFFEDCBA} (Java Runtime Environment 1.4.1_01) -

O17 - HKLM\System\CCS\Services\Tcpip\..\{74CA28C7-9346-4A42-8BD3-E4B0E50F0A57}: NameServer = 130.244.127.161,194.224.52.36

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Archivos de programa\Archivos comunes\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

O23 - Service: Sunbelt CounterSpy Antispyware (SBCSSvc) - Sunbelt Software - F:\Mis Documentos\Patricia\seguridad\comillas\SBCSSvc.exe

O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Archivos de programa\Analog Devices\SoundMAX\SMAgent.exe

O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Tostadores\Alcohol\Alcohol 120\StarWind\StarWindService.exe

Me tiene mosca la entrada

F2 - REG:system.ini: UserInit=C:\WINDOWS\SYSTEM32\Userinit.exe,C:\WINDOWS\System32\ntos.exe,

ya que le sucedia igual al anterior usuario.

El otro log es el InfoSTA:

Fri Mar 30 12:47:22 2007

EliTriIP v3.40 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Acción Directa):

No detectado Parche MS06-070 de Microsoft instalado. (SServidor)

ALERTA. WindowsUpdate Incompleto.

Fri Mar 30 12:47:27 2007

EliTriIP v3.40 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

Fri Mar 30 12:48:29 2007

EliStartPage v13.66 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

No detectado Parche MS06-070 de Microsoft instalado. (SServidor)

ALERTA. WindowsUpdate Incompleto.

Fri Mar 30 12:48:35 2007

EliStartPage v13.66 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

Que aparte de que falta información no veo que diga nada importante.

El CounterSpy le estoy pasando en estos momentos, a ver que dice....

Saludos y gracia por el interes.

Mensaje por **msc hotline sat** » 30 Mar 2007, 14:29

Claro que le tiene mosca, y a nosotros ! pero intente enviarnos dicho fichero NTOS.EXE ... Premio si lo logra :lol:

El antirootkit habla de estos dos ficheros

sbhr.sys

sptd.sys

mire si los tiene y en tal caso envienoslos. (Es posible que no los vea si no arranca en modo seguro y piuede ver todos los ficheros)

y del log del HJT vemos:

Le faltan todos los parches del SP2 y posteriores ! Lance un windowsupdaate !!!

Aparte elimine estas claves:

F2 - REG:system.ini: UserInit=C:\WINDOWS\SYSTEM32\Userinit.exe,C:\WINDOWS\System32\ntos.exe,

O1 - Hosts: seguida del nombre de host correspondiente.

O2 - BHO: (no name) - {A5366673-E8CA-11D3-9CD9-0090271D075B} - (no file)

O4 - HKLM\..\RunOnce: [Borra Desinstalar_Sacred] command /c del "C:\Archivos de programa\FX Uninstall Information\Desinstalar_Sacred.exe"

O4 - HKCU\..\Run: [userinit] C:\WINDOWS\System32\ntos.exe

recuerde: https://foros.zonavirus.com/viewtopic.php?f=2&t=45334

saludos

ms, 30-03-2007

patquim · Mensaje por **patquim** » 30 Mar 2007, 14:48

Imposible de mandar esos ficheros, el ntos no se deja coger por ningún lado. De todos modos el CounterSpy en el segundo reinicio parece que ha podido borrar los archivos corruptos, dos veces lo he tenido que intentar. Ya estube mirando para mandarles el archivo o la carpeta o lo que fuera pero no podia meterles mano de ninguna de las maneras, ni en modo a prueba de fallos ni nada.

De todos modos el CounterSpy ha debido de limpiar algo ya que el log nuevo ya no aparecen las entradas del ntos y el pc ya tiene los acentos adecuadamente.

Los archivos *.sys a los que hace referencia no los encuentro por ninguna parte....

El Spybot ha conseguido eliminar la entrada del registro posteriormente y ya no veo la entrada en el msconfig.

Respecto a las Actualizaciones, tiene toda la razón, ahora mismo lanzo el windowsUpadate y que lo actualice a tope. ¿o hay algún archivo completo con los parches críticos adecuados para un XP service pack1?

Muchas gracias por la ayuda... de momento parece que esta solucionado.

Saluditos.

bernar · Mensaje por **bernar** » 30 Mar 2007, 17:51

Siento no haber podido contestar antes,pero al final viendo que se bloqueaba muchas veces el ordenador,y cuando me metia en algunas carpetas se me quedaba solo el escritorio y se quitaban todos los iconos,decidí reiniciarlo y ya está,espero no tener problemas de aqui a un tiempo.Os felicito por el gran trabajo que haceis,que aunque al final haya tenido que reiniciar,me habeis ayudado mucho,y eso si sois muy rapidos a la hora de contestar :lol:

Un saludo y gracias :wink:

Mensaje por **msc hotline sat** » 30 Mar 2007, 18:12

Resumen, tras muchas pruebas, y despues de ir acotando posibilidades y causantes, parece ser que el CounterSpy ha sido el decisivo...

Evidentemente tras ELISTARA, HJT, y demas, por lo que igual solo no hubioera podido, pero sin él tampoco :wink:

Pues a la vista de lo indicado, procedemos a dar por solucionado el Tema con el expediente suculento para el historico del foro !

[url=http://forum.telecharger.01net.com]

[img]http://forum.telecharger.01net.com/data/units/microhebdo/smilies/65.gif[/img][/url]

Pues lo celebramos, y dando el Tema por solucionado, procedemos a cerrarlo.

Si nos necesita de nuevo, ya sabe donde estamos

saludos

ms, 30-03-2007

problemas con troyanos (SOLUCIONADO)

Yo tengo el mismo problema

ntos.exe