Volvió a aparecer Win32/Medbot.HF (Setup.exe) (SOLUCIONADO)

[pablodgf]

Hola a todos!!

Junto con el amigo maurirc seguimos en la lucha sin cuartel contra este troyano de la raza asesinus persistenus mutanteus.

Luego de varios dias sin noticias, creyendo haberlo combatido en este post:

Repentinamente el NOD32 lo detecto asi de pronto nuevamente Win32/Medbot.HF, otra vez me cambio el icono del disco compartido y se copio en las carpetas que tengo compartidas.

Me fui a modo seguro y corri Elitriip, Elistara y el antivirus online recomendado... pego Logs...


Fri Mar 02 23:23:27 2007
EliStartPage v13.45 (c)2007 S.G.H. / Satinfo S.L.
--------------------------------------------------

Código: Seleccionar todo

Lista de Acciones (por Acción Directa):
ALERTA. WindowsUpdate Incompleto.
Eliminadas las Paginas de Inicio y de Busqueda del IE
Eliminados Ficheros Temporales del IE

	  Fri Mar 02 23:23:30 2007
EliStartPage v13.45  (c)2007 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\
C:\Archivos de programa\PowerISO\UNINSTALL.EXE --> AutoExtraible
C:\Archivos de programa\Unlocker\UNINST.EXE --> AutoExtraible
C:\Documents and Settings\Administrador\Escritorio\Varios\7-2_XP_DD_CCC_WDM_ENU_41238.EXE --> AutoExtraible

	  Fri Mar 02 23:30:06 2007
EliStartPage v13.45  (c)2007 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad D:\
D:\Soft\Instaladores\GMAILINSTALLER.EXE --> AutoExtraible
D:\Soft\Instaladores\OGGCODECS_0.71.0946.EXE --> AutoExtraible
D:\Soft\Instaladores\Drivers\6-7_XP-2K_DD_CCC_WDM_ENU_34826.EXE --> AutoExtraible
D:\Soft\Instaladores\Drivers\7-2_XP_DD_41238.EXE --> AutoExtraible
D:\Soft\Instaladores\Samurize\SAMURIZE_1.631.EXE --> AutoExtraible

	  Fri Mar 02 23:31:47 2007
EliStartPage v13.45  (c)2007 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad E:\
E:\Archivos de programa\Unlocker\UNINST.EXE --> AutoExtraible
E:\Peliculas\7-2-IGP_XP_DD_CCC_WDM_SB_GART_ENU_41238.EXE --> AutoExtraible

	  Fri Mar 02 23:33:43 2007
EliTriIP v3.27  (c)2007 S.G.H. / Satinfo S.L.
---------------------------------------------
Lista de Acciones (por Acción Directa):
ALERTA. WindowsUpdate Incompleto.

	  Fri Mar 02 23:33:48 2007
EliTriIP v3.27  (c)2007 S.G.H. / Satinfo S.L.
---------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\

	  Fri Mar 02 23:39:21 2007
EliTriIP v3.27  (c)2007 S.G.H. / Satinfo S.L.
---------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad D:\
D:\AnaC(Chufio)\autorun.inf --> Eliminado, DownLoader.Horst (inf)

	  Fri Mar 02 23:41:28 2007
EliTriIP v3.27  (c)2007 S.G.H. / Satinfo S.L.
---------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad E:\

El Elitriip encontró y borro el autorun.inf, pero ninguno de los 3 scan reconoció el Setup.exe, lo tuve que borrar a mano nomas, ya lo envie de muestra para que lo analicen.

Quiero aclarar que no conecte ninguna otra PC a esta, ni dispositivo USB, ni nada de nada... revivió sólito nomas el guacho

Bueno, seguimos en la lucha.

Saludos.
PD: no puse un solo acento en el post... no se que pasa que me anda raro el teclado. Saludos.

[lucl]

Y seguireis en la lucha pablo, si es que no actualizais el pc, ya sabes que muchas "piteras" de esas solo se solucionan actualizandolo. Pasar el hijackthis y pegarnos el log por si hubiera alguna entrada rara, y a ver que dice msc, saludos.

HJT : (HiJackThis)

¿Como utilizar el Hijackthis ?
Lo primero que debemos hacer es descargarlo en nuestro ordenador y lócalo en una carpeta propia C:\HijackThis\
Ejecútalo y presiona el botón "Do a system scan and save a logfile"; el programa realizará el escaneo e inmediatamente generará el Log, sólo te pedira el nombre del archivo y su ubicación, puedes simplemente guardarlo así como está.
Se abrirá el Bloc de Notas, copia todo el contenido y pégalo como respuesta de este Tema
· Descargar Hijackthis

Tras analizarlo, informaremos

[msc hotline sat]

A ver, creo que ya lo expliqué antes pero veo que no quedó claro:

EL Medbot es un alias del backdoor CMQ que entra por comparticiones a traves de red, colandose un SETUP distinto en cada ocasion, el cual es el dropper del malware

Tenemos muestras de mas de 200 variantes diferentes, que vamos controlando por cadenas con las nuevas versiones del ELITRIIP, pero la cuestion no es eliminar este sino impedir que entren de nuevo

O bien el ordenador esta en red con otros infectados, y lo recibe a traves de las comparticiones administrativas del windows, o está conectado a la Red y lo recibe por el servicio servidor, y asi es el windows...

Como solucion chapucera pero útil si no hay mas remedio, tras enviarnos muestra de cada SETUP.exe al respecto, arranca en modo seguro, elimina dicho SETUP.exe de C:\ y crea una carpeta con dicho nombre y extensión SETUP.EXE ahí, en el ROOT.

Hasta ahora no se han metido con ello, pueden sobreescriboir ficheros ocultos, protegido contra escritura y demás, pero (y que no me oigan) nos dejan estar las carpetas, y si hay una con dicho nombre, no se puede copiar dicho fichero origen de los problemas.

Que se debe evitar el intento de infeccion limpiando los demas ordenadores, claro que sí

Que se debe evitar la posible intrusion desde internet con un cortafuegos, por supuesto

Pero a veces se han de aplicar medidas "provisionales" ...

saludos
ms, 3-03-2007

[pablodgf]

Hola!!!!! Buen día... bueno aca buen día :p recién me levante.

No se enoje amigo msc!!!! Vo y a probar el temita de la carpeta

Con respecto de actualizar windows, entro en la página de actualización y ya no tengo mas nada que actualizar, ni automático, ni manualmente... no se porque me dices de actualizar lucl

Bueno gracias a ambos! Saluditos.

PD: por lo menos se arreglo mi teclado!!!!

[msc hotline sat]

Pues no del todo ! :

PD: por lo menos se arreglo mi teclado!!!!

despierta del todo !!!

saludos
ms, 3-03-2007

[lucl]

Yo no te lo digo, te lo dice el elitriip te copio.

Fri Mar 02 23:33:43 2007
EliTriIP v3.27 (c)2007 S.G.H. / Satinfo S.L.
---------------------------------------------
Lista de Acciones (por Acción Directa):
ALERTA. WindowsUpdate Incompleto.

Fri Mar 02 23:33:48 2007
EliTriIP v3.27 (c)2007 S.G.H. / Satinfo S.

y aquí amaneció nublado aunque con 20 grados. suerte que tenéis de que hace bueno... saludos

[msc hotline sat]

Aclaro que las marcas de los parches las pone microsoft en funcion del método de actualizacion, y es posible que la deteccion de la falta del último parche acumulativo sea por culpa de no haber sido instalado por orden, pero la indicacion solo es informativa de que falta la clave de instalacion. Microsoft sabrá proqué ...

Dejando a un lado lo que no es problema vírico, cuéntanos si esta maquina esta en red con otras, y como te ha ido tras crear la carpeta indicada.

saludos
ms, 4-03-2007

[pablodgf]

Bueno pues, me colgué viendo tele :p ya me caigo del sueño.

La máquina la tenía en RED con la notebook y otra PC mas viejita, pase un scan a ambas y la notebook nada, pero la otra tenía el mismo problema... igualmente desde que apareció el sr. setup.exe no eh vuelto a ponerlas en RED pero revivió así solito nomas.

Comento que desde que cree las carpetas setup.exe no apareció más

Me fuí a dormir!!!! Saludos!

[msc hotline sat]

Seguramente la una infectaba a la otra y la otra a la una...

Celebro lo indicado que desde que creaste la carpeta ya no sucedió mas...

A veces se tiene que ser un poco marrano

EL fin justifica los medios ???

Dejemoslo...

Solucionado el problema, procedemos a cerrar el Tema y felices sueños, que ya es hora de irse a la cama. Cuando yo aparezco porque ya me he levantado, es señal de retirada.

saludos
ms, 4-03-2007

[msc hotline sat]

Sobre muestra recibida, el SETUP.EXE recibido está dañado y no es operativo.

Pero lo que no entiendo es de donde ha salido si creaste la carpeta SETUP.EXE en el directorio principal... En cualquier caso es muestra inútil por no funcionar

Simplemente, borra este fichero.

saludos
ms,5-03-2007