Gusano SDBOOT (SOLUCIONADO)

[Oswaldo]

Hola amigos, ayer corrí la ultima version del elitrip y me salió un mensaje diciendo: Detectado gusano, SDBOOT Reinicie para completar la limpieza. [img]http://i262.photobucket.com/albums/ii84/moss2004/elitrip.jpg[/img]

Pues reinicié y el programa elitrip se autoejecutó y volvió a decir el mismo mensaje.

Y este es el infosat

[img]http://i262.photobucket.com/albums/ii84/moss2004/infosat.jpg[/img]



Hay alguna forma de eliminar ese gusano de forma manual?

Gracias!

[mikmatcr]

Primero que todo tienes que reiniciar en modo a prueba de fallos.

Link paso a paso para hacerlo:

https://foros.zonavirus.com/viewtopic.php?f=5&t=5266



Segundo te pide que envies la muestra, pues enviala

Link paso a paso para hacerlo:

https://foros.zonavirus.com/viewtopic.php?f=5&t=14253



Y tercero pasa la nueva version del Elitrip, pues tienes la version 4.49 y ya esta la 4.50





Y nos posteas el infosat.txt



Espero ser de ayuda!!!!

[Oswaldo]

Ok. Lo hice por modo a prueba de fallos y este es el infosat.





Thu Mar 13 16:30:59 2008

EliTriIP v4.49 (c)2008 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Acción Directa):

Por favor, envienos una muestra del fichero

C:\Muestras\REGEDIT.EXE.Muestra EliTriIP v4.49

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\REGEDIT.EXE --> Renombrado a .VIR

Reinicie para Completar la Limpieza.



Thu Mar 13 16:34:19 2008

EliTriIP v4.49 (c)2008 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Acción Directa):

Por favor, envienos una muestra del fichero

C:\Muestras\REGEDIT.EXE.Muestra EliTriIP v4.49

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\REGEDIT.EXE --> Renombrado a .VIR

Reinicie para Completar la Limpieza.



Thu Mar 13 16:34:28 2008

EliTriIP v4.49 (c)2008 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\



Nº Total de Directorios: 21291

Nº Total de Ficheros: 138779

Nº de Ficheros Analizados: 30045

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



Thu Mar 13 16:46:56 2008

EliTriIP v4.49 (c)2008 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Acción Directa):

Por favor, envienos una muestra del fichero

C:\Muestras\REGEDIT.EXE.Muestra EliTriIP v4.49

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\REGEDIT.EXE --> Renombrado a .VIR

Reinicie para Completar la Limpieza.

[mikmatcr]

Ok como te dije antes, solo para descartar tienes que pasar la nueva version del elitrip:



http://www.zonavirus.com/descargas/elitriip.asp



Escanea con la nueva version.

Además la 4.49 te pide que envies muestras. Ya la has enviado???

[msc hotline sat]

Pues como muy bien dice "mikmatcr", envianos la muestra de dicho sospechoso:

[b][i]

"Por favor, envienos una muestra del fichero

C:\Muestras\REGEDIT.EXE.Muestra EliTriIP v4.49"[/i][/b]



y fijate donde estaba:



C:\WINDOWS\SYSTEM32\REGEDIT.EXE --> Renombrado a .VIR



en la carpeta de sistema, mientras que el normal de windows no está ahí, sino en c:\windows



Esta característica es la que nos ha hecho pedir la muestra para analizar, al no ser ya conocido en la exploracion por cadenas.



Tras enviarnoslo lo analizaremos e informaremos



saludos



ms, 14-3-2008

[Oswaldo]

Ok. Ya lo acabo de enviar, envié los 2 archivos, uno de la version 4.49 y uno de la 4.50 Con ambos me da el mismo problema y espero que consigan prontamente la solucion.

[msc hotline sat]

Pues espero que lo hayamos recibido en SATINFO, y lo encontremos mañana cuando nos reincorporemos al trabajo.



Tras analizarlo, informaremos en consecuencia



saludos



ms, 16-03-2008

[msc hotline sat]

La muestra que nos ha llegado del REGEDIT.EXE está corrupta y no funciona, pero en cualquier caso no es la ubicacion correcta, por ello lo han detectado nuestras utilidades, y pedido muestra de los que ha movido a cuarentena.



Pero dado que estan corruptos, no se pueden monitorizar. Elimine los de la carpeta muestras y listos.



Y tras ello reinicia y cuentanos si persiste alguna anomalia o no, para proceder a dar por solucionado el Tema en su caso.



saludos



ms, 17-03-2008

[Oswaldo]

Hola amigos, descragué el elitrip 4.52 y luego borré esos archivos en el directorio muestras y limpié todo el registro de windows con el Registry clean expert y luego reinicié y al ejecutar el elitrip me sigue dando el mismo mensaje, con lo cual aproveché de enviarles el nuevo archivo que se creó en la carpeta muestras.

[msc hotline sat]

Bien, pero no vemos el infosat correspondiente.



Posteelo para poder conocer el resultado del proceso, gracias



saludos



ms, 18-03-2008

[Oswaldo]

Bueno no lo coloqué porque no me arrojó infosat, solo ese archivo en la carpeta muestras, al menos eso creo o fue que lo borré, lo cierto es que ahorita lo volví a correr y acá les dejo el infosat.



Tue Mar 18 14:23:41 2008

EliTriIP v4.52 (c)2008 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Acción Directa):

Por favor, envienos una muestra del fichero

C:\Muestras\REGEDIT.EXE.Muestra EliTriIP v4.52

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\REGEDIT.EXE --> Renombrado a .VIR

Reinicie para Completar la Limpieza.



Tue Mar 18 14:23:51 2008

EliTriIP v4.52 (c)2008 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\



Nº Total de Directorios: 21374

Nº Total de Ficheros: 140217

Nº de Ficheros Analizados: 30667

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

[lucl]

Pues si enviaste la muestra ahora tan solo queda esperar que lo analicen, estate atento al foro aunque ahora tenemos varios dias de fiesta por la semana santa pero en unos dias volveran y entonces te diran algo, saludos

[msc hotline sat]

Recuerdo que ayer me indicaron que llegó un REGEDIT.EXE que era la segunda vez que llegaba similar fichero con la misma referencia, pero ahora estoy en casa y no tengo acceso a dicha informacion.



En cualquier caso si en el mail indicaste como referencia tu nick en el foro, como se indica que se haga, se habría contestado ???



En un par de horas, cuando entremos a trabajar en SATINFO, revisaré el particular, pero mientras, mire que realmente no exista ya dicho fichero en la carpeta en cuestion:



C:\WINDOWS\SYSTEM32\REGEDIT.EXE



Pues el del sistema debe estar en C:\WINDOWS\, por lo que este es algo raro. Veamos que no se haya regenerado otra vez. Diganoslo para obrar en consecuencia



saludos



ms, 19-03-2008

[msc hotline sat]

Pues revisada la lista de usuarios que han enviado muestras, veo un Oswaldo2004 que envia un REGEDIT... debe ser el tuyo !



Otra vez indica tu nick correcto, sino va al montón y no podemos informar al respecto !



Recupero el fichero y te informaremos



saludos



ms, 19-03-2008

[msc hotline sat]

Vemos que el día 13 ya se detectó y renombró por estar en uso y luego posteriormente el 18 otra vez, por tanto algo lo regenera y lo lanza



La muestra enviada no parece ser vírica, solo estar en ubicacion anómala y ser lanzada con algun fin ... posiblemente malware ???



Posteenos log del HJT para ver quien y cuando se lanza:



[b]

[color=yellow]HJT : (HiJackThis)[/color][/b]



[i]¿Como utilizar el Hijackthis ?[/i]

Lo primero que debemos hacer es descargarlo en nuestro ordenador y ubicarlo en una carpeta propia C:\HijackThis\

Ejecútarlo y presionar el botón "[b]Do a system scan and save a logfile[/b]"; el programa realizará el escaneo e inmediatamente generará el Log, sólo te pedira el nombre del archivo y su ubicación, puedes simplemente guardarlo así como está.

Se abrirá el Bloc de Notas, copia todo el contenido y pégalo como respuesta de este Tema

· [url=http://www.zonavirus.com/descargas/trendmicro-hijackthis.asp][b]Descargar Hijackthis[/b][/url]



Tras analizarlo, informaremos



saludos



ms, 19-03-2008

[Oswaldo]

Ok. la cosa como se aglomeró. Disculpen por ello. Pues busqué regedit.exe en el disco C y este fué el resultado.



[img]http://i262.photobucket.com/albums/ii84/moss2004/regedit.jpg[/img]



El resultado del [b]hjt[/b] es este.



Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 08:25:45 p.m., on 19/03/2008

Platform: Windows Vista (WinNT 6.00.1904)

MSIE: Internet Explorer v7.00 (7.00.6000.16609)

Boot mode: Normal



Running processes:

C:\Program Files (x86)\Java\jre1.6.0_05\bin\jusched.exe

C:\Program Files (x86)\Registry Clean Expert\RCHelper.exe

C:\Program Files (x86)\Mozilla Firefox\firefox.exe

C:\Program Files (x86)\HijackThis.exe



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.com

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =

O1 - Hosts: ::1 localhost

O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~2\MICROS~1\Office12\GRA8E1~1.DLL

O2 - BHO: IconixBHOClass Class - {761233B6-F228-49E4-8F6B-668499D4E55A} - C:\Program Files (x86)\Iconix\IEAddOn\IconixBHO_29.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files (x86)\Java\jre1.6.0_05\bin\ssv.dll

O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files (x86)\Java\jre1.6.0_05\bin\jusched.exe"

O4 - HKLM\..\Run: [AsioThk32Reg] REGSVR32.EXE /S CTASIO.DLL

O4 - HKLM\..\Run: [CTxfiHlp] CTXFIHLP.EXE

O4 - HKLM\..\RunOnce: [ReEXEc] C:\Users\Oswaldo\Desktop\ELITRIIP.BG%D8CB%D8%D8H.EXE

O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'LOCAL SERVICE')

O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'LOCAL SERVICE')

O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'NETWORK SERVICE')

O4 - HKUS\S-1-5-18\..\Run: [DevconDefaultDB] C:\Windows\system32\READREG /SILENT /FAIL=1 (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [DevconDefaultDB] C:\Windows\system32\READREG /SILENT /FAIL=1 (User 'Default user')

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files (x86)\Java\jre1.6.0_05\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files (x86)\Java\jre1.6.0_05\bin\ssv.dll

O9 - Extra button: Enviar a OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~2\MICROS~1\Office12\ONBttnIE.dll

O9 - Extra 'Tools' menuitem: &Enviar a OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~2\MICROS~1\Office12\ONBttnIE.dll

O9 - Extra button: (no name) - {400A6CFA-E326-4d61-A90C-9AD75358DC5F} - C:\Program Files (x86)\Iconix\IEAddOn\IconixBHO_29.dll

O9 - Extra 'Tools' menuitem: Email ID Preferences - {400A6CFA-E326-4d61-A90C-9AD75358DC5F} - C:\Program Files (x86)\Iconix\IEAddOn\IconixBHO_29.dll

O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~2\MICROS~1\Office12\REFIEBAR.DLL

O9 - Extra button: (no name) - {BC3F6B6D-2E49-4603-B028-7411655713F3} - C:\Program Files (x86)\Iconix\IEAddOn\IconixBHO_29.dll

O9 - Extra 'Tools' menuitem: About Email ID - {BC3F6B6D-2E49-4603-B028-7411655713F3} - C:\Program Files (x86)\Iconix\IEAddOn\IconixBHO_29.dll

O16 - DPF: {8436FE12-31DB-48BF-83BF-FE682F9160B4} (NanoInstaller Class) - https://www.pandasecurity.com/spain/homeusers/solutions/online-antivirus//cabs/nanoinst.cab

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab

O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~2\MICROS~1\Office12\GR99D3~1.DLL

O23 - Service: @%SystemRoot%\system32\Alg.exe,-112 (ALG) - Unknown owner - C:\Windows\System32\alg.exe (file missing)

O23 - Service: Ati External Event Utility - Unknown owner - C:\Windows\system32\Ati2evxx.exe (file missing)

O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Program Files (x86)\Bonjour\mDNSResponder.exe

O23 - Service: @dfsrres.dll,-101 (DFSR) - Unknown owner - C:\Windows\system32\DFSR.exe (file missing)

O23 - Service: @%systemroot%\system32\fxsresm.dll,-118 (Fax) - Unknown owner - C:\Windows\system32\fxssvc.exe (file missing)

O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files (x86)\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe

O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files (x86)\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files (x86)\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: @keyiso.dll,-100 (KeyIso) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)

O23 - Service: Intel(R) Active Management Technology Local Management Service (LMS) - Intel - C:\Program Files (x86)\Intel\AMT\LMS.exe

O23 - Service: @comres.dll,-2797 (MSDTC) - Unknown owner - C:\Windows\System32\msdtc.exe (file missing)

O23 - Service: NBService - Nero AG - C:\Program Files (x86)\Nero\Nero 7\Nero BackItUp\NBService.exe

O23 - Service: @%SystemRoot%\System32\netlogon.dll,-102 (Netlogon) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)

O23 - Service: NMIndexingService - Nero AG - C:\Program Files (x86)\Common Files\Ahead\Lib\NMIndexingService.exe

O23 - Service: O&O Defrag - Unknown owner - C:\Windows\system32\oodag.exe (file missing)

O23 - Service: PnkBstrA - Unknown owner - C:\Windows\system32\PnkBstrA.exe

O23 - Service: @%systemroot%\system32\psbase.dll,-300 (ProtectedStorage) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)

O23 - Service: @%systemroot%\system32\Locator.exe,-2 (RpcLocator) - Unknown owner - C:\Windows\system32\locator.exe (file missing)

O23 - Service: @%SystemRoot%\system32\samsrv.dll,-1 (SamSs) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)

O23 - Service: @%SystemRoot%\system32\SLsvc.exe,-101 (slsvc) - Unknown owner - C:\Windows\system32\SLsvc.exe (file missing)

O23 - Service: @%SystemRoot%\system32\snmptrap.exe,-3 (SNMPTRAP) - Unknown owner - C:\Windows\System32\snmptrap.exe (file missing)

O23 - Service: @%systemroot%\system32\spoolsv.exe,-1 (Spooler) - Unknown owner - C:\Windows\System32\spoolsv.exe (file missing)

O23 - Service: SigmaTel Audio Service (STacSV) - SigmaTel, Inc. - C:\Program Files (x86)\SigmaTel\C-Major Audio\WDM\STacSV64.exe

O23 - Service: @%SystemRoot%\system32\ui0detect.exe,-101 (UI0Detect) - Unknown owner - C:\Windows\system32\UI0Detect.exe (file missing)

O23 - Service: @%SystemRoot%\system32\vds.exe,-100 (vds) - Unknown owner - C:\Windows\System32\vds.exe (file missing)

O23 - Service: @%systemroot%\system32\vssvc.exe,-102 (VSS) - Unknown owner - C:\Windows\system32\vssvc.exe (file missing)

O23 - Service: @%systemroot%\system32\wbengine.exe,-104 (wbengine) - Unknown owner - C:\Windows\system32\wbengine.exe (file missing)

O23 - Service: @%Systemroot%\system32\wbem\wmiapsrv.exe,-110 (wmiApSrv) - Unknown owner - C:\Windows\system32\wbem\WmiApSrv.exe (file missing)

O23 - Service: @%ProgramFiles%\Windows Media Player\wmpnetwk.exe,-101 (WMPNetworkSvc) - Unknown owner - C:\Program Files (x86)\Windows Media Player\wmpnetwk.exe (file missing)

[msc hotline sat]

Pues se detectó en su momento por estar en carpeta no adecuada.



Y se cierra el Tema por ser de sistema operativo VISTA, al que no damos soporte en este foro.



Pero no hay sintomas de infeccion, y los demas ficheros encontrados parecen normales de tal sistema operativo.



saludos



ms, 20-03-2008