Virus que bloquea My lockbox

[rnelessar]

Hola a todos. Tengo un problema con un virus muy molesto (eso creo)

Resulta que hace días, mi hermano ejecutó sin saber una aplicación que recibió en el correo, con nombre Ver_postal.exe que creía era una postal. El resultado, pues, un virus. Les comento lo que este virus ha hecho hasta ahora:

-Oculta las carpetas de los USB, y crea en su lugar accesos directos.

-Cada acceso directo tiene la siguiente ruta %windir%\system32\cmd.exe /c "start %cd%RECYCLER\1fed6b9a.exe &&%windir%\explorer.exe %cd%Nueva carpeta

-Crea en los USB una carpeta llamada Recycler, conteniendo los archivos 1fed6b9a.exe y Desktop.ini. Este último con el siguiente texto:

[.ShellClassInfo]

CLSID={645FF040-5081-101B-9F08-00AA002F954E}

-Cada vez que elimino estos archivos, se vuelven a crear cada vez que se reinserta un usb o se reinicia la PC.

-Aparentemente, no hay proceso sospechoso en el TaskManager.

Hasta ahí no habría mucho, pero lo peor de todo, es que parece que ha alterado el programa MyLockBox, que tengo instalado hace tiempo, que como saben sirve para proteger archivos, carpetas, etc, con un password. Ahora cada vez que intento abrirlo para acceder a mi carpeta, me aparece el siguiente mensaje "My Lockbox ha detectado un problema y debe cerrarse". Y no se puede entrar. Intenté reinstalando, pero nada. Por último intenté desinstalarlo, pero cuando ejecuto el desinstalador, sale el mismo mensaje.

Ya he pasado el Avast, el Ad Aware, el Elistara, todos en últimas versiones, sin éxito.

Ahora mi carpeta de documentos personales está inaccesible, hasta que retome el control del programa My Lockbox. Es urgente, porque tengo docs importantes del trabajo. ¿Qué hago?

[msc hotline sat]

Pues si tiene el fichero que ejecutó, el Ver_postal.exe envienoslo para analizar y tras ello lo pasaremos a controlar e informaremos



- Para ello recordar[/b]:

https://foros.zonavirus.com/viewtopic.php?f=5&t=14253



Aparte, con un copiar y pegar posteenos el contenido del infosat.txt, especialmente tras haber analizado los pendrives infectados



Su efecto es algo parecido a los DORKBOT, pero puede ser cualquier cosa...



saludos



ms, 23-2-2012

[rnelessar]

Disculpen la demora. Tengo la internet cortada, me conecto desde ciber. Acabo de enviarles el archivo en cuestión. No tengo el original Ver_postal.exe, porque como especifico arriba yo no recibí el mensaje. Pero les envié el archivo que se aloja automáticamente en el usb cada vez que lo conecto.

Incluyo el log de Elistara generado en la última revisión de hoy.

[msc hotline sat]

Pues el lunes, cuando volvamos al trabajo en SATINFO. lo analizaremos y comentaremos la soluciona al respecto.



Aparte, si el ELISTARA no ha detectado nada ni pedido muestra de sospechosos, lanza el SPROCES, pulsa SALIR y nos posteas el informe resultante:


[quote="msc"]
[b]SPROCES.EXE[/b] (herramienta de investigación)

http://www.zonavirus.com/descargas/descargar-sproces.asp



Y tras pulsar en SALIR, postearnos el contenido del C:\SPROCLOG.TXT [/quote]

lo analizaremos e informaremos al respecto.



saludos



ms, 25-2-2012

[rnelessar]

(27-2-2012 21:09:37 GMT)

SProces v5.9 (c)2011 S.G.H. / Satinfo S.L.

-------------------------------------------

Sistema Operativo: Microsoft Windows XP (v5.1.2600) Service Pack 2

Parche MS08-067 (Servicio Servidor) NO Instalado.

Internet Explorer: (v6.0.2900.2180) ;SP2;

Equipo: FAMILIA

Usuario: Familia!!!

Sesión de Usuario: Familia!!!



25 Procesos Activos:

C:\WINDOWS\SYSTEM32\SMSS.EXE

C:\WINDOWS\SYSTEM32\CSRSS.EXE

C:\WINDOWS\SYSTEM32\WINLOGON.EXE

C:\WINDOWS\SYSTEM32\SERVICES.EXE

C:\WINDOWS\SYSTEM32\LSASS.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\EXPLORER.EXE

C:\ARCHIVOS DE PROGRAMA\AVAST SOFTWARE\AVAST\AVASTSVC.EXE

C:\WINDOWS\SYSTEM32\HKCMD.EXE

C:\WINDOWS\SYSTEM32\IGFXPERS.EXE

C:\ARCHIVOS DE PROGRAMA\INKSAVER\INKSAVER.EXE

C:\ARCHIVOS DE PROGRAMA\AVAST SOFTWARE\AVAST\AVASTUI.EXE

C:\WINDOWS\SYSTEM32\SPOOLSV.EXE

C:\ARCHIVOS DE PROGRAMA\DAEMON TOOLS LITE\DTLITE.EXE

C:\ARCHIVOS DE PROGRAMA\CDBURNERXP\NMSACCESSU.EXE

C:\WINDOWS\SYSTEM32\HPZIPM12.EXE

C:\WINDOWS\INSTALLER\MSIC.TMP

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\ALG.EXE

C:\WINDOWS\SYSTEM32\IGFXSRVC.EXE

C:\SPROCES.EXE



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch

R0 - HKUS\S-1-5-21-682003330-573735546-725345543-500\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank (User 'Administrador')

R0 - HKUS\S-1-5-21-682003330-573735546-725345543-500\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch (User 'Administrador')

O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Archivos de programa\Archivos comunes\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll

O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Archivos de programa\DAEMON Tools Lite\DTLite.exe" -autorun

O4 - HKUS\S-1-5-21-682003330-573735546-725345543-500\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Administrador')

O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd

O4 - HKLM\..\Run: [igfxtray] C:\WINDOWS\system32\igfxtray.exe

O4 - HKLM\..\Run: [igfxhkcmd] C:\WINDOWS\system32\hkcmd.exe

O4 - HKLM\..\Run: [igfxpers] C:\WINDOWS\system32\igfxpers.exe

O4 - HKLM\..\Run: [InkSaver] C:\Archivos de programa\InkSaver\InkSaver.exe hide

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Archivos de programa\Adobe\Reader 9.0\Reader\Reader_sl.exe"

O4 - HKLM\..\Run: [Adobe ARM] "C:\Archivos de programa\Archivos comunes\Adobe\ARM\1.0\AdobeARM.exe"

O4 - HKLM\..\Run: [avast] "C:\Archivos de programa\AVAST Software\Avast\avastUI.exe" /nogui

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Servicio Local')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Servicio de red')

O8 - Extra context menu item: Add to AMV Convert Tool... - C:\Archivos de programa\MP3 Player Utilities 4.00\AMVConverter\grab.html

O8 - Extra context menu item: Add to AMV Converter... - C:\Archivos de programa\MP3 Player Utilities 4.18\AMVConverter\grab.html

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O8 - Extra context menu item: MediaManager tool grab multimedia file - C:\Archivos de programa\MP3 Player Utilities 4.00\MediaManager\grab.html

O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O18 - Protocol: mso-offdap11 - {32505114-5902-49B2-880A-1F7738E5A384} - C:\ARCHIV~1\ARCHIV~1\MICROS~1\WEBCOM~1\11\OWC11.DLL

O20 - Winlogon Notify: IGFXCUI - IGFXDEV.DLL

O21 - SSODL: PostBootReminder - {7849596a-48ea-486e-8937-a2a3009f31a9} - %SystemRoot%\system32\SHELL32.dll

O21 - SSODL: CDBurn - {fbeb8a05-beee-4442-804e-409d6c4515e9} - %SystemRoot%\system32\SHELL32.dll

O21 - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - %SystemRoot%\system32\webcheck.dll

O21 - SSODL: SysTray - {35CEC8A3-2BE6-11D2-8773-92E220524153} - C:\WINDOWS\system32\stobject.dll

O22 - SharedTaskScheduler: Precargador Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - %SystemRoot%\system32\browseui.dll

O22 - SharedTaskScheduler: Demonio de caché de las categorías de componente - {8C7461EF-2B13-11d2-BE35-3078302C2030} - %SystemRoot%\system32\browseui.dll



Información Adicional:

----------------------

WinSys\Drivers\aswSnx.sys (de 435032 bytes) () AVAST Software

WinSys\Drivers\dmboot.sys (de 800256 bytes) () Microsoft Corp., Veritas Software

WinSys\Drivers\mrxsmb.sys (de 451456 bytes) () Microsoft Corporation

WinSys\Drivers\ntfs.sys (de 574592 bytes) () Microsoft Corporation

WinSys\Drivers\sptd.sys (de 691696 bytes) ()

WinSys\Drivers\wdf01000.sys (de 492000 bytes) () Microsoft Corporation



Listado de Servicios (Carga Automatica):

----------------------------------------

O23 - Service: avast! Antivirus - AVAST Software - C:\Archivos de programa\AVAST Software\Avast\AvastSvc.exe

O23 - Service: NMSAccess - Unknown owner - C:\Archivos de programa\CDBurnerXP\NMSAccessU.exe

O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

O23 - Service: SolidConverterPDFv4ReadSpool (SCPDFV4ReadSpool) - Solid Documents, LLC - C:\WINDOWS\Installer\MSIC.tmp

O23 - Service: TuneUp Ampliación del thema (UxTuneUp) - TuneUp Software GmbH - %SystemRoot%\System32\svchost.exe -k netsvcs - C:\WINDOWS\System32\uxtuneup.dll



Listado de Servicios (Carga Manual):

------------------------------------

O23 - Service: C-Media WDM Audio Interface (cmuda) - C-Media Inc - C:\WINDOWS\SYSTEM32\drivers\cmuda.sys

**O23 - Service: Servicio del administrador de discos lógicos (dmadmin) - Microsoft Corp., VERITAS Software - C:\WINDOWS\System32\dmadmin.exe

O23 - Service: IEEE-1284.4 Driver HPZid412 (HPZid412) - HP - C:\WINDOWS\SYSTEM32\DRIVERS\HPZid412.sys

O23 - Service: Print Class Driver for IEEE-1284.4 HPZipr12 (HPZipr12) - HP - C:\WINDOWS\SYSTEM32\DRIVERS\HPZipr12.sys

O23 - Service: USB to IEEE-1284.4 Translation Driver HPZius12 (HPZius12) - HP - C:\WINDOWS\SYSTEM32\DRIVERS\HPZius12.sys

O23 - Service: ialm - Intel Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\ialmnt5.sys

O23 - Service: Controlador de vínculo paralelo directo (Ptilink) - Parallel Technologies, Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\ptilink.sys

O23 - Service: Realtek 10/100/1000 NIC Family all in one NDIS XP Driver (RTL8023xp) - Realtek Semiconductor Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\Rtlnicxp.sys

O23 - Service: Controlador de Windows NT del adaptador Fast Ethernet PCI basado en Realtek RTL8139(A/B/C) (rtl8139) - Realtek Semiconductor Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\RTL8139.SYS

O23 - Service: Secdrv - Unknown owner - C:\WINDOWS\SYSTEM32\DRIVERS\secdrv.sys

O23 - Service: TuneUp Drive Defrag Service (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe

O23 - Service: Conexant Setup API (UIUSys) - Unknown owner - C:\WINDOWS\SYSTEM32\DRIVERS\UIUSYS.SYS (file missing)



Listado de Servicios (Deshabilitados):

--------------------------------------

**O23 - Service: dmboot - Microsoft Corp., Veritas Software - C:\WINDOWS\SYSTEM32\drivers\dmboot.sys

O23 - Service: Acceso a dispositivo de interfaz humana (HidServ) - Unknown owner - %SystemRoot%\System32\svchost.exe -k netsvcs - C:\WINDOWS\System32\hidserv.dll (file missing)



19 Servicios.

5 de Carga Automatica.

12 de Carga Manual.

2 Deshabilitados.

[msc hotline sat]

Pues a la vista del log, vemos que tiene muy abandonado el capitulo de seguridad en este ordenador !!! :



[i][b]Sistema Operativo: Microsoft Windows XP (v5.1.2600) Service Pack 2



Parche MS08-067 (Servicio Servidor) NO Instalado.



Internet Explorer: (v6.0.2900.2180) ;SP2; [/b][/i]





Debe instalar mas de 1000 parches que le faltan



y especialmente el MS08-067 contra el Conficker



y ademas descargar y usar el IE 8 en lugar del IE 6 ya obsoleto y para el que Microsoft ya no da soporte



Para ello lance un windowsupdate : www.update.microsoft.com



y le pediamos que nos enviara el ver-postal.exe, sin el que no podremos atacar su problema especifico:





Pues si tiene el fichero que ejecutó, el Ver_postal.exe envienoslo para analizar y tras ello lo pasaremos a controlar e informaremos





Cuando lom recibamos, le informaremos del resultado y de como prpoceder.



saludos



ms, 28-2-2012

[rnelessar]

El ver_postal.exe no lo tengo porque quien recibio el mensaje fue mi hermano, no yo, a su bandeja de correo, y ya lo elimino hace más 1 mes. Pero envié el archivo que se crea en el usb.

Otra cosa, tengo la conexion a internet cortada hace tiempo. DE modo que no puedo hacer procedimientos online.



Dato importante: Conseguí desinstalar el lockbox en modo seguro con el Revo unisntaller. Así que ya tengo acceso a mis archivos. Sin embargo, el virus persiste, porque cada vez que conecto un usb se copian esos archivos infectos. Por lo que asumo, que el virus solo esta en algun lugar del disco C y ademas tiene alguna entrada en el reg que hace genera los archivos. Además no puedo reinstalar el lockbox porque con el virus ahí, de nuevo se bloquearía.

[msc hotline sat]

Pues cuandom recibamos la muestra en cuestion, la analizaremos y pasaremos a controlar.



recuerde:



https://foros.zonavirus.com/viewtopic.php?f=5&t=14253



saludos



ms, 1.3.2012

[rnelessar]

Creo que encontré el virus en cuestión. Es una aplicación que acabo de enviarles como muestra.

[msc hotline sat]

Pues en cuanto lo analicemos, informaremos del resultado y pasaremos a controlarlo, si procede, de lo cual le informaremos



saludos



ms, 12-3-2012