| |||||||
| Temas Solucionados Casos de HijackThis y Malwares resueltos. (Solo lectura) |
 |
| | Enviar a: | Herramientas |
 | 
25/01/08, 14:36:46
|  |
| |||
 Ayuda con malware! (solucionado) Estimados. Dispongo de win xp pro sp2 build 2600, firewall kerio, avg 7.5 antivirus. HAce 3 dias descargando del emule me salta una ventana emergente del kerio: Hldrrr.exe incoming (aceptar/denegar peticion) y lo mismo wintems. Incluso uno de los dos estaba lanzando otra aplicacion y lo bloquee con el kerio ya que dispone de esa opcion. Hasta ese momento todo ok, reinicio la pc y aparece un cartel que el kerio no puede iniciarse por falla de un dll, intento abrir el avg y aparece el cartel aplicacion win32 no valida y peor aun, intento pasar el hijackthis y lo mismo: aplicacion win32 no valida. Sé que esto es un virus (rootkit) de tipo bagle (si no me equivoco) y además de esto jodio el inicio en modo seguro (la pc se reinicia cuando quiero entrar en prueba de fallos). Cada aplicacion antivirus que desee instalar el ejecutable lo cataloga win32 no valido. Pandaonline no me funca por problemas active x (nunca antes me anduvo tampoco) y el kaspersky tarda muchisimo y hasta el momento no encuentra nada. Los procesos hldrrr.exe y wintems se activan en cada reinicio (los veo con security task manager y me permite cerrarlos). Con una herramienta llamada gmer (muy completo) puedo ver varias cosas entre ellas procesos activos ocultos y cerrarlos, detecta malware del registro, servicios activos ocultos. Aparecio (como era de preveerse) srosa.sys y sus claves de registro. El archivo y su clave de registro estan bloqueados (no deja borrarlos ni desde el gmer ni desde el registro). En startup de registro aparecieron dos entradas ocultas que tampoco pueden borrarse: una es german.exe que activa el hlrrrr y el otro un drvxxx?(no recuerdo bien) que activa el wintems. Esos archivos estan en en windows/system32/drivers/hldrrr.exe y wintems.exe y en apariencia con gmer pude borrarlos (siendo asi la clave de startup no tendria archivos activables). En teoria con gmer no pude borrar la clave srosa.sys pero si pude (en teoria) desabilitar el servicio. En fin... preguntas... Soluciones? Puedo volver a usar hijack, antivirus etc de alguna manera? Puedo recuperar el inicio en modo seguro? (no quiero hacerlo desde msconfig)? PD: elibagle no funcionó...! adaware detecto win32downloaderobfuscated (no se si es el mismo malware con el nombre que le da lavasoft o no tiene que ver) . Espero ayuda. Gracias. Pablo  |
| InfoSpyware | ||
| |
|
25/01/08, 23:44:30
| |
| ||||
| Re: Ayuda con malware! hola.. antes que nada veo que le has dado un analisis a la situacion  basicamente tienes ya identificados los archivo involucrados en este malware, las ultimas variantes del mismo estan borrando y/o evitando la ejecucion de antivirus, antispyware y diversas herramientas lo que hace mas dificil su eliminacion.. antes que nada me gustaria que nos enviaras una muestra de los archivos wintems y hldrrr para que lo analisemos mas detalladamente. entra en este enlace y sube los archivos uno a uno, en la seccion que dice Link to topic where this file was requested: vas a poner la direccion de este tema (link de este tema). ahora despues de haberlos subidos realiza lo siguiente:
Linux User Registered #453948 Novedades del Foro | Antivirus Online | Eliminar Malwares | Políticas del Foro | Blog * Ayúdanos haciendo una DONACIÓN para poder seguir Ayudando. * Infórmate de las ultimas amenazas de la red desde: InfoSpyware Blog * No se resuelven dudas por Privados ni por E-mail, ya que para eso esta el foro. |
|
26/01/08, 22:34:45
| |
| |||
 Re: Ayuda con malware! Parece que solucioné el problema El virus es: C:\WINDOWS\system32\mdelk.exe Infectado con: Email-Worm.Win32.Bagle.of Este virus entre sus atributos crea claves de registro y startup ocultos hldrrr.exe y wintems.exe, los cuales producen bloqueo del uso de antivirus, hijackthis, firewalls, apertura puertos y trafico internet, consumo memoria. (mensaje aplicacion no valida win32. Tambien crea un servicio (que desconozco utilidad) denominado: srosa.sys (también oculto). Estos archivos los crea en C:\windows\system32\drivers, lo mismo que cantidad de archivos numéricos en xxxxx.exe en C:\windows\system32\down. No hay manera de verlos sino es con alguna herramienta. Gmer (http://www.gmer.net/files.php) permite ver los procesos activos ocultos y cerrarlos y además hace un scan de malware en donde encuentra: 1-como servicio malware: srosa.sys y sus claves de registro (que aclaro no están ocultas pero si protegidas y no pueden borrarse manualemente. Permite ver hldrrr.exe y wintems.exe y borrarlos directamente, lo mismo que permite ver las claves de registro de startup que activa a esos dos ultimos: german.exe a hldrrr.exe y drysc?? que activa a wintems. Estas claves pueden buscarse desde gmer pero lamentablemente tampoco pueden borrarse. Hasta ahora lo que puede hacerse es: cerrar procesos activos hldrrr y wintems, borrarlos y cuando encuentra a srosa.sys como servicio puede desabilitarlo (lo cual hará en el proximo reinicio). Reiniciando la maquina encontramos que hijackthis vuelve a funcionar, firewall y antivirus/rootkits no pero si permite reinstalarlos y volverlos a usar. En soporte windows tenemos una herramienta relativamente nueva que es online safety scaner: (http://onecare.live.com/site/en-us/default.htm?s_cid=sah), la cual realiza deteccion de malware, errores de registro y reparacion, etc, tarda como 5 hs el scan completo y detecta las amenazas, corrige problemas pero no pudo borrar mdelk. Lo mismo kaspersky online scanner encuentra mdelk.exe pero no puede borrarlo. En esta instancia entro en dos (ja todavia me acuerdo). Inicio, ejecutar, cmd. Simbolo de sistema: C:\ y Cd windows, cd system32 y dir mdelk.* y aparece mdelk.exe. Hice del mdelk.exe y se borro. Me extraño encontrarlo ya que en teoria esta oculto en windows y dos pero aparecio. Si no aparece se puede teclear Attrib y ver si no esta oculto (es la letra h y protegido letra r). (Para sacarle el atributo sería: Attrib -h -r mdelk.exe o el archivo que fuere) En este momento ya puedo instalar firewall, avg, antirootkit de avg, superantispyware y todo anda. Diría que después de 3 días de laburo tema solucionado. Todavia me resta activar safeboot que no lo consegui aun. Probé con la herramienta de superantispyware pero todavia no reinicie en modo seguro. PD: todo esto deshabilitando (como corresponde) la opcion restaurar sistema. Una vez solucionado volver a activarla. Espero sea de utilidad. Gracias Alex por tu respuesta Saludos, Pablo |
|
29/01/08, 01:02:46
| |
| ||||
| Re: Ayuda con malware! hola bueno ya que has solucionado tu problema el tema se dara por solucionado  Linux User Registered #453948 Novedades del Foro | Antivirus Online | Eliminar Malwares | Políticas del Foro | Blog * Ayúdanos haciendo una DONACIÓN para poder seguir Ayudando. * Infórmate de las ultimas amenazas de la red desde: InfoSpyware Blog * No se resuelven dudas por Privados ni por E-mail, ya que para eso esta el foro. |
|
« Tema Anterior
|
Próximo Tema »
| Herramientas | |
| |
| 
Temas Similares | |
| Tema | Autor | Foro | Respuestas | Último mensaje |
| ayuda con malware ¡Warning Spyware activity detected! (Solucionado) | joneshok | Temas Solucionados | 5 | 20/01/08 13:02:48 |
| Ayuda con el malware por favor (Solucionado) | grullita | Temas Solucionados | 2 | 19/06/07 11:15:34 |
| no me deja conectarme IE6 | Oliverastro | Foro Oficial de HijackThis en español | 9 | 23/02/06 13:19:07 |
| Se me apaga el pc cada 8 min... =( (Solucionado) | Skboy | Temas Solucionados | 3 | 22/02/06 17:41:24 |
| Mi Log File, Como Restaurar El Fondo De Mi Escritorio Y Quitar El Letrero De Warning! | KOCHOLATA | Foro Oficial de HijackThis en español | 1 | 15/02/06 13:12:17 |
Todas las horas son GMT -4. La hora es 15:08:04.
