Foro de InfoSpyware - Foro de Hijackthis - Foro de Virus

Hola, despues de probar un keygen para un programa se me ha instalado un virus que aparece cuando inicio el firefox. Este me sale como que intenta conectarse a un ordenador remoto y aparece como jl.chura.pl/rc/. He mirado por los foros y no encuentro nada de como quitarlo. A ver si alguien me ayuda. Un saludo

Saludos icam0005


Esta es una versión reciente del Virut, tal como lo puedes observar en el siguiente informe que presento hace poco el compañero Herrante:

WIN32/VIRUT.NBM


Para resolver la situación, realiza todos y cada uno de los siguientes pasos sin saltearte ninguno (para mayor comodidad trabaja con otro equipo a la vez o imprime los pasos):


Paso 1- Apaga Restaurar Sistema (Solo en Windows Me XP y Vista) y reinicia el PC a Modo a prueba de fallos (Modo seguro) con funciones de red.



Paso 2- Descarga, actualiza y ejecuta Malwarebytes' Anti-Malware || Manual

* Realiza un examen completo del PC y elimina las infecciones que este detecte.
* El reporte queda guardado en la pestaña "Logs" o "Registros" en español, abres el reporte y copias el contenido para pegarlo en este tema.



Paso 3- Descarga y ejecuta Dr. Web Cure-It || Manual



Paso 4- Descarga y ejecuta Ccleaner || Manual

* Usando primero su opción de "Limpiador" para borrar cookies, temporales de Internet y todos los archivos que este te muestre como obsoletos.
* Después usa su opción de "Registro" para limpiar todo el registro de Windows.



Paso 5- Reinicia el sistema en modo normal y realiza un análisis completo del Pc con Kaspersky Antivirus Online || Manual



Paso 6- Descargate OTMoveIt3 y lo guardas en el Escritorio.

• Haz un doble clic sobre OTMoveIt.exe para ejecutarlo.
• Asegurate que este marcado "Unregister Dll's and Ocx's".
• Copia el texto que se encuentra en el cuadrado más abajo (no se incluye la palabra código), y pega el texto en el marco de izquierdo de OTMoveIt2 nombrado Paste List of Files / Folders to be Moved.

• Haz clic en MoveIt! Para lanzar la supresión.
• Cuando el resultado aparece en el marco Results, hace clic en Exit.
• Reinicia el PC (Este paso es fundamental).

Envía el informe (reporte) de OTMoveIt3 situado sobre C: \ _ OTMoveIt\MovedFiles.


* Nota *

- Al terminar reactiva el Restaurar Sistema


- Pega los reportes de Malwarebytes' Anti-Malware, Dr. Web Cure-It, Kaspersky y OTMoveit3 así continuamos con el problema.

Ese virus es muy poderoso. Me contagié por culpa de un imbecil que me mandó un html que estaba contaminado con un iframe orientado a ese site.

¿Qué hice y NO funcionó?

1. Matar los cientos de programas malware que corrían producto del virus (cada minuto se creaban nuevos) (reader_, etc) con el task managger y en windows/system32 y otros. NO FUNCIONO

2. Pasarle el NOD32 NO FUNCIONO

3. Pasarle el AVG NO FUNCIONO

4. Pasarle el Panda Online Comenzó a borrarme .exe de varios programas

5. Pasarle Kaperski NO FUNCIONO

6. Pasarle NORTON INTERNET SECURITY (versión de prueba 15 días), borró algunos en mis dos discos pero después pidió reiniciar y el bicho corrompió la sesión. El Norton pudo mostrarme miles de e-mails por minuto (SPAM) que este bicho intentaba enviar para propagarse. Incluso tiene su propia base de e-mails de víctimas. Además NO FUNCIONO

7. Pasarle COMBOFIX NO CORRE

8. Pasarle Hicjackthis v2 elimine varias lineas del reader y otros pero reaparecen al instante

9. KILLTHIS a varios archivos. NO FUNCIONA, reaparecen al poco tiempo o no pueden borrarse

10. Reparar el sistema reinstalando encima el MS Windows XP. NO FUNCIONÓ. El virus persiste sin variacion.

11. Formatear el disco y reinstalar el MS Windows XP. Funciona pero por unos momentos. Cuando intenté reinstalar algunos programas que tenía en el otro disco, el problema reaparece.


¿Cómo resolví?

1. Formatear el disco o partición.

2. Reinstalar el MS Windows

3. ELIMINAR TODOS los achivos .exe, .bat, .scr, .com, .rar, .zip, .sys de TODOS mis discos contectados durante la infestación

4. Descargar el HTML SEARCH & REPLACE y buscar todo html, htm o php que contenga "jl.chura.pl". Abrir uno de ellos PERO CON NOTEPAD no con el EXPLORADOR PORQUE TE REINFECTARIAS!!!! Copia la linea maliciosa que es un iframe y ponla en el SEARCH & REPLACE y pon DELETE Quítale confirmación o copiar en otro directorio.

5. Siempre monitorear con cmd netstat cualquier conexión rara. No olvides que ahí sale.

Algo más. Ese sub dominio está alojado en CHINA: 218.93.205.30. Hay que pedir tanto a torns.org que es el ns que usa, al servidor de China ya mencionado como al nic.pl (Polonia) que eliminen eso a fin de evitar mayor propagación. El que creó esto es un CHINO NERD. Hay que meterle el virus para que le haga un iframe donde ya saben y deje de crear esa porquería que ha fregado toda la red SIN QUE HAYA CURA EFECTIVA PARA ESO!

Saludos fprtvn


Te agradezco la información y la experiencia propia que aportas a este caso
Tengo entendido que el virus sí puede eliminarse con las herramientas adecuadas. El problema está que este inyecta su firma en archivos legítimos (generalmente .exe) y quedan automáticamente infectados e inutilizables, y este es el principal problema, el hecho de no poder restaurar estos datos. Por eso tampoco se puede solucionar con una restauración del sistema, pues esta no restaura sino archivos y configuraciones del sistema, no datos de los usuarios.


En cuanto a la sugerencia que das con HTML SEARCH & REPLACE, es un poco más complicado el tema porque tengamos en cuenta que surgen como mínimo 10 variantes de Virut todos los días (al menos esta es la cantidad que se logran registrar), así que habría que tener en cuenta varios hosts más, entre otros:

• irc.zief.pl
• rosetta.hopto.org
• lan13.startvg.com
• 69.46.16.191
• http://www.insuringit-gb.com/descript1.txt

Un buen método de protección en este sentido sería SpywareBlaster, aunque es bastante débil su base de datos de sitios en este sentido, puede ayudar en algo.

Sería fundamental contar con un buen cortafuegos que monitore las conexiones y puertos de nuestro equipo también.


Por ahora, icam0005 sigue esos pasos que te doy cuanto antes para ver tratar de evitar tener que acudir al formateo.

Claro pero no olvides que te sobreecribe con el iframe malicioso TODOS los html, htm, php y similares que tengas en el disco. ¡OJO! Esta infestación la vi hace algún tiempo en un servidor web.

Es verdad :

Hola, pues aqui les pongo los reportes de los programas utilizados. Decir que con solo los 4 pasos me ha desaparecido los ratros del virus, ya que no me sale ya ninguna notificacion como lo venia haciendo. Les pongo los reportes.

Malwarebytes' Anti-Malware 1.35
Database version: 1931
Windows 5.1.2600 Service Pack 3

02/04/2009 2:21:51
mbam-log-2009-04-02 (02-21-51).txt

Scan type: Full Scan (D:\|)
Objects scanned: 286912
Time elapsed: 33 minute(s), 54 second(s)

Memory Processes Infected: 0
Memory Modules Infected: 0
Registry Keys Infected: 0
Registry Values Infected: 0
Registry Data Items Infected: 0
Folders Infected: 0
Files Infected: 0

Memory Processes Infected:
(No malicious items detected)

Memory Modules Infected:
(No malicious items detected)

Registry Keys Infected:
(No malicious items detected)

Registry Values Infected:
(No malicious items detected)

Registry Data Items Infected:
(No malicious items detected)

Folders Infected:
(No malicious items detected)

Files Infected:
(No malicious items detected)


Dr. Web

A0009855.exe\pwdump2\pwdump2.exe C:\System Volume Information\_restore{6F465A7E-2015-4E20-BCA9-9896CFAC2C4D}\RP175\A0009855.exe Tool.Pwdump

A0009855.exe\pwdump2\samdump.dll C:\System Volume Information\_restore{6F465A7E-2015-4E20-BCA9-9896CFAC2C4D}\RP175\A0009855.exe Tool.Pwdump
A0009855.exe C:\System Volume Information\_restore{6F465A7E-2015-4E20-BCA9-9896CFAC2C4D}\RP175 Archivo comprimido contiene objetos infectados Movido.
Styler.exe D:\Archivos de programa\Styler Win32.Virut.56 Curado.
mirc.exe D:\Invision Program.mIRC.603
migregdb.exe D:\WINDOWS\$hf_mig$\KB902400\SP2QFE Win32.Virut.56 Curado.
ie4uinit.exe D:\WINDOWS\$hf_mig$\KB953838-IE7\SP2QFE Win32.Virut.56 Curado.
cmd.exe D:\WINDOWS\Resources\ISSO\Backup Win32.Virut.56 Curado.
sdbinst.exe D:\WINDOWS\ServicePackFiles\i386 Win32.Virut.56 Curado.

Gracias y un saludo

Saludos icam0005


Parece que hemos erradicado el virus al cogerlo a tiempo. Debes sentirte "privilegiado" por haberte infectado con esta variante de Virut porque es una de las muy pocas que se pueden curar si se las intercepta a tiempo

Para evitar infectarte en un futuro, te recomiendo que instales en tu sistema algún antivirus gratuito para que te proteja en tiempo real.


Bueno, con esto vamos cerrando, me dices si quieres agregar algo más o si ya podemos dar el tema por solucionado

Hola chicos, antes de cerrar seria conveniente que hicieras un escaneo online con Kaspersky o Panda para asegurar de que no quedo ningún rastro , tal como te indico GabolaN

Saludos y buen trabajo del Dr.Web