elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.


 


Tema destacado: Guía rápida para descarga de herramientas gratuitas de seguridad y desinfección.


+  Foro de elhacker.net
|-+  Seguridad Informática
| |-+  Seguridad (Moderadores: skapunky, r32)
| | |-+  Busco ayuda de pago con herramientas desinfeccion troyano
0 Usuarios y 1 Visitante están viendo este tema.
Páginas: 1 [2] 3 4 5 6 Ir Abajo Respuesta Imprimir
Autor Tema: Busco ayuda de pago con herramientas desinfeccion troyano  (Leído 27,021 veces)
NikNitro!


Desconectado Desconectado

Mensajes: 1.307


Galletaaa!!!


Ver Perfil WWW
Re: Busco ayuda de pago con herramientas desinfeccion troyano
« Respuesta #10 en: 9 Noviembre 2009, 00:49 »

pero y si lo que se tiene es un troyano, se puede invertir la conexión de algún modo? :-\


En línea

skapunky
Electronik Engineer &
Moderador
***
Desconectado Desconectado

Mensajes: 3.669


www.killtrojan.net


Ver Perfil WWW
Re: Busco ayuda de pago con herramientas desinfeccion troyano
« Respuesta #11 en: 9 Noviembre 2009, 00:49 »

Ahora me doy cuenta del problema, es un nombre genérico, es muy dificil localizar justamente los archivos en el ordenador. Solo cabe la posibilidad que sea uno de los archivos que aparecen en el hijachthis, pero se han descartado todos...

Por cierto, has mirado en unidades extraibles no sea que haya una copia del virus y se vaya pasando al disco C ? Si lo miras desoculta archivos ocultos en las opciónes y pon que se vean también los archivos del sistema.

PD: se me hace raro encontrar hoy dia un virus/gusano que se meta en el MBR hay mucho quinceañero paketillo suelto copiando codigo    :laugh: :xD


Citar
pero y si lo que se tiene es un troyano, se puede invertir la conexión de algún modo? :-\

Eso es del todo imposible.


« Última modificación: 9 Noviembre 2009, 00:52 por skapunky » En línea

Killtrojan Syslog v1.44: ENTRAR
jelopez

Desconectado Desconectado

Mensajes: 17


Ver Perfil
Re: Busco ayuda de pago con herramientas desinfeccion troyano
« Respuesta #12 en: 9 Noviembre 2009, 00:55 »

Axus:
Tengo desactivado "restaurar el sistema en todas las unidades" (ya me lo comentaron en el otro foro) y quite la carpeta. Lo voy a volver a hacer...

_Slash_: hago el Fix de O2 y rearranco a ver... Y si ya probe con Malwarebytes. De hecho he probado con varias herramientas también online y ninguna se queja

Jaixxon Jaxx:
Esto es lo que dice netstat (y varaisa veces sale un popup de error con título "Windows no hay disco" y contenido "Exception Processing Message Parameters xxxxxx xxxxxxx xxxxxx" con xxxxx numeros hexa de 8ytes.
Esto pinta muy mal ¿no?



Microsoft Windows XP [Versión 5.1.2600]
(C) Copyright 1985-2001 Microsoft Corp.

C:\Documents and Settings\jelopez>nestat -v -b
"nestat" no se reconoce como un comando interno o externo,
programa o archivo por lotes ejecutable.

C:\Documents and Settings\jelopez>netstat -v -b

Conexiones activas

  Proto  Dirección local          Dirección remota        Estado           PID
  TCP    pc-dell8300:1061       localhost:5226         ESTABLISHED     3548
  C:\WINDOWS\System32\mswsock.dll
  C:\WINDOWS\system32\WS2_32.dll
  C:\Archivos de programa\Hewlett-Packard\Toolbox2.0\Apache Tomcat 4.0\webapps\T
oolbox\StatusClient\StatusClient.exe
  -- componentes desconocidos --
  [StatusClient.exe]

  TCP    pc-dell8300:3099       localhost:3100         ESTABLISHED     5888
  C:\WINDOWS\system32\WS2_32.dll
  C:\Archivos de programa\Mozilla Thunderbird\nspr4.dll
  C:\Archivos de programa\Mozilla Thunderbird\xpcom_core.dll
  C:\Archivos de programa\Mozilla Thunderbird\thunderbird.exe
  C:\Archivos de programa\Mozilla Thunderbird\xpcom_core.dll
  C:\Archivos de programa\Mozilla Thunderbird\thunderbird.exe
  C:\Archivos de programa\Mozilla Thunderbird\xpcom_core.dll
  C:\Archivos de programa\Mozilla Thunderbird\thunderbird.exe
  [thunderbird.exe]

  TCP    pc-dell8300:3100       localhost:3099         ESTABLISHED     5888
  C:\WINDOWS\system32\mswsock.dll
  C:\WINDOWS\system32\WS2_32.dll
  C:\Archivos de programa\Mozilla Thunderbird\nspr4.dll
  C:\Archivos de programa\Mozilla Thunderbird\xpcom_core.dll
  C:\Archivos de programa\Mozilla Thunderbird\thunderbird.exe
  C:\Archivos de programa\Mozilla Thunderbird\xpcom_core.dll
  C:\Archivos de programa\Mozilla Thunderbird\thunderbird.exe
  C:\Archivos de programa\Mozilla Thunderbird\xpcom_core.dll
  -- componentes desconocidos --
  [thunderbird.exe]

  TCP    pc-dell8300:3101       localhost:3102         ESTABLISHED     5888
  C:\WINDOWS\system32\WS2_32.dll
  C:\Archivos de programa\Mozilla Thunderbird\nspr4.dll
  C:\Archivos de programa\Mozilla Thunderbird\thunderbird.exe
  C:\Archivos de programa\Mozilla Thunderbird\xpcom_core.dll
  C:\Archivos de programa\Mozilla Thunderbird\thunderbird.exe
  C:\Archivos de programa\Mozilla Thunderbird\xpcom_core.dll
  C:\Archivos de programa\Mozilla Thunderbird\thunderbird.exe
  C:\Archivos de programa\Mozilla Thunderbird\js3250.dll
  [thunderbird.exe]

  TCP    pc-dell8300:3102       localhost:3101         ESTABLISHED     5888
  C:\WINDOWS\system32\mswsock.dll
  C:\WINDOWS\system32\WS2_32.dll
  C:\Archivos de programa\Mozilla Thunderbird\nspr4.dll
  C:\Archivos de programa\Mozilla Thunderbird\thunderbird.exe
  C:\Archivos de programa\Mozilla Thunderbird\xpcom_core.dll
  C:\Archivos de programa\Mozilla Thunderbird\thunderbird.exe
  C:\Archivos de programa\Mozilla Thunderbird\xpcom_core.dll
  C:\Archivos de programa\Mozilla Thunderbird\thunderbird.exe
  C:\Archivos de programa\Mozilla Thunderbird\js3250.dll
  [thunderbird.exe]

  TCP    pc-dell8300:5226       localhost:1061         ESTABLISHED     4036
  C:\WINDOWS\system32\WS2_32.dll
  C:\Archivos de programa\Hewlett-Packard\Toolbox2.0\Javasoft\JRE\1.3.1\bin\hpi.
dll
  -- componentes desconocidos --
  [javaw.exe]

  TCP    pc-dell8300:4772       wy-in-f113.1e100.net:http  ESTABLISHED     696
  C:\WINDOWS\system32\ws2_32.dll
  C:\WINDOWS\system32\WININET.dll
  [iexplore.exe]

  TCP    pc-dell8300:5152       localhost:4730         CLOSE_WAIT      468
  C:\WINDOWS\system32\WS2_32.dll
  C:\Archivos de programa\Java\jre6\bin\jqs.exe
  C:\Archivos de programa\Java\jre6\bin\MSVCR71.dll
  C:\WINDOWS\system32\kernel32.dll
  [jqs.exe]

  TCP    pc-dell8300:1092       194.224.66.32:http     CLOSE_WAIT      2668
  C:\WINDOWS\system32\WS2_32.dll
  C:\WINDOWS\system32\WININET.dll
  [PCSuite.exe]

  TCP    pc-dell8300:4725       ww-in-f105.1e100.net:http  CLOSE_WAIT      2088
  C:\WINDOWS\system32\ws2_32.dll
  C:\WINDOWS\system32\WININET.dll
  [iexplore.exe]

  TCP    pc-dell8300:4727       ww-in-f101.1e100.net:http  CLOSE_WAIT      2088
  C:\WINDOWS\system32\ws2_32.dll
  C:\WINDOWS\system32\WININET.dll
  [iexplore.exe]


C:\Documents and Settings\jelopez>
En línea

Jaixon Jax


Desconectado Desconectado

Mensajes: 860



Ver Perfil
Re: Busco ayuda de pago con herramientas desinfeccion troyano
« Respuesta #13 en: 9 Noviembre 2009, 00:57 »

Corrijo es netstat -v -b  :-[
En línea

jelopez

Desconectado Desconectado

Mensajes: 17


Ver Perfil
Re: Busco ayuda de pago con herramientas desinfeccion troyano
« Respuesta #14 en: 9 Noviembre 2009, 01:08 »

Jaixxon: ya me di cuenta de la letra

Skapunky: quizá la infeccion vino por un USB, no lo sé. Pasé el FlashDisinfector por el PC y en el USB y no encontró nada (bueno salto el AVIRA pero es por un falso positivo, según leí...)

_Slash_: he hecho el FIX del item O2 y he rearrancado y sigue igual:

-----
Virus or unwanted program 'TR/Crypt.XPACK.Gen [trojan]'
detected in file 'C:\Documents and Settings\jelopez\Configuración local\temp\0b09bbf67cd94ea2a3d6a6fd0f74fcbc\http.dll.
Action performed: Deny access
-----

Quizá debería probar lo de limpiar en modo seguro y eliminar la carpeta, pero me costará bastante tiempo y creo que no funcionará  :huh:
En línea

Axus


Desconectado Desconectado

Mensajes: 1.934

Mas vale llegar tarde, que nunca llegar


Ver Perfil WWW
Re: Busco ayuda de pago con herramientas desinfeccion troyano
« Respuesta #15 en: 9 Noviembre 2009, 01:14 »

Quizá debería probar lo de limpiar en modo seguro y eliminar la carpeta, pero me costará bastante tiempo y creo que no funcionará  :huh:

Yo digo que en eso es lo que te debes enfocar mas que todo para descartar esa opción de no funcionar..
En línea

jelopez

Desconectado Desconectado

Mensajes: 17


Ver Perfil
Re: Busco ayuda de pago con herramientas desinfeccion troyano
« Respuesta #16 en: 9 Noviembre 2009, 01:18 »

AXus: voy a hacer eso. Modo seguro, paso el AVIRA y elimino carpeta.
Me llevará horas... lo dejo esta noche trabajando y mañana en cuanto vuelva de trabajar os cuento..
Gracias a todos por la ayuda.
En línea

_Slash_


Desconectado Desconectado

Mensajes: 705

Long ago in a northern land...


Ver Perfil
Re: Busco ayuda de pago con herramientas desinfeccion troyano
« Respuesta #17 en: 9 Noviembre 2009, 01:19 »

Si en modo seguro no te deja borrar dicho archivo, intenta con un livecd.

Saludos.
En línea

Despierta del sueño en el que has estado siempre y date cuenta de la cruda y cruel realidad.
jelopez

Desconectado Desconectado

Mensajes: 17


Ver Perfil
Re: Busco ayuda de pago con herramientas desinfeccion troyano
« Respuesta #18 en: 9 Noviembre 2009, 01:23 »

Se me ha olvidado comentaros que el fichero como tal no existe... hay otra dll y otros ficheros. Este es el dir: (tengo activos ficheros ocultos y de sistema)

¿alguna idea más?

Microsoft Windows XP [Versión 5.1.2600]
(C) Copyright 1985-2001 Microsoft Corp.

c:\Documents and Settings\jelopez\Configuración local\temp\0b09bbf67cd94ea2a3d6a
6fd0f74fcbc>dir
 El volumen de la unidad C no tiene etiqueta.
 El número de serie del volumen es: 80EA-A4DA

 Directorio de c:\Documents and Settings\jelopez\Configuración local\temp\0b09bb
f67cd94ea2a3d6a6fd0f74fcbc

09/11/2009  01:01            15.086 32529488b7834e269fafc4dab1393071
09/11/2009  01:01            15.086 fd96bbf4e2734b7aa8cd15a6902a7ef1
09/11/2009  01:01           204.416 filesys.dll
09/11/2009  01:01                 0 __0.swf
09/11/2009  01:01                65 __main.swf
               5 archivos        234.653 bytes
               0 dirs  67.692.228.608 bytes libres

c:\Documents and Settings\jelopez\Configuración local\temp\0b09bbf67cd94ea2a3d6a
6fd0f74fcbc>
En línea

jelopez

Desconectado Desconectado

Mensajes: 17


Ver Perfil
Re: Busco ayuda de pago con herramientas desinfeccion troyano
« Respuesta #19 en: 9 Noviembre 2009, 07:31 »

Hola de nuevo: hice lo siguiente:

- en modo seguro
- borrar los directorios "fantasma" donde se supone está el problema (los de nombre con números y letras aleatorios)
- Hago un scan completo

Efectivamente, tal y como suponía no detecta nada (bueno hay unas detecciones que no tienen nada que ver y que son falsos positivos, las tres por herramientas de desinfección y que están controladas: SDFix y FlasDisinfector). Abajo tenéis el log.

Al arrancar  otra vez en modo normal, vuelve a aparecer...
----
Virus or unwanted program 'TR/Crypt.XPACK.Gen [trojan]'
detected in file 'C:\Documents and Settings\jelopez\Configuración local\temp\de419ece580844bea2f8c68038112ba2\http.dll.
Action performed: Deny access
----

Y este es el log del aVIRA, igual que todo el resto de detectores que he probado no encuentra nada



Avira AntiVir Personal
Report file date: lunes, 09 de noviembre de 2009  01:40

Scanning for 1872975 virus strains and unwanted programs.

Licensee        : Avira AntiVir Personal - FREE Antivirus
Serial number   : 0000149996-ADJIE-0000001
Platform        : Windows XP
Windows version : (Service Pack 3)  [5.1.2600]
Boot mode       : Save mode
Username        : jelopez
Computer name   : PC-DELL8300

Version information:
BUILD.DAT       : 9.0.0.410     18074 Bytes  25/09/2009 11:56:00
AVSCAN.EXE      : 9.0.3.7      466689 Bytes  10/08/2009 10:09:22
AVSCAN.DLL      : 9.0.3.0       40705 Bytes  27/02/2009 09:58:24
LUKE.DLL        : 9.0.3.2      209665 Bytes  20/02/2009 10:35:49
LUKERES.DLL     : 9.0.2.0       12033 Bytes  27/02/2009 09:58:52
ANTIVIR0.VDF    : 7.1.0.0    15603712 Bytes  27/10/2008 11:30:36
ANTIVIR1.VDF    : 7.1.4.132   5707264 Bytes  24/06/2009 16:22:03
ANTIVIR2.VDF    : 7.1.6.160   5413376 Bytes  28/10/2009 22:21:54
ANTIVIR3.VDF    : 7.1.6.204    356352 Bytes  08/11/2009 19:54:54
Engineversion   : 8.2.1.61
AEVDF.DLL       : 8.1.1.2      106867 Bytes  15/09/2009 18:56:07
AESCRIPT.DLL    : 8.1.2.44     586107 Bytes  07/11/2009 07:33:54
AESCN.DLL       : 8.1.2.5      127346 Bytes  07/09/2009 18:43:23
AERDL.DLL       : 8.1.3.2      479604 Bytes  05/10/2009 18:44:08
AEPACK.DLL      : 8.2.0.3      422261 Bytes  05/11/2009 23:25:14
AEOFFICE.DLL    : 8.1.0.38     196987 Bytes  17/06/2009 20:57:25
AEHEUR.DLL      : 8.1.0.180   2093432 Bytes  07/11/2009 07:32:27
AEHELP.DLL      : 8.1.7.0      237940 Bytes  07/09/2009 18:43:23
AEGEN.DLL       : 8.1.1.71     364916 Bytes  05/11/2009 23:24:27
AEEMU.DLL       : 8.1.1.0      393587 Bytes  05/10/2009 18:41:10
AECORE.DLL      : 8.1.8.2      184694 Bytes  05/11/2009 23:24:26
AEBB.DLL        : 8.1.0.3       53618 Bytes  09/10/2008 13:32:40
AVWINLL.DLL     : 9.0.0.3       18177 Bytes  12/12/2008 07:47:59
AVPREF.DLL      : 9.0.3.0       44289 Bytes  08/09/2009 19:57:00
AVREP.DLL       : 8.0.0.3      155905 Bytes  20/01/2009 13:34:28
AVREG.DLL       : 9.0.0.0       36609 Bytes  05/12/2008 09:32:09
AVARKT.DLL      : 9.0.0.3      292609 Bytes  24/03/2009 14:05:41
AVEVTLOG.DLL    : 9.0.0.7      167169 Bytes  30/01/2009 09:37:08
SQLITE3.DLL     : 3.6.1.0      326401 Bytes  28/01/2009 14:03:49
SMTPLIB.DLL     : 9.2.0.25      28417 Bytes  02/02/2009 07:21:33
NETNT.DLL       : 9.0.0.0       11521 Bytes  05/12/2008 09:32:10
RCIMAGE.DLL     : 9.0.0.25    2438913 Bytes  12/06/2009 13:38:04
RCTEXT.DLL      : 9.0.37.0      86785 Bytes  17/04/2009 09:19:48

Configuration settings for the scan:
Jobname.............................: Complete system scan
Configuration file..................: C:\Archivos de programa\Avira\AntiVir Desktop\sysscan.avp
Logging.............................: low
Primary action......................: delete
Secondary action....................: ignore
Scan master boot sector.............: on
Scan boot sector....................: on
Boot sectors........................: C:, D:,
Process scan........................: on
Scan registry.......................: on
Search for rootkits.................: on
Integrity checking of system files..: off
Scan all files......................: All files
Scan archives.......................: on
Recursion depth.....................: 20
Smart extensions....................: on
Macro heuristic.....................: on
File heuristic......................: medium
Deviating risk categories...........: +APPL,+GAME,+JOKE,+PCK,+PFS,+SPR,

Start of the scan: lunes, 09 de noviembre de 2009  01:40

Starting search for hidden objects.
The driver could not be initialized.

The scan of running processes will be started
Scan process 'avscan.exe' - '1' Module(s) have been scanned
Scan process 'avscan.exe' - '1' Module(s) have been scanned
Scan process 'avcenter.exe' - '1' Module(s) have been scanned
Scan process 'explorer.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'svchost.exe' - '1' Module(s) have been scanned
Scan process 'lsass.exe' - '1' Module(s) have been scanned
Scan process 'services.exe' - '1' Module(s) have been scanned
Scan process 'winlogon.exe' - '1' Module(s) have been scanned
Scan process 'csrss.exe' - '1' Module(s) have been scanned
Scan process 'smss.exe' - '1' Module(s) have been scanned
12 processes with 12 modules were scanned

Starting master boot sector scan:
Master boot sector HD0
    [INFO]      No virus was found!
Master boot sector HD1
    [INFO]      No virus was found!
Master boot sector HD2
    [INFO]      No virus was found!
Master boot sector HD3
    [INFO]      No virus was found!
Master boot sector HD4
    [INFO]      No virus was found!
Master boot sector HD5
    [INFO]      No virus was found!

Start scanning boot sectors:
Boot sector 'C:\'
    [INFO]      No virus was found!
Boot sector 'D:\'
    [INFO]      No virus was found!

Starting to scan executable files (registry).
The registry was scanned ( '59' files ).


Starting the file scan:

Begin scan in 'C:\'
C:\pagefile.sys
    [WARNING]   The file could not be opened!
    [NOTE]      This file is a Windows system file.
    [NOTE]      This file cannot be opened for scanning.
C:\SDFix.exe
    [DETECTION] Contains recognition pattern of the APPL/PrcView.E application
    [NOTE]      The file was deleted!
C:\Documents and Settings\jelopez\Configuración local\Archivos temporales de Internet\Content.IE5\7HD1NKVY\SDFix[1].exe
    [DETECTION] Contains recognition pattern of the APPL/PrcView.E application
    [NOTE]      The file was deleted!
C:\Documents and Settings\jelopez\Configuración local\Archivos temporales de Internet\Content.IE5\7HD1NKVY\zaSetup_80_298_000_en[1].exe
 
  • Archive type: ZIP SFX (self extracting)
    --> SWITCHUNINST_44ZONE LABS.EXE
      [1] Archive type: RSRC
    --> WINDOWS6.0-KB929547-V2-X64.MSU
      [1] Archive type: CAB (Microsoft)
      --> Windows6.0-KB929547-v2-x64.cab
        [WARNING]   No further files can be extracted from this archive. The archive will be closed
C:\System Volume Information\_restore{894AC383-32C7-4194-A489-906DFA2B07A2}\RP6\A0005030.exe
    [DETECTION] Contains recognition pattern of the APPL/PrcView.E application
    [NOTE]      The file was deleted!
C:\WINDOWS\system32\drivers\atapi.sys
    [WARNING]   The file could not be opened!
Begin scan in 'D:\'
D:\FireFox_Downloads\Flash_Disinfector.exe

 
  • Archive type: RAR SFX (self extracting)
    --> nircmd.exe
      [DETECTION] Contains recognition pattern of the APPL/NirCmd.2 application
    [NOTE]      The file was deleted!
D:\FireFox_Downloads\SDFix.exe
    [DETECTION] Contains recognition pattern of the APPL/PrcView.E application
    [NOTE]      The file was deleted!


End of the scan: lunes, 09 de noviembre de 2009  05:48
Used time:  4:08:23 Hour(s)

The scan has been done completely.

  17390 Scanned directories
 1025416 Files were scanned
      5 Viruses and/or unwanted programs were found
      0 Files were classified as suspicious
      5 files were deleted
      0 Viruses and unwanted programs were repaired
      0 Files were moved to quarantine
      0 Files were renamed
      2 Files cannot be scanned
 1025409 Files not concerned
   9381 Archives were scanned
      3 Warnings
      6 Notes


En línea

Páginas: 1 [2] 3 4 5 6 Ir Arriba Respuesta Imprimir 

Ir a:  

Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines