Foro de elhacker.net

Seguridad Informática => Seguridad => Mensaje iniciado por: josco en 10 Enero 2011, 20:06 pm



Título: postal de gusanito creo que ya la regue
Publicado por: josco en 10 Enero 2011, 20:06 pm
bueno les cuento me llego una postal segun esto de gusanito que dice asi:

¡ Hola !

Alguien te envió una postal de http://www.gusanito.com

Modo seguro para ver la postal (recomendado):

El enlace (link) debe enviarte a ver la postal y el nombre del Autor sin ingresar contraseñas:

http://www.gusanito.com/esp/mipostal/recoger/6C8A374345B26C939962505B50572A54

Modo viejo para ver la postal (avanzado)

   1. Copia este código: 6C8A374345B26C939962505B50572A54
   2. Ingresa a www.gusanito.com e ingrese su clave de usuario en el sitio.
   3. Pega el código en "Ver mi postal" localizado en la esquina superior izquierda de la página.

Aviso de seguridad:

Gusanito.com nunca envia emails solicitando contraseñas o información privada.

entonces fui al link http://www.gusanito.com/esp/mipostal/recoger/6C8A374345B26C939962505B50572A54

y m enontre con una pagina identica a la de gusanito y me pedia que actulizara el flash player, no me di cuenta pero cai redondito  :( :( lo descague y lo quise intalar le di dos click al .exe y no se habrio nada de nada como si no se hubiera instalado nada el antiviruz no me detecto nada ahora se que eso podria ser viruz pero como se si lo instale?

que debo hacer??


Título: Re: postal de gusanito creo que ya la regue
Publicado por: skapunky en 10 Enero 2011, 21:27 pm
Pues si, caíste de llleno y lo curioso que las postales de gusanito son mundialmente conocidas desde hace muchos años por propagar todo tipo de porqueria.

Utiliza este programa y peganos un log para que se revise:

Hijackthis (https://foro.elhacker.net/seguridad/iquestcomo_leer_un_log_de_hijackthis_y_corregir_posibles_problemas-t188566.0.html)


Título: Re: postal de gusanito creo que ya la regue
Publicado por: josco en 11 Enero 2011, 08:33 am
hola que tal ya cheque con el programa y me arrojo todo esto:

Código:
Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 12:23:42 a.m., on 11/01/2011
Platform: Windows 7  (WinNT 6.00.3504)
MSIE: Internet Explorer v8.00 (8.00.7600.16700)
Boot mode: Normal

Running processes:
C:\Program Files (x86)\Windows Live\Messenger\msnmsgr.exe
C:\Program Files (x86)\Avira\AntiVir Desktop\avgnt.exe
C:\Program Files (x86)\iTunes\iTunesHelper.exe
C:\Users\Noe\AppData\Roaming\systems\SysWindows.exe
C:\Program Files (x86)\Mozilla Firefox\firefox.exe
C:\Program Files (x86)\Hewlett-Packard\Media\Webcam\YCMMirage.exe
C:\Program Files (x86)\Mozilla Firefox\plugin-container.exe
C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe
C:\Program Files (x86)\Internet Explorer\iexplore.exe
C:\Program Files (x86)\Internet Explorer\iexplore.exe
C:\Program Files (x86)\Internet Explorer\iexplore.exe
C:\Program Files (x86)\Internet Explorer\iexplore.exe
C:\Program Files (x86)\Internet Explorer\iexplore.exe
C:\Program Files (x86)\Internet Explorer\iexplore.exe
C:\Program Files (x86)\Internet Explorer\iexplore.exe
C:\Program Files (x86)\Internet Explorer\iexplore.exe
C:\Program Files (x86)\Microsoft\Search Enhancement Pack\SCServer\SCServer.exe
C:\Windows\SysWOW64\Macromed\Flash\FlashUtil10h_ActiveX.exe
C:\Program Files (x86)\Trend Micro\HiJackThis\HiJackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://g.msn.com/HPNOT/1
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://g.msn.com/HPNOT/1
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://g.msn.com/HPNOT/1
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://g.msn.com/HPNOT/1
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\Windows\SysWOW64\blank.htm
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
F2 - REG:system.ini: UserInit=userinit.exe
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files (x86)\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Search Helper - {6EBF7485-159F-4bff-A14F-B9E3AAC4465B} - C:\Program Files (x86)\Microsoft\Search Enhancement Pack\Search Helper\SEPsearchhelperie.dll
O2 - BHO: Windows Live ID Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files (x86)\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Bing Bar BHO - {d2ce3e00-f94a-4740-988e-03dc2f38c34f} - C:\Program Files (x86)\MSN Toolbar\Platform\5.0.1438.0\npwinext.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files (x86)\Java\jre6\bin\jp2ssv.dll
O3 - Toolbar: @C:\Program Files (x86)\MSN Toolbar\Platform\5.0.1438.0\npwinext.dll,-100 - {8dcb7100-df86-4384-8842-8fa844297b3f} - C:\Program Files (x86)\MSN Toolbar\Platform\5.0.1438.0\npwinext.dll
O3 - Toolbar: DAEMON Tools Toolbar - {32099AAC-C132-4136-9E9A-4E364A424E17} - C:\Program Files (x86)\DAEMON Tools Toolbar\DTToolbar.dll
O4 - HKLM\..\Run: [StartCCC] "C:\Program Files (x86)\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun
O4 - HKLM\..\Run: [avgnt] "C:\Program Files (x86)\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files (x86)\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-19\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-20\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'NETWORK SERVICE')
O9 - Extra button: Blog This - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files (x86)\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra 'Tools' menuitem: &Blog This in Windows Live Writer - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files (x86)\Windows Live\Writer\WriterBrowserExtension.dll
O10 - Unknown file in Winsock LSP: c:\program files (x86)\common files\microsoft shared\windows live\wlidnsp.dll
O10 - Unknown file in Winsock LSP: c:\program files (x86)\common files\microsoft shared\windows live\wlidnsp.dll
O23 - Service: Andrea ST Filters Service (AESTFilters) - Andrea Electronics Corporation - C:\Program Files\IDT\WDM\AESTSr64.exe
O23 - Service: @%SystemRoot%\system32\Alg.exe,-112 (ALG) - Unknown owner - C:\Windows\System32\alg.exe (file missing)
O23 - Service: AMD External Events Utility - Unknown owner - C:\Windows\system32\atiesrxx.exe (file missing)
O23 - Service: Avira AntiVir Scheduler (AntiVirSchedulerService) - Avira GmbH - C:\Program Files (x86)\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files (x86)\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files (x86)\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe
O23 - Service: Bonjour Service - Apple Inc. - C:\Program Files (x86)\Bonjour\mDNSResponder.exe
O23 - Service: CinemaNow Service - CinemaNow, Inc. - C:\Program Files (x86)\CinemaNow\CinemaNow Media Manager\CinemanowSvc.exe
O23 - Service: DeviceVM Meta Data Export Service (DvmMDES) - DeviceVM, Inc. - C:\SwSetup\HPQWMM\QuickWeb\QW.SYS\config\DVMExportService.exe
O23 - Service: @%SystemRoot%\system32\efssvc.dll,-100 (EFS) - Unknown owner - C:\Windows\System32\lsass.exe (file missing)
O23 - Service: @%systemroot%\system32\fxsresm.dll,-118 (Fax) - Unknown owner - C:\Windows\system32\fxssvc.exe (file missing)
O23 - Service: GameConsoleService - WildTangent, Inc. - C:\Program Files (x86)\HP Games\HP Game Console\GameConsoleService.exe
O23 - Service: HP Health Check Service - Hewlett-Packard Company - C:\Program Files (x86)\Hewlett-Packard\HP Health Check\hphc_service.exe
O23 - Service: HP Wireless Assistant Service - Hewlett-Packard Company - C:\Program Files\Hewlett-Packard\HP Wireless Assistant\HPWA_Service.exe
O23 - Service: HP Quick Synchronization Service (HPDrvMntSvc.exe) - Hewlett-Packard Company - C:\Program Files (x86)\Hewlett-Packard\Shared\HPDrvMntSvc.exe
O23 - Service: HP Software Framework Service (hpqwmiex) - Hewlett-Packard Company - C:\Program Files (x86)\Hewlett-Packard\Shared\hpqwmiex.exe
O23 - Service: HP Service (hpsrv) - Unknown owner - C:\Windows\system32\Hpservice.exe (file missing)
O23 - Service: HPWMISVC - Unknown owner - C:\Program Files (x86)\Hewlett-Packard\HP Quick Launch\HPWMISVC.exe
O23 - Service: iPod Service - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: @keyiso.dll,-100 (KeyIso) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files (x86)\Common Files\LightScribe\LSSrvc.exe
O23 - Service: @comres.dll,-2797 (MSDTC) - Unknown owner - C:\Windows\System32\msdtc.exe (file missing)
O23 - Service: MySQL - Unknown owner - C:\Program.exe (file missing)
O23 - Service: @%SystemRoot%\System32\netlogon.dll,-102 (Netlogon) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%systemroot%\system32\psbase.dll,-300 (ProtectedStorage) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%systemroot%\system32\Locator.exe,-2 (RpcLocator) - Unknown owner - C:\Windows\system32\locator.exe (file missing)
O23 - Service: @%SystemRoot%\system32\samsrv.dll,-1 (SamSs) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%SystemRoot%\system32\snmptrap.exe,-3 (SNMPTRAP) - Unknown owner - C:\Windows\System32\snmptrap.exe (file missing)
O23 - Service: @%systemroot%\system32\spoolsv.exe,-1 (Spooler) - Unknown owner - C:\Windows\System32\spoolsv.exe (file missing)
O23 - Service: @%SystemRoot%\system32\sppsvc.exe,-101 (sppsvc) - Unknown owner - C:\Windows\system32\sppsvc.exe (file missing)
O23 - Service: @%SystemRoot%\system32\stlang64.dll,-10101 (STacSV) - IDT, Inc. - C:\Program Files\IDT\WDM\STacSV64.exe
O23 - Service: @%SystemRoot%\system32\ui0detect.exe,-101 (UI0Detect) - Unknown owner - C:\Windows\system32\UI0Detect.exe (file missing)
O23 - Service: @%SystemRoot%\system32\vaultsvc.dll,-1003 (VaultSvc) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%SystemRoot%\system32\vds.exe,-100 (vds) - Unknown owner - C:\Windows\System32\vds.exe (file missing)
O23 - Service: @%systemroot%\system32\vssvc.exe,-102 (VSS) - Unknown owner - C:\Windows\system32\vssvc.exe (file missing)
O23 - Service: @%SystemRoot%\system32\Wat\WatUX.exe,-601 (WatAdminSvc) - Unknown owner - C:\Windows\system32\Wat\WatAdminSvc.exe (file missing)
O23 - Service: @%systemroot%\system32\wbengine.exe,-104 (wbengine) - Unknown owner - C:\Windows\system32\wbengine.exe (file missing)
O23 - Service: @%Systemroot%\system32\wbem\wmiapsrv.exe,-110 (wmiApSrv) - Unknown owner - C:\Windows\system32\wbem\WmiApSrv.exe (file missing)
O23 - Service: @%PROGRAMFILES%\Windows Media Player\wmpnetwk.exe,-101 (WMPNetworkSvc) - Unknown owner - C:\Program Files (x86)\Windows Media Player\wmpnetwk.exe (file missing)

--
End of file - 9957 bytes


Título: Re: postal de gusanito creo que ya la regue
Publicado por: josco en 11 Enero 2011, 08:39 am
ha otra cosa derrepente escucho el sonidito como cuando habres una pagina, entonces me fije en el administrador de tareas en prosesos y el proceso de iexplorer lo tengo como 16 veces y no e abierto internet explorer uso firefox.


Título: Re: postal de gusanito creo que ya la regue
Publicado por: josco en 11 Enero 2011, 09:37 am
creo que ya encontre el viruz:

me fui a msconfig y vi en los programas de inicio algo extrano llamado projekt1 manufacturado por BIE inc. ubucado en appdata\roaming\system\SysWindows.exe

por lo cual me fui a esa ruta  sorpresa el SysWindows.exe tiene el icono de flash y junto a el hay otros archivos miren la imagen:

(http://s2.subirimagenes.com/imagen/previo/thump_5777276viruz-gusanito.png)

abri los archivos con el notepad y que creen el de mi correo esta en blanco, el que se llama pinks.dll contiene esto:

Normal
11-01-11
-1207715473
Win7
Noe
W7X64

que viene siendo la fecha el sistema operativo, nombre de usuario y nombre de la pc.

y el mas importante de todos

st.sys

contiene todas las paginas en donde tengo guardado mi usuario y contrasena esto lo guardo siempre con mozilla pero aun asi esta todo por ejemplo:

http://foro.elhacker.net USER: josco | PASS: xxxxxxxxx

 :o :o :o :o :o :o

y ahora que hago cambiar todas mis contrasenas de esas paginas?

por lo pronto borrare todo esto de syswindows.exe





Título: Re: postal de gusanito creo que ya la regue
Publicado por: Novlucker en 11 Enero 2011, 10:13 am
Pues si, parece ser lo único fuera de lugar, y se le paso al Avira :(
Dale una revisión completa a la pc y además pasa un análisis con Superantispyware (http://www.superantispyware.com/) o Malwarebytes (http://www.malwarebytes.org/)

Saludos


Título: Re: postal de gusanito creo que ya la regue
Publicado por: josco en 11 Enero 2011, 10:17 am
ok en este momento estpy cambiando contrasenes  :xD :xD :xD gracias por la ayuda


Título: Re: postal de gusanito creo que ya la regue
Publicado por: Novlucker en 11 Enero 2011, 10:29 am
Por cierto, ya eliminaste el archivo? Ahora se me ocurre que sería interesante ver a donde manda las contraseñas :D


Título: Re: postal de gusanito creo que ya la regue
Publicado por: josco en 11 Enero 2011, 10:30 am
no aun no lo elimino me estoy pasnado pagina por pagina que dice para cambiar contrasenas. como se podria saber a donde se envian?


Título: Re: postal de gusanito creo que ya la regue
Publicado por: Novlucker en 11 Enero 2011, 10:32 am
Zippea ese exe y subelo a algún sitio para compartir, mucho más tarde lo reviso y veo a donde manda la info :D
O a lo mejor no lo manda :xD

Saludos


Título: Re: postal de gusanito creo que ya la regue
Publicado por: josco en 11 Enero 2011, 10:35 am
ok aqui esta comprimido en zip

http://www.4shared.com/file/Qej1Lfws/SysWindows.html (http://www.4shared.com/file/Qej1Lfws/SysWindows.html)

nos platicas aver que pasa


Título: Re: postal de gusanito creo que ya la regue
Publicado por: Novlucker en 11 Enero 2011, 12:40 pm
Buenas, como siempre a esta hora estoy sin tools ni PC que me permita revisar el ejecutable, salvo tools online :D

SysWindows.exe - 11/ 42 (26.2%)
http://www.virustotal.com/file-scan/report.html?id=749c44fa40da35de081b8fbc00eda885c8bcae3d3ce17b0fe6840d4847103a19-1294741587
http://www.threatexpert.com/report.aspx?md5=7cb3dc0e2e588fe203d5132207964ff2 :D

Ambos servidores son compartidos;
http://www.robtex.com/ip/188.65.217.20.html#graph
http://www.robtex.com/ip/212.36.75.9.html#graph

Más tarde lo reviso mejor, pero por lo pronto he reportado la primera url en virustotal (http://www.virustotal.com/url-scan/report.html?id=605004403bb7fe85a28b3a68590bb998-1294739436) y google safe browsing

Saludos


Título: Re: postal de gusanito creo que ya la regue
Publicado por: RedZer en 11 Enero 2011, 18:17 pm
hola Novlucker quiza sea una pregunta tonta pero no pienso morirme con la duda :xD, la otra vez me ayudasde a desinfectar mi maquina no se si recuerdes  de igual forma me dijiste que le de una revisión completa a la pc y además pasara un análisis con Superantispyware o Malwarebytes

mi duda es apoco el antivirus no eliminaria por ejemplo si es un malware ?cual es la diferencia entre un antivirus y un Superantispyware o Malwarebytes no se si me explico


Título: Re: postal de gusanito creo que ya la regue
Publicado por: josco en 11 Enero 2011, 21:00 pm
entonces de acuerdo con esto http://www.virustotal.com/file-
  scan/report.html?id=749c44fa40da35de081b8fbc00eda885c8bcae3d3ce17b0fe6840d4847103a19-1294741587 (http://scan/report.html?id=749c44fa40da35de081b8fbc00eda885c8bcae3d3ce17b0fe6840d4847103a19-1294741587)
dice que antiviruz lo detectan?

de ser asi el kaspersky no lo detecta y yo pensaba que era de los mejores.

bueno y de acuerdo con esto:

http://www.threatexpert.com/report.aspx?md5=7cb3dc0e2e588fe203d5132207964ff2 (http://www.threatexpert.com/report.aspx?md5=7cb3dc0e2e588fe203d5132207964ff2)

me recomiendas buscar en %ProgramFiles%\Common Files\systems\pinks.dll y en %ProgramFiles%\Common Files\systems\SysWindows.exe

para eliminar los archivos? bueno ya los busque pero ya no estan. :xD :xD

y en

Registry Modifications

    * The newly created Registry Value is:
          o [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
                + Winsys = ""%ProgramFiles%\Common Files\systems\SysWindows.exe""

            so that SysWindows.exe runs every time Windows starts
me recomienas buscar en el regstro para ver si encuentro algo.  :huh: si es asi lo hare mas tarde porque estoy en linux y aqui no se como buscar en el registro de windows con windows pues buscaria con regedit.

a lo que no le entendi fue a las graficas  :xD :xD :xD

bueno gracias y saludos



Título: Re: postal de gusanito creo que ya la regue
Publicado por: skapunky en 11 Enero 2011, 21:10 pm
hola Novlucker quiza sea una pregunta tonta pero no pienso morirme con la duda :xD, la otra vez me ayudasde a desinfectar mi maquina no se si recuerdes  de igual forma me dijiste que le de una revisión completa a la pc y además pasara un análisis con Superantispyware o Malwarebytes

mi duda es apoco el antivirus no eliminaria por ejemplo si es un malware ?cual es la diferencia entre un antivirus y un Superantispyware o Malwarebytes no se si me explico

Definiciones para que lo entiendas:

Malware: Termino donde se especifica en general programas malignos como virus,troyanos, gusanos...engloba a varias familias.

Antivirus: Detecta amenazas como virus, troyanos, gusanos y algunos programas tipo spyware o adware.

SuperAntyspyware: Esto es un software, un programa, sirve para detectar malware del tipo spware o adware.

malwarebytes: Otro software, sirve para detectar varias clases de malware como gusanos, troyanos..

No confundas lo que son familias de malware a lo que son programas.


Título: Re: postal de gusanito creo que ya la regue
Publicado por: Novlucker en 11 Enero 2011, 21:34 pm
josco, yo creo que ya lo tienes solucionado, pero igual había dejado esos análisis porque en el de threatexpert se ve a donde es que se conecta :P
Sobre el registro de Win, no he visto que tengas esa clave en el log de hijackthis, pero no pierdes nada con mirarlo

Saludos