elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.


 


Tema destacado: Java [Guía] Patrones de diseño - Parte 1


+  Foro de elhacker.net
|-+  Seguridad Informática
| |-+  Seguridad (Moderadores: skapunky, r32)
| | |-+  Busco ayuda de pago con herramientas desinfeccion troyano
0 Usuarios y 1 Visitante están viendo este tema.
Páginas: 1 2 3 4 [5] 6 Ir Abajo Respuesta Imprimir
Autor Tema: Busco ayuda de pago con herramientas desinfeccion troyano  (Leído 27,542 veces)
Arcano.


Desconectado Desconectado

Mensajes: 468



Ver Perfil
Re: Busco ayuda de pago con herramientas desinfeccion troyano
« Respuesta #40 en: 9 Noviembre 2009, 23:29 »

Citar
acabaré con el bicho...

Eso ya está mejor!!  ;D

Nada hombre. Te pido disculpas si fui un poco brusco antes....

Piensa una cosa... Si otros han podido, ¡tú también!

Si otros han podido y tú no consigues deshacerte del bicho es porque, sencillamente, no estás realizando los mismos pasos.

Si A hasta B te lleva a C, pero tú están llegando a D... Pues será porque te has equivocado de camino  :P

No desesperes. La verdad, como te decía, no he seguido desde principio el post, pero, según he leído.... Yo creo que ya está 'casi muerto'.

Si ya has eliminado lo que había en %TMP%, perfecto. Lógico que no te dejara eliminarlo en modo normal, se me olvidó comentártelo que lo hicieras en modo seguro. Si bien, para otra vez, ten una cosa clara: SIEMPRE que se intente eliminar un virus, debe hacerse en modo seguro o -quizá mejor-, si conocemos los ficheros a eliminar, desde un LiveCD.

La cosa debería ser así:

(1) Iniciar en modo seguro con funciones de red.
(2) Pasar el antivirus -que ya estás haciendo-.
(3) Limpiar registro.
(4) Limpiar temporales. -Lo que había en la carpeta 'temp', pero mejor si lo haces mediante 'ccleaner'.

Si después de esto, te sigue saliendo el 'amigo' es porque no se ha eliminado por completo -lógico...  ;D- En ese caso, se debe mirar en el registro.

Aunque, según Hijackthis, no hay nada raro en el inicio de Windows... O, al menos, no lo muestra.

En fin, lo dicho. Una vez eliminados 'los temporales', deja que acabe el análisis de ESET. A ver qué te cuenta.

Saludos!

NOTA: Advertencia - mientras estabas escribiendo, fueron publicadas 2 respuestas. Probablemente desees revisar tu mensaje....  Para variar...



EDITO:

Citar
Si he limpiado el registro ¿qué está haciendo que salte la ejecución? ¿No debería ser algo en el MBR?... ideas?

skapunky ya te ha respondido al tema del 'modo seguro'. En cuanto a:
Citar
Si he limpiado el registro ¿qué está haciendo que salte la ejecución? ¿No debería ser algo en el MBR?... ideas?

Según el análisis de AVIRA, el MBR estaba limpio... Puede ser, tranquilamente, cualquier archivo 'del virus'... O que tengas algún autorun... Mmmm... Voy a buscar más sobre el bicho. A ver si encuentro 'las pautas' que sigue... Lo suyo sería que nos colgarás el 'amigo' para que pudiéramos juguetear con él...

Aunque quizá lo podamos encontrar por ahí...

En fin, a ver qué te dice ESET. En el caso que no te encuentre nada, a ver si te lo carga de nuevo 'al iniciar'...

Ya nos contarás...

 


« Última modificación: 9 Noviembre 2009, 23:35 por Arcano2506 » En línea

La curiosidad es la antesala al conocimiento...
Arcano.


Desconectado Desconectado

Mensajes: 468



Ver Perfil
Re: Busco ayuda de pago con herramientas desinfeccion troyano
« Respuesta #41 en: 9 Noviembre 2009, 23:52 »

A quien le interese, en http://www.offensivecomputing.net/ podéis encontrar muestras del amigo -o de sus familiares...

Eso sí, antes es necesario registrarse...



Será cuestión de probar con alguno...

Saludos!


En línea

La curiosidad es la antesala al conocimiento...
Novlucker
Ninja y
Moderador Global
***
Desconectado Desconectado

Mensajes: 10.693

Yo que tu lo pienso dos veces


Ver Perfil
Re: Busco ayuda de pago con herramientas desinfeccion troyano
« Respuesta #42 en: 10 Noviembre 2009, 00:17 »

MMMM .. .es que anda una versión vieja del virus ... ese esta ahí desde el 2008, pero creo recordar que había una nueva, y creo que sería la que tengo, pero bueno, quizás estamos frente a otra versión, porque un virus se llame igual que otro no quiere decir que sea el mismo, sino que es detectado como el mismo  :-\

Saludos
En línea

Contribuye con la limpieza del foro, reporta los "casos perdidos" a un MOD XD
"Hay dos cosas infinitas: el Universo y la estupidez  humana. Y de la primera no estoy muy seguro."
Albert Einstein
Arcano.


Desconectado Desconectado

Mensajes: 468



Ver Perfil
Re: Busco ayuda de pago con herramientas desinfeccion troyano
« Respuesta #43 en: 10 Noviembre 2009, 00:21 »

Novlucker, compañero!!

He puesto una foto 'de prueba'. Hay tres versiones que datan del 2009. La más 'nueva', de febrero...

No es mala opción antes de irse a dormir...  :P

Saludos!!
En línea

La curiosidad es la antesala al conocimiento...
[L]ord [R]NA


Desconectado Desconectado

Mensajes: 1.513


El Dictador y Verdugo de H-Sec


Ver Perfil WWW
Re: Busco ayuda de pago con herramientas desinfeccion troyano
« Respuesta #44 en: 10 Noviembre 2009, 00:28 »

es una mala idea buscar datos de como quitar ese troyano por busqueda de informacion, la suerte de que te topes con el exacto es de 1 en 1000, Avira detecta muchas veces ese troyano cuando unes varias secciones o tienes algo en el PEHeader que se encuentra que no debe de ser normal
En línea

jelopez

Desconectado Desconectado

Mensajes: 17


Ver Perfil
Re: Busco ayuda de pago con herramientas desinfeccion troyano
« Respuesta #45 en: 10 Noviembre 2009, 07:44 »

Pues tras varias horas con el ESET, encontró algo pero que estaba controlado:

D:\_OTM\MovedFiles\11062009_193126\documents and settings\jelopez\thunderbird\mail\local folders\Junk   a variant of Win32/Kryptik.PH trojan   contained infected files

Eso me lo detectó una herramienta OTM que me aconsejaron usar en otro foro (por cierto que como pilló algo en la basura del Thunderbird al limpiarlo me mandó al carajo tooooodo el mail, y cuando acabe con esta pesadilla intentaré recuperar).

He hecho la prueba de arrancar an "a prueba de errores" y efectivamente la carpeta temp y la dll maldita no se crean. Pero al arrancar en modo normal el tema SIGUE IGUAL
---
Virus or unwanted program 'TR/Crypt.XPACK.Gen [trojan]'
detected in file 'C:\Documents and Settings\jelopez\Configuración local\temp\eeee5b3f3421443a8dfd8d5bd220f432\http.dll.
Action performed: Deny access
----

¿Qué está pasando? ¿Ideas?

En línea

_Slash_


Desconectado Desconectado

Mensajes: 706

Long ago in a northern land...


Ver Perfil
Re: Busco ayuda de pago con herramientas desinfeccion troyano
« Respuesta #46 en: 10 Noviembre 2009, 08:21 »

Que tal.

Por lo que veo, el troyano esta inyectado en algún proceso o programa de los que tienes al iniciar windows, si fuera en algún proceso, debe de estar en uno que no es indispensable al cargarlo en modo seguro, de lo contrario arrancaría también en modo seguro, o pudiera estar inyectado en un programa que tengas instalado.
Dicho troyano también al ejecutarse te esta creando ese archivo en la carpeta temporal.

Deberías de probar con Process Monitor para ver si hay algún proceso raro que se cargue con alguno de los que tienes al arrancar.

Saludos.
En línea

Despierta del sueño en el que has estado siempre y date cuenta de la cruda y cruel realidad.
Arcano.


Desconectado Desconectado

Mensajes: 468



Ver Perfil
Re: Busco ayuda de pago con herramientas desinfeccion troyano
« Respuesta #47 en: 10 Noviembre 2009, 09:11 »

Buenas...

Ayer me descargué una copia-variante del virus en cuestión, pero... No logré que hiciera nada en mi ordenador...  :huh: En fin, mi gozo en un pozo...

A lo que íbamos:

El fichero en cuestión, http.dll se puede eliminar de varias formas:

(1) Como ya te comenté, borrando el contenido de %TMP%.
(2) Accediendo en CMD, cambiando los atributos del archivo mediante 'attrib -h -r -s' y borrándolo con 'del'.

Si bien, eso es lo de menos. Ese fichero está controlado. Tal y como te comentan 'no puede estar solo'. Windows XP tiene varias claves de inicio, podrías revisarlas a ver si encuentras algún nombre extraño:

Citar
* HKLM\Software\Microsoft\Windows\CurrentVersion\Run

* HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices

* HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce

* HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnceEx

* HKLM\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce

* HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run

* HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce\Setup

* HKLM\Software\Microsoft\WindowsNT\CurrentVersion\Winlogon\Userinit

* HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows

* HKLM\System\CurrentControlSet\Control\Session Manager\KnownDLLs

* HKLM\System\ControlSet001\Control\Session Manager\KnownDLLs

* HKCU\Software\Microsoft\Windows\CurrentVersion\Run

* HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce

* HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnceEx

* HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce\Setup

* HKCU\Software\Microsoft\Windows\CurrentVersion\RunServices

* HKCU\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce

* HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run

* HKCU\Software\Microsoft\WindowsNT\CurrentVersion\Windows\load

* HKCU\Software\Microsoft\WindowsNT\CurrentVersion\Windows

Otra opción, como ya te han dicho, mediante Process Monitor. En este post, Novlucker explica cómo utilizarlo. Deberías borrar de nuevo el archivo 'dll'. Quizá te deje en modo normal mediante 'attrib -h -r -s' y después 'monitorizarlo' para ver 'de qué viene acompañado'. Pero, si todo esto te suena a chino, puedes probar lo siguiente:

Mediante SysInspector

Ejecutas y... Todo aquello con color amarillo-naranja-rojo; lo revisas.

Una cuestión: Como ya te he comentado, no he podido cruzarme con el virus para poder examinarlo... ¿Cómo te has infectado? Si tuviésemos una copia 'del amigo', todo sería más fácil.

Ya nos seguirás contando.

Saludos y ánimo!


EDITO:

Busando un poco, he encontrado que el bicho en cuestión -o al menos, alguna de sus variantes- crea 'autorun.inf' en los discos locales... ¿Has comprobado eso?

Si vas a


(1) INICIO / EJECUTAR / CMD

(2) Escribes  cd\

(3) Escribes dir /as


Podrías poner los archivos que te salen, o bien, comentarnos si te sale algún 'autorun.inf'. Eso explicaría por qué se vuelve a 'crear' al iniciar. De igual modo, ¿utilizas algún pendrive? También podría ser que tuviera 'el amigo' y, al colocarlo, en tu ordenador,  volvieras a infectarte...

« Última modificación: 10 Noviembre 2009, 09:41 por Arcano2506 » En línea

La curiosidad es la antesala al conocimiento...
jelopez

Desconectado Desconectado

Mensajes: 17


Ver Perfil
Re: Busco ayuda de pago con herramientas desinfeccion troyano
« Respuesta #48 en: 10 Noviembre 2009, 10:06 »

Arcano:

- El problema no es eliminar el http.dll. Eso, tal y como dices, es fácil: en modo segro y listo. El problema es que hay algo que se ejecuta en modo normal y lo vuelve a crear

- Respecto a las claves... joooope vaya lista. Miraré a ver una a una o con el process monitor y/o SysInspector. Ahora estoy en el curro y no tengo acceso a mi PC.

- Respecto al autorun.inf podría ser... que cogiese la infección por algún USB. Pero desde que apareció el problema no he metido ningún pen. Lo que si he hecho es pasar el FlasDisinfector, que crea una carpeta autorun.inf y que por lo que parece sirve para evitar nuevas infecciones (me lo recomendaron en otro foro). Y aunque está esa carpeta autorun.inf el AVIRA o el ESET no se quejan (vamos que esa carpeta que se ha creado es "legal")

Como dice _Slash_ algo se está iniciando que crea la dll cada vez. Lo que no entiendo es que esto no le haya pasado antes a mucha más gente y los AV no sean capaces de eliminarlo... igual soy mu rarito  :P

Si se os ocurre algo más, comentáis. Yo en 4 horas lo probaré en el PC a ver...
En línea

Arcano.


Desconectado Desconectado

Mensajes: 468



Ver Perfil
Re: Busco ayuda de pago con herramientas desinfeccion troyano
« Respuesta #49 en: 10 Noviembre 2009, 10:18 »

Buenas jelopez...


Estas son las más comunes.

* HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
* HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run

Ahora bien, en SysInspector, te salen todas. Con lo cual, puedes hacerlo mediante la aplicacion.

Si comentas que has utilizado FlasDisinfector -ahora recuerdo que lo lei al principio del post-, pues, como bien dices, no debería haber ningún autorun 'maligno'.

Pero lo puedes saber mediante CMD, colócate en C:\ y escribe 'notepad autorun.inf'. Si te da error al abrir, será del FlasDisinfector.

En cualquier caso, prueba a hacer un dir /as en C:\... A ver qué archivos salen... Y mira las claves de inicio con SysInspector...

Nos cuentas luego...

Saludos.

En línea

La curiosidad es la antesala al conocimiento...
Páginas: 1 2 3 4 [5] 6 Ir Arriba Respuesta Imprimir 

Ir a:  

Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines