BandaAncha.eu

Comunidad de usuarios
de fibra, móvil y ADSL

Desesperado con VBS/Agent

emiliosanz

Tengo un ordenador que por razones que no vienen al caso sigue teniendo XP. Hasta ahora todo ha funcionado perfecto, y en parte lo sigue haciendo. Pero alguien con un pen lo ha pringado con el troyano VBS/Agent. Al principio le pasé el Malware, lo detectó y lo eliminó. Tambien le pasé AVG por si acaso y lo volvió a detectar, también lo "eliminó". Le pasé CCleaner para eliminarlo del registro y también lo hizo. Pero al pasar de nuevo Malware lo volvió a detectar y "eliminar". Aparece como proceso "system32\system.exe". El archivo malicioso es "system.exe". he intentado localizarlo por todos los medios, pero no aparece como tal, lógicamente. He desactivado el registro para que arranque sin nigún programa.

Iniciando como administrador, cuando quiero abrir el "Administrador de tareas" para ver si identifico algún proceso extraño, aparece un aviso de que "un admistrador" ha desactivado el administrador de tareas. Tampoco me deja cambiar de mes para "revertir cambios" y han desaparecido todos los puntos de control. Sin ningún programa abierto el uso de memoria es siempre del 100%, con lo cual está siempre ralentizado casi bloqueado.

Estoy bastante cansado de jugar al gato y al ratón con el bicho. Hasta ahora, todas las pringadas que han aparecido las he solucionado sin demasiados problemas, pero este bicho me tiene comida la moral. La opción de formateo sería lo último que contemplo porque es un equipo que está siempre en marcha gestionando señales de megafonia y sería grave llegar a eso. Es obvio que lanzo una demanda de ayuda que agradezco desde este mismo instante para solucionar el problema.

BocaDePez
BocaDePez

Inicia en modo símbolo de sistema.

abre cmd

vete a la carpeta donde esté el fichero.

del system.exe

No sé luego qué ocurrirá cuando arranques...

teclea attrib +s +h +r system.exe

🗨️ 3
BocaDePez
BocaDePez

Perdón, -s -h -r

🗨️ 2
BocaDePez
BocaDePez

No sé qué ha pasado pero se han cambiado de línea los comandos.

primero va el comando attrib y luego ya el del

🗨️ 1
emiliosanz

En primer lugar gracias por responder.

Varias cosas:

1º Ejecutando el comando "attrib -s-h-r" dice que es un modificador no válido.

2º Si pongo "solo" attrib C:\system32 aparece como SH, que parece ser lo correcto.

3º Pero si pongo attrib C:\system32\system.exe aparece como A, que es solo de almacenamiento, por lo cual sospecho que al bicho le han puesto "system32/system.exe" para confundir y que dé miedo cargarse "system32". ¿Que te parece?

Spyd

Lo que ha dicho el Bocadepez de "cmd + attrib + del" debería funcionar, pero a veces si no puedes arrancar en modo seguro, hay otra opción:

Tu usuario tiene que tener derechos de administrador del equipo, si no lo es no podrás hacer esta operación.

Abre el administrador de tareas, localiza la tarea que quieres eliminar, botón derecho, "Abrir ubicación del archivo".

Si no ves el archivo, asegúrate que tienes marcadas las opciones de ver archivos ocultos y archivos de sistema.

Una vez tienes el archivo delante, puedes intentar borrarlo, pero seguramente no podrás porque estará en uso.

Pulsa el botón secundario del ratón sobre el archivo, selecciona propiedades, pestaña "Seguridad". En esa pestaña, pulsa el botón "Editar", y marca todas las opciones de "Denegar" de todos los usuarios que aparecen en la lista. Esta operación se permite incluso cuando el archivo está en uso.

Acepta las ventanas y reinicia el equipo. Al volver a iniciar, el archivo sigue estando, pero no es posible leerlo (ni ejecutarlo ni borrarlo ni hacer nada con él). Podrías dejarlo así, ya que ese archivo ya no puede ser una amenaza de ningún tipo, pero si quieres, puedes volver a habilitar los permisos para poder eliminarlo.

Si al volver a habilitar los permisos ves que el proceso se ejecuta solo (y no puedes borrarlo porque está en uso), significa que tienes que buscar otro proceso sospechoso que es el que se dedica a ejecutar el malware. Esto es algo muy habitual en los malware como medida de protección para que se siga ejecutando incluso cuando terminas el proceso.

🗨️ 3
emiliosanz

Hola gracias por responder.

Cuando le paso Malware , AVG y por último CCleaner para eliminar la entrada del registro a veces... y solo a veces abre el Administrador de tareas, pero de normal dice que "otro administrador" ha inhabilitado el Administrador de tareas, tambien ha bloqueado la posibilidad de cambiar de mes para revertir cambios. Tambien han desaparecido los puntos de control anteriores.

El problema es que, durante la jornada de trabajo es complicado hacer lo que dices, por la gestion de señales de megafonía que debe hacer muy a menudo.

Sale a menudo un recuadro:

Subsistema MS-DOS de 16bits

C:\system32\system.exe

La CPU NTVDM ha encontrado una instrucción no permitida.

CS:06cd IP:02a9 OP:63 6f 6e 74 65 Elija "Cerrar" para para finalizar la aplicación.

Con las opciones de Cerrar u Omitir

🗨️ 2
Spyd

Si no puedes abrir el administrador de tareas, intenta usar el Process Explorer, lo puedes descargar aquí: download.sysinternals.com/files/ProcessExplorer.zip

Si te funciona, úsalo para identificar el proceso malicioso, y luego sigue las instrucciones de mi otro post para quitarle los permisos.

Para no tener que reiniciar, una vez le hayas quitado los permisos, usa el Process Explorer para terminar el proceso.

🗨️ 1
emiliosanz

Ahora aparece otro bicho System Protecction Tools que es una supuesta herramienta de eliminación de malware. He podido interrumpir el proceso pero me temo, tal y como he leido acerca de "system.exe", que va introduciendo todo tipo de bichos conforme los eliminas.

rbetancor

No te compliques, puedes bajarte de la web de panda software o de la de kapersky, su cd de rescate ... lo tuestas y arrancas el equipo con él. Te permiten hacer una limpieza sin tener el bicho activado y luego ya reinicias normal.

Para otras técnicas de limpieza, necesitas conocimientos de como entrar en el equipo en modo seguro, cambiar atributos y entradas del registro, etc. Lo cual si te apasiona ok ... pero si el equipo lo necesitas para currar, no te la jueges y usa un 'rescue cd'

raxor

Usa process explorer como te han dicho y fíjate en las dependencias de ese proceso raro.

Mira en tareas programadas, servicios y msconfig para desactivar del arranque todo lo raro.

Una vez deshabilitado

Con un CD del XP SP3 ejecuta "sfc /scannow" para restaurar ficheros de sistemas modificados.

Si al eliminar el bicho te quedas sin red. " netsh winsock reset".

A mi me ha funcionado a veces reinstalar el SP3 encima, pero ahora no hay updates. Revisa que en el grupo de administradores no tengas a algún usuario raro.

Revisa las politicas de grupo/usuario que no tengas nada que arranque tras hacer login, desde aqui podars desactivar las restricciones de administrador de tareas.

es.wikihow.com/editar-las-directivas-de- … n-Windows-XP

Si es un ordenador crítico, haz una imagen de ese disco antes de hacer nada por si la cagas aun mas.

🗨️ 3
emiliosanz

Gracias a todos por las respuestas.

He podido por fin solucionar el tema. Pasándole el ESSET ON LINE ha podido quitar sin mayor problema los dos archivos críticos. Malware y AVG parece que tuvieron ya sus mejores días.

Los dejo aquí porque al ser reciente la pringada quizá pueda servirle a alguien saber los que son:

C:\Kernel\r00t3r VBS/AutoRun. IE gusano

C:\system32\blood.dat VBS/AutoRun. IE gusano

Gracias de nuevo.

🗨️ 2
mceds

Ahora corre a hacer una imagen de ese disco como te han recomendado. De esa forma podrás recuperar un sistema limpio en un poco tiempo.

Aunque, si es tan crítico como para no poder apagarse ni unos minutos, es mejor que tengas un equipo "clon" que pueda suplir sus funciones. Para ejecutar XP te basta con cualquier cosa tirada en un Punto Limpio; yo mismo te podría regalar un Duron 800.

🗨️ 1
emiliosanz

Gracias por el consejo y por tu ofrecimiento tendré en cuenta las indicaciones.Ya estoy preparando el "clon" por si hiciera falta.

Llevo algunos años en este foro y, cuantas veces he recurrido por cosas de distinta índole e importancia siempre he obtenido respuesta y muestras de interés. Se agradece, en estos tiempos que corren, encontrar un sitio serio como este.