Nuevo virus adquirido, help

BocaDePez 26 agosto 2008 13:48

⋮

Hola

El pasado domingo, creo que navegue por donde no debia y tengo tocado el ordenata. A ver si alguno me echa una mano.

Tenia activos el Nod32 con actualizacion del 20 de Agosto activo asi como el residente del Spybot con su lista de procesos chungos.

Pase a tener problemas de navegacion varios:
- La navegacion via buscadores es mas lenta de lo habitual.
- el goggle se redirecciona o con webs intermedias tipo go.google o google_analytcs.
- a veces los resultados del google tienen un enlace distinto al que indica en verde.
- De vez en cuando pinchas al google y salta a una web que no tiene nada que ver.
- Si navego en mis webs habituales parece que va bastante mejor. aunque ayer no puede poner un post aqui me daba el error de noisy code... dos veces perdiendo el texto.

El Troyano me ha redirigido la navegacion al bucle local (127.0.0.1) de webs de antispyware. Comprobado con un ping.
Actualice el spybot bajandome los archivos desde otro ordenador. el NOD32, ad-aware no pueden contactar con sus servidres ya que lo impide.
Me fui de cabeza al archivo HOSTS pero esta impoluto con una unica linea. Pare el servicio de DNS vacie la cache (ipoconfig /dnsflush) y nada.

Supongo que han desviado el directorio del archivo HOSTS, tengo que comprobarlo.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\DataBasePath

Despues de la navegacion el NOD se quejaba que desde una IP me intentaban enviar un windows_uptade.exe con bicho incluido, no lo apunte
Revisando el PC encontre un svchost.exe que estaba en windows\system32\drivers (el verdadero esta arriba) con fecha del domingo que me dio mala espina renombre la extension.

No me detectan nada el NOD32 (20 agosto) con un scaneeo profundo con una heuristica alta ha encontrado alto, el spybot con las ultimas localiciones ha encontrado a alexa un viejo conocido. Y el adware lo acabo de instalar pero no puedo actualizar su BBDD.

Con el hijack salen no demasiados programas y aparentemente no son peligrosos.

No tengo punto de restauracion previo.

gracias por leer el tocho, que puedo hacer?

BocaDePez 26 agosto 2008 13:58

⋮

Se me olvidaba:

Es un XP pro SP2 optimizado para un PC no muy potente.
No son problemas de DNS, tengo otro PC con la misma DNS que va bien

Estaba haciendo algo que necesitaba derechos de administrador, me relaje en la navegacion y me cazaron.

y una correccion en la frase del NOD32 cuando buscaba con un grado de heuristico alto no encontro nada.

AlvaroMLG 26 agosto 2008 14:16

⋮

Prueba hacer un escaneo con el Panda, dtectando virus va bastante bien.

adrinavarro 26 agosto 2008 14:38

⋮

1. tr. Ganar, conseguir con el propio trabajo o industria.
2. tr. comprar (‖ con dinero).
3. tr. Coger, lograr o conseguir.
4. tr. Der. Hacer propio un derecho o cosa que a nadie pertenece, o se transmite a título lucrativo u oneroso, o por prescripción.

para todo lo demás, mastercard

Y aunque mi bola de cristal no funcione... a que usas internet explorer?

✖

BocaDePez 26 agosto 2008 17:08

⋮

No gracias, mozilla 5.0

Por lo demas he visto que la variable HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\DataBasePath apunta al directorio del HOSTS por defecto, por ahi no van los tiros.

Correre el HostFileReader a ver que me cuenta.

✖

adrinavarro 26 agosto 2008 17:10

⋮

A ver, a ver. En que enchufe has metido los dedos para infectarte con el mozilla suite como navegador?

quilloquepasa 26 agosto 2008 17:20

⋮

¿Mozilla 5.0?

✖

BocaDePez 26 agosto 2008 17:50

⋮

Mozilla/5.0 (Windows; U; Windows NT 5.1; es-ES; rv:1.8.1.16) Gecko/20080702 Firefox/2.0.0.16

Creo que es la 2.0.0.16 del firefox...

Nada he arrancado en modo seguro y pasado el NOD, es la version del 24 de agosto y no canta nada...

He intentado hacer lo del panda y al principio va bien pero cuando se accede a su servidor acs.pandasoftware.com se me va al bucle local... he modificado mi fichero HOSTS metiendo la IP a la que debe ir esa URL y nada no va (he reiniciado por temas de cache).

No se donde ha tomado el control del fichero HOSTS interceptando las URL's que podrian solucionar esto. En el regedit deberia utilizar el que he puesto...

perrete 26 agosto 2008 15:16

⋮

Restaura el sistema al estado anterior k sepas k estaba limpio.

✖

BocaDePez 26 agosto 2008 17:16

⋮

Gracias, pero llevo poco tiempo el SO montado, todavia me quedaba algo por instalar por lo que no habia hecho un punto de restauracion previo...

Respecto al otro comentario, no puedo navegar por la web del panda, ni por ninguna otra de ese tipo ya que el troyano me redirige esas webs a 127.0.0.1 como si hubiera modificado el archivo HOSTS, pero no es asi y ademasel SO apunta a dicho fichero...

✖

perrete 26 agosto 2008 17:19

⋮

Si has instalado algo, cualkier cosa, el sistema suele generar un punto de restauración automáticamente.

✖

BocaDePez 26 agosto 2008 17:53

⋮

gracias, pero creo que la edicion Lite que monte venia desactivada por defecto, no es una estandard.

BocaDePez 27 agosto 2008 20:26

⋮

dado que no puedes acceder a determinadas paginas de antivirus o actualizacion de base datos de ad-aware, intenta ver (si puedes) que procesos fuera de lo normal tienes corriendo en la maquina y si encuentras alguno sospechoso, busca en el registro y en disco los rastros de ese posible proceso y los eliminas o renombras todos los que pilles.

✖

BocaDePez 31 agosto 2008 02:52

⋮

Gracias, pero mirando los procesos con el hijack y consultando no encuentro nada sospechoso. Por otra parte al ser una version lite, no venia un excesos de programas o servicios por lo que en principio no es muy complicado ver alguno nuevo.

El nod32 afortunadamente tenia actualizacion con algunos servidores que venian con su IP por lo que consigo actualizaciones y con el spybot las descargo en otro ordenador y las instalo en el chungo. Pero no encuentran nada (ni con analisis profundos e heuristica alta). No se si con mi purga manual me cepille parte del problema y por eso no lo reconocen los antibichos...

Dare un tiempo a ver si se descubre algo, por si acaso y sino formatear la C y reinstalar SO y programas, los datos estan en otras particiones, por lo que la escabechina es menor. Realmente el PC esta como platamorfa P2P y descargas directas, y en este aspecto esta funcional, por lo que no tengo excesiva prisa. Me sigue intrigando como desvia la navegacion y trafico (pings) al bucle local y las busquedas de google ( Firefox e IE) a donde y cuando le da gana, sin servicio de DNS activo y con el fichero de HOSTS vacio y bien apuntado en el regedit.

✖

LineBenchmark 31 agosto 2008 03:23

⋮

Con el SpyBot también puedes ver los programas que se inician y los procesos. Podrías postear la lista que te sale. Igualmente, has descartado que '''eso''' no viniera con esa versión Lite de origen?

¿Eliminaste y volviste a instalar FireFox?

Slds. :)

✖

BocaDePez 1 septiembre 2008 09:38

⋮

Gracias por el interes, vere si cuando vuelva del curro toco el tema.

La version Lite de origen iba bien, y desde que se me ocurrio buscar "informacion" en sitios poco recomendables el rendimiento y esperas del equipo se notaron.

No he reinstalado el Firefox, me afecta al IE y desde la consola cuando hago un ping a adaware.com por ejemplo se me va al bucle local... 127.0.0.1 por lo que me imagino que el problema tiene implicaciones mas profundas, aunque si no se arregla en una temporada, lo probare antes de formatear.

Este equipo tiene un caracter secundario para mi, en el pasado con W98 no tenia ni antivrus (spybot y adware si) y de vez en cuando entraba algo y me gustaba ver los recovecos que utilizaban para putearme y solia pillarlos de vez en cuando y sino con los antispyware,... en los ultimos 6 años solo he tenido 2 infecciones que me obligaron a formatear C y reinstalar W98... y ya por fin cuando compre uno nuevo, a este le puse la lite, firewall y el antivirus, por lo que pensaba que ya estaba medianamente seguro... a partir de ahora, la recopilacion de "informaciones" va a ser con un Live-CD con papel y lapiz y sin montar particiones ( quizas la del diskette...)

saludos

BocaDePez 1 septiembre 2008 17:03

⋮

Aqui esta el resultado del hijack

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Archivos de programa\Adobe\Reader 8.0\Reader\Reader_sl.exe
C:\Archivos de programa\Java\jre1.6.0_02\bin\jusched.exe
C:\Archivos de programa\Eset\nod32kui.exe
C:\Archivos de programa\Unlocker\UnlockerAssistant.exe
C:\Archivos de programa\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
C:\Archivos de programa\TaskSwitchXP\TaskSwitchXP.exe
C:\Archivos de programa\Spybot - Search & Destroy\TeaTimer.exe
C:\Archivos de programa\Hewlett-Packard\HP Share-to-Web\hpgs2wnf.exe
C:\Archivos de programa\Eset\nod32krn.exe
C:\WINDOWS\system32\svchost.exe
C:\Archivos de programa\Eset\nod32.exe
C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe
C:\Archivos de programa\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O1 - Hosts: 62.14.63.177 acs.pandasoftware.com
O2 - BHO: Aplicación auxiliar de vínculos de Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Archivos comunes\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.6.0_02\bin\ssv.dll
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Archivos de programa\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Archivos de programa\Java\jre1.6.0_02\bin\jusched.exe"
O4 - HKLM\..\Run: [nod32kui] "C:\Archivos de programa\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKLM\..\Run: [UnlockerAssistant] "C:\Archivos de programa\Unlocker\UnlockerAssistant.exe"
O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] C:\Archivos de programa\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
O4 - HKCU\..\Run: [TaskSwitchXP] C:\Archivos de programa\TaskSwitchXP\TaskSwitchXP.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Archivos de programa\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICIO LOCAL')
O4 - HKUS\S-1-5-19\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'SERVICIO LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Servicio de red')
O4 - HKUS\S-1-5-20\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'Servicio de red')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'Default user')
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{D2F3A768-4371-415B-865E-8AD8F0CE096D}: NameServer = 62.14.63.145
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Archivos de programa\Lavasoft\Ad-Aware\aawservice.exe
O23 - Service: Ares Chatroom server (AresChatServer) - Ares Development Group - C:\Archivos de programa\Ares\chatServer.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Archivos de programa\Eset\nod32krn.exe

✖

LineBenchmark 1 septiembre 2008 20:46

⋮

✖

BocaDePez 1 septiembre 2008 21:58

⋮

BocaDePez 1 septiembre 2008 17:11

⋮

Como informacion adicional del bicho que tengo dentro:

Acabo de descargarme del nod32 la version de hoy y tras un barrido no encuentra nada.

Cuando accedo a google se ve que en barra se desvia a analitic_checks.google.es, luego me aparece una pantalla de google normal y si busco pp apare la web del pp como pp.es pero la ruta del link en el acceso directo es:

(link roto)

Por lo que al clickear redirecciona a otra pagina (sus patrocinados), de vez en cuando, no siempre, esto pasa con otros buscadores... la navegacion en otras webs como esta no es interceptada, pero se vuelve un poco mas lenta, estara fisgandome....

saludos

BocaDePez 1 septiembre 2008 20:16

⋮

Me he metido a buscar analitic_checks.google.es y me he encontrado con mi caso.

Solucion Malwarebytes

BocaDePez 1 septiembre 2008 20:50

⋮

He arrancado en modo seguro y ejecutado el malwarebytes y ha encontrado una serie de librerias y ejecutables dentro de system32 con el prefijo tdss*que son los culplabes aparte de algunas entradas en el regedit. Juraria que deberia haberlas visto antes ya que lo tenia ordenado por fechas y son nuevas.

El rendimiento vuelve a ser el anterior del equipo y no se nota el lag navegando. Ademas el firefox vuelve a verse bien, me salia descuadrado en BA y tengo accesible el resto de las webs.

Creo que el bicho se dedicaba a fisgar todo lo que hacia y recopilaba informacion y contraseñas aparte del puteo de navegacion... aunque en este equipo pocas cosas de valor hago.

Lo unico raro es que la mula a pesar de tener libre mi puertos con el test, se conecta a los ED2K con baja ID, cuando con el bicho no tenia problemas... pero eso es otra historia, a ver si no es una remora del amiguito.

✖

BocaDePez 14 noviembre 2008 17:11

⋮

No me extraña que no los vieras, yo llevo toda la semana rompiendome la cabeza con este dichoso virus. Finalmente, y tras leer tu post (muy util, muchas gracias) he conseguido arrancar desde otro windows instralado en otro disco, porque el modo a prueba de fallos con administrador no me va. Entonces he podido ver los dichosos archivos tdss*, y tras eliminarlos todo aparentemente bien. Lo unico que asi no limpio el registro, asi que si alguien postea las keys para limpiarlas se lo agradeceria!!

saludetes