Antivirus Soft y Worm.KoobFace

Aprende y comparte como combatir objetos maliciosos en computacion.
Responder
Avatar de Usuario
LeThe
Site Admin
Mensajes: 7046
Registrado: Vie Jun 15, 2007 5:11 pm
Ubicación: Florida, Estados Unidos
Contactar:
Contactar LeThe

Antivirus Soft y Worm.KoobFace

Mensaje por LeThe »

Ambos eliminados con Malwarebytes Anti-Malware.

Imagen

Memory Modules Infected:
c:\Windows\System32\erokosvc.dll (Worm.KoobFace) -> Delete on reboot.

Registry Keys Infected:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\cpqoko6 (Worm.KoobFace)
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\apto6ko (Worm.KoobFace)

Registry Values Infected:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost\tapisrvs (Worm.KoobFace)

Files Infected:
c:\Windows\System32\erokosvc.dll (Worm.KoobFace) -> Delete on reboot.
C:\Windows\System32\drivers\imapioko.sys (Worm.KoobFace)
C:\Windows\ligh (Koobface.Trace)

Registry Keys Infected:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{1d4db7d2-6ec9-47a3-bd87-1e41684e07bb} (Adware.MyWebSearch)

Files Infected:
C:\Windows\bk20856.dat (KoobFace.Trace)
C:\Windows\bk23567.dat (KoobFace.Trace)
C:\Windows\fdgg34353edfgdfdf (KoobFace.Trace)

Registry Keys Infected:
HKEY_CLASSES_ROOT\minibugtransporter.minibugtransporterx (Adware.Minibug)
HKEY_CLASSES_ROOT\TypeLib\{3c2d2a1e-031f-4397-9614-87c932a848e0} (Adware.Minibug)
HKEY_CLASSES_ROOT\Interface\{04a38f6b-006f-4247-ba4c-02a139d5531c} (Adware.Minibug)
HKEY_CLASSES_ROOT\CLSID\{2b96d5cc-c5b5-49a5-a69d-cc0a30f9028c} (Adware.Minibug)
HKEY_CLASSES_ROOT\minibugtransporter.minibugtransporterx.1 (Adware.Minibug)
HKEY_CLASSES_ROOT\Interface\{2e9937fc-cf2f-4f56-af54-5a6a3dd375cc} (Adware.MyWebSearch)
HKEY_CLASSES_ROOT\Interface\{741de825-a6f0-4497-9aa6-8023cf9b0fff} (Adware.MyWebSearch)
HKEY_CLASSES_ROOT\Interface\{cf54be1c-9359-4395-8533-1657cf209cfe} (Adware.MyWebSearch)
HKEY_CLASSES_ROOT\CLSID\{147a976f-eee1-4377-8ea7-4716e4cdd239} (Adware.MyWebSearch)
HKEY_CLASSES_ROOT\Typelib\{d518921a-4a03-425e-9873-b9a71756821e} (Adware.MyWebSearch)
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{56256a51-b582-467e-b8d4-7786eda79ae0} (Trojan.Vundo)
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{00a6faf1-072e-44cf-8957-5838f569a31d} (Adware.MyWebSearch)
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{07b18ea1-a523-4961-b6bb-170de4475cca} (Adware.MyWebSearch)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{59c7fc09-1c83-4648-b3e6-003d2bbc7481} (Adware.MyWebSearch)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{68af847f-6e91-45dd-9b68-d6a12c30e5d7} (Adware.MyWebSearch)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{9170b96c-28d4-4626-8358-27e6caeef907} (Adware.MyWebSearch)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{d1a71fa0-ff48-48dd-9b6d-7a13a3e42127} (Adware.MyWebSearch)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{ddb1968e-ead6-40fd-8dae-ff14757f60c7} (Adware.MyWebSearch)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{f138d901-86f0-4383-99b6-9cdd406036da} (Adware.MyWebSearch)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{56256a51-b582-467e-b8d4-7786eda79ae0} (Trojan.Vundo)
HKEY_CURRENT_USER\SOFTWARE\MyWebSearch (Adware.MyWebSearch)
HKEY_LOCAL_MACHINE\SOFTWARE\FocusInteractive (Adware.MyWebSearch)
HKEY_LOCAL_MACHINE\SOFTWARE\Fun Web Products (Adware.MyWebSearch)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Low Rights\RunDll32Policy\f3ScrCtr.dll (Adware.MyWebSearch)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Multimedia\WMPlayer\Schemes\f3pss (Adware.MyWebSearch)
HKEY_LOCAL_MACHINE\SOFTWARE\MyWebSearch (Adware.MyWebSearch)

Registry Values Infected:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDLLs\C:\Program Files\Common Files\Real\WeatherBug\MiniBugTransporter.dll (Adware.Minibug)
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\MenuExt\&Search\(default) (Adware.Hotbar)
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\forceclassiccontrolpanel (Hijack.ControlPanelStyle)

Folders Infected:
C:\Program Files\FunWebProducts (Adware.MyWebSearch)
C:\Program Files\FunWebProducts\ScreenSaver (Adware.MyWebSearch)
C:\Program Files\FunWebProducts\ScreenSaver\Images (Adware.MyWebSearch)
C:\Program Files\FunWebProducts\Shared (Adware.MyWebSearch)
C:\Program Files\MyWebSearch (Adware.MyWebSearch)
C:\Program Files\MyWebSearch\bar (Adware.MyWebSearch)
C:\Program Files\MyWebSearch\bar\History (Adware.MyWebSearch)
C:\Program Files\MyWebSearch\bar\Settings (Adware.MyWebSearch)

Files Infected:
C:\Program Files\Common Files\Real\WeatherBug\MiniBugTransporter.dll (Adware.Minibug)
D:\\downloads\MyFunCardsSetup2.3.50.56.ZUfox000.exe (Adware.MyWebSearch)
C:\Program Files\MyWebSearch\bar\History\search3 (Adware.MyWebSearch)
C:\Program Files\MyWebSearch\bar\Settings\s_pid.dat (Adware.MyWebSearch)

Entradas cuales encontre con AUtoruns

vnnevvgx c:\documents and settings\perfil\local settings\application data\sqkhst\vsirsftav.exe

vnnqugug c:\documents and settings\perfil\local settings\application data\thdngi\vsrmsftav.exe
Ing. Joshua Marius
Windows 10 Pro x64 20H2
Intel Core i7-3770K, 4.5 Ghz
ASUS P8Z68-V LX
Disco 1: Samsung SSD 850 EVO 500 GB
RAID 1: Seagate ST3000DM001 3TB
CORSAIR Vengeance 16 GB DDR3 1600
NVIDIA GeForce GTX 1060
Arriba
Avatar de Usuario
Menfis
Mensajes: 2894
Registrado: Sab May 17, 2008 5:14 pm

Re: Antivirus Soft y Worm.KoobFace

Mensaje por Menfis »

Gracias por la info, la verdad que no puede faltar Malwarebytes Anti-Malware.
No hay que empezar siempre por la noción primera de las cosas que se estudian,
sino por aquello que puede facilitar el aprendizaje.
Arriba
Avatar de Usuario
simonviejo
Mensajes: 948
Registrado: Sab Sep 01, 2007 7:36 pm
Ubicación: 27` 58" 73' N / 82` 19" 36" W

Re: Antivirus Soft y Worm.KoobFace

Mensaje por simonviejo »

Sobre este tipo de infecciones, les comento que ayer me toco bregar con una PC infectada con otro "bicho" que no habia visto antes.

Se trata de: ANTIMALWARE 2010

Es una tremenda infeccion, lamentablemente no pude guardar los detalles para ustedes por la prisa del dueño que me pidio que formateara. Se disfraza como el Centro de Seguridad de Windows y no te permite acceder a ningun archivo o programa; anula todas las protecciones y en modo seguro tampoco te deja acceder a la cuenta de usuario.

Ahora misno estoy buscando informacion sobre esto en la red.
Arriba
Avatar de Usuario
LeThe
Site Admin
Mensajes: 7046
Registrado: Vie Jun 15, 2007 5:11 pm
Ubicación: Florida, Estados Unidos
Contactar:
Contactar LeThe

Re: Antivirus Soft y Worm.KoobFace

Mensaje por LeThe »

No te dio chance de probar sacando el disco y escaneando desde otra computadora?

He notado que estos virus o bichos solo se eliminan con una combinacion de cosas. Por ejemplo, si no puedes ejecutar Malwarebytes ni el Antivirus instalados, puedes empezar con Hijackthis, despues Autoruns para eliminar opciones de inicio, despues te deja ejecutar Malwarebytes o Spybot, y finalmente el Antivirus.

A veces a mi me ha durado horas pero asi voy poco a poco.
Ing. Joshua Marius
Windows 10 Pro x64 20H2
Intel Core i7-3770K, 4.5 Ghz
ASUS P8Z68-V LX
Disco 1: Samsung SSD 850 EVO 500 GB
RAID 1: Seagate ST3000DM001 3TB
CORSAIR Vengeance 16 GB DDR3 1600
NVIDIA GeForce GTX 1060
Arriba
Responder

Volver a “Infecciones y Soluciones - Virus, Trojanos, Spyware, Rogue, Malware, etc.”