Otra infeccion de virus y malware dificil de eliminar

YouTube · Mensaje por **LeThe** » Dom Abr 18, 2010 8:54 pm

Esta computadora me llego infectada con muchos viruses - como estaba cambiando de Sistemas Operativos no logre desinfectar la computadora ya que me canse de tratar y tratar pero parece que ya estaba integrado al Windows. Como el cliente queria otro sistema operativo no tuvo mucha preocupacion. Intente con lo basico pero fue muy dificil desinfectar esta PC, aqui les muestro imagenes y detalles. A lo ultimo saque el disco duro y lo puso en otra PC, cuando se desinfecto el archivos acpiec.sys entonces Windows ya no iniciaba. Ellos desinstalaron el AVG, y esta confirmado que la infeccion entro por Internet Explorer.

El virus se copiaba a cualquier memoria USB o Flash Drive con el archivo del nombre del perfil, en este ejemplo es carlos.
Archivos infectados:
qiiis.exe
qiiis.scr
joateo.exe
c:\windows\system32\drivers\acpiec.sys

Imagen

Registry Keys Infected:
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{19127ad2-394b-70f5-c650-b97867baa1f7} (Backdoor.Bot) -> Quarantined and deleted successfully.
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43bf8cd1-c5d5-2230-7bb2-98f22c2b7dc6} (Backdoor.Bot) -> Quarantined and deleted successfully.
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{3446af26-b8d7-199b-4cfc-6fd764ca5c9f} (Backdoor.Bot) -> Quarantined and deleted successfully.
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{4776c4dc-e894-7c06-2148-5d73cef5f905} (Backdoor.Bot) -> Quarantined and deleted successfully.
HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{19127ad2-394b-70f5-c650-b97867baa1f7} (Backdoor.Bot) -> Quarantined and deleted successfully.
HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43bf8cd1-c5d5-2230-7bb2-98f22c2b7dc6} (Backdoor.Bot) -> Quarantined and deleted successfully.
HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{3446af26-b8d7-199b-4cfc-6fd764ca5c9f} (Backdoor.Bot) -> Quarantined and deleted successfully.
HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{4776c4dc-e894-7c06-2148-5d73cef5f905} (Backdoor.Bot) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Software\YVIBBBHA8C (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\XML (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Software\WEK9EMDHI9 (Trojan.Agent) -> Quarantined and deleted successfully.

Registry Values Infected:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\forceclassiccontrolpanel (Hijack.ControlPanelStyle) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Network\uid (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\forceclassiccontrolpanel (Hijack.ControlPanelStyle) -> Quarantined and deleted successfully.

Registry Data Items Infected:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Spyware.Zbot) -> Data: c:\windows\system32\sdra64.exe -> Delete on reboot.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Spyware.Zbot) -> Data: system32\sdra64.exe -> Delete on reboot.
HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet\FIREFOX.EXE\shell\open\command\(default) (Hijack.StartMenuInternet) -> Bad: ("C:\Documents and Settings\NetworkService\Local Settings\Application Data\ave.exe" /START "C:\Program Files\Mozilla Firefox\firefox.exe") Good: (firefox.exe) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet\IEXPLORE.EXE\shell\open\command\(default) (Hijack.StartMenuInternet) -> Bad: ("C:\Documents and Settings\NetworkService\Local Settings\Application Data\ave.exe" /START "C:\Program Files\Internet Explorer\iexplore.exe") Good: (iexplore.exe) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet\FIREFOX.EXE\shell\safemode\command\(default) (Hijack.StartMenuInternet) -> Bad: ("C:\Documents and Settings\NetworkService\Local Settings\Application Data\ave.exe" /START "C:\Program Files\Mozilla Firefox\firefox.exe" -safe-mode) Good: (firefox.exe -safe-mode) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Hijack.Userinit) -> Bad: (C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\sdra64.exe,) Good: (Userinit.exe) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\NameServer (Trojan.DNSChanger) -> Data: 93.188.164.97,93.188.166.142 -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{48807baf-c88f-48ef-b63f-7d434a35f134}\NameServer (Trojan.DNSChanger) -> Data: 93.188.164.97,93.188.166.142 -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{9ac5a5b1-9711-47f9-88f1-d806bed8e389}\NameServer (Trojan.DNSChanger) -> Data: 93.188.164.97,93.188.166.142 -> Quarantined and deleted successfully.

Folders Infected:
C:\WINDOWS\system32\lowsec (Stolen.data) -> Delete on reboot.

Files Infected:
C:\WINDOWS\Bzixya.exe (Trojan.FraudPack) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\spool\prtprocs\w32x86\000045d6.tmp (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\lowsec\local.ds (Stolen.data) -> Delete on reboot.
C:\WINDOWS\system32\lowsec\user.ds (Stolen.data) -> Delete on reboot.
C:\WINDOWS\system32\lowsec\user.ds.lll (Stolen.data) -> Quarantined and deleted successfully.
C:\Documents and Settings\Carlos\Local Settings\Application Data\MSASCui.exe (Rogue.MultipleAV) -> Quarantined and deleted successfully.
C:\Documents and Settings\Carlos\Local Settings\Application Data\av.exe (ROGUE.Win7Antispyware2010) -> Quarantined and deleted successfully.
C:\WINDOWS\Tasks\{66BA574B-1E11-49b8-909C-8CC9E0E8E015}.job (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\sdra64.exe (Spyware.Zbot) -> Delete on reboot.
C:\WINDOWS\Tasks\{35DC3473-A719-4d14-B7C1-FD326CA84A0C}.job (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\Documents and Settings\Carlos\Local Settings\Application Data\ave.exe (Rogue.MultipleAV) -> Quarantined and deleted successfully.
C:\Documents and Settings\Carlos\joateo.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\Documents and Settings\Carlos\Local Settings\Temp\Bhw.exe (Trojan.FraudPack) -> Quarantined and deleted successfully.
C:\Documents and Settings\Carlos\Local Settings\Temp\Bhx.exe (Trojan.FraudPack) -> Quarantined and deleted successfully.

Mensaje por **Menfis** » Dom Abr 18, 2010 10:19 pm

Gracias por la info, me pasó algo parecido con una PC la cual desinfectándola con AVG y Malwarebytes Anti-Malware logra desinfectarla pero no del todo, ya que al reiniciar aun quedaba infectada con un Worm.

Me llamó la atención lo que comentas que el virus está integrado al Windows, podrías comentar que Windows y SP tenía?

YouTube · Mensaje por **LeThe** » Dom Abr 18, 2010 11:33 pm

Windows XP SP3.

Lo que he notado es que algunos de estos virus nuevos eliminan un archivo importante de Windows, digamos un controlador o un archivo del sistema. Entonces al eliminar el virus, Windows requiere de este archivo, no un reemplazo, y ocurre un grave error. Esta PC estaba tan infectada que cuando elimine el archivo infectado solo salia la pantalla azul. Por suerte yo habia respaldado todos los archivos y el cliente no queria desinfectarla pero formatear e instalar otro SO.

simonviejo · Mensaje por **simonviejo** » Jue Abr 22, 2010 9:18 pm

Casualmente hoy tuve un problema muy similar; se trataba de Antispyware 2010. Hice todo lo posible por eliminar la infeccion; al final conecte el disco como esclavo a otra PC; luego cuando inslale de nuevo el disco me salio la pantalla azul.

Estaba tratando de comprender la razon del pantallazo; ahora veo, por lo que explca Lethe, que el virus se lleva algun archivo de Windows. Me pregunto: sera posible reparar el Windows con el disco de instalacion????

Mensaje por **Menfis** » Jue Abr 22, 2010 10:38 pm

Debería de arreglar el Windows con la reparación ya que copia nuevamente los archivos faltantes, en algunas ocasiones que he intentado reparar no ha logrado copiar archivos faltantes o corruptos ya sea por virus o por otra circunstancia, sería saludable ondar en el tema.

Foro de LeThe Online y Joshua Marius