Tuve un cliente cual me informo que tenia una infeccion y que el unico nombre cual recordo fue Palladium. Aqui le dejo los logs de AVG y Malwarebytes Antimalware. Pasando estos funciono, pero como quiera el Virus seguia saliendo y AVG eliminaba la misma infeccion muchas veces. Use Hijackthis y el Process Explorer para eliminar y detener ciertos procesos y finalmente elimine el archivo cual estaba creando de nuevo los archivos infectados. En mi caso, el archivo era el c:\Users\usuario\AppData\Roaming\K30eq.exe El virus parece que usa archivos de java con extension .js para re-generarse.
Log de AVG - Cortado un Poco
"Trojan horse Generic20.CLEL" "c:\Users\usuario\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\S5I7KZP1\cbta[1].exe" "Object is inaccessible." "2/10/2011, 6:03:53 PM" "file" "C:\Windows\System32\WScript.exe"
"Trojan horse Generic20.CLEL" "c:\Users\usuario\AppData\Roaming\SPYxTDcp.exe" "Object is inaccessible." "2/10/2011, 6:26:28 PM" "file" "C:\Windows\explorer.exe"
"Trojan horse Generic20.CLEL" "c:\Users\usuario\AppData\Roaming\ny1aw7Egt.exe" "Moved to Virus Vault" "2/10/2011, 6:27:34 PM" "file" "C:\Windows\explorer.exe"
"Trojan horse Generic20.CLEL" "c:\Users\usuario\AppData\Roaming\M0NC26fCp6.exe"
"Trojan horse Generic20.CLEL" "c:\Users\usuario\AppData\Roaming\oxFakBqj4V.exe"
"Trojan horse Generic20.CLEL" "c:\Users\usuario\AppData\Roaming\ZxAH07.exe"
"Trojan horse Generic20.CLEL" "c:\Users\usuario\AppData\Roaming\mkOKMndt0f.exe"
"Trojan horse Generic20.CLEL" "c:\Users\usuario\AppData\Roaming\LZMvVvpLH.exe"
"Trojan horse Generic20.CLEL" "c:\Users\usuario\AppData\Roaming\ZMKzNDnW.exe"
"Trojan horse Generic20.CLEL" "c:\Users\usuario\AppData\Roaming\jn85J6xx6x.exe"
"Trojan horse Generic20.CLEL" "c:\Users\usuario\AppData\Roaming\Auf2cw.exe"
"Trojan horse Generic20.CLEL" "c:\Users\usuario\AppData\Roaming\ny1aw7Egt.exe"
"Trojan horse Generic20.CLEL" "c:\Users\usuario\AppData\Roaming\aQO0f6lDda.exe"
"Trojan horse Generic20.CLEL" "c:\Users\usuario\AppData\Roaming\aonX5.exe"
"Trojan horse Generic20.CLEL" "c:\Users\usuario\AppData\Roaming\aIFti.exe"
"Trojan horse Generic20.CLEL" "c:\Users\usuario\AppData\Roaming\xgcjhFb.exe"
"Trojan horse Generic20.CLEL" "c:\Users\usuario\AppData\Roaming\OB2WGO.exe"
Log de AVG
Memory Processes Infected: 1
Memory Modules Infected: 0
Registry Keys Infected: 0
Registry Values Infected: 1
Registry Data Items Infected: 0
Folders Infected: 0
Files Infected: 73
Memory Processes Infected:
c:\Users\usuario\AppData\Roaming\palladium.exe (Trojan.Dropper) -> 1188 -> Unloaded process successfully.
Memory Modules Infected:
(No malicious items detected)
Registry Keys Infected:
(No malicious items detected)
Registry Values Infected:
HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell (Rogue.Palladium) -> Value: Shell
Registry Data Items Infected:
(No malicious items detected)
Folders Infected:
(No malicious items detected)
Files Infected:
c:\Users\usuario\AppData\Roaming\palladium.exe (Trojan.Dropper)
c:\Users\usuario\AppData\Roaming\aIFti.exe (Trojan.Downloader)
c:\Users\usuario\AppData\Roaming\aonX5.exe (Trojan.Downloader)
c:\Users\usuario\AppData\Roaming\aqo0f6ldda.exe (Trojan.Downloader)
c:\Users\usuario\AppData\Roaming\Auf2cw.exe (Trojan.Downloader)
c:\Users\usuario\AppData\Roaming\j7h4s1u.exe (Trojan.Downloader)
c:\Users\usuario\AppData\Roaming\jBCVf.exe (Trojan.Downloader)
c:\Users\usuario\AppData\Roaming\je5jyZ.exe (Trojan.Downloader)
c:\Users\usuario\AppData\Roaming\pz5183nekj.exe (Trojan.Downloader)
c:\Users\usuario\AppData\Roaming\qm49v06zr1.exe (Trojan.Downloader)
c:\Users\usuario\AppData\Roaming\QpIs7R8u.exe (Trojan.Downloader)
c:\Users\usuario\AppData\Roaming\qvxuejsiy2.exe (Trojan.Downloader)
c:\Users\usuario\AppData\Roaming\Dw0bm3.exe (Trojan.Downloader)
c:\Users\usuario\AppData\Roaming\e99pNXKY.exe (Trojan.Downloader)
c:\Users\usuario\AppData\Roaming\TvYBeh.exe (Trojan.Downloader)
c:\Users\usuario\AppData\Roaming\umjoacx6d.exe (Trojan.Downloader)
c:\Users\usuario\AppData\Roaming\LJrZPIwr.exe (Trojan.Downloader)
c:\Users\usuario\AppData\Roaming\lxshdsh1a.exe (Trojan.Downloader)
c:\Users\usuario\AppData\Roaming\VyjoMD01.exe (Trojan.Downloader)
c:\Users\usuario\AppData\Roaming\W5eJptB.exe (Trojan.Downloader)
c:\Users\usuario\AppData\Roaming\wbj418m.exe (Trojan.Downloader)
c:\Users\usuario\AppData\Roaming\o6WnFu.exe (Trojan.Downloader)
c:\Users\usuario\AppData\Roaming\OBHJlvEN.exe (Trojan.Downloader)
c:\Users\usuario\AppData\Roaming\of6dimmdg.exe (Trojan.Downloader)
c:\Users\usuario\AppData\Roaming\opvnyfw3u.exe (Trojan.Downloader)
c:\Users\usuario\AppData\Roaming\gnuekcjpve.exe (Trojan.Downloader)
c:\Users\usuario\AppData\Roaming\gTGNqj.exe (Trojan.Downloader)
c:\Users\usuario\AppData\Roaming\GUGSbZKP.exe (Trojan.Downloader)
c:\Users\usuario\AppData\Roaming\gznlvi8gf.exe (Trojan.Downloader)
c:\Users\usuario\AppData\Roaming\YyNCE.exe (Trojan.Downloader)
c:\Users\usuario\AppData\Roaming\z69VOp9.exe (Trojan.Downloader)
c:\Users\usuario\AppData\Roaming\Zh3fD37N.exe (Trojan.Downloader)
c:\Users\usuario\AppData\Roaming\zLew5bb.exe (Trojan.Downloader)
c:\Users\usuario\AppData\Roaming\cfj5a3q9bn.exe (Trojan.Downloader)
c:\Users\usuario\AppData\Roaming\CSWkPv4.exe (Trojan.Downloader)
c:\Users\usuario\AppData\Roaming\uvBFfc.exe (Trojan.Downloader)
c:\Users\usuario\AppData\Roaming\uyrk9fxoc.exe (Trojan.Downloader)
c:\Users\usuario\AppData\Roaming\Vcc3W.exe (Trojan.Downloader)
c:\Users\usuario\AppData\Roaming\karvciqiu.exe (Trojan.Downloader)
c:\Users\usuario\AppData\Roaming\kdswbbomdp.exe (Trojan.Downloader)
c:\Users\usuario\AppData\Roaming\kfsespxnq.exe (Trojan.Downloader)
c:\Users\usuario\AppData\Roaming\kVM0ehX.exe (Trojan.Downloader)
c:\Users\usuario\AppData\Roaming\l4vrb0amg.exe (Trojan.Downloader)
c:\Users\usuario\AppData\Roaming\eebulnu1s.exe (Trojan.Downloader)
c:\Users\usuario\AppData\Roaming\EgJwj.exe (Trojan.Downloader)
c:\Users\usuario\AppData\Roaming\rdbjwdz95w.exe (Trojan.Downloader)
c:\Users\usuario\AppData\Roaming\RddpyQ.exe (Trojan.Downloader)
c:\Users\usuario\AppData\Roaming\rgNOnn.exe (Trojan.Downloader)
c:\Users\usuario\AppData\Roaming\i9EaUJ.exe (Trojan.Downloader)
c:\Users\usuario\AppData\Roaming\Ws3Ba10.exe (Trojan.Downloader)
c:\Users\usuario\AppData\Roaming\X40KlMKn.exe (Trojan.Downloader)
c:\Users\usuario\AppData\Roaming\XBK1nUGJ.exe (Trojan.Downloader)
c:\Users\usuario\AppData\Roaming\xdiatfttt.exe (Trojan.Downloader)
c:\Users\usuario\AppData\Roaming\ovy8kmdsg3.exe (Trojan.Downloader)
c:\Users\usuario\AppData\Roaming\p8X7MaWf.exe (Trojan.Downloader)
c:\Users\usuario\AppData\Roaming\PlHkS.exe (Trojan.Downloader)
c:\Users\usuario\AppData\Roaming\mDiTn1gj.exe (Trojan.Downloader)
c:\Users\usuario\AppData\Roaming\mz5osvnn95.exe (Trojan.Downloader)
c:\Users\usuario\AppData\Roaming\nAJtuZVG.exe (Trojan.Downloader)
c:\Users\usuario\AppData\Roaming\naudcyvdyo.exe (Trojan.Downloader)
c:\Users\usuario\AppData\Roaming\sl3qjOz.exe (Trojan.Downloader)
c:\Users\usuario\AppData\Roaming\ex5vKwA.exe (Trojan.Downloader)
c:\Users\usuario\AppData\Roaming\faRmm.exe (Trojan.Downloader)
c:\Users\usuario\AppData\Roaming\fgzkqhych4.exe (Trojan.Downloader)
c:\Users\usuario\AppData\Roaming\FLCjQee6.exe (Trojan.Downloader)
c:\Users\usuario\AppData\Roaming\fnE2eu.exe (Trojan.Downloader)
c:\Users\usuario\AppData\Roaming\FPe7e.exe (Trojan.Downloader)
c:\Users\usuario\AppData\Roaming\FXdx1zEF.exe (Trojan.Downloader)
c:\Users\usuario\AppData\Roaming\xyy1efoono.exe (Trojan.Downloader)
c:\Users\usuario\AppData\Roaming\yaho.exe (Rootkit.TDSS)
c:\Users\usuario\AppData\Roaming\yl6Mc.exe (Trojan.Downloader)
c:\Users\usuario\local settings\temporary internet files\Content.IE5\S5I7KZP1\cbta[1].exe (Trojan.Downloader)
c:\Users\usuario\AppData\Roaming\microsoft\Windows\start menu\Programs\palladium for windows.lnk (Rogue.Palladium)
Virus Palladium
-
LeThe
- Site Admin
- Mensajes: 7046
- Registrado: Vie Jun 15, 2007 5:11 pm
- Ubicación: Florida, Estados Unidos
- Contactar:
Virus Palladium
Ing. Joshua Marius
Windows 10 Pro x64 20H2
Intel Core i7-3770K, 4.5 Ghz
ASUS P8Z68-V LX
Disco 1: Samsung SSD 850 EVO 500 GB
RAID 1: Seagate ST3000DM001 3TB
CORSAIR Vengeance 16 GB DDR3 1600
NVIDIA GeForce GTX 1060
Windows 10 Pro x64 20H2
Intel Core i7-3770K, 4.5 Ghz
ASUS P8Z68-V LX
Disco 1: Samsung SSD 850 EVO 500 GB
RAID 1: Seagate ST3000DM001 3TB
CORSAIR Vengeance 16 GB DDR3 1600
NVIDIA GeForce GTX 1060
Re: Virus Palladium
Muy interesante, a tenerlo a la mano, gracias por compartir la info.
No hay que empezar siempre por la noción primera de las cosas que se estudian,
sino por aquello que puede facilitar el aprendizaje.
sino por aquello que puede facilitar el aprendizaje.
-
paulofutre
- Mensajes: 3708
- Registrado: Mar Sep 11, 2007 4:18 am
- Ubicación: MADRID
Re: Virus Palladium
Use Hijackthis y el Process Explorer para eliminar y detener ciertos procesos y finalmente elimine el archivo cual estaba creando de nuevo los archivos
Muy buena "pista" maestro, muchas gracias por la precisa informaciòn.Estas "pistas", "trucos", o como quieran llamarlo es de lo màs instructivo en mi modesta opiniòn. ¡A tomar nota.!
Y claro a tomar nota del dato concreto.c:\Users\usuario\AppData\Roaming\K30eq.exe El virus parece que usa archivos de java con extension .js para re-generarse.
Se me ocurre que al utilizar el "java", bien pudiera "colarse el bicho" mediante los programas gestores de descargas basados en java como son el Jdownloader, el Mypony etc.
Gracias y saludos
Saludos y ♪Forzatleti♫