Foro de LeThe Online y Joshua Marius

Tuve un cliente cual me informo que tenia una infeccion y que el unico nombre cual recordo fue Palladium. Aqui le dejo los logs de AVG y Malwarebytes Antimalware. Pasando estos funciono, pero como quiera el Virus seguia saliendo y AVG eliminaba la misma infeccion muchas veces. Use Hijackthis y el Process Explorer para eliminar y detener ciertos procesos y finalmente elimine el archivo cual estaba creando de nuevo los archivos infectados. En mi caso, el archivo era el c:\Users\usuario\AppData\Roaming\K30eq.exe El virus parece que usa archivos de java con extension .js para re-generarse.

Log de AVG - Cortado un Poco
"Trojan horse Generic20.CLEL" "c:\Users\usuario\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\S5I7KZP1\cbta[1].exe" "Object is inaccessible." "2/10/2011, 6:03:53 PM" "file" "C:\Windows\System32\WScript.exe"
"Trojan horse Generic20.CLEL" "c:\Users\usuario\AppData\Roaming\SPYxTDcp.exe" "Object is inaccessible." "2/10/2011, 6:26:28 PM" "file" "C:\Windows\explorer.exe"
"Trojan horse Generic20.CLEL" "c:\Users\usuario\AppData\Roaming\ny1aw7Egt.exe" "Moved to Virus Vault" "2/10/2011, 6:27:34 PM" "file" "C:\Windows\explorer.exe"
"Trojan horse Generic20.CLEL" "c:\Users\usuario\AppData\Roaming\M0NC26fCp6.exe"
"Trojan horse Generic20.CLEL" "c:\Users\usuario\AppData\Roaming\oxFakBqj4V.exe"
"Trojan horse Generic20.CLEL" "c:\Users\usuario\AppData\Roaming\ZxAH07.exe"
"Trojan horse Generic20.CLEL" "c:\Users\usuario\AppData\Roaming\mkOKMndt0f.exe"
"Trojan horse Generic20.CLEL" "c:\Users\usuario\AppData\Roaming\LZMvVvpLH.exe"
"Trojan horse Generic20.CLEL" "c:\Users\usuario\AppData\Roaming\ZMKzNDnW.exe"
"Trojan horse Generic20.CLEL" "c:\Users\usuario\AppData\Roaming\jn85J6xx6x.exe"
"Trojan horse Generic20.CLEL" "c:\Users\usuario\AppData\Roaming\Auf2cw.exe"
"Trojan horse Generic20.CLEL" "c:\Users\usuario\AppData\Roaming\ny1aw7Egt.exe"
"Trojan horse Generic20.CLEL" "c:\Users\usuario\AppData\Roaming\aQO0f6lDda.exe"
"Trojan horse Generic20.CLEL" "c:\Users\usuario\AppData\Roaming\aonX5.exe"
"Trojan horse Generic20.CLEL" "c:\Users\usuario\AppData\Roaming\aIFti.exe"
"Trojan horse Generic20.CLEL" "c:\Users\usuario\AppData\Roaming\xgcjhFb.exe"
"Trojan horse Generic20.CLEL" "c:\Users\usuario\AppData\Roaming\OB2WGO.exe"

Log de AVG
Memory Processes Infected: 1
Memory Modules Infected: 0
Registry Keys Infected: 0
Registry Values Infected: 1
Registry Data Items Infected: 0
Folders Infected: 0
Files Infected: 73

Memory Processes Infected:
c:\Users\usuario\AppData\Roaming\palladium.exe (Trojan.Dropper) -> 1188 -> Unloaded process successfully.

Memory Modules Infected:
(No malicious items detected)

Registry Keys Infected:
(No malicious items detected)

Registry Values Infected:
HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell (Rogue.Palladium) -> Value: Shell

Registry Data Items Infected:
(No malicious items detected)

Folders Infected:
(No malicious items detected)

Files Infected:
c:\Users\usuario\AppData\Roaming\palladium.exe (Trojan.Dropper)
c:\Users\usuario\AppData\Roaming\aIFti.exe (Trojan.Downloader)
c:\Users\usuario\AppData\Roaming\aonX5.exe (Trojan.Downloader)
c:\Users\usuario\AppData\Roaming\aqo0f6ldda.exe (Trojan.Downloader)
c:\Users\usuario\AppData\Roaming\Auf2cw.exe (Trojan.Downloader)
c:\Users\usuario\AppData\Roaming\j7h4s1u.exe (Trojan.Downloader)
c:\Users\usuario\AppData\Roaming\jBCVf.exe (Trojan.Downloader)
c:\Users\usuario\AppData\Roaming\je5jyZ.exe (Trojan.Downloader)
c:\Users\usuario\AppData\Roaming\pz5183nekj.exe (Trojan.Downloader)
c:\Users\usuario\AppData\Roaming\qm49v06zr1.exe (Trojan.Downloader)
c:\Users\usuario\AppData\Roaming\QpIs7R8u.exe (Trojan.Downloader)
c:\Users\usuario\AppData\Roaming\qvxuejsiy2.exe (Trojan.Downloader)
c:\Users\usuario\AppData\Roaming\Dw0bm3.exe (Trojan.Downloader)
c:\Users\usuario\AppData\Roaming\e99pNXKY.exe (Trojan.Downloader)
c:\Users\usuario\AppData\Roaming\TvYBeh.exe (Trojan.Downloader)
c:\Users\usuario\AppData\Roaming\umjoacx6d.exe (Trojan.Downloader)
c:\Users\usuario\AppData\Roaming\LJrZPIwr.exe (Trojan.Downloader)
c:\Users\usuario\AppData\Roaming\lxshdsh1a.exe (Trojan.Downloader)
c:\Users\usuario\AppData\Roaming\VyjoMD01.exe (Trojan.Downloader)
c:\Users\usuario\AppData\Roaming\W5eJptB.exe (Trojan.Downloader)
c:\Users\usuario\AppData\Roaming\wbj418m.exe (Trojan.Downloader)
c:\Users\usuario\AppData\Roaming\o6WnFu.exe (Trojan.Downloader)
c:\Users\usuario\AppData\Roaming\OBHJlvEN.exe (Trojan.Downloader)
c:\Users\usuario\AppData\Roaming\of6dimmdg.exe (Trojan.Downloader)
c:\Users\usuario\AppData\Roaming\opvnyfw3u.exe (Trojan.Downloader)
c:\Users\usuario\AppData\Roaming\gnuekcjpve.exe (Trojan.Downloader)
c:\Users\usuario\AppData\Roaming\gTGNqj.exe (Trojan.Downloader)
c:\Users\usuario\AppData\Roaming\GUGSbZKP.exe (Trojan.Downloader)
c:\Users\usuario\AppData\Roaming\gznlvi8gf.exe (Trojan.Downloader)
c:\Users\usuario\AppData\Roaming\YyNCE.exe (Trojan.Downloader)
c:\Users\usuario\AppData\Roaming\z69VOp9.exe (Trojan.Downloader)
c:\Users\usuario\AppData\Roaming\Zh3fD37N.exe (Trojan.Downloader)
c:\Users\usuario\AppData\Roaming\zLew5bb.exe (Trojan.Downloader)
c:\Users\usuario\AppData\Roaming\cfj5a3q9bn.exe (Trojan.Downloader)
c:\Users\usuario\AppData\Roaming\CSWkPv4.exe (Trojan.Downloader)
c:\Users\usuario\AppData\Roaming\uvBFfc.exe (Trojan.Downloader)
c:\Users\usuario\AppData\Roaming\uyrk9fxoc.exe (Trojan.Downloader)
c:\Users\usuario\AppData\Roaming\Vcc3W.exe (Trojan.Downloader)
c:\Users\usuario\AppData\Roaming\karvciqiu.exe (Trojan.Downloader)
c:\Users\usuario\AppData\Roaming\kdswbbomdp.exe (Trojan.Downloader)
c:\Users\usuario\AppData\Roaming\kfsespxnq.exe (Trojan.Downloader)
c:\Users\usuario\AppData\Roaming\kVM0ehX.exe (Trojan.Downloader)
c:\Users\usuario\AppData\Roaming\l4vrb0amg.exe (Trojan.Downloader)
c:\Users\usuario\AppData\Roaming\eebulnu1s.exe (Trojan.Downloader)
c:\Users\usuario\AppData\Roaming\EgJwj.exe (Trojan.Downloader)
c:\Users\usuario\AppData\Roaming\rdbjwdz95w.exe (Trojan.Downloader)
c:\Users\usuario\AppData\Roaming\RddpyQ.exe (Trojan.Downloader)
c:\Users\usuario\AppData\Roaming\rgNOnn.exe (Trojan.Downloader)
c:\Users\usuario\AppData\Roaming\i9EaUJ.exe (Trojan.Downloader)
c:\Users\usuario\AppData\Roaming\Ws3Ba10.exe (Trojan.Downloader)
c:\Users\usuario\AppData\Roaming\X40KlMKn.exe (Trojan.Downloader)
c:\Users\usuario\AppData\Roaming\XBK1nUGJ.exe (Trojan.Downloader)
c:\Users\usuario\AppData\Roaming\xdiatfttt.exe (Trojan.Downloader)
c:\Users\usuario\AppData\Roaming\ovy8kmdsg3.exe (Trojan.Downloader)
c:\Users\usuario\AppData\Roaming\p8X7MaWf.exe (Trojan.Downloader)
c:\Users\usuario\AppData\Roaming\PlHkS.exe (Trojan.Downloader)
c:\Users\usuario\AppData\Roaming\mDiTn1gj.exe (Trojan.Downloader)
c:\Users\usuario\AppData\Roaming\mz5osvnn95.exe (Trojan.Downloader)
c:\Users\usuario\AppData\Roaming\nAJtuZVG.exe (Trojan.Downloader)
c:\Users\usuario\AppData\Roaming\naudcyvdyo.exe (Trojan.Downloader)
c:\Users\usuario\AppData\Roaming\sl3qjOz.exe (Trojan.Downloader)
c:\Users\usuario\AppData\Roaming\ex5vKwA.exe (Trojan.Downloader)
c:\Users\usuario\AppData\Roaming\faRmm.exe (Trojan.Downloader)
c:\Users\usuario\AppData\Roaming\fgzkqhych4.exe (Trojan.Downloader)
c:\Users\usuario\AppData\Roaming\FLCjQee6.exe (Trojan.Downloader)
c:\Users\usuario\AppData\Roaming\fnE2eu.exe (Trojan.Downloader)
c:\Users\usuario\AppData\Roaming\FPe7e.exe (Trojan.Downloader)
c:\Users\usuario\AppData\Roaming\FXdx1zEF.exe (Trojan.Downloader)
c:\Users\usuario\AppData\Roaming\xyy1efoono.exe (Trojan.Downloader)
c:\Users\usuario\AppData\Roaming\yaho.exe (Rootkit.TDSS)
c:\Users\usuario\AppData\Roaming\yl6Mc.exe (Trojan.Downloader)
c:\Users\usuario\local settings\temporary internet files\Content.IE5\S5I7KZP1\cbta[1].exe (Trojan.Downloader)
c:\Users\usuario\AppData\Roaming\microsoft\Windows\start menu\Programs\palladium for windows.lnk (Rogue.Palladium)

Muy interesante, a tenerlo a la mano, gracias por compartir la info.

Use Hijackthis y el Process Explorer para eliminar y detener ciertos procesos y finalmente elimine el archivo cual estaba creando de nuevo los archivos

Muy buena "pista" maestro, muchas gracias por la precisa informaciòn.
Estas "pistas", "trucos", o como quieran llamarlo es de lo màs instructivo en mi modesta opiniòn. ¡A tomar nota.!

c:\Users\usuario\AppData\Roaming\K30eq.exe El virus parece que usa archivos de java con extension .js para re-generarse.

Y claro a tomar nota del dato concreto.
Se me ocurre que al utilizar el "java", bien pudiera "colarse el bicho" mediante los programas gestores de descargas basados en java como son el Jdownloader, el Mypony etc.

Gracias y saludos