Mensajes

Hola WiseHidden, una vez tengas creado el reporte, intenta guardarlo en el escritorio.
Si reemplaza el log es porque existe, una vez tengas el scan hecho, mira de guardar el LOG en el escritorio desde el boton "Save log", a unas malas cambiale el nombre al archivo que crea, por ejemplo "wise.log".

Has probado a pasar alguna herramienta de desinfección?
Intenta pasar Malwarebytes y TDSSKiller a ver que encuentran...

Malwarebytes: http://download.cnet.com/Malwarebytes-Anti-Malware/3000-8022_4-10804572.html?part=dl-10804572&subj=dl&tag=button

TDSSKiller: http://support.kaspersky.com/sp/faq/?qid=208280686

Hitman Pro (analisis en la nube): http://www.surfright.nl/en/hitmanpro
(Elige el modo SIN instalación, es portable)

Me funcionó cuando se queda colgado el navegador o cualquier otro problema.
Si se reinicia el navegador y no guardas historial y demás creo no se podría, ya no estarian disponibles esos datos.

Si necesitas el editor te dejo el link, es free y si lo quieres esta en version portable:

http://mh-nexus.de/en/downloads.php?product=HxD

Ahí eliges idioma y version.

Hola me ha pasado alguna vez esto que comentais y acudí a un editor hexadecimal, (HxD en concreto), puedes usar otro cualquiera que lea la ram del sistema.
Abres la ram con el editor, buscas el proceso, por ejemplo firefox y ahí estará todo lo que has escrito, no se si es eso a lo que te referias.

Hola batexito, si persiste que se habra cualquier pagina, si usas firefox busca en el "about:config", ahí modificas esa url por la de google o tu buscador favorito. Pasaba lo mismo con la barra de Facemoods que modificaba el about:config del navegador.

Hola Skapunky lo he subido a Fileserve con cuenta registrada, Multiupload no me funciona, no carga.

Aqui el proyecto:

http://www.fileserve.com/file/TVRU7cy/Proyecto analisis infeccion Skapunky.rar

Aqui decompilado:

http://www.fileserve.com/file/PgEXUZZ/kj33ks decompilado.rar

Putada enorme lo de megaupload, con lo que tenia subido a ese servidor...
En fin, buscaremos alternativas pero a este paso nos tendremos que fabricar un server casero.

PD2: Si alguien me lo sube revisare el link, si tiene algo que no es mi taller, o es mi taller con un "amijito" ya puede correr. 

Sabes de sobras que no lo haría, por cierto en breve te subo el AIO compilado, ya estan todos los programas, estoy revisando y pruebas en tu w7 x64, yo lo estoy haciendo en el mio, ya hablaremos.

[Segue em anexo o comprovante de depósito em sua conta corrente.]

Hoy me encontré este correo de parte de un contacto y bueno analicé un poco los archivos y encontré lo siguiente:

Cita del mensaje:
Segue em anexo o comprovante de depósito em sua conta corrente.

Aqui el codigo fuente:

Código [Seleccionar] Expandir

x-store-info:4r51+eLowCe79NzwdU2kRyU+pBy2R9QCTJuRFCxvGsoxm+RIG1Qs+ROPj8eKukn2kW1bviD12a26uvM/wNXQrPRz5lPTwd5t0qoJWbDwAIxx1S6JKkxymw==
Authentication-Results: hotmail.com; sender-id=softfail (sender IP is 69.164.222.202) header.from=         @hotmail.com; dkim=none header.d=hotmail.com; x-hmca=fail
X-Message-Status: n:0:n
X-SID-PRA: financeiro@ddprag.com.br <          @hotmail.com>
X-SID-Result: SoftFail
X-DKIM-Result: None
X-AUTH-Result: FAIL
X-Message-Delivery: Vj0xLjE7dXM9MDtsPTA7YT0wO0Q9MjtHRD0yO1NDTD02
X-Message-Info: 11chDOWqoTmjqhOzvWWho7JRFyayOF2GOwYRpr8Z3iGGzkINWxzdCRrFnGOL3C5DcuR1i+LlvOhGCLviNjXtGP086YnxN83M6SrC2zrOZnouq8RKw4rY9eQl+aamBs8k
Received: from li137-202.members.linode.com ([69.164.222.202]) by COL0-MC2-F16.Col0.hotmail.com with Microsoft SMTPSVC(6.0.3790.4900);
Sun, 29 Jan 2012 14:05:53 -0800
Received: from li137-202.members.linode.com (localhost [127.0.0.1])
by li137-202.members.linode.com (8.14.3/8.14.3/Debian-9.4) with ESMTP id q0TM5r0o000640
for <Tocallo106@hotmail.com>; Sun, 29 Jan 2012 17:05:53 -0500
Received: (from www-data@localhost)
by li137-202.members.linode.com (8.14.3/8.14.3/Submit) id q0TM5rFt000639;
Sun, 29 Jan 2012 17:05:53 -0500
Date: Sun, 29 Jan 2012 17:05:53 -0500
Message-Id: <201201292205.q0TM5rFt000639@li137-202.members.linode.com>
To:         @hotmail.com
Subject: Segue em anexo o comprovante de depósito em sua conta corrente.
X-PHP-Originating-Script: 0:index.php
MIME-Version: 1.0
Content-type: text/html; charset=iso-8859-1
From: "financeiro@ddprag.com.br" <         @hotmail.com>
Return-Path: www-data@debian
X-OriginalArrivalTime: 29 Jan 2012 22:05:54.0165 (UTC) FILETIME=[2B86BA50:01CCDED2]

</head>
<body bgcolor="#ffffff">
<img name="comprovante" src="http://s3.amazonaws.com/Comprovanteonline/comprovante.jpg" width="1249" height="356" border="0" id="comprovante" usemap="#m_comprovante" alt="" /><map name="m_comprovante" id="m_comprovante">
<area shape="rect" coords="8,0,215,149" href="http://s3.amazonaws.com/Comprovanteonline/Comprovante_Deposito.pdf.exe" title="Comprovante_Deposito.pdf" alt="Comprovante_Deposito.pdf" />
</map>
</body>
</html>

Doble extensión en el archivo a descargar:

:http://s3.amazonaws.com/Comprovanteonline/Comprovante_Deposito.pdf.exe

Al ver los Resources desde el PE Explorer nos encontramos esto tanto curioso:

Código [Seleccionar] Expandir

// <DFM>  TFORM1 = class(TForm);

object Form1: TForm1
  Left = 221
  Top = 121
  BorderStyle = bsNone
  Caption = 'Euro Currency Convertor'
  ClientHeight = 584
  ClientWidth = 1171
  Color = clBtnFace
  Font.Charset = ANSI_CHARSET
  Font.Color = clWindowText
  Font.Height = -12
  Font.Name = 'MS Sans Serif'
  Font.Style = []
  OldCreateOrder = False
  OnCreate = FormCreate
  OnShow = FormShow
  PixelsPerInch = 96
  TextHeight = 13
  object EuroLabel: TLabel
    Left = 170
    Top = 48
    Width = 48
    Height = 13
    Caption = 'EuroLabel'
  end
  object BEFLabel: TLabel
    Left = 170
    Top = 78
    Width = 46
    Height = 13
    Caption = 'BEFLabel'
  end
  object CurrLabel: TLabel
    Left = 110
    Top = 14
    Width = 45
    Height = 13
    Caption = 'CurrLabel'
  end
  object Label2: TLabel
    Left = 170
    Top = 14
    Width = 34
    Height = 13
    Caption = 'equals:'
  end
  object Label5: TLabel
    Left = 246
    Top = 48
    Width = 22
    Height = 13
    Caption = 'Euro'
  end
  object Label6: TLabel
    Left = 246
    Top = 78
    Width = 20
    Height = 13
    Caption = 'BEF'
  end
  object Image1: TImage
    Left = 24
    Top = 176
    Width = 241
    Height = 145
  end
  object Image2: TImage
    Left = 376
    Top = 104
    Width = 105
    Height = 105
  end
  object InputEdit: TEdit
    Left = 7
    Top = 9
    Width = 88
    Height = 21
    TabOrder = 0
    Text = '100'
  end
  object EuroButton: TButton
    Left = 383
    Top = 333
    Width = 354
    Height = 96
    Caption = 'Euro -- BEF'
    TabOrder = 1
    OnClick = EuroButtonClick
  end
  object BEFButton: TButton
    Left = 7
    Top = 74
    Width = 411
    Height = 235
    Caption = 'BEF -- Euro'
    TabOrder = 2
    OnClick = BEFButtonClick
  end
  object Button1: TButton
    Left = 160
    Top = 96
    Width = 75
    Height = 25
    Caption = 'Button1'
    TabOrder = 3
    OnClick = Button1Click
  end
  object Edit1: TEdit
    Left = 97
    Top = 288
    Width = 121
    Height = 21
    TabOrder = 4
    Text = 'http://s3.amazonaws.com/marinho/wmi.dll'
  end
  object Edit2: TEdit
    Left = 264
    Top = 208
    Width = 121
    Height = 21
    TabOrder = 5
    Text = 'c:\winsys\wmi.dll'
  end
  object Edit3: TEdit
    Left = 272
    Top = 232
    Width = 121
    Height = 21
    TabOrder = 6
    Text = 'http://s3.amazonaws.com/marinho/wmsan.exe'
  end
  object Edit4: TEdit
    Left = 114
    Top = 360
    Width = 121
    Height = 21
    TabOrder = 7
    Text = 'c:\winsys\wmsan.exe'
  end
  object Edit5: TEdit
    Left = 83
    Top = 208
    Width = 121
    Height = 21
    TabOrder = 8
    Text = 'http://s3.amazonaws.com/marinho/wsan.exe'
  end
  object Edit6: TEdit
    Left = 424
    Top = 232
    Width = 121
    Height = 21
    TabOrder = 9
    Text = 'c:\winsys\wsan.exe'
  end
  object Edit7: TEdit
    Left = 360
    Top = 333
    Width = 121
    Height = 21
    TabOrder = 10
    Text = 'http://s3.amazonaws.com/marinho/wmita.exe'
  end
  object Edit8: TEdit
    Left = 640
    Top = 136
    Width = 121
    Height = 21
    TabOrder = 11
    Text = 'c:\winsys\wmita.exe'
  end
  object Edit9: TEdit
    Left = 704
    Top = 333
    Width = 121
    Height = 21
    TabOrder = 12
    Text = 'http://s3.amazonaws.com/marinho/BROWN.exe'
  end
  object Edit10: TEdit
    Left = 608
    Top = 483
    Width = 121
    Height = 21
    TabOrder = 13
    Text = 'c:\winsys\BROWN.exe'
  end
  object Timer1: TTimer
    Interval = 100
    OnTimer = Timer1Timer
    Left = 272
    Top = 56
  end
end


Código [Seleccionar] Expandir

UPX0 / UPX1

Código [Seleccionar] Expandir

Borland Edition (c) 2004 - 2008 Pierre le Riche / Professional Software Development

Código [Seleccionar] Expandir

This program must be run under Win32..$7


El analisis fue mas bien estatico, no lo ejecute, pero con un hexa o PE Explorer se ven las rutas, archivos que crea, otros que descarga.
Crea una carpeta oculta al administrador en:

c:\winsys\

Donde se alojan los demas ejecutables:

c:\winsys\BROWN.exe

c:\winsys\wmita.exe

c:\winsys\wsan.exe

c:\winsys\wmsan.exe

c:\winsys\wmi.dll


Aqui algunas capturas:








Analisis online:

Analisis Anubis: http://anubis.iseclab.org/?action=result&task_id=1ac567298a7aa0ef49991a1b01813af36&call=first

Analisis VirusTotal:  https://www.virustotal.com/file/24030137d3bf55a81b687bc3df719a8c5708e35fb1232eec94ae5b9ae59b2370/analysis/1327946094/

Pd: Antes de subirlo a VirusTotal la tasa era 22/41, en este ultimo scan la tasa baja a 19, con lo que lo van modificando aunque no queda FUD a todos los AV´s.

Malwarebytes solo detecta el archivo BROWN.exe (heuristics shuriken), de los demas no dice nada.

Saludos.

Hay varios temas con errores en por corrupcion del fichero con el driver del AVG, por eso le comentaba, pero es que se autodetecta como malware o se le han inyectado.
De todas formas le aconsejaría pasar Malwarebytes o similar y salir de dudas con los otros dos .exe

Si necesitas pasar algun antivirus online pasa por este tema:
https://foro.elhacker.net/seguridad/eliminar_spywares_adwares_hijackers_malware_virus_y_rootkits-t95234.0.html

Saludos.

Editado:

He estado mirando un poco mas sobre ese driver y es posible algun malware este inyectado a el, ya en estos temas pasaría herramientas antirrotkit tipo GMer, TDDSKiller y ver realmente que sucede en el PC.

Hola ranslsad, el archivo setup.exe de la primera captura puedes eliminarlo, pero en la segunda captura, me hace dudar bastante puesto que es el driver de tu antivirus AVG.
Es una version descargada de la pagina oficial o de algun P2P?
Echale un vistazo a esto:

http://www.file.net/process/avgtdix.sys.html

Esta entrada me ha resultado muy curiosa:

O4 - HKLM\..\Run: [79bjm5me7g] C:\ProgramData\79bjm5me7g.exe

Yo la eliminaría.

Tambien quitaría estas entradas del msconfig:

C:\Program Files\Realtek\Audio\HDA\RtHDVCpl.exe -s
C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe"
C:\Program Files\CyberLink\Power2Go\CLMLSvc.exe"
C:\Program Files\QuickTime\QTTask.exe" -atboottime
C:\Program Files\iTunes\iTunesHelper.exe"
C:\Windows\system32\igfxtray.exe
C:\Windows\system32\hkcmd.exe
C:\Windows\system32\igfxpers.exe
C:\Program Files\Logitech\Logitech WebCam Software\LWS.exe" /hide
C:\ProgramData\79bjm5me7g.exe (ES MUY DUDOSO)
C:\Program Files\Ares\Ares.exe" -h
C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background
C:\Program Files\uTorrent\uTorrent.exe"
C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized

Para que quieres todos esos programas en el arranque, tu PC tardará mas en mostarte tod lo que le estas pidiendo.

Si no quieres eliminar el archivo dudoso, sube a virustotal a ver que dice...

Hola MetalWarrior19, esta infección creo te la puede solucionar el Malwarebytes.
El no poder entrar al administrador de tareas es efecto del malware.
Seriá conveniente entrar en modo seguro y pasar las siguientes herramientas:
CCleaner a archivos (limpiador) y registro haciendo copia del registro, posteriormente pasale el Malwarebytes Antimalware.

CCleaner: http://download.piriform.com/ccsetup314.exe

Actualmente la descarga de Malwarebytes se ofrece desde el foro de MajorGeeks, aqui tienes donde descargarlo:

Link: http://majorgeeks.com/download.php?det=5756
D.Directa: http://files7.majorgeeks.com/files/352d47cf1a528e7f85aca7ef55669802/spyware/mbam-setup-1.60.0.1800.exe

Con Malwarebytes haz un escaneo completo, elimina lo que encuentre y reinicia el PC.

Si yahoo no trae ninguna opcion similar comprobaría no tener el equipo infectado y posteriormente cambiar la contraseña de yahoo por una mas robusta.
Si aun así te sigue pasando, o cambias de correo a gmail o cuando te conectes intenta que no sea por WiFi, así evitarás que snifen tu tráfico, mas no se...