[AYUDA URGENTE] Me han hackeado con un troyano que se inyecta a la IP [ AYUDA ]

3mp3z@ndo · 16 Enero 2013, 02:22 AM

Cuando dices que tienes el link de mediafire, ¿te refieres al link del troyano?, si es así enviamelo o postealo y tal vez le sacamos mas datos.

Para ver las conexiones puedes utilizar también TcpView de Sysinternals

Un saludo

r32 · 16 Enero 2013, 02:22 AM

Si quieres dejalo así de momento, olvidé comentarte bájate Malwarebytes y hazle un análisis completo.

Malwarebytes: http://es.malwarebytes.org/mwb-download

Cuando te pregunte si quieres instalar la versión completa dile que no, hazle un scan profundo y comenta si sale algo más por ahí...
Cuando termine si quieres puedes sacarlo del arranque con Windows, te irá bien para analizar archivos puntualmente.

Sobre los archivos:
Destroyer.exe --> Trojan.Backdoor
TheOnly.dll --> Spyware.PWS

SexyGoku · 16 Enero 2013, 02:36 AM

Osea que eso fue lo que me cago la pc? esos dos archivos? como se si aun los tengo, los elimine totalmente de mi pc, algo para eliminarlos? muchas gracias

SexyGoku · 16 Enero 2013, 02:53 AM

sera que si formateo mi pc se me solucionara el problema pero en verdad se soluciona o ahi alguna sospecha de que siga ahi ?

r32 · 16 Enero 2013, 03:11 AM

Yo creo que no hace falta formatear, tu decides en función de como te haya dejado el sistema.

CitarOsea que eso fue lo que me cago la pc? esos dos archivos?

Correcto, no se si ejecutaste algo más pero así que casi 100% seguro.
Aquí tienes un análisis en Anubis donde te dice que modificaciones ha ido haciendo:

http://anubis.iseclab.org/?action=result&task_id=187e3aba2deb41e84cd4ef30b3e813a15&format=html

Crea una carpeta en la raiz del disco C:\ llamada Extracted y dentro el archivo CrYcTEr2010s.exe

Te ha saltado alguna alerta con Malwarebytes?

Puedes usar el tcpview como te comentaba 3mp3z@ndo, es más entendible que Wireshark.

SexyGoku · 16 Enero 2013, 14:28 PM

Estare haciendo lo de malwarebytes ... , pero amigo ahi dice que el troyano sigue vivo, yo tengo los cds de windows7, lo formateo de una ?, tu me aseguras que si lo formateo no ahi ninguna posibilidad que eso sigue ahi ?

ADJUNTO LO DE TCPVIEW HABER SI ME DICEN ALGO SOSPECHOSO:

ACLARO QUE DONDE DICE SVCHOST.EXE EN EL ADMINISTRADOR DE TAREAS ME DICE SERVICIO DE RED. SYSTEM O SERVICIO LOCAL, TODOS LOS PROCESOS ME LLEVAN A WINDOWS/SYSTEM32/

TAMBIEN USO TEAMSPEAK3 Y XFIRE

PARA MI LO QUE ME parece RARO ES QUE EL ARCHIVO services ANTES ME LO DETECTABA COMO UN TROYANO O COMO UN ARCHIVO INFECTADO, PERO AHORA YA NO

QUE VEN DE RARO ?

services LA UBICACION DEL ARCHIVO ES NORMAL WINDOWS/System32

ANDO ANALIZANDO CON MALWARE GRACIAS

AH Y OTRA PREGUNTA, COMO HAGO PARA BORRAR O QUITAR ESO DE DEXTROYER O COMO CREO LAS CARPETAS QUE ME DIJISTE? GRACIAS

SexyGoku · 16 Enero 2013, 16:35 PM

PD3: ESTO: WINDOWS/INSTALL/SERVER ERA EL QUE ME DETECTABA COMO VIRUS ... EL OTRO CREO QUE NO, LO IBA A ESCANEAR EN VIRUS TOTAL PERO NO ENCUENTRO LA RUTA POR NINGUN LADO YA DESTILDE LO DE CARPETAS OCULTAS Y TODO ESO Y NADA :$:$

AYER CUANDO ME PASO ESTO LO PRIMERO QEUE HIZE FUE DESTILDAR LAS CASILLAS

r32 · 16 Enero 2013, 21:45 PM

Hola de nuevo, si tienes los CD y lo formateas no tiene que haber problema.
Las dos entradas que destildaste en el msconfig corresponden al troyano, añade las entradas en la rama RUN para ejecutarse junto al sistema.

Si formateas intenta no instalar dos antivirus residentes y si vuelves a usar cracks ajenos analizalos bien, ya viste el resultado.

Si quieres seguir sin formatear dejamos el tema abierto, subenos el log de Malwarebytes o postea que ha eliminado o si no ha podido.

Saludos.

SexyGoku · 17 Enero 2013, 02:03 AM

HOLA AMIGO: TANTO HE ESPERADO TU RESPUESTA XD, ME HABIA IDO PERO DEJE ANALIZANDO MI PC EN MODO SEGURO: YA TENGO EL CD DE WINDOWS7 PERO PRIMERO:

EL VUNDOFIX NO ME DETECTO NADA:

ESTO ME DETECTO EL KAPERSKY:
VULNERABILIDADES
C:\Program Files\Java\jre7\bin\java.exe
C:\Program Files\TeamSpeak 3 Client\TeamSpeak.exe
C:\Windows\system32\msxml4.dll

OTROS PROBLEMAS:
"El tiempo de espera de terminación de procesos está fuera de valores aceptados"
"El tiempo de espera de terminación de servicios está fuera de valores aceptados"
"La ejecución automática desde unidades de disco está autorizada"
"La ejecución automática desde unidades de red está activada"
"La ejecución automática de CD/DVD está activada"
"La ejecución automática de medios extraíbles está activada"
"Microsoft Internet Explorer: desactivar la caché de datos recibidos por canales protegidos"
"Microsoft Internet Explorer: desactivar el envío de informes de error"
"Microsoft Internet Explorer: eliminar cookies"
"Microsoft Internet Explorer: borrar la lista de dominios de confianza"
"Microsoft Internet Explorer: activar la limpieza automática de la caché al cerrar el navegador"
"Microsoft Internet Explorer: refrescar la página de inicio"

ESTO EL MALWAREBYTES:

MALWAREBYTES:

Malwarebytes Anti-Malware 1.70.0.1100
www.malwarebytes.org

Versión de la Base de Datos: v2013.01.16.03

Windows 7 Service Pack 1 x86 NTFS (modo seguro)
Internet Explorer 9.0.8112.16421
sebastian :: SEBASTIAN-PC [administrador]

16/01/2013 11:54:58 a.m.
mbam-log-2013-01-16 (11-54-58).txt

Tipos de Análisis: Análisis Completo (A:\|C:\|D:\|)
Opciones de análisis activado: Memoria | Inicio | Registro | Sistema de archivos | Heurística/Extra | Heurística/Shuriken | PUP | PUM
Opciones de análisis desactivados: P2P
Objetos examinados: 295078
Tiempo transcurrido: 1 hora(s), 18 minuto(s), 26 segundo(s)

Procesos en Memoria Detectados: 0
(No se han detectado elementos maliciosos)

Módulos de Memoria Detectados: 0
(No se han detectado elementos maliciosos)

Claves del Registro Detectados: 1
HKCU\Software\VB and VBA Program Settings\SrvID (Malware.Trace) -> En cuarentena y eliminado con éxito.

Valores del Registro Detectados: 0
(No se han detectado elementos maliciosos)

Elementos de Datos del Registro Detectados: 0
(No se han detectado elementos maliciosos)

Carpetas Detectadas: 0
(No se han detectado elementos maliciosos)

Archivos Detectados: 3
C:\Users\sebastian\AppData\Roaming\logs.dat (Bifrose.Trace) -> En cuarentena y eliminado con éxito.
C:\Users\sebastian\AppData\Local\Temp\UuU.uUu (Malware.Trace) -> En cuarentena y eliminado con éxito.
C:\Users\sebastian\AppData\Local\Temp\XxX.xXx (Malware.Trace) -> En cuarentena y eliminado con éxito.

fin)

ya lo elimine todo perfectamente

EL SPYBOT: ME DETECTO SOLO BROWSER Y YA TODO ELIMINE

Y PS ESPERO RESPUESTA YA QUE PARA VER SI DICES QUE FORMATEO EL PCO QUE

3mp3z@ndo · 17 Enero 2013, 02:16 AM

Pues por lo visto te habian colado un servidor de Bifrost, por los resultados de los análisis que has ido colgando, ya habias eliminado previamente el propio servidor, en los resultados del TcpView ya no aparece la conexión del troyano, y solo te quedaban los archivos residuales que no tenían ningún peligro al haber eliminado antes el servidor, pero bueno el MalwareBytes ya te los eliminó tambien.

En principio diria que ya puedes estar tranquilo, aunque nunca se sabe si a través del Bifrost mientras estabas infectado te han instalado cualquier otro malware.

Un saludo