Merijn.org

Cleantesdeasso · 10 Mayo 2010, 16:28 PM

Hace 2 semanas le pase el malware bytes en modo a prueba de fallos, y me saco 3 cosillas dañinas, supuse q hasta dentro de un par de semanas, no tendria q hacerlo nuevamente... Pero si Festor, es verdad q cada vez q le paso el malware, sale algo distinto. Y como uno da tantas vueltas, no siempre estoy al loro de lo k pasa. Como puedo saber si esta el uptimer instalado? A simple vista no esta, y desde luego yo no lo instale vaya. Gracias.

Novlucker · 10 Mayo 2010, 16:29 PM

Con la cantidad de datos que muestra wireshark, difícil resumirlo a una captura de pantalla.
Dejanos el log de hijackthis, o sino mejor uno de Sysinspector

En este último para que no contenga datos personales ve a Archivo > Generar > Para enviar o desde línea de comandos con el parámetro /Privacy

Con este log ya te podré decir algo de las conexiones raras, o si es culpa de software instalado

Saludos

Cleantesdeasso · 10 Mayo 2010, 16:40 PM

Marcha un log de syspector con patatas. Lástima q tengo la conexión como si hubiera estado toda la noche de marcha con el malo de Robocop 2... (esta bajando a 2,15 kb...). Otra duda: de donde sale tanta maldad?! Q puede estar haciendo quien sea q este trasteando? Mandando spam, o algo mas jodio? Hace cosa de 2 meses, mi mujer tuvo un problema haciendo transacciones con la tarjet de credit... Tendra relación, o sólo será porq yo estoy trasteando?

Novlucker · 10 Mayo 2010, 16:46 PM

Como poder ser puede ser cualquier cosa, y el quién puede ser cualquiera, el malware se ha ido diversificando

Saludos

Cleantesdeasso · 10 Mayo 2010, 16:56 PM

Novlucker, te lo envie a tu mail... Perdon por mi consabida torpeza, no di con el boton idoneo para enviarlo por aki (de hecho, no se si eso es posible). Gracias de nuevo.

Novlucker · 10 Mayo 2010, 17:08 PM

De hecho no hay manera de subir archivos, hay que subirlos a servicios "externos", yo lo he hecho para que otros puedan verlo

:http://www.mediafire.com/?nckewtzl0zz

Ahí esta, y dejame buscar mejor, pero desde ya lo primero que salta a la vista es un rootkit, esa es la razón por la cual no encuentras el proceso $:-\$ , y además de seguro tampoco puedes entrar a una cantidad de webs de seguridad, como las webs de AVG, Avast, Kaspersky, Bitdefender y demás

Saludos

Cleantesdeasso · 10 Mayo 2010, 17:22 PM

Gracias novlucker, lo suyo es realmente admirable. Lo mismo para Festor, muy agradecido. Lo unico q me kedaria es borrar el maldito rootkit ese... Dejame adivinar, a k no lo puedo borrar "a mano"? Dime q si porfavor, q se puede borrar cojiendolo y dandole a suprimir! XD

Cleantesdeasso · 10 Mayo 2010, 17:39 PM

Lo dicho: no sale, ni mostrando los archivos ocultos. Pero bueno, en este caso q hago? solo lo puede solucionar otro soft, o manualmente podria? Y prometo invitarte a un vino/chocolatada/agua mineral cara/etc. Gracias.

Novlucker · 10 Mayo 2010, 17:47 PM

Te lo diré del siguiente modo ..
El rootkit ya tiene su tiempo y es detectado por la mayoría de los AV, así que entiendo que la pc sea una Celeron a 900Mhz con 1Gb de RAM, pero no puedes estar sin AV $:-\$
:http://www.virustotal.com/analisis/178476ad02c1ed7c22849a8c85e6429b60cb497a18a8c34cd42201731062c4ba-1236810523

Sobre lo de eliminar el rootkit, ... puedes hacer el intento ...

Descarga Process Explorer, ejecutalo y revisa si te aparece el proceso v6msn.exe
Si aparece dale a Kill process tree
Luego toca eliminar el archivo ... Inicio > ejecutar > cmd
Con cd te mueves hasta la carpeta C:\windows\system32 y ejecutas lo siguiente

Código (dos) [Seleccionar]

C:\Windows\System32>attrib -s -h -r v6msn.exe
C:\Windows\System32>del v6msn.exe

Si se elimina simplemente no dirá nada, si no lo encuentra saltará error.

Luego de esto vamos a limpiar el archivo hosts, por lo directamente desde el explorador vas a C:\WINDOWS\system32\drivers\etc, y modificas el archivo hosts (sin extensión) eliminando todas las url que dicen ..

Código [Seleccionar]

127.0.0.1 www.Merijn.org
127.0.0.1 www.spyware.info
127.0.0.1 www.spybot.info

El archivo te tiene que quedar como el siguiente, así que también puedes copiarlo y pegarlo

Código [Seleccionar]

# Copyright (c) 1993-1999 Microsoft Corp.
#
# Éste es un ejemplo de archivo HOSTS usado por Microsoft TCP/IP para Windows.
#
# Este archivo contiene las asignaciones de las direcciones IP a los nombres de
# host. Cada entrada debe permanecer en una línea individual. La dirección IP
# debe ponerse en la primera columna, seguida del nombre de host correspondiente.
# La dirección IP y el nombre de host deben separarse con al menos un espacio.
# 
#
# También pueden insertarse comentarios (como éste) en líneas individuales
# o a continuación del nombre de equipo indicándolos con el símbolo "#"
#
# Por ejemplo:
#
# 102.54.94.97 rhino.acme.com # servidor origen
# 38.25.63.10 x.acme.com # host cliente x

127.0.0.1 localhost

Y habiendo limpiado el archivo hosts debemos de pasar al registro de windows
Inicio > Ejecutar > Regedit
Muevete hasta HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run y borra la entrada que se llama MSN6.1 Auto-Updater y tiene por valor v6msn.exe

Todo esto deberías de hacerlo en modo seguro/a prueba de fallos.

Al finalizar, pasa otra vez Malwarebytes, y de ser posible algún AV en modo live-cd, te recomiendo Avira
http://foro.elhacker.net/software/cds_autoarrancables_para_casos_de_emergencia-t204137.0.html

Te bajas la iso (unos 65 Mb), la quemas e inicias la pc booteando desde el cd, luego de iniciado te tiene que dar la opción de cambiar el idioma de alemán a inglés.
Te vas a las opciones de configuración de scan y activas el que se renombren los archivos "maliciosos", porque sino solo te alerta y no hace nada

, y luego si comienzas la revisión.

Si llegas a tener problemas con el booteo de este cd, puedes probar con algún otro de los recomendados.

Saludos

Cleantesdeasso · 10 Mayo 2010, 17:56 PM

Novlucker, si con esta explicacion, no soy capaz de borrarlo, te juro q me corto alguna protuberancia de mi cuerpo. Como siempre, me dejais sin palabras... Gracias de verdad.