Plugin chrome - virus - aparentemente legal

Iniciado por Laura212, 16 Septiembre 2013, 13:04 PM

0 Miembros y 2 Visitantes están viendo este tema.

Laura212

Muy buenas
Para empezar enhorabuena por el foro


voy a explicar un poco:

Necesitaba reproducir un video de internet y el navegador (chorme ) me pedia esta extension : Windows Media Player HTML5 Extension for Chrome

Me redirecciono a esta web: http://www.interoperabilitybridges.com/wmp-extension-for-chrome

Se trata de una web de todo tipo de projectos, la web es segura como se puede apreciar aqui:
Reputacion web: http://www.webutation.net/go/review/interoperabilitybridges.com
Pagina recomendad por google para bajarse ese puglin: https://support.google.com/chrome/answer/95697?hl=en


Vamos hasta aquí no cabe duda de que la web es segura y de contenido real


(Ingenua de mi)


Termine descagandome el link :http://www.interoperabilitybridges.com/wmp-extension-for-chrome
Donde dice : Download the extension from "here"

Me descargue un paquete comprimido en .rar y contenía un .exe (aquí ya me pareció extraño, pero bueno no tenia motivos para dudar) y lo ejecute



Ahora explico el virus, troyano o lo que sea:


Pone la pantalla completamente en blanco y solo esta activo icono del raton, sin posibilidad de hacer nada mas, y aunque es posible la utilizacion del atajo Ctrl+Alt+Spr, no se puede abrir el administrador, ya que regresas a la pantalla en blanco

Cuando vas a entrar a modo seguro, y justo pasas la parte de poner la clave en windows, el ordenador hace reboot

He pasado el Avira y el kaspresky live cd's y no encuentran nada

He borrado las carpetas temporales y renombrado las carpetas de usuarios

He bucado todos los archivos modificados recientemente y no hay nada sospechoso



La verdad ya no se me ocurre que mas hacer, si alguien me arroja algo de luz a este problema, le estaría enormemente agradecida


Saludos :)

topomanuel

Caíste en una trampa muy común... Google Chrome no necesita nada para reproducir videos en la web y menos HTLM5 para cual esta preparada desde hace tiempo...

Restaura la maquina a un punto anterior de la instalación del malware.

Saludos.

Laura212


"Pone la pantalla completamente en blanco y solo esta activo icono del raton, sin posibilidad de hacer nada mas, y aunque es posible la utilizacion del atajo Ctrl+Alt+Spr, no se puede abrir el administrador, ya que regresas a la pantalla en blanco"


Quiza no me exprese bien..

No puedo hacer nada de eso que comentas.. la pantalla esta completamente en blanco nada mas inicia windows sin posibilidad de hacer nada, ni escritorio, ni navegador NADA :(

tampoco funciona modo seguro

indiaso

podrias bootear con otro disco y limpiar este infectado, hasta salvar la info que tenias (si te lo permite...)

#!drvy

CitarDonde dice : Download the extension from "here"

Cuando le doy click me descarga un archivo del tipo .crx (extension de chrome). No me da ninguna opción de descargar ningún .rar/.zip/.7z/.exe o parecidos.

¿ Estas segura de que descargaste el archivo de ahí ?  ¿Tienes alguna forma de pasarnos el archivo?

He mirado en el source de la extensión y aparte de una dll todo parece legiptimo.
La dll en cuestión si es algo sospechosa:

https://anubis.iseclab.org/?action=result&task_id=17788d70765795164c9631adced78de02&format=txt

Saludos

soycentralero

REQUISITO--------MALWAREBYTES ANTI-MALWARE  "FULL"


creo que se como ayudarte a un amigo le pasó lo mismo y a mucha gente tambien por eso me dedico a la informática.

arranca el ordenador, entra en las opciones de arranque (F8) y arranca windows a modo a prueba de errores (modo seguro etc) pero con simbolo de sistema fijate que tendras 3 opciones de modo seguro bueno creo que son 3 no lo se ahora mismo jeje pues elige la de simbolo de sistema y windows arrancara pero sin ejecutar el explorer solo simbolo de sistema (cmd, ms-dos, consola, terminal etc... llamalo como quieras) bueno pues si no recuerdo mal al no iniciar el explorer windows no reinicia aunque no te lo aseguro porque e tenido casos en los que ni asi funcionaba seguia reiniciando y me tocaba recurrir a los live cd (kaspersky rescue disk etc) bueno pues en la consola escribe tal cual sin comillas "explorer.exe" y iniciara el explorador de windows y una vez aqui te aria falta el MALWAREBYTES ANTI-MALWARE muy muy bueno la verdad solo buscalo, descargalo y lo instalas (es preferible que lo bajes "FULL" ya me entiendes ;))-) despues de instalarlo si te lo as descargado "FULL" sigue las instrucciones de como dejarlo "FULL" y cuando lo tengas pues simplemente analiza el pc elige la opcion "realizar un analisis completo" y cuando acabe borra todos los objetos que el malwarebytes a encontrado y reinicia el pc y arrancalo normal si todo a ido bien pues ya lo tienes sin virus te recomiendo que despues de que te funcione pasaselo otra vez para asegurarte y si no te a funcionado pues descargate el antes mencionado Kaspersky rescue disk y con ese lo podras sacar si no prueba con el Panda rescue disk hay varios live cd antivirus.

si en modo seguro con simbolo de sistema no tienes internet no podras actualizar la base de datos del malwarebytes busca en google la base de datos offline esta en  la pagina del fabricante esta claro para que sirve no?? :)) espero que te sirva de ayuda

skapunky

#6
@soycentralero: Lee mejor el post de Laura212, especifíca que no le funciona el modo seguro.

@Laura212: El kasperksy live cd que dices....entiendo que es el kasperksy Rescue 10 ? Si no es así deberias usarlo pero de la siguiente forma:

1º Usa una versión de Kasperksy Rescue 10 instalable en un pendrive, así lo podrás actualizar sin problemas, si no lo actualizas aunque lo uses...la base de datos no estará al día.

2º Aqui tienes la web con los pasos a seguir, yo lo tengo en un pendrive y lo actualizo cada pocos dias http://support.kaspersky.com/8092 . El programa que facilitan para pasar la ISO a pendrive crea la copia en menos de un minuto. MUY SENCILLO.

3º Acuerdate sobre todo de actualizarlo, siento ser pesado pero es importante. Por cierto el propio Rescue CD detecta wifi...así que cuando inícies la Distro el ordenador lo podrás conectar sin problemas para actualizar el programa mediante pestaña "My Update Center".

PD: Dicho disco de rescate, tiene un administrador de archívos donde puedes visualizar los discos (particiones) si quieres puedes salvar información. Aunque los archívos estén protegidos (no te lies a dar permísos chmod dede la consola del linux) los podrás copiar sin problemas.
Killtrojan Syslog v1.44: ENTRAR

#!drvy

No creo que la sirvan de mucho estas respuestas.. no se ha vuelto a conectar desde su ultimo post.. xD Por lo menos servirán a otros usuarios con el mismo problema.

Saludos

skapunky

Mielda cierto, por una hembra que aparece por aquí...porque nadie a avisado! >:D en fin, comentar que si alguien algúna vez se infecta con un malware que no le permíta iniciar en modo seguro, ni windows, la mejor opción es utilizar un rescue cd
Killtrojan Syslog v1.44: ENTRAR

soycentralero

Cita de: skapunky en 25 Octubre 2013, 22:49 PM
@soycentralero: Lee mejor el post de Laura212, especifíca que no le funciona el modo seguro.

@Laura212: El kasperksy live cd que dices....entiendo que es el kasperksy Rescue 10 ? Si no es así deberias usarlo pero de la siguiente forma:

1º Usa una versión de Kasperksy Rescue 10 instalable en un pendrive, así lo podrás actualizar sin problemas, si no lo actualizas aunque lo uses...la base de datos no estará al día.

2º Aqui tienes la web con los pasos a seguir, yo lo tengo en un pendrive y lo actualizo cada pocos dias http://support.kaspersky.com/8092 . El programa que facilitan para pasar la ISO a pendrive crea la copia en menos de un minuto. MUY SENCILLO.

3º Acuerdate sobre todo de actualizarlo, siento ser pesado pero es importante. Por cierto el propio Rescue CD detecta wifi...así que cuando inícies la Distro el ordenador lo podrás conectar sin problemas para actualizar el programa mediante pestaña "My Update Center".

PD: Dicho disco de rescate, tiene un administrador de archívos donde puedes visualizar los discos (particiones) si quieres puedes salvar información. Aunque los archívos estén protegidos (no te lies a dar permísos chmod dede la consola del linux) los podrás copiar sin problemas.


yo no e dicho en ningún momento que lo arranque en modo seguro "asecas" y si dudas lo vuelves a leer, e dicho que lo arranque en modo seguro con símbolo de sistema eso quiere decir que iniciara en modo seguro pero no inicia el explorer.exe en su lugar inicia la consola y se supone que de esta manera no se va a reiniciar el pc y lo se por experiencia propia y es indiscutible que funcione o no porque si digo "por experiencia propia" es porque a mi me a funcionado en muchos casos así en casos en los que en modo seguro se reiniciaba y sin tener que recurrir a los live cd personalmente no me gustan aunque no es seguro porque como ya e dicho e tenido casos en los que ni asi funcionaba y como e dicho toca recurrir a los antivirus live cd que normalmente si te sacan el virus aunque también tengo que decir que también e tenido casos en los que ni el kaspersky ni panda ni dos o tres antivirus live cd han podido sacar el virus o malware o lo que fuera ni actualizándolos ni nada lo único que me quedaba era probar dia a dia con el kaspersky rescue disk actualizarlo y pasarlo hasta que lo sacaba.

Otra forma es arrancar el equipo con Windows to go (Windows 8) y pasarle el avast o yo que se un antivirus bueno existen muchos.