Virus, genera temporales y reinicio de pc, Ms64B4101AApp.dll Win32/Packed.VMProtect.ABD Troyano

Addition.txt (32,2 KB) FRST.txt (37,4 KB) Shortcut.txt (102,5 KB) Buen día. Subo los logs solicitados. Me comenta el usuario dela PC que hoy se le reinició la PC, no llegó a observar si la apareció la pantalla azul, y el Panda no está instalado. Y algo que estoy notando en la red, es que cuando quiero llegar a alguna pc por su nombre o IP a través del explorador de Windows no me responde pero si el ping. Quizás ayude para avanzar con este tema. Saludos.

Hola @German_Castillo

Una consulta:

La desinfección que ejecutamos hasta ahora corrió FRST en:

  • Running from C:\Users\Administrador\Desktop

Y este ultimo reporte que colocas lo corriste de:

  • Running from D:\INGENIERIA\ESCRITORIO

Dime que es D:

Es otro Disco o partición con SO?

Una partición de guardado de archivos?

Te pregunto esto por que la infección del Rootkit esta completamente activa en esa unidad, como si no hubiéramos limpiado nada.

Nos comentas.

PD: Ademas dime si reconoces este archivo:

  • C:\Windows\System32\ Ms64B4101AApp.dll

Que es el que te inyecta el Rootkit en los Servicios y en las NETSVC

Salu2

1 me gusta

Buen día SanMar.

D: es la 2da partición del disco donde configuro que se guarden los archivos. En la unidad C: hago las instalaciones tanto de SO como de aplicaciones.

Ese archivo no lo reconozco

Hola @German_Castillo

Gracias por las respuestas.:+1:

Como la infección es persistente, necesito analizar ese equipo desde fuera del entorno de Windows.

Tienes acceso a otro equipo limpio y un USB que nunca hayas usado en este equipo problemático?, y si no lo tienes lo pides prestado :+1:


Realiza lo siguiente:

Herramientas necesarias.

  • Un ordenador limpio con conexión a Internet.
  • Un USB.

Desde el ordenador limpio:.

Desde el equipo Infectado:

Conecte el Usb en el equipo infectado…

  • Ingrese a Símbolo de Sistema del Entorno de Recuperación.:

Para acceder a las Opciones de Recuperación del Sistema:

Instrucciones para Windows 7.

  • Reinicie el equipo.
  • Tan pronto como se carga el BIOS comienze a apretar la tecla F8 hasta que aparezcan las opciones avanzadas de arranque.
  • Selecciona Reparar el Equipo y presione enter.
  • Espere a que cargue, seleccione el idioma y configuración de teclado, clic en siguiente.
  • Seleccione el sistema operativo que desee reparar y haga clic en siguiente.
  • Seleccione su cuenta de usuario haga clic en siguiente.

En el menú de Opciones de Recuperación del Sistema vera las siguientes opciones:

  • Reparación de inicio.
  • Restaurar sistema.
  • Restauración de imagen del sistema.
  • Diagnóstico de memoria de Windows.
  • Símbolo del sistema.

Una vez en el Símbolo del Sistema:

  • En la ventana de Comandos, escriba notepad.exe, presione “Enter”.
  • Se abrirá la ventana del programa, en la parte superior vaya a Archivo >>> Abrir. *Seleccione “Equipo” para encontrar la letra de su Unidad USB, cierre el Bloc de Notas.

  • Una vez dentro de la Ventana de Comandos escribe tal cual x:frst.exe o x:frst64.exe según sea su caso, donde x debe ser reemplazada por la letra de Su unidad Usb.
  • Presione Enter.
  • La herramienta comenzará a correr.
  • Cuando la herramienta se abra le mostrará la ventana “Disclaimer”, haga clic en “Sí/Yes”.

Luego abrirá la ventana del programa:

  • Pulse el botón Scan.

Al finalizar el escaneo se creará un reporte Frst.txt o Frst64.txt en su USB.

Conecte de nuevo el USB en el ordenador limpio, abra el archivo Frst.txt o Frst64.txt copie y pegue su contenido en su próxima respuesta.

Cualquier duda nos consultas.

Para tu seguridad imprime los pasos.

Salu2

Buen día. Subo log. A disposición por cualquier cosa. Gracias y saludos.FRST.txt (31,2 KB)

Hola @German_Castillo

Realice lo siguiente:

1.- En el equipo limpio:

Inicio >>> Ejecutar >>> Escribe notepad.exe.

Ahora copie y pege dentro del Notepad:

start
HKLM\...\RunOnce: [*EmptyTemp] => cmd /c rd /q/s C:\FRST\Temp
HKU\CESAR\...\Policies\Explorer: [] 
DisableService: Ms64B4101AAppB
DeleteKey: HKLM\SYSTEM\ControlSet001\Services\Ms64B4101AApp
S2 Ms64B4101AAppB; C:\Windows\System32\Ms64B4101AApp.dll [516608 2019-11-28] ()
C:\Windows\System32\Ms64B4101AApp.dll
NETSVC: Ms64B4101AApp -> no filepath.
NETSVC: Ms64B4101AAppA -> no filepath.
NETSVC: Ms64B4101AAppBak -> no filepath.
NETSVC: Ms64B4101AAppB -> C:\Windows\System32\Ms64B4101AApp.dll ()
2019-11-28 09:47 - 2019-11-28 09:47 - 000516608 ____N C:\Windows\System32\Ms64B4101AApp.dll
2019-11-28 09:45 - 2019-11-28 09:45 - 000000000 ____D C:\Program Files (x86)\FONDQXIMSYHLISNDBCFPGGQDFFXNKBARIRJH
2019-11-25 12:19 - 2019-11-25 12:19 - 001113271 _____ C:\Windows\SysWOW64\04B488D9F147B24006A0D80CDAE15ABD.CPB116
end

Lo guardas bajo el nombre de fixlist.txt en la misma USB donde se encuentra frst.exe o frst64.exe <<< Esto es muy importante.

2.- En el equipo infectado:

Inicia nuevamente las opciones de Recuperación del Sistema hasta seleccionar Símbolo del Sistema.

  • Una vez dentro de la Ventana de Comandos escribe tal cual x:frst.exe o x:frst64.exe según el caso donde x debe ser reemplazada por la letra de Su unidad Usb.
  • Presionas Enter. Se abrirá la ventana del programa.
  • Presionas una sola vez el botón Fix y esperas a que termine.
  • Se guardara un reporte en su unidad Usb llamado Fixlog.txt que pegará en su próxima respuesta.
  • Cierre la ventana del programa si quedo abierta.
  • Reinicias en Modo Normal

Luego de reiniciar realiza lo siguiente:

1.- Análisis del PC con Eset Online Scaner : Manual de Uso lee las instrucciones para salvar el reporte.

Análisis del PC con Kasperky Virus Removal Tool: Manual de Uso

  • Este no da reporte cuando te encuentres, si es que lo hace con alguna infección, tomas una imagen y la subes.

Como subir imágenes al Foro ?

Esperamos los reportes.

Salu2

1 me gusta

Log Eset Antivirus.txt (6,8 KB) log eset.txt (723 Bytes) Buen día. Creo que está todo. Gracias como siempre y sigo a disposición.

Fixlog.txt (2,1 KB)

Hola @German_Castillo

Perfecto, lo que más te detectan los online es el/los Activadores.

El Fix se ejecutó correctamente, para asegurarnos ejecuta en Modo Normal FRST como lo hiciste la primera vez y nos pegas nuevamente sus dos reportes.

Salu2

Buen día SanMar.

Subo los logs. FRST.txt (36,3 KB) Addition.txt (30,7 KB) Shortcut.txt (102,9 KB)

Saludos y gracias

Hola @German_Castillo

Disculpa, tal vez no fui clara en mi anterior respuesta, tienes que correr FRST desde el escritorio de C:, ya que aun hay restos de la infección :grimacing:

Dime también si reconoces estas entradas, si las has configurado tu:

Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Sincronizacion.bat [2017-06-01] () [File not signed]
Startup: C:\Users\INDICADORES\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Sincronizacion.bat [2017-06-01] () [File not signed]
HKLM\SOFTWARE\Policies\Microsoft\Windows\IPSec\Policy\Local: [ActivePolicy] SOFTWARE\Policies\Microsoft\Windows\IPSEC\Policy\Local\ipsecPolicy{585df129-5dc2-48b3-bb16-0fa77f4ef223} <==== ATTENTION (Restriction - IP)

Salu2

Hola @German_Castillo

Ademas luego de reiniciar realiza lo siguiente:

Desactive temporalmente su Antivirus:

Descargue la herramienta: ComboFix

  • Guárdela en el escritorio de C:. >>> Esto es Muy Importante

Nota Antes de ejecutar ComboFix asegurarse de :

  • Cerrar TODOS los programas y/o ventanas abiertas. :negative_squared_cross_mark:

  • Si está utilizando Windows Vista o Windows 7/8. Haga click derecho sobre el archivo ComboFix.exe y seleccionar Ejecutar como Administrador.:

Paso 1:

  • Ejecute el archivo ComboFix.exe
  • Acepte los términos de licencia.
  • Si ComboFix le avisa que hay una versión nueva del programa deberá descargarla.
  • Si ComboFix le pide instalar la Consola de Recuperación (Recovery Console) hay que instalarla.

Paso 2:

  • Copiar y pegar el reporte que ComboFix generó. Si no aparece lo encontrará en C:\ComboFix.txt
  • Comentar cómo sigue su sistema, en relación al problema planteado.

Importante :

  • Mientras esté trabajando ComboFix no ejecutar ningún software hasta que termine.
  • No reiniciar su PC, ComboFix lo hará de ser necesario.
  • Mientras ComboFix esté trabajando, no mover el mouse ya que pararía su proceso.

Guía : ¿Como Pegar reportes en el Foro?

Esperamos esos reporte.

Salu2.

1 me gusta

Buen día SanMar. disculpá que no te contesté antes, me fué imposible. Paso a comentar.

Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Sincronizacion.bat [2017-06-01] () [File not signed]
Startup: C:\Users\INDICADORES\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Sincronizacion.bat [2017-06-01] () [File not signed]
HKLM\SOFTWARE\Policies\Microsoft\Windows\IPSec\Policy\Local: [ActivePolicy] SOFTWARE\Policies\Microsoft\Windows\IPSEC\Policy\Local\ipsecPolicy{585df129-5dc2-48b3-bb16-0fa77f4ef223} <==== ATTENTION (Restriction - IP)

Respecto a estos 3 items, los 2 primero (sincronización.bat) es un ejecutable que reconocemos, ya que lo hicimos y lo ponemos en el arranque de algunas PC para sincronizar fecha y hora con un servidor.

El otro registro, desconozco de que es.

Respecto al análisis con el FRST, lo había interpretado mal, mala mía. Ya lo ejecuté desde el escritorio de la sesión INGENIERIA. Posterior a esto, reinicio la PC y corro combofix. Luego de unos minutos, cierra la sesión y reinicia automáticamente (no se si es parte normal del proceso de la herramienta) y luego cuando abro la sesión de INGENIERIA, empiezan a abrirse simultáneamente, múltiples ventanas (CMD) con el título ComboFix limitándome mucho en las acciones a tomar, lo dejé un rato largo para ver si terminaba pero nada.

Forcé reinicio PC (Reset) y luego entré como administrador, ahí me abrió una ventana (CMD) de combofix indicándome que espere para generar el log. Luego de eso continuó todo normalmente. Subo los log y aguardo instrucciones. Sigo a disposición como siempre.

GraciasFRST.txt (36,5 KB) Addition.txt (32,0 KB) Shortcut.txt (100,8 KB) Combofix.txt (9,4 KB) FRST.txt (36,5 KB) Addition.txt (32,0 KB) Shortcut.txt (100,8 KB)

Hola @German_Castillo

Combofix:

Con mucha atención realizas lo siguiente:

1.-Abrir el Notepad (Bloc de Notas)

  • Ir a INICIO >>> EJECUTAR >>>Escribir notepad.exe presionas ACEPTAR

2.-Ahora copia y pega estos archivos dentro del Notepad:

KillAll::

ClearJavaCache:: 

NetSvc::
Ms64B4101AAppC

Registry:: 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Ms64B4101AAppA]
@=-

3.- Graba este archivo con el nombre CFScript.txt y déjalo en tu escritorio.

4.- Arrastrar y soltar el archivo CFScript.txt sobre el archivo ComboFix.exe como lo muestra la animación de abajo. Esto activara ComboFix nuevamente.

CFScript_small

  • Reinicia tu PC

Nos traes el reporte que genere.


Luego de reiniciar necesito que ejecutes FRST pero desde la cuenta :

Running from C:\Users\Administrador\Desktop

Y nos pegues los reportes.

Salu2

Buen día. subo los reportes solicitados. FRST.txt (38,0 KB) Addition.txt (29,5 KB) Shortcut.txt (100,8 KB) Combofix.txt (10,2 KB)

Hola @German_Castillo

Siguiendo la ruta revisa si tienes el siguiente archivo:

C:\Windows\System32\ Ms64B4101AApp.dll

Si lo encuentras subelo a VirusTotal:

Nos comentas.

Salu2

Buen día. El archivo no está. Ya lo busqué en otros equipos también cuando lo detectaba el antivirus y tampoco estaba. Esta PC con la que estamos realizando todas estas pruebas no se reinició más. Sale un cartel de un problema de windows. Subo captura de pantalla y detalle de error por si aporta algo. Consulto, ya detectaste bien el malware? hay alguna manera manera de frenar su propagación y de desinfectarlo masivamente?. gracias y saludos.error windows error windows.txt (810 Bytes)

Hola @German_Castillo

Perfecto, el reinicio lo provocaba el Rootkit que da la falla con el antivirus.

Ya lo veremos al final si aun continua.

Si esta detectado, el problema es que las herramientas de eliminación automática no lo detectan/eliminan, ademas el mayor de los problemas que tenemos es que realizas los pasos a remoto para poder eliminar este tipo de malwares seria muy importante que pudieras hacer los pasos en modo “presencial” y desconectando el equipo de Internet y de la RED. Y no volver a conectarlos entre si o a la red hasta que no estén limpios

Y ejecutando en Modo Seguro por ejemplo.

En el ultimo script se me escapo una linea, mil disculpas por ello vamos nuevamente con:

Combofix:

Con mucha atención realizas lo siguiente:

1.-Abrir el Notepad (Bloc de Notas)

  • Ir a INICIO >>> EJECUTAR >>>Escribir notepad.exe presionas ACEPTAR

2.-Ahora copia y pega estos archivos dentro del Notepad:

KillAll::

ClearJavaCache:: 

Registry::
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Ms64B4101AAppA]
@=-

NetSvc::
Ms64B4101AAppC

Driver::
Ms64B4101AAppA


3.- Graba este archivo con el nombre CFScript.txt y déjalo en tu escritorio.

4.- Arrastrar y soltar el archivo CFScript.txt sobre el archivo ComboFix.exe como lo muestra la animación de abajo. Esto activara ComboFix nuevamente.

CFScript_small

  • Reinicia tu PC

Nos traes el reporte que genere luego del reinicio.


Luego busca manualmente la carpeta:

  • C:\Users\Administrador\AppData\Local\ temp

Y borras todo el contenido dentro de esa carpeta, vacías la papelera.


Nos comentas.

Salu2

1 me gusta

Buen día.Subo el log solicitado. Te comento que todos los análisis los hice presencialmente. No sabía que tenía que hacerlos desconectado de la red e internet. Si es necesario, los vuelvo a realizar. A disposición y gracias por las respuestas y seguimiento del caso. Algo que me olvidaba de comentar, me resultaría muy dificil dejar fuera de la red los equipos que vaya analizando y limpiando. Por eso consulto, desde la ignorancia, si a medida que limpie equipos se puede asegurar que los mismos no vuelvan a infectarse así voy evitando la propagación y si hay alguna herramienta para utilizar a través de la red.Combofix.txt (10,3 KB) Saludos.

Hola @German_Castillo

Es que tu me escribiste por allí que lo hacías a remoto por ello no te indique los pasos completos.

En este tipo de casos suele ser el ideal.

Lo imagino pero el problema es que como has visto es bastante complicado limpiar uno, y en cuanto lo conectes a los otros (red) si no están limpios lo re infectaras.


Prueba lo siguiente para ver si el equipo quedo 100 x 100 limpio:

1.- Desinstala con su Herramienta especifica la versión 3.xxx de Malwarebytes que tienes instalada en ese equipo.

2.- Reinicias e Instalas su versión 4, te aseguras que actualice.

Desconecta el PC de Internet incluso desconecta el cable, apaga el Router .

3.- Reinicia el equipo en Modo Seguro (Sin Red)

Te dejo su Manual para que sepas ejecutarlo marca todas sus casillas especialmente el análisis de Rootkits.

4.- Reinicias el equipo, lo conectas a la red y ejecutas esta vez la Herramienta Malwarebytes Antirootkits . Esta fue la única herramienta que lo detecto (fuera de FRST y Combofix), pero no pudo cargárselo por completo.

Salu2