Virus, genera temporales y reinicio de pc, Ms64B4101AApp.dll Win32/Packed.VMProtect.ABD Troyano

Buen día. soy nuevo en el foro. Tengo un cliente con un problema importante. Desde el 23/10 comenzaron a reiniciarse varias PC. Cuando me imagino que puede deberse a un virus, me pongo a observar otras PC y noto, que el antivirus (Panda) notifica una amenaza y la envía a cuarentena. La amenaza que es identificada en C:\Windows\TEMP\489314d86c55a948a225789db7a93229_00000007.tmp. Posterior a eso, pantalla azul de windows, indica que comienza volcado de memoria y luego se reinicia. Esta situación, empieza a generalizarse en varias PC. Genero incidencia con el soporte de Panda y les envío los archivos de volvado de memoria de algunos equipos para su análisis. Posteriormente me responden, que no se debe a un driver del antivirus, sinó que está relacionado al sistema operativo. También empiezo a notar fallas con el servicio de internet y analizando el tráfico desde el router, observo muchas conexiones al smb de direcciones públicas que me saturan el ancho de banda, que filtré para que no mate el enlace. Sigo el reclamo con Panda pero no logran identificar el virus y así evitar la propagación. Resolví los reinicios de los equipos desinstalando la protección. Les pido si pueden ayudarme, si les sucedió algo similar y como dieron con la solución. Gracias.

Hola @German_Castillo

O sea, si era Panda parte del problema.

Lo que podemos hacer, si tienes uno de esos equipos a mano es analizarlo profundamente. Empezar por uno.

Por supuesto desconectado de la red original del problema.


Si estas de acuerdo, realiza lo siguiente:

1.- Desactiva temporalmente tu antivirus y cualquier programa de seguridad.

2.- Descarga UsbFix a tu escritorio :

  • Conecte todos sus dispositivos extraibles, USB/Pendrive\Micro SD, etc. (en tu caso, puedes omitir este paso)
  • Ejecute USBFix.exe

  • Una vez conectados todos sus dispositivos presione en "Ejecutar análisis."
  • Posteriormente seleccione “Full Análisis” y espere a que termine.
  • En caso de detectar amenazas, seleccione todo los elementos detectados y presione "Limpiar todo"
  • Si le pidiera reiniciar el sistema, Acepte .
  • Una vez que se reinicie el equipo, se abrirá el reporte de USBFix indicando lo detectado y lo eliminado.
  • Copie y pegue entero dicho reporte en su próxima respuesta (en caso de que no se abra, el reporte se guarda con el nombre de UsbFix_Report.txt en el Escritorio)

Una vez terminado el análisis, con todas las unidades conectadas, vuelva a ejecutar USBFix como Administrador, y vacune los mismos, siguiendo los pasos del Manual.

Luego de reiniciar:

3.- Desactiva temporalmente tu antivirus nuevamente (en tu caso omite este paso ya que no tienes AV) y cualquier programa de seguridad.

4.- Descarga Farbar Recovery Scan Tool. en el escritorio, seleccionando la versión adecuada para la arquitectura (32 o 64bits) de su equipo. >> Como saber si mi Windows es de 32 o 64 bits.?

  • Ejecuta FRST.exe.
  • En el mensaje de la ventana del Disclaimer, pulsamos Yes
  • En la ventana principal pulsamos en el botón Scan y esperamos a que concluya el proceso.
  • Se abrirán dos(2) archivos(Logs), Frst.txt y Addition.txt, estos quedaran grabados en el escritorio.

Guía: Como Ejecutar FRST

5.- En tu próxima respuesta, pega los reportes generados.

Guía : ¿Como Pegar reportes en el Foro?

Esperamos esos reporte.

Salu2

Buen día. Perdón la demora para responder. Les comento que sigo con el problema. Está bastante contenido, sigo discutiendo con Panda ya que no está resuelto. Subo 1 txt “compilado logs.txt” donde concatené todos los logs obtenidos de los análisis hechos, de acuerdo a la respuesta de SanMar. Gracias nuevamenteCompilado de logs.txt (44,9 KB)

Hola @German_Castillo

1.- Pegaste reportes del 14/11 de FRST donde se ven varios problemas,entre ellos una importante infección por Rootkits, el punto es que estamos a 22/11, necesito reportes frescos, muchas cosas pueden pasar en un equipo en 8 días.

Deja de perder tiempo con Panda no han detectado el Rootkis en tu equipo.

Por lo cual realiza lo siguiente:

1.- Desactiva temporalmente tu antivirus y cualquier programa de seguridad.

2.- Descarga a tu escritorio las siguientes herramientas:

Malwarebytes Anti-Rootkits

  • Lo Instalas y actualizas.
  • Realiza un Análisis Completo de acuerdo a su Manual.

3.- Descargas y ejecutas siguiendo los pasos de su Manual:

Nos traes su reporte.

4.- Ejecutas nuevamente FRST como lo hiciste anteriormente y nos traes sus reportes frescos.

5.- Para la próxima los reportes subelos uno a uno y NO en un compilado.

Guía : ¿Como Pegar reportes en el Foro?

Esperamos los reportes.

Salu2

FRST.txt (35,6 KB) mbar-log-2019-11-25 (08-22-22).txt (2,5 KB) Reporte tdsskiller.txt (329,7 KB) system-log.txt (26,2 KB)

1 me gusta

Hola @German_Castillo

Necesito que coloques el reporte de Addition que debes tenerlo en el escritorio.

Salu2.

FRST_Addition.txt (104,1 KB) Buen día. Disculpá la omisión. Gracias por la ayuda y quedo a disposición.

Hola @German_Castillo

Aun hay restos de tu Antivirus Panda Endpoint Agent.

Descarga y ejecuta su herramienta especifica de desinstalación.


Luego de reiniciar sigue estos pasos:

1.- Muy Importante >>> Realizar una copia de Seguridad de su Registro.

  • Descarga DelFix en el escritorio de Windows.
  • Clic Derecho, “Ejecutar como Administrador”.
  • En la ventana principal, marca solamente la casilla “Create Registry Backup”.
  • Clic en Run.

Al terminar se abrirá un reporte llamado DelFix.txt, guárdelo por si fuera necesario y cierre la herramienta…

2.- Abre un nuevo archivo Notepad/Bloc de Notas y copia y pega este contenido:

Start
CloseProcesses:
CreateRestorePoint:
2019-11-25 08:13 - 2019-11-25 08:13 - 000000000 ____D C:\Program Files (x86)\FONDQXIMSYHLISNDBCFPGGQDFFXNKBARIRJH
(Panda Security S.L. -> Panda Security, S.L.) C:\Program Files (x86)\Panda Security\Panda Aether Agent\AgentSvc.exe
HKLM\...\Winlogon: [Userinit] C:\Windows\SysWOW64\userinit.exe, <==== ATTENTION
HKLM\SOFTWARE\Policies\Microsoft\Windows Defender: Restriction <==== ATTENTION
HKU\S-1-5-21-1865021304-481513440-2593777952-500\...\Policies\Explorer: [] 
GroupPolicy\User: Restriction ? <==== ATTENTION
GroupPolicyScripts-x32: Restriction <==== ATTENTION
Task: {113494E9-B31F-4153-9C32-A1E126344BD9} - \RealUpgradeScheduledTaskS-1-5-21-1865021304-481513440-2593777952-1003 -> No File <==== ATTENTION
Task: {4AE9F5F7-E768-41FC-A7D2-0C2182518C32} - \RealUpgradeLogonTaskS-1-5-21-1865021304-481513440-2593777952-1003 -> No File <==== ATTENTION
HKLM\SOFTWARE\Policies\Microsoft\Windows\IPSec\Policy\Local: [ActivePolicy] SOFTWARE\Policies\Microsoft\Windows\IPSEC\Policy\Local\ipsecPolicy{585df129-5dc2-48b3-bb16-0fa77f4ef223} <==== ATTENTION 
R2 PandaAetherAgent; C:\Program Files (x86)\Panda Security\Panda Aether Agent\AgentSvc.exe [203296 2019-11-13] (Panda Security S.L. -> Panda Security, S.L.)
S2 Ms64B4101AApp; C:\Windows\System32\Ms64B4101AApp.dll [X]
NETSVC: Ms64B4101AAppBak -> no filepath.
NETSVC: Ms64B4101AApp -> C:\Windows\System32\Ms64B4101AApp.dll ==> No File
C:\Windows\System32\Ms64B4101AApp.dll
2019-11-25 08:11 - 2015-11-18 10:36 - 000000000 ____D C:\ProgramData\Panda Security
2019-11-04 08:54 - 2015-11-18 09:43 - 000000000 ____D C:\Program Files (x86)\Panda Security
2019-10-30 11:52 - 2015-11-18 10:18 - 000000000 ____D C:\Temp
WMI:subscription\__FilterToConsumerBinding->CommandLineEventConsumer.Name=\"BVTConsumer\"",Filter="__EventFilter.Name=\"BVTFilter\"::
WMI:subscription\__EventFilter->BVTFilter::[Query => SELECT * FROM __InstanceModificationEvent WITHIN 60 WHERE TargetInstance ISA "Win32_Processor" AND TargetInstance.LoadPercentage > 99]
WMI:subscription\CommandLineEventConsumer->BVTConsumer::[CommandLineTemplate => cscript KernCap.vbs][WorkingDirectory => C:\\tools\\kernrate]
AlternateDataStreams: C:\ProgramData\TEMP:A1EDB939 [114]
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Ms64B4101AApp => ""="Service"
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\Ms64B4101AApp => ""="Service"
FirewallRules: [{76E42ED6-A9D1-4F1C-B61A-DC7A92ACCC2B}] => (Allow) C:\Program Files (x86)\Panda Security\WaAgent\WAHost\WAHost.exe No File
C:\Program Files (x86)\Panda Security
FirewallRules: [{8253C8DB-B5CD-413E-BE76-8068242A5C9A}] => (Allow) C:\Program Files (x86)\Panda Security\Panda Aether Agent\AgentSvc.exe (Panda Security S.L. -> Panda Security, S.L.)
FirewallRules: [{72C9419B-6D9D-4D26-84C4-54996427E6EB}] => (Allow) C:\Program Files (x86)\Panda Security\Panda Aether Agent\AgentSvc.exe (Panda Security S.L. -> Panda Security, S.L.)

CMD: ipconfig /flushdns
CMD: ipconfig /renew
CMD: bitsadmin /reset /allusers
CMD: netsh winsock reset
CMD: netsh advfirewall reset
CMD: netsh advfirewall set allprofiles state ON
CMD: netsh int ipv4 reset
CMD: netsh int ipv6 reset
RemoveProxy:
EmptyTemp:
Hosts:
END
  • Lo guardas bajo el nombre de fixlist.txt en el escritorio <<< Esto es muy importante.

Nota: Es necesario que el ejecutable Frst.exe y fixlist.txt se encuentren en la misma ubicación (escritorio) o si no la herramienta no trabajara.

  • Ejecutas Frst.exe.
  • Presionas el botón Fix y aguardas a que termine.
  • La Herramienta guardara el reporte en tu escritorio (Fixlog.txt).
  • Lo pegas en tu próxima respuesta.

Nos comentas .

Salu2.

Buen día. Subo el log. Sigo a disposición, gracias.Fixlog.txt (10,5 KB)

Hola @German_Castillo

El Fix se ejecuto correctamente, falto que comentes como sigue el equipo?

Y para asegurarnos, dado el tipo de infección vuelve a ejecutar FRST como lo hiciste la primera vez, y nos colocas sus reportes frescos.

Salu2.

El FIX se ejecutó correctamente. Luego del reinicio, tuve que fijarle manualmente la IP ya que tengo deshabilitado el DHCP, Posterior a eso ejecuté el FRST. Mañana temprano vuelvo a ejecutarlo y subo los logs. Luego de la desintalación del Panda, la PC funciona correctamente y no observé ninguna otra anomalía. Saludos.

Hola @German_Castillo

Perfecto, por aquí esperamos los nuevos reportes de FRST y Addition.

Salu2

Addition.txt (32,2 KB) FRST.txt (37,4 KB) Shortcut.txt (102,5 KB) Buen día. Subo los logs solicitados. Me comenta el usuario dela PC que hoy se le reinició la PC, no llegó a observar si la apareció la pantalla azul, y el Panda no está instalado. Y algo que estoy notando en la red, es que cuando quiero llegar a alguna pc por su nombre o IP a través del explorador de Windows no me responde pero si el ping. Quizás ayude para avanzar con este tema. Saludos.

Hola @German_Castillo

Una consulta:

La desinfección que ejecutamos hasta ahora corrió FRST en:

  • Running from C:\Users\Administrador\Desktop

Y este ultimo reporte que colocas lo corriste de:

  • Running from D:\INGENIERIA\ESCRITORIO

Dime que es D:

Es otro Disco o partición con SO?

Una partición de guardado de archivos?

Te pregunto esto por que la infección del Rootkit esta completamente activa en esa unidad, como si no hubiéramos limpiado nada.

Nos comentas.

PD: Ademas dime si reconoces este archivo:

  • C:\Windows\System32\ Ms64B4101AApp.dll

Que es el que te inyecta el Rootkit en los Servicios y en las NETSVC

Salu2

1 me gusta

Buen día SanMar.

D: es la 2da partición del disco donde configuro que se guarden los archivos. En la unidad C: hago las instalaciones tanto de SO como de aplicaciones.

Ese archivo no lo reconozco

Hola @German_Castillo

Gracias por las respuestas.:+1:

Como la infección es persistente, necesito analizar ese equipo desde fuera del entorno de Windows.

Tienes acceso a otro equipo limpio y un USB que nunca hayas usado en este equipo problemático?, y si no lo tienes lo pides prestado :+1:


Realiza lo siguiente:

Herramientas necesarias.

  • Un ordenador limpio con conexión a Internet.
  • Un USB.

Desde el ordenador limpio:.

Desde el equipo Infectado:

Conecte el Usb en el equipo infectado…

  • Ingrese a Símbolo de Sistema del Entorno de Recuperación.:

Para acceder a las Opciones de Recuperación del Sistema:

Instrucciones para Windows 7.

  • Reinicie el equipo.
  • Tan pronto como se carga el BIOS comienze a apretar la tecla F8 hasta que aparezcan las opciones avanzadas de arranque.
  • Selecciona Reparar el Equipo y presione enter.
  • Espere a que cargue, seleccione el idioma y configuración de teclado, clic en siguiente.
  • Seleccione el sistema operativo que desee reparar y haga clic en siguiente.
  • Seleccione su cuenta de usuario haga clic en siguiente.

En el menú de Opciones de Recuperación del Sistema vera las siguientes opciones:

  • Reparación de inicio.
  • Restaurar sistema.
  • Restauración de imagen del sistema.
  • Diagnóstico de memoria de Windows.
  • Símbolo del sistema.

Una vez en el Símbolo del Sistema:

  • En la ventana de Comandos, escriba notepad.exe, presione “Enter”.
  • Se abrirá la ventana del programa, en la parte superior vaya a Archivo >>> Abrir. *Seleccione “Equipo” para encontrar la letra de su Unidad USB, cierre el Bloc de Notas.

  • Una vez dentro de la Ventana de Comandos escribe tal cual x:frst.exe o x:frst64.exe según sea su caso, donde x debe ser reemplazada por la letra de Su unidad Usb.
  • Presione Enter.
  • La herramienta comenzará a correr.
  • Cuando la herramienta se abra le mostrará la ventana “Disclaimer”, haga clic en “Sí/Yes”.

Luego abrirá la ventana del programa:

  • Pulse el botón Scan.

Al finalizar el escaneo se creará un reporte Frst.txt o Frst64.txt en su USB.

Conecte de nuevo el USB en el ordenador limpio, abra el archivo Frst.txt o Frst64.txt copie y pegue su contenido en su próxima respuesta.

Cualquier duda nos consultas.

Para tu seguridad imprime los pasos.

Salu2

Buen día. Subo log. A disposición por cualquier cosa. Gracias y saludos.FRST.txt (31,2 KB)

Hola @German_Castillo

Realice lo siguiente:

1.- En el equipo limpio:

Inicio >>> Ejecutar >>> Escribe notepad.exe.

Ahora copie y pege dentro del Notepad:

start
HKLM\...\RunOnce: [*EmptyTemp] => cmd /c rd /q/s C:\FRST\Temp
HKU\CESAR\...\Policies\Explorer: [] 
DisableService: Ms64B4101AAppB
DeleteKey: HKLM\SYSTEM\ControlSet001\Services\Ms64B4101AApp
S2 Ms64B4101AAppB; C:\Windows\System32\Ms64B4101AApp.dll [516608 2019-11-28] ()
C:\Windows\System32\Ms64B4101AApp.dll
NETSVC: Ms64B4101AApp -> no filepath.
NETSVC: Ms64B4101AAppA -> no filepath.
NETSVC: Ms64B4101AAppBak -> no filepath.
NETSVC: Ms64B4101AAppB -> C:\Windows\System32\Ms64B4101AApp.dll ()
2019-11-28 09:47 - 2019-11-28 09:47 - 000516608 ____N C:\Windows\System32\Ms64B4101AApp.dll
2019-11-28 09:45 - 2019-11-28 09:45 - 000000000 ____D C:\Program Files (x86)\FONDQXIMSYHLISNDBCFPGGQDFFXNKBARIRJH
2019-11-25 12:19 - 2019-11-25 12:19 - 001113271 _____ C:\Windows\SysWOW64\04B488D9F147B24006A0D80CDAE15ABD.CPB116
end

Lo guardas bajo el nombre de fixlist.txt en la misma USB donde se encuentra frst.exe o frst64.exe <<< Esto es muy importante.

2.- En el equipo infectado:

Inicia nuevamente las opciones de Recuperación del Sistema hasta seleccionar Símbolo del Sistema.

  • Una vez dentro de la Ventana de Comandos escribe tal cual x:frst.exe o x:frst64.exe según el caso donde x debe ser reemplazada por la letra de Su unidad Usb.
  • Presionas Enter. Se abrirá la ventana del programa.
  • Presionas una sola vez el botón Fix y esperas a que termine.
  • Se guardara un reporte en su unidad Usb llamado Fixlog.txt que pegará en su próxima respuesta.
  • Cierre la ventana del programa si quedo abierta.
  • Reinicias en Modo Normal

Luego de reiniciar realiza lo siguiente:

1.- Análisis del PC con Eset Online Scaner : Manual de Uso lee las instrucciones para salvar el reporte.

Análisis del PC con Kasperky Virus Removal Tool: Manual de Uso

  • Este no da reporte cuando te encuentres, si es que lo hace con alguna infección, tomas una imagen y la subes.

Como subir imágenes al Foro ?

Esperamos los reportes.

Salu2

1 me gusta

Log Eset Antivirus.txt (6,8 KB) log eset.txt (723 Bytes) Buen día. Creo que está todo. Gracias como siempre y sigo a disposición.

Fixlog.txt (2,1 KB)