Virus, genera temporales y reinicio de pc, Ms64B4101AApp.dll Win32/Packed.VMProtect.ABD Troyano

Hola @German_Castillo

Realice lo siguiente:

1.- En el equipo limpio:

Inicio >>> Ejecutar >>> Escribe notepad.exe.

Ahora copie y pege dentro del Notepad:

start
HKLM\...\RunOnce: [*EmptyTemp] => cmd /c rd /q/s C:\FRST\Temp
HKU\CESAR\...\Policies\Explorer: [] 
DisableService: Ms64B4101AAppB
DeleteKey: HKLM\SYSTEM\ControlSet001\Services\Ms64B4101AApp
S2 Ms64B4101AAppB; C:\Windows\System32\Ms64B4101AApp.dll [516608 2019-11-28] ()
C:\Windows\System32\Ms64B4101AApp.dll
NETSVC: Ms64B4101AApp -> no filepath.
NETSVC: Ms64B4101AAppA -> no filepath.
NETSVC: Ms64B4101AAppBak -> no filepath.
NETSVC: Ms64B4101AAppB -> C:\Windows\System32\Ms64B4101AApp.dll ()
2019-11-28 09:47 - 2019-11-28 09:47 - 000516608 ____N C:\Windows\System32\Ms64B4101AApp.dll
2019-11-28 09:45 - 2019-11-28 09:45 - 000000000 ____D C:\Program Files (x86)\FONDQXIMSYHLISNDBCFPGGQDFFXNKBARIRJH
2019-11-25 12:19 - 2019-11-25 12:19 - 001113271 _____ C:\Windows\SysWOW64\04B488D9F147B24006A0D80CDAE15ABD.CPB116
end

Lo guardas bajo el nombre de fixlist.txt en la misma USB donde se encuentra frst.exe o frst64.exe <<< Esto es muy importante.

2.- En el equipo infectado:

Inicia nuevamente las opciones de Recuperación del Sistema hasta seleccionar Símbolo del Sistema.

  • Una vez dentro de la Ventana de Comandos escribe tal cual x:frst.exe o x:frst64.exe según el caso donde x debe ser reemplazada por la letra de Su unidad Usb.
  • Presionas Enter. Se abrirá la ventana del programa.
  • Presionas una sola vez el botón Fix y esperas a que termine.
  • Se guardara un reporte en su unidad Usb llamado Fixlog.txt que pegará en su próxima respuesta.
  • Cierre la ventana del programa si quedo abierta.
  • Reinicias en Modo Normal

Luego de reiniciar realiza lo siguiente:

1.- Análisis del PC con Eset Online Scaner : Manual de Uso lee las instrucciones para salvar el reporte.

Análisis del PC con Kasperky Virus Removal Tool: Manual de Uso

  • Este no da reporte cuando te encuentres, si es que lo hace con alguna infección, tomas una imagen y la subes.

Como subir imágenes al Foro ?

Esperamos los reportes.

Salu2

1 me gusta

Log Eset Antivirus.txt (6,8 KB) log eset.txt (723 Bytes) Buen día. Creo que está todo. Gracias como siempre y sigo a disposición.

Fixlog.txt (2,1 KB)

Hola @German_Castillo

Perfecto, lo que más te detectan los online es el/los Activadores.

El Fix se ejecutó correctamente, para asegurarnos ejecuta en Modo Normal FRST como lo hiciste la primera vez y nos pegas nuevamente sus dos reportes.

Salu2

Buen día SanMar.

Subo los logs. FRST.txt (36,3 KB) Addition.txt (30,7 KB) Shortcut.txt (102,9 KB)

Saludos y gracias

Hola @German_Castillo

Disculpa, tal vez no fui clara en mi anterior respuesta, tienes que correr FRST desde el escritorio de C:, ya que aun hay restos de la infección :grimacing:

Dime también si reconoces estas entradas, si las has configurado tu:

Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Sincronizacion.bat [2017-06-01] () [File not signed]
Startup: C:\Users\INDICADORES\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Sincronizacion.bat [2017-06-01] () [File not signed]
HKLM\SOFTWARE\Policies\Microsoft\Windows\IPSec\Policy\Local: [ActivePolicy] SOFTWARE\Policies\Microsoft\Windows\IPSEC\Policy\Local\ipsecPolicy{585df129-5dc2-48b3-bb16-0fa77f4ef223} <==== ATTENTION (Restriction - IP)

Salu2

Hola @German_Castillo

Ademas luego de reiniciar realiza lo siguiente:

Desactive temporalmente su Antivirus:

Descargue la herramienta: ComboFix

  • Guárdela en el escritorio de C:. >>> Esto es Muy Importante

Nota Antes de ejecutar ComboFix asegurarse de :

  • Cerrar TODOS los programas y/o ventanas abiertas. :negative_squared_cross_mark:

  • Si está utilizando Windows Vista o Windows 7/8. Haga click derecho sobre el archivo ComboFix.exe y seleccionar Ejecutar como Administrador.:

Paso 1:

  • Ejecute el archivo ComboFix.exe
  • Acepte los términos de licencia.
  • Si ComboFix le avisa que hay una versión nueva del programa deberá descargarla.
  • Si ComboFix le pide instalar la Consola de Recuperación (Recovery Console) hay que instalarla.

Paso 2:

  • Copiar y pegar el reporte que ComboFix generó. Si no aparece lo encontrará en C:\ComboFix.txt
  • Comentar cómo sigue su sistema, en relación al problema planteado.

Importante :

  • Mientras esté trabajando ComboFix no ejecutar ningún software hasta que termine.
  • No reiniciar su PC, ComboFix lo hará de ser necesario.
  • Mientras ComboFix esté trabajando, no mover el mouse ya que pararía su proceso.

Guía : ¿Como Pegar reportes en el Foro?

Esperamos esos reporte.

Salu2.

1 me gusta

Buen día SanMar. disculpá que no te contesté antes, me fué imposible. Paso a comentar.

Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Sincronizacion.bat [2017-06-01] () [File not signed]
Startup: C:\Users\INDICADORES\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Sincronizacion.bat [2017-06-01] () [File not signed]
HKLM\SOFTWARE\Policies\Microsoft\Windows\IPSec\Policy\Local: [ActivePolicy] SOFTWARE\Policies\Microsoft\Windows\IPSEC\Policy\Local\ipsecPolicy{585df129-5dc2-48b3-bb16-0fa77f4ef223} <==== ATTENTION (Restriction - IP)

Respecto a estos 3 items, los 2 primero (sincronización.bat) es un ejecutable que reconocemos, ya que lo hicimos y lo ponemos en el arranque de algunas PC para sincronizar fecha y hora con un servidor.

El otro registro, desconozco de que es.

Respecto al análisis con el FRST, lo había interpretado mal, mala mía. Ya lo ejecuté desde el escritorio de la sesión INGENIERIA. Posterior a esto, reinicio la PC y corro combofix. Luego de unos minutos, cierra la sesión y reinicia automáticamente (no se si es parte normal del proceso de la herramienta) y luego cuando abro la sesión de INGENIERIA, empiezan a abrirse simultáneamente, múltiples ventanas (CMD) con el título ComboFix limitándome mucho en las acciones a tomar, lo dejé un rato largo para ver si terminaba pero nada.

Forcé reinicio PC (Reset) y luego entré como administrador, ahí me abrió una ventana (CMD) de combofix indicándome que espere para generar el log. Luego de eso continuó todo normalmente. Subo los log y aguardo instrucciones. Sigo a disposición como siempre.

GraciasFRST.txt (36,5 KB) Addition.txt (32,0 KB) Shortcut.txt (100,8 KB) Combofix.txt (9,4 KB) FRST.txt (36,5 KB) Addition.txt (32,0 KB) Shortcut.txt (100,8 KB)

Hola @German_Castillo

Combofix:

Con mucha atención realizas lo siguiente:

1.-Abrir el Notepad (Bloc de Notas)

  • Ir a INICIO >>> EJECUTAR >>>Escribir notepad.exe presionas ACEPTAR

2.-Ahora copia y pega estos archivos dentro del Notepad:

KillAll::

ClearJavaCache:: 

NetSvc::
Ms64B4101AAppC

Registry:: 
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Ms64B4101AAppA]
@=-

3.- Graba este archivo con el nombre CFScript.txt y déjalo en tu escritorio.

4.- Arrastrar y soltar el archivo CFScript.txt sobre el archivo ComboFix.exe como lo muestra la animación de abajo. Esto activara ComboFix nuevamente.

CFScript_small

  • Reinicia tu PC

Nos traes el reporte que genere.


Luego de reiniciar necesito que ejecutes FRST pero desde la cuenta :

Running from C:\Users\Administrador\Desktop

Y nos pegues los reportes.

Salu2

Buen día. subo los reportes solicitados. FRST.txt (38,0 KB) Addition.txt (29,5 KB) Shortcut.txt (100,8 KB) Combofix.txt (10,2 KB)

Hola @German_Castillo

Siguiendo la ruta revisa si tienes el siguiente archivo:

C:\Windows\System32\ Ms64B4101AApp.dll

Si lo encuentras subelo a VirusTotal:

Nos comentas.

Salu2

Buen día. El archivo no está. Ya lo busqué en otros equipos también cuando lo detectaba el antivirus y tampoco estaba. Esta PC con la que estamos realizando todas estas pruebas no se reinició más. Sale un cartel de un problema de windows. Subo captura de pantalla y detalle de error por si aporta algo. Consulto, ya detectaste bien el malware? hay alguna manera manera de frenar su propagación y de desinfectarlo masivamente?. gracias y saludos.error windows error windows.txt (810 Bytes)

Hola @German_Castillo

Perfecto, el reinicio lo provocaba el Rootkit que da la falla con el antivirus.

Ya lo veremos al final si aun continua.

Si esta detectado, el problema es que las herramientas de eliminación automática no lo detectan/eliminan, ademas el mayor de los problemas que tenemos es que realizas los pasos a remoto para poder eliminar este tipo de malwares seria muy importante que pudieras hacer los pasos en modo “presencial” y desconectando el equipo de Internet y de la RED. Y no volver a conectarlos entre si o a la red hasta que no estén limpios

Y ejecutando en Modo Seguro por ejemplo.

En el ultimo script se me escapo una linea, mil disculpas por ello vamos nuevamente con:

Combofix:

Con mucha atención realizas lo siguiente:

1.-Abrir el Notepad (Bloc de Notas)

  • Ir a INICIO >>> EJECUTAR >>>Escribir notepad.exe presionas ACEPTAR

2.-Ahora copia y pega estos archivos dentro del Notepad:

KillAll::

ClearJavaCache:: 

Registry::
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Ms64B4101AAppA]
@=-

NetSvc::
Ms64B4101AAppC

Driver::
Ms64B4101AAppA


3.- Graba este archivo con el nombre CFScript.txt y déjalo en tu escritorio.

4.- Arrastrar y soltar el archivo CFScript.txt sobre el archivo ComboFix.exe como lo muestra la animación de abajo. Esto activara ComboFix nuevamente.

CFScript_small

  • Reinicia tu PC

Nos traes el reporte que genere luego del reinicio.


Luego busca manualmente la carpeta:

  • C:\Users\Administrador\AppData\Local\ temp

Y borras todo el contenido dentro de esa carpeta, vacías la papelera.


Nos comentas.

Salu2

1 me gusta

Buen día.Subo el log solicitado. Te comento que todos los análisis los hice presencialmente. No sabía que tenía que hacerlos desconectado de la red e internet. Si es necesario, los vuelvo a realizar. A disposición y gracias por las respuestas y seguimiento del caso. Algo que me olvidaba de comentar, me resultaría muy dificil dejar fuera de la red los equipos que vaya analizando y limpiando. Por eso consulto, desde la ignorancia, si a medida que limpie equipos se puede asegurar que los mismos no vuelvan a infectarse así voy evitando la propagación y si hay alguna herramienta para utilizar a través de la red.Combofix.txt (10,3 KB) Saludos.

Hola @German_Castillo

Es que tu me escribiste por allí que lo hacías a remoto por ello no te indique los pasos completos.

En este tipo de casos suele ser el ideal.

Lo imagino pero el problema es que como has visto es bastante complicado limpiar uno, y en cuanto lo conectes a los otros (red) si no están limpios lo re infectaras.


Prueba lo siguiente para ver si el equipo quedo 100 x 100 limpio:

1.- Desinstala con su Herramienta especifica la versión 3.xxx de Malwarebytes que tienes instalada en ese equipo.

2.- Reinicias e Instalas su versión 4, te aseguras que actualice.

Desconecta el PC de Internet incluso desconecta el cable, apaga el Router .

3.- Reinicia el equipo en Modo Seguro (Sin Red)

Te dejo su Manual para que sepas ejecutarlo marca todas sus casillas especialmente el análisis de Rootkits.

4.- Reinicias el equipo, lo conectas a la red y ejecutas esta vez la Herramienta Malwarebytes Antirootkits . Esta fue la única herramienta que lo detecto (fuera de FRST y Combofix), pero no pudo cargárselo por completo.

Salu2

Hola @German_Castillo

Ademas realizaras una búsqueda en tu registro con FRST ya que aun quedo una entrada, pero de la siguiente manera:

1.- Ejecuta nuevamente desde tu escritorio FRST.exe. >>> Botón Derecho sobre él y selecciona “Ejecutar como Administrador”

  • En el mensaje de la ventana del Disclaimer , pulsa en Yes
  • En la ventana principal del programa al lado de Search escribes:

Ms64B4101AAppC

1

Presionas en el botón Search Registry. Search_Registry

  • Al finalizar se abrirá un archivo llamado SearchReg.txt que quedará grabado en tu escritorio

Lo pegas en tu próxima respuesta.

Salu2.

1 me gusta

SearchReg.txt (799 Bytes) Análisis completo MB.txt (1,9 KB) Buen día. De las tareas listadas, la única que no pude realizar es el 2do análisis completo con MalwareBytes ingresando a Windows de manera normal. Mejor dicho, iniciaba el análisis y luego de unos minutos, pantalla azul, error de volcado de memoria y se reiniciaba. Esto me sucedión en 3 oportunidades y al estar haciendo otras cosas no hice tiempo a sacarle una foto.

Saludos.

Hola @German_Castillo

Disculpa la demora, estuvimos investigando tu entrada.

Intenta lo siguiente, si tienes algún error con la ejecución del programa no insistas, solo vienes y lo comentas.


Realiza los siguientes pasos, con esta herramienta :arrow_right: N-Repair.exe | @Infospyware, que debes descargar en tu escritorio. :+1:

  • Cerrar todos los programas que puedas tener abiertos.
  • Después debes ejecutarla haciendo doble click.(Si usas Windows Vista o 7, presiona clic derecho y seleccionas Ejecutar como Administrador).
  • En la ventana que te saldrá pulsar sobre el botón Reparar Netsvcs y responder la pregunta, con Si en caso de ser correcto el sistema operativo detectado.
  • Cuando termine el proceso saldrá una ventana de aviso indicando que el sistema se va a Reiniciar, debemos pulsar en Aceptar.
  • Al Reiniciar debería aparecer un informe, que nos debes copiar y pegar entero en tu próxima respuesta, este informe lo puedes también encontrar en C:\N-Repair.txt

Una vez Reiniciado el equipo comprobar si hay algún cambio y comentarlo. :thinking:

Saludos.

Buen día SanMar. Disculpá que no te contesté más. Estuve muy complicado, cada vez más problemas en la red me está generando esto. Pierdo comunicación en red entre diversos equipos cuando me responde el ping, etc. Estuve re instalando varios equipos. Es más, esta PC donde estábamos trabajando, programé para re instalarla el miércoles ya que comenzó nuevamente con los reinicios y pantallazos azules.

Quedo a disposición si quieren hacer alguna evaluación y se agradecen sugerencias para avanzar con el tema.

Buen comienzo de año.

Saludos.

Hola @German_Castillo

Dado el tiempo transcurrido y si ya formateaste el equipo, comentarlo y volvemos a investigarlo recién instalado y antes que lo conectes a tu red de equipos.

Buen año para ti también…:+1:

Salu2