Hola @German_Castillo
Perfecto, lo que más te detectan los online es el/los Activadores.
El Fix se ejecutó correctamente, para asegurarnos ejecuta en Modo Normal FRST como lo hiciste la primera vez y nos pegas nuevamente sus dos reportes.
Salu2
Hola @German_Castillo
Perfecto, lo que más te detectan los online es el/los Activadores.
El Fix se ejecutó correctamente, para asegurarnos ejecuta en Modo Normal FRST como lo hiciste la primera vez y nos pegas nuevamente sus dos reportes.
Salu2
Buen día SanMar.
Subo los logs. FRST.txt (36,3 KB) Addition.txt (30,7 KB) Shortcut.txt (102,9 KB)
Saludos y gracias
Hola @German_Castillo
Disculpa, tal vez no fui clara en mi anterior respuesta, tienes que correr FRST desde el escritorio de C:, ya que aun hay restos de la infección
Dime también si reconoces estas entradas, si las has configurado tu:
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Sincronizacion.bat [2017-06-01] () [File not signed]
Startup: C:\Users\INDICADORES\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Sincronizacion.bat [2017-06-01] () [File not signed]
HKLM\SOFTWARE\Policies\Microsoft\Windows\IPSec\Policy\Local: [ActivePolicy] SOFTWARE\Policies\Microsoft\Windows\IPSEC\Policy\Local\ipsecPolicy{585df129-5dc2-48b3-bb16-0fa77f4ef223} <==== ATTENTION (Restriction - IP)
Salu2
Hola @German_Castillo
Ademas luego de reiniciar realiza lo siguiente:
Desactive temporalmente su Antivirus:
Descargue la herramienta: ComboFix
Nota Antes de ejecutar ComboFix asegurarse de :
Cerrar TODOS los programas y/o ventanas abiertas.
Si está utilizando Windows Vista o Windows 7/8. Haga click derecho sobre el archivo ComboFix.exe y seleccionar Ejecutar como Administrador.:
Paso 1:
Paso 2:
Importante :
Guía : ¿Como Pegar reportes en el Foro?
Esperamos esos reporte.
Salu2.
Buen día SanMar. disculpá que no te contesté antes, me fué imposible. Paso a comentar.
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Sincronizacion.bat [2017-06-01] () [File not signed]
Startup: C:\Users\INDICADORES\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Sincronizacion.bat [2017-06-01] () [File not signed]
HKLM\SOFTWARE\Policies\Microsoft\Windows\IPSec\Policy\Local: [ActivePolicy] SOFTWARE\Policies\Microsoft\Windows\IPSEC\Policy\Local\ipsecPolicy{585df129-5dc2-48b3-bb16-0fa77f4ef223} <==== ATTENTION (Restriction - IP)
Respecto a estos 3 items, los 2 primero (sincronización.bat) es un ejecutable que reconocemos, ya que lo hicimos y lo ponemos en el arranque de algunas PC para sincronizar fecha y hora con un servidor.
El otro registro, desconozco de que es.
Respecto al análisis con el FRST, lo había interpretado mal, mala mía. Ya lo ejecuté desde el escritorio de la sesión INGENIERIA. Posterior a esto, reinicio la PC y corro combofix. Luego de unos minutos, cierra la sesión y reinicia automáticamente (no se si es parte normal del proceso de la herramienta) y luego cuando abro la sesión de INGENIERIA, empiezan a abrirse simultáneamente, múltiples ventanas (CMD) con el título ComboFix limitándome mucho en las acciones a tomar, lo dejé un rato largo para ver si terminaba pero nada.
Forcé reinicio PC (Reset) y luego entré como administrador, ahí me abrió una ventana (CMD) de combofix indicándome que espere para generar el log. Luego de eso continuó todo normalmente. Subo los log y aguardo instrucciones. Sigo a disposición como siempre.
GraciasFRST.txt (36,5 KB) Addition.txt (32,0 KB) Shortcut.txt (100,8 KB) Combofix.txt (9,4 KB) FRST.txt (36,5 KB) Addition.txt (32,0 KB) Shortcut.txt (100,8 KB)
Hola @German_Castillo
Combofix:
Con mucha atención realizas lo siguiente:
1.-Abrir el Notepad (Bloc de Notas)
2.-Ahora copia y pega estos archivos dentro del Notepad:
KillAll::
ClearJavaCache::
NetSvc::
Ms64B4101AAppC
Registry::
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Ms64B4101AAppA]
@=-
3.- Graba este archivo con el nombre CFScript.txt y déjalo en tu escritorio.
4.- Arrastrar y soltar el archivo CFScript.txt sobre el archivo ComboFix.exe como lo muestra la animación de abajo. Esto activara ComboFix nuevamente.
Nos traes el reporte que genere.
Luego de reiniciar necesito que ejecutes FRST pero desde la cuenta :
Running from C:\Users\Administrador\Desktop
Y nos pegues los reportes.
Salu2
Buen día. subo los reportes solicitados. FRST.txt (38,0 KB) Addition.txt (29,5 KB) Shortcut.txt (100,8 KB) Combofix.txt (10,2 KB)
Hola @German_Castillo
Siguiendo la ruta revisa si tienes el siguiente archivo:
C:\Windows\System32\ Ms64B4101AApp.dll
Si lo encuentras subelo a VirusTotal:
Nos comentas.
Salu2
Buen día. El archivo no está. Ya lo busqué en otros equipos también cuando lo detectaba el antivirus y tampoco estaba. Esta PC con la que estamos realizando todas estas pruebas no se reinició más. Sale un cartel de un problema de windows. Subo captura de pantalla y detalle de error por si aporta algo. Consulto, ya detectaste bien el malware? hay alguna manera manera de frenar su propagación y de desinfectarlo masivamente?. gracias y saludos. error windows.txt (810 Bytes)
Hola @German_Castillo
Perfecto, el reinicio lo provocaba el Rootkit que da la falla con el antivirus.
Ya lo veremos al final si aun continua.
Si esta detectado, el problema es que las herramientas de eliminación automática no lo detectan/eliminan, ademas el mayor de los problemas que tenemos es que realizas los pasos a remoto para poder eliminar este tipo de malwares seria muy importante que pudieras hacer los pasos en modo “presencial” y desconectando el equipo de Internet y de la RED. Y no volver a conectarlos entre si o a la red hasta que no estén limpios
Y ejecutando en Modo Seguro por ejemplo.
En el ultimo script se me escapo una linea, mil disculpas por ello vamos nuevamente con:
Combofix:
Con mucha atención realizas lo siguiente:
1.-Abrir el Notepad (Bloc de Notas)
2.-Ahora copia y pega estos archivos dentro del Notepad:
KillAll::
ClearJavaCache::
Registry::
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Ms64B4101AAppA]
@=-
NetSvc::
Ms64B4101AAppC
Driver::
Ms64B4101AAppA
3.- Graba este archivo con el nombre CFScript.txt y déjalo en tu escritorio.
4.- Arrastrar y soltar el archivo CFScript.txt sobre el archivo ComboFix.exe como lo muestra la animación de abajo. Esto activara ComboFix nuevamente.
Nos traes el reporte que genere luego del reinicio.
Luego busca manualmente la carpeta:
Y borras todo el contenido dentro de esa carpeta, vacías la papelera.
Nos comentas.
Salu2
Buen día.Subo el log solicitado. Te comento que todos los análisis los hice presencialmente. No sabía que tenía que hacerlos desconectado de la red e internet. Si es necesario, los vuelvo a realizar. A disposición y gracias por las respuestas y seguimiento del caso. Algo que me olvidaba de comentar, me resultaría muy dificil dejar fuera de la red los equipos que vaya analizando y limpiando. Por eso consulto, desde la ignorancia, si a medida que limpie equipos se puede asegurar que los mismos no vuelvan a infectarse así voy evitando la propagación y si hay alguna herramienta para utilizar a través de la red.Combofix.txt (10,3 KB) Saludos.
Hola @German_Castillo
Es que tu me escribiste por allí que lo hacías a remoto por ello no te indique los pasos completos.
En este tipo de casos suele ser el ideal.
Lo imagino pero el problema es que como has visto es bastante complicado limpiar uno, y en cuanto lo conectes a los otros (red) si no están limpios lo re infectaras.
Prueba lo siguiente para ver si el equipo quedo 100 x 100 limpio:
1.- Desinstala con su Herramienta especifica la versión 3.xxx de Malwarebytes que tienes instalada en ese equipo.
2.- Reinicias e Instalas su versión 4, te aseguras que actualice.
Desconecta el PC de Internet incluso desconecta el cable, apaga el Router .
3.- Reinicia el equipo en Modo Seguro (Sin Red)
Te dejo su Manual para que sepas ejecutarlo marca todas sus casillas especialmente el análisis de Rootkits.
4.- Reinicias el equipo, lo conectas a la red y ejecutas esta vez la Herramienta Malwarebytes Antirootkits . Esta fue la única herramienta que lo detecto (fuera de FRST y Combofix), pero no pudo cargárselo por completo.
Salu2
Hola @German_Castillo
Ademas realizaras una búsqueda en tu registro con FRST ya que aun quedo una entrada, pero de la siguiente manera:
1.- Ejecuta nuevamente desde tu escritorio FRST.exe. >>> Botón Derecho sobre él y selecciona “Ejecutar como Administrador”
Ms64B4101AAppC
Presionas en el botón Search Registry.
Lo pegas en tu próxima respuesta.
Salu2.
SearchReg.txt (799 Bytes) Análisis completo MB.txt (1,9 KB) Buen día. De las tareas listadas, la única que no pude realizar es el 2do análisis completo con MalwareBytes ingresando a Windows de manera normal. Mejor dicho, iniciaba el análisis y luego de unos minutos, pantalla azul, error de volcado de memoria y se reiniciaba. Esto me sucedión en 3 oportunidades y al estar haciendo otras cosas no hice tiempo a sacarle una foto.
Saludos.
Hola @German_Castillo
Disculpa la demora, estuvimos investigando tu entrada.
Intenta lo siguiente, si tienes algún error con la ejecución del programa no insistas, solo vienes y lo comentas.
Realiza los siguientes pasos, con esta herramienta N-Repair.exe | @Infospyware, que debes descargar en tu escritorio.
Una vez Reiniciado el equipo comprobar si hay algún cambio y comentarlo.
Saludos.
Buen día SanMar. Disculpá que no te contesté más. Estuve muy complicado, cada vez más problemas en la red me está generando esto. Pierdo comunicación en red entre diversos equipos cuando me responde el ping, etc. Estuve re instalando varios equipos. Es más, esta PC donde estábamos trabajando, programé para re instalarla el miércoles ya que comenzó nuevamente con los reinicios y pantallazos azules.
Quedo a disposición si quieren hacer alguna evaluación y se agradecen sugerencias para avanzar con el tema.
Buen comienzo de año.
Saludos.
Hola @German_Castillo
Dado el tiempo transcurrido y si ya formateaste el equipo, comentarlo y volvemos a investigarlo recién instalado y antes que lo conectes a tu red de equipos.
Buen año para ti también…
Salu2