Procesos de un gusano?

Estado
Cerrado para nuevas respuestas

scio

Nuevo Miembro
Miembro
#1
Tengo casi la total seguirada de estar infectado con algún tipo de virus gusano o troyano pero no se cual es ni puedo detectarlo con claridad.

Lo que si puedo constatar es que tengo porcesos activos que son maliciosos, como el ssms.exe, lssas.exe, csrs.exe y el service.exe.

Dejo aquí un log del hijack para que me deis algúna idea de que debo hacer, a parte de cargarme a los susodichos archivos.

Por cierto el csrs.exe lo cerre con el taskmanager antes de hacer el log. Lo cierto es que me he enterado hoy mismo de esta herramienta que resulta ser una autentica baza para detectar malwares.



Logfile of HijackThis v1.99.0

Scan saved at 15:33:25, on 19/12/2004

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\system32\SSMS.EXE

C:\WINDOWS\system32\LSSAS.EXE

C:\WINDOWS\System32\service.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\System32\taskmgr.exe

C:\Archivos de programa\Internet Explorer\iexplore.exe

C:\WINDOWS\regedit.exe

C:\Documents and Settings\Daniel\Mis documentos\hijack\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.trucoswindows.net/

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = proxy.ia2.marketscore.com:8000

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup

O8 - Extra context menu item: Abrir con Navegador GetRight - C:\ARCHIV~1\GetRight\GRbrowse.htm

O8 - Extra context menu item: Descargar con GetRight - C:\ARCHIV~1\GetRight\GRdownload.htm

O8 - Extra context menu item: Download with GetRight - C:\Archivos de programa\GetRight\GRdownload.htm

O8 - Extra context menu item: Open with GetRight Browser - C:\Archivos de programa\GetRight\GRbrowse.htm

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\MSMSGS.EXE

O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\MSMSGS.EXE

O16 - DPF: {54B52E52-8000-4413-BD67-FC7FE24B59F2} (EARTPatchX Class) - http://files.ea.com/downloads/rtpatch/v2/EARTPX.cab

O23 - Service: COM+ System Service - Unknown - C:\WINDOWS\system32\SSMS.EXE

O23 - Service: Servicio del administrador de discos lógicos - Unknown - C:\WINDOWS\System32\dmadmin.exe

O23 - Service: EPSON Printer Status Agent2 - SEIKO EPSON CORPORATION - C:\Archivos de programa\Archivos comunes\EPSON\EBAPI\SAgent2.exe

O23 - Service: Registro de sucesos - Unknown - C:\WINDOWS\system32\services.exe

O23 - Service: Servicio COM de grabación de CD de IMAPI - Unknown - C:\WINDOWS\System32\imapi.exe

O23 - Service: DDE de red - Unknown - C:\WINDOWS\system32\netdde.exe

O23 - Service: Network DDE Connections - Unknown - C:\WINDOWS\System32\service.exe

O23 - Service: DSDM de DDE de red - Unknown - C:\WINDOWS\system32\netdde.exe

O23 - Service: NVIDIA Display Driver Service - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

O23 - Service: Plug and Play - Unknown - C:\WINDOWS\system32\services.exe

O23 - Service: Administrador de sesión de Ayuda de escritorio remoto - Unknown - C:\WINDOWS\system32\sessmgr.exe

O23 - Service: Sistema de ayuda de tarjeta inteligente - Unknown - C:\WINDOWS\System32\SCardSvr.exe

O23 - Service: Tarjeta inteligente - Unknown - C:\WINDOWS\System32\SCardSvr.exe

O23 - Service: SoundMAX Agent Service - Analog Devices, Inc. - C:\Archivos de programa\Analog Devices\SoundMAX\SMAgent.exe

O23 - Service: Registros y alertas de rendimiento - Unknown - C:\WINDOWS\system32\smlogsvc.exe

O23 - Service: Instantáneas de volumen - Unknown - C:\WINDOWS\System32\vssvc.exe

O23 - Service: Adaptador de rendimiento de WMI - Unknown - C:\WINDOWS\System32\wbem\wmiapsrv.exe

Espero que podais ayudarme y sobre todo queria saber como librarme del intruso y quien demonios es ese cabro....

Asias de nuevo.
 

alnitak

Ex-Admin
Miembro
#2
NOTA IMPORTANTE: Por favor, no posteen sus logs juntos a los de otra persona porque se prestará a generar confusión, abran un nuevo tema para plantear su problema y posteen su log ahí.
Hola,

Si estás infectado pero no veo bien como se arrancan, vamos a intentar remover el servicio service.exe.

si dispones de un punto de restauración anterior a los problemas deberías intentar usarlo y después tomar otro log, es la única manera segura y la más rápida de solucionar el problema. Si no dispones de un punto de restauración sigue las siguientes instrucciones:

Por favor, bájate e instala el programa Disk Cleaner

Asegúrate que tu sistema operativo muestre los archivos y carpetas ocultos:

Mostrar archivos ocultos

Desactiva la opción de restaurar el sistema

Activar/desactivar restaurar el sistema

Reinicia el sistema en modo seguro:

Como reiniciar a prueba de fallos

Ejecuta el HijackThis 1.99.0.

Cierra todos los navegadores, tanto los navegadores Web como el Explorador de Windows (es indispensable que los cierres o no resultará)

Corre el HijackThis, dale a Scan , revisa las casillas de las siguientes entradas y dale a fix:

O23 - Service: Network DDE Connections - Unknown - C:\WINDOWS\System32\service.exe



Cierra el HijackThis, elimina los archivos temporales y cookies con el disk cleaner: marcas las casillas System Tempory Files,Tempory Internet Files , Internet Cookies y las demás que te provoque marcar después le das a Clean.

Elimina estos archivos si todavía existen:

C:\WINDOWS\system32\SSMS.EXE

C:\WINDOWS\system32\LSSAS.EXE

C:\WINDOWS\System32\service.exe

Limpia la papelera.

Reinicia normalmente el sistema.

Toma otro log después de seguir todas las instrucciones

NOTA IMPORTANTE: Por favor, no posteen sus logs juntos a los de otra persona porque se prestará a generar confusión, abran un nuevo tema para plantear su problema y posteen su log ahí.
 

scio

Nuevo Miembro
Miembro
#3
bueno veo que me respondes como al resto de usuarios esa forma standarizada esta bien pero...

¿Sabes que que se trata? quiero saber que coñ... bicho ma entrao.

Tus indicaciones dejan fuera a otro archivo que en mi post dejaba claro que también estaba funcionando; solo que yo lo había finalizado, es el "csrs.exe".

Perdona si mi lenguaje te parece ofensivo o inquisitivo. No es mi intencion criticar u analizar tu obra pues creo que hazes algo impresionante ayudandonos a todos.

Tras esta explicación quisiera que me dijeras la forma de haberiguar quien es el bicho.

Tus indicaciones solo lo eliminan cosa que leyendo otros de tus post ya había pensado hacer.

Pero tras algúnas pruebas lo he dejado latente desactivando los sevicios que lo activan en cada arranque. Son nombres de servicios que el mismo crea. Con desabilitarlos no puede ejecutarse y parece que no tiene ningún otro sistema de ejecucion. Dicho esto me gustaría que me ayudaras a averiguar quien es el bicho.

Porsi le sirve a otras personas el bich no cuestion no presenta sintomas en el ordenador, aunque si un descenso del rendimiento, aunque muy leve lo cual permite que lo pasemos por alto. En el taskmanager se observan 4 programas con nombres muy parecidos a archivos de estructura del sistema windows:

Lssas.exe

ssms.exe

csrs.exe

service.exe

Siendo los autenticos archivos de Windows los siguientes

Lsass.exe

smss.exe

csrss.exe

services.exe

Los archivos del bicho ( pues no se lo que realmente es) están en c:\windows\system32 para las personas que tengais el WindowsXP

El bicho se autoarranca cada vez que encendemos el ordenador añadiendo nuevos servicios a nuestro sistema operativo. Esto podéis verlo ejecutando el "services.msc". Los servicios que el bicho a creado en mi sistema son:

com+ System Service -el cual arranca a ssms.exe

Network DDE Conections -este arranca al service.exe

Son estos dos servicios copias muy parecidas de los nombres que utiliza Windows para servicios necesarios en algúnos casos para nuestro sistema operativo como son:

Sistema de sucesos COM+ -que arranca el archivo "svchost.exe -k netsvcs"

DDE de red -que arranca el archivo "netdde.exe"

A parte de estos datos no he podido haberiguar nada mas del bicho, se mimetiza con el sistema y lo ralentiza un poco pero nada mas he podido apreciar.

Tras deshabilitar los dos servicios que ejecutaban a ssms.exe y service.exe he recuperado un poco de velocidad y ninguno de los programas ajenos al sistema que se ejecutaban en el arranque han vuelto a aprarecer. Por tanto sigo teniendo los archivos en el ordenador y el bicho esta latente, aunque no pueda tocarme :D

ahora lo que me gustaría es saber quien es el bicho y que es lo que ha estado haciendo.

alnitak muchas gracias y mi pregunta ¿que se te ocurre para averiguar quien es el bicho? y ¿crees que elimiando las entradas que ha creado en el servicio de Windows y los archivos que se ejecutan con el, estará totalmente eliminado o me quedaran restos de el en el disco duro ( se que no tiene importancia pero, me lo quiero cargar a consciencia)?

Muchos saludos alnitak y de nuevo felicidades por tu trabajo.
 

scio

Nuevo Miembro
Miembro
#6
otra vez gracias arwing y me cago en el explorer que se ma jodio hace un momento, cuando posteaba.

¿sabes si existen listas de gusanos segun los nombres archivos que carga en memoria?

¿O cual es la forma de identificar a un gusano?
 

alnitak

Ex-Admin
Miembro
#7
bueno veo que me respondes como al resto de usuarios esa forma standarizada esta bien pero.
Efectivamente no me queda otra que responder de forma standarizada porque no tendría absolutamente tiempo para entrar en detalles. Este bicho que te ha infectado parace ser un gusano y no es tan nuevo porque es la segunda vez que lo veo y la vez pasada fue hace mas de una mes,a pesar de eso no se logra encontrar en la red ninguna información acertada sobre el mismo. Entiende por favor que cada día se descubren varios malwares nuevos, y si ya hablamos de gusanos existen docenas de variantes para cada uno de ellos que utilizan nombres diferentes para los ejecutables a pesar de ser el mismo codigo. Es realmente imposible andar detrás de todos pero los mas recientes suelen tener algúnas caracteristicas comunes:

Aprovechan vulnerabilidades de Windows para infectar y propagarse, muchos usan listas de passwords y nombres para violar las contraseñas de unidades compartidas y así infectar un sistema.

Se autoenvian a través del correo a nuestras listas de contactos para propagar la infeccion.

Poseen caracteristicas de troyanos y conectan a un canal del IRC esperando ordenes.

Realmente no hace falta conocer el nombre de un gusano, el patrón es el mismo con muy pocas variaciones y mientras se disponga de un firewall, se mantenga el sistema actualizado y no se cometan imprudencias como abrir adjuntos sospechosos del correo electronico los riesgos de contagiarse son minimos.
 
Estado
Cerrado para nuevas respuestas
Arriba Pie