SerPan
Shell Level 2
Registrado: 11 Abr 2006
Mensajes: 33
|
 Publicado: Jue Feb 04, 2010 6:11 am Asunto: Virus |
 |
|
Virussss !!!!
Les cuento esta "historieta" que creo que está resuelta por si alguien me puede alumbrar un poco más.
Gracias
Esta vez no me tocó a mí . Es un amigo que me llama al teléfono para que le eche un cabo.
Se disponía de varias copias espejo con Acronis.
Copia espejo del 25.01.2010
Copia espejo del 02.02.2010
y alguna adicional anterior que no utilizamos.
Su mensaje al teléfono es claro : no puedo trabajar.
El sistema no me deja hacer nada.
Ya in situ observo que al intentar acceder al administrador de tareas aparece una ventana que dice que el ejecutable correspondiente está infectado.
Al intentar acceder a la ayuda del sistema que el correspondiente ejecutable está infectado.
Al intentar acceder a propiedades de Mi PC que el correspondiente ejecutable está infectado.
En todas ellas invita a ejecutar un supuesto antivirus para limpiar las infecciones.
El antivirus Eset Nod 32 funciona con normalidad.
Lamentablemente no había instalado un captura pantallas , así que mi información es un poco incompleta.
Hago exportación de configuración de el cliente de correos que utiliza : Magentic o algo así.
msconfig.exe no lo deja editar
Reinicio sistema.
Accedo a msconfig.exe
me llaman la atención los procesos : sencillamente porque no se lo que son. Luego en un portátil consultamos su procedencia. Unos son de la tarjeta gráfica Nvidia...Otro parece un proceso del Avast! (????????)
RTHDCPL.exe
nwiz.exe
Nvcpl.exe
Nvmctray.exe
lknysftav.exe ---------- > la madre de todos los corderos.....
El último será concluyente el que estaba afectando, pero en google no aparece nada de este proceso.....
Mientras se activa la ventana de las infecciones aprovecho para copiar carpetas del escritorio al disco de datos y otras copias de seguridad adicionales.
Ejecuto el Eset Nod 32.
A pesar de lo cual al ratito otra vez la serie de ventanas avisando infección en todo archivo que ejecuto : word, administrador de tareas, y tampoco me permite instalar nada nuevo.
El archivo sospechoso está ubicado en :
C:\Documents and settings\nombre usuario\configuracion local\datos de programa\twjblg\hgapsftav.exe
La restauración de las copias espejo, para nuestra sorpresa, volvía a reproducir el problema. Tanto con la copia del 02.02.2010, como con la del 25.01.2010 los avisos de infección volvían a aparecer.
La mecánica no la tengo clara. Puede estar relacionada con la conexión a internet vía cable de ONO en este caso.
Que para mí es evidente que la infección estaba latente hace días y que el ataque empezó esta mañana. Así piensa mi amigo.
Que la eliminación del proceso en modo seguro citado y eliminación del mismo de la papelera de reciclaje parece que ha solucionado el problema definitivamente.
Que dicho proceso puede ser un nombre arbitrario. En indicaciones sobre el mismo una retahíla de letras sin sentido.
Que el citado ordenador lo formatearon hace poco y que a lo mejor el proceso residual de Avast! (el anterior antivirus) pueda explicar la presencia de RTHDCPL.exe.. Lo digo porque habían sacado copia de la carpeta archivos de programa como si por ahí se pudieran recuperar las instalaciones.
Que la preocupación por los "antivirus" parece grande porque tienen adquirido también el kasperski.
Les dejo instalado el free de anti malware bytes, el clam win portable , el spybot que detecta alguna cosilla. El resto los cancelo.
También utilicé algunos online. Creo que precisamente el bitdefender. No estoy seguro. Puse en marcha ventana de varios, pero no teníamos tiempo ni ganas de correrlos todos. Desde la página virustotal o similar. Tampoco me acuerdo.
Le pasé también el Ccleaner (fernando me perdone que no le gusta...).
Y el mydefrag también.
No conozco el Eset Nod32 , pero sobre la unidad D: , en la carpeta incoming de emule detectó 22 infiltraciones. Las eliminé.
En las hojas de notas que tomo de las acciones realizadas me comenta el amigo que estuvo mirando un antivirus y que los mensajes de infección eran precisamente para instalar el antivirus y que luego había que comprarlo para quitar la infección.
Datos :
Antivirus Soft http://livesoftware.com/purchase?r=54.27
En la hoja impresa ayer 03.02.2010.
Ahora bien. Esto invalidaría la suposición de una infección o ataque latente. O combinado. Porque pudiera ser que el supuesto antivirus demandara una reparación previa adquisición de la licencia.
Es la primera vez que me enfrento a esta mecánica, porque yo los virus que me han tocado me han fastidiado el antivirus (Avast free o AVG free), inhabilitándolos incluso.
Si a la ventana de aviso de infección respondías que si a activar el antivirus entonces aparecía el antivirus y la propuesta de adquisición del mismo.
Eset no detectó nada en la unidad de sistema C:
Si el citado antivirus hubiera afectado a msconfig para cargar un ejecutable con el sistema hubiera desaparecido en las copias imagen anteriores. Si no fue así es que ya estaba el famoso, por desconocido, lknysftav.exe .
La versión de Acronis es True Image Home 10
Windows xp pro + sp3
Ejem. Me metí en la página, pero no :
Es ,tras revisar el papel :
http://livesoftcore.com
livesoftcore.com
Otra cosa que no entiendo mucho es si la visita a esta pagina es para intentar solucionar el problema o el problema estaba antes. Lo preguntaré al compañero a ver qué me dice. Estoy desconcertado porque no hay download a la vista. hay que pagar primero. Y el compañero no me ha dicho que haya hecho la transacción.
Supongo que desesperado antes de llamarme buscó una solución y se encontró con esta página.
La página no se qué pensar.
Contact details:
This website is solely owned and operated by Antivirus Soft, Inc.
Great Marlborough Str. 74
London
SE12TU
GB
Phone +1(800)220.72.09
son los datos de contacto con el fabricante....
Yo parto de la base de que es imposible que tras restaurar una copia espejo acronis permanezcan cosas en el disco de sistema que estuvieran antes de la restauración.
Y que por un ordenador por donde pasan los nietecitos y demás es difícil saber qué es lo que pasó exactamente.
Bueno, me creo que está resuelto, pero agradecería comentarios.
Reviso y efectivamente el proceso
HGAPSFTAV.exe no se localiza en google. Lo verificamos en voz alta varias veces. Lo buscamos sin la extensión también.
Pero acabo de reparar que en mi primera revisión los procesos que me llamaron la atención fueron los que cité más arriba y :
lknysftav.exe
lknys-FTAV.exe
o sea que puede ser un archivo mutante.
Este primer archivo en google tampoco da ningún resultado en el buscador google.
Otro supuesto dada la hora es que mi amigo , tras observar las ventanas que le aparecían y al decir sí a activar el antivirus acudió a la página web citada para ver de qué se trataba, y que la infección estaba larvada o latente hace días.
Que dicho enlace sería a través de las ventanas que le aparecían, algo a lo que yo no presté atención porque mi pronto es "no picar".
Concluyo : Que se trata de un ataque premeditado desde internet con colocación previa de un residente en el sistema aceptado por los antivirus. Que posteriormente lo activan para intentar vender o lograr datos bancarios, ya que el soft ofertado ni siquiera admite trial o prueba.
Que ignoraba que pudiera existir un malware que pasara tan desapercibido ante los antivirus y que afectara tanto a un sistema, aunque realmente no esté haciendo daño, ya que bastó la eliminación de ese residente. Las infecciones que citaba la ventana no existían, pero el malware impedía la ejecución hasta de Word. Afortunadamente dejó hacer la exportación de perfil de el cliente de correo y copia de carpetas de escritorio.
Terminé instalándole Cobian Backup y syncback free para copias de seguridad en toda regla.
Borramos las copias espejo tib del 25.01.2010 y del 02.02.2010, y sacamos una nueva de la fecha.
Las anteriores seguirán bajo sospecha, ya que si la suposición es cierta no sabemos con cuanto tiempo de antelación se preparó el ataque. |
|
