Hola a todos!

Dicen por ahi que en casa de herrero, cuchillo de palo...

Cometí el error de prestar el laptop unos minutos para que una prima consultara correo, y como dicen por aqui: me dejó algunos regalitos:

http://www.getsysteminfo.com/read.php?file...f68f64&ms=0

Consulté el origen del lío y me estrellé con esta belleza:

Enlace eliminado

Pass: infected

Envié este archivo a newvirus y me respondieron que no había código malicioso en el archivo enviado... se los dejo por si ustedes encuentran algo más.


Traté de obtener el condenado Xpupdate.exe que me muestra el log de AVZ y que enloquece el laptop cada que conecto un dispositivo USB pero se ocultó muy bien.

Traté de usar el script para eliminar el archivo, me pidió reiniciar y así lo hice pero ahi sigue mi amigo...

Muchas gracias de antemano por la ayuda!

Moderador: Editado, recuerda que esta prohibido postear enlaces a posibles virus, malware, etc... en el foro.

Hay que tener mucho cuidado con prestar el equipo, y sobre todo a quien

Tienes restos de:


Según virustotal: http://www.virustotal.com/es/analisis/59a6...3521-1248931308

Reenvío la muestra a Kaspersky Lab, para que me confirmen.

En cuanto pueda reviso tu avz log, etc... mientras postea tu combofix log:
Descargalo de aquí

Antes de guardar, por favor renombralo a algo parecido a 123.exe para parar al malware y que no pueda deshabilitarlo.

Ahora, por favor, asegurate de que no se están ejecutando otros programas, cierra todas las ventanas y pausa Kaspersky (Elije la opción de "reanudar
manualmente" si todavía esta activo) hasta que termine con el escaneado y el proceso de eliminación.

Por favor, haga doble clic en el archivo descargado. Siga las indicaciones en pantalla para iniciar la exploración/escaneado.
Una vez que el proceso de exploración/escaneado ha comenzado por favor NO haga clic en la ventana del combofix o intente utilizar su equipo ya que esto
puede causar problemas en el equipo. La exploracion/escaneado puede tomar bastante tiempo para completarse, esto es normal.

Su equipo se desconectara de Internet y los iconos del escritorio/barras de herramientas desaparecerán durante la exploración, no se preocupe, esto es
normal y apareceran en cuanto la exploración haya terminado.

Combofix creará un archivo de registro (log) y lo mostrara después de que su equipo se haya reiniciado. Por lo general, estara situado en
c:\combofix.txt, por favor, adjuntalo en tu siguiente post.

Hola,

Qué raro que Kaspersky diga éso, alcancé a bajar el archivo antes de que Caos quitara el link, utilicé CWSandbox para analizarlo y estos son los resultados:
http://www.cwsandbox.org/?page=report&...word=xrpbyruxkd

Efectivamente el ejecutable creó el archivo Xpupdate.exe y también una clave en el registro relacionada a ese archivo.

Saludos.

Envíame por mensaje privado, comprimido y con contraseña "infected" (sin las comillas) el fichero el Xpupdate.exe, se lo enviare también a los laboratorios a ver que nos dicen.

Saludos

victorm,

Ejecuta este script.



Necesito que me enviés por mensaje privado dicho fichero para revisarlo.

Saludos

Hola de nuevo, estaba fuera de la oficina pero ya estoy retomando el tema.

Ok, Caos realizaré el proceso del script. En un rato te entrego el archivo, traté de acceder a él sin éxito.

Un saludo a todos!

P.D.: Ofrezco disculpas por hacer link a la muestra... fue un lapsus y no vuelve a ocurrir.

Sube dicho fichero comprimido con winrar, y con contraseña "infected" a un servidor de ficheros http://www.rapidshare.com , http://www.megaupload.com o http://www.gigasize.com ,y envíame por mensaje privado el enlace de descarga.

Ya me indicaras si el script elimina el fichero sospechoso.

Saludos

Hola,

Gracias victorm por el archivo, el xpupdate.exe tiene el mismo hash que PostalGusanito.exe y Kaspersky Lab dice:





Saludos.

Hola Kikesan, gracias por el dato!

Raro que se afirme eso... incluso postalgusanito es catalogado como trojan dropper por algunas casas cuando el archivo es enviado por virutotal.

Pero bueno, ni modos... Seguiré esperando la evolución del proceso en el equipo.

Un saludo!

Hola,

Así es, sus razones tendrán para no detectarlo, espero hayas podido eliminarlo con el script que te mencionó Caos.

Saludos.

Hola de nuevo Kikesan!
Que Caos no se entere ( ), pero el script extrañamente no funcionó (y eso que tengo deshabilitado restaurar sistema). Pero de todas maneras ya estoy a punto de formatear la laptop por temas de audio (extrañamente ahora todo se oye como si pasara a través de un tubo).
En adición instalé la Beta MP4 de la versión corporativa y cuando menos ya al conectar una memoria el equipo no se enloquece...
Y creo que la lección esta aprendida: debo ser más egoista con mis objetos tecnológicos
Un saludo y muchas gracias por la atención!

Hola,

No te preocupes, creo que está de vacaciones , pues suerte para la próxima, no hay que se egoístas, sino más cuidadosos y advertir de los riesgos a la persona que le prestarás tus cosas jeje.

Saludos.

Me he enterado pero como te indica kikesan estoy de vacaciones . Ya me contarás si todo va bien tras formatearlo.

Saludos

Kikesan me podrias mandar esas amenazas para analisarlas , kaspersky lab sigue sin detectarlas ?

Saludos

Hola,

Ya te la he enviado por MP

Saludos.