Virus rebelde: gac_msil desktop.ini

Aprende y comparte como combatir objetos maliciosos en computacion.
Responder
Avatar de Usuario
paulofutre
Mensajes: 3708
Registrado: Mar Sep 11, 2007 4:18 am
Ubicación: MADRID

Virus rebelde: gac_msil desktop.ini

Mensaje por paulofutre »

Hola amigos:
Paso a reportar una experiencia negativa.
Un virus que me ha entrado hoy y me ha sido imposible eliminarlo :plano2

Me ha entrado hoy 16-1-12:
- Sistema operativo: WINDOWS XP PROFESSIONAL SP3 (Actualizado)
- ANTIVIRUS: AVG 2012 FREE (Actualizado)
- Navegador: Mozilla FIREFOX 9.0.1

Denominaciòn segùn MALWAREBYTES:
Troyano Generic26.QP
RUTA DE UBICACIÒN: C:\Windows\assembly\gac_msil\desktop.ini

SINTOMAS:
Al navegar con Firefox, se añaden pestañas no buscadas,
Y cuando haces una bùsqueda en google, te redirige a pàginas que empiezan por 95p.com
(siento no haber tomado una captura de estos casos ) :plano2

- PROCEDIMIENTO DE ELIMINACIÒN:
- Malwarebytes actualizado:
Imagen

Reinicio. Limpieza de sistema y registro.
- Otro anàlisis con Malwarebytes en modo seguro:
Imagen

- Otros anàlisis: Salen los mismos resultados. El "bicho" permanece :plano2
Imagen

El caso es que entre el Malwarebytes y el AVG no pudieron eliminar este bicho. :plano2
Ademàs no me guardè en particiòn aparte, como las fotos, los ".logs" del Malwarebytes :plano2 , donde podrìa analizarse con mayor profundidad el "bicho" en cuestion (entradas de registro y demàs) :yahoommm

Por otro lado encontrè una pàgina donde explica como eliminar este virus de manera "manual" podrìamos decir, lo malo es que està en inglès, cosa que yo no domino , y no pude poner en pràctica :plano7 :
http://blog.teesupport.com/completely-r ... l-removal/

Y como no querìa perder màs tiempo, tras 4 reinicios, y tenìa una imagen ACRONIS limpia y reciente, pues no ahondè màs en el tema y restaurè el sistema en apenas 6 minutos:
http://www.letheonline.net/restaura.htm

Siento no ser de mucha ayuda en cuanto a la solvencia del problema; al menos sirva de aviso :yahoommm

Un saludo
Saludos y ♪Forzatleti♫
Avatar de Usuario
LeThe
Site Admin
Mensajes: 7046
Registrado: Vie Jun 15, 2007 5:11 pm
Ubicación: Florida, Estados Unidos
Contactar:

Re: Virus rebelde: gac_msil desktop.ini

Mensaje por LeThe »

Yo aqui he usado Autoruns y el Processexplorer para analizar cuidadosamente todo lo que inicia.

Tambien, esta un truco cual me esta funcionando de maravilla: Reniciar en Modo Seguro con Funciones de Red o Safe Mode with Networking.

En este modo, muchos de estos virus no funcionan y ahi le dan la oportunidad a AVG o Malwarebytes poder eliminarlo.
Ing. Joshua Marius
Windows 10 Pro x64 20H2
Intel Core i7-3770K, 4.5 Ghz
ASUS P8Z68-V LX
Disco 1: Samsung SSD 850 EVO 500 GB
RAID 1: Seagate ST3000DM001 3TB
CORSAIR Vengeance 16 GB DDR3 1600
NVIDIA GeForce GTX 1060
Avatar de Usuario
paulofutre
Mensajes: 3708
Registrado: Mar Sep 11, 2007 4:18 am
Ubicación: MADRID

Re: Virus rebelde: gac_msil desktop.ini

Mensaje por paulofutre »

Pues ya hice tambièn un anàlisis en modo seguro, y el virus permanecìa. :yahoommm
Omitì que intentè utilizar tambièn el AUTORUNS, como indicas Lethe, pero me perdì entre la "maraña" de procesos y entradas de registro, y temì borrar algo no debido :yahoommm

Otra vez a ver si tengo màs cuidado y guardo el ".log" de Malwarebytes en particiòn aparte :yahoommm

Otro punto para el ACRONIS TRUE IMAGE (un autèntico "salvavidas" :yahD )
Gracias y saludos.
Saludos y ♪Forzatleti♫
Avatar de Usuario
katojc
Mensajes: 724
Registrado: Jue Mar 18, 2010 10:25 pm
Ubicación: Guadalajara, Jalisco, México

Re: Virus rebelde: gac_msil desktop.ini

Mensaje por katojc »

Diran que soy muy terco pero yo en ese caso lo que hago es utilizar el Kaspersky Virus Removal Tool que pueden descargar desde aquí

http://www.kaspersky.com/antivirus-removal-tool?form=1

Les recomiendo la versión 10 que ademas de estar en español tiene una opción de apagar el sistema al terminar (acostumbro dejar el análisis en la noche e irme a dormir, así no tengo que esperar), otra ventaja es que puede ser instalado aun estando en modo seguro, cosa que no cualquier aplicación puede hacer

Aquí hablábamos de el

http://www.letheonline.net/foro/viewtop ... =10&t=4582

http://www.letheonline.net/foro/viewtop ... val#p26184
Ing. en Computación
Soporte Técnico a Equipo de Computo
Avatar de Usuario
paulofutre
Mensajes: 3708
Registrado: Mar Sep 11, 2007 4:18 am
Ubicación: MADRID

Re: Virus rebelde: gac_msil desktop.ini

Mensaje por paulofutre »

Diran que soy muy terco pero yo en ese caso lo que hago es utilizar el Kaspersky Virus Removal Tool...
No amigo Katojc, los tercos son los virus :yahlol :yahlol

Porque hace un rato me ha vuelto a entrar otro en el mismo PC.
A la misma hora, aproximadamente (??), no se si tendrà que ver :yahoommm
Tambièn navegando con la ùltima versiòn de Firefox
En este caso si que el Malwarebytes ha podido con èl, y yo guardè el ".log" de reporte en una particiòn aparte por si acaso. A continuaciòn lo transcribo:

Código: Seleccionar todo

Malwarebytes Anti-Malware (Versión de Prueba) 1.60.0.1800
www.malwarebytes.org

Versión de la Base de Datos: v2012.01.18.04

Windows XP Service Pack 3 x86 NTFS
Internet Explorer 8.0.6001.18702
vinagre :: VINAGRET-EDD1E3 [administrador]

Protección: Personas de movilidad reducida

18/01/2012 19:13:05
mbam-log-2012-01-18 (19-53-58).txt

Tipos de Análisis: Análisis Rápido
Opciones de análisis activado: Memoria | Inicio | Registro | Sistema de archivos | Heurística/Extra | Heurística/Shuriken | PUP | PUM
Opciones de análisis desactivados: P2P
Objetos examinados: 178709
Tiempo transcurrido: 3 minuto(s), 2 segundo(s)

Procesos en Memoria Detectados: 0
(No se han detectado elementos maliciosos)

Módulos de Memoria Detectados: 0
(No se han detectado elementos maliciosos)

Claves del Registro Detectados: 0
(No se han detectado elementos maliciosos)

Valores del Registro Detectados: 0
(No se han detectado elementos maliciosos)

Elementos de Datos del Registro Detectados: 1
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System|DisableTaskMgr (PUM.Hijack.TaskManager) -> Malo: (1) Bueno: (0) -> No se tomaron medidas.

Carpetas Detectadas: 0
(No se han detectado elementos maliciosos)

Archivos Detectados: 2
C:\Documents and Settings\vinagre\Configuración local\Temp\0.8203794822058494.exe (Trojan.Agent) -> No se tomaron medidas.
C:\Documents and Settings\vinagre\Menú Inicio\Programas\Inicio\0.8203794822058494.exe.lnk (Backdoor.Agent) -> No se tomaron medidas.

fin)
Luego, tras el pertinente reinicio, le hice un anàlisis en "MODOS SEGURO CON FUNCIONES DE RED", como recomienda Lethe, y ya no detectò nada.
Pero como ya son dos veces en dos tardes consecutivas, ya no me fio. Entonces voy a seguir el consejo del amigo Katojc y voy ha analizar el PC con la herramienta de Karspersky. :yahoommm
http://www.kaspersky.com/antivirus-removal-tool?form=1

Y ya verè si analizo tambien con la herramienta de PANDA:
http://www.pandasecurity.com/spain/home ... ctivescan/

Gracias por el recordatorio :plano1
Saludos.
Saludos y ♪Forzatleti♫
Avatar de Usuario
katojc
Mensajes: 724
Registrado: Jue Mar 18, 2010 10:25 pm
Ubicación: Guadalajara, Jalisco, México

Re: Virus rebelde: gac_msil desktop.ini

Mensaje por katojc »

Hay que aclarar que el Kaspersky Virus Removal Tool no es infalible, pero al menos yo he tenido buenos resultados y se los dejo como sugerencia, otra cosa que recalco es que una vez que lo descargas, este trae actualizada su base a la fecha de descarga, es decir que si hoy lo descargo lo tego actualizado a la fecha de hoy, asi que si lo voy a necesitar la proxima semana pues entonces lo tendre que descargar para entonces ya que esta herramienta hasta donde yo se no se puede actualizar ya que es gratis, como quien dice es una herramienta de un solo uso, incluso una vez terminado el analisis al cerrar la aplicacion te pregunta si deseas desinstalarlo
Ing. en Computación
Soporte Técnico a Equipo de Computo
Avatar de Usuario
paulofutre
Mensajes: 3708
Registrado: Mar Sep 11, 2007 4:18 am
Ubicación: MADRID

Re: Virus rebelde: gac_msil desktop.ini

Mensaje por paulofutre »

Gracias por la aclaraciòn amigo Katojc. :plano1
Asì pues no sirve de mucho guardar el archivo: Descargar, usar y borrar :yahoommm

Hice al PC un anàlisis en MODO SEGURO con la herramienta de Karpersky y me detectò otro troyano màs. Muestro el reporte del anàlisis:

Código: Seleccionar todo

Análisis automático: en ejecución  (eventos: 2, objetos: 82552, tiempo: 00:12:34)	
18/01/2012 20:54:39	Detectados: HEUR:Trojan.Win32.Generic	C:\Documents and Settings\vinagre\Datos de programa\Sun\Java\Deployment\cache\6.0\57\46c9c1b9-3bd9a36f		
18/01/2012 20:45:08	Tarea iniciada			
Gracias y saludos.
Saludos y ♪Forzatleti♫
Avatar de Usuario
Menfis
Mensajes: 2894
Registrado: Sab May 17, 2008 5:14 pm

Re: Virus rebelde: gac_msil desktop.ini

Mensaje por Menfis »

Gracias por el aporte amigo paulofutre, quería saber si recuerdas en que pag.(s) en la web estabas navegando en el momento de pescar estos bichitos.
No hay que empezar siempre por la noción primera de las cosas que se estudian,
sino por aquello que puede facilitar el aprendizaje.
Avatar de Usuario
paulofutre
Mensajes: 3708
Registrado: Mar Sep 11, 2007 4:18 am
Ubicación: MADRID

Re: Virus rebelde: gac_msil desktop.ini

Mensaje por paulofutre »

¡ Cuanto ha que no te sentimos por aquì , amigo Menfis ! :yahD
Gracias por el aporte amigo paulofutre, quería saber si recuerdas en que pag.(s) en la web estabas navegando en el momento de pescar estos bichitos.
Estaba buscando imàgenes de futbol, del Atleti lògicamente :yahD , y utilizè el GOOGLE IMAGES.
Creo que tiempo atràs ya se reportaron casos donde entraban "bichos" por utilizar esta utilidad de Google.

Saludos. :yahD
Saludos y ♪Forzatleti♫
Avatar de Usuario
Menfis
Mensajes: 2894
Registrado: Sab May 17, 2008 5:14 pm

Re: Virus rebelde: gac_msil desktop.ini

Mensaje por Menfis »

Si amigo paulofutre, el sentimiento es recíproco, he estado muy liado!, :yahaha , espero muy pronto poder tener más tiempo para ayudar y compartir con todos uds. en mi foro querido. :yahD

Gracias por reportar la procedencia del suceso.
No hay que empezar siempre por la noción primera de las cosas que se estudian,
sino por aquello que puede facilitar el aprendizaje.
Avatar de Usuario
paulofutre
Mensajes: 3708
Registrado: Mar Sep 11, 2007 4:18 am
Ubicación: MADRID

Re: Virus rebelde: gac_msil desktop.ini

Mensaje por paulofutre »

Otra vez, el mismo, en el mismo PC :plano2

Imàgenes tras el anàlisis con Malwarebytes
Imagen
Imagen

Log de Malwarebytes:

Código: Seleccionar todo

Malwarebytes Anti-Malware (Trial) 1.60.0.1800
www.malwarebytes.org

Database version: v2012.01.26.02

Windows XP Service Pack 3 x86 NTFS (Safe Mode)
Internet Explorer 8.0.6001.18702
Administrador :: VINAGRET-EDD1E3 [administrator]

Protection: Disabled

26/01/2012 12:32:12
¡¡¡ mbam-log-2012-01-26  26-1-12  (14-29-37).txt

Scan type: Full scan
Scan options enabled: Memory | Startup | Registry | File System | Heuristics/Extra | Heuristics/Shuriken | PUP | PUM
Scan options disabled: P2P
Objects scanned: 363292
Time elapsed: 1 hour(s), 53 minute(s), 9 second(s)

Memory Processes Detected: 0
(No malicious items detected)

Memory Modules Detected: 0
(No malicious items detected)

Registry Keys Detected: 0
(No malicious items detected)

Registry Values Detected: 0
(No malicious items detected)

Registry Data Items Detected: 1
HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders|SecurityProviders (Trojan.FakeMS) -> Bad: (IqlunkItlokk.dll) Good: () -> No action taken.

Folders Detected: 0
(No malicious items detected)

Files Detected: 15
C:\WINDOWS\system32\IqlunkItlokk.dll (Trojan.FakeMS) -> No action taken.
C:\WINDOWS\system32\ifxspmgtsrv.dll (Rootkit.0Access) -> No action taken.
C:\Archivos de programa\LP\24AE\1D.tmp (Trojan.Downloader.BH) -> No action taken.
C:\Archivos de programa\LP\24AE\2.exe (Trojan.Downloader.BH) -> No action taken.
C:\Documents and Settings\vinagre\Configuración local\Temp\35.tmp (Trojan.FakeMS) -> No action taken.
G:\SOFTWARE REC\0.1 Logos inicio E ICONOS\SoftonicDownloader_para_greenfish-icon-editor-pro.exe (PUP.BundleOffer.Downloader.S) -> No action taken.
G:\SOFTWARE REC\0.1 Logos inicio E ICONOS\SoftonicDownloader_para_icofx-portable.exe (PUP.BundleOffer.Downloader.S) -> No action taken.
G:\SOFTWARE REC\1 EDICION VIDEO\VIDEO PAD VIDEO EDITOR\SoftonicDownloader_para_videopad-video-editor.exe (PUP.BundleOffer.Downloader.S) -> No action taken.
G:\SOFTWARE REC\1.1 FOTOGRAFÌA (Photoshop etc)\Reshade.Image.Enlarger.v1.51\RES\Reshade Image Enlarger v1.51_Patch.exe (PUP.RiskwareTool.CK) -> No action taken.
G:\SOFTWARE REC\3.1 DISCO y desfragmentacion\formato bajo nivel\SoftonicDownloader_para_hdd-low-level-format-tool.exe (PUP.BundleOffer.Downloader.S) -> No action taken.
C:\Documents and Settings\Administrador\Configuración local\Temp\{E9C1E1AC-C9B2-4c85-94DE-9C1518918D02}.tlb (Rootkit.Zeroaccess) -> No action taken.
C:\Documents and Settings\LocalService\Configuración local\Temp\{E9C1E1AC-C9B2-4c85-94DE-9C1518918D02}.tlb (Rootkit.Zeroaccess) -> No action taken.
C:\Documents and Settings\NetworkService\Configuración local\Temp\{E9C1E1AC-C9B2-4c85-94DE-9C1518918D02}.tlb (Rootkit.Zeroaccess) -> No action taken.
C:\Documents and Settings\vinagre\Configuración local\Temp\{E9C1E1AC-C9B2-4c85-94DE-9C1518918D02}.tlb (Rootkit.Zeroaccess) -> No action taken.
C:\WINDOWS\Temp\{E9C1E1AC-C9B2-4c85-94DE-9C1518918D02}.tlb (Rootkit.Zeroaccess) -> No action taken.

(end)

Luego le apliquè el anàlisis con la herramienta de Karpersky, en MODO SEGURO
y volvìa a aparecer el mismo troyano, en la misma ubicaciòn, solo que esta vez con mayùsculas:
C:\Windows\assembly\GAC_MSIL\desktop.ini

Le hice varias pasasas tanto en modo seguro como en modo normal.
Me fijè en el detalle que al abrir cualquier programa, Ccleaner por ejemplo, saltaba un aviso del FIREWAL DE WINDOWS (???). Similar a esta (no tomè captura):
Imagen

Si abrìa el navegador, este me redirigìa a dos pàginas concretas :plano2
(Ahora no dispongo su direcciòn, pero de todas maneras pensè no publicarla, por si alguien le da por copiarla y conectarse)

Como tenìa tiempo, me dije de eliminarlo por la fuerza, como hice en otra ocasiòn, con un live CD de linux, en este caso UBUNTU 11.0.
Una vez cargado este sistema en memoria me fui a todas las entradas que figuraban ahì, màs todos los archivos alojados en carpetas TEMP, y tambien los alojados en carpetas RECICLER.
Luego reinicio. Pasada otra vez con es escaneador de KARPERSKY , y otra vez estaba el "bicho".
Ademàs me fijè que salìa un aviso pequeñito del KARPERSKY. Era breve, tardaba unos segundos en cerrarse, no dejaba .log ni otro archivo, y mostraba una ruta incompleta, donde se ubicaba otro troyano,que pude tomar a bolìgrafo:
G/......0978007.exe

Es decir se habìa alojado en la segunda particiòn de mi segundo disco. :plano2
Era un problema, puesto que tenìa almacenados 150 GB de datos, y habìa una carpeta de unas 50 Gb con software, es decir, con muchìsimos .exe.

El tiempo me apremiaba. He hice una restauraciòn de sistema. Esta vez con un archivo ACRONIS unos meses anterior al que puse. Y lo dejo actualizando.

PENDIENTE: Elmininar este .exe de ese 2º disco duro.
CONCLUSIÒN DE MOMENTO: El problema parece ser que no es que me entre via web, como sospechabamos màs arriba, puede ser un archivo con "bicho" oculto.

Me indicò mi amigo Grissom que lo primero que tenìa que haber hecho, en vez de eliminar archivos, era eliminar la entrada del registro afectada:

Código: Seleccionar todo

Registry Data Items Detected: 1
HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders|SecurityProviders (Trojan.FakeMS) -> Bad: (IqlunkItlokk.dll) Good: () -> No action taken.


En este caso, sigue venciendo el "bicho". :plano2
Saludos.


-
Saludos y ♪Forzatleti♫
Avatar de Usuario
LeThe
Site Admin
Mensajes: 7046
Registrado: Vie Jun 15, 2007 5:11 pm
Ubicación: Florida, Estados Unidos
Contactar:

Re: Virus rebelde: gac_msil desktop.ini

Mensaje por LeThe »

Use la herramienta katojc, con muy buenos resultados: http://www.letheonline.net/foro/viewtop ... =24&t=4839

Gracias.
Ing. Joshua Marius
Windows 10 Pro x64 20H2
Intel Core i7-3770K, 4.5 Ghz
ASUS P8Z68-V LX
Disco 1: Samsung SSD 850 EVO 500 GB
RAID 1: Seagate ST3000DM001 3TB
CORSAIR Vengeance 16 GB DDR3 1600
NVIDIA GeForce GTX 1060
Avatar de Usuario
paulofutre
Mensajes: 3708
Registrado: Mar Sep 11, 2007 4:18 am
Ubicación: MADRID

Re: Virus rebelde: gac_msil desktop.ini

Mensaje por paulofutre »

Si Lethe, pero en este caso el/los "bichos" van venciendo a Karpersky online + Malwarebytes + AVG2012 :plano2 :plano2
¡ A ver si puedo con ello !
Gracias y saludos.
Saludos y ♪Forzatleti♫
Avatar de Usuario
katojc
Mensajes: 724
Registrado: Jue Mar 18, 2010 10:25 pm
Ubicación: Guadalajara, Jalisco, México

Re: Virus rebelde: gac_msil desktop.ini

Mensaje por katojc »

Una cosa que he detectado en el kaspersky es que no detecta igual si no muestras los ocultos y los protegidos por el sistema antes de comenzar el escaneo
Ing. en Computación
Soporte Técnico a Equipo de Computo
Avatar de Usuario
paulofutre
Mensajes: 3708
Registrado: Mar Sep 11, 2007 4:18 am
Ubicación: MADRID

Re: Virus rebelde: gac_msil desktop.ini

Mensaje por paulofutre »

Gracias amigo Katojc. Pero en este PC tengo todos los archivos visibles, incluidos los de sistema.
Normalmente todos los PCs que monto van asì. Creo que una de las modificaciones que hago al CD de instalaciòn de Windows XP con nLite, era esa: archivos de sistema y demàs todos visibles.

Ya digo: el "bicho" me va ganando la partida :plano2
Gracias y saludos.
Saludos y ♪Forzatleti♫
Avatar de Usuario
katojc
Mensajes: 724
Registrado: Jue Mar 18, 2010 10:25 pm
Ubicación: Guadalajara, Jalisco, México

Re: Virus rebelde: gac_msil desktop.ini

Mensaje por katojc »

Existe una herramienta en el Hirens llamada HiJack This haz un escaneo con ese y publica el log para ver si te puedo ayudar con esto
Ing. en Computación
Soporte Técnico a Equipo de Computo
Avatar de Usuario
paulofutre
Mensajes: 3708
Registrado: Mar Sep 11, 2007 4:18 am
Ubicación: MADRID

Re: Virus rebelde: gac_msil desktop.ini

Mensaje por paulofutre »

Bueno amigos me estoy volviendo paranoico (??)
Sospecho que estoy siendo atacado por alguien, o algo (??)
Razones:
- Son virus muy raros, no se pueden eliminar por los mètodos habituales. Ademàs muy violentos: entran de manera masiva y te dejan el sistema hecho trizas.
- (??) Tambièn que logran ubicarse en otras particiones de otro disco duro (??) Esto lo pongo con interrogaciòn porque no lo tengo confirmado al 100%. Lo que si està claro es que su comportamiento es muy fuerte.
- Todo esto ocurre sòlo en un PC. En los otros PCs de la casa, y en mis PCs de pruebas y del trabajo no he detectado nada similar, hasta el momento. Siendo estos de similares caracterìsiticas (Windows XP Prof, etc) y navegando por los lugares habituales. Si bien esta navegaciòn no ha sido tan intensa como en el PC en cuestiòn.
- Tambien incidicar que es el PC que màs utilizo para descargas, principalmente descargas directas mediante Jdownloader. Y que tambièn almacena bastante cantidad de archivos.

Asì pues sospecho que alguien, o algo, a podido rastrear la I.P. de este PC, y lanzar un ataque (??)

Pregunto:
- Es esto posible ??. El que alguien o algo, via web o (??), haya localizado este PC, su I.P. me supongo (??), y haya lanzado un ataque ??

De momento estoy navegando a traves de esconder la IP con el programa IP HIDER.
Pero es un fastidio, interfiere en todo lo relacionado con FLASH y en las descargas, y asì por ejemplo, no puedo ver un video del YOUTUBE ni descargarme nada :plano2

Hasta aquì se acaban mis pocos conocimientos en Redes.
Es por ello que os solicito una ayuda, alguna "pista", a ver por dònde puedo solventar este problema. Y si es lo que sospecho, a ver como poder evitarlo.

POSTDATA: Gracias a "San ACRONIS" estoy aguantando el tipo un poco :yahD

Muchas gracias. Saludos.
Saludos y ♪Forzatleti♫
Avatar de Usuario
paulofutre
Mensajes: 3708
Registrado: Mar Sep 11, 2007 4:18 am
Ubicación: MADRID

Re: Virus rebelde: gac_msil desktop.ini

Mensaje por paulofutre »

katojc escribió:Existe una herramienta en el Hirens llamada HiJack This haz un escaneo con ese y publica el log para ver si te puedo ayudar con esto
:yahD :yahD
Nos hemos cruzado amigo Katojc :yahD
He vuelto a reinstalar:
- Imagen de "San Acronis" :yahD
- Malwarebytes y luego Karspersky online, ambos en modo normal, sin problemas.

De momento hasta ahora llevo conectado a internet, via Firefox nada màs, por màs de 6 horas despuès de la ùltima reinstalaciòn sin problemas.

PREGUNTO:
HIJACK: Esta herramienta la utilizo ya mismo, o espero a que se produzca un ataque, con los sìntomas citados en post anteriores ??

Muchas gracias amigo (estupendo foro) :yahD
Saludos.
Saludos y ♪Forzatleti♫
Avatar de Usuario
LeThe
Site Admin
Mensajes: 7046
Registrado: Vie Jun 15, 2007 5:11 pm
Ubicación: Florida, Estados Unidos
Contactar:

Re: Virus rebelde: gac_msil desktop.ini

Mensaje por LeThe »

He usado mucho el HiJackthis pero lo he reemplazado casi al 100% con Autoruns.

Que tal el AVG Rescue CD? O mi recomendacion de sacar el disco y ponerlo en otra PC?
Ing. Joshua Marius
Windows 10 Pro x64 20H2
Intel Core i7-3770K, 4.5 Ghz
ASUS P8Z68-V LX
Disco 1: Samsung SSD 850 EVO 500 GB
RAID 1: Seagate ST3000DM001 3TB
CORSAIR Vengeance 16 GB DDR3 1600
NVIDIA GeForce GTX 1060
Avatar de Usuario
paulofutre
Mensajes: 3708
Registrado: Mar Sep 11, 2007 4:18 am
Ubicación: MADRID

Re: Virus rebelde: gac_msil desktop.ini

Mensaje por paulofutre »

He usado mucho el HiJackthis pero lo he reemplazado casi al 100% con Autoruns.
Gracias maestros por estas "pistas". He de ponerme con estos programas de anàlisis de procesos màs a fondo.
Ahora no estoy en el PC en cuestiòn. A ver si mañana reporto resultados con estos dos programas, y veo de paso si le ha entrado infecciòn. :plano1
Que tal el AVG Rescue CD? O mi recomendacion de sacar el disco y ponerlo en otra PC?
A tener en cuenta la herramienta de AVG. Gracias por la pista. :plano1
Lo de sacar el disco ya lo tenìa pensado para mañana y analizarlo con uno de mis PCs de pruebas....pero...

... resulta que ese PC de pruebas tiene unos cuantos problemas de hardware, ya resueltos, pero me ha llevado casi 2 horas resolverlos .
(Hay dìas en que TODO te sale mal, ley de Murphy, etc :plano2 :yahD )

Asì que voy a seguir la recomendaciòn de un amigo/maestro en esto de la informàtica, de descansar y asì analizar los problemas màs descansado, lo cual entronca con la recomendaciòn de otro amigo/maestro de "mente clara, no obcecarse" :yahD

Reportarè resultados. Muchas gracias amigos.
Saludos.
Saludos y ♪Forzatleti♫
Avatar de Usuario
katojc
Mensajes: 724
Registrado: Jue Mar 18, 2010 10:25 pm
Ubicación: Guadalajara, Jalisco, México

Re: Virus rebelde: gac_msil desktop.ini

Mensaje por katojc »

(Hay dìas en que TODO te sale mal, ley de Murphy, etc )
hasta se parece a la cancion de un grupo de rock mexicano llamado El Tri

Cancion = "Nada me sale Bien"

http://www.youtube.com/watch?v=pslRbHlceRQ

aunque se utilizan muchos "modismos" que seguramente la gente de otros países no entenderá
Ing. en Computación
Soporte Técnico a Equipo de Computo
Avatar de Usuario
paulofutre
Mensajes: 3708
Registrado: Mar Sep 11, 2007 4:18 am
Ubicación: MADRID

Re: Virus rebelde: gac_msil desktop.ini

Mensaje por paulofutre »

Desde luego que hoy todo lo que hago esta màl, no hace falta que lo diga mi "vieja" que la tengo a màs de 100 km. de aquì :yahlol
Estaba probando un par de PCs y resultò que el teclado esta averiado tambièn :plano2

Menos mal que hay amigos como Katojc que acuden en ayuda de uno, con buenos consejos y buen Blues :yahD
Muchas gracias, y saludos.
Saludos y ♪Forzatleti♫
Avatar de Usuario
paulofutre
Mensajes: 3708
Registrado: Mar Sep 11, 2007 4:18 am
Ubicación: MADRID

Re: Virus rebelde: gac_msil desktop.ini

Mensaje por paulofutre »

Bueno entre el descanso y el buen R&roll mexicano uno afronta los problemas con otro aire :yahD

Adjunto el log de HIJACKTHIS:

Código: Seleccionar todo

Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 14:50:22, on 28/01/2012
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\ARCHIV~1\AVG\AVG2012\avgrsx.exe
C:\Archivos de programa\AVG\AVG2012\avgcsrvx.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Archivos de programa\AVG\AVG2012\avgtray.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Archivos de programa\Archivos comunes\Acronis\Schedule2\schedul2.exe
C:\Archivos de programa\AVG\AVG2012\avgwdsvc.exe
C:\Archivos de programa\Java\jre6\bin\jqs.exe
C:\Archivos de programa\TuneUp Utilities 2010\TuneUpUtilitiesService32.exe
C:\Archivos de programa\AVG\AVG2012\avgnsx.exe
C:\Archivos de programa\AVG\AVG2012\AVGIDSAgent.exe
C:\Archivos de programa\TuneUp Utilities 2010\TuneUpUtilitiesApp32.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\Archivos de programa\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\taskmgr.exe
C:\Archivos de programa\Mozilla Firefox\plugin-container.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\msiexec.exe
C:\Archivos de programa\HIJACKTHIS\Trend Micro\HiJackThis\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://es.ask.com/?l=dis&o=14597
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = 
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Archivos de programa\Archivos comunes\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Increase performance and video formats for your HTML5 <video> - {326E768D-4182-46FD-9C16-1449A49795F4} - C:\Archivos de programa\DivX\DivX Plus Web Player\ie\DivXHTML5\DivXHTML5.dll
O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Archivos de programa\AVG\AVG2012\avgssie.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\ARCHIV~1\MICROS~2\Office14\GROOVEEX.DLL
O2 - BHO: URLRedirectionBHO - {B4F3A835-0E21-4959-BA22-42B3008E02FF} - C:\ARCHIV~1\MICROS~2\Office14\URLREDIR.DLL
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Archivos de programa\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Archivos de programa\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [AVG_TRAY] "C:\Archivos de programa\AVG\AVG2012\avgtray.exe"
O4 - HKLM\..\Run: [IPHider] C:\Archivos de programa\IP Hider\IP Hider.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICIO LOCAL')
O4 - HKUS\S-1-5-19\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'SERVICIO LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Servicio de red')
O4 - HKUS\S-1-5-20\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'Servicio de red')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'Default user')
O8 - Extra context menu item: &Enviar a OneNote - res://C:\ARCHIV~1\MICROS~2\Office14\ONBttnIE.dll/105
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office14\EXCEL.EXE/3000
O9 - Extra button: Enviar a OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\Archivos de programa\Microsoft Office\Office14\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: &Enviar a OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\Archivos de programa\Microsoft Office\Office14\ONBttnIE.dll
O9 - Extra button: Notas &vinculadas de OneNote - {789FE86F-6FC4-46A1-9849-EDE0DB0C95CA} - C:\Archivos de programa\Microsoft Office\Office14\ONBttnIELinkedNotes.dll
O9 - Extra 'Tools' menuitem: Notas &vinculadas de OneNote - {789FE86F-6FC4-46A1-9849-EDE0DB0C95CA} - C:\Archivos de programa\Microsoft Office\Office14\ONBttnIELinkedNotes.dll
O9 - Extra button: Barra de búsqueda de Encarta - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\privacyprovider.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\privacyprovider.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\privacyprovider.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1298396948972
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Archivos de programa\AVG\AVG2012\avgpp.dll
O18 - Filter hijack: text/xml - {807573E5-5146-11D5-A672-00B0D022E945} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\OFFICE14\MSOXMLMF.DLL
O22 - SharedTaskScheduler: Precargador Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Demonio de caché de las categorías de componente - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Archivos de programa\Archivos comunes\Acronis\Schedule2\schedul2.exe
O23 - Service: AVGIDSAgent - AVG Technologies CZ, s.r.o. - C:\Archivos de programa\AVG\AVG2012\AVGIDSAgent.exe
O23 - Service: WatchDog de AVG (avgwd) - AVG Technologies CZ, s.r.o. - C:\Archivos de programa\AVG\AVG2012\avgwdsvc.exe
O23 - Service: Servicio del administrador de discos lógicos (dmadmin) - Unknown owner - C:\WINDOWS\System32\dmadmin.exe
O23 - Service: Registro de sucesos (Eventlog) - Unknown owner - C:\WINDOWS\system32\services.exe
O23 - Service: Servicio de Google Update (gupdate) (gupdate) - Unknown owner - C:\Archivos de programa\Google\Update\GoogleUpdate.exe
O23 - Service: Servicio de Google Update (gupdatem) (gupdatem) - Unknown owner - C:\Archivos de programa\Google\Update\GoogleUpdate.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Archivos de programa\Java\jre6\bin\jqs.exe
O23 - Service: MBAMService - Malwarebytes Corporation - C:\Archivos de programa\Malwarebytes' Anti-Malware\mbamservice.exe
O23 - Service: Escritorio remoto compartido de NetMeeting (mnmsrvc) - Unknown owner - C:\WINDOWS\system32\mnmsrvc.exe
O23 - Service: Plug and Play (PlugPlay) - Unknown owner - C:\WINDOWS\system32\services.exe
O23 - Service: PrivacyProvider - Unknown owner - C:\WINDOWS\system32\PrivacyProvider.exe
O23 - Service: Administrador de sesión de Ayuda de escritorio remoto (RDSessMgr) - Unknown owner - C:\WINDOWS\system32\sessmgr.exe
O23 - Service: Tarjeta inteligente (SCardSvr) - Unknown owner - C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: Registros y alertas de rendimiento (SysmonLog) - Unknown owner - C:\WINDOWS\system32\smlogsvc.exe
O23 - Service: TuneUp Drive Defrag Service (TuneUp.Defrag) - TuneUp Software - C:\Archivos de programa\TuneUp Utilities 2010\TuneUpDefragService.exe
O23 - Service: TuneUp Utilities Service (TuneUp.UtilitiesSvc) - TuneUp Software - C:\Archivos de programa\TuneUp Utilities 2010\TuneUpUtilitiesService32.exe
O23 - Service: Instantáneas de volumen (VSS) - Unknown owner - C:\WINDOWS\System32\vssvc.exe
O23 - Service: Adaptador de rendimiento de WMI (WmiApSrv) - Unknown owner - C:\WINDOWS\system32\wbem\wmiapsrv.exe

--
End of file - 8947 bytes

OBSERVACIONES y SOSPECHAS:
Estas lineas:
BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\ARCHIV~1\MICROS~2\Office14\GROOVEEX.DLL

BHO: URLRedirectionBHO - {B4F3A835-0E21-4959-BA22-42B3008E02FF} - C:\ARCHIV~1\MICROS~2\Office14\URLREDIR.DLL

O10 - Unknown file in Winsock LSP: c:\windows\system32\privacyprovider.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\privacyprovider.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\privacyprovider.dll

O22 - SharedTaskScheduler: Precargador Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Demonio de caché de las categorías de componente - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll

De este sospecho bastante, yo no he usado nunca en este pc un ESCRITORIO REMOTO,
O23 - Service: Escritorio remoto compartido de NetMeeting (mnmsrvc) - Unknown owner - C:\WINDOWS\system32\mnmsrvc.exe
O23 - Service: PrivacyProvider - Unknown owner - C:\WINDOWS\system32\PrivacyProvider.exe

Sospecho tambièn de este proceso (??). Pongo una captura del AUTORUNS:
Imagen

De estos procesos encuentro poca informaciòn, y/o en inglès, con lo cual no tengo la seguridad de que estos procesos sean malignos.

Si teneis y rato, rogarìa alguna sugerencia.

EDITADO:
Tras estos anàlisis con autoruns y Hijackthis, he pasado el KARPERSKY ONLINE y luego el Malwarebytes, ambos en MODO SEGURO, sin problemas

Muchas gracias y saludos.
Saludos y ♪Forzatleti♫
Avatar de Usuario
Menfis
Mensajes: 2894
Registrado: Sab May 17, 2008 5:14 pm

Re: Virus rebelde: gac_msil desktop.ini

Mensaje por Menfis »

Comenta sobre la imagen creada con Acronis: que programas tienes incluidos en la ISO?

En estos casos rebeldes, es bueno tener una imagen ISO del S.O. pelada, es decir solo controladores, actualizaciones importantes, nada más, sin ningun programa. Luego instalas solo el antivirus y, muy importante, un escaneo completo, de todas las particiones.

Nota: estoy consciente que siempre es bueno encontrar la solución y que bicho lo produjo, pero en ocasiones el tiempo apremia y hay que tomar soluciones rápidas.
No hay que empezar siempre por la noción primera de las cosas que se estudian,
sino por aquello que puede facilitar el aprendizaje.
Avatar de Usuario
paulofutre
Mensajes: 3708
Registrado: Mar Sep 11, 2007 4:18 am
Ubicación: MADRID

Re: Virus rebelde: gac_msil desktop.ini

Mensaje por paulofutre »

Comenta sobre la imagen creada con Acronis: que programas tienes incluidos en la ISO?
Bastantes, pero no muchos, y normalitos, el PC es de uso domèstico: Navegar, descargar, guardar fotos, videos, mùsica, etc . Normalmente los programas son gratuitos, salvo Nero, Photoshop, Partition Magic (bajados con la mula hace años y libres de "sospechas" ). El office 2010 es si acaso el prograba "bajado" màs reciente, pero llevo con el casi un año.
En estos casos rebeldes, es bueno tener una imagen ISO del S.O. pelada,
Claro, es de las mejores cosas que he aprendido con vosotros: con el gran programa nLite efectuè y guardè varias ISOs de instalaciòn de XP "peladas", es decir, incluyendo sòlo actualizaciones y quitando algunos elementos:
http://www.letheonline.net/manualnlite.htm

Y una cosa que he aprendido estos años es a ser muy "defensivo".
Precisamente antes de publicar el ùltimo post, estuve comentando con un compañero acerca de unos PCs que estoy montando, y le indicaba que habìa guardado varias imàgenes .tib efectuadas con ACRONIS TRUE IMAGE 10.0:
Sistema XP solo sin drivers - XP con drivers - XP drivers y actualizaciones- XP anterior y antivirus - XP con todos los programas.
Y ademàs de alguna de ellas por duplicado :yahD

En el caso que nos concierne, ambos PCs tienen exactemente el mismo modelo de Placa y Sistema, y de ellos, como de todos los PCs que monto, tengo varias imàgenes Acronis, con las que "salir del paso" , y bastante ràpido como los habituales foreros saben. :yahD
Para los recien llegados, sepan que el programa ACRONIS TRUE IMAGE es un autèntico salvavidas:
http://www.letheonline.net/restaura.htm
Nota: estoy consciente que siempre es bueno encontrar la solución y que bicho lo produjo
Si esto es màs que nada por no repetir el error yo, y evitar en lo posible que lo comentan otros. :yahD
Tomo nota de tus recomendaciones amigo Menfis. :plano1
Estupendo foro, no me canso de repetirlo :yahD
Gracias y saludos.
Saludos y ♪Forzatleti♫
Avatar de Usuario
Menfis
Mensajes: 2894
Registrado: Sab May 17, 2008 5:14 pm

Re: Virus rebelde: gac_msil desktop.ini

Mensaje por Menfis »

Con respecto al Office 2010, los activadores que he probado, la mayoría tienen troyanos.

No sé como lo activastes el Office, pero chécalo por si acaso.
No hay que empezar siempre por la noción primera de las cosas que se estudian,
sino por aquello que puede facilitar el aprendizaje.
Avatar de Usuario
paulofutre
Mensajes: 3708
Registrado: Mar Sep 11, 2007 4:18 am
Ubicación: MADRID

Re: Virus rebelde: gac_msil desktop.ini

Mensaje por paulofutre »

Gracias por la indicaciòn. Por eso resaltè lo de este programa :plano2
Lo he analizado, junto a todo el PC, con el nuevo AVIRA que me "recetò" un "curandero" :plano2 , tambièn he analizado los activadores y no me ha detectado nada raro.

Creo que el problema, identificando los orìgenes, las causas, y arreglando los desperfectos, està solventado.

Muchìsimas gracias por vuestro tiempo, y vuestros consejos :plano1 :yahD
Estupendo foro, no me cansarè de repetirlo :yahD
Saludos.
Saludos y ♪Forzatleti♫
Responder

Volver a “Infecciones y Soluciones - Virus, Trojanos, Spyware, Rogue, Malware, etc.”