Posible duplicado:
¿Qué hacer si mi computadora está infectada por un virus o un malware?
Estaba mirando una PC, cuyo usuario se había quejado de que no podía conectarse a Internet y que la PC experimentaba reinicios aleatorios.
La PC ejecuta WinXP SP3. Al examinarlo, descubrí que el servicio Wireless Zero Configuration estaba detenido. Lo habilité y Internet volvió a estar encendido (la PC se conectó a través de wifi). Luego inicié Firefox y busqué gmail.com. No inicié ningún otro programa, excepto algunas ventanas del explorador.
Fue entonces cuando noté que había aparecido una ventana (no era una ventana emergente). Tenía el ícono de la carpeta del explorador y en lugar del contenido de la carpeta del explorador, mostraba una página de hotmail, con un usuario llamado "Homer Stinson" conectado. La barra de título estaba vacía y no había barras de herramientas. Le pregunté al cliente si esta era su identificación de correo electrónico, y dijo que no. Abrí el administrador de tareas, que no mostraba esta ventana del explorador en su pestaña Aplicación. Volví a la ventana 'deshonesta' y descubrí que la página de configuración de Hotmail ahora estaba abierta, que luego cambió a la página de edición de perfil de Hotmail para el mismo usuario. No estaba haciendo clic en nada. Entonces, de repente, la ventana se cerró.
Revisé las ubicaciones de ejecución automática, inicié un análisis de Malwarebytes Anti Malware que arrojó un resultado relativamente limpio. El sistema también tenía una instalación actualizada de AVG.
No quiero una solución para este problema de virus (?). Pregunté esto aquí porque quería saber si a alguien le ha pasado algo similar. ¿Qué tipo de malware puede ser este?
El usuario no había visto una ventana similar antes y debería haber tomado capturas de pantalla.
(PD: Homer Stinson es un nombre imaginario. Busqué el otro nombre real con algunas palabras clave relevantes, pero no pude encontrar una publicación de discusión sobre virus/malware).
ACTUALIZAR:
Cuando verifiqué la PC más tarde, apareció un error de DEP al cerrarse, lo que reinició la PC.
(diálogo de error de depósito, cortesía de imágenes de Google)
ACTUALIZACIÓN 2:
Al día siguiente, encontré la misma extraña ventana de registro de correo electrónico, varias veces, cada vez registrando una identificación de correo electrónico en AOL, Hotmail o Yahoo (Supongo, ya que no había barra de direcciones). Se adjunta una de esas capturas de pantalla.
Podría interactuar con la página, como hacer clic en enlaces e ingresar texto. Intenté ingresar algo de texto cuando el otro 'usuario' estaba escribiendo y moví el control a un cuadro de texto normal, cuando el otro 'usuario' estaba escribiendo en el campo de contraseña (la contraseña que vi eran caracteres aleatorios). El otro 'usuario' mientras tanto continuó con el registro, aunque no me di cuenta de que el 'usuario' había completado el captcha, por lo que no puedo decir si el 'otro' era una persona real o un bot.
Ejecuté análisis de AVG, Malwarebytes y Spybot y obtuve algunos programas publicitarios, errores de registro y errores de redirección de archivos de Hosts. Malwarebytes no pudo solucionar el problema del archivo de hosts. Revisé el archivo de hosts manualmente y encontré que estaba bien (contenía los comentarios predeterminados y 127.0. 0.1 línea.) Malwarebytes todavía daba el mismo error de redirección de archivos de hosts al volver a escanear.
Pude solucionar el problema de DEP agregando el interruptor AlwaysOff a la línea de Inicio del sistema, pero las ventanas de registro de correo electrónico me tenían preocupado.
Ejecuté puertos activos y descubrí que explorer.exe estaba hablando con una IP remota. A continuación se muestra la captura de pantalla.
Incluso después de matar explorer.exe y reiniciarlo, todavía se conectaba a ips remotas, todo lo cual se resolvió.correo.Nombres de dominio .yahoo.*.
También recuerdo que el servicio Firewall/ICS de Windows estaba deshabilitado y no se iniciaba.
Dado que la PC tenía una copia de seguridad de los documentos, procedí a reinstalar el sistema operativo, sin embargo, me gustaría saber a qué tipo de malware me estaba enfrentando.
¿Alguien se ha encontrado con un problema similar? Cualquier información sera apreciada.
PD: no dude en editar la pregunta para mayor claridad.
Respuesta1
Más información en esa dirección pop1 http://www.robtex.com/dns/pop1.plus.mail.vip.sp2.yahoo.com.html
Sí, es un virus winlogon.exe
No es necesario reinstalar.
Siga el orden que se indica a continuación para desinfectar adecuadamente su PC
1.) Cree un disco AV de arranque, luego arranque desde el disco y escanee el disco duro, elimine cualquier infección que encuentre. Yo prefiero el disco de Kaspersky. El nuevo disco Kaspersky 2010 puede actualizar los archivos AV dat si está conectado a Internet en el momento del escaneo y se sugiere actualizarlo antes del escaneo.
http://www.techmixer.com/free-bootable-antivirus-rescue-cds-download-list/
2.) Luego: Instale MBAM gratuito, ejecute el programa y vaya a la pestaña Actualizar y actualícelo, luego vaya a la pestaña Escáner y realice un escaneo rápido, seleccione y elimine todo lo que encuentre.
http://download.cnet.com/Malwarebytes-Anti-Malware/3000-8022_4-10804572.html
3.) Cuando MBAM haya terminado, instale la versión gratuita de SAS, ejecute un análisis rápido y elimine lo que selecciona automáticamente. http://www.superantispyware.com/download.html
Estos últimos 2 no son softwares AV como Norton, son escáneres bajo demanda que solo buscan elementos desagradables cuando ejecuta el programa y no interferirán con su AV instalado; estos se pueden ejecutar una vez al día o a la semana para garantizar que no esté infectado. Asegúrese de actualizarlos antes de cada análisis diario o semanal.
.
Respuesta2
¿Tiene instalado algún tipo de software de gestión remota como LogMeIn? Si se trata de una computadora de la empresa, entonces debe hablar con su departamento de TI al respecto y averiguar qué hacen.
Respuesta3
Trabajo de detective :
- Hay por lo menos6 personascon el nombre de "Homer Stinson" en Estados Unidos. Entonces este podría ser un nombre real.
- La extraña ventana de correo electrónico es laRegistro de correo web de AOL, por lo que el virus está en proceso de crear una nueva cuenta de AOL WebMail.
- El servidor
pop1.plus.mail.vip.sp2.yahoo.comes Yahoo! servidor de correo. Probablemente el virus también esté haciendo lo mismo allí.
El virus puede crear nuevas cuentas para enviar spam o intentar detectar por fuerza bruta los nombres de las cuentas existentes. Probablemente sea parte de algún robot de spam.
Por el hecho de que tienes tantos síntomas, supongo que tu virus es en realidad un troyano y puede que haya traído consigo algunos "amigos". He oído hablar de casos en los que se instalaron docenas de virus debido a una única infección troyana.
Es posible que el ordenador ya esté tan infectado que resulte casi imposible descubrir dónde comenzó la infección. Si todavía tienes curiosidad, puedes utilizar varios de losantivirus en líneaservicios para escanear la computadora, haciendo una lista de todos los virus encontrados. Descargue también varios CD de arranque de productos antivirus conocidos y ejecútelos desde fuera de Windows. Para un barrido limpio, utilice también Spybot S&D y Lavasoft Ad-Aware.
La única solución es formatear todos los discos duros y reinstalar Windows. Esta computadora no se puede recuperar. Es posible que su esfuerzo por localizar el virus no valga la pena.
Respuesta4
Técnicamente no creo que la pregunta haya sido respondida como querías. Lo que esto era, simplemente, era un poco de malware botnet. Una botnet es un grupo de computadoras infectadas con malware, que trabajan juntas para realizar alguna tarea, ya sea maliciosa o no. Lo que hacía ese código, o posiblemente esa persona, era usar la computadora como fachada legítima para crear cantidades masivas de cuentas en varios sitios web. Lo más probable es que quien tuviera el control de la Botnet tuviera algo más que esa computadora trabajando para él. Si no se trataba de un acuerdo tipo botnet, entonces simplemente había un tipo usando esa computadora como una especie de proxy, para ocultar lo que estaba haciendo y hacer que estas cuentas creadas parecieran legítimas. El malware en sí es bastante simple. Utilizó algún tipo de estafa de phishing para introducir el software en la computadora, y el software se configuró para evitar que la PC lo viera o hiciera algo al respecto. La ventana que apareció fue básicamente un tour de force, mírame, mira lo que puedo hacer. Nada de eso era realmente necesario para este tipo de cosas.