Ayudaaa VenoM666.exe ¡¡¡¡¡

Buen dia y saludosss y mil disculpas por tener ya rato sin aportar nada, pero el trabajo es primero y estamos en plena auditoria proxima, bueno, el tema es este.

Tengo 2 PC infectadas Shocked

con este amiguito VenoM666.exe tambien camuflajeado o trae al parecer un anexo Lucifer.exe, el caso es que el kaspersky quedo corto para este amigo, el NOD32 es el unico que lo detecta al parecer, pero no elimina esta amenaza ampliada, me pueden recomendar o dar algunas instrucciones para eliminarlo que no sea el formateo??

Pregunta : Los archivos de office infectados pueden recuperarse? Huh

De antemano muchas gracias

saludosss

Citar

Método de desinfección para el virus VenoM
« en: 25 de Octubre, 2007, 11:08:36 »
Últimamente en algunas máquinas que he revisado en mi universidad he encontrado un malware llamado VenoM. Lo considero un gusano pues a pesar de que no he revisado si tiene más métodos de propagación, sí he notado que se copia a memorias flash USB y genera un archivo autoejecutable (un autorun.inf) para que el malware se ejecute al conectar la memoria USB al PC.

No es un malware que presente mucha dificultad para eliminarlo, si bien la desinfección manual puede ser un poco laboriosa, sólo basta con seguir los pasos que aquí describo.

Entre los síntomas que pude observar se encuentran:

* La aparición de uno o varios mensajes en el Bloc de Notas diciendo: "El juego ha terminado. Tu has sido derrotado por VenoM", seguido por la palabra VenoM dibujada ccon ceros.
* Deshabilita el editor del registro.
* Deshabilita el administrador de procesos.
* Oculta la opción "Opciones de Carpeta" del menú Herramientas (o en el menú Ver según la versión de Windows) del Explorador de Windows.
* Oculta los archivos ocultos y las extensiones de archivos.
* Oculta la carpeta del sistema (Windows) y crea un archivo ejecutable con ícono de carpeta de nombre Windows en la unidad del sistema.
* En algunas carpetas crea un archivo autorun.inf para que al entrar a dicha carpeta, se ejecute el virus.
* Crea varias entradas en el registro de Windows.
* Crea varios archivos ejecutables en diferentes ubicaciones del sistema. Se caracterizan por ser ejecutables con íconos de carpeta, generalmente con nombres de carpetas existentes. Poseen un tamaño alrededor de 180 a 185 KB.

No estoy seguro al 100% de qué archivos son los que realmente pertenecen a este malware, pues entre las máquinas que he revisado he encontrado señales de otras infecciones. Pero aquí dejo una guía de cómo eliminar los principales archivos de VenoM y evitar que siga corriendo en el sistema.

La única herramienta que necesitaremos será HijackThis 1.99.1 o superior.

Ejecuta HijackThis y realiza un escaneo del sistema. A continuación presiona el botón Config..., luego Misc Tools y por último selecciona Open process manager. Aparecerán todos los procesos que corren en tu sistema.

En específico, tienes que terminar los siguientes procesos (en este caso específico la letra de la unidad es C:\, es posible que no todos los procesos aparezcan):

C:\WINDOWS\System\winlogon.exe <-- Ojo, está ubicado en la carpeta System y no en System32
C:\Documents and Settings\usuario\Menú Inicio\Programas\Inicio\MS-DOS.pif
C:\VenoM.666\explorer.exe
C:\WINDOWS\system32\cmd.exe <-- Este es el archivo real de Windows, pero hay que finalizar su proceso para poder realizar la desinfección
C:\Documents and Settings\usuario\Datos de programa\lsass.exe

Para terminar un proceso lo único que debes hacer es seleccionar el proceso y presionar el botón Kill process. Para eliminar varios procesos a la vez, mantén presionada la tecla Shift mientras seleccionas cada proceso.

Una vez terminados los procesos anteriores, presiona el botón Back en HijackThis. Regresarás al escaneo que realizaste anteriormente. Ahora marca las casillas de las siguientes entradas:

O4 - HKLM\..\Run: [CFTMON.EXE] C:\WINDOWS\System\winlogon.exe
O4 - HKCU\..\Run: [CFTMON.EXE] C:\Documents and Settings\usuario\Datos de programa\smss.exe
O4 - Startup: MS-DOS.pif = ?
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1

Una vez seleccionadas dichas casillas, presiona el botón Fix checked. Realiza otro escaneo para asegurarte que las entradas ya no aparecen. Una vez eliminadas estas entradas puedes cerrar HijackThis.

Ahora ya podrás abrir el Editor de registros. Dirígete a Inicio >> Ejecutar >> y escribe "regedit" (sin las comillas por supuesto) y presiona Aceptar.

Una vez adentro expande la carpeta (o clave) correspondiente a HKEY_CURRENT_USER. Podrás notar de inmediato que exiten unas claves que dicen VenoM y un número aleatorio. Elimina todas las claves dando click derecho sobre la clave y seleccionando Eliminar. Es posible que veas aquí muchas entradas relativas al VenoM, así que una forma más rápida de eliminarlas es usando sólo el teclado. Selecciona la clave de hasta arriba y todo es cuestión de presionar la tecla Suprimir (Supr) y luego Enter sucesivamente.

Una vez eliminadas todas esas claves, expande las claves siguiendo la siguiente secuencia: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies.
Debajo de Policies hay dos claves: Explorer y System. Entra a System y elimina los valores llamados DisableTaskManager y DisableCMD, dando click derecho sobre el valor y seleccionando eliminar. Ahora dirígete a la clave Explorer, donde sólo queda eliminar el valor NoFolderOptions.

Cierra el Editor del registro y ahora abre el Explorador de Windows. Puedes abrirlo dirigiendote a Inicio >> Programas >> Accesorios >> Explorador de Windows o presionando la tecla Windows y la tecla E al mismo tiempo (Windows+E). Aquí el Explorador de Windows es importante, porque tenemos que explorar las carpetas desde la estructura de árbol de la izquierda para no ejecutar los archivos autorun.inf que se encuentran en algunas carpetas, como en C:\ por ejemplo. Navega por las carpetas de esta forma por lo menos hasta haber quitado la infección.

Primero intenta mostrar los archivos ocultos de nuevo. En Windows XP la opción estará en el menú Herramientas >> Opciones de Carpeta. En versiones anteriores de Windows la opción estará en el menú Ver. Si la opción no aparece tendrás que reiniciar el sistema. No debería haber problema de reinfección pues hemos eliminado todas las entradas de arranque del malware. Si la opción Opciones de Carpeta aparece, entonces selecciónala, dirígete a la pestaña Ver y selecciona la opción "Mostrar todos los archivos y carpetas ocultos". También desmarca las casillas "Ocultar archivos protegidos del sistema operativo" y "Ocultar las extensiones de archivo para tipos de archivo conocidos". Presiona el botón Aceptar.

En el Explorador de Windows dirígete a la unidad del sistema (generalmente es C:\). Una vez ahí elimina la carpeta oculta VenoM.666 y los archivos crsvc.exe y autorun.inf. También elimina el archivo Windows.exe, asegúrate de que sea el ejecutable porque de otro modo estarías intentando borrar la carpeta del sistema (que puede aparecer como oculta, cambia sus propiedades seleccionando la carpeta con un click derecho >> Propiedades, y desmarca la casilla Oculto). También es probable que tengas un archivo ejecutable cuyo nombre sea el nombre de tu usuario y el texto "100%". Por ejemplo: "usuario 100%.exe" o "100% usuario.exe"

Sigue utilizando el Explorador de Windows para borrar los siguientes archivos. Antes de eliminar estos archivos, anota la fecha de creación y modificación (puedes verlas en el recuadro o tooltip que aparece al colocar el cursor encima del archivo o seleccionando la opción Propiedades al dar click derecho sobre el archivo) , las vas a necesitar después para buscar más archivos sospechosos.

C:\WINDOWS\System\winlogon.exe
C:\Documents and Settings\[usuario]\Datos de programa\smss.exe
C:\Documents and Settings\[usuario]\Datos de programa\services.exe <-- Puede no estar
C:\Documents and Settings\[usuario]\Datos de programa\winlogon.exe <-- Puede no estar
C:\Documents and Settings\[usuario]\Datos de programa\autorun.inf <-- Puede no estar
C:\Documents and Settings\usuario\Menú Inicio\Programas\Inicio\MS-DOS.pif

Abre el buscador de archivos (Tecla Windows + F o en Inicio >> Buscar) y en la opción Buscar todos los archivos y carpetas, escribe autorun.inf y realiza la búsqueda. Es posible que encuentres varios autorun.inf si tienes guardadas en el disco duro imágenes de CD's o DVD's. En ese caso ignóralas. Pero si ves archivos autorun.inf en otra ubicación revísalos (para revisar un autorun.inf basta con dar click derecho, seleccionar Abrir con.. y selecciona el Bloc de Notas para abrirlo) y si hacen referencia a algún archivo de los que acabas de borrar, o hace referencia a VenoM, entonces elimínalos.

Ahora realiza una búsqueda de todos los archivos ejecutables con iconos de carpeta que estarán regados entre tus archivos para eliminarlos. Podrías infectarte de nuevo si accidentalmente ejecutas uno de estos archivos.

La forma más fácil de buscarlos es escribir en el campo de búsqueda *.exe y usar las opciones "¿Cuándo fue modificado?" y "¿Qué tamaño tiene?" que ofrece el buscador de archivos de Windows. Establece la fecha que te pedí que anotarás previamente (intenta la búsqueda con fecha de creación y fecha de modificación). El tamaño de los archivos no pasa de 185 KB, pero para asegurarte establece un tamaño máximo de 190 KB.

Ahora sólo quedaría buscar por el archivo del dichoso mensaje del VenoM, el venom.txt. Utiliza el buscador para ubicarlo rápidamente. Generalmente se encuentra en las carpetas de los usuarios.

Puede que hayan quedado algunos pocos archivos esparcidos por el sistema de los que no estoy enterado. Sin embargo, si realizaste todo lo que indiqué aquí, el malware VenoM ya no debería ser molestia, pues ya eliminaste sus archivos principales y sus entradas de arranque.

Si tienes alguna pregunta o comentario, puedes colocarlo en este post como respuesta.

Saludos
Arwing
« Última modificación: 20 de Noviembre, 2007, 11:57:52 por Arwing »

1 saludo

si ya tenia esta info, y la verdad gracias , ahora mi pregunta es esta, sera una mutacion de virus la ke yo tengo?

por ke nome deja instalar el Hjckthis, y asi no puedo seguir los siguientes pasos, kuando lo intento instalar en modo seguro o normal me dice ke esa funcion a sido desactivada por el administrador(me deniega la instalacion) lo que hice fue brinkarme a los pasos de terminar los procesos con el process manager de tune up, pero aun asi nome dejo accesar al registro.

kuando llamo el registro me direcciona a las plantillas de herramientas admnistrativas o algo asi, al parecer el virus daña los archivos de office y vaya que los daña, pero solo los que estan en la unidad donde se aloja el virus que es C en mi kaso.

Intente recuperar los archivos con el databack y el file lost pero me los recupera dañados y yano se pueden reparar y los ke se reparan estan incompletos, hasta la fecha segun la publikacion solo el NOD32 el mas actual es kapaz de contener esta infeccion. y aun asi tengo mis dudas, dime sime ekivoko?

sigo los pasos que dice enel artikulo pero no todo lo ke describen funciona, de todos modos gracias y muchos saludosss salud

hola relojcromado, has probado esta vacuna ? -->
Para ver los enlaces debes ser usuario Crear Usuario o Hacer Sesion

http://mx.geocities.com/chuleta_tosino/mxone_anti_worm.venom.a.zip

debes usarla en modo a prueba de fallos presionando F8 al inicio del Sistema.

fué creada especialmente para ese bichito , espero que te sirva, suerte y

Programas Completos By Arwen

Tambien si alguien tiene un problema con un virus como este o cualquier otro, puede pasarse por este post:

Para ver los enlaces debes ser usuario Crear Usuario o Hacer Sesion

en el cual trataremos de ayudar con la eliminacion de estas cosas, atraves del uso de scripts, para que el trabajo sea mas facil...

UN Saludo.

Proyecto Windows El-Hacker.com Edition...Colabora¡¡

Reglas del Area de Phreaking - Leetelas

TUTORIAL: Como Traducir Aplicaciones JAVA - Moviles

Super Bluetooth Hack 1.08 en Español - by SmartGenius

[TUTORIAL] Como Hackear Telefonos por Bluetooth !!

Probando vacuna arwen, gracias de antemano corazon Wink

se pueden recuperar los archivos dañados por el bicho???

Cita de: relojcromado en Mayo 19, 2008, 10:43:45

Probando vacuna arwen, gracias de antemano corazon Wink

se pueden recuperar los archivos dañados por el bicho???

Si el antivirus consigue Repararlos, si. Sinó acabarán eliminados.

Hacking Empezando desde 0

Haz Crecer Con Tu Visita La Mini Ciudad de El-Hacker.com!!

Cita de: relojcromado en Mayo 19, 2008, 10:43:45

se pueden recuperar los archivos dañados por el bicho???

Todo se puede recuperar... Wink

Espero no sea visto como SPAM

Para ver los enlaces debes ser usuario Crear Usuario o Hacer Sesion

Un tuto mio, para que tengas mejores nociones en el caso de recuperación de información...

Saludos cordiales

hola, tengo el mismo caso de infeccion por el tal virus venom, resulta que al pasarle el kaspersky que de hecho fue el unico uno de los dos antivirus que probé y si me detecto y supuestamente me elimino el virus, supuestamente hice un respaldo de mis archivos de word, excel y powerpoint y todos al abrirlos me aparece este mensaje VenoM VenoM VenoM VenoM VenoM VenoM VenoM VenoM VenoM VenoM VenoM 666 LucifeR! estoy desesperado buscando programas de recuperacion de archivos corruptos porque no estan eliminados bueno eso creo porque fisicamente se visualizan todos solo que se redujeron de tamaño tan solo mide cada uno de ellos 80 bytes o 1kb Huh

si alguien le ha pasado lo mismo no sabrian como recuperarlos? ya intente con el recovery varios pero no me los muestra como eliminados.

te sugiero te tires de la ventana Grin

...... no mentiras...

realmente no se que puedas hacer, intenta con otro programa como GetDataBack y si no ya puedes dar por perdisos esos archivos...

Saludos.

Proyecto Windows El-Hacker.com Edition...Colabora¡¡

Reglas del Area de Phreaking - Leetelas

TUTORIAL: Como Traducir Aplicaciones JAVA - Moviles

Super Bluetooth Hack 1.08 en Español - by SmartGenius

[TUTORIAL] Como Hackear Telefonos por Bluetooth !!

fijate amigo. qume callo una maquina a reparar con el virus nuevo este!!

hay muchos archivos y en el registro hay muchisimos valores llamados infernal!! jajaja

este nuevo venom esta poderosisimo yo no lo he podido tumbar aun!! :S ahi estamos pendientes!

robochop, lamentablementem, no es el mismo venom esta reload... jajaja, esta casi imposible de limpiar!!! muy muy dificil la verdad, yo no he podido aun!!! como que voy a la mitad!! tebngo dos horas sobre el! jajaj ahi la lel

jajaja, que buenisimo esta este virus... cuando tratas de ejecutar un script paraacomodarlo, te sale la pantalla negra con signos blancos que forman la palabra venom? y hasta en modo a prueba de fallos, te la hace de pedo!! jaj, esta buenisimo esa madre!!! no deja eejcutar hijack, ni nada...

yo quiero ese virusss babeando

porfavor alguien pasemelo......

gracias

kj

acabemos con rapidshare y megaupload :: clic aqui ::

no mas lista negra para kaspersky - recupera y utiliza keys en lista negra :: clic aqui ::

a ver, pues aquí lo tengo capturado, a dónde te lo envío?

-.- yo consegui el codigo de este virus pero se me perdio en una reiniciada Cry

es cierto lo q dice tampoco deja ejecutar ningun script ni el hijack Angry

pero en fin logre borrarle algunos archivos como lucifer.exe pero usando el Avast y aun no me deja ejecutar hijack ni sript tampoco las opciones de carpetas para ver archivos ocultos, etc etc etc, q mas se puede hacer Undecided

Citar

a ver, pues aquí lo tengo capturado, a dónde te lo envío?

pues en un link.

mucha gracias, tambien buscaré el code.

kj

acabemos con rapidshare y megaupload :: clic aqui ::

no mas lista negra para kaspersky - recupera y utiliza keys en lista negra :: clic aqui ::

Cita de: righost en Julio 10, 2008, 08:33:03

Cosa de niños el virus ese!!
Yo en 37 minutos lo he eliminado de la PC .....Jajajajaja

Y que es lo que utilizé ? Un grandioso live cd !! wooowwwwww !!!
Un antivirus booteable ( kasperksy emergency boot cd) y listo ! La pc ya esta jalando !
Por cierto hice un respaldo de los archivos infectados (mismos que si se ejecutan en alguna pc infectará)
Despues le sigo estoy terminado de vacunar y les cometno........

NO DEAD LINKS, NO BULLSHIT !!

Difícil saber si les gusta lo que posteo, una respuesta estaría bien

Para ver los enlaces debes ser usuario Crear Usuario o Hacer Sesion

saludos, creo que te podria ayudar siempre y cuando envies el troyano en si o el virus en si

subelo a rapidshare megaupload mediafire, filefont o donde quieras

yo globalmente uso mediafire.com

comprimelo en 7zip de preferencia o .rar con contraseña

saludos Apuromafo

buscando en google encontre un lucifer cualquiera
y salto con 15 antivirus

Para ver los enlaces debes ser usuario Crear Usuario o Hacer Sesion
desempaque el programa
y lo detectaron 10

Para ver los enlaces debes ser usuario Crear Usuario o Hacer Sesion

lo unico a modo global de raro era que era para MU (un juego de rol)
Text strings referenced in LucifeR_:.text, item 1232
Address=0040A6CE
Disassembly=mov dword ptr [ebp-7C], 0040584C
Text string=UNICODE "Por favor copie este launcher a la carpeta del cliente MU. Gracias."

creo que no es ese, asi que cuando tengas tiempo envialo para ver y aprender de el Wink

de quitarlo con otra informacion creeme que sera util

segun informaciones de otros foros te serviria una herramienta llamada elistara

Para ver los enlaces debes ser usuario Crear Usuario o Hacer Sesion

	Bienvenido(a), Visitante. Favor de ingresar o registrarse. ¿Perdiste tu email de activación? - ſeptiembre 08, 2008, 04:44:50 Boton Buscar