Vídeo: Troyano secuestra el ordenador en nombre de la policía nacional ....

Iniciado por wolfbcn, 22 Junio 2011, 01:47 AM

0 Miembros y 4 Visitantes están viendo este tema.


Falvan

El caso es que no tiene ese mismo nombre de archivo que pone ahí, ya que no es el mismo virus.

Estoy terminando de pasarle el Dr. Web y sin con eso no lo consigo lo formateo y me doy por vencido.

Novlucker

Que tarde que llego :(
Mi intención era meter un par de scripts en la carpeta de Inicio de windows para listar las rutas de los procesos ejecutandose y así poder quitarlo :-\
El contador seguía disminuyendo aún con la pc apagada? o no la estabas apagando? Aunque el contador siga bajando, si estas pronto para formatear dale una oportunidad, quizás no borra nada :P


Saludos

Contribuye con la limpieza del foro, reporta los "casos perdidos" a un MOD XD

"Hay dos cosas infinitas: el Universo y la estupidez  humana. Y de la primera no estoy muy seguro."
Albert Einstein

Falvan

Hola,

pues estoy a punto de formatear, quedan 30 minutos. O eso quedaba hace un rato, porque lo último que hice fue elimiar el archivo wmiprvse.exe y he conseguido que al arrancar el sistema no salga la pantallita de las narices, eso sí, tampoco arranca, en el momento de hacerlo al pasar la pantalla de Bienvenida de windows se me va a la pantalla del usuario, pone cargando configuración personal, pero aunque pinches en él usuario ya no entra.

:-(

Falvan

Por cierto, el contador bajaba aunque tuviese el ordenador apagado está sincronizado con el reloj del sistema.

El tema es que no quiero perder el netbook, formatearlo es lo más seguro ahora mismo para mi, lo que me da algo de pena es que no se pudo idenfiticar el bicho, eso y que ha pasado el finde entero jodido.

тαптяα

Cita de: Falvan en 21 Agosto 2011, 18:39 PM
Hola,

pues estoy a punto de formatear, quedan 30 minutos. O eso quedaba hace un rato, porque lo último que hice fue elimiar el archivo wmiprvse.exe y he conseguido que al arrancar el sistema no salga la pantallita de las narices, eso sí, tampoco arranca, en el momento de hacerlo al pasar la pantalla de Bienvenida de windows se me va a la pantalla del usuario, pone cargando configuración personal, pero aunque pinches en él usuario ya no entra.

:-(
has borrado cosas q no dbias tocar

Novlucker

En que carpeta estaba el archivo exactamente?
Como hiciste para eliminarlo? (lo digo por eso de que no podías ejecutar el administrador de tareas)
No puedes perder el ordenador, lo único que puedes perder es el SO, y eso lo arreglas formateando.


Cambia la hora desde la bios :P


Saludos


Contribuye con la limpieza del foro, reporta los "casos perdidos" a un MOD XD

"Hay dos cosas infinitas: el Universo y la estupidez  humana. Y de la primera no estoy muy seguro."
Albert Einstein

Falvan

Gracias a todos por vuestra ayuda, ha sido una experiencia un tanto frustrante porque no he conseguido limpiar la máquina que es lo que me hubiera gustado.

Estos actos del final han sido en plan desesperado de todo.

Para comentar, decir que el virus:
1. No permitía abrir el taskmanager (si pulsabas Ctrl+Alt+Supr como un loco podías llegar a verlo como en un parpadeo, lo que me llevó a sacar unas fotos continuas hasta que capturé algunos de los procesos que estaban funcionando en ese momento, los investigué todos y ninguna hacía referencia al virus)
2. No permitía arrancar en modo seguro, ni con funciones de red ni con símbolo del sistema. Daba un error en pantalla azul (no se daba visto el error) y se reiniciaba.
3. No permitía recuperar el sistema.
4. La única combinación de teclas que funcionaba era Tecla Win + L (pero en mi caso al solo tener un usuario no me sirvió de nada)
5. Pasé el Kaspersky actualizado a 20 de agosto, el Dr. Web y todos los Spyware y antivirus que traía el Hires 14.0 pero ninguno localizó el troyano en cuestión.
6. El ataque se produjo o al menos se activó cuando estaba visitando un listado de imágenes en google en concreto al pinchar en una imagen de un sintetizador Moog.
7. Al acceder a la clave HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell del registro del windows infectado, aparecía Explorer.exe con lo cual entiendo que lo cambiaba al arrancar en ese momento.
8. Al acceder al msconfig del windows infectado no aparecía ningún proceso desconocido en el inicio del sistema (es probable que sustituyese a alguno ya existente?)
9. El troyano bloqueaba el movimiento del ratón, limitándolo únicamente a la parte de la pantalla que tenía un formulario para introducir el pago y el botón de aceptar.

Creo que nada más. Espero que esta info pueda servir de ayuda en el futuro. Muchas gracias a todos los que me habéis echado una mano con vuestros consejos.

Novlucker

O sea que lo das por perdido? :-\ apuesto que cambiando la hora de la bios te agregas un par de semanas más :-X Lo que ocurre es que no teníamos toda la info completa, podías acceder al registro de windows? al msconfig?


Saludos

Contribuye con la limpieza del foro, reporta los "casos perdidos" a un MOD XD

"Hay dos cosas infinitas: el Universo y la estupidez  humana. Y de la primera no estoy muy seguro."
Albert Einstein

Filibustero de bolsillo

Si podías acceder a esas rutas, entonces era cuestión de paciencia ya que las claves pueden ser diferentes, pero de seguro estan allí. ¿Por qué no usas el LiveCD si necesitas trabajar y mejor tienes algo de paciencia mientras pruebas otros métodos? Digo, no le des gusto al Virus :/

Absence makes the heart grow fonder.