Mensajes

[winroot]

Buenas,

winroot

Si sospechas que el malware se carga en WindowsNt

Efectivamente, Zbot -y variantes- suele copiarse en el 99'9% de los casos que he visto, en HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon. Añadiéndose en la entrada Userinit.

Por defecto: C:\WINDOWS\system32\userinit.exe,

Infectada: C:\WINDOWS\system32\userinit.exe, C:\WINDOWS\system32\<nombre_troyano>.

La verdad es que hasta ahora no había comprobado si Hijackthis mostraba esa rama. Gracias winroot . Es bueno saberlo.


Castiblanco

Me parece extraño que en 1 hora hayas resuelto el problema. Y viendo tu

áéíóú xD

, lo primero que he pensado es que te aburrías y te 'estabas riendo de nosotros'. No me queda muy claro cómo lo has resuelto. Si ha sido formateando o era de configuración -que anteriormente mencionabas que 'no'; entonces me he equivocado juzgándote y como tal te pido disculpas. Si no es así... Si no es así, por mi parte no hay nada más que hablar.


Novlucker

estoy casi seguro que Sysinternals lo detecta

También va bien saberlo  

Saludos!

A mi siempre me da pereza...

A lo mejor esperabas que te dijésemos: "Cuenta hasta cinco, salta cuatro veces a la pata coja, pestañea durante tres minutos, métete los dos dedos en la nariz y reinicia una vez..." ¡EA! Solucionado...

áéíóú xD

¿Te aburrías en casas porque tus papis no te han comprado la piruleta esta tarde?

Muy bien, hombretón. Ya has hecho la gracieta del día. Hale, puedes irte a dormir.

Buenas!!

Suelen ser troyanos, o primos hermanos, de Zbot.

http://row.avira.com/es/threats/section/fulldetails/id_vir/5048/tr_spy.zbot.aeag.html

Y suelen ubicarse en HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon. Valor : Userinit.

Lo mejor sería que nos colgaras un log de Hijackthis y lo miramos. Mírate esto si tienes dudas: http://foro.elhacker.net/seguridad/iquestcomo_leer_un_log_de_hijackthis_y_corregir_posibles_problemas-t188566.0.html

Para colgar el log: Do a system scan and save a logfile


Saludos.

[Si bien,]

Por cierto,

En Windows XP esto funcionaba para reparar el modo seguro:

http://www.configurarequipos.com/problemas-frecuentes/106/reparar-modo-seguro

Son, simplemente, las ramas de Safeboot exportadas del registro.

Al tener W7, la cosa quizá cambie. Por eso te subo esto:

http://www.megaupload.com/?d=5JBCIQS4

Es la rama SafeBoot de mi W7 ultimate. Debería ser suficiente para reparar el modo seguro. Si bien, no te lo cuelgo para que reemplaces tu registro. No lo he probado en W7 y, aunque debería funcionar como en Wxp; mejor ser precavidos que tienes demasiados datos para andar haciendo según qué experimentos.

Te lo cuelgo para que, mediante el botón secundario/editar, lo compares con tus valores. Si alguna de las ramas no coincide... Pues puede ser el motivo por el cual no arranca en modo seguro.

Deberás compararlo yendo hasta:
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot]

Saludos!!

Ostras!! Vaya juerga os estáis pegando por aquí 

Os importa si me uno??

Traigo cervecitas, patatas y alguna que otra sustancia para degustar...

En fin... Tonterías aparte. Con tal de aportar a intentar encontrar lo que se nos está escapando... Un log de Autoruns tampoco iría mal.

Saludos!!

Anda, pos es verdad...

Ya no carga el link 

El archivo en cuestión era detectado por 7 de los 43 motores antivirus... 

A ver si nos comenta algo el 'compañero'. Será interesante revisar GMER porque me parece a mí que alguno de los servicios 'no es mu güeno'.

Saludos!

Insertar Cita
Lo que explico, lo explico como resumen y no como novedad

Se agradece de todas formas!! 

De hecho gracias a Novlucker me he ahorrado tiempo de investigación, por lo que si por mi fuera le daba una medalla

Como se suele decir en cierta tierra cuyo nombre no viene al caso: "Es más listo que los ratones coloraos!!"

Saludos!!

[Jorge Gzz]

Buenas Jorge Gzz ,

PD. no entendi eso de sus vicios y perversiones y de que pillara a quien le interese jugar  jajajaja..  soy un noob de primera y hasta me da pena admitir que no entiendo esos comentarios  u.u..

Pronto aprendere mas

Nada hombre... No es que seas noob de primera o segunda   Es que a mí se me van los deos cuando escribo... Tienen vida propia  

Curiosidad y persistencia. Nadie nace sabiendo  

O cuélgado -mejor con contraeña- en alguna web (megaupload, rapidshare, mediafire...)

Me refería a que, si querías, podías subir el fichero ejecutable a alguna de las webs mencionadas. Algunos de los que deambulan/deambulamos por este magnífico foro, experimentamos con los virus en entornos seguros para ver cómo se comportan y afectan a Windows. Por eso te decía lo de "vicios y perversiones". Lo típico: Fumar, beber, perderte entre los bellísimos recovecos de tu amada... Otros... Otros además de todo eso y más, nos gusta irnos de copichuelas con los virus para que nos cuenten sobre su vida.

En fin... Sin más dilaTación... Digo.. Dilación...

(1) Descargar MalwareBytes y Ccleaner

(2) Actualizar MalwareBytes.  

(3) Desactivar Restaurar Sistema.  
 
(4) Iniciar en modo seguro con F8. Mejor SIN funciones de red.
 
(5) Realizar escaneo completo con MalwareBytes.
 
(6) Revisar todo lo que te encuentre y, antes de darle a borrar, comprobar que no está eliminando alguna aplicación que sepas al 100% que no es 'maligna'.   Si no estás seguro, BORRA todo.

(7) Ejecutar Ccleaner y limpiar todo lo encontrado.

(8) Iniciar Windows normalmente y quitar 'el tic' de "Desactivar restaurar  sistema".

(9) Lanzar GMER y comprobar si algo se pinta de rojo


Veremos si después de todo esto, sigue:

cuando sale la imagen emergiendo de Windows 7 al momento de salir completa se distorsiono como 5 segundos

(10) Cuelga el log de MalwareBytes para echarle un vistazo.

Ya nos contarás.

Saludos.

PD: Gracias por

http://www.virustotal.com/file-scan/report.html?id=3fecc0c67989c53efddabfbf93d9da7482b57fffafff66a218b0c9a1a4363c6f-1292464222

[Jorge Gzz]

Buenas Jorge Gzz ,

Yo no los borraría a mano. He estado revisándolos y sí es cierto que algunos parecen Malware, pero toquetear los servicios 'a pelo', puede acarrear consecuencias...

Además, los logs de Hijackthis, tampoco son 100% fiables, pueden NO mostrar todo lo que corretea por el ordenador...

Te recomendaría que lanzaras: GMER.

A ver qué dice...

Saludos.

PD: Si puedes, sube el ejecutable a virustotal. Por simple curiosidad...   O cuélgado -mejor con contraeña- en alguna web (megaupload, rapidshare, mediafire...) y ya lo pillará a quien le interese jugar. Cada cual tiene sus vicios y perversiones...  

[Jorge Gzz]

Buenas Jorge Gzz

La página que comentas es orientativa, en ningún caso 100% fiable.

Por lo pronto, veo esto:

C:\Users\user\AppData\Local\Temp\Xjq.exe

No iría mal que subieras ese ejecutable a www.virustotal.com

Ya nos dirás.

EDITO

Y esto:

O4 - HKCU\..\Run: [JP595IR86O] C:\Users\user\AppData\Local\Temp\Xjq.exe

No parece algo mu bueno: http://row.avira.com/es/threats/section/fulldetails/id_vir/5869/tr_dldr.fakealer.aa.html

Saludos!!