Mensajes

Muy buenas,

Además de la ruta genérica: HKLM. No estaría de más indicar que en la ruta HKCU se inicia el Malware de los usuarios que no tienen privilegios.

Si un ordenador está infectado con un usuario determinado (HKCU), no tiene por qué haber tocado la rama HKLM.

Otra rama a tener en cuenta cuando el usuario tiene privilegios: HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon. Valor Userinit.

De ese modo, el malware se asegura el inicio incluso en modo seguro...

Ahora bien... No sé si sería mejor dejar el manual básico como está -que lo veo perfecto- y aportar ideas para un manual más avanzado...

El cual, tampoco estaría mal que destriparas 'el amigo' con el Ollydbg o cualquier otra herramienta (string de sysinternals)... Si por pedir... 

Saludos!

Pues a mí también me ha parecido bueno. Directo y sin complicaciones. Explicando las ideas básicas que más de uno -y de 1128- desconoce...

Saludos!

Anda, la leche... Pues si es el mismo usuario... 

Pos nada, a ver si... Vuelve para contarnos 'algo'....

Saludos!!!

[Novlucker]

Novlucker

...es más o menos lo que hice yo...

Mmmm... Será que cuando lo has intentado estaría cansaete el amigo... 

skapunky

Novlucker ya que te veo puesto te recomiendo que utilizes un debugger como el Olly...

Gracias por la información. La verdad es que yo tampoco he usado el Olly... A ver si me decido un día y lo pruebo...

Por cierto, me parece que en este post está el mismo 'bicho'...

Por mi parte, si puedo seguir jugando, iré informando...

jcoa81 ... Sólo por curiosidad, cómo te has infectado... ¿Estabas intentado encontrar el msn 8.1???

Saludos!

[Novlucker]

Hola Maestro! 

Novlucker... Lo poquito que he hecho ha sido:

Iniciar con un windows limpio en un VmWareplayer. Activar el Process Monitor y el MJRegWatcher. Ejecutar el 'winrar'...

El log que he pegado lo he visto con el MJRegWatcher. Process Monitor 'sólo' enseña un proceso llamado comestrusystem.exe con icono de Adobe Reader...

Poco más he podido mirar...

Saludos!!!

Muy buenas!!

He estado experimentando con el bixo en cuestión...

Por lo pronto, hace lo siguiente:

Registry Key hkey_local_machine\software\microsoft\windows\currentversion\run
Value Comunicacion Interna Intel. (S) will be a new value with data
comestrusystem.exe

Crea una entrada en el registro para que 'el amigo' se ejecute al iniciar Windows

c:\windows\comestrusystem.exe -  Size=397.548  Date=Thu Jan 01 00:59:59 1970  Attributes=RHS--
======================================================

Crea el archivo en la ruta indicada.

Registry Key hkey_local_machine\software\microsoft\windows nt\currentversion\terminal server\install\software\microsoft\windows\currentversion\run
Value Comunicacion Interna Intel. (S) will be a new value with data
comestrusystem.exe

Mmmm... ¿Instala Terminal server en la máquina para permitir acceso remoto?

Por lo pronto, esto es lo que yo he podido ver... A ver si entre todos conseguimos algo más...

Saludos!

[javijack]

Muy buenas!

javijack tal y como te comenta Novlucker, si has hecho el tercer paso, es normal que ese archivo esté ahí... Por otro lado, el NOD32 no debería considerarlo como virus...

A no ser que lo hayas colocado tú mismo, NO debe haber ningún 'autorun.inf' en el pendrive.


Para eliminarlo mediante el Panda Vaccine:

(1) Colocas el pendrive en el ordenador.
(2) Lo seleccionas desde la opción 'Select an USB drive'.
(3) Le das a 'vaccinate usb'.



También puedes hacerlo mediante 'CMD':

(1) Te colocas en la unidad del usb---> <letra unidad>: (dos puntos).

(2) Haces un 'dir /a:s'. Si entre los archivos ves alguno con el nombre 'autorun.inf'. Podrás borrarlo mediante el siguiente paso.

(3) Le das atributos para poder borrarlo---> 'attrib -h -r -s'.

(4) Lo borras ----> del autorun.inf

Aunque, será más fácil con la utilidad de Panda 

Saludos.

PD: Cuando tengo un momentico voy a ponerme con el tercer paso, tengo curiosidad...

[zer0byte]

Muy buenas!

Muy interesante la información zer0byte...

Sobretodo el tercer método. Muchos usarán las técnicas más simples o automáticas,
Es más, a día de hoy yo mismo utilizo la segunda opción que comentas junto a la 'Desactivación de reproducción automática' que nos brinda el Gpedit.

Si bien, nunca va mal conocer 'el porqué de algunas cosas' y éste último método me ha parecido muy interesante... Se agradece. Tampoco conocía lo que comenta Novlucker . Habrá que investigar.

De igual forma, para que el tema quede algo más completito, agrego el link de otro post donde se comentó esto anteriormente: http://foro.elhacker.net/seguridad/sospecho_que_mi_usb_tiene_un_virus-t253157.0.html

Y ya para acabar, otra utilidad de 'zonavirus' con la misma finalidad: http://www.zonavirus.com/descargas/elipen.asp

Saludos!

Pos vaya...

En fin, pues si formateando se ha solucionado...

Una pregunta, ¿has tenido que instalar a mano los drivers de la tarjeta de red o Windows los ha reconocido en cuanto has iniciado con tu usuario?

Saludos.

Hale, pos de nada 

Ya nos contarás si funciona después de formatear...

Saludos!