Mensajes

Buster "nunca digas nunca", ni en informatica ni en la vida real son aplicables.
No te quito tu parte de razón, ni a Karcrack, son puntos de vista diferentes de dos programadores.
Un ejemplo de malware que me llamó la atención fue el bootkit de Stoned, no es nuevo lo se, pero a lo que me refiero es que aprovecha una falla de arquitectura, no se puede remediar (palabras de Kumar "TheHackerNews").
No es una comparación, son completamente distintos, yo lo tomo como un ejemplo y que "sin imaginación" puedes saber malabares sobre programación y no llegar nunca a conseguirlo.
Si no tubieses imaginación, jamás hubieses hecho tu herramienta ¿me equivoco?
Esperemos no se llegue nunca a descubrir una falla de este tipo, a más de uno nos iban a dar una lección de humildad, me incluyo el primero no va por nadie.

Saludos.

Es cierto, se recomienda desactivar de momento independientemente de la plataforma y navegador utilizado:

Java 7 Update 10 y anteriores contienen una vulnerabilidad no especificada que puede permitir de manera remota a un atacante no identificado ejecutar código arbitrario en los sistemas vulnerables. Esta actualización y anteriores contienen un código remoto de ejecución vulnerables. Esta vulnerabilidad está siendo atacada incorporada en paquetes de exploits. Lo hace convenciendo a un usuario para que visite un documento HTML especialmente diseñado, de ahí, el atacante podría ejecutar código arbitrario en un sistema vulnerable.

Desactivar java:
http://www.java.com/en/download/help/disable_browser.xml

Más información:
http://malware.dontneedcoffee.com/2013/01/0-day-17u10-spotted-in-while-disable.html

Un saludo.

[Kaspersky Virus Removal Tool]

Sorry the page you are looking for does not exist..

La web no parece hacer nada raro, no se si lo habrá hecho para aumentar visitas.
Tadjunto un par de tools a ver si encuentras algo:
Kaspersky Virus Removal Tool: http://www.kaspersky.com/antivirus-removal-tool?form=1
Kaspersky Security Scan 2.0: http://products.kaspersky-labs.com/products/multilanguage/special/kss2/kss12.0.1.117mlg_en-ru_ru-ru_fr-ru_de-ru.exe
Si usas I.Explorer puedes mirar de restablecer la configuracion al estado original:
Herramientas-Opciones de Internet-Opciones avanzadas-Restablecer configuración de Internet Explorer.
Si usas Firefox revisa Extensiones Y Plugins, también puedes revisar la configuración avanzada, escrbiendo en la barra de navegación "about:config".

Saludos.

Ponlo en máquina virtual y coloca un snifer tipo Wireshark, con netstat verás hacia donde conecta pero no si va descargando nuevos ficheros o lo que se le ocurra, a parte de ver la IP.

Wireshark: http://www.wireshark.org/download.html

Si tienes un equipo para estas tareas puedes utilizar el programa "SysAnalyzer", infectará tu sistema pero lo verás todo a tiempo real. Si la muestra de malware lleva "antisandbox", no se ejecutará y no realizará ninguna modificación ni conexión.
Sysanalyzer:
http://sandsprite.com/tools.html
http://sandsprite.com/CodeStuff/SysAnalyzer_Setup.exe

Saludos.

Revisa si tienes otro ejecutable en otro ruta diferente con ese nombre.
Aquí te pongo algunos programas para que puedas ver si hay otro archivo involucrado, ya sea .dll o .exe.

Process Monitor: http://technet.microsoft.com/en-us/sysinternals/bb896653.aspx

Process Explorer: http://technet.microsoft.com/en-us/sysinternals/bb896645

ProcNetMonitor: http://securityxploded.com/procnetmonitor.php

DependencyWalker: http://www.dependencywalker.com/

Si quieres puedes descargarte la suite completa de SysInternals, trae otras herramientas te pueden servir:

http://technet.microsoft.com/en-us/sysinternals/bb842062

Si necesitas ver las conexiones que se están realizando:

TCP View: http://technet.microsoft.com/en-us/sysinternals/bb897437

Wireshark: http://www.wireshark.org/download.html

Un saludo.

Hola esbaba igualmente, aquí tienes algo de información:

Al utilizar actualizaciones automáticas o el instalador independiente, se extrae el paquete en un directorio temporal y se utiliza el programa de instalación (MpSigStub.exe). El programa de instalación comprueba que está instalado Forefront Client Security y, a continuación, en que el programa de instalación indica al servicio para actualizarse a sí mismo mediante el uso de los archivos extraídos.

Echa un vistazo al tema, explica el uso, directorios:

http://support.microsoft.com/kb/953523/es

Te bloquea esa conexión por ser un Firewall distinto al que trae incorporado Windows. Si lo dejas en modo automático no pedirá confirmación en la mayoría de conexiones controladas, supongo lo tendrás en estado restrictivo o por zonas.
No te lo aseguro al 100%, pero si la ruta es correcta (system32), ves correctos los detalles de la firma no tendría que haber ningun problema.

Saludos.

Hola adefesio, si estás seguro de que hay algo sube un log de Hijackthis a ver si vemos algun proceso o servicio extraño.
Miraste los programas que se inician junto a Windows?

Hijackthis: http://sourceforge.net/projects/hjt/

Saludos.

Hola skapunky he utilizado el KSS 2.0, es la alternativa al scan online, similar a RemovalTool, conecta muy seguidamente con diferentes servidores de Kapersky.
Se queda de forma residente, instalando driver y ejecutandose junto al sistema.

Un saludo.

Hola supongo ya habrás instalado alguno, si aún lo necesitas puedes probar Rising o Clamwin.
Rising: http://www.freerav.com/

Clamwin: http://es.clamwin.com/

Gratuitos no se más, a ver si alguien que maneje ese server comenta.
Saludos.

Hola de nuevo franfis, buen año.

El ejecutable infectado xxx.exe y el archivo autorun.inf se crean en la raiz de la unidad extraible, como dices al iniciar el sistema que es cuando se carga el malware inyectandose en el proceso explorer.exe. Pueden situarse en cualquier carpeta del disco, normalmente en la carpeta System32 del sistema, pero a veces suele resultar incluso más efectivo meterlo en una carpeta oculta en Usuario\Datos de programas, Usuario\Configuración local.
No tendría que haber diferéncia entre el explorer.exe que se carga al inicar el sistema y el que se crea al reiniciar el proceso, sólo que en este último no infecta la unidad extraible.
Puedes subir un log de Hijackthis?

Si no quieres dar muchas vueltas inicia el PC con el CD de rescate de Kaspersky, casi seguro eliminará lo tengas. Dependiendo de como esté programado poco podrás hacer en modo normal, en algunos casos ya ni en modo seguro.
Link: http://rescuedisk.kaspersky-labs.com/rescuedisk/updatable/kav_rescue_10.iso

Por último comentarte que ante la preséncia de un rootkit desocultar carpetas y archivos no es efectivo, seguirán ocultos mientras el sistema operativo esté en marcha, pro esto te comento pases directamente el live CD.

Espero haberte ayudado mejor esta vez, la primera no estuve muy fino.

Saludos.