Mensajes

[...] Sabiendo desde dónde se conectaron puedo saber quién fue. Y para mi eso sería muy importante ya que quiero hacer la denuncia, porque no solo robaron mi contraseña de hotmail... a través de esa ingresaron a gmal, me eliminarion contactos importantes de trabajo [...]

Gmail si lleva registro, al pie de la página dice "Última actividad de la cuenta: hace 12 horas en la IP 209.85.135.103. Información detallada" (esa IP es solo un ejemplo)

Saludos

[Hijackthis]

Ahora si sta en el lugar correcto, Proporcionanos un log de Hijackthis.

Hijackthis

Saludos

Te ha tocado uno famoso, por si acaso

• AhnLab
• Bitdefender
• ESET
• Kaspersky
• F-Secure Malware Removal Tool
• McAfee
• Microsoft Malicious Software Removal Tool
• Sophos
• Sunbelt
• Symantec
• TrendMicro

Saludos

P.D: ha sido un copy/paste, así que no he mirado si hay nuevas versiones de estas tools

Con el archivo host puedes entrar por IP

Deberías de utilizar algún filtro de esos que encuentras en la red, tener configurado un firewall que permita tal configuración, o bien localmente en el navegador, pero esto es lo más chapuza porque se puede ingresar igual si se usa otro que no este bloqueado.

Además, creo que esta claro que la configuración que se haga tiene que ser en local en cada computadora, de haber un router o proxy sería más sencillo filtrar

Saludos

Esta noticia esta bastante comentada en la red, y desde hace varios días.
El caso es ... si tu eliges solo un número "X" de pruebas que tu navegador soporta, posiblemente estes por sobre los otros, habría que ver el soporte que dan los otros y que tu no das

De cualquier manera, ojala y sea cierto!

Saludos

hice todo lo que mencionas pero ni asi, el process explorer no lo muestra, ya le corri varios av lo elimina pero se vuelve a crear, le corri tambien anti espias, antimalware, anti troyanos y nada, te comento que se encuentra ubicado en una carpeta que esta compartida en red [...]

Y quién comparte esa carpeta? o mejor dicho, que permisos hay sobre esa carpeta? No se te ha ocurrido pensar que quién esta infectado es otro ordenador?

La posibilidad de infectados es igual a la de usuarios con acceso de escritura a esa carpeta

Saludos

Aquí estaré! (siempre y cuando hayas buscado antes )

Saludos

[ctfmon.exe]

Debes de terminar el proceso antes, sino es lógico que no se deje eliminar
La verdad que es un virus "chapucero" (y en Autoit), porque mira que crear una carpeta "Seguridad" en la raíz del disco

• Descarga Process Explorer
• Usando este termina los procesos ctfmon.exe cuya ruta apunten a la carpeta Seguridad. En tu caso quizás siga llamandose @b@ddon.exe, pero fijate por ambos porque dentro de "Seguridad" encuentras ambos archivos, y hablo en plural además porque inicia de muchas maneras diferentes y podrían haber varios procesos (no he revisado si comprueba el que ya se este ejecutando)
• Dale un par de minutos a ver si se vuelve a crear.
• Hecho esto elimina las carpeta C:\Seguridad y C:\Recicled con todo su contenido, fijate que este último termina en D, Recicler es legitimo.
• Elimina el archivo C:\Bootfont.sys, fijate también que este es sys, el legítimo es bin
• Elimina el archivo C:\Autorun.inf y revisa tus otras particiones y discos extraíbles en busca del mismo
• Modifica las dos siguientes llaves de registro a cero
  
  • HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Hidden
  • HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\HideFileExt (en esta hay un error de programación, porque no tiene el valor que debería, tiene un texto donde va un número )
• Elimina la clave HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows\load
• Modifica la clave HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell, quita lo que hace referencia al "bicho". Por lo general solo dice Explorer.exe, y modifica también la misma llave pero del HKCU
• Elimina la clave HKLM\Software\Microsoft\Windows\CurrentVersion\Run\Index, que debería de apuntar al "bicho", y de igual modo que antes, también la que esta en HKCU.

Con esto debería de ser suficiente

Saludos

P.D: podría haber dicho que hagas todo esto en modo seguro, pero de cualquier manera el "bicho" se ejecutaría

[py]

Ah! ok

Guardalo como py y listo, pero ten en cuenta que eso es como un arbol de directorios con sus respectivos archivos, para lo cual deberías de tener los subdirectorios correspondientes y los otros py que aparecen en el código, sino no tendrás que importar

Saludos

[Inicio > Ejecutar > Regedit]

Un troyano

O4 - HKCU\..\Policies\Explorer\Run: [Policies] C:\Windows\System32\spynet\winapp4.exe

Ingresa en modo a prueba de fallos (modo seguro), esto es importante porque esa llave de registro no se carga en este modo.
Inicio > Ejecutar > Regedit
Muevete hasta HKCU\Software\Microsoft\Windows\CurrentVersión\Policies\Explorer\Run, y elimina el valor que haga referencia a spynet, tal y como dice más arriba
Luego debes de eliminar la carpeta C:\Windows\System32\spynet\, puede que este oculta

Creo que con eso será suficiente

Saludos