buenos días gente de elhacker =)
hace tiempo ya me vengo liando con está *****.
c:\windows\ aadrive32.exe
c:\recycler\------\zaberg (o zaberg0) .exe
%appdata%\*.tmp
como no pude quitarlo y no pienso formatiar ya que prefiero eliminarlo por logros personales(?
la cuestion es, como no lo puedo borrar (he limpiado el registro manualmente.), he bloqueado los CRC32 de los .tmp , los .exe y walaah! funciona de 10.
he vuelto a limpiar y listo, de maravillas.
hasta que desbloquie y aparecio otra vez. eso significa que hay algo que estoy ignorando. alguna sección del registro que de inicio a procesos, quiza.
las que recuerdo son taskmgr(si saben no van a preguntar) , en policies, run, hmm... y en muchas más.
asi que he venido a informarme... saludos
bahh, lo he vuelto hacer y ya va bien.
cualquier cosa lo comento.
saludos
Pero estas borrando esas entradas desde modo seguro? porque sino se pueden estar volviendo a crear.
Ademas, si sabes donde se encuentra el malware, y lo eliminas no importan las entradas para iniciarlo, quedan como basura, total no ejecutaran nada porque no existe.
Esto lo podes hacer manual como venis haciendo pero tambien existe Malwarebytes Anti-Malware xD
busco entradas para buscar direcciónes
si no hay nada iniciado es imposible que vuelvan a crearse.es una forma de verlo. y si, lo hice de las 2 formas. ya está solucionado.
saludos
Citarsi no hay nada iniciado es imposible que vuelvan a crearse
No te acostumbres a esa teoría, puede no ser tu caso pero puedes tener la preséncia de un rootkit bien programado y no encontrar sus claves y archivos ni en modo seguro, ya que ocultará toda presencia.
Es conveniente realizar análisis con herramientas antirootkit que buscan ganchos a nivel de núcleo cosa que a mano no te va a permitir.
Es un consejo no una crítica, saludos.
perfecto, lo tendre en cuenta xD!
edit- 14:29
si no hubiera sido por el antirootkit no lo hubiera encontrado.
%appdata&\krlule.exe
ahora si, limpiooooooooo
saludos!