Ayuda urgente con virus!!

Iniciado por martinnn221, 6 Septiembre 2012, 03:10 AM

0 Miembros y 1 Visitante están viendo este tema.

martinnn221

Hola amigos, les cuento q he descargado un supuesto .exe de un programa q buscaba y al ejecutarlo se empiezan a ejecutar infinitos procesos en el cmd, las ventanas no se ven, pero abro el administrador de tareas y veo q se ejecutan cientos de procesos de cmd a la ves. No se como detenerlo, cada vez q inicio la pc se comienza a ejecutar.. Cuando inicio sesion con otra cuenta de usuario no se ejecuta.
Volvi a descargar el exe para ver si podia buscar entre mis archivos algo con el nombre similar, pero nada...
Les dejo el link de descarga, quizas alguien al ver el exe (obvio sin ejecutarlo) pueda saber cual es el daño q hace y cual es la mejor manera de eliminarlo.
El link -----> http://www.mediafire.com/?epz883c6xf322rd
Se descarga una carpeta q contiene el exe y dos archivos mas  q dicen lo siguiente:
MACAddressChanger.exe.embed.manifest
MACAddressChanger.exe.intermediate.manifest
Intente analizar todo el disco con mi antivirus y con malwarebytes, pero nada...
Espero alguno sepa ayudarme  :(

-- KiLiaN --

Ve a inicio-> ejecutar y escribe msconfig, te vas al apartado "inicio" y desmarca el programa que se te inicia con windows que hace eso. También lo puedes hacer con el programa Ccleaner.
Entren al chat de elhacker.net
    
   

@kln13

r32

#2
Hola martinnn221, he echado un vistazo a tu ejecutable, está compilado en VB.



Services.exe:
Analizado en Anubis: http://anubis.iseclab.org/?action=result&task_id=1a22821c9855cb0a401a4bf045382aacf

sfx.ini
:
[Options]
DefaultDir=C:\Temp
PromptDir=0
Askoverwrite=0
RunBefore=services.exe
Run=Fuck Local ban.exe
ExtractAll=1
DoneBox=0
Title=Uticasoft SFX Compiler
Caption=Press OK to continue.
OK=OK
Cancel=Cancel


Echale un vistazo al log de Anubis, ahí verás las consultas, archivos y entradas de registro que crea.
Tienes que tener un proceso el cual maneja todo, por lo que vi en log de Anubis es "svchost" pero en la ruta:

C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\systm32\svchost.exe

Fijate bien en el nombre de la carpeta "systm32", puede pasar inadvertida como System32, ruta original.

No-IP: gameruru.no-ip.biz (DENUNCIADO...)

Curioso  :rolleyes::



Mareando la perdiz un poco...

Entra en modo seguro y elimina y limpia las rutas modificadas.