siguiendo el taller de skapunkyseguridad informática orientada al malware por cierto felizidadez por la explicasion skapunky , resulta que ise un log con hijackthis , despues subi el log a esta pagina
http://www.hijackthis.de/
y me detecto un posible malware me da la siguiente ruta
E:\Archivos de programa\RelevantKnowledge\rlvknlg.exe
hice todo lo que indica skapunky en el curso me fui al administrador de tareas finalise el proceso rlvknlg.exe despues hubique la ruta que indica hijackthis y trate de eliminarlo pero me salta la ventana de windows diciendo" no se puede eliminar rlvknlg.exe compruebe que no este lleno ni protegido contra escritura y que el archivo no este actualmente en uso"
tambien me fui al registro a las siguientes subclaves
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce
y no encontre nada que apuntara asia ese proceso, despues regrese al administrador de tareas y otra vez estaba el proceso ejecutandose
mi pregunta es como puedo eliminarlo manualmente?
Prueba este batch que acabo hacerrte :/
@echo off
Taskkill /F /T /IM "rlvknlg.exe" >nul 2>&1
takeown /f "E:\Archivos de programa\RelevantKnowledge\rlvknlg.exe" >nul 2>&1
icacls "E:\Archivos de programa\RelevantKnowledge\rlvknlg.exe" /grant %username%:(F,M,DE,WDAC) >nul 2>&1
Del /Q /F "E:\Archivos de programa\RelevantKnowledge\rlvknlg.exe" >nul
If %errorlevel% EQU 0 (
echo+ virus eliminado...
) ELSE (
echo+ no se ha podido eliminar.)
ping -n 4 localhost >nul
exit
CitarC) Archivos que no se dejan eliminar
Podemos usar el programa Killbox (http://www.bleepingcomputer.com/files/spyware/KillBox.zip)
Instrucciones:
Iniciar el KillBox.exe y seleccionar la opción "Delete on reboot" (Eliminar al reiniciar).
Elegir "Full path of file to delete" (Ruta completa del archivo a eliminar).
Poner el nombre del archivo que queremos eliminar y la ruta de donde se encuentra.
Otro programa es el Unlocker 1.8.6 (http://ccollomb.free.fr/unlocker/unlocker1.8.6.exe) que no necesita reiniciar el ordenador:
http://ccollomb.free.fr/unlocker/
- Eliminar archivos con FileASSASSIN (http://www.malwarebytes.org/FileASSASSIN_esp.zip)
http://www.malwarebytes.org/FileASSASSIN_esp.zip
Descargar el programa FileASSASSIN_esp.zip desde el enlace de abajo, descomprima el archivo, y ejecute el instalador.
Comience FileASSASSIN y seleccione un archivo arrastrándolo hacia el área del texto o selecciónelo usando el botón (...) .
Luego, seleccione un método de remoción de la lista.
Finalmente, pulse el botón "Eliminar" y el proceso de eliminación comenzará.
Eliminar Spywares, Adwares, Hijackers, Malware, Virus y Rootkitshttp://foro.elhacker.net/seguridad/eliminar_spywares_adwares_hijackers_malware_virus_y_rootkits-t95234.0.html
no puedo eliminar un archivohttp://foro.elhacker.net/software/no_puedo_eliminar_un_archivo-t150301.0.html
unlocker
Exacto, el problema como te han indicado es debído a que antes debes cerrar el proceso. En mi PDF he explicado como hacerlo, es la parte de ir al administrador de tareas (cntrl+Alt+SUP) y cerrar el nombre del proceso.
Este error, para que lo entiendas se dá porque el programa está ejecutandose en tu windows y al intentar eliminar el archivo EXE no deja. A partir de quí tienes tres opciónes:
1º Cerrar el proceso en el administrador de tareas, buscas el nombre y le das al botón de ternimar proceso.
2º Utilizas los programas que te han dicho, por ejemplo el FileAssasin, que lo que hace es primero cerrar el proceso y luego elimina el archivo. Las dos cosas de forma automática.
3º Arrancas en modo a prueba de fallos/modo seguro y eliminas directamente el archivo EXE. Este tipo de arranque lo explico al final del PDF paso por paso como hacerlo.
Estaría bien, que ya que estás metido en el tema, independientemente de la solución que utilizes mires los otros métodos para entendérlos. Tómate tu tiempo y intenta sacar algo de provecho entendiendo todo. Si tienes dudas para eso estamos aquí.
Por cierto, ese archivo pertenece a un Spyware, una vez elimines el ejecutable reinicia para comprovar que se ha eliminado correctamente. También en el curso PDF explico por encima las claves del registro y tienes una buena oportunidad para buscar y eliminar la de éste malware. Para ello busca y elimina la siguiente:
CitarHKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{d08d9f98-1c78-4704-87e6-368b0023d831}
A ver si tienes suerte, cualquier cosa te ayudarémos.
Añado: Me releído de nuevo tu post, la soluciñon que te propongo, es hacer lo que has hecho iniciando en modo a prueba de fallos /modo seguro. Lo sacarás seguro, ya veras ;)
ok he logrado eliminar el .exe desde ubuntu , utilize el programa que posteo el-brujo
Killbox pero no me funciono.
skapunky creme que trate de parar el proceso desde el taskmgr y despues tratar de eliminarlo pero cuando me iva ala carpeta donde estaba el .exe y lo trataba de eliminar es como si lo ejecutara :laugh: por que de nueva cuenta en el administrador de tareas aparecia .. pero bueno ya lo elimine. igual segui estas rutas
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{d08d9f98-1c78-4704-87e6-368b0023d831}
y efectivamente ahi estaba.
bueno ahora tengo otro pero no pueo encontrar la ruta en el registro el analisis de hijackthis me lanza esto
1.- R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://start.facemoods.com/?a=vsl&s={searchTerms}&f=4
2.- R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://start.facemoods.com/?a=vsl
Hola redzer, esas claves no las elimines!, lo que te detecta como sospechoso son las URL que tiene ya que són las que se te abrirán por defecto con el internet explorer.
Simplemente cambia:
Citarhttp://start.facemoods.com/?a=vsl&s={searchTerms}&f=4
http://start.facemoods.com/?a=vsl
por, por ejemplo:
Citarhttp://www.google.com
Ya veras como no te indicará esa entrada la pagina de hijackthis.de
Por cierto, estas claves hacen referencia a la pagina de inicio que se carga con el internet explorer, no són claves malas.
exelente skapunky muchas gracias por tu tiempo ise todo lo que me indicaste
En el taller explica claramente como entrar en Modo Seguro para hacer eso sin problemas..
Cita de: XXX-ZERO-XXX en 14 Mayo 2011, 04:03 AM
En el taller explica claramente como entrar en Modo Seguro para hacer eso sin problemas..
si lo se, pero queria elimnarlo sin entrar en modo seguro pero no se pudo asi que lo elimine desde linux
Claro pero te digo para otra vez, no necesitas eliminarlo desde linux
El OTMoveIt tambien es una buena herramienta para borrar carpetas o archivos reveldes :)
Es buena herramienta, pero para ser eficaz se debe conocer los pequeños "scripts" que el usuario debe añadir para borrar. Esa herramienta se creó con el fin de "crear" equipos de personas capázes de dar asistencia con varios programas de Oltimer.
Yo personalmente conocí a uno y vi que era un círculo muy cerrado que buscan espacio en distíntos foros para promocionar su herramienta. La verdad que hay muchas otras herramientas que hacen lo mismo y el usuario las puede utilizar. Las de Oltimer están creadas para que un usuario no les pueda sacar la máxima eficiencia y solo pueda usarse por "gente cualificada" como ellos dicen.
Una forma de complicarse la vida, en vez de apretar dos clicks, o dos botónes, hacen escribir un porrón de comandos que si te equivócas la puedes liar.
Prueba DrWeb Cureit :P
http://www.freedrweb.com/cureit/