no puedo eliminar un exe

Iniciado por RedZer, 11 Mayo 2011, 05:43 AM

0 Miembros y 1 Visitante están viendo este tema.

RedZer

siguiendo el taller de skapunkyseguridad informática orientada al malware por cierto felizidadez por la explicasion skapunky , resulta que ise un log con hijackthis , despues subi el log a esta pagina

http://www.hijackthis.de/

y me detecto un posible malware  me da la siguiente ruta
E:\Archivos de programa\RelevantKnowledge\rlvknlg.exe

hice todo lo que indica skapunky en el curso me fui al administrador de tareas finalise el proceso rlvknlg.exe despues hubique la ruta que indica hijackthis y trate de eliminarlo pero me salta la ventana de windows diciendo" no se puede eliminar rlvknlg.exe compruebe que no este lleno ni protegido contra escritura y que el archivo no este actualmente en uso"

tambien me fui al registro a las siguientes subclaves

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce

y no encontre nada que apuntara asia ese proceso, despues regrese al administrador de tareas y otra vez estaba el proceso ejecutandose

mi pregunta es como puedo eliminarlo manualmente?
Nacido y criado entre gente que enseño a pensar antes de creer a ciegas, Todo me causa curiosidad en el mundo

SuperDraco

#1
Prueba este batch que acabo hacerrte :/

@echo off
Taskkill /F /T /IM "rlvknlg.exe" >nul 2>&1
takeown /f "E:\Archivos de programa\RelevantKnowledge\rlvknlg.exe" >nul 2>&1
icacls "E:\Archivos de programa\RelevantKnowledge\rlvknlg.exe" /grant %username%:(F,M,DE,WDAC) >nul 2>&1
Del /Q /F "E:\Archivos de programa\RelevantKnowledge\rlvknlg.exe" >nul

If %errorlevel% EQU 0 (
echo+ virus eliminado...
) ELSE (
echo+ no se ha podido eliminar.)

ping -n 4 localhost >nul
exit



No he vuelto, solo estoy de paso.

el-brujo

CitarC) Archivos que no se dejan eliminar

Podemos usar el programa Killbox

Instrucciones:

Iniciar el KillBox.exe y seleccionar la opción "Delete on reboot" (Eliminar al reiniciar).

Elegir "Full path of file to delete" (Ruta completa del archivo a eliminar).

Poner el nombre del archivo que queremos eliminar y la ruta de donde se encuentra.

Otro programa es el Unlocker 1.8.6 que no necesita reiniciar el ordenador:

http://ccollomb.free.fr/unlocker/

- Eliminar archivos con FileASSASSIN
http://www.malwarebytes.org/FileASSASSIN_esp.zip

Descargar el programa FileASSASSIN_esp.zip desde el enlace de abajo, descomprima el archivo, y ejecute el instalador.

Comience FileASSASSIN y seleccione un archivo arrastrándolo hacia el área del texto o selecciónelo usando el botón (...) .

Luego, seleccione un método de remoción de la lista.

Finalmente, pulse el botón "Eliminar" y el proceso de eliminación comenzará.

Eliminar Spywares, Adwares, Hijackers, Malware, Virus y Rootkits
http://foro.elhacker.net/seguridad/eliminar_spywares_adwares_hijackers_malware_virus_y_rootkits-t95234.0.html

no puedo eliminar un archivo
http://foro.elhacker.net/software/no_puedo_eliminar_un_archivo-t150301.0.html

unlocker

skapunky

#3
Exacto, el problema como te han indicado es debído a que antes debes cerrar el proceso. En mi PDF he explicado como hacerlo, es la parte de ir al administrador de tareas (cntrl+Alt+SUP) y cerrar el nombre del proceso.

Este error, para que lo entiendas se dá porque el programa está ejecutandose en tu windows y al intentar eliminar el archivo EXE no deja. A partir de quí tienes tres opciónes:

1º Cerrar el proceso en el administrador de tareas, buscas el nombre y le das al botón de ternimar proceso.

2º Utilizas los programas que te han dicho, por ejemplo el FileAssasin, que lo que hace es primero cerrar el proceso y luego elimina el archivo. Las dos cosas de forma automática.

3º Arrancas en modo a prueba de fallos/modo seguro y eliminas directamente el archivo EXE. Este tipo de arranque lo explico al final del PDF paso por paso como hacerlo.

Estaría bien, que ya que estás metido en el tema, independientemente de la solución que utilizes mires los otros métodos para entendérlos. Tómate tu tiempo y intenta sacar algo de provecho entendiendo todo. Si tienes dudas para eso estamos aquí.

Por cierto, ese archivo pertenece a un Spyware, una vez elimines el ejecutable reinicia para comprovar que se ha eliminado correctamente. También en el curso PDF explico por encima las claves del registro y tienes una buena oportunidad para buscar y eliminar la de éste malware. Para ello busca y elimina la siguiente:

CitarHKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{d08d9f98-1c78-4704-87e6-368b0023d831}

A ver si tienes suerte, cualquier cosa te ayudarémos.




Añado: Me releído de nuevo tu post, la soluciñon que te propongo, es hacer lo que has hecho iniciando en modo a prueba de fallos /modo seguro. Lo sacarás seguro, ya veras  ;)
Killtrojan Syslog v1.44: ENTRAR

RedZer

ok he logrado eliminar el .exe desde ubuntu , utilize el programa que posteo el-brujo
Killbox pero no me funciono.

skapunky creme que trate de parar el proceso desde el taskmgr  y despues tratar de eliminarlo pero cuando me iva ala carpeta donde estaba el .exe y lo trataba de eliminar es como si lo ejecutara  :laugh: por que de nueva cuenta en el administrador de tareas aparecia .. pero bueno ya lo elimine. igual segui estas rutas
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{d08d9f98-1c78-4704-87e6-368b0023d831}
y efectivamente ahi estaba.

bueno ahora tengo otro pero no pueo encontrar la ruta en el registro el analisis de hijackthis me lanza esto
1.- R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://start.facemoods.com/?a=vsl&s={searchTerms}&f=4

2.-   R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://start.facemoods.com/?a=vsl
Nacido y criado entre gente que enseño a pensar antes de creer a ciegas, Todo me causa curiosidad en el mundo

skapunky

Hola redzer, esas claves no las elimines!, lo que te detecta como sospechoso son las URL que tiene ya que són las que se te abrirán por defecto con el internet explorer.

Simplemente cambia:

Citarhttp://start.facemoods.com/?a=vsl&s={searchTerms}&f=4
http://start.facemoods.com/?a=vsl
por, por ejemplo:

Citarhttp://www.google.com

Ya veras como no te indicará esa entrada la pagina de hijackthis.de

Por cierto, estas claves hacen referencia a la pagina de inicio que se carga con el internet explorer, no són claves malas.
Killtrojan Syslog v1.44: ENTRAR

RedZer

exelente skapunky  muchas gracias por tu tiempo ise todo lo que me indicaste
Nacido y criado entre gente que enseño a pensar antes de creer a ciegas, Todo me causa curiosidad en el mundo

Edu

En el taller explica claramente como entrar en Modo Seguro para hacer eso sin problemas..

RedZer

Cita de: XXX-ZERO-XXX en 14 Mayo 2011, 04:03 AM
En el taller explica claramente como entrar en Modo Seguro para hacer eso sin problemas..
si lo se, pero queria elimnarlo sin entrar en modo seguro pero no se pudo asi que lo elimine desde linux
Nacido y criado entre gente que enseño a pensar antes de creer a ciegas, Todo me causa curiosidad en el mundo

Edu

Claro pero te digo para otra vez, no necesitas eliminarlo desde linux