[PAPER] Detección y eliminación de Malware

Iniciado por skapunky, 9 Febrero 2010, 01:35 AM

0 Miembros y 1 Visitante están viendo este tema.

Darioxhcx

Cita de: Arcano. en 10 Febrero 2010, 13:13 PM
Otra rama a tener en cuenta cuando el usuario tiene privilegios: HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon. Valor Userinit.

De ese modo, el malware se asegura el inicio incluso en modo seguro...
si es asi , podriamos usar un cd live cuando no podamos eliminar la clave
saludos

skapunky

Hombre, por lo que comentan de las claves tienen razón, pero un usuario que toca eso por primera vez creo que ya tiene suficiente con esas dos claves dadas, ya que profundizr en ese tema creo que podría crear confusion en caso de no extenderse en lo que es el registro.

Lo que no estaría mal es un buen tutorial aparte del registro, aunque eso ya es un tema mas específico.

La información dada, rutas y tal si que se pueden añadir mas, pero me he basado sobre todo en quizá las características del 50% de malware que veo y en caso de haber otras claves por ejemplo el propio log del hijackthis ya lo indicaria.
Killtrojan Syslog v1.44: ENTRAR

Arcano.

Por mi parte, como ya he dicho, el tutorial, básico como es, está perfecto.

Por otro lado, nos podríamos poner de acuerdo y realizar entre todos un manual 'más' avanzado...

Ahí queda eso...

Quién empieza...  :silbar:

____________________________________________-

CitarOtra rama a tener en cuenta cuando el usuario tiene privilegios: HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon. Valor Userinit.

De ese modo, el malware se asegura el inicio incluso en modo seguro...
si es asi , podriamos usar un cd live cuando no podamos eliminar la clave

Podrás eliminar el archivo asociado a esa clave, pero no podrás acceder al registro para eliminar la clave. Vamos, creo yo... ¿Se puede acceder al registro de Windows desde un LiveCD???  :huh:

Si sólo eliminamos el archivo, pero la clave sigue 'vigente'... Estando en Winlogon, no sé cómo se lo tomará el sistema. Supongo que iniciará normalmente, puesto que el userinit propio lo tiene...

CitarLo que no estaría mal es un buen tutorial aparte del registro, aunque eso ya es un tema mas específico.

Pues sí, eso no estaría naaaaaaaaaaada mal...

Saludos.

La curiosidad es la antesala al conocimiento...

Novlucker

Citar¿Se puede acceder al registro de Windows desde un LiveCD???

Bueno, ya han pasado algunos días desde que se hizo la pregunta pero buscando otra cosa recién la veo, además de que igual Arcano ha estado algo inactivo :P ...

Offline NT Password & Registry Editor, si no me equivoco el hiren's lo trae

Otra opción, es desde reparar sistema (con cd de win) o un live-cd de linux (más sencillo) tomar los archivos de registro directamente.
Citarc:\windows\system32\config\system
c:\windows\system32\config\software
c:\windows\system32\config\sam
c:\windows\system32\config\security
c:\windows\system32\config\default

Iniciar Win en otra pc, abrir el regedit y cargar el archivo que necesitemos de los que hemos copiado (según que claves estarán en diferentes archivos) , modificar claves, "descargar", he ir nuevamente al live-cd (o restauración según se haya preferido) y volcar los nuevos archivos (pisamos el original con el nuestro modificado)

Aquí por ejemplo tenemos una explicación similar para un problema dado
:http://support.microsoft.com/kb/811408/es

Y aquí otra explicación de como cargar un subárbol
:http://technet.microsoft.com/es-es/library/cc759303%28WS.10%29.aspx

Saludos :D
Contribuye con la limpieza del foro, reporta los "casos perdidos" a un MOD XD

"Hay dos cosas infinitas: el Universo y la estupidez  humana. Y de la primera no estoy muy seguro."
Albert Einstein

camelotsa