Proceso u0riu2.exe con autorun.inf

[paulofutre]

Me encuentro una PC. infectada, y un pendrive tambièn infectado.
Los sìntomas eran parecidos a los de un post anterior: No se abrìan las unidades de disco, te indicaba el cuadrito de "abrir con".
En todas las unidades de disco, incluida la pendrive habìa un archivo autorun.inf.
Lo primero que hice fue abrirlo con el block de notas y cambiarle la extensiòn a .txt
Luego dentro vi que hacìa referencia a un proceso : u0riu2.exe
Despuès pasè el gran Malwarebytes actualizado. Despuès limpieza de sistema y registro
con CCleaner y reinicio.
(Ahora no dispongo el log, se me olvidò en la PC en cuestiòn )
Intentarè poner el log del Malwarebytes en otro momento.
Un saludo.

[paulofutre]

Bueno aquì les muestro el log, no es del pc en cuestiòn, pero es de un disco duro conectado a dicho pc que tambièn estaba infectado con el mismo "bicho" que he referenciado, y que he desinfectado con mi pc de pruebas y curas.
Lo principal, para mì, fue que logrè limpiarlo con el Malwarebites y el Nod 32, al igual que otras ocasiones:

Malwarebytes' Anti-Malware 1.39
Versión de la Base de Datos: 2522
Windows 5.1.2600 Service Pack 3

28/07/2009 21:01:13
mbam-log-2009-07-28 (21-01-06).txt

Tipo de examen : Examen Completo (C:\|D:\|E:\|F:\|G:\|H:\|)
Objetos examinados: 223007
Tiempo transcurrido: 39 minute(s), 28 second(s)

Procesos en Memoria Infectados: 0
Módulos en Memoria Infectados: 0
Claves del Registro Infectadas: 0
Valores del Registro Infectados: 0
Elementos de Datos del Registro Infectados: 1
Carpetas Infectadas: 0
Ficheros Infectados: 3

Procesos en Memoria Infectados:
(No se han detectado elementos maliciosos)

Módulos en Memoria Infectados:
(No se han detectado elementos maliciosos)

Claves del Registro Infectadas:
(No se han detectado elementos maliciosos)

Valores del Registro Infectados:
(No se han detectado elementos maliciosos)

Elementos de Datos del Registro Infectados:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue (Hijack.System.Hidden) -> Bad: (0) Good: (1) -> No action taken.

Carpetas Infectadas:
(No se han detectado elementos maliciosos)

Ficheros Infectados:
d:\hm1bfpuj.exe (Spyware.OnlineGames) -> No action taken.
e:\hm1bfpuj.exe (Spyware.OnlineGames) -> No action taken.
f:\hm1bfpuj.exe (Spyware.OnlineGames) -> No action taken.

Espero que sirva.
Un saludo amigos

[paulofutre]

Sigo otra vez a vueltas con este "bicho"
Ahora se me ha colado en otra PC, que tiene 2 discos duros (4 particiones):
XP sp3, Pentium 4 3,8 (socket 775), placa Elitegroup, 3 Gb ram.
El caso es que si voy a "Mi PC" luego intento abrir cualquier particiòn (C,D,E,F), en vez de abrir directamente me sale la ventana de "Elegir programa" para abrir, y si quiero abrirlo tengo que pulsar el click derecho del ratòn y darle a la opciòn "explorar".
La verdad es que no noto ningùn otro sìntoma, y este no es muy molesto, pero no me fio, y si està dentro del PC seguramente no estè haciendo nada bueno
En "modo seguro" le pasè el Malwarebites, Spybots, y Superantispyware. Tambièn el Nod 32. Detectò algùn que otro "bicho" (ya reseñado en otros post), pero el "bicho" que origina este trastorno no lo elimina.
¿Sabe alguien dònde se puede alojar este u0riu2.exe, para elliminarlo manualmente? He estado googleando y hay poca informaciòn, y la que hay es en inglès
Puede que se aloje en la carpeta System32 (me da mucho miedo tocar ahì, no se mucho de esto). Tambièn pasarle el programa Hijackdisck, pero lo mismo, no se manejarme con este programa.
Bueno a ver si alguien me puede echar una mano.
Muchas gracias y saludos.

[LeThe]

Haz probado traducir los enlaces con Google Translate?

[paulofutre]

Gracias maestro
La mayorìa de las pàginas que tratan este "bicho" estoy viendo que estan en polaco.
A ver si tengo tiempo y recurro a un amigo mìo que es polaco (y del Atleti )
De todas maneras me estoy poniendo "cabezòn" con este "bicho", y no va a poder conmigo. Ya les informarè de los pasos que sigo.
Gracias y saludos.

[paulofutre]

RESUELTO:
He utilizado varios dìas Malwarebytes, Spybots, Superantispyware y NOD32 sin resultado positivo.
Los archivos autorun.inf estàn localizados pero no se dejan eliminar, ni cambiar de extensiòn ni nada. El archivo u0riu2.exe no se puede localizar.
Se me ocurriò utilizar UBUNTU. Coloquè un disco el UBUNTU 9.04 y lo utilizè como live CD, sin instalar en el equipo.
Con ello logrè detetectar los 4 autorun.inf (uno en cada particiòn), conseguì eliminar su contenido, y cambiar su extensiòn.Por ùltimo los eliminè.
Realizè una bùsqueda del maldito u0riu2.exe y lo localizò y lo pude eliminar.
Luego me metì en Windows y limpiè el sistema y el registro,segùn las ùltimas novedades del maestro Lethe:
http://www.letheonline.net/foro/viewtop ... f=9&t=2445
Ahora les pongo "a mano" la ventanita de propiedades del archivo u0riu2.exe y su localizaciòn segùn el UBUNTU:

Nombre: u0riu2.exe-2612F7AA.pf
Tipo: Programa (aplicaciòn/octet-stream)
Lugar: /media/disck/WINDOWS/Prefetech
Volumen: Soporte de 16.6 Gib
Accedido: 10-ag-09 10:04;26 UTC
Modificado: lun 27-jul-2009 05:42:39 UTC

Decir tambièn que tras la limpieza y el primer reinicio, se me formaron en la particiòn C dos archivos:
autorun.inf~
boot.ini~
Los borrè sin màs. Realizè otra limpieza y otro reinicio y listo.
No detecto nada anòmalo, puedo acceder a todas las unidades sin problemas.
Espero que le sirva a alguien. A mi me està sirviendo el comprobar que el UBUNTU es muy ùtil hasta para reparar WINDOWS.
Saludos.

[Menfis]

Excelente amigo paulofutre