Trojano virus peligroso en Autorun.inf

YouTube · Mensaje por **LeThe** » Dom Dic 02, 2007 11:09 am

Debo contarles sobre algo que me paso a mi recien. Recomiendo que lean esto ya que yo mismo dure varias horas batallando este problema.

Un metodo preferido de guardar datos es usando dispositivos Flash (Pen Drives, tarjetas SD, etc.). Bueno, estaba en una computadora copiando unos archivos y veo que se crean dos archivos escondidos en mi flash drive. Uno es setup.exe y el otro es Autorun.inf. Los elimino ambos, pero vuelven y se crean en segundos. Ahi fue que me di cuenta que la computadora estaba infectada con algun tipo de virus o trojano. Decidi investigar, y la manera en que se pasa el virus es que el Autorun.inf en el disco flash tiene las siguientes lineas:

open=setup.exe
shellexecute=setup.exe
shell\Auto\command=setup.exe

Este archivo ejecuta el setup.exe cual duplica el archivo svchost.exe y lo pone en el directorio de Windows, normalmente C:\Windows. El falso svchost.exe ahora es usado para monitorear cuando instalas cualquier dispositivo flash y vuelve a crear Autorun.inf y Setup.exe cuales se ponen en el disco flash y tambien se crea C:\Windows\Notepad32.dll.

Ninguno de estos Antiviruses lo detectaron: Mcafee, Avira, Avast! y AVG.

Como eliminarlo

Ejecuta el administrador de tareas con las teclas alt + ctrl + del
Ve a los procesos y organizalos por nombre (haz clic en el titulo Nombre de imagen) - ahi veras varios svchost.exe ejecutados.
Ahora fijate en el nombre de usuario - veras que varios de los svchost son ejecutados por SYSTEM, Servicio de red o Servicio local. Pero, hay uno ejecutado por el nombre de tu login. Osea, si mi usuario es LeThe, este svchost.exe en la lista sale que es ejecutado por LeThe. Termina este proceso, haz clic derecho sobre el y elige Terminar proceso.
Asegura que tu explorador este configurado para ver archivos y carpetas ocultas y de sistema. Busca el archivo C:\Windows\svchost.exe y C:\Windows\Notepad.dll y eliminalos. Nota las carpetas, C:\Windows\System32\svchost.exe no puede ser eliminado y es un proceso critico de Windows. Entra a mi PC. Abre el disco flash no haciendo doble clic sobre el, pero clic derecho sobre el icono y del menu haz clic en Abrir. Elimina los archivos setup.exe y Autorun.inf. Ambos estan escondidos.
Despues ejecuta el Editador del Registro y busca notepad.dll. Donde veas notepad.dll, cambialo por notepad.exe
Reinicia

Puedes asegurar que tu sistema este limpio instalando nuevamente la tarjeta flash a ver si se copian los archivos autorun.inf y setup.exe.

obideo · Mensaje por **obideo** » Dom Dic 02, 2007 1:11 pm

A mi me sucede algo parecido, pero tengo algunas diferencias:

Cuando conecto la USB Stick no abre automaticamente, cuando doy doble clic no abre pero la pc se pone sumamente lenta, cuando voy al task manager (alt+ctrl+del) veo que el CPU esta constantemente en 100% y hay un proceso llamado iexplore.exe (yo sin tener explorer instalado en mi PC) y cuando mato este proceso, todo vuelve a la normalidad.

en otros casos, el 100% se reparte entre todas las aplicaciones, y el porcentaje va variando, asi se entiende que la PC esta trabajando en algo.

Hemos aplicado antispywares y antivirus por montones, sin resultado.

paulofutre · Mensaje por **paulofutre** » Mié Dic 05, 2007 3:05 am

Tomo nota. (uso mucho pen drivers)

Muchas gracias. Saludos.

obideo · Mensaje por **obideo** » Mié Dic 05, 2007 9:03 am

He visto en mi investigacion que este troyano usa diferentes nombres de servicios, por ejemplo, en el caso de Lethe es notepad.dll, en el mio es iexplore.exe y otro proceso llamado KIX32.EXE.

He utilizado el metodo q recomienda Lethe, pero eliminando los archivos que en mi caso aplicarian, porque no existe el notepad.dll. el problema se regulariza entre tanto no reinicie la PC.

Si consiguen alguna info sobre este troyano, favor avisar.

YouTube · Mensaje por **LeThe** » Mié Dic 05, 2007 9:39 am

Prueba el Antivirus AVG. Me han dicho que funciona bien contra estos tipos de viruses.

otreblab · Mensaje por **otreblab** » Jue Ago 21, 2008 8:07 pm

Saludos, Muy buen aporte amigo Lethe, ese problema lo veo a diario aca en los pendrive de mis clientes que visitan mi cybercafe, menos mal que uso el deepfrezer en las pc, reinicio y listo. pero el cliente mantiene el virus en su pendrive.

aletorres · Mensaje por **aletorres** » Mar Sep 02, 2008 3:31 pm

SAben yo tenia un virus trojano que se Llamaba aba por que ya lo elimine, bueno era RECYCLER y varios numeritos y cada que entraba a windows hacia una configuracion de no se que y mis archivos no los dejaba leeer ni mi memoria y s que este me lo pasaros de un cyber, bueno cuento que investigue y el antivrus kaspersky lo elimino completamente y lo bueno es que no tuve que comprar uno nuevo ni llave solo me meti a la pagina de kaspersky el google y bueno cambie el idioma a españa (español)lugo me fui a descargar y me fui a versiones de prueba descargue uno con el idioma españa y bueno ya para acabar meti la lleve de version de prueba, dura un mes pero pues como todo tiene su truco cuando se me termine activare nuevamente la version de prueba y nuevamente tendre antivirus para rato. y ademas es el 7.0 me resulto muy bueno espero ayude con esto.

jeds_25 · Mensaje por **jeds_25** » Vie Sep 12, 2008 10:46 pm

saludos. he tenido este problema de igual manera. lo he solucionado con el avira y con esta opcion.

http://www.yoreparo.com/descargas/ver_a ... pic=226026

espero ke les sirva, no encontre el link de donde lo descague busque este y espero que les sirva

Mensaje por **Menfis** » Sab Sep 13, 2008 12:24 am

jeds_25 gracias por el enlace pero hay que registrarse en esa pag, porque mejor no lo subes a rapidshare o megaupload.

Identificarse • Registrarse

Trojano virus peligroso en Autorun.inf

Trojano virus peligroso en Autorun.inf