En una computadora de prueba, tengo Windows 7 Profesional x64 bit, AVG 2011 actualizado y tambien Firefox 4.0.1.
En una busqueda de imagenes de tarjetas madres en Google Images hice clic en una y de inmediato se presento AVG indicando una posible infeccion, pero despues desaparecio y me salio lo siguiente:
Batalle con este virus rogue ya que me deshabilito todo - AVG, Malwarebytes, etc., y tenia el mismo efecto en modo seguro o Safe Mode. Mirando el administrador de tareas o task manager, me note un archivo extraño - mrs.exe - con la descripcion Remote Desktop. Se que esto no es verdad porque remote desktop es mstsc.exe
De inmediato ejecute Autoruns y efectivamente encontre el archivo infectado:
EN este caso, el nombre de usuario era lethe.it-pc, mrs.exe se localizaba en:
c:\Users\lethe.it-pc\local settings\mrs.exe y
c:\Users\lethe.it-pc\local settings\application data\mrs.exe
Al eliminarlo con Autoruns y terminarlo manualmente en el administrador de tareas, entonces pude ejecutar Malwarebytes Antimalware, actualizarlo y eliminarlo por completo.
Log de Malwarebytes Antimalware:
Registry Keys Infected:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{A078F691-9C07-4AF2-BF43-35E79EECF8B7} (Adware.Softomate)
Registry Values Infected:
HKEY_CLASSES_ROOT\.exe\shell\open\command\(default) (Hijack.ExeFile) -> Value: (default)
Registry Data Items Infected:
HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet\FIREFOX.EXE\shell\open\command\(default) (Hijack.StartMenuInternet) -> Bad: ("C:\Users\lethe.it-pc\AppData\Local\mrs.exe" -a "C:\Program Files (x86)\Mozilla Firefox\firefox.exe") Good: (firefox.exe)
HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet\FIREFOX.EXE\shell\safemode\command\(default) (Hijack.StartMenuInternet) -> Bad: ("C:\Users\lethe.it-pc\AppData\Local\mrs.exe" -a "C:\Program Files (x86)\Mozilla Firefox\firefox.exe" -safe-mode) Good: (firefox.exe -safe-mode)
HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet\IEXPLORE.EXE\shell\open\command\(default) (Hijack.StartMenuInternet) -> Bad: ("C:\Users\lethe.it-pc\AppData\Local\mrs.exe" -a "C:\Program Files (x86)\Internet Explorer\iexplore.exe") Good: (iexplore.exe)
Files Infected:
c:\Users\lethe.it-pc\local settings\mrs.exe (Trojan.FakeAlert)
c:\Users\lethe.it-pc\local settings\application data\mrs.exe (Trojan.ExeShell.Gen)
esta bien este programita del Autoruns no lo conocia muy efectivo, mi metodo cuando alguna vez no he podido eliminar algun virus ha sido desde dos como ultimo recurso, la verdad es que siempre me ha funcionado es tedioso pero efectivo al menos cuando el bicho se hace con el manejo de la Pc.