Foro de LeThe Online y Joshua Marius

www.letheonline.net - Ayuda para tecnicos e Ingenieros en computacion
https://www.letheonline.net/foro/

Trojano virus peligroso en Autorun.inf

https://www.letheonline.net/foro/viewtopic.php?t=381

Página 1 de 1

Trojano virus peligroso en Autorun.inf

Publicado: Dom Dic 02, 2007 11:09 am
por LeThe
Debo contarles sobre algo que me paso a mi recien. Recomiendo que lean esto ya que yo mismo dure varias horas batallando este problema.

Un metodo preferido de guardar datos es usando dispositivos Flash (Pen Drives, tarjetas SD, etc.). Bueno, estaba en una computadora copiando unos archivos y veo que se crean dos archivos escondidos en mi flash drive. Uno es setup.exe y el otro es Autorun.inf. Los elimino ambos, pero vuelven y se crean en segundos. Ahi fue que me di cuenta que la computadora estaba infectada con algun tipo de virus o trojano. Decidi investigar, y la manera en que se pasa el virus es que el Autorun.inf en el disco flash tiene las siguientes lineas:

open=setup.exe
shellexecute=setup.exe
shell\Auto\command=setup.exe

Este archivo ejecuta el setup.exe cual duplica el archivo svchost.exe y lo pone en el directorio de Windows, normalmente C:\Windows. El falso svchost.exe ahora es usado para monitorear cuando instalas cualquier dispositivo flash y vuelve a crear Autorun.inf y Setup.exe cuales se ponen en el disco flash y tambien se crea C:\Windows\Notepad32.dll.

Ninguno de estos Antiviruses lo detectaron: Mcafee, Avira, Avast! y AVG.

Como eliminarlo
  • Ejecuta el administrador de tareas con las teclas alt + ctrl + del
  • Ve a los procesos y organizalos por nombre (haz clic en el titulo Nombre de imagen) - ahi veras varios svchost.exe ejecutados.
  • Ahora fijate en el nombre de usuario - veras que varios de los svchost son ejecutados por SYSTEM, Servicio de red o Servicio local. Pero, hay uno ejecutado por el nombre de tu login. Osea, si mi usuario es LeThe, este svchost.exe en la lista sale que es ejecutado por LeThe. Termina este proceso, haz clic derecho sobre el y elige Terminar proceso.
  • Asegura que tu explorador este configurado para ver archivos y carpetas ocultas y de sistema. Busca el archivo C:\Windows\svchost.exe y C:\Windows\Notepad.dll y eliminalos. Nota las carpetas, C:\Windows\System32\svchost.exe no puede ser eliminado y es un proceso critico de Windows. Entra a mi PC. Abre el disco flash no haciendo doble clic sobre el, pero clic derecho sobre el icono y del menu haz clic en Abrir. Elimina los archivos setup.exe y Autorun.inf. Ambos estan escondidos.
  • Despues ejecuta el Editador del Registro y busca notepad.dll. Donde veas notepad.dll, cambialo por notepad.exe
  • Reinicia
Puedes asegurar que tu sistema este limpio instalando nuevamente la tarjeta flash a ver si se copian los archivos autorun.inf y setup.exe.

Publicado: Dom Dic 02, 2007 1:11 pm
por obideo
A mi me sucede algo parecido, pero tengo algunas diferencias:

Cuando conecto la USB Stick no abre automaticamente, cuando doy doble clic no abre pero la pc se pone sumamente lenta, cuando voy al task manager (alt+ctrl+del) veo que el CPU esta constantemente en 100% y hay un proceso llamado iexplore.exe (yo sin tener explorer instalado en mi PC) y cuando mato este proceso, todo vuelve a la normalidad.

en otros casos, el 100% se reparte entre todas las aplicaciones, y el porcentaje va variando, asi se entiende que la PC esta trabajando en algo.

Hemos aplicado antispywares y antivirus por montones, sin resultado.

Publicado: Mié Dic 05, 2007 3:05 am
por paulofutre
Tomo nota. (uso mucho pen drivers)

Muchas gracias. Saludos.

Publicado: Mié Dic 05, 2007 9:03 am
por obideo
He visto en mi investigacion que este troyano usa diferentes nombres de servicios, por ejemplo, en el caso de Lethe es notepad.dll, en el mio es iexplore.exe y otro proceso llamado KIX32.EXE.

He utilizado el metodo q recomienda Lethe, pero eliminando los archivos que en mi caso aplicarian, porque no existe el notepad.dll. el problema se regulariza entre tanto no reinicie la PC.

Si consiguen alguna info sobre este troyano, favor avisar.

Publicado: Mié Dic 05, 2007 9:39 am
por LeThe
Prueba el Antivirus AVG. Me han dicho que funciona bien contra estos tipos de viruses.

Publicado: Jue Ago 21, 2008 8:07 pm
por otreblab
Saludos, Muy buen aporte amigo Lethe, ese problema lo veo a diario aca en los pendrive de mis clientes que visitan mi cybercafe, menos mal que uso el deepfrezer en las pc, reinicio y listo. pero el cliente mantiene el virus en su pendrive.

Publicado: Mar Sep 02, 2008 3:31 pm
por aletorres
SAben yo tenia un virus trojano que se Llamaba aba por que ya lo elimine, bueno era RECYCLER y varios numeritos y cada que entraba a windows hacia una configuracion de no se que y mis archivos no los dejaba leeer ni mi memoria y s que este me lo pasaros de un cyber, bueno cuento que investigue y el antivrus kaspersky lo elimino completamente y lo bueno es que no tuve que comprar uno nuevo ni llave solo me meti a la pagina de kaspersky el google y bueno cambie el idioma a españa (español)lugo me fui a descargar y me fui a versiones de prueba descargue uno con el idioma españa y bueno ya para acabar meti la lleve de version de prueba, dura un mes pero pues como todo tiene su truco cuando se me termine activare nuevamente la version de prueba y nuevamente tendre antivirus para rato. y ademas es el 7.0 me resulto muy bueno espero ayude con esto.

Publicado: Vie Sep 12, 2008 10:46 pm
por jeds_25
saludos. he tenido este problema de igual manera. lo he solucionado con el avira y con esta opcion.


http://www.yoreparo.com/descargas/ver_a ... pic=226026

espero ke les sirva, no encontre el link de donde lo descague busque este y espero que les sirva

Publicado: Sab Sep 13, 2008 12:24 am
por Menfis
jeds_25 gracias por el enlace pero hay que registrarse en esa pag, porque mejor no lo subes a rapidshare o megaupload.
Todos los horarios son UTC-04:00
Página 1 de 1

Desarrollado por phpBB® Forum Software © phpBB Limited

Traducción al español por phpBB España