Foro de LeThe Online y Joshua Marius

Me he quedado asi >

En una computadora de prueba, tengo Windows 7 Profesional x64 bit, AVG 2011 actualizado y tambien Firefox 4.0.1.
En una busqueda de imagenes de tarjetas madres en Google Images hice clic en una y de inmediato se presento AVG indicando una posible infeccion, pero despues desaparecio y me salio lo siguiente:





Batalle con este virus rogue ya que me deshabilito todo - AVG, Malwarebytes, etc., y tenia el mismo efecto en modo seguro o Safe Mode. Mirando el administrador de tareas o task manager, me note un archivo extraño - mrs.exe - con la descripcion Remote Desktop. Se que esto no es verdad porque remote desktop es mstsc.exe

De inmediato ejecute Autoruns y efectivamente encontre el archivo infectado:


EN este caso, el nombre de usuario era lethe.it-pc, mrs.exe se localizaba en:
c:\Users\lethe.it-pc\local settings\mrs.exe y
c:\Users\lethe.it-pc\local settings\application data\mrs.exe

Al eliminarlo con Autoruns y terminarlo manualmente en el administrador de tareas, entonces pude ejecutar Malwarebytes Antimalware, actualizarlo y eliminarlo por completo.

Log de Malwarebytes Antimalware:

Registry Keys Infected:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{A078F691-9C07-4AF2-BF43-35E79EECF8B7} (Adware.Softomate)

Registry Values Infected:
HKEY_CLASSES_ROOT\.exe\shell\open\command\(default) (Hijack.ExeFile) -> Value: (default)

Registry Data Items Infected:
HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet\FIREFOX.EXE\shell\open\command\(default) (Hijack.StartMenuInternet) -> Bad: ("C:\Users\lethe.it-pc\AppData\Local\mrs.exe" -a "C:\Program Files (x86)\Mozilla Firefox\firefox.exe") Good: (firefox.exe)
HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet\FIREFOX.EXE\shell\safemode\command\(default) (Hijack.StartMenuInternet) -> Bad: ("C:\Users\lethe.it-pc\AppData\Local\mrs.exe" -a "C:\Program Files (x86)\Mozilla Firefox\firefox.exe" -safe-mode) Good: (firefox.exe -safe-mode)
HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet\IEXPLORE.EXE\shell\open\command\(default) (Hijack.StartMenuInternet) -> Bad: ("C:\Users\lethe.it-pc\AppData\Local\mrs.exe" -a "C:\Program Files (x86)\Internet Explorer\iexplore.exe") Good: (iexplore.exe)

Files Infected:
c:\Users\lethe.it-pc\local settings\mrs.exe (Trojan.FakeAlert)
c:\Users\lethe.it-pc\local settings\application data\mrs.exe (Trojan.ExeShell.Gen)

Este es el segundo caso de virus que veo respecto a buscar imagenes en google. No recuerdo donde lei eso.
Justamente, ayer tambien estuve buscando una imagen en google, pero no tuve problema alguno.
Bueno, como soy algo paranoico, antes de darle click a algo me fijo en la direccion completa del vinculo y en caso, nunca antes haya visitado una direccion web, la busco en google y veo que valoracion le da WOT (esto solo como referencia ya que no es 100% confiable). Ademas de esto, tambien ayuda el archivo Hosts modificado y el AdBlockPlus de firefox.
Aun asi, restaure imagen de windows por si acaso.

Tomando nota
Gracias y saludos

Lo interesante es que AVG lo detecto, pero al mismo tiempo, vi una ventana atras de Java, como si algo se estaba instalando - y de repente el virus tomo control de todo.
Yo desde ahora en adelante copio una carpeta con herramientas como processexplorer y Autoruns a todas las computadoras de mis clientes. Ya pueden ver la importancia de Autoruns cuando tratamos de eliminar un virus como este.

Pero lo que mas me sorprende es que haya entrado por Firefox. Siguen mejorando los programadores de estos virus. Solo hay que seguir compartiendo informacion para poder ayudar a otros.

Excelente! gracias por la info y por la solución, sirve de mucho.

Si es que se la saben todas estos creadores de virus cada vez son mas efectivos esta bien este programita del Autoruns no lo conocia muy efectivo, mi metodo cuando alguna vez no he podido eliminar algun virus ha sido desde dos como ultimo recurso, la verdad es que siempre me ha funcionado es tedioso pero efectivo al menos cuando el bicho se hace con el manejo de la Pc.
Saludos y muy buena info.