Foro de LeThe Online y Joshua Marius

www.letheonline.net - Ayuda para tecnicos e Ingenieros en computacion
https://www.letheonline.net/foro/

Les doy un consejo para eliminar virus Rogue

https://www.letheonline.net/foro/viewtopic.php?t=4424

Página 1 de 1

Les doy un consejo para eliminar virus Rogue

Publicado: Jue Jun 23, 2011 10:40 am
por LeThe
Esta situacion se me presento esta semana en Windows Vista 32-bit - un cliente con un virus cual no podia ejecutar ningun programa, ningun archivo ejecutable o .exe. Los virus Rogue estan 'acabando', y son los mas populares. Muchos, despues la infeccion, deshabilitan hasta el mismo Antivirus, junto con otros archivos ejecutables. Este fue el caso con esta infeccion, sin embargo fue peor porque ni en Safe Mode o Modo seguro pude ejecutar un ejecutable. Entonces Autoruns, Malwarebytes, etc., no funcionaron.

Durante este tiempo se me ocurrio algo. Este bloque que aplican estos virus son injecciones al registro. Por ejemplo, lo que define con que aplicacion se ejecuta un archivo esta en el registro, y es diferente para cada usuario. Entonces, se me ocurrio ejecutar Autoruns y la instalacion de Malwarebytes haciendo clic derecho sobre el archivo, y usando Run as Administrator, o Ejecutar como Administrador. Esto funciono de maravilla e inmediatamente pude eliminar el virus con Malwarebytes.

Imagen

Log De Malwarebytes
Registry Keys Infected:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{A078F691-9C07-4AF2-BF43-35E79EECF8B7} (Adware.Softomate)

Registry Values Infected:
HKEY_CLASSES_ROOT\.exe\shell\open\command\(default) (Hijack.ExeFile) -> Value: (default)

Registry Data Items Infected:
HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet\FIREFOX.EXE\shell\open\command\(default) (Hijack.StartMenuInternet) -> Bad: ("C:\Users\Crystal\AppData\Local\vvi.exe" -a "C:\Program Files\Mozilla Firefox\firefox.exe") Good: (firefox.exe)
HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet\FIREFOX.EXE\shell\safemode\command\(default) (Hijack.StartMenuInternet) -> Bad: ("C:\Users\Crystal\AppData\Local\vvi.exe" -a "C:\Program Files\Mozilla Firefox\firefox.exe" -safe-mode) Good: (firefox.exe -safe-mode)
HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet\IEXPLORE.EXE\shell\open\command\(default) (Hijack.StartMenuInternet) -> Bad: ("C:\Users\Crystal\AppData\Local\vvi.exe" -a "C:\Program Files\Internet Explorer\iexplore.exe") Good: (iexplore.exe)
HKEY_CLASSES_ROOT\exefile\shell\open\command\(default) (Broken.OpenCommand) -> Bad: ("C:\Users\Crystal\AppData\Local\vvi.exe" -a "%1" %*) Good: ("%1" %*)

Files Infected:
c:\Users\Crystal\Desktop\Setup.exe (Adware.Hotbar)
c:\Users\Crystal\AppData\Local\Temp\dx4ct+tb.exe.part (Rogue.Installer)

Re: Les doy un consejo para eliminar virus Rogue

Publicado: Jue Jun 23, 2011 1:58 pm
por paulofutre
:plano1 :plano1
Gracias por reportar

Re: Les doy un consejo para eliminar virus Rogue

Publicado: Jue Jun 23, 2011 11:27 pm
por Menfis
Excelente información!, solo no tengo algo claro, primero ejecutaste el Autorun y desde aqui instalaste Malwarebytes como Administrador, y luego como actualizaste Malwarebytes, via internet o manualmente?

Re: Les doy un consejo para eliminar virus Rogue

Publicado: Sab Jun 25, 2011 12:24 pm
por LeThe
Basicamente si. Pero recuerda que Autoruns es un ejecutable tambien, osea que tenia que usar la opcion de Ejecutar como Administrador para abrirlo. Sin embargo esta vez no use Autoruns, instale Malwarebytes y desde ahi elimine todo.

Autoruns siempre me sirve como la primera herramienta para deshabilitar las restricciones del virus Rogue, como no poder abrir ciertos archivos, etc.
Todos los horarios son UTC-04:00
Página 1 de 1

Desarrollado por phpBB® Forum Software © phpBB Limited

Traducción al español por phpBB España