proceso asocksrv al parecer malware (SOLUCIONADO)

Gramos · Mensaje por **Gramos** » 09 Jul 2007, 04:45

En un problema anterior, observé la precencia de este proceso y se me solicitó el archivo, pero como no podía ver los archivos ocultos me fue imposible localizarlo. despues de la perdida de la fuente de voltaje de mi equipo, inexplicablemente volví a tener acceso a los archivos ocultos de mi equipo y al ver el resultado del hijakthis observé que el proceso se encuentra todavía en una de las claves, pero no logro encontrar el archivo, a pesar de buscarlo en DOS como se había sugerido anteriormente mediante el comando DIR.

Buscando en la web, encuentro que se trata de un malware y no se si solo eliminando la clave que lo llama sea suficiente para eliminarlo, en la clave no se especifica en donde se encuentra ya que solo aparece lo siguiente

O4 - HKLM\..\Run: [ASocksrv] SocksA.exe

ya busque el archivo en todo el disco, en archivos ocultos y de sistema y nada

Mensaje por **msc hotline sat** » 09 Jul 2007, 06:43

Arranque en consola de recuperacion, escogiendo R tras arrancar con el CD de instalacion y teclee:

c: <enter>

md zona <enter>

cd windows <enter>

cd system32 <enter>

copy socksa.exe c:\zona <enter>

del socksa.exe <enter>

Tras ello reinicie y vea si en la carpeta zona existe algun fichero, y en tal caso envienoslo para analizar:

->~~[b]~~ Para ello recordar[/b]: https://foros.zonavirus.com/viewtopic.php?f=2&t=45334

y tras reiniciar, elimine la clave en cuestion:

O4 - HKLM\..\Run: [ASocksrv] SocksA.exe

y vea si tras ello persiste el problema y nos lo comenta, gracias

saludos

ms, 9-07-2007

Gramos · Mensaje por **Gramos** » 09 Jul 2007, 07:44

Hice todo lo indicado y el sistema no encontró el archivo indicado, por lo que no se encuentra en la carpeta de zona, la cual debí crear en la carpeta windows porque no quizo cambiar al directorio raíz c:

el equipo trabaja normalmente por lo que no se presenta ningún problema pero me preocupa se este llamando este malware sinque se indique que no encuentra el archivo, si es que este no existe :?:

procederé a eliminar la clave

Mensaje por **msc hotline sat** » 09 Jul 2007, 07:57

Pjp, buscando mas informacion he visto en :

http://www.castlecops.com/s14385-ASocksrv.html

que el gusano reside en %windir% por lo que en lugar de acceder a la carpeta de sistema, C:\windows\system32\ , debes ir solo a c:\windows\ o sea, de la lista de entradas en consola de recuperacion, suprime la de

cd system32 <enter>

a ver en C:\windows\ lo encuentras...

saludos

ms, 9-07-2007

Gramos · Mensaje por **Gramos** » 09 Jul 2007, 08:22

el archivo no se encuentra en c:\windows ni en c: ya eliminé la clave y el equipo sigue trabajando correctamente

Mensaje por **msc hotline sat** » 09 Jul 2007, 10:43

Bien , pues si fichero a analizar , entendemos que se ha eliminado y si con ello se ha resuelto el problema, damos el Tema por solucionado y procedemos a cerrarlo

saludos

ms, 9-07-2007