Eliminar olhrwef y ahnrpta

Foro de elhacker.net

Seguridad Informática

Seguridad (Moderadores: skapunky, Novlucker)

Eliminar olhrwef y ahnrpta

0 Usuarios y 1 Visitante están viendo este tema.

Páginas: [1]

Autor

Tema: Eliminar olhrwef y ahnrpta (Leído 3764 veces)

Arcano.

Desconectado

Mensajes: 256

Eliminar olhrwef y ahnrpta

« en: 02 Julio 2009, 02:26 »

Hola a tod@s!

Hace aproximadamente unos tres meses que me llevo encontrando, muy asiduamente, con estos virus. En realidad, uno depende del otro y, a veces, sólo encontraremos uno de los dos. Es decir, si estamos infectados, tendremos seguro el olhrwef. El cual, puede venir acompañado del ahnrpta. Como en su momento hice un análisis online con un par de antivirus y ninguno de ellos me los eliminó, empecé a buscar por la red información sobre ellos. Información que he reunido en un manual.

Citar

Todo comentario y/o correción serán bienvenidos.

En el presente manual se presupone que Windows está instalado en C:\

____________________________________________________________________________________________________

NUESTROS AMIGOS OLHRWEF Y AHNRPTA

Según leí en su momento, el virus olhrwef se descarga a través de algunas páginas de juegos online. Y conforme yo mismo he comprobado en varios ordenadores, se copia en todas las unidades locales y se propaga a través de pendrive. Va creando archivos en la raíz del disco, ralentizando paulatinamente el sistema. Además, modifica el registro para que no podamos ver los archivos ocultos.

¿Cómo podemos saber si estamos infectados por Olhrwef?

Citar

Listando los archivos mediante dir /as en C:\Windows\System32. Veremos el ejecutable olhrwef.exe

¿Cómo saber si, además, estamos infectados por ahnrpta?

Citar

En C:\Windows habrá un archivo con nombre ahnrpta e icono del notepad
Habrá un proceso en el Administrador de Tareas con el mismo nombre.

LIMPIANDO EL SISTEMA

0- Marcar Desactivar Restaurar sistema (MI PC / PROPIEDADES / Pestaña RESTAURAR SISTEMA).

1- Accedemos en modo a prueba de fallos.

2- Abrimos una consola de sistema (CMD).

3- Abrimos el Administrador de Tareas.

4- Matamos el proceso explorer.

Citar

Modo a prueba de errores, CMD abierto y el Administrador de tareas. Si tenemos activo el proceso ahnrpta, lo finalizamos.

5- Nos dirigimos a CMD y nos colocamos en la raíz del disco: cd\

6- Listamos los archivos con dir /as

7- Obtendremos algo parecido a esto:

Citar

Los nombres pueden variar. Sin embargo, siempre habrá un autorun.inf

. Si lo abrimos mediante el notepad, podremos comprobar a qué archivo apunta.

8- Cambiamos los atributos de los archivos mediante:

Citar

Attrib –h –r –s autorun.inf
Attrib –h –r –s 1mteolu9.com
Attrib –h –r –s husyu8n.exe
Attrib –h –r –s uo10sn.cmd.

9- Los eliminamos:

Citar

del –h –r –s autorun.inf, 1mteolu9.com, husyu8n.exe, uo10sn.cmd

Si también estás infectado por ahnrpta, deberás estar pendiente del Adminsitrador de Tareas. Si ves que se vuelve a cargar el proceso, lo (re)matas.

10- Cambiamaos de directorio:

Citar

cd C:\Windows\system32

Encontrarás algo parecido a esto:

Citar

En este caso sólo tenemos una dll llamada nmdfgds1.dll, pero podría haber dos. Una con el número ‘0’ y otra con el número ‘1’.
Además, si estamos infectados por ahnrpta, tendremos más dll's con otros nombres del estilo: afmain0.dll, afmain1.dll, afmain2.dll...

La idea es que un equipo limpio, debe estar como la siguiente imagen:

Por norma, si estamos infectados por el virus que estamos tratando, todo lo que veamos de más ejecutando dir /as; sobra. OJO! por norma, pero NO siempre. Si vemos algún archivo de mas que no esté comentado en este manual, deberemos asegurarnos buscando la definición por internet.

11- Modificamos los atributos de los archivos mediante:

Citar

Attrib –h –r –s nmdfgds1.dll
Attrib –h –r –s olhrwef.exe

12- Eliminamos mediante:

Citar

del nmdfgds1.dll, olhrwef.exe

13- Si, además, estamos infectado por ahnrpta, deberemos eliminar una dll que no se ha mostrado con el comando dir /as. En c:\Windows\system32, realizamos:

Citar

dir find e8main0.dll

Si se encuentra el archivo, que debe estar si estábamos infectados por ahnrpta; procedemos igual que anteriormente.

Citar

attrib -h -r -s e8main0.dll y del e8main0.dll

LIMPIANDO EL REGISTRO

Con lo explicado anteriormente, el equipo debe estar limpio del virus. Ahora toca eliminar las ramas que ha modificado 'el amigo'.

1- Accedemos a regedit

2- Nos movemos hasta:

Citar

HKEY_CURRENT_USER\Software\Microsoft\CurrentVersion\Run

Y eliminamos la entrada del registro que pertenece a olhrwef. Si el ordenador tiene varios usuarios, ya que esta rama se corresponde al usuario con el que hayamos entrado, podemos realizar una búsqueda por todo el registro para asegurarnos que no queda ningún otro olhrwef.exe

3- Si además, estamos infectados por ahnrpta, realizaremos una búsqueda por el registro del nombre: e8main0.dll

Las ramas que deberemos eliminar serán tres:

Citar

HKEY_CLASSES_ROOT\SOFTWARE\Classes\CLSID\{BB4C402 F-882A-4526-8C08-51278EA437C1}\InprocServer3

Deberemos eliminar la clave: InprocServer3 y la rama principal HKEY.\...\CLSID\{BB4C402 F-882A-4526-8C08-51278EA437C1}

La siguiente rama a eliminar será:

Citar

HKEY_CLASSES_ROOT\SOFTWARE\Classes\CLSID\{BB4C402 F-882A-8C08-4526-51278EA437C1}

Por último, deberemos buscar la siguiente clave y también eliminarla

Citar

[HKEY_CLASSES_ROOT\SOFTWARE\Microsoft\Windows\Curr entVersion\Explorer\ShellExecuteHooks]{BB4C402F-882A-4526-8C08-51278EA437C1} = "hook dll rising"

Citar

Nota: Lo recomendado, si lo del registro nos suena a chino, es realizar una búsqueda completa por e8main0.dll y por "hook dll rising". Las subclaves deben coincidir ({...-51278EA437C1}), pero la clave principal, variará si el equipo tiene más de un usuario o si hemos iniciado con el usuario infectado... Es decir, pueden estar en HKEY_CLASSE_ROOT, en HKEY_LOCAL_MACHINE, en HKEY_CURRENT_USER...

Hecho todo esto, olhrwef y ahnrpta estarán eliminados por completo del equipo.

Citar

Volvemos a cargar el proceso explorer.exe mediante el Administrador de Tareas. Archivo / Nueva Tarea / explorer.exe

Ya sólo nos falta reparar el registro para ver los archivos ocultos y de sistema.

REPARANDO EL REGISTRO

1- Accedemos a:

Citar

HKEY_LOCAL_MACHINE/SOFTWARE/MICROSOFT/WINDOWS/CURRENT VERSION/EXPLORER/ADVANCED/FOLDER/HIDDEN/SHOWALL

2- Borramos el valor: CheckedValue.
3- Creamos un nuevo valor CheckValue como DWORD y valor ‘1’.

Hecho todo esto. Equipo y registro estarán desinfectados y podremos volver a ver los archivos ocultos y de sistema.

Si además, queremos estar seguros de que Windows nos muestre correctamente las propiedades de las carpetas y de los archivos, podemos pegar el siguiente código en un bloc de notas, guardarlo como extensión .reg y ejecutarlo:

Citar

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\FriendlyTree]
"CheckedValue"=dword:00000001
"UncheckedValue"=dword:00000000
"DefaultValue"=dword:00000001

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\NOHIDDEN]
"CheckedValue"=dword:00000002
"ValueName"="Hidden"
"DefaultValue"=dword:00000002

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
"CheckedValue"=dword:00000001
"ValueName"="Hidden"
"DefaultValue"=dword:00000002

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden]
"ValueName"="ShowSuperHidden"
"CheckedValue"=dword:00000000
"UncheckedValue"=dword:00000001
"DefaultValue"=dword:00000000

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy\DontShowSuperHidden]
@=""

Citar

¿Qué nos queda ahora? Evitar una posible reinfección...

EVITAR LA REINFECCIÓN

El virus se suele propagar mediante páginas de juegos online y por pendrive. En cuanto a lo primero, allá cada uno dónde entra... En cuanto a lo segundo, podemos evitar la autoreproducción de los pendrive mediante dos pasos:

1- GPEDIT

INICIO / EJECUTAR / GPEDIT.MSC (Sólo para Windows XP Profesional)

Citar

Configuración de usuario / Plantillas Administrativas / Sistema / Desactivar Reproducción automática. ---> Habilitada para Todas las unidades

2- Modificando el registro:

Copiamos

Citar

REGEDIT4
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\Autorun.inf]@=”@SYS:DoesNotExist”

Lo pegamos en un bloc de notas y lo guardamos con extensión .reg

Como ya se ha comentado anteriormente, olhrwef se propaga por todos los discos locales. En cada uno de ellos habrá un autorun.inf y varios archivos .bat, cmd. exe... Deberemos proceder de la misma forma. Una vez que hayamos limpiado C:\, en la misma consola (CMD) nos dirigiremos a las otras unidades y mediante los comandos attrib y del eliminaremos los archivos sospechosos.... Asismimo, si tenemos el pendrive a mano -del amigo, de un cliente, el nuestro...-, lo pondremos y verifcaremos que no esté infectado...

Después de todo esto, podemos iniciar normalmente Windows y volver a desmarcar 'Desactivar restaurar sistema'.

____________________________________________________________________________________________________

Esto es todo, espero que a alguien le pueda ayudar a deshacerse de estos bichos... Buscando por internet, he visto varios 'bat' para eliminar a olhrwef y ahnrpta. Si bien, la experiencia me ha confirmado que los archivos creados en las unidades locales. No son siempre los mismos; con lo cual, no llegan a eliminarlos por completo -al menos los que yo he encontrado-. Esta forma es, quizá, más tediosa, pero también más segura y efectiva -digo yo... :silbar:

- puesto que eliminas todo lo que ha creado nuestro queridísimo amigo olhrwef....

SALUDOS!!


« Última modificación: 07 Julio 2009, 10:30 por Arcano2506 »	En línea

La curiosidad es la antesala al conocimiento...

Novlucker

Moderador Global

Desconectado

Mensajes: 7.304

Yo que tu lo pienso dos veces!

Re: Eliminar olhrwef y ahnrpta

« Respuesta #1 en: 02 Julio 2009, 02:48 »

Más claro .. echarle agua

Realmente este olhrwef esta en todos lados, y varios de los users que vienen a consultar al foro estan infectados con este, así que ya podemos enviarlos a este post y nos evitamos otras explicaciones

Saludos


	En línea

Contribuye con la limpieza del foro, reporta los "casos perdidos" a un MOD XD

"Hay dos cosas infinitas: el Universo y la estupidez humana. Y de la primera no estoy muy seguro."

Albert Einstein

Axus

Desconectado

Mensajes: 1.698

Re: Eliminar olhrwef y ahnrpta

« Respuesta #2 en: 02 Julio 2009, 04:14 »

Uff excelente explicación Arcano2506...

Este post merece estar en el FAQ de temas importante.

Habla con Red haber si lo pone en los temas importantes.


« Última modificación: 02 Julio 2009, 04:16 por Axus »	En línea

Firmando...

etreum

Desconectado

Mensajes: 23

Re: Eliminar olhrwef y ahnrpta

« Respuesta #3 en: 02 Julio 2009, 09:49 »

TODO IBA BIEN HASTA QUE LLEGUE A LA PARTE DE ELIMINAR EL e8main0.dll LE DOY DEL EL NOMBRE Y ME DICE """ACCESO DENEGADO"""""

OBVIO YA QUITE ATTRIBUTOS Y TODO PERO SOLO DICE ESO Y NO SE COMO BORRARLO PODRIAN AYUDARME POR FA


	En línea

Arcano.

Desconectado

Mensajes: 256

Re: Eliminar olhrwef y ahnrpta

« Respuesta #4 en: 02 Julio 2009, 10:11 »

Buenas!!

Perfecto que sea de utilidad!

Citar

Habla con Red haber si lo pone en los temas importantes.

Pos... Axus... Nu sé... Si creen que es de utilidad, ya se encargarán de 'remarcarlo'...

Si no, a quien le haga falta con hacer una sencilla búsqueda... Podrá verlo... Pero gracias por el comentario!!

etreum

0- ¿Eres Administrador de máquina?
1- ¿Estás haciendo todo desde modo a prueba de fallos/Modo seguro?
2- ¿Has finalizado el proceso AHNRPTA?
3- ¿Has finalizado el proceso explorer?
4- ¿Has modificado los permisos al archivo e8main0.dll mediante attrib -h -r -s?

Si respondes afirmativamente a todo, deberías poder borrarlo. De todas formas, si todo lo otro lo has elimiando correctamente; pasa directamente al apartado de la desinfección del registro. Haz una búsqueda general de 'e8main0.dll'.Borra todas las líneas que contengan el archivo.

Hecho eso, vuelve a buscar la dll en system32. Si sigue estando, prueba de nuevo a eliminarla. A ver si limpiando antes el registro, tienes éxito.

Ya nos comentarás.

Saludos.


« Última modificación: 02 Julio 2009, 17:55 por Arcano2506 »	En línea

La curiosidad es la antesala al conocimiento...

Novlucker

Moderador Global

Desconectado

Mensajes: 7.304

Yo que tu lo pienso dos veces!

Re: Eliminar olhrwef y ahnrpta

« Respuesta #5 en: 02 Julio 2009, 13:12 »

Exacto ... todo esto en modo seguro ... y si te sigue diciendo lo de acceso denegado ... unlocker

Saludos


	En línea

Contribuye con la limpieza del foro, reporta los "casos perdidos" a un MOD XD

"Hay dos cosas infinitas: el Universo y la estupidez humana. Y de la primera no estoy muy seguro."

Albert Einstein

etreum

Desconectado

Mensajes: 23

Re: Eliminar olhrwef y ahnrpta

« Respuesta #6 en: 03 Julio 2009, 07:15 »

PUES HABER PARA EMPEZAR GRACIAS

DESPUES LA RESPUESTA ATODAS LA PREGUNTAS ES SI

AYER QUE TUVE ESTE PROBLEMA Y COMO NO SABIA QUE HACER ME SEGUI CON EL PROCEDIMIENTO ME FUI AL REGISTRO Y BUSQUE Y BORRE Y TODO LO DEMAS Y TODO FUNCIONO A LA PERFECCION ASI QUE DIJE BUENO AHORA SI ME DEBERIA DEJAR BORRARLO Y LO INTENTE NUEVAMENTE Y NADA

PERO COMO YA NO TENIA YO EL VIRUS Y ME DEJABA TRABAJAR YA A LA NORMALIDAD PUES LO DEJE ASI

HOY REVISANDO SUS COMENTARIOS (QUE agradezco INFINITAMENTE) VOLVI A BUSCAR Y AHI SIGUE EL e8main.dll

PERO OHH SORPRESA SIN QUITARLE ATRIBUTOS NI NADO SOLO DEL (BORRARLO) Y LISTO ADIOS ARCHIVO

ASI QUE SUPONGO QUE ERA CUESTION DE APAGAR LA MAQUINA Y VOLVERLO A INTENTAR YA QUE AYER SOLO LA REINICIE Y AL PARECER ESTO NO ES SUFICIENTE

HOY VOY POR EL MISMO VIRUS EN OTRA MAQUINA

SALUDOS Y NUEVAMENTE MUY AGRADECIDO NO SABIA QUE HACER CON ESTE VIRUS


	En línea

Arcano.

Desconectado

Mensajes: 256

Re: Eliminar olhrwef y ahnrpta

« Respuesta #7 en: 03 Julio 2009, 08:08 »

Hola etreum!

Pues, sinceramente, de las veces que me he encontrado con este virus -que han sido bastantes- nunca me he topado con lo que nos comentas... En cualquier caso, si eliminas todo lo otro, como has podido comprobar, después se puede borrar a mano...

Al parecer, eliminados los 'guardianes', esa dll se queda indefensa y se puede borrar tranquilamente...

Perfecto que te haya servido...

Saludos

PD: No escribas en mayúsculas, indica que estás gritando...

_________________________________

Novlucker, compañero!

Recuerdas que en su momento estuvimos hablando del archivo klif.sys??? Pues... No sé, supongo que tal y como dijiste, es un simple archivo temporal... De las veces que me he encontrado con el olhrwef, una vez eliminado, he buscado el archivo y... Ni rastro... Si bien, buscado un poquito por ahí, he encontrado lo siguiente:

Citar

(...) Descarga una biblioteca de enlaces dinámicos oculta que puede llamarse de una de las dos posibilidades:

   * %System%\nmdfgds0.dll
   * %System%\nmdfgds1.dll

Este componente es el que se encarga del robo de las contraseñas. Este proceso será inyectado en todos los procesos que se encuentren en ejecución , y monitorizará todas las pulsaciones del teclado.

Algunos de los juegos online objetivo son:

   * MapleStory
   * Age Of Conan
   * Rohan
   * The Lord OF The Rings
   * Knight Online
   * Lands Of Aden
   * ...

Descarga un controlador:

   * %drivers%\klif.sys

Nota:%Drivers% es una variable que hace referencia al directorio donde se almacenan los ficheros de controladores el sistema de Windows. Por defecto es C:\Windows\System\drivers (Windows 95/98/Me), C:\Winnt\System32\drivers (Windows NT/2000), o C:\Windows\System32\drivers (Windows XP).

Para cargar el driver como servicio al iniciar el sistema, crea la siguiente entrada en el registro:

Clave: HKLM\Software\CurrentControlSet\Services\KAVSys

Valor: Type = 0x1

Valor: ErrorControl = 0x1

Valor: Start = 0x1

Valor: ImagePath = %drivers%\klif.sys

Este controlador, suele ir acompañado de otro fichero:

   * %system%\ANTIVM.dll

Este fichero, se utiliza para desactivar las actualizaciones de varios programas antivirus, y también para detener programas que se pueden utilizar para monitorizar procesos, con el fin de dificultar el análisis del sistema.

Parece que nuestro amigo hace muchas más cosas que ocultar los archivos y ralentizar el equipo... Algo que, por otro lado, era totalmente lógico...

Cierto también que, por ahora, una vez eliminado el virus, no he encontrado nada sobre el servicio en el registro (HKLM\Software\CurrentControlSet\Services\KAVSys ) ni de la dll ANTIVM... Quizá no he buscado bien... :silbar:

En fin...

Saludos!


« Última modificación: 03 Julio 2009, 12:36 por Arcano2506 »	En línea

La curiosidad es la antesala al conocimiento...

Novlucker

Moderador Global

Desconectado

Mensajes: 7.304

Yo que tu lo pienso dos veces!

Re: Eliminar olhrwef y ahnrpta

« Respuesta #8 en: 03 Julio 2009, 13:25 »

Buenas ...

Citar

Este componente es el que se encarga del robo de las contraseñas. Este proceso será inyectado en todos los procesos que se encuentren en ejecución , y monitorizará todas las pulsaciones del teclado.

Algunos de los juegos online objetivo son:

* MapleStory
* Age Of Conan
* Rohan
* The Lord OF The Rings
* Knight Online
* Lands Of Aden
* ...

En definitiva ... un virus bastante molesto creado seguramente por un niño, un adulto robaría algo más que esto supongo :xD

Citar

Descarga un controlador:
* %drivers%\klif.sys

Puede que sean variantes, pero cuando hice pruebas ese archivo se creaba en local, no era descargado de ningún sitio

Citar

* %system%\ANTIVM.dll

Este lo habías visto? yo creo que no, o al menos no lo recuerdo :silbar:

Saludos


	En línea

Contribuye con la limpieza del foro, reporta los "casos perdidos" a un MOD XD

"Hay dos cosas infinitas: el Universo y la estupidez humana. Y de la primera no estoy muy seguro."

Albert Einstein

Arcano.

Desconectado

Mensajes: 256

Re: Eliminar olhrwef y ahnrpta

« Respuesta #9 en: 06 Julio 2009, 14:10 »

Ey!!

Citar

En definitiva ... un virus bastante molesto creado seguramente por un niño, un adulto robaría algo más que esto supongo :xD

Ojo! Si un niño crea esto tan toca pies... Imagínate cuando crezca... Si es que... ¡¡Esta juventud...!!

Citar

* %system%\ANTIVM.dll
Este lo habías visto? yo creo que no, o al menos no lo recuerdo

Qué va... Nunca me he topado con él. En principio, mirando el registro con el bicho en cuestión, nunca me ha 'dado el aviso' de ese archivo... A saber...

Saludos!!


	En línea

La curiosidad es la antesala al conocimiento...

huron74

Desconectado

Mensajes: 40

Re: Eliminar olhrwef y ahnrpta

« Respuesta #10 en: 06 Julio 2009, 22:33 »

Sinceramente desconocia este virus,interesante post ::)


	En línea

_Bj0rD_

Desconectado

Mensajes: 151

*+..+*Crackeando llegas a Roma*+..+*

Re: Eliminar olhrwef y ahnrpta

« Respuesta #11 en: 12 Julio 2009, 01:39 »

hice un pequeño bat al cual solo le agrego las variantes. esta mal hecho el bat paro funcione muy bien solo hace falta borrar el registro hace mucho que no lo toco.

Citar

@echo off

del C:\u.com /A:H /F
del C:\autorun.inf /A:H /F
del C:\xdw.com /A:H /F
del C:\yh.cmd /A:H /F
del C:\2fiy.bat /A:H /F
del C:\a1agmur.cmd /A:H /F
del C:\cb.exe /A:H /F
del C:\dbrxubcw.com /A:H /F
del C:\gi2ky.exe /A:H /F
del C:\gyn.cmd /A:H /F
del C:\i6g6x.cmd /A:H /F
del C:\jeorels.cmd /A:H /F
del C:\luk1ylq.com /A:H /F
del C:\o.exe /A:H /F
del C:\ur0.com /A:H /F
del C:\u.com /A:H /F
del C:\wx8o0bt1.com /A:H /F
del C:\yh.cmd /A:H /F
del C:\em8tqm.cmd /A:H /F

del D:\u.com /A:H /F
del D:\autorun.inf /A:H /F
del D:\xdw.com /A:H /F
del D:\yh.cmd /A:H /F
del D:\2fiy.bat /A:H /F
del D:\a1agmur.cmd /A:H /F
del D:\cb.exe /A:H /F
del D:\dbrxubcw.com /A:H /F
del D:\gi2ky.exe /A:H /F
del D:\gyn.cmd /A:H /F
del D:\i6g6x.cmd /A:H /F
del D:\jeorels.cmd /A:H /F
del D:\luk1ylq.com /A:H /F
del D:\o.exe /A:H /F
del D:\ur0.com /A:H /F
del D:\u.com /A:H /F
del D:\wx8o0bt1.com /A:H /F
del D:\yh.cmd /A:H /F
del D:\em8tqm.cmd /A:H /F

del F:\u.com /A:H /F
del F:\autorun.inf /A:H /F
del F:\xdw.com /A:H /F
del F:\yh.cmd /A:H /F
del F:\2fiy.bat /A:H /F
del F:\a1agmur.cmd /A:H /F
del F:\cb.exe /A:H /F
del F:\dbrxubcw.com /A:H /F
del F:\gi2ky.exe /A:H /F
del F:\gyn.cmd /A:H /F
del F:\i6g6x.cmd /A:H /F
del F:\jeorels.cmd /A:H /F
del F:\luk1ylq.com /A:H /F
del F:\o.exe /A:H /F
del F:\ur0.com /A:H /F
del F:\u.com /A:H /F
del F:\wx8o0bt1.com /A:H /F
del F:\yh.cmd /A:H /F
del F:\em8tqm.cmd /A:H /F

del C:\Windows\System32\olhrwef.exe /A:H /F
del C:\Windows\System32\nmdfgds0.dll /A:H /F
del C:\Windows\System32\nmdfgds1.dll /A:H /F

echo "Elimina HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run /V cdoosoft"

espero a alguien le sirva a mi me ayudo mucho hace tiempo


	En línea

53 69 6D 70 6C 79 20 54 68 61 20 42 65 73 74 20 5F 42 6A 30 72 44 5F

Arcano.

Desconectado

Mensajes: 256

Re: Eliminar olhrwef y ahnrpta

« Respuesta #12 en: 14 Julio 2009, 12:03 »

Buenas _Bj0rD_

Se agradece el aporte. En su momento, yo también prové con un bat, pero me encontré que no eliminaba por completo el virus.

De ahí que me decantara por 'jugar con el bicho' en una máquina virtual y saber cómo actuaba para borrarlo manualmente...

Si bien, cada cual puede usar la forma que más le guste

No obstante, el código que has pegado, sólo se encarga del olhrwef, no del ahnrpta.

Otra opción, que acabo de caer al ver tu bat, con tal de borrarlo automáticamente asegurándonos de eliminar todo, sería:

Realizar un dir /as > c:\<nombreAelegir>.bat. Lo modificamos añadiendo el comando del /as /f delante de los nombres malignos y quitamos los archivos de sistema. Depués, ejecutamos el bat y... hale... Ya está.

Todo ello, sabiendo que también debemos encargarnos del ahnrpta...

De no ser por tu código, no habría caído en esta opción...

************************************

RE-RE-EDITO

************************************

Sólo con del/as /f NO se elimina correctamente el amigo... Debemos cambiar primero los atributos a los archivos para, posteriormente, eliminarlos. Con del /as /f en modo seguro, parece que se eliminan, pero al re-iniciar en modo normal, los archivos siguen estando ahí... :huh:

Raro?? No sé, cambiando los atributos y después borrando, se elimina correctamente...

Saludos!


« Última modificación: 16 Julio 2009, 23:09 por Arcano2506 »	En línea

La curiosidad es la antesala al conocimiento...

Páginas: [1]

Ir a: