elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.
 
Inicio Ayuda Buscar Ingresar Registrarse
29 Mayo 2012, 07:11  


Tema destacado: ¡Aprende hacking con práctica! - WarZone, el wargame de elhacker.net

+  Foro de elhacker.net
|-+  Seguridad Informática
| |-+  Seguridad (Moderadores: skapunky, Novlucker)
| | |-+  He detectado el Worm		 0 Usuarios y 1 Visitante están viendo este tema.
Páginas: [1] Ir Abajo Respuesta Imprimir
Autor Tema: He detectado el Worm  (Leído 1,372 veces)
Erik#


Desconectado Desconectado

Mensajes: 1.138


Pertenezco a Reach


Ver Perfil
He detectado el Worm
« en: 12 Diciembre 2010, 13:18 »
No se si os acordais, hace meses que tengo un problema con un worm que no me deja entrar en microsoft.com ni en las páginas web de anti-virus, pues bien, he detectado que ese worm se aloja en el autorun.inf, y tambien en un archivo llamado jwgkvsq.vmx dentro de una carpeta oculta.

Los dos estan ocultos y aunque le de a ver archivos ocultos, no me deja.
Tambien he identificado que estos worms afectan a svchost.exe y a explorer.exe

He intentado arreglarlos pero los gusanos permanecen, alguna idea de como eliminarlos de USB y PC?
En línea
jbndg

Desconectado Desconectado

Mensajes: 174


Live together, die alone.


Ver Perfil
Re: He detectado el Worm
« Respuesta #1 en: 12 Diciembre 2010, 13:26 »
Podrias intentarlo desde un Live CD de linux!
Yo lo he hecho este mismo finde y la verdad es que ya no tengo problemas con un ordenador que tenía un virus.

Y eso que yo lo hice en plan cutre, ya que, puse un Live cd de Ubuntu, me descargué un antivirus (Klam AV), luego, escaneé mi disco duro completo y eliminé las amenzas que encontro. No sé parece que funciona, pero, si tu sabes concretamente la carpeta dónde esta el problema podria intentar directamente borrarlo y supongo que problema solucionado.

Saludos y suerte.
En línea
Erik#


Desconectado Desconectado

Mensajes: 1.138


Pertenezco a Reach


Ver Perfil
Re: He detectado el Worm
« Respuesta #2 en: 12 Diciembre 2010, 13:35 »
Pero si lo borro se borraria el svchost y el explorer, además aunque ponga en visualizar carpeta oculta, el worm sigue sin poder mostrarmela.
En línea
Randomize
Colaborador
***
Desconectado Desconectado

Mensajes: 15.900


randomize@hotmail.es


Ver Perfil
Re: He detectado el Worm
« Respuesta #3 en: 12 Diciembre 2010, 18:57 »
Con la live CD de ubuntu podrás verla.

Pero vé más allá ya que hay gusanos que se meten con el registro de windows...

¿Hasta donde?


Eso depende de tí, yo solo te muestro la puerta  ::)
En línea
Arcano.


Desconectado Desconectado

Mensajes: 468



Ver Perfil
Re: He detectado el Worm
« Respuesta #4 en: 13 Diciembre 2010, 22:42 »
Buenas!

Citar
un archivo llamado jwgkvsq.vmx

Estás infectado por Conficker

Deberás descargarte la correspondiente actualización que parchea la vulnerabilidad por donde accede este gusano. Puede que, como comentas, no puedas acceder a la web de microsoft, te la he colgado en mediafire:

http://www.mediafire.com/?pfuej4l6rmknxul

De igual modo, casi seguro que tienes el dispositivo extraíble -si utilizas- también infectado. Y de ahí habrá pasado a tu PC.

Para evitar futuras infecciones, puedes mirarte este post: http://foro.elhacker.net/seguridad/como_proteger_nuestros_usb_de_infecciones_con_autoruninf_y_nuestro_equipo-t254856.0.html;msg1236208


Centrándonos en tu ordenador...

Una vez descargada la actualización, instalala y teclea en 'EJECUTAR': mrt. Si no te lanza ninguna aplicación. Descarga esto he instálalo.

Luego, para ver de nuevo los ocultos, deberás (1) Copiar el siguiente texto mediante el notepad. (2) Guardarlo con extensión .reg donde más te guste. (3) Ejecutarlo. (4) Borrar el archivo .reg si no quieres conservarlo

Citar
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\FriendlyTree]
"CheckedValue"=dword:00000001
"UncheckedValue"=dword:00000000
"DefaultValue"=dword:00000001

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\NOHIDDEN]
"CheckedValue"=dword:00000002
"ValueName"="Hidden"
"DefaultValue"=dword:00000002

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
"CheckedValue"=dword:00000001
"ValueName"="Hidden"
"DefaultValue"=dword:00000002

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden]
"ValueName"="ShowSuperHidden"
"CheckedValue"=dword:00000000
"UncheckedValue"=dword:00000001
"DefaultValue"=dword:00000000

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy\DontShowSuperHidden]
@=""
 

Más información: http://www.zonavirus.com/noticias/2010/conficker-cumple-dos-anos-y-sigue-nueva-herramienta-de-deteccion-en-red-y-resumen-proceso-de-eliminacion.asp

Podrías hacerlo de la siguiente forma:

(1) Descargas el parche.
(2) Descargas MRT -si no lo tienes en el sistema-.
(3) Inicias en modo seguro mediante F8. Mejor SIN conexiones de red.
(4) Ejecutas MRT.
(5) instalas el parche.
(6) Ejecutas el 'reg' indicado.


(0) Supongo que tendrás antivirus y... No iría mal que, después de eliminado, actualices el sistema al 100%.

Por si no tienes... Para gustos los colores: Avast Free, Avira Free, Panda Cloud, Microsoft essentials, AVG Free...

Ya nos contarás.

Saludos.

PD: Busca también por el foro... Encontrarás más datos.

http://www.google.es/search?q=conficker+site%3Aforo.elhacker.net&ie=utf-8&oe=utf-8&aq=t&rls=org.mozilla:es-ES:official&client=firefox-a
« Última modificación: 14 Diciembre 2010, 11:37 por Arcano. » En línea
La curiosidad es la antesala al conocimiento...
Erik#


Desconectado Desconectado

Mensajes: 1.138


Pertenezco a Reach


Ver Perfil
Re: He detectado el Worm
« Respuesta #5 en: 24 Enero 2011, 18:38 »
Gracias, hacía tiempo que no me conectaba, estoy instalando todo lo que me has dicho, ahora comentare que tal ha ido.
En línea
Erik#


Desconectado Desconectado

Mensajes: 1.138


Pertenezco a Reach


Ver Perfil
Re: He detectado el Worm
« Respuesta #6 en: 3 Febrero 2011, 19:14 »
Ya esta, se me ha arreglado completamente, muchísimas gracias.
En línea
Páginas: [1] Ir Arriba Respuesta Imprimir 

Ir a:  

Mensajes similares
Asunto Iniciado por Respuestas Vistas Último mensaje
un worm ¿?
Dudas Generales 		eSKIzoFR3nkS 4 454 Último mensaje 3 Marzo 2005, 11:52
por AARKANTOS
no ser detectado.
Ingeniería Inversa 		clipto 3 1,001 Último mensaje 25 Febrero 2008, 16:33
por CL1O
EOF.Bat.Worm
Scripting 		y0u uNSeCure 0 464 Último mensaje 8 Agosto 2008, 15:58
por y0u uNSeCure
Worm
Seguridad 		l3lack_CoDe 3 579 Último mensaje 4 Enero 2009, 06:31
por rockernault
Worm « 1 2 »
Seguridad 		s3tH 24 3,018 Último mensaje 16 Septiembre 2009, 02:05
por Novlucker
Powered by SMF 1.1.16 | SMF © 2006-2008, Simple Machines