elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.


 


Tema destacado:


+  Foro de elhacker.net
|-+  Seguridad Informática
| |-+  Seguridad (Moderadores: skapunky, r32)
| | |-+  RECYCLER... su verdadero fin
0 Usuarios y 1 Visitante están viendo este tema.
Páginas: 1 [2] Ir Abajo Respuesta Imprimir
Autor Tema: RECYCLER... su verdadero fin  (Leído 22,906 veces)
Novlucker
Ninja y
Moderador Global
***
Desconectado Desconectado

Mensajes: 10.684


Yo que tu lo pienso dos veces


Ver Perfil
Re: RECYCLER... su verdadero fin
« Respuesta #14 en: 22 Octubre 2008, 20:11 »

Que es lo que se cambia en el registro para evitar el autorun.inf? Recuerdo haber visto algo por aquí pero no recuerdo xD
Puedes hacerlo desde el editor de directivas de grupo.
Inicio > Ejecutar > gpedit.msc
Configuración del equipo > Plantillas administrativas > Sistema > Desactivar reproducción automática, ahí debes de habilitarla y te dará la opción de que unidades deshabilitar  ;)

Saludos


En línea

Contribuye con la limpieza del foro, reporta los "casos perdidos" a un MOD XD
http://twitter.com/novlucker

"Hay dos cosas infinitas: el Universo y la estupidez  humana. Y de la primera no estoy muy seguro."
Albert Einstein

| Sota |

Desconectado Desconectado

Mensajes: 270


No existe gran talento sin gran voluntad-Honoré B.


Ver Perfil
Re: RECYCLER... su verdadero fin
« Respuesta #15 en: 22 Octubre 2008, 20:47 »

Ese virus lo que hace es hacerte creer de que no tienes nada..
Se agrega aca :

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{08B0E5C0-4FCB-11CF-AAX5-90401C608512}
StubPath = “C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1019\ise.exe”

por lo general siempre varia el numero de la carpeta que esta dentro de la del recycler..

ise.exe esta dentro de la carpeta de la recycler junto a un desktop.ini

Se prepoga por USB, Yo antes lo tenia pero averigue como eliminarlo y ya.!
Este es el autorun que copia en los pendrive, asi que si ven la opcion "OPEN" al hacer click derecho a su Pendrive, no la ejecuten; si sus pendrives estan infectados y no quieren infectar otras pc o las suyas, EXPLOREN la unidad no la ejecuten :

Código:
[autorun]
open=RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1019\ise.exe
icon=%SystemRoot%\system32\SHELL32.dll,4
action=Open folder to view files
shell\open=Open
shell\open\command=RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1019\ise.exe
shell\open\default=1

PD: La carpeta recycler es del sistema en realidad.


« Última modificación: 22 Octubre 2008, 20:54 por Bakura182 » En línea

jdc


Desconectado Desconectado

Mensajes: 3.420


janito dos cuatro...


Ver Perfil WWW
Re: RECYCLER... su verdadero fin
« Respuesta #16 en: 22 Octubre 2008, 21:02 »

Que es lo que se cambia en el registro para evitar el autorun.inf? Recuerdo haber visto algo por aquí pero no recuerdo xD
Puedes hacerlo desde el editor de directivas de grupo.
Inicio > Ejecutar > gpedit.msc
Configuración del equipo > Plantillas administrativas > Sistema > Desactivar reproducción automática, ahí debes de habilitarla y te dará la opción de que unidades deshabilitar  ;)

Saludos



Muchas gracias ;)
En línea

apuromafo


Desconectado Desconectado

Mensajes: 1.086


Ver Perfil WWW
Re: RECYCLER... su verdadero fin
« Respuesta #17 en: 31 Octubre 2008, 22:58 »

Que es lo que se cambia en el registro para evitar el autorun.inf? Recuerdo haber visto algo por aquí pero no recuerdo xD
Puedes hacerlo desde el editor de directivas de grupo.
Inicio > Ejecutar > gpedit.msc
Configuración del equipo > Plantillas administrativas > Sistema > Desactivar reproducción automática, ahí debes de habilitarla y te dará la opción de que unidades deshabilitar  ;)

Saludos

Muchas gracias ;)

esa opcion desabilita que se autoejecute, pero no dice que no tome en cuenta el archivo autorun.inf

me explico..coloco el cd con el troyano, no se abrira..
pero basta el doble click y te infectaste , eso pasa en el troyano recicled

yo les sugiero que realmente hagan caso lo que dice aqui
http://foro.elhacker.net/seguridad/eliminar_spywares_adwares_hijackers_malware_virus_y_rootkits-t95234.0.html

Cómo evitar los virus y gusanos que llegan vía USB

Desactivar AutoRun (autoejecución) (No ejecutar automáticamente)

NoDriveTypeAutoRun (AutoPlay) no es suficiente.

Crear fichero noautorun.reg:


Código:
REGEDIT4
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\Autorun.inf]
@="@SYS:DoesNotExist"

y luego sacar el pendrive, y colocarlo vaciar la papelera
cerrar explorer.exe (alt+control +suprimir)
ejecutar explorer (win+r) ejecutar explorer.exe..
eliminar la ruta de recicled (no es tan dificil) y su contenido..con la credencial ..
y eliminar luego de las carpetas delos pendrives..
y 0 drama..


he matado todas las variantes de el recicled asi mismo como les cuento a modo de introduccion que no solamente es 1 variante sino mas de 4
http://apuromafo.wordpress.com/2008/07/07/un-troyano-repetitivo/

pd: en otros foros hay scripts y herramientas en concreto que eliminan el troyano ayudando a facilitar a eliminar este, saludos

saludos Apuromafo

pd:creeme que creo que esto sera repetitivo..
http://foro.elhacker.net/seguridad/recyclerrecyclerautorunexe-t166672.0.html
En línea

Apuromafo
softdates

Desconectado Desconectado

Mensajes: 105



Ver Perfil
Re: RECYCLER... su verdadero fin
« Respuesta #18 en: 3 Noviembre 2008, 21:40 »

Estimados

Este maldito virus lo he eliminado creo ya unas veces de mi maquina he formateado el disco, e incluso el pen drive,siempre lo reviso por consola para ver si tiene atributos ocultos, los elimino, asi :

F:\rd /s /q F:\ la ruta de la carpeta.

en el caso de que vea algo raro en mi disco C:

primero desactivo el explorador con el taskkill /f /im explorer.exe

y lo borro como mencione anteriormente.

con otros me ha resultado, pero no pasan ni 5 minutos que lo borro vuelvo a revizar mi disco C y aparece el maldito recycler, creo que ya es hora de realizar un aplicacion que mate las variantes del mismo, porque hasta ahora no hay anitvirus que lo encuentre.
En línea

apuromafo


Desconectado Desconectado

Mensajes: 1.086


Ver Perfil WWW
Re: RECYCLER... su verdadero fin
« Respuesta #19 en: 4 Noviembre 2008, 20:12 »

eso pasa porque la consola, el command y el default hace que ejecutes el autorun..

lo de regedit es para que el comando no se ejecute por nada del mundo..

en otras palabras evita la re -infeccion

ahora bien, cuando aparece denuevo es porque esta en uso, la inyeccion por defecto son en 2 en msn y en el explorer, por eso hay que cerrar explorer y luego eliminar por consola..

saludos y recuerda , que basta que en la consola abras denuevo el directorio C: y re re-infectes, porque el autorun estaria habilitado

haz caso en lo que escribia
Código:
REGEDIT4
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\Autorun.inf]
@="@SYS:DoesNotExist"
tomando ese codigo, basta solamente apagar el pc, reiniciarlo, borrar las ramas donde estaba el programa y eliminar los autoruns como si nada, y las ramas alteradas, es otro paso..con tool si fuese necesario..

pero de por hecho esta ..la informacion en google
http://apuromafo.wordpress.com/2008/07/07/un-troyano-repetitivo/
por lo demas de aplicaciones existen

el hecho mas importante de todo , es no re-infectarse y de por hecho borrar si o si el directorio donde esta..

ya he borrado esto, con variantes y todo y creeme que es posible sacarlo, asi que haz caso ,

desactiva el autorun, ejecuta programas para eliminar en donde esta el troyano y olvidate que aparezca denuevo..

los programas anexos, seria un malware antimalware , un hijackthis de trends micro, y el a-squared (hijackthis), una herramienta para revisar las politicas alteradas.. y por hecho, detener servicios sospechosos..y eliminar los respectivos procesos malignos xD

siguiendo con el tema

http://www.mygeekside.com/downloads/2008/06/MataRecycler.zip

como mygeekside no se ve bien ..creo que no pago el sitio..
Código:
Nota 17/06/08 : El matavirus Recycler lo he probado en 25 máquinas infectadas y en todas ha limpiado la infección, en algunos casos la carpeta Recycler no se ha eliminado, pero esto no significa que el equipo siga infectado. El mataRecycler limpia la infección. Si deseas puedes borrar manualmente ya las carpetas Recycler de C y tus memorias USB.

Pasemos a la revisión que hice y al análisis del dichoso virus RECYCLER, lamento no poner imágenes del análisis que hice en este momento.Este virus tiene las siguientes características:

   1. Se propaga por medio de unidades de almacenamiento USB e infecta las computadoras creando una carpeta Recycler y dentro de ella otra carpeta con nombre S-1-5-21-1482476501-1644491937-682003330-1013
      y dentro de esta carpeta crea un archivo Desktop.ini el cual contiene una línea:
      [.ShellClassInfo]
      CLSID={645FF040-5081-101B-9F08-00AA002F954E}
      que hace referencia a la carpeta de la Papelera de Reciclaje, de modo que cuando el usuario intenta ver que hay en el contenido de esa carpeta siempre se abre la Papelera de Reciclaje ocultando de este modo los verdaderos archivos del virus que son: ise.exe, isee.exe. Esta es una forma muy interesante de ocultarse pues tiende a hacer creer que estamos “limpios”.
   2. Una vez ejecutado el virus, se conecta a internet a la siguiente página: www.tassweq.com cuyo ip es 209.11.245.18. Por los paquetes en la transmisión me parece que fuera un servidor tipo servidor IRC al cual se conecta con un nombre de usuario al azar y con un password: trb123trb. Esto le permitía al atacante poder tomar el control de la computadora y envíar comandos diversos a la PC, es por eso que muchas de las víctima de este virus tienen problemas relacionados con cortes de internet, cuelgues inesperados, cerrado de ventanas, etc.

   3. Su forma de autoejecutarse a cada inicio de Windows también. Si lo buscas en el MSCONFIG no lo encontrarás, lo que hace para autojecutarse es crear una entra en el registro en la siguiente ruta:
      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{08B0E5C0-4FCB-11CF-AAX5-90401C608512}
      StubPath = “C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\ise.exe”
   4. Crea un archivo autorun en todas la unidades ya sean físicas o removibles con el siguiente contenido:
      [autorun]
      open=RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\ise.exe
      icon=%SystemRoot%\system32\SHELL32.dll,4
      action=Open folder to view files
      shell\open=Open
      shell\open\command=RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\ise.exe
      shell\open\default=1
   5. Para evitar su detección por medio del administrador de tareas y anulación de su procesos, inyecta su proceso al explorer.exe.

Eliminación manual:

Señores, como le comenté estoy aprovechando un tiempo aqui en mi trabajo y lo escribo de a pocos puesto que no creo que a mi jefe le guste ver que no estoy haciendo lo que me encomendó. Así que por el momento les doy la solución manual para deshacernos de este bicho. Más tarde haré un script que automatice este proceso. Espero comprendan. Aquí van los pasos:

   1. Abrir una consola de comandos (cmd.exe)
   2. Finalizar el proceso del explorador (explorer.exe):
      taskkill /f /im explorer.exe
   3. Tipear:
      cd \Recycler
   4. Quitar los atributos de la carpeta \S-1-5-21-1482476501-1644491937-682003330-1013\ con el comando:
      attrib -h -r -s S-1-5-21-1482476501-1644491937-682003330-1013
   5. Renombrar la carpeta, una forma bien simple de arruinarle los planes a este virus:
      ren S-1-5-21-1482476501-1644491937-682003330-1013 aaaaaa
   6. Abrir el explorador de windows tipeando en la consola:
      explorer.exe.
   7. Ir a la carpeta Recycler y veremos nuestra carpeta llamada aaaaaa . Accedemos a la carpeta y veremos el contenido: ise.exe, isee.exe y desktop.ini. Procedemos a eliminar esos archivos y limpiamos la ruta del registro mencionada arriba.

Señores, sé que muchos no están familiarizados con la consola de comandos, y es por eso que más tarde cuando regrese de la Universidad haré un script que automatice el proceso.

Escribo este post de manera rápida para que los que me pidieron ayuda sobre este tema sepan que tomé en cuenta sus peticiones, tal vez no tan rápido pero siempre trato de ayudarlos a todos. :D

Bueno, debo salir a almorzar a casita.

Saludos,

http://www.taringa.net/posts/1547797


en concreto son esto
formato bat
Código:
@echo off

reg delete "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{08B0E5C0-4FCB-11CF-AAX5-81C01C608512}" /v StubPath /f
reg delete "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{28ABC5C0-4FCB-11CF-AAX5-81CX1C635612}" /v StubPath /f
reg delete "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{08B0E5C0-4FCB-11CF-AAX5-90401C608512}" /v StubPath /f
reg delete "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{28ABC5C0-4FCB-11CF-AAX5-90401C608512}" /v StubPath /f

y ademas esto formato .vbs
Código:
on Error Resume Next

Dim objShell, objFileSystem, objTextStream, objRegex
Dim colRegexMatches1, colRegexMatches2
Dim nReturnCode
Dim strIpFileText
Dim element, i
Dim elemento0, elemento1, elemento2
regStringEr="HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{08B0E5C0-4FCB-11CF-AAX5-81C01C608512}"
regStringEr2="HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{28ABC5C0-4FCB-11CF-AAX5-81CX1C635612}"
regStringEr3="HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{08B0E5C0-4FCB-11CF-AAX5-90401C608512}"
regStringEr4="HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{28ABC5C0-4FCB-11CF-AAX5-90401C608512}"


Set geekside=WScript.CreateObject("WScript.Shell")
Set objShell = WScript.CreateObject("WScript.Shell")
Set objFileSystem = CreateObject("Scripting.FileSystemObject")

Set objFSO = CreateObject("Scripting.FileSystemObject")
Set colDrives = objFSO.Drives


Wscript.Echo "Software provisto por MyGeekSide.com para la eliminación del software malicioso Recycler. El proceso de búsqueda y eliminación puede tardar algunos segundos. Sea paciente por favor.Tenga en cuenta que el sistema también usa carpetas llamadas Recycler así que si Ud. encuentra alguna carpeta Recycler no significa que necesariamente este infectado. Este software determinará si su equipo está infectado por el virus y lo eliminará"
Wscript.Echo "Puede que después de la desinfección aún quede la carpeta Recycler en su PC, pero no se preocupe, el virus ya quedó desactivado y eliminado, puede usted borrar manualmente esa carpeta si lo desea"


nret78=geekside.Run("cmd /C taskkill /f /im explorer.exe",0,TRUE)

'********************** Inicio Sección 1************************************************
' Accedemos a la carpeta Recycler si es que existiera, hacemos un listado y lo
' guardamos en el archivo C:\ches.txt

nret=geekside.Run("cmd /C cd c:\Recycler & dir /as > C:\ches.txt",0,TRUE)



' Abrimos el archivo que creamos, lo leemos y extraemos todas las cadenas que empiecen
' con S-*.

Set objTextStream = objFileSystem.OpenTextFile("C:\ches.txt",1)
strIpFileText = objTextStream.ReadAll
objTextStream.Close

Set objRegex = new RegExp

objRegex.Pattern = "S-.*"
objRegex.Global = True
objRegex.IgnoreCase = True
Set Carpetas_Recycler = objRegex.Execute(strIpFileText)

' Imprimimos en pantalla la cantidad de carpetas dentro de Recycler encontradas
i=0
For Each carpetarecycler In Carpetas_Recycler
i=i+1
' tmp=tmp&element&"."
Next


'Wscript.echo tmp

WScript.Echo "Se han encontrado "&i&" carpetas Recycler en la Unidad C:"

'********************Fin sección 1****************************************************




'*********************Inicio Sección 2************************************************

' Debo recalcar lo siguiente. En las carpetas dentro de Recycler que usa el sistema,
' se guardan los archivos que se han mandado a la papelera de reciclaje. Estos archivos
' cuando se los lista con el comando DIR desde la línea de comandos, yestos archivos se
' listan con la siguiente estructura:
'
'      Dc[numero_de_orden_de_eliminación].extensión_original
'      osea por ejemplo:
'      Dc1.rar
'      Dc2.exe
'      Dc3.txt etc
'
' Conociendo esto podemos deducir que las carpetas que contengan estos tipos de archivos
' serán del sistema, y si dentro de estas carpetas uno de los archivos no tiene esta
' estructura, entonces lo ponemos dentro de la lista de sospechosos. Digo lista de sospechosos
' pues puede que que al creador del virus se le ocurra poner nombres similares a estos en las
' carpetas falsas dentro de Recycler, para evitar falsos positivos, también vamos a comparar
' la ruta de inicio del virus en el registro con la ruta del ejecutable dentro de la carpeta
' sospechosa. Jamás el sistema operativo va a iniciar un ejecutable desde una carpeta de la
' Papelera de recyclaje. :D


Dim carpetaInfectada

For Each carpetarecycler In Carpetas_Recycler
flag=0
nret=geekside.Run("cmd /C cd C:\Recycler & cd " & carpetarecycler & " & dir > c:\chesx.txt",0,TRUE)

Set objTextStream = objFileSystem.OpenTextFile("C:\chesx.txt",1)
strIpFileText = objTextStream.ReadAll
objTextStream.Close

Set objRegex = new RegExp

objRegex.Pattern = "C:.*"
objRegex.Global = True
objRegex.IgnoreCase = True
Set RutaSospechosa = objRegex.Execute(strIpFileText)


Set objTextStream = objFileSystem.OpenTextFile("C:\chesx.txt",1)
strIpFileText = objTextStream.ReadAll
objTextStream.Close

Set objRegex = new RegExp

objRegex.Pattern = "(Dc.*)|(ise.*)"
objRegex.Global = True
objRegex.IgnoreCase = True
Set ArchivoSospechoso = objRegex.Execute(strIpFileText)


For Each archivo In ArchivoSospechoso
nret1=geekside.Run("cmd /C reg query "& chr(34)+regStringEr+chr(34) &" /s > c:\regx.txt",0,TRUE)
Set objTextStream = objFileSystem.OpenTextFile("C:\regx.txt",1)
strIpFileText = objTextStream.ReadAll
objTextStream.Close

Set objRegex = new RegExp

objRegex.Pattern = "C:.*"
objRegex.Global = True
objRegex.IgnoreCase = True
Set Ruta_Registro_sospechosa = objRegex.Execute(strIpFileText)

For Each rutarara In Ruta_Registro_sospechosa
For Each rara2 In RutaSospechosa
temp=rara2&"\"&archivo
temp=Replace(temp, chr(13),"")
rutarara=replace(rutarara,char(13),"")
rutarara=replace(rutarara,"c","C")
nret1=geekside.Run("cmd /C echo "&rutarara&"> C:\ptm0.txt",0,TRUE)
nret1=geekside.Run("cmd /C echo "&temp&"> C:\ptm1.txt",0,TRUE)

Set objTextStream = objFileSystem.OpenTextFile("c:\ptm0.txt",1)
strIpFileText = objTextStream.ReadAll
objTextStream.Close

Set objRegex = new RegExp

objRegex.Pattern = "C:.*"
objRegex.Global = True
objRegex.IgnoreCase = True
Set Ruta_Registro_sospechosa1 = objRegex.Execute(strIpFileText)


Set objTextStream = objFileSystem.OpenTextFile("c:\ptm1.txt",1)
strIpFileText = objTextStream.ReadAll
objTextStream.Close

Set objRegex = new RegExp

objRegex.Pattern = "C:.*"
objRegex.Global = True
objRegex.IgnoreCase = True
Set Ruta_Registro_sospechosa2 = objRegex.Execute(strIpFileText)

for each ptm in Ruta_Registro_sospechosa1
for each ptm1 in Ruta_Registro_sospechosa2
If ptm=ptm1 then
flag=1
rutavirus=ptm1
rutavirica=rutarara
End if
next
next
Next
Next

Next
If flag=1 Then
Wscript.echo "La carpeta "&carpetarecycler&"está infectada"
wscript.echo "La ruta del archivo virus es: "&rutavirus
wscript.echo "La ruta del archivo virus en el registro es: "&rutavirica
carpetaInfectada=carpetarecycler
End If
Next




For Each carpetarecycler In Carpetas_Recycler
flag1=0
nret=geekside.Run("cmd /C cd C:\Recycler & cd " & carpetarecycler & " & dir > c:\chesx.txt",0,TRUE)

Set objTextStream = objFileSystem.OpenTextFile("C:\chesx.txt",1)
strIpFileText = objTextStream.ReadAll
objTextStream.Close

Set objRegex = new RegExp

objRegex.Pattern = "C:.*"
objRegex.Global = True
objRegex.IgnoreCase = True
Set RutaSospechosa = objRegex.Execute(strIpFileText)


Set objTextStream = objFileSystem.OpenTextFile("C:\chesx.txt",1)
strIpFileText = objTextStream.ReadAll
objTextStream.Close

Set objRegex = new RegExp

objRegex.Pattern = "(Dc.*)|(ise.*)"
objRegex.Global = True
objRegex.IgnoreCase = True
Set ArchivoSospechoso = objRegex.Execute(strIpFileText)


For Each archivo In ArchivoSospechoso
nret1=geekside.Run("cmd /C reg query "& chr(34)+regStringEr2+chr(34) &" /s > c:\regx.txt",0,TRUE)
Set objTextStream = objFileSystem.OpenTextFile("C:\regx.txt",1)
strIpFileText = objTextStream.ReadAll
objTextStream.Close

Set objRegex = new RegExp

objRegex.Pattern = "C:.*"
objRegex.Global = True
objRegex.IgnoreCase = True
Set Ruta_Registro_sospechosa = objRegex.Execute(strIpFileText)

For Each rutarara In Ruta_Registro_sospechosa
For Each rara2 In RutaSospechosa
temp=rara2&"\"&archivo
temp=Replace(temp, chr(13),"")
rutarara=replace(rutarara,char(13),"")
rutarara=replace(rutarara,"c","C")
nret1=geekside.Run("cmd /C echo "&rutarara&"> c:\ptm0.txt",0,TRUE)
nret1=geekside.Run("cmd /C echo "&temp&"> c:\ptm1.txt",0,TRUE)
'Wscript.echo rutarara&temp

Set objTextStream = objFileSystem.OpenTextFile("c:\ptm0.txt",1)
strIpFileText = objTextStream.ReadAll
objTextStream.Close

Set objRegex = new RegExp

objRegex.Pattern = "C:.*"
objRegex.Global = True
objRegex.IgnoreCase = True
Set Ruta_Registro_sospechosa1 = objRegex.Execute(strIpFileText)


Set objTextStream = objFileSystem.OpenTextFile("c:\ptm1.txt",1)
strIpFileText = objTextStream.ReadAll
objTextStream.Close

Set objRegex = new RegExp

objRegex.Pattern = "C:.*"
objRegex.Global = True
objRegex.IgnoreCase = True
Set Ruta_Registro_sospechosa2 = objRegex.Execute(strIpFileText)

for each ptm in Ruta_Registro_sospechosa1
for each ptm1 in Ruta_Registro_sospechosa2
If ptm=ptm1 then
flag1=1
rutavirus=ptm1
rutavirica=rutarara
End if
next
next
Next
Next

Next
If flag1=1 Then
Wscript.echo "La carpeta "&carpetarecycler&"está infectada"
wscript.echo "La ruta del archivo virus es: "&rutavirus
wscript.echo "La ruta del archivo virus en el registro es: "&rutavirica
carpetaInfectada=carpetarecycler
End If
Next



For Each carpetarecycler In Carpetas_Recycler
flag2=0
nret=geekside.Run("cmd /C cd C:\Recycler & cd " & carpetarecycler & " & dir > c:\chesx.txt",0,TRUE)

Set objTextStream = objFileSystem.OpenTextFile("C:\chesx.txt",1)
strIpFileText = objTextStream.ReadAll
objTextStream.Close

Set objRegex = new RegExp

objRegex.Pattern = "C:.*"
objRegex.Global = True
objRegex.IgnoreCase = True
Set RutaSospechosa = objRegex.Execute(strIpFileText)


Set objTextStream = objFileSystem.OpenTextFile("C:\chesx.txt",1)
strIpFileText = objTextStream.ReadAll
objTextStream.Close

Set objRegex = new RegExp

objRegex.Pattern = "(Dc.*)|(ise.*)"
objRegex.Global = True
objRegex.IgnoreCase = True
Set ArchivoSospechoso = objRegex.Execute(strIpFileText)


For Each archivo In ArchivoSospechoso
nret1=geekside.Run("cmd /C reg query "& chr(34)+regStringEr3+chr(34) &" /s > c:\regx.txt",0,TRUE)
Set objTextStream = objFileSystem.OpenTextFile("C:\regx.txt",1)
strIpFileText = objTextStream.ReadAll
objTextStream.Close

Set objRegex = new RegExp

objRegex.Pattern = "C:.*"
objRegex.Global = True
objRegex.IgnoreCase = True
Set Ruta_Registro_sospechosa = objRegex.Execute(strIpFileText)

For Each rutarara In Ruta_Registro_sospechosa
For Each rara2 In RutaSospechosa
temp=rara2&"\"&archivo
temp=Replace(temp, chr(13),"")
rutarara=replace(rutarara,char(13),"")
rutarara=replace(rutarara,"c","C")
nret1=geekside.Run("cmd /C echo "&rutarara&"> c:\ptm0.txt",0,TRUE)
nret1=geekside.Run("cmd /C echo "&temp&"> c:\ptm1.txt",0,TRUE)

Set objTextStream = objFileSystem.OpenTextFile("c:\ptm0.txt",1)
strIpFileText = objTextStream.ReadAll
objTextStream.Close

Set objRegex = new RegExp

objRegex.Pattern = "C:.*"
objRegex.Global = True
objRegex.IgnoreCase = True
Set Ruta_Registro_sospechosa1 = objRegex.Execute(strIpFileText)


Set objTextStream = objFileSystem.OpenTextFile("c:\ptm1.txt",1)
strIpFileText = objTextStream.ReadAll
objTextStream.Close

Set objRegex = new RegExp

objRegex.Pattern = "C:.*"
objRegex.Global = True
objRegex.IgnoreCase = True
Set Ruta_Registro_sospechosa2 = objRegex.Execute(strIpFileText)

for each ptm in Ruta_Registro_sospechosa1
for each ptm1 in Ruta_Registro_sospechosa2
If ptm=ptm1 then
flag2=1
rutavirus=ptm1
rutavirica=rutarara
End if
next
next
Next
Next

Next
If flag2=1 Then
Wscript.echo "La carpeta "&carpetarecycler&"está infectada"
wscript.echo "La ruta del archivo virus es: "&rutavirus
wscript.echo "La ruta del archivo virus en el registro es: "&rutavirica
carpetaInfectada=carpetarecycler
End If
Next


if (flag=0 AND flag1=0 AND flag2=0) Then
Wscript.echo "Su computadora no está infectada por el virus Recycler"
nret=geekside.Run("cmd /C start explorer.exe",0,TRUE)
WScript.Echo "www.mygeekside.com"

else

i=0
For Each objDrive in colDrives
If objDrive.IsReady = True Then
nret=geekside.Run("cmd /C attrib -s -h -r "&objDrive.DriveLetter&":\autorun.inf",0,TRUE)
Set objTextStreamX = objFileSystem.OpenTextFile(objDrive.DriveLetter&":\autorun.inf",1)
strIpFileTextX = objTextStreamX.ReadAll
objTextStreamX.Close
End If
Next

Set objRegexX = new RegExp

objRegexX.Pattern = "RECYCLER.*"
objRegexX.Global = True
objRegexX.IgnoreCase = True
Set colRegexMatchesX = objRegexX.Execute(strIpFileTextX)


i=0
For Each element In colRegexMatchesX
element = Replace(element,"=","")
WScript.Echo element
For Each objDrive in colDrives
If objDrive.IsReady = True Then
Wscript.Echo "Limpiar unidad: " & objDrive.DriveLetter
nret=geekside.Run("cmd /C attrib -s -h -r " &objDrive.DriveLetter&":\" & element &"",0,TRUE)
nret=geekside.Run("cmd /C cd \ & del "&objDrive.DriveLetter&":\" & element & "/f /q /a",0,TRUE)
nret=geekside.Run("cmd /C attrib -s -h -r " &objDrive.DriveLetter&":\RECYCLER\" & carpetaInfectada &"",0,TRUE)
nret=geekside.Run("cmd /C attrib -s -h -r " &objDrive.DriveLetter&":\RECYCLER\" & carpetaInfectada &"\*.*",0,TRUE)
nret=geekside.Run("cmd /C cd \ & del "&objDrive.DriveLetter&":\autorun.inf",0,TRUE)

End If
Next
i = i + 1
Next


Set objRegex= Nothing
Set objTextStream = Nothing
Set objFileSystem = Nothing
Set objShell = Nothing


nret31=geekside.Run("cmd /C reg delete HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\ /v amva /f",0,TRUE)
nret32=geekside.Run("cmd /C reg delete HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\ /v avpo /f",0,TRUE)

nret68=geekside.Run("cmd /C reg delete HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\ /v avpa /f",0,TRUE)

nret68=geekside.Run("cmd /C reg delete HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\ /v kava /f",0,TRUE)


WScript.Echo "Se procederá a resturar el registro de sistema para poder ver los archivos Ocultos"

nret33=geekside.Run("cmd /C reg add HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\ /v Hidden /t REG_DWORD /d 1 /f",0,TRUE)
nret43=geekside.Run("cmd /C reg add HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\ /v SuperHidden /t REG_DWORD /d 1 /f",0,TRUE)
nret44=geekside.Run("cmd /C reg add HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\ /v ShowSuperHidden /t REG_DWORD /d 1 /f",0,TRUE)


nret45=geekside.Run("cmd /C reg add HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\ /v Hidden /t REG_DWORD /d 1 /f",0,TRUE)
nret46=geekside.Run("cmd /C reg add HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\ /v SuperHidden /t REG_DWORD /d 1 /f",0,TRUE)
nret47=geekside.Run("cmd /C reg add HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\ /v ShowSuperHidden /t REG_DWORD /d 1 /f",0,TRUE)


nret34=geekside.Run("cmd /C reg add HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\NOHIDDEN\ /v CheckedValue /t REG_DWORD /d 2 /f",0,TRUE)
nret35=geekside.Run("cmd /C reg add HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\NOHIDDEN\ /v DefaultValue /t REG_DWORD /d 2 /f",0,TRUE)


nret36=geekside.Run("cmd /C reg delete HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\ /v CheckedValue /f",0,TRUE)
nret37=geekside.Run("cmd /C reg add HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\ /v CheckedValue /t REG_DWORD /d 1 /f",0,TRUE)
nret38=geekside.Run("cmd /C reg add HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\ /v DefaultValue /t REG_DWORD /d 2 /f",0,TRUE)


nret39=geekside.Run("cmd /C reg add HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\ /v CheckedValue /t REG_DWORD /d 0 /f",0,TRUE)
nret40=geekside.Run("cmd /C reg add HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\ /v DefaultValue /t REG_DWORD /d 0 /f",0,TRUE)

nret48=geekside.Run("cmd /C reg add HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\ /v Type /t REG_SZ /d Group /f",0,TRUE)



nret61=geekside.Run("cmd /C reg add HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\ /v NoFolderOptions /t REG_DWORD /d 0 /f",0,TRUE)
nret62=geekside.Run("cmd /C reg add HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\ /v NoFolderOptions /t REG_DWORD /d 0 /f",0,TRUE)
nret63=geekside.Run("cmd /C reg add HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\ /v DisableRegistryTools /t REG_DWORD /d 0 /f",0,TRUE)


nret79=geekside.Run("cmd /C bat.bat",0,TRUE)

nret79=geekside.Run("cmd /C start explorer.exe",0,TRUE)

WScript.Echo "Felicidades! Su PC está desinfectada del virus Recycler"
WScript.Echo "www.mygeekside.com"


End If


'wscript.echo flag
'wscript.echo flag1
'wscript.echo flag2

Wscript.echo "Si deseas, ahora puedes borrar la carpeta Recycler de su PC. "

WScript. Quit(0)




 


En línea

Apuromafo
softdates

Desconectado Desconectado

Mensajes: 105



Ver Perfil
Re: RECYCLER... su verdadero fin
« Respuesta #20 en: 7 Noviembre 2008, 00:08 »

apuromafo

Gracias man por la info y si ya hice todo al pie de la letra pero sigue saliendo la carpeta recycler tanto en el C Como en el D: y al final de la carpeta ,:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1003 segun tengo entendido para que sea virus tiene que ser 13. ademas no tiene ningun ejecutable en modo oculto.

Revise las llaves del registro tal como me indicas
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{08B0E5C0-4FCB-11CF-AAX5-90401C608512}

pero ese valor no me aparece incluso entrando a modo prueba de fallos.

Tengo deshabilitado el autorun y ejecute el reg que me pasaste tengo el hijackthis, actulizado, tengo nod32, addware 2008, e igual me sigue saliendo la maldita carpeta pero no se contamina mi pen ni cosa por el estilo ya lo he comprobado que puede ser?

SAludos
« Última modificación: 7 Noviembre 2008, 00:16 por softdates » En línea

Vampiro JM

Desconectado Desconectado

Mensajes: 6

http://box.jisko.net/i/ae159f.gif


Ver Perfil WWW
Re: RECYCLER... su verdadero fin
« Respuesta #21 en: 7 Noviembre 2008, 00:23 »

mmm pues si ya intente esoi loq hice fue entar en modo apuerdoa de error nod32<<<realmente no me gusta prefierno el kaspersky ...
borre la carpeta usa el borra virus de resicle y el mata viurs avo y variaciones y nada yo borre todo manual mente active el regedit con el hajithis y pude abilitar el administradrode tareas.....
de alli lo otros fue facil unq si em costo vastante ya q no podia user software sin q tengan numero y letras los ejecutables
En línea

"Para saber destruiy hay que saber construir"
softdates

Desconectado Desconectado

Mensajes: 105



Ver Perfil
Re: RECYCLER... su verdadero fin
« Respuesta #22 en: 7 Noviembre 2008, 00:50 »


Respecto al matarecycler solo lo hace en la unidad C y no en las demas unidades que esten conectadas.

como digo se deberia realizar un ejecutable que mate todas las variantes de este virus
En línea

Vampiro JM

Desconectado Desconectado

Mensajes: 6

http://box.jisko.net/i/ae159f.gif


Ver Perfil WWW
Re: RECYCLER... su verdadero fin
« Respuesta #23 en: 7 Noviembre 2008, 01:32 »

d C y no en las demas unidades que esten conectadas. pero te borra lso auto runb y de deja ver los archicvos y caprts ocutas es lo bueno..pero lo malo es q lo digo softdates
En línea

"Para saber destruiy hay que saber construir"
softdates

Desconectado Desconectado

Mensajes: 105



Ver Perfil
Re: RECYCLER... su verdadero fin
« Respuesta #24 en: 2 Agosto 2009, 08:44 »

lo hematado y sigue apareciendo parece que es un variante nueva
En línea

Páginas: 1 [2] Ir Arriba Respuesta Imprimir 

Ir a:  

Mensajes similares
Asunto Iniciado por Respuestas Vistas Último mensaje
Quieres ser un verdadero Hacker?
Hacking Básico
177600531 7 4,585 Último mensaje 11 Mayo 2011, 05:09
por kailon
DigiNotar: Los iraníes, el verdadero objetivo
Noticias
wolfbcn 2 1,061 Último mensaje 7 Septiembre 2011, 20:50
por dario silva
eliminar F:\RECYCLER\e26f5077.exe
Seguridad
GameAndWatch 1 1,589 Último mensaje 12 Octubre 2012, 11:42
por matildoubaldo
recycler windows 8
Seguridad
robebugaty 8 935 Último mensaje 23 Noviembre 2013, 16:32
por robebugaty
Powered by SMF 1.1.19 | SMF © 2006-2008, Simple Machines