elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.

 

 


Tema destacado: Guía actualizada para evitar que un ransomware ataque tu empresa


+  Foro de elhacker.net
|-+  Foros Generales
| |-+  Foro Libre
| | |-+  Noticias (Moderadores: wolfbcn, El_Andaluz)
| | | |-+  Vídeo: Troyano secuestra el ordenador en nombre de la policía nacional ....
0 Usuarios y 1 Visitante están viendo este tema.
Páginas: 1 2 3 [4] 5 6 7 Ir Abajo Respuesta Imprimir
Autor Tema: Vídeo: Troyano secuestra el ordenador en nombre de la policía nacional ....  (Leído 48,889 veces)
тαптяα


Desconectado Desconectado

Mensajes: 1.151


Sic utere tuo ut alienum non laeda


Ver Perfil WWW
Re: Vídeo: Troyano secuestra el ordenador en nombre de la policía nacional ....
« Respuesta #30 en: 21 Agosto 2011, 14:07 pm »

Intenta el LiveCD.


En línea

Falvan

Desconectado Desconectado

Mensajes: 15


Ver Perfil
Re: Vídeo: Troyano secuestra el ordenador en nombre de la policía nacional ....
« Respuesta #31 en: 21 Agosto 2011, 14:17 pm »

El caso es que no tiene ese mismo nombre de archivo que pone ahí, ya que no es el mismo virus.

Estoy terminando de pasarle el Dr. Web y sin con eso no lo consigo lo formateo y me doy por vencido.


En línea

Novlucker
Ninja y
Colaborador
***
Desconectado Desconectado

Mensajes: 10.683

Yo que tu lo pienso dos veces


Ver Perfil
Re: Vídeo: Troyano secuestra el ordenador en nombre de la policía nacional ....
« Respuesta #32 en: 21 Agosto 2011, 18:35 pm »

Que tarde que llego :(
Mi intención era meter un par de scripts en la carpeta de Inicio de windows para listar las rutas de los procesos ejecutandose y así poder quitarlo :-\
El contador seguía disminuyendo aún con la pc apagada? o no la estabas apagando? Aunque el contador siga bajando, si estas pronto para formatear dale una oportunidad, quizás no borra nada :P


Saludos
 
En línea

Contribuye con la limpieza del foro, reporta los "casos perdidos" a un MOD XD
"Hay dos cosas infinitas: el Universo y la estupidez  humana. Y de la primera no estoy muy seguro."
Albert Einstein
Falvan

Desconectado Desconectado

Mensajes: 15


Ver Perfil
Re: Vídeo: Troyano secuestra el ordenador en nombre de la policía nacional ....
« Respuesta #33 en: 21 Agosto 2011, 18:39 pm »

Hola,

pues estoy a punto de formatear, quedan 30 minutos. O eso quedaba hace un rato, porque lo último que hice fue elimiar el archivo wmiprvse.exe y he conseguido que al arrancar el sistema no salga la pantallita de las narices, eso sí, tampoco arranca, en el momento de hacerlo al pasar la pantalla de Bienvenida de windows se me va a la pantalla del usuario, pone cargando configuración personal, pero aunque pinches en él usuario ya no entra.

 :-(
En línea

Falvan

Desconectado Desconectado

Mensajes: 15


Ver Perfil
Re: Vídeo: Troyano secuestra el ordenador en nombre de la policía nacional ....
« Respuesta #34 en: 21 Agosto 2011, 18:46 pm »

Por cierto, el contador bajaba aunque tuviese el ordenador apagado está sincronizado con el reloj del sistema.

El tema es que no quiero perder el netbook, formatearlo es lo más seguro ahora mismo para mi, lo que me da algo de pena es que no se pudo idenfiticar el bicho, eso y que ha pasado el finde entero jodido.
En línea

тαптяα


Desconectado Desconectado

Mensajes: 1.151


Sic utere tuo ut alienum non laeda


Ver Perfil WWW
Re: Vídeo: Troyano secuestra el ordenador en nombre de la policía nacional ....
« Respuesta #35 en: 21 Agosto 2011, 18:46 pm »

Hola,

pues estoy a punto de formatear, quedan 30 minutos. O eso quedaba hace un rato, porque lo último que hice fue elimiar el archivo wmiprvse.exe y he conseguido que al arrancar el sistema no salga la pantallita de las narices, eso sí, tampoco arranca, en el momento de hacerlo al pasar la pantalla de Bienvenida de windows se me va a la pantalla del usuario, pone cargando configuración personal, pero aunque pinches en él usuario ya no entra.

 :-(
has borrado cosas q no dbias tocar
En línea

Novlucker
Ninja y
Colaborador
***
Desconectado Desconectado

Mensajes: 10.683

Yo que tu lo pienso dos veces


Ver Perfil
Re: Vídeo: Troyano secuestra el ordenador en nombre de la policía nacional ....
« Respuesta #36 en: 21 Agosto 2011, 18:47 pm »

En que carpeta estaba el archivo exactamente?
Como hiciste para eliminarlo? (lo digo por eso de que no podías ejecutar el administrador de tareas)
No puedes perder el ordenador, lo único que puedes perder es el SO, y eso lo arreglas formateando.


Cambia la hora desde la bios :P


Saludos
 
 
En línea

Contribuye con la limpieza del foro, reporta los "casos perdidos" a un MOD XD
"Hay dos cosas infinitas: el Universo y la estupidez  humana. Y de la primera no estoy muy seguro."
Albert Einstein
Falvan

Desconectado Desconectado

Mensajes: 15


Ver Perfil
Re: Vídeo: Troyano secuestra el ordenador en nombre de la policía nacional ....
« Respuesta #37 en: 21 Agosto 2011, 18:56 pm »

Gracias a todos por vuestra ayuda, ha sido una experiencia un tanto frustrante porque no he conseguido limpiar la máquina que es lo que me hubiera gustado.

Estos actos del final han sido en plan desesperado de todo.

Para comentar, decir que el virus:
1. No permitía abrir el taskmanager (si pulsabas Ctrl+Alt+Supr como un loco podías llegar a verlo como en un parpadeo, lo que me llevó a sacar unas fotos continuas hasta que capturé algunos de los procesos que estaban funcionando en ese momento, los investigué todos y ninguna hacía referencia al virus)
2. No permitía arrancar en modo seguro, ni con funciones de red ni con símbolo del sistema. Daba un error en pantalla azul (no se daba visto el error) y se reiniciaba.
3. No permitía recuperar el sistema.
4. La única combinación de teclas que funcionaba era Tecla Win + L (pero en mi caso al solo tener un usuario no me sirvió de nada)
5. Pasé el Kaspersky actualizado a 20 de agosto, el Dr. Web y todos los Spyware y antivirus que traía el Hires 14.0 pero ninguno localizó el troyano en cuestión.
6. El ataque se produjo o al menos se activó cuando estaba visitando un listado de imágenes en google en concreto al pinchar en una imagen de un sintetizador Moog.
7. Al acceder a la clave HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell del registro del windows infectado, aparecía Explorer.exe con lo cual entiendo que lo cambiaba al arrancar en ese momento.
8. Al acceder al msconfig del windows infectado no aparecía ningún proceso desconocido en el inicio del sistema (es probable que sustituyese a alguno ya existente?)
9. El troyano bloqueaba el movimiento del ratón, limitándolo únicamente a la parte de la pantalla que tenía un formulario para introducir el pago y el botón de aceptar.

Creo que nada más. Espero que esta info pueda servir de ayuda en el futuro. Muchas gracias a todos los que me habéis echado una mano con vuestros consejos.
En línea

Novlucker
Ninja y
Colaborador
***
Desconectado Desconectado

Mensajes: 10.683

Yo que tu lo pienso dos veces


Ver Perfil
Re: Vídeo: Troyano secuestra el ordenador en nombre de la policía nacional ....
« Respuesta #38 en: 21 Agosto 2011, 19:01 pm »

O sea que lo das por perdido? :-\ apuesto que cambiando la hora de la bios te agregas un par de semanas más :-X Lo que ocurre es que no teníamos toda la info completa, podías acceder al registro de windows? al msconfig?


Saludos
 
En línea

Contribuye con la limpieza del foro, reporta los "casos perdidos" a un MOD XD
"Hay dos cosas infinitas: el Universo y la estupidez  humana. Y de la primera no estoy muy seguro."
Albert Einstein
Embusterillo de bolsillo


Desconectado Desconectado

Mensajes: 1.333


Yo-jo Yo-jo Un Pirata Yo Soy ♫♫


Ver Perfil
Re: Vídeo: Troyano secuestra el ordenador en nombre de la policía nacional ....
« Respuesta #39 en: 21 Agosto 2011, 19:10 pm »

Si podías acceder a esas rutas, entonces era cuestión de paciencia ya que las claves pueden ser diferentes, pero de seguro estan allí. ¿Por qué no usas el LiveCD si necesitas trabajar y mejor tienes algo de paciencia mientras pruebas otros métodos? Digo, no le des gusto al Virus :/
En línea

Absence makes the heart grow fonder.
Páginas: 1 2 3 [4] 5 6 7 Ir Arriba Respuesta Imprimir 

Ir a:  

WAP2 - Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines