Foro de elhacker.net

Seguridad Informática => Seguridad => Mensaje iniciado por: xopito en 24 Octubre 2011, 22:02 pm


Título: ¿au_.exe?
Publicado por: xopito en 24 Octubre 2011, 22:02 pm
Hola,

suelo formatear el ordenador cada unos 6 meses, pero siempre acaba volviendo. He descubierto que sale al desinstalar algún programa, pero bueno, eso es no lo que importa, lo que quiero, es saber si realmente es un virus, y acabar con él.

Desde luego, tiene toda la pinta.
Lo primero, tengo Outpost Firewall con protección antileak al máximo, y he aquí el resultado:
Cuando voy a desinstalar programas, me sale que el proceso au_.exe intenta acceder a uninstall.exe , y a los sucesivos recursos del sistema que usaría el desinstalador normal.
La cuestión es que cuando lo bloqueo con el firewall, me sale el proceso bu_.exe haciendo la misma petición, cu_.exe, etc...

Obviamente, al borrar lor archivos, vuelven a aparecer cuando vuelvo a desinstalar un programa. Pero aun así, no veo ningún proceso visible que los cree.

He puesto el monitor de archivos y Registro del firewall, y me da las siguientes líneas (he cogido la parte interesante)


"21:51:49   Dropbox.exe   leer directorio   C:\Users\Jorge\AppData\Local\Temp\~nsu.tmp
21:51:49   Dropbox.exe   leer directorio   C:\Users\Jorge\AppData\Local\Temp
21:51:49   Dropbox.exe   leer directorio   C:\Users\Jorge\AppData\Local
21:51:49   Dropbox.exe   leer directorio   C:\Users\Jorge\AppData
21:51:49   Dropbox.exe   leer directorio   C:\Users\Jorge
21:51:49   Dropbox.exe   leer directorio   C:\Users
21:51:49   Dropbox.exe   leer directorio   C:
21:51:49   explorer.exe   leer+escribir   \Device\NamedPipe\DropboxPipe_1
21:51:49   Dropbox.exe   leer directorio   C:\Users\Jorge\AppData\Local\Temp\~nsu.tmp
21:51:49   Dropbox.exe   leer directorio   C:\Users\Jorge\AppData\Local\Temp
21:51:49   Dropbox.exe   leer directorio   C:\Users\Jorge\AppData\Local
21:51:49   Dropbox.exe   leer directorio   C:\Users\Jorge\AppData
21:51:49   Dropbox.exe   leer directorio   C:\Users\Jorge
21:51:49   Dropbox.exe   leer directorio   C:\Users
21:51:49   Dropbox.exe   leer directorio   C:
21:51:49   explorer.exe   leer+escribir   \Device\NamedPipe\DropboxPipe_1
21:51:49   Dropbox.exe   leer directorio   C:\Users\Jorge\AppData\Local\Temp\~nsu.tmp
21:51:49   Dropbox.exe   leer directorio   C:\Users\Jorge\AppData\Local\Temp
21:51:49   Dropbox.exe   leer directorio   C:\Users\Jorge\AppData\Local
21:51:49   Dropbox.exe   leer directorio   C:\Users\Jorge\AppData
21:51:49   Dropbox.exe   leer directorio   C:\Users\Jorge
21:51:49   Dropbox.exe   leer directorio   C:\Users
21:51:49   Dropbox.exe   leer directorio   C:
21:51:49   explorer.exe   leer+escribir   \Device\NamedPipe\DropboxPipe_1
21:51:49   Dropbox.exe   leer directorio   C:\Users\Jorge\AppData\Local\Temp\~nsu.tmp
21:51:49   Dropbox.exe   leer directorio   C:\Users\Jorge\AppData\Local\Temp
21:51:49   Dropbox.exe   leer directorio   C:\Users\Jorge\AppData\Local
21:51:49   Dropbox.exe   leer directorio   C:\Users\Jorge\AppData
21:51:49   Dropbox.exe   leer directorio   C:\Users\Jorge
21:51:49   Dropbox.exe   leer directorio   C:\Users
21:51:49   Dropbox.exe   leer directorio   C:
21:51:49   explorer.exe   leer+escribir   \Device\NamedPipe\DropboxPipe_1
21:51:49   Dropbox.exe   leer directorio   C:\Users\Jorge\AppData\Local\Temp\~nsu.tmp
21:51:49   Dropbox.exe   leer directorio   C:\Users\Jorge\AppData\Local\Temp
21:51:49   Dropbox.exe   leer directorio   C:\Users\Jorge\AppData\Local
21:51:49   Dropbox.exe   leer directorio   C:\Users\Jorge\AppData
21:51:49   Dropbox.exe   leer directorio   C:\Users\Jorge
21:51:49   Dropbox.exe   leer directorio   C:\Users
21:51:49   Dropbox.exe   leer directorio   C:
21:51:49   explorer.exe   leer+escribir   \Device\NamedPipe\DropboxPipe_1
21:51:49   Dropbox.exe   leer directorio   C:\Users\Jorge\AppData\Local\Temp\~nsu.tmp
21:51:49   Dropbox.exe   leer directorio   C:\Users\Jorge\AppData\Local\Temp
21:51:49   Dropbox.exe   leer directorio   C:\Users\Jorge\AppData\Local
"

Cada vez que se repite el proceso principal, es que se ha creado un nuevo archivo al ser bloqueado,




gracias,



Título: Re: ¿au_.exe?
Publicado por: xopito en 24 Octubre 2011, 22:03 pm
¿cómo podría deshacerme del virus?

Título: Re: ¿au_.exe?
Publicado por: CAR3S? en 25 Octubre 2011, 21:28 pm
mmmmmmmm yo te diria que entres en modo seguro (estudia donde estan los archivos a iniciar con windows), y borra las entradas que consideres pelogrosas.

por otro lado, podrias ir a INICIO-MSCONFIG , y destildaro todos los programas q no sean "vitales".

te bajas el systemexplorer y lo pones que inicie con windows

reinicias

apenas inicia abris el system explorer y ves todos los procesos y los nombres de los archivos (Podrias sacar varias screens, ya que quiza un .,exe abara otro, y asi)

subelas--

luego, en modo seguro, borras los archivos

si revisas mis ultimos mensajes, creo q puse como me deshice de un virus que ufffffffffffffffff q dolor de cabeza

saludos

resumen:
bajar systemexplorer (o algo asi xd)
destildar todos los programas del inicio de windows (ojo con winlogon)
poner el systemexplorer para iniciar con windows
reinicias
apenas prende abris el system explorer asi ves q archivos estan abiertos, etc etc
los anotas (todo lo rarito)

reinicias en modo seguro
recorres todo el registro buscando (con  CTRL + f creo) CADA uno de los archivos
borras las entradas que tu sabras.....(OJO CON ESO)
reinicias, y ves si el virus sigue activo (con el system explo.)


edit:

pasate x aqui...

http://www.google.com.ar/#hl=es&sugexp=kjrmc&cp=3&gs_id=s&xhr=t&q=au_.exe&pf=p&sclient=psy-ab&biw=939&bih=549&source=hp&pbx=1&oq=au_&aq=0&aqi=g1g-s1g1g-s1&aql=f&gs_sm=&gs_upl=&bav=on.2,or.r_gc.r_pw.,cf.osb&fp=7c50d3711f1d096d


Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines