Foro de elhacker.net

buenos días gente de elhacker =)

hace tiempo ya me vengo liando con está *****.

c:\windows\   aadrive32.exe
c:\recycler\------\zaberg (o zaberg0) .exe
%appdata%\*.tmp

como no pude quitarlo y no pienso formatiar ya que prefiero eliminarlo por logros personales(?
la cuestion es, como no lo puedo borrar (he limpiado el registro manualmente.), he bloqueado los CRC32 de los .tmp , los .exe y walaah! funciona de 10.
he vuelto a limpiar y listo, de maravillas.
hasta que desbloquie y aparecio otra vez. eso significa que hay algo que estoy ignorando. alguna sección del registro que de inicio a procesos, quiza.

las que recuerdo son taskmgr(si saben no van a preguntar) , en policies, run, hmm... y en muchas más.

asi que he venido a informarme... saludos

bahh, lo he vuelto hacer y ya va bien.

cualquier cosa lo comento.

saludos

Pero estas borrando esas entradas desde modo seguro? porque sino se pueden estar volviendo a crear.

Ademas, si sabes donde se encuentra el malware, y lo eliminas no importan las entradas para iniciarlo, quedan como basura, total no ejecutaran nada porque no existe.

Esto lo podes hacer manual como venis haciendo pero tambien existe Malwarebytes Anti-Malware xD

busco entradas para buscar direcciónes
si no hay nada iniciado es imposible que vuelvan a crearse.es una forma de verlo. y si, lo hice de las 2 formas. ya está solucionado.

saludos

No te acostumbres a esa teoría, puede no ser tu caso pero puedes tener la preséncia de un rootkit bien programado y no encontrar sus claves y archivos ni en modo seguro, ya que ocultará toda presencia.
Es conveniente realizar análisis con herramientas antirootkit que buscan ganchos a nivel de núcleo cosa que a mano no te va a permitir.

Es un consejo no una crítica, saludos.

perfecto, lo tendre en cuenta xD!

edit- 14:29

si no hubiera sido por el antirootkit no lo hubiera encontrado.

%appdata&\krlule.exe

ahora si, limpiooooooooo

saludos!