Foro de elhacker.net

Buenas comunidad, verán soy nuevo acá y la verdad es que necesito ayuda. Soy Mapper de servidores SAMP y un amigo me pasó un sv para editarlo, luego de eso ejecute el sv en el localhost para probarlo y todo bien, pero al compilar el codigo del servidor me aparecia una ventana negra (Como la del Simbolo de sistema) y no compilaba como antes. Reinicie el pc y al inicio apareció este mensaje unos milisegundos tuve que grabarlo con el cel para poder darme cuenta de lo que decia. Salia una ventana pequeña que decia:

Configuración personalizada

Estableciendo una configuración personalizada para:

C:\Users\Usuario\AppData\Roaming\mrsys.exe MR

Fui a esa dirección (Con la opción de poder ver todos los archivos ocultos) y encontré el .exe (https://i.imgur.com/2MlvbJz.png)

Estuve investigando y segun parece es un troyano pero no encontré una solución, más allá de descargar programas que no me funcionaron, así que intente borrarlo pero cuando lo borro aparece de nuevo, sinceramente nose a que proceso esta asociado. ¿Me podrían ayudar? Se los agradecería demasiado! Un cordial saludo.

Formatea todo.

No hay otra opción?? Es que no tengo el disco de Windows.  :-\

No es necesario el disco de Windows, sí usas Windows 10, y tienes tu liciencia original a mano, puedes usar un pendrive booteable con el instalador de Windows 10.

Otra alternativa, para no tener que formatear, sería reiniciar para arranque a modo seguro, de ser el caso de que sea un troyano, simplemente desconecta el router, y no debería darte pegas, y eliminar el archivo en la ruta que mencionas, y ya eliminar su registro en Regedit para evitar su importación, pero este segundo paso del registro, si no sabes hacerlo, y eliminas algo del registro que no DEBES, te pido que no lo hagas y formatees el sistema operativo.

Siempre aconsejo exportar el registro de Windows nada más formatear e instalar el S.O. por posibles bugs, virus, troyanos, conflictos drivers en el sistema, etc.

Saludos.

No sabes lo que se ha instalado, como y donde. Puede que tengas un rootkit o malware en el bootloader. Solo sabes el nombre de un archivo que se puede cambiar en una línea de texto. Perfectanente lo pueden llamar keylogger para que lo borres y te quedes tranquilo cuando en realidad es solo un módulo de un malware más complejo, o incluso para despistar te añaden un malware cualquiera fácil de remover.

Saludos,

- Si no tienes mucha idea sobre análisis de malware básico usando Autoruns, ProcMon y Process Explorer, debería bastarte con descargar, instalar y analizar tu sistema con MalwareBytes FREE (gratuito).

https://es.malwarebytes.com/

Solo por curiosidad, puedes subir una muestra para echarle un vistazo?

A ver, el formateo rara vez es mala idea, pero estamos matando moscas a cañonazos.
Hazle una pasada al equipo con las siguientes herramientas primero y a ver qué resultados te dan:

MalwareBytes:
https://es.malwarebytes.com/ (https://es.malwarebytes.com/)

AdwCleaner:
https://es.malwarebytes.com/adwcleaner/ (https://es.malwarebytes.com/adwcleaner/)

Kaspersky Rescue Disk:
https://www.kaspersky.es/downloads/thank-you/free-rescue-disk (https://www.kaspersky.es/downloads/thank-you/free-rescue-disk)

Este último es para grabar en un disco. Es bootable y te analiza el equipo sin iniciar el operativo, detectará cosas que otros no.

Una vez acabes de hacer esas pasadas y limpiar, comparte un log de HiJackThis
https://sourceforge.net/projects/hjt/ (https://sourceforge.net/projects/hjt/)

Si ves que las herramientas anteriores no detectaron y eliminaron nada raro, entonces sí, formatea por si acaso.

Acabas antes formateando xDD Y como esté mínimamente bien hecho a poco que esté sin firmar y sin cabecera no te lo van a encontrar o no te van a encontrar todos los componentes y se puede restaurar. A lo mejor se descargó a través de un componente no malicioso como tal. A parte cualquier malware puede hacer cambios en el sistema para no ser detectado o moverse a un espacio de disco no indexado por el sistema.

Y desde mi completa ignorancia.... Si el virus es el código que compilaste....¿Por qué no miras lo que hace?.  :rolleyes:

Yo personalmente no te recomendaría formatear tu pc por un virus de momento, creo que puede intentar otras soluciones como te han ido comentando los compañeros, por ejemplo pasale el malwarebytes en modo seguro.

Aquí tienes un vídeo:



A mi también en otro post que yo tuve problema de otro tipo me dijeron de formatear y no le eche cuenta, efectivamente no me hizo falta formatear el Pc y puede solucionar el problema por otras vías gracias a usuarios como EdePC y otros usuarios me ahorre formatear.

Evidentemente este problema es algo diferente al que yo tuve en su momento pero yo que tu prueba lo que te he dicho o bien lo que te recomienda EdePc sin descarta claro esta las demás opciones de los compañeros.

1) Un server SAMP no se compila , el ejecuta los scripts PAWN. Como "Plugins"

2) en caso de que te hayas infectado por ese medio, tendrias que analizar (te recomiendo virustotal) los .exe : "samp-server.exe" - "samp-npc.exe" - "announce.exe" - "pawncc.exe" - "pawno.exe" | esos serian los archivos ejecutables para un servidor SAMP.

3) Simplemente borra el .exe del supuesto "virus" y si no se borra verifica si esta abierto y lo cierras . -acto seguido- lo eliminas.

5) revisa las entradas al registro para ver si hay algún auto ejecutable sospechoso.

PD: tambien soy mapper, Admin y SAPD :V.

Como alguien empiece a subir malware al foro se queda el 90% de la gente infectada. xD
Dejar de decir chorradas de sacar los virus a mano, no te le renta ni al más profesional del mundo. Habría que hacer análisis muy complejos del virus, el tráfico y el sistema. ñ
Si alguien se ha tomado la molestia de meter 20 malwares, o un simple downloader y tu av te detecta 1 keylogger, que coño arreglas quitando un keylogger? Ni siquiera estais aplicando una metodología para hacerlo, estais siguiendo los pasos que dice la primera web que encontrais sobre el virus, que a lo mejor la hizo el propio creador del virus xD