winroot
Citar
Si sospechas que el malware se carga en WindowsNt
Efectivamente, Zbot -y variantes- suele copiarse en el 99'9% de los casos que he visto, en HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon. Añadiéndose en la entrada Userinit.
Citar
Por defecto: C:\WINDOWS\system32\userinit.exe,
Citar
Infectada: C:\WINDOWS\system32\userinit.exe, C:\WINDOWS\system32\<nombre_troyano>.
La verdad es que hasta ahora no había comprobado si Hijackthis mostraba esa rama. Gracias winroot . Es bueno saberlo.
Castiblanco
Me parece extraño que en 1 hora hayas resuelto el problema. Y viendo tu
Citar
áéíóú xD
, lo primero que he pensado es que te aburrías y te 'estabas riendo de nosotros'. No me queda muy claro cómo lo has resuelto. Si ha sido formateando o era de configuración -que anteriormente mencionabas que 'no'; entonces me he equivocado juzgándote y como tal te pido disculpas. Si no es así... Si no es así, por mi parte no hay nada más que hablar.Novlucker
Citar
estoy casi seguro que Sysinternals lo detecta
También va bien saberlo
Saludos!