Buenas...
[ironía MODE ON]-
sin ánimo de que nadie se sienta aludido-
Yo creo que lo mejor será decirles a tod@s: FORMATEA. ¡Solucionado!
[ironía MODE OFF]
Fuera de bromas, todo esto parece estar guiándonos hacia solicitar logs con una sola herramienta con tal de solucionar el problema lo más rápido posible. Lo cual, no lo veo mal, pero entonces se me plantea la siguiente duda: ¿Esta
web debe funcionar como lo que es, un foro, o como Soporte Técnico? Porque en el caso que busquemos celeridad, cuando alguien entra, lo mejor sería: "Pasa MalwareBytes -por nombrar alguno- en modo seguro y listo" -Está claro que no soluciona todo, es un simple ejemplo-.
Sin embargo, creo que "
un foro" representa algo más. Es un estado de simbiosis -
quid pro duo- donde el que pregunta solicita ayuda y el que responde también quiere aprender, pues cada caso puede mostrarnos nuevos retos que desconocíamos. De ahí que, entre otras cosas, se pidan logs y subir muestras de los archivos infectados.
Debate demasiado amplio para plantearlo en estos momentos...
Como dice
Novlucker:"Si seguimos no acabamos". -Por mi parte ya voy acabando...-
Lo principal, quizá sería plantearnos lo siguiente: "¿
Cómo actúa el Malware?" Para ejecutarse, ¿
sólo puede hacerlo mediante las ramas del registro que utiliza Windows para inicializarse?
Porque, de ser así, como primer paso para aquellos que solicitan ayuda, podríamos hacer una lista entre todos sobre las ramas que se conocen, realizar una aplicación (un "TontoBAT" serviría) y pedirle al usuario que la pasara en el sistema.
¿Sabemos cuáles son
todas esas ramas?
[HKLM]
HKLM\Software\Microsoft\Windows\CurrentVersion\Run (RunOnce,RunOnceEx, RunOnce\Setup)
HKLM\Software\Microsoft\Windows\CurrentVersion\RunServices (RunServicesOnce)
HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon:UserInit <c:\windows\system32\userinit.exe>
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon:shell <explorer.exe>
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows : AppInitDlls
HKLM\System\CurrentControlSet(00x)\Services
HKLM\System\CurrentControlSet\Control\SessionManager:BootExecute <autocheck autochk *>
HKLM\System\CurrentControlSet\Control\SessionManager\KnownDLLs
[HKCU]
HKCU\Software\Microsoft\Windows\CurrentVersion\Run (RunOnce,RunOnceEx,RunOnce\Setup)
HKCU\Software\Microsoft\Windows\CurrentVersion\RunServices (RunServicesOnce)
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run
HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows\Load : <vacío>
[/i]
Y faltan... Supongo.
Me parece que empezamos a desviarnos un muy mucho del tema principal. Si os parece conveniente, se podría empezar otro post para comentarlo. Si no.. Pues, pues eso, que cada cual, como buen foro que es, solicite, indique y ayude como mejor sepa o quiera.
Saludos.