elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.

 

 


Tema destacado: Tutorial básico de Quickjs


+  Foro de elhacker.net
|-+  Seguridad Informática
| |-+  Seguridad (Moderador: r32)
| | |-+  servicios de explorer.exe
0 Usuarios y 1 Visitante están viendo este tema.
Páginas: [1] Ir Abajo Respuesta Imprimir
Autor Tema: servicios de explorer.exe  (Leído 4,287 veces)
franfis

Desconectado Desconectado

Mensajes: 248



Ver Perfil
servicios de explorer.exe
« en: 26 Diciembre 2012, 18:50 pm »

Hola, amigos. Disculpen si no es el lugar apropiado para esta pregunta.

Cuando trato de expulsar mi pendrive de mi PC dice "que no se puede intentelo mas tarde" y si lo extraigo sin hacer caso este aviso y lo conecto otra vez, resulta que se crea el virus. Pero cuando mato el proceso explorer.exe y lo revivo de nuevo con el administrador de tareas, si me deja expulsarlo correctamente y no se crea el virus en su interior. Ahora mi pregunta es:

¿Por que no puedo ver el virus en el administrador de tareas como un proceso?

¿En el explorer.exe hay procesos pequeños ejecutándose entre ellos el virus?¿como los puedo ver?

Antes de correr riesgos de ser vaneado por una pregunsta parecida que hice anteriormente, les comunico mi objetivo: "Saber como actuan estos virus para eliminarlos manualmente".

Graciassss.....






En línea

r32
Moderador
***
Desconectado Desconectado

Mensajes: 1.299



Ver Perfil WWW
Re: servicios de explorer.exe
« Respuesta #1 en: 28 Diciembre 2012, 11:28 am »

Hola franfis creo este tema iría mejor en el foro de Seguridad.
Cuando no te deja expulsar es porque un proceso tiene acceso a la unidad, en éste caso pueda ser un virus. Para ver que proceso es el que tiene acceso a la unidad usb puede usar "Unlocker", en algunos casos puede eliminar el ejecutable que tiene acceso, aunque sea en un reinicio.
Si no ves los archivos posiblemente estén oculto al sistema, accede al panel de control, opciones de carpeta, ver:
Mostrar todos los archivos y carpetas ocultos.

Citar
¿En el explorer.exe hay procesos pequeños ejecutándose entre ellos el virus?¿como los puedo ver?

Posiblemente se haya inyectado a algún proceso, pero creo que se inyectaría mejor en el proceso de explorador de internet o similar.
Revisa si tienes algun proceso extraño al iniciar el sistema con CCleaner o desde "msconfig" (Inicio-Ejecutar).
Puedes postear un log de Hijackthis para ver si hay algo más.

Citar
"Saber como actuan estos virus para eliminarlos manualmente".

Tal como comentas el problema, éste actua mediante el sistema "autorun" de Windows:
http://es.wikipedia.org/wiki/Autorun

Echa un vistazo a estos temas, hay varias maneras de "Desactivar reproducción automática" de medios extraibles:
http://support.microsoft.com/kb/967715/es
http://windows.microsoft.com/es-ES/windows-vista/Change-AutoPlay-settings
 
Saludos.


« Última modificación: 28 Diciembre 2012, 12:11 pm por r32 » En línea

franfis

Desconectado Desconectado

Mensajes: 248



Ver Perfil
Re: servicios de explorer.exe
« Respuesta #2 en: 3 Enero 2013, 20:27 pm »

Gracias r32, pero ¿donde esta el virus o autorun como archivo ejecutable? o donde usualmente se posicionan.

Ya revisé con el "msconfig" y desactivé todos los procesos sospechosos, solo deje esos que conozco muy bien y que no presentarían problemas(acrobat,ctfmon, iTunes etc). Por lo que llegue a la conclusión de que por allí no va la cosa.

Lo mas probable es que se infecta al explorer. ¿Pero como? no conozco ese procedimiento de injeccion, ¿será un dll, exe,?

Cual es la diferencia entre el explorer que se inicia al encender la PC y el explorer que inicio yo a travez del administrador de tareas, luego de matarlo claro.

Bueno, seria facil matar este bicho probando a instalar cuanto antivirus conosca, avg, nod32, karsperky, panda,.......etc, algunos de esos lo mataría. Pero pregunto por curiosidad porque he visto muchos casos como el de mi PC.

oh, me olvidaba ya puse "mostrar archivos ocultos y protegidos por el sistema operativo" asi que ningún archivo ni carpeta escapa de mi vista

Saludos, feliz 2013   ;D
« Última modificación: 3 Enero 2013, 20:33 pm por franfis » En línea

r32
Moderador
***
Desconectado Desconectado

Mensajes: 1.299



Ver Perfil WWW
Re: servicios de explorer.exe
« Respuesta #3 en: 4 Enero 2013, 00:28 am »

Hola de nuevo franfis, buen año.

El ejecutable infectado xxx.exe y el archivo autorun.inf se crean en la raiz de la unidad extraible, como dices al iniciar el sistema que es cuando se carga el malware inyectandose en el proceso explorer.exe. Pueden situarse en cualquier carpeta del disco, normalmente en la carpeta System32 del sistema, pero a veces suele resultar incluso más efectivo meterlo en una carpeta oculta en Usuario\Datos de programas, Usuario\Configuración local.
No tendría que haber diferéncia entre el explorer.exe que se carga al inicar el sistema y el que se crea al reiniciar el proceso, sólo que en este último no infecta la unidad extraible.
Puedes subir un log de Hijackthis?

Si no quieres dar muchas vueltas inicia el PC con el CD de rescate de Kaspersky, casi seguro eliminará lo tengas. Dependiendo de como esté programado poco podrás hacer en modo normal, en algunos casos ya ni en modo seguro.
Link: http://rescuedisk.kaspersky-labs.com/rescuedisk/updatable/kav_rescue_10.iso

Por último comentarte que ante la preséncia de un rootkit desocultar carpetas y archivos no es efectivo, seguirán ocultos mientras el sistema operativo esté en marcha, pro esto te comento pases directamente el live CD.

Espero haberte ayudado mejor esta vez, la primera no estuve muy fino.

Saludos.
En línea

franfis

Desconectado Desconectado

Mensajes: 248



Ver Perfil
Re: servicios de explorer.exe
« Respuesta #4 en: 8 Enero 2013, 18:05 pm »

Muchas gracias  ;D . Este virus(o lo que se llame) no es dañino, solo es un poco molesto, por eso lo que menos me interesa es eliminarlo. Lo que en realidad me interesa es saber como trabaja.

Ya lo hubiera eliminado fácilmente con algún antivirus, la PC es de mi hermano, es mas, ya la formatearon.

Si hay diferencia entre el proceso explorer de inicio de la PC y el que lo reinicio(del proceso en si) después de encendido. Porque en el segundo caso SI deja expulsar el usb y no lo contagia, en el primer caso NO. ¿En que punto estará la diferencia?  :huh:

En caso de que el explorer llame a otros exe's aparte del virus ¿donde estarán esos? ya que por alli debe estar el virus.

Saludosss
En línea

r32
Moderador
***
Desconectado Desconectado

Mensajes: 1.299



Ver Perfil WWW
Re: servicios de explorer.exe
« Respuesta #5 en: 8 Enero 2013, 22:24 pm »

Revisa si tienes otro ejecutable en otro ruta diferente con ese nombre.
Aquí te pongo algunos programas para que puedas ver si hay otro archivo involucrado, ya sea .dll o .exe.

Process Monitor: http://technet.microsoft.com/en-us/sysinternals/bb896653.aspx

Process Explorer: http://technet.microsoft.com/en-us/sysinternals/bb896645

ProcNetMonitor: http://securityxploded.com/procnetmonitor.php

DependencyWalker: http://www.dependencywalker.com/

Si quieres puedes descargarte la suite completa de SysInternals, trae otras herramientas te pueden servir:

http://technet.microsoft.com/en-us/sysinternals/bb842062

Si necesitas ver las conexiones que se están realizando:

TCP View: http://technet.microsoft.com/en-us/sysinternals/bb897437

Wireshark: http://www.wireshark.org/download.html

Un saludo.

En línea

Páginas: [1] Ir Arriba Respuesta Imprimir 

Ir a:  

Mensajes similares
Asunto Iniciado por Respuestas Vistas Último mensaje
Servicios En VB 6.0
Programación Visual Basic
MANULOMM 2 2,001 Último mensaje 15 Octubre 2006, 23:50 pm
por MANULOMM
Los servicios funerarios del siglo XXI adaptan sus servicios a los canales 2.0
Noticias
wolfbcn 0 1,941 Último mensaje 1 Noviembre 2012, 00:36 am
por wolfbcn
WAP2 - Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines