Club Delphi  
    FTP   CCD     Buscar   Trucos   Trabajo   Foros

Retroceder   Foros Club Delphi > Sistemas operativos > Windows
Actualizar esta página Infectado con el brontok
Registrarse FAQ Miembros Calendario Guía de estilo Temas de Hoy

Respuesta
 
Herramientas Buscar en Tema Desplegado
  #1  
Antiguo 24-08-2006
Avatar de Diavlo
Diavlo Diavlo is offline
Miembro
  
Registrado: dic 2005
Posts: 53
Poder: 19
Diavlo Va por buen camino
Infectado con el brontok
Holas, me sucedio lo siguiente: se metio en mi maquina un gusano y caballo de troya, averigue sobre el en internet y al parecer es el brontok anque tiene tambien otros nombres, este malware hizo lo siguiente en mi maquina:No me permite entrar al registro del sistema, cuando trato de ejecutar regedit me sale un mensaje q dice: El Administrador a desabilitado la modificacion del registro, y eso q mi cuenta es de adminstrador. Mi antivirus no lo detecta para nada, pero mas informacion sobre este esta aqui: http://www.avira.com/es/threats/sect...ontok.e.1.html
Bueno la cosa es q en la misma pagina hay una forma de borrarlo pero ya q no puedo abrir regedit ese metodo es imposible de aplicar en mi caso.
Alguien sabe de algun metodo para borrarlo?? no de algun antivirus q pueda borrarlo?? tal vez a alguien ya le paso.
Ayudaaaaa.
__________________
Todo el Mal Que Me Hagas A Ti Te Lo Haras
Responder Con Cita
  #2  
Antiguo 24-08-2006
Avatar de roman
roman roman is offline
Moderador
  
Registrado: may 2003
Ubicación: Ciudad de México
Posts: 20.269
Poder: 10
roman Es un diamante en brutoroman Es un diamante en brutoroman Es un diamante en bruto
Algo ingenuo, pero a veces resulta: haz una copia del regedit, cámbiale de nombre y ejecuta la copia.

// Saludos
Responder Con Cita
  #3  
Antiguo 24-08-2006
Avatar de seoane
[seoane] seoane is offline
Miembro Premium
  
Registrado: feb 2004
Ubicación: A Coruña, España
Posts: 3.717
Poder: 24
seoane Va por buen camino
Probablemente el virus ha modificado alguna entrada en el registro que impide la ejecución del regedit, pero eso no quita que puedas modificarlo desde otro programa. Incluso puedes hacer tu un pequeño programa que lo modifique.

Pero deshacerse de un virus/troyano no suele ser tarea fácil, se pegan como lapas. Lo mejor es que actualices tu antivirus y que el se encargue, si no tienes antivirus o no te deja actualizarlo, vete a otro PC con conexión a internet y bajate alguno de las utilidades que las compañías de antivirus tienen para casos de emergencia, por ejemplo sysclean de TrenMicro.

http://esupport.trendmicro.com/suppo...ntID=en-125991
http://www.trendmicro.com/ftp/products/tsc/sysclean.com
http://www.trendmicro.com/download/viruspattern.asp

Una vez que tengas el sysclean con sus "Virus Pattern" actualizados, vuelves a tu ordenador y te aseguras de que no esta conectado a internet (desconecta el cable) para evitar reinfecciones. Ahora ejecuta el sysclean, esto puede que no elimine el virus pero eliminara mucha porquería, ahora yo instalaría un antivirus de verdad, AVG por ejemplo que es gratuito, y también pasaría un par de antyspyware Spybot no estaría mal.

Aun así, nadie te asegura que puedas matarlo del todo, pero puede que tengas suerte


Y si todavía quieres hacerlo a mano, tomemos primero una medidas de primeros auxilios en el registro. Crea un archivo llamado UnHookExec.inf y coloca esto dentro:

Código:
[Version]
Signature="$Chicago$"
Provider=Symantec

[DefaultInstall]
AddReg=UnhookRegKey

[UnhookRegKey]
HKLM, Software\CLASSES\batfile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\comfile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\exefile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\piffile\shell\open\command,,,"""%1"" %*"
HKLM, Software\CLASSES\regfile\shell\open\command,,,"regedit.exe "%1""
HKLM, Software\CLASSES\scrfile\shell\open\command,,,"""%1"" %*"
HKCU, Software\Microsoft\Windows\CurrentVersion\Policies\System,DisableRegistryTools,0x00000020,0
Y luego ya sabes boton derecho > instalar. Con esto ya deberias de poder usar el regedit. Aun que pueda que el virus sea mas listo que nosotros

Aqui te dejo el archivo ya listo para usar
Archivos Adjuntos
Tipo de Archivo: zip UnHookExec.inf.zip (413 Bytes, 43 visitas)
Responder Con Cita
  #4  
Antiguo 25-08-2006
Avatar de roman
roman roman is offline
Moderador
  
Registrado: may 2003
Ubicación: Ciudad de México
Posts: 20.269
Poder: 10
roman Es un diamante en brutoroman Es un diamante en brutoroman Es un diamante en bruto
Cita:
Empezado por seoane
Aun que pueda que el virus sea mas listo que nosotros
Es que son dos cosas distintas. Me consta de un virus que alguna vez tuve que simplemente verificaba si un ejecutable llamado regedit.exe estaba abierto y lo cerraba. En ese caso bastó cambiar el nombre al ejecutable y no funcionaría lo de alterar la información del registro.

// Saludos
Responder Con Cita
  #5  
Antiguo 25-08-2006
Avatar de seoane
[seoane] seoane is offline
Miembro Premium
  
Registrado: feb 2004
Ubicación: A Coruña, España
Posts: 3.717
Poder: 24
seoane Va por buen camino
Con lo de "ser mas listo que nosotros" me refería a que hay virus que reescriben las entradas de registro cada pocos segundos, o detectan que se han cambiado y las vuelven a cambiar. Pero tienes razón, pueden cerrar el regedit, pero igual que lo buscan por el nombre del ejecutable lo pueden buscar por el titulo de la ventana, en ese caso cambiarle el nombre no serviría de nada.

En el caso que nos ocupa parece que lo desactiva utilizando el registro:

Cita:
Empezado por www.avira.com
Desactivar Regedit y el Administrador de Tareas:
– HKCU\software\microsoft\windows\currentversion\Policies\System
Valor anterior:
• "DisableCMD" = %configuración definida por el usuario%
• "DisableRegistryTools" = %configuración definida por el usuario%
Nuevo valor:
• "DisableCMD" = dword:00000000
• "DisableRegistryTools" = dword:00000000
En cualquier caso, siempre es aconsejable el uso de un antivirus.
Responder Con Cita
  #6  
Antiguo 30-08-2006
Avatar de Diavlo
Diavlo Diavlo is offline
Miembro
  
Registrado: dic 2005
Posts: 53
Poder: 19
Diavlo Va por buen camino
Me preguntaba si hay alguna forma de saber q procesos se levantan desde q el sistema arranca, algo asi como un keyloguer pero q me muestre todos los procesos q se han ejecutado.
Y otra duda si no me permite ejecutar regedit, se puede escribir en el registro desde un programa, digamos desde un batch?? y si se puede como podria ser??
__________________
Todo el Mal Que Me Hagas A Ti Te Lo Haras
Responder Con Cita
Respuesta

« Tema Anterior | Próximo Tema »


Normas de Publicación
no Puedes crear nuevos temas
no Puedes responder a temas
no Puedes adjuntar archivos
no Puedes editar tus mensajes
El código vB está habilitado
Las caritas están habilitado
Código [IMG] está habilitado
Código HTML está deshabilitado
Saltar a Foro


La franja horaria es GMT +2. Ahora son las 18:33:52.

Club Delphi - Archivo - Top

Powered by vBulletin® Version 3.6.8
Copyright ©2000 - 2024, Jelsoft Enterprises Ltd.
Traducción al castellano por el equipo de moderadores del Club Delphi
Copyright 1996-2007 Club Delphi