Hola, debido a que constantemente transporto archivos desde mi máquina hacia otras (colegio, trabajo, etc) por medio de dispositivos USB y constantemente "me contagio" con el fun.xls.exe o el tel.xls.exe, me puse a intentar crear alguna herramienta que los elimine automáticamente.
No se mucho de programación, pero me he puesto a probar con la consola de windows y un archivo .cmd y algo me ha salido.
AntiFun&Tel (http://www.mediafire.com/upload_complete.php?id=5y2yyb1ggv3)
La cuestión es que sé muy bien que a la herramienta ésta le faltan cosas (o le sobran) por lo que quería saber si podrían sugerirme modificaciones, ayudarme a hacer que el .reg se ejecute automáticamente, decirme otros nombres alternativos que pueda tener este troyano, o cualquier cosa que consideren que ayudaría.
Por lo pronto sólo quiero que elimine ése tipo de troyanos (y repartirlo entre mis compañeros, que están tan podridos como yo del tema).
Desde ya gracias.

hola..

Si deseas evitar estar infectando los equipos donde coloques memorias USB debido a que tu memoria se infecta constantemente lo que debes hacer es ejecutar el FlashDesinfector (http://www.forospyware.com/408993-post9.html) en tu equipo con la memoria USB conectada..

El FlashDesinfector ademas de eliminar una gran variedad de malwares que se trasmiten por USB, realiza algo que es muy importante para evitar seguir infectando equipos, y esto es "inmunizar" la memoria (por asi decirlo) para evitar que esta siga infectando..

Lo que realiza la herramienta es crear una carpeta llamada "autorun.inf" con un archivo dentro de ella practicamente imborrable esto con la finalidad de que en tu memoria no se genere el archivo Autorun.inf que ejecuta los virus cada vez que ingresas la memoria en el equipo..

Para lo que desconocen el modo de infeccion de los malwares que se trasmiten por USB, estos utilizan el archivo autorun.inf (http://es.wikipedia.org/wiki/Autorun) aprovechándose de la capacidad del mismo para auto ejecutar archivos y asi infectar el equipo cuando uno ingresa una memoria USB.

Con la creacion de la carpeta, el flasdesinfector evita que se genere un autorun.inf en su memoria.

esto NO evitara que tu memoria USB se infecte, pero SI evitara que esta auto ejecute el archivo infectado evitando asi la propagacion del mismo. Debido a esto igual es importante que analices tu memoria USB con antivirus actualizados para remover cualquier virus que se encuentre en ella pero podras contar con la tranquilidad de que aunque tengas virus en ella estos no se autoejecutaran y no infectaran tu maquina :Bien: (al menos que hagas doble clic sobre ellos y los ejecutes tu mismo :borracho:).

Gracias AXL, había estado buscando algo así pero no lo encontraba.

Ahora, como bien dices esto no evita la infección de la memoria (aunque si al menos la de la PC) y por esa razón quiero continuar con la herramientita ésta que estoy armando para eliminarlos automáticamente.
Se que es estúpido, teniendo antivirus mucho mas confiables, pero un escaneo de éstos siempre nos llevará más tiempo que pasar un .cmd específico y para mucha gente que conozco ésa es la diferencia entre desinfectar el pendrive y no hacelo.
Por otra parte, para mucha de ésta gente el borrado manual es imposible (jamás tildarán la opción "Ver los archivos protegidos por el sistema", algo que también lleva tiempo y que la mayoría ni sabe hacer).
Por estas razones, si aún pueden ayudarme con datos para el programita serán bienvenidos. Y claro, también lo serán herramientas como FlashDesinfector.

Hola sobre ese malware te puedo dar alguna info que recoppile de un pc al que le saque ese bicho personalmente:

Archivos creados:

C:\fun.xls.exe <----- 48KB
C:\Windows\System32\msime82.exe <----- 48KB
C:\Windows\System32\msfun80.exe <----- 48KB
C:\Windows\System32\algsrvs.exe <----- 48KB

Entradas del registro creadas:

HKEY_CURRENT_USER\software\microsoft\windows\curre ntversion\explorer\mountpoints2\C
\Shell\Auto\command - C:\fun.xls.exe
\Shell\AutoRun\command - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL fun.xls.exe

HKEY_CURRENT_USER\software\microsoft\windows\curre ntversion\explorer\mountpoints2\D
\Shell\Auto\command - D:\fun.xls.exe
\Shell\AutoRun\command - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL fun.xls.exe

HKEY_CURRENT_USER\software\microsoft\windows\curre ntversion\explorer\mountpoints2\{851f0ab6-83f8-11db-a56e-0014a5ec260c}
\Shell\Auto\command - fun.xls.exe
\Shell\AutoRun\command - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL fun.xls.exe

Espero te sea de ayuda esa información.

Saludos. :Bien:

mira puedes recopilar informacion sobre estos virus y armar una herramienta que puede llegar a ser util pero hay un gran problema y este es el mantenerse actualizado..

es mucho mas practico (sobre todo para ti para que ahorres trabajo) que le ayudes a tus compañeros a generar el habito de hacer clic derecho sobre la unidad de la memoria y hacer clic en escanear con el antivirus antes de abrir :rolleyes:

los antivirus se mantienen actualizados ademas de que cuentan con heuristica para detectar nuevas variantes.

ademas de esto que como ya te diste cuenta por la info que te paso GT estos archivos no solo modifican o crean archivos sino tambien generan claves del registro..

mira hace poco me tope con este tema:
http://www.forospyware.com/t134335-5.html#post647880

si lo lees y ves el desarrollo veras mi frustracion por que el usuario se infectaba a cada rato nuevamente con una variante especifica de estos virus que se trasnmiten por USB y que genera archivos con nombres aleatorios lo que hace mas dificil desinfectar el equipo..

lo que te recomiendo es lo que la experiencia de atender estos temas me ha enseñado y es detener primeramente la propagacion de los virus con el flashdesinfector (mediante la inmunizacion con la carpeta autorun.inf) y proceder luego a desinfectar el equipo..

Es de ayuda, gracias, aunque estuve revisando y el troyano no creó ninguna de esas entradas en el registro, aunque puede tratarse de otra versión del mismo troyano así que agregaré esas lineas en el .reg para eliminar esas claves.

Perdón AXL, contesté sin haber leído lo tuyo.
snif! supongo que tendré que dejar mi lucha mundial contra los troyanos y centrarme en la concientización de mis compañeros (que no sé que es mas dificil).:rolleyes:
Hay un dato que todavía no di y es que al genio que se encargó de instalar los sitemas en el colegio puso un programa tipo DeepFreeze con la PC infectada, por lo que el troyano que nos agarramos es siempre el mismo y ya sabremos que nos infectaremos antes de meter el pendrive pero no nos queda otra. Encima la escuela no se digna a llamar al responsable y lindo lío nos armarían si alguno de nosotros toca algo. Así anda la educación.:negar:
mmm.... ¿podría conservar el hilo a forma de tutorial? es que esto de desarrollar mi propia herramienta me ha hecho descubrir un montón de recursos que mas tarde podrían servirme (como borrar entradas del registro desde un .reg, yo sólo sabía agregarlas).


PD:Si la respuesta es "no", no hay ningún tipo de problema.
PD2:estoy leyendo lo del link ¡la pucha con esa infección!

hola..

no hay ningun problema con mantener el hilo abierto y si deseas podras ir consultandonos con cualquier duda que se te presente :Bien:

Sobre lo que planteas en tu institucion, te recomiendo le hagas pasar el flashdesinfector a la memoria USB de tus compañeros para que se genere la carpeta autorun.inf de esta manera no infectaran otros equipos :Bien:

snif! supongo que tendré que dejar mi lucha mundial contra los troyanos y centrarme en la concientización de mis compañeros (que no sé que es mas dificil).:rolleyes:

Lamentablemente el mundo de los virus y malwares es mucha mas grande que los archivos fun.exe.xls por lo que puedes seguir en tu lucha contra ellos :biggrin:

Si deseas ayudar puedes participar en el foro primeramente leyendo temas y luego si deseas participando respondiendo asi podras conocer mas sobre este mundo :Bien:

No se si te pueda interesar pero aqui en el foro tenemos un manual sobre la edicion del registro de windows que abarca la creacion de archivos .reg. si deseas puedes echarle un vistazo :Bien:
http://www.forospyware.com/t100349.html

Cualquier otra duda por aqui estamos :bye:

Si que me es útil el manual, al poder agregar las modificaciones al registro directamente desde el .cmd no tengo necesidad de acompañarlo con un .reg, que era algo molesto.
El foro lo leo bastante, aunque posteo poco y casi siempre con respecto a alguna infección, aunque la mayoría ya han sido tratados antes y no tengo necesidad de hacerlo. Más de una vez me han hecho quedar bien en otros foros cuando alguien se presentaba con algún problema que ya había visto acá.
Voy a leer el manual y si me surgen dudas las consulto.

Sólo quería dejar en claro mi agradecimiento a los datos que me prestaron. Hace una semana que empezaron las clases y las máquinas obviamente siguen igual. A sabiendas de que ni hackear el DeepFreeze ni lograr que el "técnico" a cargo venga y lo arregle son cosas posibles, les pasé la herramienta a mis compañeros y ¡FUNCIONA!
La verdad es que están bastantes contentos con tener una solución y no quería dejar de comentárselos.
Les agradezco la ayuda en nombre mío y de mis compas.

nos alegra haber sido de ayuda :Bien:

Si no tienes alguna otra consulta sobre este tema indicame para darlo por solucionado :Bien:

Puedes cerrarlo. A lo sumo si veo que me surgen nuevas dudas o que tengo que actualizar el programa puedo pedirte reabrirlo ¿no? (aunque no creo que lo haga, hasta donde vi funciona perfecto, ya que es para un caso muy puntual)

ok :Bien:

si deseas reabrirlo solo debes mandarme un mensaje privado indicandome que deseas que se abra nuevamente el tema :Bien: