• Registrarse
  • Iniciar sesión


  • Página 1 de 2 12 ÚltimoÚltimo
    Resultados 1 al 10 de 13

    Autorun no se puede eliminar. (Solucionado)

    ...

          
    1. #1
      Usuario Avatar de anrafael
      Registrado
      dic 2009
      Ubicación
      Lima - Peru
      Mensajes
      32

      Malware Autorun no se puede eliminar. (Solucionado)

      Hola amigos de la seccion "Virus y Spyware" tengo un problema con un autorun que no lo puedo eliminar de mi memoria usb.
      Luego de utilizar mi memoria en una de las pc de mi laboratorio de la universidad (cuna de virus, aunque no nos guste) se infecto con un troyano, al menos eso lo dice el avast 5.0 en su reporte: "H:\driver\setup.exe [L] Win32:Rootkit-gen [Rtk] (0)
      El archivo fue eliminado con éxito..." donde al abrir mi usb elimino el ejecutable, mas no el autorun porque indica que: "el archivo no puede ser analizado. archivo sin conexion...". Bueno entonces intente eliminarlo manualmente y no he podido, he intentado quitarle los atributos y me deniega el acceso (solo tiene el atributo de oculto). Ademas intente desbloquearlo con el File Assassin y bota error .
      Bueno por eso acudo a esta seccion (expertos en malware) para que me puedan ayudar a eliminarlo, porque aun sigue ahi...

      NOTA:

      - Sistema operativo Windows xp sp3
      - No creo que se haya propagado a mi pc (tengo desactivado la reproduccion automatica) pero puede ser posible.



      Última edición por anrafael fecha: 21/11/10 a las 20:25:42

    2. #2
      Ex-Colaborador Avatar de Rollinguit
      Registrado
      sep 2009
      Ubicación
      Argentina
      Mensajes
      6.224

      Re: Autorun no se puede eliminar

      Hola anrafael.




      Realiza lo siguiente:
      Si utilizas Spybot Search & Destroy desactivas el Tea Timer

      1.-
      Descarga, instala y/o actualiza (fundamental):



      *IMPORTANTE* Conecta tus dispotivos USB al ordenador al realizar los análisis, marcando la unidad que le corresponda.
      2.-


      3.- (Modo seguro)

      Ejecuta:

      UsbFix.exe, siguiendo los pasos de su Manual en su opción "Supresión". Al finalizar pega el reporte en tu próxima respuesta.
      Ccleaner, usando sus opciones:
      • Limpiador: para borrar cookies, temporales de Internet y todos los archivos que este te muestre como obsoletos;
      • Registro: para limpiar todo el Registro de Windows haciendo Copia de Seguridad.
      Malwarebytes' Anti-Malware
      • Realizar un "Análisis Completo".
      • Una vez finalizado, pulsa sobre " Mostrar los Resultados " y " Eliminar Seleccionadas ". Si te pide reiniciar, lo haces.


      4.- (Modo normal)

      Realizar un análisis completo con Panda ActiveScan 2.0, al finalizar *IMPORTANTE* presiona el simbolo Exportar a y en tu próxima respuesta pegas el reporte.


      En tu proxima respuesta pega los reportes:
      UsbFix
      Malwarebytes (pestaña "Registros")
      Panda ActiveScan 2.0
      Comentanos como te fue y como funciona el sistema ...

      Blog | Antivirus Online | Eliminar Malwares | Antivirus Gratis


      * Síguenos en nuestro Twitter y hazte nuestro amigo en Facebook.
      * Infórmate de las ultimas amenazas de la red desde: InfoSpyware Blog
      * No se resuelven dudas por Privados ni por E-mail, ya que para eso esta el foro.

    3. #3
      Usuario Avatar de anrafael
      Registrado
      dic 2009
      Ubicación
      Lima - Peru
      Mensajes
      32

      Investigación Re: Autorun no se puede eliminar

      Gracias por responder Rollinguit, el Ccleaner ya lo tengo y lo uso con frecuencia. El Spybot no lo tengo porque hasta ahora no he creido necesario tener un Anti-Spyware (asi que me salteo la parte de la desactivacion del Spybot), voy a descargar el Malwarebytes y el UsbFix. Descargando ...
      Cuando termine de hacer todo copio los logs. Vamos a ver que dice el reporte...
      Última edición por anrafael fecha: 09/11/10 a las 11:31:08

    4. #4
      Usuario Avatar de anrafael
      Registrado
      dic 2009
      Ubicación
      Lima - Peru
      Mensajes
      32

      Re: Autorun no se puede eliminar

      Hola Rollinguit, disculpa por la damora pero he tenido una semana ajustada.
      He seguido los pasos tal cual me los propusistes sin ningun contratiempo.
      Bueno aqui copio los logs de reporte:

      USBFIX.2

      Código:
      ############################## | UsbFix 7.034 | [Supresión]
      
      Actualizado el 25/10/10 por El Desaparecido / C_XX
      Comenzó a 09:57:35 | 15/11/2010
      Sitio web: http://www.teamxscript.org
      Contacto: [email protected]
      
      CPU:  Intel(R) Pentium(R) 4 CPU 3.00GHz
      CPU 2:  Intel(R) Pentium(R) 4 CPU 3.00GHz
      Microsoft Windows XP Professional (5.1.2600 32-Bit) # Service Pack 3
      Internet Explorer 8.0.6001.18702
      
      Antivirus: avast! Antivirus 5.0.83886757 [Enabled | Updated]
      RAM -> 1535 Mb 
      C:\ (%systemdrive%) -> Disco fijo # 19 Gb (4 Mb libre(s) - 20%) [] # NTFS
      D:\ -> Disco fijo # 9 Gb (4 Mb libre(s) - 38%) [DISK1_VOL2] # FAT32
      E:\ -> Disco fijo # 47 Gb (605 Mb libre(s) - 1%) [DISK1_VOL3] # FAT32
      F:\ -> CD-ROM
      H:\ -> Disco extraíble # 4 Gb (1 Mb libre(s) - 35%) [MEMORIA F] # FAT32
      
      ################## | Archivos # Carpetas infectadas |
      
      
      Suprimido ! C:\Recycler\S-1-5-21-1004336348-343818398-1177238915-1003
      Suprimido ! C:\Recycler\S-1-5-21-1004336348-343818398-1177238915-1005
      
      ################## | Registro |
      
      
      ################## | Mountpoints2 |
      
      
      ################## | Listing |
      
      [09/11/2010 - 11:51:35 | D ] 	C:\!KillBox
      [11/11/2010 - 12:31:12 | D ] 	C:\Archivos de programa
      [08/06/2010 - 15:57:43 | N | 0] 	C:\AUTOEXEC.BAT
      [15/11/2010 - 08:53:25 | RASHD ] 	C:\Autorun.inf
      [13/11/2010 - 10:35:33 | N | 211] 	C:\boot.ini
      [24/08/2001 - 07:00:00 | N | 4952] 	C:\Bootfont.bin
      [08/06/2010 - 15:57:43 | N | 0] 	C:\CONFIG.SYS
      [08/06/2010 - 17:16:10 | D ] 	C:\Documents and Settings
      [19/10/2010 - 12:46:27 | D ] 	C:\dyan
      [06/02/2004 - 17:17:54 | N | 16384] 	C:\hpqimgrc.resources.dll
      [08/06/2010 - 15:57:43 | N | 0] 	C:\IO.SYS
      [09/11/2010 - 12:46:15 | N | 714] 	C:\kb.log
      [15/11/2010 - 08:55:07 | D ] 	C:\Malwarebytes' Anti-Malware
      [15/11/2010 - 09:13:34 | D ] 	C:\MATLAB6p5
      [08/06/2010 - 15:57:43 | N | 0] 	C:\MSDOS.SYS
      [08/06/2010 - 16:45:15 | RHD ] 	C:\MSOCache
      [13/04/2008 - 15:13:04 | N | 47564] 	C:\NTDETECT.COM
      [13/04/2008 - 17:01:52 | N | 251168] 	C:\ntldr
      [09/06/2010 - 09:03:13 | D ] 	C:\NVIDIA
      [10/11/2010 - 11:02:44 | D ] 	C:\Output Files
      [15/11/2010 - 09:58:24 | SHD ] 	C:\RECYCLER
      [04/10/2010 - 14:38:18 | SHD ] 	C:\System Volume Information
      [28/09/2010 - 12:14:30 | D ] 	C:\temp
      [08/06/2010 - 16:11:44 | D ] 	C:\TempEI4
      [15/11/2010 - 09:58:24 | D ] 	C:\UsbFix
      [15/11/2010 - 09:58:24 | A | 1101] 	C:\UsbFix.txt
      [15/11/2010 - 09:08:36 | D ] 	C:\WINDOWS
      [08/06/2010 - 15:03:12 | D ] 	D:\familia
      [24/09/2005 - 22:23:02 | D ] 	D:\Lineage II
      [25/11/2008 - 23:26:54 | SHD ] 	D:\Recycled
      [03/07/2005 - 19:32:50 | SHD ] 	D:\System Volume Information
      [10/04/2009 - 17:30:38 | D ] 	D:\Fuente
      [12/04/2010 - 08:08:04 | D ] 	D:\Matlab Portable
      [15/11/2010 - 08:53:30 | RASHD ] 	D:\Autorun.inf
      [30/08/2009 - 08:28:52 | D ] 	D:\DPET LDS
      [05/07/2008 - 21:37:38 | D ] 	D:\TombRaider2
      [25/06/2010 - 17:06:30 | D ] 	D:\usb nuevo 
      [29/03/2010 - 10:35:50 | D ] 	D:\ROBOT - TORNEO
      [20/08/2010 - 19:55:38 | N | 57176] 	D:\FORMACIÓN Y FUNCIÓN DE POLÍMEROS EXTRACELULARES POR PLACA.pptx
      [25/11/2008 - 23:27:34 | SHD ] 	E:\Recycled
      [09/02/2005 - 06:32:50 | SHD ] 	E:\System Volume Information
      [15/11/2010 - 09:08:28 | ASH | 2145386496] 	E:\pagefile.sys
      [25/10/2010 - 13:02:00 | N | 4176871580] 	E:\Image.nrg
      [02/11/2010 - 09:58:06 | N | 1102] 	E:\cc_20101102_095800.reg
      [15/11/2010 - 08:53:32 | RASHD ] 	E:\Autorun.inf
      [15/11/2010 - 09:17:44 | N | 13910] 	E:\cc_20101115_091733.reg
      [15/02/2010 - 16:06:36 | D ] 	E:\otros
      [30/04/2009 - 11:02:08 | D ] 	E:\FOTOS 
      [07/11/2009 - 12:25:22 | D ] 	E:\E-max
      [15/11/2010 - 09:57:12 | N | 1330] 	E:\UsbFix.txt
      [05/11/2010 - 15:48:16 | ASH | 47616] 	E:\Thumbs.db
      [30/12/2009 - 20:32:28 | D ] 	E:\antivirus
      [11/11/2010 - 17:10:50 | N | 9905695] 	E:\Telurometro digital de alta frecuencia.flv
      [14/09/2010 - 15:43:48 | D ] 	E:\office Convert Pdf to Word for Doc Free
      [15/09/2010 - 19:50:08 | D ] 	E:\PRACTIK FISO-MUSCULO
      [20/08/2010 - 14:53:34 | D ] 	E:\musica
      [01/02/2006 - 22:02:20 | D ] 	E:\videos
      [27/10/2010 - 11:47:44 | RASH | 108] 	H:\Desktop.ini
      [29/10/2010 - 15:01:10 | H | 16] 	H:\AUTORUN.INF
      [12/11/2010 - 16:03:52 | N | 3010048] 	H:\POZO A TIERRA.ppt
      [05/11/2010 - 18:20:30 | D ] 	H:\--pozo a tierra---
      [11/11/2010 - 16:56:36 | N | 1569280] 	H:\POZO A TIERRA.doc
      [11/11/2010 - 16:57:44 | N | 30208] 	H:\expo - pozo tierra.doc
      [11/11/2010 - 17:10:50 | N | 9905695] 	H:\Telurometro digital de alta frecuencia.flv
      [24/09/2010 - 13:06:38 | D ] 	H:\libros user
      [19/09/2010 - 20:38:54 | D ] 	H:\univ
      [18/10/2010 - 14:40:12 | D ] 	H:\GAMES
      [18/10/2010 - 14:40:34 | D ] 	H:\class
      [20/10/2010 - 13:37:30 | D ] 	H:\control
      [20/10/2010 - 13:38:00 | D ] 	H:\wall
      [20/10/2010 - 16:25:08 | D ] 	H:\musk
      [20/10/2010 - 19:04:40 | D ] 	H:\cacel
      
      
      ################## | Vaccin |
      
      C:\Autorun.inf -> Carpeta creada por UsbFix (El Desaparecido & C_XX)
      D:\Autorun.inf -> Carpeta creada por UsbFix (El Desaparecido & C_XX)
      E:\Autorun.inf -> Carpeta creada por UsbFix (El Desaparecido & C_XX)
      H:\Autorun.inf -> Carpeta creada por Panda USB Vaccine
      
      ################## | Upload |
      
      Por favor, envie el archivo: C:\UsbFix_Upload_Me_HOGWARTS-E33BD6.zip
      http://www.teamxscript.org/Sample/Upload.php
      Gracias por su contribución.
      
      ################## | E.O.F |
      Y de Malwarebytes' Anti-Malware 1.46:

      Código:
      Malwarebytes' Anti-Malware 1.46
      www.malwarebytes.org
      
      Versión de la Base de Datos: 5120
      
      Windows 5.1.2600 Service Pack 3 (Safe Mode)
      Internet Explorer 8.0.6001.18702
      
      15/11/2010 11:50:32
      mbam-log-2010-11-15 (11-50-32).txt
      
      Tipos de Análisis: Análisis Completo (C:\|D:\|H:\|)
      Objetos examinados: 324750
      Tiempo transcurrido: 1 hora(s), 11 minuto(s), 6 segundo(s)
      
      Procesos en Memoria Infectados: 0
      Módulos de Memoria Infectados: 0
      Claves del Registro Infectadas: 0
      Valores del Registro Infectados: 0
      Elementos de Datos del Registro Infectados: 0
      Carpetas Infectadas: 0
      Archivos Infectados: 0
      
      Procesos en Memoria Infectados:
      (No se han detectado elementos maliciosos)
      
      Módulos de Memoria Infectados:
      (No se han detectado elementos maliciosos)
      
      Claves del Registro Infectadas:
      (No se han detectado elementos maliciosos)
      
      Valores del Registro Infectados:
      (No se han detectado elementos maliciosos)
      
      Elementos de Datos del Registro Infectados:
      (No se han detectado elementos maliciosos)
      
      Carpetas Infectadas:
      (No se han detectado elementos maliciosos)
      Bueno parece que no tengo ninguna infeccion, solo algo en la papelera (restore) que seguro es lo que elimino el antivirus (lo mencione antes). Pero bueno si me equivoco tu lo diras.

      Ademas he observado que el USBFIX ha "vacunado" todos mis discos (pero no mi memoria usb) con una carpeta:



      Y por ultimo el autorun de mi memoria USB no se ha eliminado sigue igual que al inicio. Pero por el reporte de Usbfix creo que seria una vacuna... La cual yo no he realizado (seguro estaba programado de forma automatica). Espero confirmes o desmientas eso por favor.

      Un saludo, espero tu respuesta.
      Última edición por anrafael fecha: 15/11/10 a las 13:43:17

    5. #5
      Ex-Colaborador Avatar de Rollinguit
      Registrado
      sep 2009
      Ubicación
      Argentina
      Mensajes
      6.224

      Re: Autorun no se puede eliminar

      Perfecto, UsbFix ha hecho su trabajo. La unidad H:\ la cual pertenece a tu dipositivo extraible, esta vacunado por Panda USB Vaccine, así que no hay de que preocuparse.


      Por otro lado, no haz pegado el reporte de Panda ActiveScan. Sería bueno que lo hicieras. Cualquier cosa nos avisas ...


      Saludos!

      Blog | Antivirus Online | Eliminar Malwares | Antivirus Gratis


      * Síguenos en nuestro Twitter y hazte nuestro amigo en Facebook.
      * Infórmate de las ultimas amenazas de la red desde: InfoSpyware Blog
      * No se resuelven dudas por Privados ni por E-mail, ya que para eso esta el foro.

    6. #6
      Usuario Avatar de anrafael
      Registrado
      dic 2009
      Ubicación
      Lima - Peru
      Mensajes
      32

      Investigación Re: Autorun no se puede eliminar

      Hola, bueno aunque hasta ahora no he utilizado ningun AV para vacunar mi pc o memoria usb voy a probar que tal va.

      Pero lo que me desagrada es que (a parte de tener 2 vacunas diferentes) es que la de mi pc es una carpeta y talvez pueda corromperse con algun malware y uno confiado la puede pasar por alto.

      Otro punto importante es que el UsbFix activo la reproduccion automatica de forma parcial (aunque supuestamente la tenia que desactivar), pues aunque mi memoria usb no se abrio automaticamente, mi celular y mi memory card si lo hicieron (cosa que antes no lo hacia, pues como dije yo lo habia desactivado) eso me deja dudas sobre su efectividad, o asi funciona??

      Bueno espero tu respuesta, un saludo...
      Última edición por anrafael fecha: 18/11/10 a las 10:50:58

    7. #7
      Ex-Colaborador Avatar de Rollinguit
      Registrado
      sep 2009
      Ubicación
      Argentina
      Mensajes
      6.224

      Re: Autorun no se puede eliminar

      Hola anrafael:


      En primer lugar en tu Sistema tienes una carpeta en C:\Autorun.inf la cual ha sido bien creada por la herramienta UsbFix y si miras dentro comprobaras que hay un archivo llamado lpt1.UsbFix.

      Segundo lugar, Reproducción automatica:
      • Ve a Inicio -> Ejecutar y escribes dentro: gpedit.msc
      • Aceptas.
      • Se abre el Editor de políticas del sistema.
      • En la ventana Ventana Directiva de grupo vas a Configuración del equipo -> Plantillas administrativas -> Sistema -> Desactivar reproducción automática.
      • Aparecerá una nueva pantalla llamada Propiedades de Desactivar reproducción automática.
      • Tilda la opción "Deshabilitada", "Aplicas" y "Aceptas".

      Nos comentas.

      Blog | Antivirus Online | Eliminar Malwares | Antivirus Gratis


      * Síguenos en nuestro Twitter y hazte nuestro amigo en Facebook.
      * Infórmate de las ultimas amenazas de la red desde: InfoSpyware Blog
      * No se resuelven dudas por Privados ni por E-mail, ya que para eso esta el foro.

    8. #8
      Usuario Avatar de anrafael
      Registrado
      dic 2009
      Ubicación
      Lima - Peru
      Mensajes
      32

      Investigación Re: Autorun no se puede eliminar

      Hola Rollinguit, gracias por tu respuesta; aunque creo que no entendiste bien mi pregunta.

      1ro: Los pasos que indicas sobre la desactivacion automatica de dispositivos extraibles yo ya los he aplicado desde hace mucho (por eso comente en el primer post que tengo desactivada la reproduccion automatica) y ningun dispositivo extraible se abre sin que yo lo desee, por eso luego de utilizar el UsbFix me parecio raro que la memory card de mi celular se abriera automaticamente (por eso mencione que me parecio una activacion parcial de esa opcion) mas no mi memoria usb (como debia de ser) y mi duda recae en ese punto, es decir si UsbFix modifico eso de alguna manera ¿? en todo caso causo un error porque ni lo activo ni lo desactivo (la verdad no se que hizo, por eso la pregunta) y luego volvi a activar la opcion de "desactivar reproduccion automatica" y esta como antes. Pero lo mencionado antes, no se que fue en realidad...

      2do: En todos mis discos (C/ D/ H) el Usb Fix los ha "vacunado" con un autorun.inf yo entiendo que esto es para evitar que un malware copie su propio autorun y asi se reproduzca automaticamente y/o masivamente; lo que seria favorable (que exista la vacuna). Como mecione no he probado "otra vacunas" antes y por eso tengo la duda sobre la diferencia que puede existir entre un autorun con carpeta (creada por el UsbFix) y uno de archivo (creado por el Panda UAb vaccine), es decir que una carpeta puede corromperse mas facilmente que un archivo¿?. Talvez me equivoque en este punto, por eso la pregunta.

      En el resto no hay inconveniente, espero tu comentario, un saludo.

      PD: En realidad se debe marcar la opcion "habilitar" para desactivar la reproduccion automatica.
      Última edición por anrafael fecha: 18/11/10 a las 10:55:49

    9. #9
      Ex-Colaborador Avatar de Rollinguit
      Registrado
      sep 2009
      Ubicación
      Argentina
      Mensajes
      6.224

      Re: Autorun no se puede eliminar

      La memory card es más compleja que otros dispositivos extraibles, puesto que presenta otra estructura.
      Lo que comentas sobre UsbFix es raro, pero no creo que sea un fallo.
      Por otro lado el hecho de tener o no carpeta es lo mismo. En ambos casos al comprobar la amenaza que hay otro archivo nombrado igualmente autorun.inf y contiene los mismos atributos, como por ejemplo el de "Archivos de sólo lectura", ésta no podrá copiarse. Al igual que UsbFix, tiene una "carpeta" denominada Autorun.inf y dentro un archivo con ciertos atributos bloqueando la creación de archivos infectados que pudiere generar el malware, worm, etc.


      Espero lo hayas entendido y me comentes si tenes alguna duda más con respecto al tema principal.


      Saludos!

      Blog | Antivirus Online | Eliminar Malwares | Antivirus Gratis


      * Síguenos en nuestro Twitter y hazte nuestro amigo en Facebook.
      * Infórmate de las ultimas amenazas de la red desde: InfoSpyware Blog
      * No se resuelven dudas por Privados ni por E-mail, ya que para eso esta el foro.

    10. #10
      Usuario Avatar de anrafael
      Registrado
      dic 2009
      Ubicación
      Lima - Peru
      Mensajes
      32

      Investigación Re: Autorun no se puede eliminar

      Ok, comprendo lo dicho con respecto a la vacuna. Lo de la desactivacion parcial es muy raro en realidad (aun no me queda claro lo que paso) pero como volvi a activar la opcion... se podria decir que ya paso el problema.
      Con respecto al problema principal, es decir la infeccion de un malware (eliminado por mi AV) y la aparicion de un autorun, que no se puede eliminar el mismo dia, me hacia creer sobre algo muy malicioso. Quedando claro que este autorun resulto ser una vacuna creado por el Panda vaccine y habiendo arrojado negativo el scan de malware en mi pc, me deja mas tranquilo (repito no he utilizado vacunas antes).
      Mas bien si deseo eliminar la vacuna-autorun en el futuro (seguro proximo, pues yo no quise que se cree) de mi memoria usb deberia...
      1.- descargar el Panda vaccine y buscar la opcion "quitar vacuna"
      ó 2.- mover todos mis datos y formatear mi usb
      o hay otra opcion???
      Última edición por anrafael fecha: 21/11/10 a las 20:57:17

    Página 1 de 2 12 ÚltimoÚltimo