• Registrarse
  • Iniciar sesión


  • Página 1 de 2 12 ÚltimoÚltimo
    Resultados 1 al 10 de 15

    Accesos directos en USB (Infección con Win32/Dorkbot.A APARENTEMENTE (Solucionado)

    Resumen del tema: Accesos directos en USB (Infección con Win32/Dorkbot.A APARENTEMENTE (Solucionado) - ¿Qué tal, amig@s de Infospyware? Les comento mi problema: Ayer al llegar de la facultad conecté mi reproductor Phillips (que uso como USB) a mi PC y me encontré con que las carpetas me aparecían ...

      
    1. #1
      Usuario Avatar de Espineta
      Registrado
      nov 2008
      Ubicación
      Quilmes
      Mensajes
      96

      Malware Accesos directos en USB (Infección con Win32/Dorkbot.A APARENTEMENTE (Solucionado)

      ¿Qué tal, amig@s de Infospyware? Les comento mi problema: Ayer al llegar de la facultad conecté mi reproductor Phillips (que uso como USB) a mi PC y me encontré con que las carpetas me aparecían como accesos directos (algo que me había extrañado ver en un par de máquinas de los centros de copiado donde evidentemente se infectó mi dispositivo portátil). Distraído, le di doble click a una y me la abrió en segundo plano en una ventana nueva. En principio pensé que era sólo un problema de la vista de las carpetas, pero lo que ocurrió es que al hacerlo infecté mi computadora. Primero, cuando noté que no era lógico que la vista de las carpetas se cambie por accesos directos, busqué en Internet y encontré la popular solución al problema de ejecutar el comando Attrib /d /s -r -h -s *.* en cmd, y borrar los accesos directos. Analicé el extraíble con Malwarebytes, que me detectó y eliminó dos infecciones:


      Malwarebytes' Anti-Malware 1.50.1.1100
      www.malwarebytes.org

      Versión de la Base de Datos: 6585

      Windows 5.1.2600 Service Pack 3
      Internet Explorer 8.0.6001.18702

      16/05/2011 05:14:11 p.m.
      mbam-log-2011-05-16 (17-14-11).txt

      Tipos de Análisis: Análisis Rápido
      Objetos examinados: 744
      Tiempo transcurrido: 38 segundo(s)

      Procesos en Memoria Infectados: 0
      Módulos de Memoria Infectados: 0
      Claves del Registro Infectadas: 0
      Valores del Registro Infectados: 0
      Elementos de Datos del Registro Infectados: 0
      Carpetas Infectadas: 0
      Archivos Infectados: 2

      Procesos en Memoria Infectados:
      (No se han detectado elementos maliciosos)

      Módulos de Memoria Infectados:
      (No se han detectado elementos maliciosos)

      Claves del Registro Infectadas:
      (No se han detectado elementos maliciosos)

      Valores del Registro Infectados:
      (No se han detectado elementos maliciosos)

      Elementos de Datos del Registro Infectados:
      (No se han detectado elementos maliciosos)

      Carpetas Infectadas:
      (No se han detectado elementos maliciosos)

      Archivos Infectados:
      f:\RECYCLER\e26f5077.exe (Backdoor.IRCBot) -> Quarantined and deleted successfully.
      f:\RECYCLER\0xd80a89c7.exe (Backdoor.IRCBot) -> Quarantined and deleted successfully.



      Y eliminé la carpeta recycler junto con los accesos directos, pero evidentemente el problema no terminó allí ya que la infección por lo visto se propagó a mi disco duro, ya que:


      1) El Nod32 me detectó y puso en cuarentena espontáneamente esta infección:


      16/05/2011 05:18:35 p.m. Protección en tiempo real del sistema de archivos archivo C:\Documents and Settings\Ana Maria\Datos de programa\Jucicr.exe Win32/Dorkbot.A gusano no se ha podido desinfectar - archivo eliminado - puesto en Cuarentena ADMIN-F9B1DE3E1\Ana Maria Suceso ocurrido durante un intento de acceder a un archivo por la aplicación: C:\WINDOWS\explorer.exe.




      2) No podía acceder a las siguientes páginas:


      Kaspersky Lab América Latina | Software Antivirus y Seguridad en Internet
      Kaspersky Lab United States | Antivirus Computer Security
      Panda Activescan | Antivirus online Gratis contra virus | Desinfectar Virus Gratis - Panda Security
      ANTIVIRUS - Download - CLOUD - SOFTWARE 2011 - Buy - Protection - News - PANDA SECURITY
      http://security.symantec.com/
      HouseCall - Free Online Virus Scan - Trend Micro USA
      Microsoft Safety Scanner - Herramienta en línea gratuita para el mantenimiento y la seguridad de su PC
      Windows Live OneCare
      http://www.virustotal.com/es/


      Descubierto esto, primero he escaneado mi sistema con Malwarebytes y el Nod32 en el modo normal. El Malwarebytes sólo me arrojó tres falsos positivos (tres patchs); el Nod32 me arrojó los mismos tres falsos positivos más otros tres:


      Registro del análisis a petición del usuario
      Versión de la base de firmas de virus: 6127 (20110516)
      Fecha: 16/05/2011 Hora: 06:21:05 p.m.
      Discos, carpetas y archivos analizados: Memoria operativa;A:\Sector de inicio;A:\;C:\Sector de inicio;C:\;D:\Sector de inicio;D:\;E:\Sector de inicio;E:\;G:\Sector de inicio;G:\
      en el sector de inicio de A: - error abriendo [4]
      A:\ - error abriendo [4]
      C:\pagefile.sys - error abriendo [4]
      C:\Archivos de programa\Argente Utilities\Argente Utilities.dll » ZIP » _detect.dat - error- archivo protegido por contraseña
      C:\Archivos de programa\Argente Utilities\Argente Utilities.dll » ZIP » _proj.dat - error- archivo protegido por contraseña
      C:\Archivos de programa\Argente Utilities\Argente Utilities.dll » ZIP » _fonts.dat - error- archivo protegido por contraseña
      C:\Archivos de programa\ESET\MiNODLogin\MiNODLogin.exe - Win32/HackAV.DD aplicación potencialmente peligrosa - la acción seleccionada se ha retrasado hasta la finalización del análisis
      C:\Archivos de programa\ESET\MiNODLogin\MiNODLogin.jar » ZIP » gs/eset/ESETAntivirus.class - una variante de Java/HackAV.A aplicación potencialmente peligrosa
      C:\Archivos de programa\ESET\MiNODLogin\MiNODLoginLib.dll - Win32/HackAV.GI aplicación potencialmente peligrosa - la acción seleccionada se ha retrasado hasta la finalización del análisis
      D:\ - error abriendo [4]
      E:\Archivos\Comics\Miracleman\New Folder\Miracleman #06.cbr » RAR » Miracleman-Vol06\04-Page3.jpg - incorrecto valor de verificación CRC, el archivo podría estar dañado.
      E:\Archivos\Comics\Miracleman\New Folder\Miracleman #08.cbr » RAR » Miracleman 08 - 19.jpg - incorrecto valor de verificación CRC, el archivo podría estar dañado.
      E:\Archivos\Comics\Miracleman\New Folder\Miracleman #10.cbr » RAR » Miracleman-Vol10\20-Addendum3.jpg - incorrecto valor de verificación CRC, el archivo podría estar dañado.
      E:\Archivos\Web y PC\Setups, seriales, etc\finereader.10.x.x-patch-plus.exe - Win32/HackTool.Patcher.A aplicación potencialmente peligrosa - la acción seleccionada se ha retrasado hasta la finalización del análisis
      E:\Archivos\Web y PC\Setups, seriales, etc\patch_readiris_pro_v12.0.exe - Win32/HackTool.Patcher.A aplicación potencialmente peligrosa - la acción seleccionada se ha retrasado hasta la finalización del análisis
      E:\Archivos\Web y PC\Setups, seriales, etc\GP6\Patch.exe - Win32/HackTool.Patcher.A aplicación potencialmente peligrosa - la acción seleccionada se ha retrasado hasta la finalización del análisis
      G:\ - error abriendo [4]
      Cantidad de objetos analizados: 251884
      Cantidad de amenazas detectadas: 6
      Cantidad de objetos desinfectados: 0
      Hora de finalización: 06:46:35 p.m. Tiempo total de análisis: 1530 seg (00:25:30)

      Notas:
      [4] No se ha podido abrir el objeto. Podría estar en uso por otra aplicación o el sistema operativo.



      Luego seguí los pasos que se recomiendan aquí para un usuario con el mismo problema (y corrí el UsbFix, que no encontró nada):


      Accesos directos en vez de carpetas en el sistema de archivos (Solucionado)


      El Malwarebytes no encontró más infecciones y el Flash_Disinfector no tengo modo de saberlo, pero aparentemente funcionó ya que ahora sí puedo acceder a las páginas antes mencionadas y no noto nada raro en el funcionamiento de mi PC. Decidí escribirles de todos modos para que me sugieran cómo seguir (y también por si lo que les informo sirve de algo). ¿Hay alguna herramienta específica que me recomienden u otro paso para descartar que mi ordenador continue infectado? (Ya que cuando lo estaba no presentaba ningún otro síntoma además de no dejarme acceder a las páginas de antivirus).



      Les dejo alguna info importante sobre mi problema que encontré en la web:


      NUEVA VARIANTE DE ROOTKIT DORKBOT | SATINFO
      (Contiene información sobre Win32/Dorkbot.A a partir de 0xd80a89c7.exe, que por lo visto está bastante difundido)

      http://www.zonavirus.com/noticias/20...autoruninf.asp
      (Contiene información sobre Win32/Dorkbot.A)


      ¿virus en el pen drive, ayuda urgente? - Yahoo! México Respuestas
      (Buscando e26f5077.exe, único resultado)


      Buscando Jucicr.exe no encontré nada.



      Saludos!
      Última edición por Espineta fecha: 17/05/11 a las 13:55:50

    2. #2
      Usuario Avatar de Alfa97
      Registrado
      ago 2010
      Ubicación
      Argentina
      Mensajes
      1.991

      Re: Accesos directos en USB (Infección con Win32/Dorkbot.A APARENTEMENTE

      Hola Espineta

      Políticas del foro
      Consejos para antes de publicar un nuevo mensaje
      __________________________________________________

      ------------------------------------------------------------------------------
      Manten conectado cualquier dispositivo USB como Pendrive
      ------------------------------------------------------------------------------

      Descarga
      Malwarebyte's 1.50.1 // Manual de Uso
      USBFix by Chiquitine29 // Manual de Uso

      Instala MBAM, ACTUALIZALO pero NO lo ejecutes aún.

      Inicia la PC en Modo Seguro

      Malwarebyte's


      Ejecuta Malwarebytes y haz un ESCANEO COMPLETO. Si encuentra infecciones ELIMINA TODO. Reinicia y entra en modo normal

      USBFix


      1. Conecte todos sus dispositivos extraibles, Pendrive, etc.
      2. Abre USBFix
      3. Seguido tipea la opción 3 - Supresión
      4. Aparecerá una advertencia para que conecte sus dispositivos USB, dale Aceptar
      5. Durante el análisis el escritorio puede desaparecer, es normal, si USBFix le pide reiniciar el sistema dale Aceptar y reinicia la PC.
      6. Busca el reporte que se creará en esta ruta: C:\USBFix.txt
      UsbFix creará una carpeta oculta llamada "$RECYCLE.BIN" "autorun.inf" en cada partición y cada unidad USB que se encuentre conectado al momento de ejecutar este. No elimine esta carpeta ... eso le ayudará a proteger sus dispositivos USB de futuras infecciones
      Haz un escaneo con Panda ActiveScan 2.0 // Manual de Uso (me traes el reporte)

      Cuando terminan los escaneos, guardas los reportes. Y los pegas en la tu siguiente respuesta.

      Me traes los tres reportes, Malwarebyte's, USBFix y Panda!


    3. #3
      Usuario Avatar de cazabichitos
      Registrado
      jun 2008
      Ubicación
      Quintana Roo
      Mensajes
      5

      Re: Accesos directos en USB (Infección con Win32/Dorkbot.A APARENTEMENTE solucionada)

      Cita Originalmente publicado por Alfa97 Ver Mensaje
      Hola Espineta

      Políticas del foro
      Consejos para antes de publicar un nuevo mensaje
      __________________________________________________

      ------------------------------------------------------------------------------
      Manten conectado cualquier dispositivo USB como Pendrive
      ------------------------------------------------------------------------------

      Descarga
      Malwarebyte's 1.50.1 // Manual de Uso
      USBFix by Chiquitine29 // Manual de Uso

      Instala MBAM, ACTUALIZALO pero NO lo ejecutes aún.

      Inicia la PC en Modo Seguro

      Malwarebyte's





      USBFix






      Haz un escaneo con Panda ActiveScan 2.0 // Manual de Uso (me traes el reporte)

      Cuando terminan los escaneos, guardas los reportes. Y los pegas en la tu siguiente respuesta.

      Me traes los tres reportes, Malwarebyte's, USBFix y Panda!

      Muchas, pero muchas gracias.
      Al parecer, mis carpetas no aparecen como accesos directos.
      Te comento que lo único que no hice fue la corrida final con el Panda, pues actualmente uso el AVAST.
      Consideraré cambiar mi antivirus. Gracias!

    4. #4
      Usuario Avatar de Espineta
      Registrado
      nov 2008
      Ubicación
      Quilmes
      Mensajes
      96

      Re: Accesos directos en USB (Infección con Win32/Dorkbot.A APARENTEMENTE solucionada)

      Hola, Alfa97. Dejo los reportes que me pediste, más uno que hice con Gmer (en ningún momento desactivé mi antivirus ni desconecté el USB). El escaneo con Malwarebytes lo realicé en modo seguro, ingresando como Administrador. Los demás en modo normal. Al ingresar al IE para hacer el escaneo online con Panda encontré que mi página de inicio había cambiado por http://fr.msn.com/, seguramente por acción de UsbFix (no así la del Mozilla, mi navegador por defecto). También escaneé con DrWeb LiveCD, que sólo me arrojó falsos positivos (por lo que ví no se puede salvar un reporte, lo que encontró fue):

      Infectados

      /win/C:/UsbFix/Un-UsbFix.exe
      /mnt/disk/sda1/Un-UsbFix.exe

      Maliciosos:

      /win/E:/Archivos/Web y PC/Seguridad/Flash_Disinfector.exe
      /mnt/disk/sda5/Archivos/Web y PC/Seguridad/Flash_Disinfector.exe


      Aclaro que no eliminé lo que encontraron Malwarebytes y Panda por tratarse, a todas luces, de otros tantos falsos positivos.


      Saludos!



      Malwarebytes:

      Malwarebytes' Anti-Malware 1.50.1.1100
      www.malwarebytes.org

      Database version: 6618

      Windows 5.1.2600 Service Pack 3 (Safe Mode)
      Internet Explorer 8.0.6001.18702

      19/05/2011 03:29:55 p.m.
      mbam-log-2011-05-19 (15-29-35).txt

      Scan type: Full scan (A:\|C:\|D:\|E:\|F:\|)
      Objects scanned: 244242
      Time elapsed: 1 hour(s), 1 minute(s), 41 second(s)

      Memory Processes Infected: 0
      Memory Modules Infected: 0
      Registry Keys Infected: 0
      Registry Values Infected: 0
      Registry Data Items Infected: 0
      Folders Infected: 0
      Files Infected: 1

      Memory Processes Infected:
      (No malicious items detected)

      Memory Modules Infected:
      (No malicious items detected)

      Registry Keys Infected:
      (No malicious items detected)

      Registry Values Infected:
      (No malicious items detected)

      Registry Data Items Infected:
      (No malicious items detected)

      Folders Infected:
      (No malicious items detected)

      Files Infected:
      e:\Archivos\Web y PC\setups, seriales, etc\activador ( usar en c-archivos de programa-nitro pdf).exe (PUP.Hacktool.Patcher) -> No action taken.


      UsbFix:


      ############################## | UsbFix 7.045 | [Supresión]

      Usuario: Ana Maria (Administrador) # ADMIN-F9B1DE3E1 [ ]
      Actualizado el 15/05/2011 por TeamXscript
      Comenzó a 15:43:22 | 19/05/2011
      Sitio web: http://www.teamxscript.org
      Submit your sample: http://www.teamxscript.org/Upload.php
      Contacto: [email protected]

      CPU: Intel(R) Pentium(R) Dual CPU E2180 @ 2.00GHz
      CPU 2: Intel(R) Pentium(R) Dual CPU E2180 @ 2.00GHz
      Microsoft Windows XP Professional (5.1.2600 32-Bit) # Service Pack 3
      Internet Explorer 8.0.6001.18702

      Firewall de Windows: Habilitado
      Antivirus: ESET NOD32 Antivirus 4.0 4.0 [Enabled | Updated]
      RAM -> 1013 Mb
      C:\ (%systemdrive%) -> Disco fijo # 31 Gb (1 Mb libre(s) - 3%) [] # NTFS
      D:\ -> CD-ROM
      E:\ -> Disco fijo # 118 Gb (2 Mb libre(s) - 2%) [] # NTFS
      F:\ -> Disco extraíble # 2 Gb (256 Mb libre(s) - 14%) [COSO] # FAT

      ################## | Archivos # Carpetas infectadas |


      Suprimido ! C:\Recycler\S-1-5-21-1645522239-1972579041-1801674531-1003
      Suprimido ! C:\Recycler\S-1-5-21-1645522239-1972579041-1801674531-500
      Suprimido ! C:\Recycler\S-1-5-21-773026127-2777499250-2700756575-3038
      Suprimido ! E:\Recycler\S-1-5-21-1645522239-1972579041-1801674531-1003
      Suprimido ! E:\Recycler\S-1-5-21-1645522239-1972579041-1801674531-500
      Suprimido ! E:\Recycler\S-1-5-21-773026127-2777499250-2700756575-3038

      ################## | Registro |

      Suprimido ! HKLM\software\microsoft\windows nt\currentversion\winlogon|Taskman

      ################## | Mountpoints2 |


      ################## | Listing |

      [29/03/2011 - 11:06:06 | D ] C:\!KillBox
      [01/11/2010 - 11:40:21 | D ] C:\215847729dcbf7bb298f
      [29/10/2010 - 16:41:12 | D ] C:\40407f6be9195215b4
      [17/05/2011 - 20:33:58 | D ] C:\Archivos de programa
      [29/10/2010 - 13:11:17 | N | 0] C:\AUTOEXEC.BAT
      [03/11/2010 - 21:26:37 | RASHD ] C:\Autorun.inf
      [19/05/2011 - 15:30:33 | SH | 211] C:\boot.ini
      [24/08/2001 - 13:00:00 | N | 4952] C:\Bootfont.bin
      [17/05/2011 - 20:34:08 | D ] C:\Config.Msi
      [29/10/2010 - 13:11:17 | N | 0] C:\CONFIG.SYS
      [27/12/2010 - 12:31:18 | D ] C:\Documents and Settings
      [29/10/2010 - 13:57:07 | D ] C:\Intel
      [29/10/2010 - 13:11:17 | N | 0] C:\IO.SYS
      [29/10/2010 - 13:11:17 | N | 0] C:\MSDOS.SYS
      [02/11/2010 - 15:44:08 | RHD ] C:\MSOCache
      [13/04/2008 - 22:13:04 | RASH | 47564] C:\NTDETECT.COM
      [14/04/2008 - 00:01:52 | N | 251168] C:\ntldr
      [19/05/2011 - 15:31:17 | ASH | 1598029824] C:\pagefile.sys
      [19/05/2011 - 15:45:13 | SHD ] C:\RECYCLER
      [12/02/2011 - 17:11:45 | SHD ] C:\System Volume Information
      [19/05/2011 - 15:45:13 | D ] C:\UsbFix
      [19/05/2011 - 15:45:51 | A | 1488] C:\UsbFix.txt
      [19/05/2011 - 15:35:49 | D ] C:\WINDOWS
      [21/03/2011 - 20:43:47 | D ] E:\Agata
      [19/05/2011 - 14:15:47 | D ] E:\Archivos
      [03/11/2010 - 21:26:37 | RASHD ] E:\Autorun.inf
      [19/05/2011 - 15:45:13 | SHD ] E:\RECYCLER
      [12/02/2011 - 17:11:46 | SHD ] E:\System Volume Information
      [02/05/2011 - 18:42:52 | D ] E:\Temp
      [01/01/1980 - 05:25:24 | N | 5373952] F:\STDBSTR.DAT
      [01/01/1980 - 05:25:24 | N | 35908] F:\STDBSTR.IDX
      [01/01/1980 - 05:25:24 | N | 3854336] F:\STDBDATA.DAT
      [01/01/1980 - 05:25:24 | N | 4652] F:\STDBDATA.IDX
      [01/01/1980 - 05:25:30 | N | 560560] F:\RAMLIST.DAT
      [03/01/1980 - 00:51:28 | D ] F:\FM
      [04/01/1980 - 06:37:14 | D ] F:\Voice
      [01/01/1980 - 06:24:26 | D ] F:\Playlists
      [01/01/1980 - 00:00:36 | N | 40040] F:\playqueue.dat
      [01/01/1980 - 00:10:10 | N | 708] F:\SETSTOR.DAT
      [01/01/1980 - 00:10:10 | D ] F:\SYSTEM
      [09/07/2008 - 09:04:56 | D ] F:\Música
      [09/03/2009 - 15:53:16 | D ] F:\Usb Write Protector
      [02/02/2010 - 14:13:54 | N | 684032] F:\Clases de guitarra.doc
      [04/03/2010 - 07:39:14 | N | 684544] F:\Clases de guitarra B.doc
      [01/04/2010 - 12:39:40 | N | 8] F:\PERSIST.BIN
      [15/02/2011 - 23:06:44 | N | 644590] F:\JAZZ.mp3
      [01/04/2011 - 19:55:58 | D ] F:\Vídeos
      [01/05/2011 - 21:47:32 | D ] F:\Imprimir
      [14/05/2011 - 21:40:10 | D ] F:\Lenguaje Musical
      [16/05/2011 - 00:56:26 | N | 426813] F:\Melodía en 6_8.mp3
      [16/05/2011 - 00:54:16 | N | 661] F:\Melodía en 6_8.mid
      [16/05/2011 - 19:05:32 | RASHD ] F:\autorun.inf

      ################## | Vaccin |

      C:\Autorun.inf -> Vacuna creada por UsbFix (TeamXscript)
      E:\Autorun.inf -> Vacuna creada por UsbFix (TeamXscript)
      F:\Autorun.inf -> Vacuna creada por UsbFix (TeamXscript)

      ################## | Upload |

      Por favor, envie el archivo: C:\UsbFix_Upload_Me_ADMIN-F9B1DE3E1.zip
      http://www.teamxscript.org/Upload.php
      Gracias por su contribución.

      ################## | E.O.F |


      ActiveScan:


      ;***********************************************************************************************************************************************************************************
      ANALYSIS: 2011-05-19 21:54:37
      PROTECTIONS: 1
      MALWARE: 1
      SUSPECTS: 1
      ;***********************************************************************************************************************************************************************************
      PROTECTIONS
      Description Version Active Updated
      ;===================================================================================================================================================================================
      ESET NOD32 Antivirus 4.0 4.0 Yes Yes
      ;===================================================================================================================================================================================
      MALWARE
      Id Description Type Active Severity Disinfectable Disinfected Location
      ;===================================================================================================================================================================================
      03074964 Trj/CI.A Virus/Trojan No 0 Yes No e:\archivos\web y pc\setups, seriales, etc\patch_readiris_pro_v12.0.exe
      03074964 Trj/CI.A Virus/Trojan No 0 Yes No e:\archivos\web y pc\setups, seriales, etc\finereader.10.x.x-patch-plus.exe
      ;===================================================================================================================================================================================
      SUSPECTS
      Sent Location
      ;===================================================================================================================================================================================
      No e:\archivos\web y pc\setups, seriales, etc\gp6\patch.exe
      ;===================================================================================================================================================================================
      VULNERABILITIES
      Id Severity Description
      ;===================================================================================================================================================================================
      ;===================================================================================================================================================================================


      Gmer:


      GMER 1.0.15.15627 - http://www.gmer.net
      Rootkit scan 2011-05-20 14:40:14
      Windows 5.1.2600 Service Pack 3 Harddisk0\DR0 -> \Device\Ide\IdeDeviceP2T1L0-10 WDC_WD1600AAJS-00L7A0 rev.01.03E01
      Running: lu6f9z5k.exe; Driver: C:\DOCUME~1\ANAMAR~1\CONFIG~1\Temp\awryrpoc.sys


      ---- System - GMER 1.0.15 ----

      SSDT 85BF6C90 ZwAssignProcessToJobObject
      SSDT 85BF7200 ZwDebugActiveProcess
      SSDT 85BF72F0 ZwDuplicateObject
      SSDT 85BF6590 ZwOpenProcess
      SSDT 85BF6800 ZwOpenThread
      SSDT 85BF6FD0 ZwProtectVirtualMemory
      SSDT 85BF70E0 ZwQueueApcThread
      SSDT 85BF6EC0 ZwSetContextThread
      SSDT 85BF6D90 ZwSetInformationThread
      SSDT 85BF3DA0 ZwSetSecurityObject
      SSDT 85BF6B90 ZwSuspendProcess
      SSDT 85BF6A80 ZwSuspendThread
      SSDT 85BF66E0 ZwTerminateProcess
      SSDT 85BF6A50 ZwTerminateThread
      SSDT 85BF76D0 ZwWriteVirtualMemory

      ---- User code sections - GMER 1.0.15 ----

      .text C:\Archivos de programa\ESET\ESET NOD32 Antivirus\ekrn.exe[2032] kernel32.dll!SetUnhandledExceptionFilter 7C84495D 4 Bytes [C2, 04, 00, 00]

      ---- Devices - GMER 1.0.15 ----

      AttachedDevice \FileSystem\Ntfs \Ntfs eamon.sys (Amon monitor/ESET)
      AttachedDevice \Driver\Tcpip \Device\Tcp epfwtdir.sys (ESET Antivirus Network Redirector/ESET)
      AttachedDevice \FileSystem\Fastfat \Fat eamon.sys (Amon monitor/ESET)

      ---- EOF - GMER 1.0.15 ----
      Última edición por Espineta fecha: 20/05/11 a las 14:19:12

    5. #5
      Usuario Avatar de Alfa97
      Registrado
      ago 2010
      Ubicación
      Argentina
      Mensajes
      1.991

      Re: Accesos directos en USB (Infección con Win32/Dorkbot.A APARENTEMENTE solucionada)

      Hola

      Lo tienes que eliminar por que esos programas son sospechosos de keygens o cracks. Es recomendable borrarlos. Te queda a tu disposición. Cuenta como sigue la PC


    6. #6
      Usuario Avatar de Espineta
      Registrado
      nov 2008
      Ubicación
      Quilmes
      Mensajes
      96

      Re: Accesos directos en USB (Infección con Win32/Dorkbot.A APARENTEMENTE solucionada)

      ¿Qué tal? Mi PC está funcionando perfectamente. ¿Será posible que cuando escaneé con Flash_Disinfector ya estuviera el equipo libre de infecciones pero permanecieran las páginas bloqueadas?

      Antes de dar el tema por cerrado quisiera ver si con su ayuda encuentro el modo de deshabilitar el autorun: Por más que ya ejecuté Panda USB Vaccine y el equipo me aparece como vacunado, el autorun del USB no se ha desactivado:



      Siempre salta eso al conectar un extraíble, y no puedo deshabilitar la opción manualmente desde gpedit.msc, ya que no me aparece la carpeta sistema:





      Saludos!

    7. #7
      Usuario Avatar de Alfa97
      Registrado
      ago 2010
      Ubicación
      Argentina
      Mensajes
      1.991

      Re: Accesos directos en USB (Infección con Win32/Dorkbot.A APARENTEMENTE solucionada)

      Hola

      Mira, intenta con esto: Desactivar autorun de los dispositivos USB


    8. #8
      Usuario Avatar de Espineta
      Registrado
      nov 2008
      Ubicación
      Quilmes
      Mensajes
      96

      Re: Accesos directos en USB (Infección con Win32/Dorkbot.A APARENTEMENTE solucionada)

      ¿Qué tal? Gracias por tu consejo, pero sigue sin resultar. Me sigue apareciendo la ventana de la que dejé una captura en mi anterior mensaje. Es extraño porque antes con la vacuna de panda o desde gpedit.msc podía deshabilitarlo sin inconvenientes; quizás desde la última reinstalación haya algo mal, quizás en el registro. Si hay alguna otra solución posible, se agradece.



      Saludos

    9. #9
      Usuario Avatar de Alfa97
      Registrado
      ago 2010
      Ubicación
      Argentina
      Mensajes
      1.991

      Re: Accesos directos en USB (Infección con Win32/Dorkbot.A APARENTEMENTE solucionada)

      Hola

      Tengo otra solución, probemos:

      Ve a Inicio --> Ejecutar --> Tipea "regedit" (sin comillas) --> Dirigite a la clave:

      HKEY_CURRENT_USER\Software\Microsoft\Windows\ CurrentVersion\Policies\Explorer
      Cambia el valor de la clave NoDriveTypeAutoRun a df (hexadecimal).
      Prueba con eso!

      Salu2

    10. #10
      Usuario Avatar de Espineta
      Registrado
      nov 2008
      Ubicación
      Quilmes
      Mensajes
      96

      Re: Accesos directos en USB (Infección con Win32/Dorkbot.A APARENTEMENTE solucionada)

      ¿Qué tal? Gracias por tu ayuda, pero te cuento que sigue sin funcionar. Una cuestión: Sin darme cuenta modifiqué en principio el valor de la clave NoDriveAutoRun. Creo que lo volví a dejar como estaba, debe estar en 3, no? Te dejo una captura de cómo está todo ahora por las dudas que haya algún error; si hay alguna otra solución la pruebo.





      Saludos

    Página 1 de 2 12 ÚltimoÚltimo