Virus extraño ^^

Soltrac

Bueno, voy a contar lo q pasó en mi curro hace unos días, ya hemos formateado, pero quería contar la experiencia q tuvimos con un virus bastante extraño:

Mi jefe descargó un keygen q resultó ser un virus, os pongo las características para ver si os kedais tan extrañado como me quedé yo:

  • NOD32 no lo detectó como virus
  • El virus básicamente lo q hace es cuando entra inutiliza cualquier antivirus instalado, se come el 50% de la CPU y si intentas ejecutar cualquier ejecutable q el reconozca como antispyware, antimalware o antivirus, no deja ejecutarlo. Además, modifica los ejecutables de estos para dejarlos inservibles. Además de esto, al conectar a internet realizaba conexiones a varias IPs, por lo q tb hacía de troyano.
  • No era detectado por ningún antivirus online.
  • Conseguí ejecutar hijackthis renombrando el ejectuable. No había ninguna entrada sospechosa, pero curiosamente si hacías alguna modificación, al reiniciar el ordenador te dejaba las entradas como las tenías antes, fuera cual fuera la modificación.
  • No dejaba reiniciar en modo a prueba de fallos.
  • No había ningún proceso en memoria sospechoso.
  • Bloqueaba las conexiones entrantes por red local (las salientes no).

Hasta donde yo se, cualquier rootkit se tiene q asociar a un proceso de windows para ocultarse, pero es q NO había nada raro en hijackthis, por lo q no podía entender en q momento se cargaba en memoria.

La única solución ante esto fue el formateo, pero bueno, quería saber si alguien había visto algo similar para por lo menos saber de q virus se trataba xDDD.

Loa

muchos se camuflan con nombres parecidos a los procesos de windows y la gente no se da cuenta, e incluso algunos ya arrancan como svhost.

para estos casos la solucion suele pasar por ponerlo como disco externo protegiendo tu pc con algun programa que evite el intercambio de datos o arrancar el pc con algun cd live.

un saludo

qu4ker

Por eso yo no uso antivirus. :)

Por cierto, a mi una vez me entro un tipo de virus que cargaba como si fuera un driver. Es decir, en el adminitrador de dispositivos, bajo la pestaña "Dispositivos que no son plug & play". Fue tan facil como "Desinstalar dispositivo"

Me parecio bastante curioso y me rompio bastante el coco :/

FuTuRee

Es un spyware, por lo que el antivirus normal es posible que no lo detecte.

Lo que te ha pasado, soltrac, se conoce como wareout y últimamente estoy conociendo mucha gente que le ha entrado y se lo he tenido que arreglar.

La solución máxima es el formateo, la otra se llama WinsockFix :). Es un programa muy agresivo, así que después de la correción del problema recomiendo borrarlo y pasar el CCleaner para corregir errores del registro.

AvkZ

Vaya tela de virusito

SikorZ

vaya putadilla..

-

El 90% de los problemas que tuviste no era nada del otro mundo, porque todo era provocado por un fallo de algún programa, en las versiones anteriores funcionaba perfecto, pero en las actuales NO. Los primeros síntomas es que el emule no arranca, luego dejan de funcionar los programas de protección como los antivirus y antispyware, después todos los que interactúan con internet y que necesitan actualizarse de vez en cuando.

Lo tuve el año pasado y me quebré bastante la cabeza, tenía los mismos síntomas, pero es debido a que en una de las limpiezas que hice con el Ad-Aware se carga y desconfigura los protocolos de red, impidiendo la ejecución de cualquier programa que inteactúe con internet. Puede que a tí te haya pasado lo mismo por otro programa o por el mismo.

El truco es pasar el WinsockFix, reiniciar pasar el LSPFix, y vuelves a reiniciar, así se te resetean todos los protocolos de red, desinstalando después el Ad-aware. Y vuelven a funcionar todos los programas. Es una forma de arreglarlo sin tener que formatear, pero claro está que no está limpio del todo. Sólo me ha pasado por culpa del Ad-Aware.

Soltrac

#7 Perdona...pero no he entendido bien q me kieres decir. Es q no he entendido si quieres decirme q todo esto no pasó por el keygen, si no pq algún programa se fastidió. Ad aware no utilizaba, mi jefe es mas de spybot. Y bueno, como ya he dicho, todo esto sucedió tras la ejecución de cierto keygen q casualmente no abrió ningún formulario ni nada. Algo raro había ahí.

Aún así, me tomo nota de como solucionarlo para la próxima.

Merkury

#7 No tiene porque ser eso solo.

Joer #1 es un virus en stealth, bloquean todas opciones que amenacen con borrarlos.

¿Nadie a visto el famoso "Antivirus 2008 XP"?

Es un virus que se hace pasar por un antivirus y usa tecnologia stealth.

Usuarios habituales

  • Merkury
  • Soltrac
  • -SoNiC-
  • SikorZ
  • AvkZ
  • FuTuRee
  • qu4ker