Bienvenido! - Willkommen! - Welcome!

Bitácora Técnica de Tux&Cía., Santa Cruz de la Sierra, BO
Bitácora Central: Tux&Cía.
Bitácora de Información Avanzada: Tux&Cía.-Información
May the source be with you!

Wednesday, May 4, 2011

winlogon.exe troyano usa dispositivos USB

Inicio/ejecutar/regedit
alli te aparecera una ventana a la izquierda tienes que abrir el arbol:
HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run
Entonces a la izquierda te apareceran varios registros o archivos debes eliminarlos todos exepto el (Predeterminado)
Luego reinicias el sistema
En este punto debes buscar el archivo winlogon.exe, generalmente esta en la particion del sistema y en las otras particiones, ademas te recomiendo que busques el memorias USB, MP3, MP4, iPOD, o cualquier unidad suele copiarse automaticamente.
Cuando lo encuentres eliminalo y listo tu maquina esta curada.
J . "No borres el archivo winlogon que esta en el c:/windows/sistem32" es un archivo del sistema.
Fuente
Fichero/archivo: winlogon.exe
Nombre del proceso/tarea: Microsoft Windows Logon Process
1. winlogon.exe es el proceso de nombre Microsoft Windows Logon Process típico de los sistemas Windows NT, 2000 y XP.
Winlogon.exe se encarga de validar la identidad de un usuario en el sistema. Es un proceso esencial y no debería ser terminado.
Este fichero suele ubicarse en:
C:\WINDOWS\system32\winlogon.exe
2. Existen programas malignos que emplean este nombre o similar para pasar desapercibidos. Es el caso del virus W32.Netsky.D y del W32/Backdoor-CFB.
Dude de este archivo si se ubica en:
C:\winlogon.exe (gusano W32/Archiles.worm)
C:\WINDOWS\system32\dllcache\winlogon.exe (troyano Trojan.Win32.Patched.i)
C:\WINDOWS\system32\winlogon.exe (troyano Trojan.Win32.Patched.i)


C:\WINDOWS\ServicePackFiles\i386\winlogon.exe (troyano Trojan.Win32.Patched.i)

Algunos virus / malwares, utilizan el nombre de winlogon.exe (o similares) para infectar tu computadora de virus. Existen pruebas de que los virus W32.Netsky.D / Backdoor-CFB, se esconden con este nombre para pasar desapercibidos. Recomendamos, en cualquier caso, de manera inmediata, revisar tu computadora con el mejor antivirus gratis (Avira AntiVir), y descartar, de esa forma, presencia de bichos informáticos que puedan alterar el funcionamiento del sistema. 
Una nueva variante de AUTORUN.VB.ML con singulares características, ha hecho su aparición:
Se lanza desde un AUTORUN.ONF con mucha pala, desde una ruta bastante larga ...y con nombre de fichero
shell\open\command=h3wjKiH9lvqErmFO0mG6HlXplgLV3LeYuVHdaRjetLhEN80
DYiEPQXQY2sziakx2axTnS4SApIY8ELg3lSPkbMnv9Qm\S-3-7-01-3639077401-4404491267-704113574-
1143\EmrVQMar0BHh9hKKJ9vG6gt5zm2slhPo.exe
Queda residente.
Detiene Procesos y ventanas de propiedades.
Oculta ficheros del sistema y extensiones.
(Continuamente esta accediendo a la Disketera y al Pendrive)
Si existen Carpetas en la Disketera o en el Pendrive les pone attributos
(+s+h+r) y genera un link con el mismo nombre apuntando al malware:
"%SystemRoot%\system32\rundll32.exe
url.dll,FileProtocolHandler h3wjKiH9lvqErmFO0mG6HlXplgLV3LeYuVHdaRjetLhEN80DYiEPQXQY2sziakx2axTn
S4SApIY8ELg3lSPkbMnv9Qm\EmrVQMar0BHh9hKKJ9vG6gt5zm2slhPo.exe"
y modifica claves del registro de sistema para ser lanzado en cada reinicio, desde C:\Documents and Settings\Administrador\Administrador1\winlogon.exe"
y desactiva la posibilidad de lanzar una restauracion de sistema a un punto anterior al problema.
Se distingue facilmente por la modificación de la página de inicio a "Default_Page_URL"="http://www.nuevaq.fm"
Una vez eliminado el troyano con el ElistarA, se deben restablecer los cambios efectuados por el malware en el sistema, eliminando los links de llamada al troyano (en lugar de las carpetas) y quitando los atributos S, H y R a las carpetas ocultadas
Recuerdo que alguna vez nos han preguntado si esta web es maliciosa: "http://www.nuevaq.fm" , sin necesidad de que lo sea, ahora sabemos que la instala como pagina de inicio del I.E. este troyano, lo cual se indica para quien pueda estar interesado.
Lo pasamos a controlar a partir del ElistarA 21.42 de hoy como AUTORUN.VB.ML
 21-7-2010

No comments: