Herramienta para indeseables

Buscando evitar la contaminación de juakers hablaré de indeseables en ves de Tr0yan0s

Como sabrán algunos, estuve peleando un largo rato con un par de famosos indeseables, llamados amvo0.dll y look2me.

Estos inadaptados se cuelan en el sistema al instalar algún programa infectado o correr un dataTraveler infectado, principalmente desactiva el acceso a los discos duros, muy similar al que se pega a las USB que no reconoce el disco y siempre muestra la ventana “Abrir con que programa“.

En definitiva para lograr deshacerme de estos indeseables sin FORMATEAR como sugerían algunos recurrí a una aplicación conocida como ComboFix, esta aplicación fue desarrollada por sUBs, se encarga de escanear completamente la maquina siguiendo el algoritmo:

Buscar Objetivo
Obtener Objetivo
Destruir Objetivo

Es relativamente fuerte y habitualmente puede ser peligroso su uso si no se siguen las instrucciones y se recomienda realizar este procedimiento de la mano de un experto bien entrenado.

A continuación les cuento cual fue el procedimiento que realize en mis tres maquinas:

Decargarlo

La aplicación se debe descargar de sitios seguros para evitar duplicar el problema con nuevos indeseables un sitio muy recomendable es geekstogo

Luego de descargarlo se ubica en el escritorio y cerramos todos los programas, conexiones, hasta el antivirus y procedemos a su ejecución, ya que alguno puede interferir en el proceso.

Ejecutarlo

Cuando inicia se lanza una ventana indicando que ComboFix se esta preparando para arrancar, luego de unos instantes cambiará y nos dará dos opciones:
[list=]1 realizar el escaneo
2 abortar[/list]
Se oprime 1 se da Enter y se deja TODO quieto, hasta el mouse, el ComboFix creara una sistema de restauración y dará inicio al proceso de escaneo, puede tardar un ratico según el mensaje de 10 minutos hasta 20.
Irá completando secciones o pasos hasta que llegue al 41, luego creará un reporte llamado ComboFix.txt que guardará en la raíz;

Reporte

El log esta dividido por secciones y en el podremos ver:

1 Archivos creados
2 Reporte Find3M
3 Puntos de Registro
4 Dlls cargados bajo procesos de ejecución

En los puntos de registro encontraremos todas las llaves que no son legítimas y pueden ser malignas, habitualmente los indeseables se adhieren bajo esta llave:

Código :

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\

Esta información nos será útil ya que con esto podremos terminar de eliminar el problema ingresando por el editor de registros.

Para mas información pueden acceder a bleepingcomputer que ofrece una descripción mas detallada
Espero que les sea de ayuda!

Excelente, justamente hace unos dias tuve un problema parecido con una máquina de la oficina, asi que a probar este tip.

hey buen tip, necesario para desahacece de troyanos ya que hay tanto hacker loco buscando echar a perder nuestro pc

[SWAT] por favor modera el leguaje que usas en el foro [/SWAT]

Bueno pelo, le cuento que muy bueno el TipSote ese de comboFix , porque me salvo de un maldito virus que tenia en mi pc, incluso despues de formatear y reinstalar el SO.

el desgraciado virus tiene el nombre de wscript.exe, y aparece en el admin de tareas de xp, ademas de eso hace que el admin de tareas se cierre automaticamente, es decir no lo deja estar abierto por mas de 2-5 segundos.

otra cosa que causa es que hace que el pc funcione muy lento ya que como es un programa creado en VBS (visual basic script) se queda pegado en un bucle infinito, HA!!! otra cosa al hacer click derecho sobre cualquier particion del DD la opcion abrir aparece con simbolos no con palabras.. mejor dicho en conclusion ese virus es una #$%"·$% ...... pero bueno porfin acabe con ese..... jejejej

Vale me agrada que te sea de utilidad, saludos

Muchas gracias, me vendrá de perlas !

Ya hace unos días mi memoria USB cogió uno de estos en la facultad, el antivirus de mi casa lo borró pero aun seguía sin arreglarse del todo ya que aun aparecía lo de Abrir con programa...

Voy a probarlo a ver que tal funciona, y gracias

EDIT: Perdona creo que querías decir GeeksToGo no Geektogo, cambia el link si puedes para que no lleve a error.

listo!!
ya edite la direccion