Tema: experiencia con un rootkit malicioso
Ver Mensaje Individual
Antiguo 08/12/2008, 11:55   #1
kezuziyo
Zumbao
 
Avatar de kezuziyo
 
Fecha de ingreso: 22/ene/2004
Mensajes: 38.393
kezuziyo Cuando busquemos reputación en Wikipedia, saldrá su avatarkezuziyo Cuando busquemos reputación en Wikipedia, saldrá su avatarkezuziyo Cuando busquemos reputación en Wikipedia, saldrá su avatarkezuziyo Cuando busquemos reputación en Wikipedia, saldrá su avatarkezuziyo Cuando busquemos reputación en Wikipedia, saldrá su avatarkezuziyo Cuando busquemos reputación en Wikipedia, saldrá su avatarkezuziyo Cuando busquemos reputación en Wikipedia, saldrá su avatarkezuziyo Cuando busquemos reputación en Wikipedia, saldrá su avatarkezuziyo Cuando busquemos reputación en Wikipedia, saldrá su avatarkezuziyo Cuando busquemos reputación en Wikipedia, saldrá su avatarkezuziyo Cuando busquemos reputación en Wikipedia, saldrá su avatar
Thumbs up experiencia con un rootkit malicioso
He tardado 4 dias en solucionar un problema muy grave con un ordenador, asi que voy a explicar como lo solucioné ya que en muchos foros ponian el reformateo como única solución.
Aún teniendo el antivirus y otras herramientas de seguridad totalmente actualizados, al navegar con el IE7 se coló algo muy indeseable en el ordenador. Los síntomas es que me redirigia todas las páginas webs relativas a seguridad (antivirus, antispyware, windows update,...) a localhost (127.0.0.1), por lo que no podia hacer un scaneo online y ni tan siquiera actualizar el antivirus. Ademas me impedia la ejecución de diversos antiespias que ya tenia instalado como el SpyBot S&D (incluso en modo seguro). Si me bajaba otros programas en otros ordenadores y luego me los pasaba al ordenador tampoco me dejaba instalarlos. Además me secuestraba Google y me redirigia a una página muy similar en diseño que hacia la búsqueda pero cuando pinchaba en los resultados me enviaba a páginas raras, incluso en algunas de esas página me instalaba otros virus que el antivirus si que me detectaba y podia borrarlos. Por cierto, no era el típico caso que han modificado el archivo "etc\hosts", ni siquiera se solucionaba haciendo un "ipconfig /flushdns"
Tras buscar en Google en casi todos sitios no habia otra solución que formatear el PC, y las pocas soluciones que encontraba no funcionaban, hasta que en entré en el foro del antivirus que uso (BitDefender) y en la sección en ingles encontré la solución. Se trata de descargar la herramienta [B]ComboFix[/B] desde [url]http://www.bleepingcomputer.com/combofix/sp/como-utilizar-combofix[/url], en esta página se explica tambien como instalar la consola de recuperación en el disco duro, tan solo 7 Mb., en vez de recurrir al CD del XP. El problema es que cuando ejecutaba el programa, incluso en modo seguro, no hacia nada, tuve que renombrarlo como "[B]zxevcz.exe[/B] y ya me dejó ejecutarlo con normalidad, y tras dos reinicios me limpió el ordenador y ya me dejo pasar con toda normalidad tanto el [URL="http://www.malwarebytes.org/mbam.php"]MBAM[/URL] como el [URL="http://superantispyware.com/"]SAS[/URL]. Ya podia acceder a páginas de seguridad, actualizar el antivirus, el SpyBot, y hasta el Windows.

Salu2
__________________



>>>FOTO DE LA KEDADA DEL SURESTE 2008<<<
Consejos sobre como navegar por ZackY: Navegando por el foro
>>> [URL="http://www.jezuzillo.es/images/NoToros.htm"]Porque estoy en contra de las corridas de toros y de la existencia de una sección sobre las mismas en este foro[/URL] <<<
>>> [URL="http://foros.zackyfiles.com/showthread.php?t=591397"]Si quieres eliminar la sección taurina de tu navegador, pincha aquí[/URL] <<<
kezuziyo está desconectado
Respuesta rápida a este mensaje
Responder Citando Subir