Virus Win32.DNSChanger

Tema en 'Informática - Tecnología' iniciado por i_minex, 9 Mar 2007.

  1. i_minex

    i_minex Forista Legendario

    Registrado:
    24 May 2005
    Mensajes:
    7.945
    Me Gusta:
    3.786
    Ubicación:
    Barcelona
    Modelo:
    E46-E85-987.2
    Buenas! Un colega me ha llamado porque pasando el SpyBot ha encontrado un par de entradas de este troyano y me ha dicho que no hay forma de borrarlas con el spybot ya que le vuelven a aparecer.

    He estado mirando por internet y el muy jodio te cambia las dns para que cuando busques una pàgina te aparezca otra... en fin he estado mirando que se deben borrar unas entradas en el registro y alguna otra cosilla.

    Os habeis encontrado alguna vez con este virus ? Es facil de desinfectar ?

    Supongo que debo hacer lo de siempre no ? Desmarcar "restaurar sistema", entrar a modo a prueba de fallos y pasar otro antyspware y algun antivirus no ?

    :nose:

    Saludos!
     
  2. McClane

    McClane Moderador Informática Moderador Miembro del Club

    Registrado:
    20 Jul 2006
    Mensajes:
    42.192
    Me Gusta:
    20.946
    Ubicación:
    Getafe Madrid
    Modelo:
    2 E30, 1 E39
    Buff!! En "viruses" aún soy virgen... :LOL: :LOL: :LOL: :LOL:
     
  3. i_minex

    i_minex Forista Legendario

    Registrado:
    24 May 2005
    Mensajes:
    7.945
    Me Gusta:
    3.786
    Ubicación:
    Barcelona
    Modelo:
    E46-E85-987.2
    Yo tambien... pero no hay nada como ser "el amigo informatico"... :LOL: :rofl:
     
  4. McClane

    McClane Moderador Informática Moderador Miembro del Club

    Registrado:
    20 Jul 2006
    Mensajes:
    42.192
    Me Gusta:
    20.946
    Ubicación:
    Getafe Madrid
    Modelo:
    2 E30, 1 E39
    La hora chanante... ¡¡Chanante!! :floor:

    Veamos. Yo empezaría por mirar qué error le da el SpyBot. Éste siempre dice qué archivo está mal, o qué clave del registro está modificada. Empezaría por actuaro por donde dice el SpyBot. Si da error de registros, borraría ese registro ¡¡OJO!! con cuidado por si contiene más valores que use el ordenador, aunque probablemente no contenga datos importantes. Si es una "cookie", borrar esa "cookie"... Y así hasta que de con ello. :wink:
     
  5. leij

    leij Forista Legendario

    Registrado:
    9 Abr 2004
    Mensajes:
    13.756
    Me Gusta:
    17.111
    Ubicación:
    A Pobra do Caramiñal
    Modelo:
    Nissan Xtrail
  6. CAB320

    CAB320 Forista

    Registrado:
    1 Dic 2004
    Mensajes:
    1.905
    Me Gusta:
    2
    Pasale el "the cleaner proffesional 4.2" y suerte.

    Saludos.-
     
  7. SPTR

    SPTR Forista Legendario Moderador Miembro del Club

    Registrado:
    18 Ago 2005
    Mensajes:
    9.218
    Me Gusta:
    854
    Ubicación:
    X
    Si vuelven aparecer está claro...

    Es que el SpyBot sólo elimina entradas del registro que crea el virus, que será un EXE, pero no el EXE que proboca esos cambios en sí.

    Depende como funcione el virus, puede estar comprimido en cierto archivo y descomprimirse con linea de comandos cada vez para que no lo encuentren, etc. También puede ir cambiando de nombre el ejecutable, ser instalado como un rootkit haciéndose transparente al explorer.exe, etc.

    Mira bien en el registro porque casi todos se suelen meter al inicio en HKEY_LOCAL_MACH/Software/Microsoft/Windows/currentversion/run y en el mismo sitio pero de la rama HKEY_CURRENT_USER.

    También en runonce, runservices, runonceex, etc., etc.

    Ahí pueds tener muchas pistas para saber donde está. Otros se inician desde otros puntos del registro, por ejemplo al ejecutarse explorer.exe, iexplorer.exe, etc. Esto ya es más avanzado y no me conozco bien las claves que los ejecutan ahí.

    Pásale varios antivirus, empezando por un NOD32 actualizado y bien configurado para que haga un analisis profundo.

    Luego pasa varios antivirus online, spywares como ad-aware escaneando dentro de comprimidos, buscando en todos lados, analisis completo y luego spybot y algún otro online tipo ewido y cosas así.

    Aún después no podrás estar 100% seguro que eso no tiene algo.
     

Compartir esta página