Buenas! Un colega me ha llamado porque pasando el SpyBot ha encontrado un par de entradas de este troyano y me ha dicho que no hay forma de borrarlas con el spybot ya que le vuelven a aparecer. He estado mirando por internet y el muy jodio te cambia las dns para que cuando busques una pàgina te aparezca otra... en fin he estado mirando que se deben borrar unas entradas en el registro y alguna otra cosilla. Os habeis encontrado alguna vez con este virus ? Es facil de desinfectar ? Supongo que debo hacer lo de siempre no ? Desmarcar "restaurar sistema", entrar a modo a prueba de fallos y pasar otro antyspware y algun antivirus no ? Saludos!
La hora chanante... ¡¡Chanante!! Veamos. Yo empezaría por mirar qué error le da el SpyBot. Éste siempre dice qué archivo está mal, o qué clave del registro está modificada. Empezaría por actuaro por donde dice el SpyBot. Si da error de registros, borraría ese registro ¡¡OJO!! con cuidado por si contiene más valores que use el ordenador, aunque probablemente no contenga datos importantes. Si es una "cookie", borrar esa "cookie"... Y así hasta que de con ello. :wink:
Mira a ver si en la página de Satinfo encuentras alguna aplicación específica para ese troyano: http://www.satinfo.es/utilitats.htm
Si vuelven aparecer está claro... Es que el SpyBot sólo elimina entradas del registro que crea el virus, que será un EXE, pero no el EXE que proboca esos cambios en sí. Depende como funcione el virus, puede estar comprimido en cierto archivo y descomprimirse con linea de comandos cada vez para que no lo encuentren, etc. También puede ir cambiando de nombre el ejecutable, ser instalado como un rootkit haciéndose transparente al explorer.exe, etc. Mira bien en el registro porque casi todos se suelen meter al inicio en HKEY_LOCAL_MACH/Software/Microsoft/Windows/currentversion/run y en el mismo sitio pero de la rama HKEY_CURRENT_USER. También en runonce, runservices, runonceex, etc., etc. Ahí pueds tener muchas pistas para saber donde está. Otros se inician desde otros puntos del registro, por ejemplo al ejecutarse explorer.exe, iexplorer.exe, etc. Esto ya es más avanzado y no me conozco bien las claves que los ejecutan ahí. Pásale varios antivirus, empezando por un NOD32 actualizado y bien configurado para que haga un analisis profundo. Luego pasa varios antivirus online, spywares como ad-aware escaneando dentro de comprimidos, buscando en todos lados, analisis completo y luego spybot y algún otro online tipo ewido y cosas así. Aún después no podrás estar 100% seguro que eso no tiene algo.