Virus Win32.DNSChanger

i_minex · 9 Mar 2007

Buenas! Un colega me ha llamado porque pasando el SpyBot ha encontrado un par de entradas de este troyano y me ha dicho que no hay forma de borrarlas con el spybot ya que le vuelven a aparecer.

He estado mirando por internet y el muy jodio te cambia las dns para que cuando busques una pàgina te aparezca otra... en fin he estado mirando que se deben borrar unas entradas en el registro y alguna otra cosilla.

Os habeis encontrado alguna vez con este virus ? Es facil de desinfectar ?

Supongo que debo hacer lo de siempre no ? Desmarcar "restaurar sistema", entrar a modo a prueba de fallos y pasar otro antyspware y algun antivirus no ?

:nose:

Saludos!

McClane · 9 Mar 2007

Buff!! En "viruses" aún soy virgen... :LOL:

i_minex · 9 Mar 2007

Yo tambien... pero no hay nada como ser "el amigo informatico"... :LOL:

:rofl:

McClane · 9 Mar 2007

i_minex dijo:
Yo tambien... pero no hay nada como ser "el amigo informatico"... :rofl:

La hora chanante... ¡¡Chanante!! :floor:

Veamos. Yo empezaría por mirar qué error le da el SpyBot. Éste siempre dice qué archivo está mal, o qué clave del registro está modificada. Empezaría por actuaro por donde dice el SpyBot. Si da error de registros, borraría ese registro ¡¡OJO!! con cuidado por si contiene más valores que use el ordenador, aunque probablemente no contenga datos importantes. Si es una "cookie", borrar esa "cookie"... Y así hasta que de con ello. :wink:

leij · 9 Mar 2007

Mira a ver si en la página de Satinfo encuentras alguna aplicación específica para ese troyano:

http://www.satinfo.es/utilitats.htm

CAB320 · 9 Mar 2007

Pasale el "the cleaner proffesional 4.2" y suerte.

Saludos.-

SPTR · 9 Mar 2007

Si vuelven aparecer está claro...

Es que el SpyBot sólo elimina entradas del registro que crea el virus, que será un EXE, pero no el EXE que proboca esos cambios en sí.

Depende como funcione el virus, puede estar comprimido en cierto archivo y descomprimirse con linea de comandos cada vez para que no lo encuentren, etc. También puede ir cambiando de nombre el ejecutable, ser instalado como un rootkit haciéndose transparente al explorer.exe, etc.

Mira bien en el registro porque casi todos se suelen meter al inicio en HKEY_LOCAL_MACH/Software/Microsoft/Windows/currentversion/run y en el mismo sitio pero de la rama HKEY_CURRENT_USER.

También en runonce, runservices, runonceex, etc., etc.

Ahí pueds tener muchas pistas para saber donde está. Otros se inician desde otros puntos del registro, por ejemplo al ejecutarse explorer.exe, iexplorer.exe, etc. Esto ya es más avanzado y no me conozco bien las claves que los ejecutan ahí.

Pásale varios antivirus, empezando por un NOD32 actualizado y bien configurado para que haga un analisis profundo.

Luego pasa varios antivirus online, spywares como ad-aware escaneando dentro de comprimidos, buscando en todos lados, analisis completo y luego spybot y algún otro online tipo ewido y cosas así.

Aún después no podrás estar 100% seguro que eso no tiene algo.

Virus Win32.DNSChanger

i_minex

Forista Legendario

McClane

Moderador Informática

i_minex

Forista Legendario

McClane

Moderador Informática

leij

Forista Legendario

CAB320

Forista

SPTR

Forista Legendario

Similar threads