Recientes

javs | 8:50

eliminar nueva variante recycler

e notado que este virus o bueno worm se a estado esparciendo muy*rápido*en las usbs *y decidi analizarlo con varios antispyware y mi sorpresa es que *a detectado varios worm y decidi borrarlo si no sabes cual es el worm es este
5fe85a2e05bd74e2c77988aa1f68868eo.jpg
e creado una vacuna y funciona
por que e creado esta vacuna ?
por que ay pcs algo lentas o viejas que no agarran muy bien los antyspyware o las alenta demasiado XD
este es el codigo
400codigo.jpg
y crear un archivo de texto .txt con el nombre corregir.txt con el siguiente contenido
297leer.jpg
no te preocupes si es pereso a qui esta todo para descargar
Descargar
me vas a decir para que sirve el archivo corregir.txt este archivo se ejecuta desde el archivo bat y lo que hace es que agrega permisos de administrador a la clave del registro esa que se muestra arriba;pero por que le agrega permisos de administrador a esa clave por que el virus(worm) le quita permisos de lectura y escritura y es imposible eliminar esa clave
Ahora tratare de explicar el codigo parte por parte
esta parte lo que hace es que muestra todos los archivos ocultos y protegidos por el sistema
211mostart.jpg
primero que nada explicare que son los procesos
explorer.exe:muestra las ventanas de windows inicio,es practicamente el diseño de windows
trustedinstaller:es el worm
fp_pl_pfs_installer:es parte del worm no confundir con el proceso de adobe flash
wuaclt:es parte del worm no confundir con las actualizaciones de windows las actualizaciones de windows se instalan con system no con tu nombre de usuario
taskkill esto cierra los procesos explorer.exe,trustedinstaller,fp_pl_pfs_installer,wuaclt
y start explorer vuelve a ejecutar el explorer.exe y el ping es como una especie de 2 segundos de espera
793tas.jpg
rd sirve para eliminar directorios en este caso eliminara el directorio temp donde se oculta el worm
y tambien msi que es el que se encarga de instalar el worm en esa carpeta se oculta el trustedinstaller.exe
habra un especie de tiempo de 2 segundos con el ping
regini es una herramienta de windows para cambiar permisos en el registro
como ven ejecuta el archivo corregir.txt por eso es importante que cren el archivo corregir.txt con el codigo que e mostrado arriba
248reg.jpg
en esta parte borra la clave policies explorer run por que en esa clave se auto ejecuta el worm al inicio de windows
y la vuelve a crear la clave por que esa clave es fundamental en windows
antivirusdisablenotify,firewalldisablenotify,updatesdisablenotify esto hace que algunos antivirus fallen y no detecten el worm
680reg2.jpg
en esta parte oculta todos los archivos del sistema *cierra el explorer lo vuelve a ejecutar y listo el worm de mierda a desaparecido
306reg3.bmp
y por ultimo instala esta aplicacion de mcfee
http://www.mcshield.net/
y olvidate de que te vuelvan a entrar virus por usb si detecta virus los elimina

Redactado por: javs

bienvenido al blog espero y te guste

Relacionados

0 comentarios

No hay comentarios. ¡Sé el primero!

Suscribirse a: Enviar comentarios (Atom)

banners