comment
IRC Chat
play_arrow
Este sitio utiliza cookies propias y de terceros. Si continúa navegando consideramos que acepta el uso de cookies. OK Más Información.

Virus conocido en acceso directos unidades extraibles

  • 8 Respuestas
  • 4918 Vistas

0 Usuarios y 1 Visitante están viendo este tema.

Desconectado KR4T05_

  • *
  • Underc0der
  • Mensajes: 3
  • Actividad:
    0%
  • Reputación 0
    • Ver Perfil
  • Skype: anonguy95
« en: Noviembre 02, 2015, 10:44:26 pm »
Hola, que tal a todos, me presento, soy KR4T05_ un noob en esta comunidad y de la seguridad informática, y lo admito.
¿Cómo les va a todos, underc0deanos?

Hoy les vengo a aportar como primer post, introduciéndome a la seguridad informática, un post de un virus, no dañino sino molesto, es el típico virus que se mete en los pendrives, te oculta las carpetas que tengas en esa unidad, y te las manda como acceso directo, es un virus que mucha gente confunde, el hecho de ocultar, con que se le haya borrado los documentos importantes.

Luego de una exhaustiva investigación, y desinfección de muchos pendrives en mi escuela secundaria (estoy terminando el secundario), he podido filtrar la "cepa" del virus (corrijanme por favor), es un script creado en JavaScript, que lo que hace es la función nombrada anteriormente, más se automultiplica, generando una copia del mismo, con nombre aleatorio.
Si cierras el servicio WSCRIPT.exe, tu PC se apaga (shutdown /s /t 00)

Bueno, lo subo a este foro, porque se que ustedes son los mejores profesionales, y van a analizar el virus a profundidad, y se que mi aporte no vale de mucho, pero bueno, para introducirme al foro, no se que dirán, todos sus comentarios son bienvenidos.
Ya volviendo al tema, les dejo el link subido a mi cuenta en Google Drive, está en .zip.

Por favor, si pueden revisarlo, para propósitos educativos, bienvenido sea.
Para los que lo quieran para maleficios personales, no me hago responsable moral ni jurídicamente de lo que le pase a la información de gente poco experimentada, ni de infartos producidos por el miedo u otras semejanzas.

Link: No tienes permisos para ver links. Registrate o Entra con tu cuenta
Contraseña: No tiene

Todos los documentos se guardan en la carpeta .Trashes
El script vius se encuentra en la carpeta .Trashes
Muchas gracias, ¡se que son una excelente comunidad!
Este aporte, como dije en un principio, no vale mucho, pero hago lo mejor que puedo  :)

Un profundo agradecimiento a ANTRAX
« Última modificación: Marzo 27, 2016, 09:52:43 pm por Expermicid »

Conectado ANTRAX

  • *
  • Administrator
  • Mensajes: 5401
  • Actividad:
    41.67%
  • Reputación 31
  • ANTRAX
    • Ver Perfil
    • Underc0de
    • Email
  • Skype: underc0de.org
  • Twitter: @Underc0de
« Respuesta #1 en: Noviembre 06, 2015, 12:15:19 pm »
Hola,
Muchas gracias por el post. Pero tengo una duda en la parte en la que decis:

Citar
es un script creado en JavaScript, que lo que hace es la función nombrada anteriormente, más se automultiplica, generando una copia del mismo, con nombre aleatorio.

Como llegas a la conclusión de que es un Javascript?

Saludos!
ANTRAX


Desconectado fudmario

  • *
  • Cramel
  • *
  • Mensajes: 193
  • Actividad:
    0%
  • Reputación 11
    • Ver Perfil
    • fudmario - GitHub
  • Skype: fudmario
« Respuesta #2 en: Noviembre 19, 2015, 01:51:37 am »
Hola.

Sugerencia:
Si quieres postear este tipo de cosas lo mejor o mas recomendable es poner una contraseña(tipo: "Infectado" o algo así), porque no falta algún usuario que le de a ejecutar(que por lo general muchos hacen eso, ejecutan sin saber lo que es y mientras no tenga un alto seguiran xD).



Comenzamos mal:

Cita de: KR4T05_
...como primer post, introduciéndome a la seguridad informática, un post de un virus, no dañino sino molesto, es el típico virus que se mete en los pendrives, te oculta las carpetas.....

no dañino?, te sugiero que tomes el caso mas desfavorable(que se trate de malwares conocidos como: botnet, stealer, ransomware, rootkit,...,etc.), así te evitas dolores de cabeza(toma siempre precauciones antes de ejecutar).
Crea copias de seguridad, si estas conectado a internet mientras analizas es mejor borrar cualquier contraseña guardado en el sistema(por lo general se usan Maquinas Virtuales), utiliza Sandbox,...,etc.



Cita de: KR4T05_
....., y se que mi aporte no vale de mucho, pero bueno, para introducirme al foro......

Personalmente me gusta este tipo de aportes xD, me gusta los retos, analizar su funcionamiento,ver que es lo que hace sin antes ejecutarlo,.....,etc.


Respecto a la muestra:

Realizando un analisis superficial:

En su mayoria este tipo de malware los se Ver en VBScript (.VBS o .VBE) y tan solo reemplazando el "execute" o "executeglobal" cambiar por un msgbox y de forma directa te muestra todo el código desofuscado(en ocaciones se hacen un par de cosas mas).

No conozco la sintaxis de javascript(".js" o ".jse"), pero es una muestra Interesante.

Detecta si se esta ejecutando en una Maquina Virtual.

      
  • QUEMU
  • VBOX
  • VMWare
      
      
Tambien se protege de varias herramientas que normalmente se usan para Analisis de Malware:
      
  • procexp
  • filemon
  • autoruns
  • gmer
  • regmon
  • procmon
  • regmon
  • tcpview
  • hijackthis
  • otl
  • roguekiller
  • combofix
  • wireshark
  • fiddler
  • mba(Anti-Malwarebytes)
  • avg
  • avast
  • mse
      etc. xD
      
- Bloquea Acceso a algunas herramientas del sistema( regedit, msconfig,...)      
- Obtiene informacion del Sistema Operativo
- Crea valores en el regedit, para ocultar las carpetas,
  • HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced\\Hidden
  • HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced\\ShowSuperHidden
                  
- Crea archivos en   "C:\Users\<Nombre_de_Usuario>\AppData\Roaming\efedsyhc"   
         
  • Crea el archivo ".js" con un nombre aleatorio.
  • Crea una copia del "wscript.exe" con un nombre aleatorio.
            
            
- Intenta asegurarse de volver a iniciar al reiniciar la PC creando un acceso directo en:
  • "\\ProgramData\\Microsoft\\Windows\\Start Menu\\Programs\\Startup\\"
con el nombre: "empezar.lnk" y con un icono especifico "%systemroot%\\system32\\shell32.dll,3".
Esto quiere decir que cuando iniciará windows, iniciará "empezar.lnk" con el siguiente comando:
Ejemplo:
Código: No tienes permisos para ver links. Registrate o Entra con tu cuenta
"C:\Users\<Nombre_de_Usuario>\AppData\Roaming\efedsyhc\kavtdp.exe "C:\Users\<Nombre_de_Usuario>\AppData\Roaming\efedsyhc\ggxmq.js"Donde:
         
  • kavtdp.exe -> Es la copia del archivo "wscript.exe"
  • ggxmq.js -> Es el archivo donde se encuentra el malware a ejecutar
         
Tambien vi que hace peticiones del tipo "GET" a las siguiente web's:
               - No tienes permisos para ver links. Registrate o Entra con tu cuenta
               - No tienes permisos para ver links. Registrate o Entra con tu cuenta
               - No tienes permisos para ver links. Registrate o Entra con tu cuenta
               
Para verificar que esta conectado a Internet.

Peticiones del Tipo "POST" a:
               - No tienes permisos para ver links. Registrate o Entra con tu cuenta
               - No tienes permisos para ver links. Registrate o Entra con tu cuenta
               - No tienes permisos para ver links. Registrate o Entra con tu cuenta
               - No tienes permisos para ver links. Registrate o Entra con tu cuenta
               - No tienes permisos para ver links. Registrate o Entra con tu cuenta

               
Y finalmente como tu dices:

Crear Accesos Directos de las archivos que hay en "dispositivos extraibles" los mueve a la carpeta: ".Trashes", y un archivo ".BAT" con el siguiente comando:

Ejemplo:
start wscript ".Trashes\872\dehxly.js"
Donde:   
  • 872 -> Aleatorio
  • dehxly -> aleatorio

Cita de: KR4T05_
....Si cierras el servicio WSCRIPT.exe, tu PC se apaga (shutdown /s /t 00)....

Con el Comando que lo hace es: "%comspec% /c shutdown /p /f"



Desconectado rand0m

  • *
  • Underc0der
  • Mensajes: 214
  • Actividad:
    0%
  • Reputación 0
  • Paso de cosas personales, déjame
    • Ver Perfil
« Respuesta #3 en: Noviembre 19, 2015, 04:32:53 am »
No tienes permisos para ver links. Registrate o Entra con tu cuenta
Como llegas a la conclusión de que es un Javascript?
Acabo de echarle un vistazo y el primer script por lotes que encuentro reza lo siguiente:
Código: DOS
  1. start wscript ".Trashes\872\dehxly.js"
Así que el chaval parece que tiene razón. De todas formas, de primeras en mi PC no llega a infectar gracias a No tienes permisos para ver links. Registrate o Entra con tu cuenta.
Al margen de esto, el archivo dehxly.js parece un javascript un poco ofuscado. Hay que ordenarlo un poco y traducir algunas partes. O ejecutarlo en un sandbox y ver qué hace.
Tengo problemas de almacenamiento en este momento. Me gustaría aprovecharlo para probar No tienes permisos para ver links. Registrate o Entra con tu cuenta, pero antes tengo que entregar muchas cosas para poder hacer sitio en el disco.

** EDIT - Si alguien prueba VolatilityBot con este script que haga un report, por favor. Me muero de ganas por ponerlo a prueba.
Podría vivir perfectamente con una mancha de pis en la alfombra, pero qué va, tío: Más complicaciones.

Desconectado fudmario

  • *
  • Cramel
  • *
  • Mensajes: 193
  • Actividad:
    0%
  • Reputación 11
    • Ver Perfil
    • fudmario - GitHub
  • Skype: fudmario
« Respuesta #4 en: Noviembre 19, 2015, 05:51:47 pm »
Continuando, para poder extraer el código completo, puede hacer lo siguiente:

Para limpiar el codigo un poco, del archivo toma el valor de la variable "a" y copialo en la consola de Firebug, escribiendo lo siguiente: Console.log("Aqui la variable a");.


Lo siguiente que puedes hacer es usar una herramienta online, para ordenar un poco el código:

No tienes permisos para ver links. Registrate o Entra con tu cuenta
Ahora queda un poco mas legible, por ultimo solo queda comenzar a modificar/limpiar codigo basura:


te quedaria mas o menos así:

No tienes permisos para ver links. Registrate o Entra con tu cuenta

Si modificas un poco mas puedes, te quedaria mas o menos asi(lo hice muy rapido, es posible que tenga errores).

No tienes permisos para ver links. Registrate o Entra con tu cuenta

DESINFECCIÓN:

Para desinfectarse simplemente hacen lo siguiente:

cierran el proceso con un nombre aleatorio que es la copia de wscript.exe, luego el wscript.exe
Ejemplo:


Para Restaurar todas las modificaciones que hace puedes usar este script que uso:



Código: Visual Basic
  1. '---------------------------------------------------------
  2. 'Original por MyGeekSide
  3. 'Modificado por Norfi, Febrero 2011
  4. 'http://norfipc.com/
  5. '---------------------------------------------------------
  6.  
  7.  
  8. '--------------------------------------
  9. 'Restaura las claves del registro para ver los archivos ocultos
  10. '--------------------------------------
  11. on Error Resume Next
  12.  
  13. Dim objShell, objFileSystem, objTextStream, objRegex
  14. Dim colRegexMatches1, colRegexMatches2
  15. Dim nReturnCode
  16. Dim strIpFileText
  17. Dim element, i
  18.  
  19. Set geekside=WScript.CreateObject("WScript.Shell")
  20.  
  21. WScript.Echo "Se procederá a restaurar las claves del registro para poder ver todos los archivos Ocultos"
  22.  
  23.     nret33=geekside.Run("cmd /C reg add HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\ /v Hidden /t REG_DWORD /d 1 /f",0,TRUE)
  24.     nret43=geekside.Run("cmd /C reg add HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\ /v SuperHidden /t REG_DWORD /d 1 /f",0,TRUE)
  25.     nret44=geekside.Run("cmd /C reg add HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\ /v ShowSuperHidden /t REG_DWORD /d 1 /f",0,TRUE)
  26.  
  27.  
  28.     nret45=geekside.Run("cmd /C reg add HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\ /v Hidden /t REG_DWORD /d 1 /f",0,TRUE)
  29.     nret46=geekside.Run("cmd /C reg add HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\ /v SuperHidden /t REG_DWORD /d 1 /f",0,TRUE)
  30.     nret47=geekside.Run("cmd /C reg add HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\ /v ShowSuperHidden /t REG_DWORD /d 1 /f",0,TRUE)
  31.  
  32.  
  33.     nret34=geekside.Run("cmd /C reg add HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\NOHIDDEN\ /v CheckedValue /t REG_DWORD /d 2 /f",0,TRUE)
  34.     nret35=geekside.Run("cmd /C reg add HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\NOHIDDEN\ /v DefaultValue /t REG_DWORD /d 2 /f",0,TRUE)
  35.  
  36.  
  37.     nret36=geekside.Run("cmd /C reg delete HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\ /v CheckedValue /f",0,TRUE)
  38.     nret37=geekside.Run("cmd /C reg add HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\ /v CheckedValue /t REG_DWORD /d 1 /f",0,TRUE)
  39.     nret38=geekside.Run("cmd /C reg add HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\ /v DefaultValue /t REG_DWORD /d 2 /f",0,TRUE)
  40.  
  41.  
  42.     nret39=geekside.Run("cmd /C reg add HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\ /v CheckedValue /t REG_DWORD /d 0 /f",0,TRUE)
  43.     nret40=geekside.Run("cmd /C reg add HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\ /v DefaultValue /t REG_DWORD /d 0 /f",0,TRUE)
  44.  
  45.     nret48=geekside.Run("cmd /C reg add HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\ /v Type /t REG_SZ /d Group /f",0,TRUE)
  46.  
  47.  
  48.  
  49.     nret61=geekside.Run("cmd /C reg add HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\ /v NoFolderOptions /t REG_DWORD /d 0 /f",0,TRUE)
  50.     nret62=geekside.Run("cmd /C reg add HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\ /v NoFolderOptions /t REG_DWORD /d 0 /f",0,TRUE)
  51.     nret63=geekside.Run("cmd /C reg add HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\ /v DisableRegistryTools /t REG_DWORD /d 0 /f",0,TRUE)
  52.  
  53.  
  54. nret78=geekside.Run("cmd /C taskkill /f /im explorer.exe",0,TRUE)
  55. nret79=geekside.Run("cmd /C start explorer.exe",0,TRUE)
  56.  
  57.  
  58. WScript.Echo "Ahora podrá ver todos los archivos ocultos, en su PC"
  59.  
  60.  
  61.  
  62. WScript. Quit(0)

   
   
Eliminan los archivos que se encuentran en %appdata%\efedsyhc\
Ejemplo de archivos creados:


Eliminas el acceso directo: empezar.lnk que se encuentra en la ruta:

C:\ProgramData\Microsoft\Windows\Start Menu\Programs\StartUp


Y Listo,... xD.

Saludos.


« Última modificación: Noviembre 19, 2015, 06:04:10 pm por fudmario »


Conectado Gabriela

  • *
  • Co Admin
  • Mensajes: 875
  • Actividad:
    5%
  • Reputación 15
    • Ver Perfil
    • Email
« Respuesta #5 en: Noviembre 19, 2015, 06:16:11 pm »

@No tienes permisos para ver links. Registrate o Entra con tu cuenta @No tienes permisos para ver links. Registrate o Entra con tu cuenta @No tienes permisos para ver links. Registrate o Entra con tu cuenta @No tienes permisos para ver links. Registrate o Entra con tu cuenta

Habéis hecho del aporte un post de conocimiento, explicación, y crecimiento para l@s lectores.
Los análisis, expuestos con claridad y sencillez, cooperan en el entendimiento y despiertan un auténtico interés en seguiros.

Gracias a todos.

Gabi

Desconectado KR4T05_

  • *
  • Underc0der
  • Mensajes: 3
  • Actividad:
    0%
  • Reputación 0
    • Ver Perfil
  • Skype: anonguy95
« Respuesta #6 en: Noviembre 22, 2015, 05:43:36 pm »
Muchas gracias a todos :)
Son lo máximo

Soy nuevo en el clan, tendré en cuenta todo lo que me dicen.
« Última modificación: Noviembre 22, 2015, 05:46:47 pm por KR4T05_ »

Desconectado Vitaly Mordvinov

  • *
  • Underc0der
  • Mensajes: 5
  • Actividad:
    0%
  • Reputación 0
    • Ver Perfil
    • The Black Door
« Respuesta #7 en: Noviembre 21, 2016, 10:46:51 pm »
No tienes permisos para ver links. Registrate o Entra con tu cuenta
Detecta si se esta ejecutando en una Maquina Virtual.

  • QUEMU
  • VBOX
  • VMWare
      
      
Tambien se protege de varias herramientas que normalmente se usan para Analisis de Malware:
      
  • procexp
  • filemon
  • autoruns
  • gmer
  • regmon
  • procmon
  • regmon
  • tcpview
  • hijackthis
  • otl
  • roguekiller
  • combofix
  • wireshark
  • fiddler
  • mba(Anti-Malwarebytes)
  • avg
  • avast
  • mse
      etc. xD

Gracias por compartir tu analisis con la comunidad pero me da curiosidad saber:
  • ¿Cómo detecta que se esta ejecutando en una maquina virtual?
  • ¿Cómo se comporta el malware si detecta que se esta ejecutando en una maquina virtual o sanbox?

Espero que me puedas aclarar esas dudas ya que me parecio interesante tu analisis inicial sobre este malware ;)
Saludos,
Vitaly Mordvinov.

Desconectado AncientOne

  • *
  • Underc0der
  • Mensajes: 14
  • Actividad:
    0%
  • Reputación 0
    • Ver Perfil
« Respuesta #8 en: Marzo 31, 2017, 11:29:35 pm »
No tienes permisos para ver links. Registrate o Entra con tu cuenta
Continuando, para poder extraer el código completo, puede hacer lo siguiente:

Para limpiar el codigo un poco, del archivo toma el valor de la variable "a" y copialo en la consola de Firebug, escribiendo lo siguiente: Console.log("Aqui la variable a");.


Lo siguiente que puedes hacer es usar una herramienta online, para ordenar un poco el código:

No tienes permisos para ver links. Registrate o Entra con tu cuenta
Ahora queda un poco mas legible, por ultimo solo queda comenzar a modificar/limpiar codigo basura:


te quedaria mas o menos así:

No tienes permisos para ver links. Registrate o Entra con tu cuenta

Si modificas un poco mas puedes, te quedaria mas o menos asi(lo hice muy rapido, es posible que tenga errores).

No tienes permisos para ver links. Registrate o Entra con tu cuenta

DESINFECCIÓN:

Para desinfectarse simplemente hacen lo siguiente:

cierran el proceso con un nombre aleatorio que es la copia de wscript.exe, luego el wscript.exe
Ejemplo:


Para Restaurar todas las modificaciones que hace puedes usar este script que uso:



Código: Visual Basic
  1. '---------------------------------------------------------
  2. 'Original por MyGeekSide
  3. 'Modificado por Norfi, Febrero 2011
  4. 'http://norfipc.com/
  5. '---------------------------------------------------------
  6.  
  7.  
  8. '--------------------------------------
  9. 'Restaura las claves del registro para ver los archivos ocultos
  10. '--------------------------------------
  11. on Error Resume Next
  12.  
  13. Dim objShell, objFileSystem, objTextStream, objRegex
  14. Dim colRegexMatches1, colRegexMatches2
  15. Dim nReturnCode
  16. Dim strIpFileText
  17. Dim element, i
  18.  
  19. Set geekside=WScript.CreateObject("WScript.Shell")
  20.  
  21. WScript.Echo "Se procederá a restaurar las claves del registro para poder ver todos los archivos Ocultos"
  22.  
  23.     nret33=geekside.Run("cmd /C reg add HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\ /v Hidden /t REG_DWORD /d 1 /f",0,TRUE)
  24.     nret43=geekside.Run("cmd /C reg add HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\ /v SuperHidden /t REG_DWORD /d 1 /f",0,TRUE)
  25.     nret44=geekside.Run("cmd /C reg add HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\ /v ShowSuperHidden /t REG_DWORD /d 1 /f",0,TRUE)
  26.  
  27.  
  28.     nret45=geekside.Run("cmd /C reg add HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\ /v Hidden /t REG_DWORD /d 1 /f",0,TRUE)
  29.     nret46=geekside.Run("cmd /C reg add HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\ /v SuperHidden /t REG_DWORD /d 1 /f",0,TRUE)
  30.     nret47=geekside.Run("cmd /C reg add HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\ /v ShowSuperHidden /t REG_DWORD /d 1 /f",0,TRUE)
  31.  
  32.  
  33.     nret34=geekside.Run("cmd /C reg add HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\NOHIDDEN\ /v CheckedValue /t REG_DWORD /d 2 /f",0,TRUE)
  34.     nret35=geekside.Run("cmd /C reg add HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\NOHIDDEN\ /v DefaultValue /t REG_DWORD /d 2 /f",0,TRUE)
  35.  
  36.  
  37.     nret36=geekside.Run("cmd /C reg delete HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\ /v CheckedValue /f",0,TRUE)
  38.     nret37=geekside.Run("cmd /C reg add HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\ /v CheckedValue /t REG_DWORD /d 1 /f",0,TRUE)
  39.     nret38=geekside.Run("cmd /C reg add HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\ /v DefaultValue /t REG_DWORD /d 2 /f",0,TRUE)
  40.  
  41.  
  42.     nret39=geekside.Run("cmd /C reg add HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\ /v CheckedValue /t REG_DWORD /d 0 /f",0,TRUE)
  43.     nret40=geekside.Run("cmd /C reg add HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\ /v DefaultValue /t REG_DWORD /d 0 /f",0,TRUE)
  44.  
  45.     nret48=geekside.Run("cmd /C reg add HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\ /v Type /t REG_SZ /d Group /f",0,TRUE)
  46.  
  47.  
  48.  
  49.     nret61=geekside.Run("cmd /C reg add HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\ /v NoFolderOptions /t REG_DWORD /d 0 /f",0,TRUE)
  50.     nret62=geekside.Run("cmd /C reg add HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\ /v NoFolderOptions /t REG_DWORD /d 0 /f",0,TRUE)
  51.     nret63=geekside.Run("cmd /C reg add HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\ /v DisableRegistryTools /t REG_DWORD /d 0 /f",0,TRUE)
  52.  
  53.  
  54. nret78=geekside.Run("cmd /C taskkill /f /im explorer.exe",0,TRUE)
  55. nret79=geekside.Run("cmd /C start explorer.exe",0,TRUE)
  56.  
  57.  
  58. WScript.Echo "Ahora podrá ver todos los archivos ocultos, en su PC"
  59.  
  60.  
  61.  
  62. WScript. Quit(0)

   
   
Eliminan los archivos que se encuentran en %appdata%\efedsyhc\
Ejemplo de archivos creados:


Eliminas el acceso directo: empezar.lnk que se encuentra en la ruta:

C:\ProgramData\Microsoft\Windows\Start Menu\Programs\StartUp


Y Listo,... xD.

Saludos.
Tengo una duda, ¿Esa es la solución para eliminar el virus? perdona la ignorancia jajaja xD
Push yourself as far as you can and when you can't keep going until the end...

 

¿Te gustó el post? COMPARTILO!



Virus Total Crypter byRoda Mini ¦ MiniMod By N3G0

Iniciado por N3G0

Respuestas: 2
Vistas: 2709
Último mensaje Septiembre 05, 2015, 09:23:21 pm
por Gabriela
Virus Total Crypter byRoda

Iniciado por Roda

Respuestas: 3
Vistas: 3674
Último mensaje Abril 19, 2015, 04:13:01 am
por Roda
Interpretación de resultados de una detección de virus

Iniciado por Drok3r

Respuestas: 0
Vistas: 949
Último mensaje Febrero 25, 2018, 05:46:33 pm
por Drok3r
Encryptar virus en apk desde el móvil

Iniciado por NePtYx

Respuestas: 0
Vistas: 817
Último mensaje Marzo 04, 2018, 11:02:24 pm
por NePtYx
Cómo eliminar los virus

Iniciado por Nicolas12345

Respuestas: 3
Vistas: 1873
Último mensaje Febrero 09, 2016, 07:17:14 pm
por Nicolas12345