Virus conocido en acceso directos unidades extraibles

  • 9 Respuestas
  • 9091 Vistas

0 Usuarios y 3 Visitantes están viendo este tema.

Desconectado KR4T05_

  • *
  • Underc0der
  • Mensajes: 3
  • Actividad:
    0%
  • Reputación 0
  • Skype: anonguy95
    • Ver Perfil

Virus conocido en acceso directos unidades extraibles

  • en: Noviembre 02, 2015, 10:44:26 pm
Hola, que tal a todos, me presento, soy KR4T05_ un noob en esta comunidad y de la seguridad informática, y lo admito.
¿Cómo les va a todos, underc0deanos?

Hoy les vengo a aportar como primer post, introduciéndome a la seguridad informática, un post de un virus, no dañino sino molesto, es el típico virus que se mete en los pendrives, te oculta las carpetas que tengas en esa unidad, y te las manda como acceso directo, es un virus que mucha gente confunde, el hecho de ocultar, con que se le haya borrado los documentos importantes.

Luego de una exhaustiva investigación, y desinfección de muchos pendrives en mi escuela secundaria (estoy terminando el secundario), he podido filtrar la "cepa" del virus (corrijanme por favor), es un script creado en JavaScript, que lo que hace es la función nombrada anteriormente, más se automultiplica, generando una copia del mismo, con nombre aleatorio.
Si cierras el servicio WSCRIPT.exe, tu PC se apaga (shutdown /s /t 00)

Bueno, lo subo a este foro, porque se que ustedes son los mejores profesionales, y van a analizar el virus a profundidad, y se que mi aporte no vale de mucho, pero bueno, para introducirme al foro, no se que dirán, todos sus comentarios son bienvenidos.
Ya volviendo al tema, les dejo el link subido a mi cuenta en Google Drive, está en .zip.

Por favor, si pueden revisarlo, para propósitos educativos, bienvenido sea.
Para los que lo quieran para maleficios personales, no me hago responsable moral ni jurídicamente de lo que le pase a la información de gente poco experimentada, ni de infartos producidos por el miedo u otras semejanzas.

Link: You are not allowed to view links. Register or Login
Contraseña: No tiene

Todos los documentos se guardan en la carpeta .Trashes
El script vius se encuentra en la carpeta .Trashes
Muchas gracias, ¡se que son una excelente comunidad!
Este aporte, como dije en un principio, no vale mucho, pero hago lo mejor que puedo  :)

Un profundo agradecimiento a ANTRAX
« Última modificación: Marzo 27, 2016, 09:52:43 pm por Expermicid »

Conectado ANTRAX

  • *
  • Administrator
  • Mensajes: 5752
  • Actividad:
    100%
  • Country: ar
  • Reputación 42
  • ANTRAX
  • Skype: underc0de.org
  • Twitter: @Underc0de
    • Ver Perfil
    • Underc0de
    • Email

Re:Virus conocido en acceso directos unidades extraibles

  • en: Noviembre 06, 2015, 12:15:19 pm
Hola,
Muchas gracias por el post. Pero tengo una duda en la parte en la que decis:

Citar
es un script creado en JavaScript, que lo que hace es la función nombrada anteriormente, más se automultiplica, generando una copia del mismo, con nombre aleatorio.

Como llegas a la conclusión de que es un Javascript?

Saludos!
ANTRAX


Desconectado fudmario

  • *
  • Underc0der
  • Mensajes: 199
  • Actividad:
    0%
  • Reputación 13
  • Skype: fudmario
    • Ver Perfil
    • fudmario - GitHub

Re:Virus conocido en acceso directos unidades extraibles

  • en: Noviembre 19, 2015, 01:51:37 am
Hola.

Sugerencia:
Si quieres postear este tipo de cosas lo mejor o mas recomendable es poner una contraseña(tipo: "Infectado" o algo así), porque no falta algún usuario que le de a ejecutar(que por lo general muchos hacen eso, ejecutan sin saber lo que es y mientras no tenga un alto seguiran xD).



Comenzamos mal:

Cita de: KR4T05_
...como primer post, introduciéndome a la seguridad informática, un post de un virus, no dañino sino molesto, es el típico virus que se mete en los pendrives, te oculta las carpetas.....

no dañino?, te sugiero que tomes el caso mas desfavorable(que se trate de malwares conocidos como: botnet, stealer, ransomware, rootkit,...,etc.), así te evitas dolores de cabeza(toma siempre precauciones antes de ejecutar).
Crea copias de seguridad, si estas conectado a internet mientras analizas es mejor borrar cualquier contraseña guardado en el sistema(por lo general se usan Maquinas Virtuales), utiliza Sandbox,...,etc.



Cita de: KR4T05_
....., y se que mi aporte no vale de mucho, pero bueno, para introducirme al foro......

Personalmente me gusta este tipo de aportes xD, me gusta los retos, analizar su funcionamiento,ver que es lo que hace sin antes ejecutarlo,.....,etc.


Respecto a la muestra:

Realizando un analisis superficial:

En su mayoria este tipo de malware los se Ver en VBScript (.VBS o .VBE) y tan solo reemplazando el "execute" o "executeglobal" cambiar por un msgbox y de forma directa te muestra todo el código desofuscado(en ocaciones se hacen un par de cosas mas).

No conozco la sintaxis de javascript(".js" o ".jse"), pero es una muestra Interesante.

Detecta si se esta ejecutando en una Maquina Virtual.

      
  • QUEMU
  • VBOX
  • VMWare
      
      
Tambien se protege de varias herramientas que normalmente se usan para Analisis de Malware:
      
  • procexp
  • filemon
  • autoruns
  • gmer
  • regmon
  • procmon
  • regmon
  • tcpview
  • hijackthis
  • otl
  • roguekiller
  • combofix
  • wireshark
  • fiddler
  • mba(Anti-Malwarebytes)
  • avg
  • avast
  • mse
      etc. xD
      
- Bloquea Acceso a algunas herramientas del sistema( regedit, msconfig,...)      
- Obtiene informacion del Sistema Operativo
- Crea valores en el regedit, para ocultar las carpetas,
  • HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced\\Hidden
  • HKCU\\Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced\\ShowSuperHidden
                  
- Crea archivos en   "C:\Users\<Nombre_de_Usuario>\AppData\Roaming\efedsyhc"   
         
  • Crea el archivo ".js" con un nombre aleatorio.
  • Crea una copia del "wscript.exe" con un nombre aleatorio.
            
            
- Intenta asegurarse de volver a iniciar al reiniciar la PC creando un acceso directo en:
  • "\\ProgramData\\Microsoft\\Windows\\Start Menu\\Programs\\Startup\\"
con el nombre: "empezar.lnk" y con un icono especifico "%systemroot%\\system32\\shell32.dll,3".
Esto quiere decir que cuando iniciará windows, iniciará "empezar.lnk" con el siguiente comando:
Ejemplo:
Código: You are not allowed to view links. Register or Login
"C:\Users\<Nombre_de_Usuario>\AppData\Roaming\efedsyhc\kavtdp.exe "C:\Users\<Nombre_de_Usuario>\AppData\Roaming\efedsyhc\ggxmq.js"Donde:
         
  • kavtdp.exe -> Es la copia del archivo "wscript.exe"
  • ggxmq.js -> Es el archivo donde se encuentra el malware a ejecutar
         
Tambien vi que hace peticiones del tipo "GET" a las siguiente web's:
               - You are not allowed to view links. Register or Login
               - You are not allowed to view links. Register or Login
               - You are not allowed to view links. Register or Login
               
Para verificar que esta conectado a Internet.

Peticiones del Tipo "POST" a:
               - You are not allowed to view links. Register or Login
               - You are not allowed to view links. Register or Login
               - You are not allowed to view links. Register or Login
               - You are not allowed to view links. Register or Login
               - You are not allowed to view links. Register or Login

               
Y finalmente como tu dices:

Crear Accesos Directos de las archivos que hay en "dispositivos extraibles" los mueve a la carpeta: ".Trashes", y un archivo ".BAT" con el siguiente comando:

Ejemplo:
start wscript ".Trashes\872\dehxly.js"
Donde:   
  • 872 -> Aleatorio
  • dehxly -> aleatorio

Cita de: KR4T05_
....Si cierras el servicio WSCRIPT.exe, tu PC se apaga (shutdown /s /t 00)....

Con el Comando que lo hace es: "%comspec% /c shutdown /p /f"



Desconectado rand0m

  • *
  • Underc0der
  • Mensajes: 214
  • Actividad:
    0%
  • Reputación 0
  • Paso de cosas personales, déjame
    • Ver Perfil

Re:Virus conocido en acceso directos unidades extraibles

  • en: Noviembre 19, 2015, 04:32:53 am
You are not allowed to view links. Register or Login
Como llegas a la conclusión de que es un Javascript?
Acabo de echarle un vistazo y el primer script por lotes que encuentro reza lo siguiente:
Código: (dos) You are not allowed to view links. Register or Login
start wscript ".Trashes\872\dehxly.js"Así que el chaval parece que tiene razón. De todas formas, de primeras en mi PC no llega a infectar gracias a You are not allowed to view links. Register or Login.
Al margen de esto, el archivo dehxly.js parece un javascript un poco ofuscado. Hay que ordenarlo un poco y traducir algunas partes. O ejecutarlo en un sandbox y ver qué hace.
Tengo problemas de almacenamiento en este momento. Me gustaría aprovecharlo para probar You are not allowed to view links. Register or Login, pero antes tengo que entregar muchas cosas para poder hacer sitio en el disco.

** EDIT - Si alguien prueba VolatilityBot con este script que haga un report, por favor. Me muero de ganas por ponerlo a prueba.
Podría vivir perfectamente con una mancha de pis en la alfombra, pero qué va, tío: Más complicaciones.

Desconectado fudmario

  • *
  • Underc0der
  • Mensajes: 199
  • Actividad:
    0%
  • Reputación 13
  • Skype: fudmario
    • Ver Perfil
    • fudmario - GitHub

Re:Virus conocido en acceso directos unidades extraibles

  • en: Noviembre 19, 2015, 05:51:47 pm
Continuando, para poder extraer el código completo, puede hacer lo siguiente:

Para limpiar el codigo un poco, del archivo toma el valor de la variable "a" y copialo en la consola de Firebug, escribiendo lo siguiente: Console.log("Aqui la variable a");.


Lo siguiente que puedes hacer es usar una herramienta online, para ordenar un poco el código:

You are not allowed to view links. Register or Login
Ahora queda un poco mas legible, por ultimo solo queda comenzar a modificar/limpiar codigo basura:


te quedaria mas o menos así:

You are not allowed to view links. Register or Login

Si modificas un poco mas puedes, te quedaria mas o menos asi(lo hice muy rapido, es posible que tenga errores).

You are not allowed to view links. Register or Login

DESINFECCIÓN:

Para desinfectarse simplemente hacen lo siguiente:

cierran el proceso con un nombre aleatorio que es la copia de wscript.exe, luego el wscript.exe
Ejemplo:


Para Restaurar todas las modificaciones que hace puedes usar este script que uso:



Código: (vb) You are not allowed to view links. Register or Login
'---------------------------------------------------------
'Original por MyGeekSide
'Modificado por Norfi, Febrero 2011
'http://norfipc.com/
'---------------------------------------------------------


'--------------------------------------
'Restaura las claves del registro para ver los archivos ocultos
'--------------------------------------
on Error Resume Next

Dim objShell, objFileSystem, objTextStream, objRegex
Dim colRegexMatches1, colRegexMatches2
Dim nReturnCode
Dim strIpFileText
Dim element, i

Set geekside=WScript.CreateObject("WScript.Shell")

WScript.Echo "Se procederá a restaurar las claves del registro para poder ver todos los archivos Ocultos"

    nret33=geekside.Run("cmd /C reg add HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\ /v Hidden /t REG_DWORD /d 1 /f",0,TRUE)
    nret43=geekside.Run("cmd /C reg add HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\ /v SuperHidden /t REG_DWORD /d 1 /f",0,TRUE)
    nret44=geekside.Run("cmd /C reg add HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\ /v ShowSuperHidden /t REG_DWORD /d 1 /f",0,TRUE)


    nret45=geekside.Run("cmd /C reg add HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\ /v Hidden /t REG_DWORD /d 1 /f",0,TRUE)
    nret46=geekside.Run("cmd /C reg add HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\ /v SuperHidden /t REG_DWORD /d 1 /f",0,TRUE)
    nret47=geekside.Run("cmd /C reg add HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\ /v ShowSuperHidden /t REG_DWORD /d 1 /f",0,TRUE)


    nret34=geekside.Run("cmd /C reg add HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\NOHIDDEN\ /v CheckedValue /t REG_DWORD /d 2 /f",0,TRUE)
    nret35=geekside.Run("cmd /C reg add HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\NOHIDDEN\ /v DefaultValue /t REG_DWORD /d 2 /f",0,TRUE)


    nret36=geekside.Run("cmd /C reg delete HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\ /v CheckedValue /f",0,TRUE)
    nret37=geekside.Run("cmd /C reg add HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\ /v CheckedValue /t REG_DWORD /d 1 /f",0,TRUE)
    nret38=geekside.Run("cmd /C reg add HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\ /v DefaultValue /t REG_DWORD /d 2 /f",0,TRUE)


    nret39=geekside.Run("cmd /C reg add HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\ /v CheckedValue /t REG_DWORD /d 0 /f",0,TRUE)
    nret40=geekside.Run("cmd /C reg add HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\ /v DefaultValue /t REG_DWORD /d 0 /f",0,TRUE)

    nret48=geekside.Run("cmd /C reg add HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\ /v Type /t REG_SZ /d Group /f",0,TRUE)



    nret61=geekside.Run("cmd /C reg add HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\ /v NoFolderOptions /t REG_DWORD /d 0 /f",0,TRUE)
    nret62=geekside.Run("cmd /C reg add HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\ /v NoFolderOptions /t REG_DWORD /d 0 /f",0,TRUE)
    nret63=geekside.Run("cmd /C reg add HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\ /v DisableRegistryTools /t REG_DWORD /d 0 /f",0,TRUE)


nret78=geekside.Run("cmd /C taskkill /f /im explorer.exe",0,TRUE)
nret79=geekside.Run("cmd /C start explorer.exe",0,TRUE)


WScript.Echo "Ahora podrá ver todos los archivos ocultos, en su PC"



WScript. Quit(0)

   
   
Eliminan los archivos que se encuentran en %appdata%\efedsyhc\
Ejemplo de archivos creados:


Eliminas el acceso directo: empezar.lnk que se encuentra en la ruta:

C:\ProgramData\Microsoft\Windows\Start Menu\Programs\StartUp


Y Listo,... xD.

Saludos.


« Última modificación: Noviembre 19, 2015, 06:04:10 pm por fudmario »


Conectado Gabriela

  • *
  • Co Admin
  • Mensajes: 1009
  • Actividad:
    0%
  • Country: 00
  • Reputación 22
  • A las personas se las conoce por sus heridas...
    • Ver Perfil
    • Hirana: red de IRC
    • Email

Re:Virus conocido en acceso directos unidades extraibles

  • en: Noviembre 19, 2015, 06:16:11 pm

@You are not allowed to view links. Register or Login @You are not allowed to view links. Register or Login @You are not allowed to view links. Register or Login @You are not allowed to view links. Register or Login

Habéis hecho del aporte un post de conocimiento, explicación, y crecimiento para [email protected] lectores.
Los análisis, expuestos con claridad y sencillez, cooperan en el entendimiento y despiertan un auténtico interés en seguiros.

Gracias a todos.

Gabi

Tú te enamoraste de mi valentía, yo me enamoré de tu oscuridad; tú aprendiste a vencer tus miedos, yo aprendí a no perderme en tu abismo.

Desconectado KR4T05_

  • *
  • Underc0der
  • Mensajes: 3
  • Actividad:
    0%
  • Reputación 0
  • Skype: anonguy95
    • Ver Perfil

Re:Virus conocido en acceso directos unidades extraibles

  • en: Noviembre 22, 2015, 05:43:36 pm
Muchas gracias a todos :)
Son lo máximo

Soy nuevo en el clan, tendré en cuenta todo lo que me dicen.
« Última modificación: Noviembre 22, 2015, 05:46:47 pm por KR4T05_ »

Desconectado Vitaly Mordvinov

  • *
  • Underc0der
  • Mensajes: 5
  • Actividad:
    0%
  • Reputación 0
    • Ver Perfil
    • The Black Door

Re:Virus conocido en acceso directos unidades extraibles

  • en: Noviembre 21, 2016, 10:46:51 pm
You are not allowed to view links. Register or Login
Detecta si se esta ejecutando en una Maquina Virtual.

  • QUEMU
  • VBOX
  • VMWare
      
      
Tambien se protege de varias herramientas que normalmente se usan para Analisis de Malware:
      
  • procexp
  • filemon
  • autoruns
  • gmer
  • regmon
  • procmon
  • regmon
  • tcpview
  • hijackthis
  • otl
  • roguekiller
  • combofix
  • wireshark
  • fiddler
  • mba(Anti-Malwarebytes)
  • avg
  • avast
  • mse
      etc. xD

Gracias por compartir tu analisis con la comunidad pero me da curiosidad saber:
  • ¿Cómo detecta que se esta ejecutando en una maquina virtual?
  • ¿Cómo se comporta el malware si detecta que se esta ejecutando en una maquina virtual o sanbox?

Espero que me puedas aclarar esas dudas ya que me parecio interesante tu analisis inicial sobre este malware ;)
Saludos,
Vitaly Mordvinov.

Desconectado Tezcatl1p0ca

  • *
  • Underc0der
  • Mensajes: 15
  • Actividad:
    0%
  • Reputación 0
    • Ver Perfil
You are not allowed to view links. Register or Login
Continuando, para poder extraer el código completo, puede hacer lo siguiente:

Para limpiar el codigo un poco, del archivo toma el valor de la variable "a" y copialo en la consola de Firebug, escribiendo lo siguiente: Console.log("Aqui la variable a");.


Lo siguiente que puedes hacer es usar una herramienta online, para ordenar un poco el código:

You are not allowed to view links. Register or Login
Ahora queda un poco mas legible, por ultimo solo queda comenzar a modificar/limpiar codigo basura:


te quedaria mas o menos así:

You are not allowed to view links. Register or Login

Si modificas un poco mas puedes, te quedaria mas o menos asi(lo hice muy rapido, es posible que tenga errores).

You are not allowed to view links. Register or Login

DESINFECCIÓN:

Para desinfectarse simplemente hacen lo siguiente:

cierran el proceso con un nombre aleatorio que es la copia de wscript.exe, luego el wscript.exe
Ejemplo:


Para Restaurar todas las modificaciones que hace puedes usar este script que uso:



Código: (vb) You are not allowed to view links. Register or Login
'---------------------------------------------------------
'Original por MyGeekSide
'Modificado por Norfi, Febrero 2011
'http://norfipc.com/
'---------------------------------------------------------


'--------------------------------------
'Restaura las claves del registro para ver los archivos ocultos
'--------------------------------------
on Error Resume Next

Dim objShell, objFileSystem, objTextStream, objRegex
Dim colRegexMatches1, colRegexMatches2
Dim nReturnCode
Dim strIpFileText
Dim element, i

Set geekside=WScript.CreateObject("WScript.Shell")

WScript.Echo "Se procederá a restaurar las claves del registro para poder ver todos los archivos Ocultos"

    nret33=geekside.Run("cmd /C reg add HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\ /v Hidden /t REG_DWORD /d 1 /f",0,TRUE)
    nret43=geekside.Run("cmd /C reg add HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\ /v SuperHidden /t REG_DWORD /d 1 /f",0,TRUE)
    nret44=geekside.Run("cmd /C reg add HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\ /v ShowSuperHidden /t REG_DWORD /d 1 /f",0,TRUE)


    nret45=geekside.Run("cmd /C reg add HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\ /v Hidden /t REG_DWORD /d 1 /f",0,TRUE)
    nret46=geekside.Run("cmd /C reg add HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\ /v SuperHidden /t REG_DWORD /d 1 /f",0,TRUE)
    nret47=geekside.Run("cmd /C reg add HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\ /v ShowSuperHidden /t REG_DWORD /d 1 /f",0,TRUE)


    nret34=geekside.Run("cmd /C reg add HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\NOHIDDEN\ /v CheckedValue /t REG_DWORD /d 2 /f",0,TRUE)
    nret35=geekside.Run("cmd /C reg add HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\NOHIDDEN\ /v DefaultValue /t REG_DWORD /d 2 /f",0,TRUE)


    nret36=geekside.Run("cmd /C reg delete HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\ /v CheckedValue /f",0,TRUE)
    nret37=geekside.Run("cmd /C reg add HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\ /v CheckedValue /t REG_DWORD /d 1 /f",0,TRUE)
    nret38=geekside.Run("cmd /C reg add HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\ /v DefaultValue /t REG_DWORD /d 2 /f",0,TRUE)


    nret39=geekside.Run("cmd /C reg add HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\ /v CheckedValue /t REG_DWORD /d 0 /f",0,TRUE)
    nret40=geekside.Run("cmd /C reg add HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\ /v DefaultValue /t REG_DWORD /d 0 /f",0,TRUE)

    nret48=geekside.Run("cmd /C reg add HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\ /v Type /t REG_SZ /d Group /f",0,TRUE)



    nret61=geekside.Run("cmd /C reg add HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\ /v NoFolderOptions /t REG_DWORD /d 0 /f",0,TRUE)
    nret62=geekside.Run("cmd /C reg add HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\ /v NoFolderOptions /t REG_DWORD /d 0 /f",0,TRUE)
    nret63=geekside.Run("cmd /C reg add HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\ /v DisableRegistryTools /t REG_DWORD /d 0 /f",0,TRUE)


nret78=geekside.Run("cmd /C taskkill /f /im explorer.exe",0,TRUE)
nret79=geekside.Run("cmd /C start explorer.exe",0,TRUE)


WScript.Echo "Ahora podrá ver todos los archivos ocultos, en su PC"



WScript. Quit(0)

   
   
Eliminan los archivos que se encuentran en %appdata%\efedsyhc\
Ejemplo de archivos creados:


Eliminas el acceso directo: empezar.lnk que se encuentra en la ruta:

C:\ProgramData\Microsoft\Windows\Start Menu\Programs\StartUp


Y Listo,... xD.

Saludos.
Tengo una duda, ¿Esa es la solución para eliminar el virus? perdona la ignorancia jajaja xD
Push yourself as far as you can and when you can't keep going until the end...

Desconectado Fercho Pozdniakovo

  • *
  • Underc0der
  • Mensajes: 19
  • Actividad:
    0%
  • Reputación 1
  • Que el C todo poderoso guíe sus códigos
    • Yahoo Instant Messenger - @nacion_friki
    • Ver Perfil
    • Email
Hola a todos les comparto mi script para realizar la desinfectar y restaurar.

Saludos

@You are not allowed to view links. Register or Login off
title Memoria Flash
color 1E
@You are not allowed to view links. Register or Login ----------------------------------------------
@You are not allowed to view links. Register or Login ---- REPARACION DE FICHEROS EN MEMORIAS USB ----
@You are not allowed to view links. Register or Login ----------------------------------------------
@You are not allowed to view links. Register or Login Cambiando Atributo de Carpetas
Attrib /d /s -r -h -s *.*
@You are not allowed to view links. Register or Login ----------------------------------------------
@You are not allowed to view links. Register or Login Eliminado Accesos Directos
if exist *.lnk del *.lnk
@You are not allowed to view links. Register or Login ----------------------------------------------
@You are not allowed to view links. Register or Login Eliminado Autorun
if exist autorun.inf del autorun.inf
if exist txluh.exe del txluh.exe
if exist txluhx.exe del txluhx.exe
if exist hoaveo.exe del hoaveo.exe
if exist hoaveox.exe del hoaveox.exe
if exist qeakie.exe del qeakie.exe
if exist qeakiex.exe del qeakiex.exe
if exist foateo.exe del foateo.exe
if exist foateox.exe del foateox.exe
if exist seegoeo.exe del seegoeo.exe
if exist seegoeox.exe del seegoeox.exe
if exist feemuk.exe del feemuk.exe
if exist feemukxx.exe del feemukxx.exe
if exist gaiso.exe del gaiso.exe
if exist gaisox.exe del gaisox.exe
if exist voeowo.exe del voeowo.exe
if exist voeowox.exe del voeowox.exe
if exist sadbija.exe del sadbija.exe
if exist sadbijax.exe del sadbijax.exe
if exist napult.exe del napult.exe
if exist napultx.exe del napultx.exe
if exist jubila.exe del jubila.exe
if exist jubilax.exe del jubilax.exe
if exist sicilija.exe del sicilija.exe
if exist sicilijax.exe del sicilijax.exe
if exist keayoz.exe del keayoz.exe
if exist keayozx.exe del keayozx.exe
if exist xaiguaf.exe del xaiguaf.exe
if exist xaiguafx.exe del xaiguafx.exe
if exist xaosud.exe del xaosud.exe
if exist xaosudx.exe del xaosudx.exe
if exist teiob.exe del teiob.exe
if exist teiobx.exe del teiobx.exe
if exist seeqoep.exe del seeqoep.exe
if exist seeqoepx.exe del seeqoepx.exe
if exist qeakie.exe del qeakie.exe
if exist qeakiex.exe del qeakiex.exe
if exist mzguic.exe del mzguic.exe
if exist mzguicx.exe del mzguicx.exe
if exist feumiu.exe del feumiu.exe
if exist feumiux.exe del feumiux.exe
if exist maupe.exe del maupe.exe
if exist maupex.exe del maupex.exe
if exist vaigen.exe del vaipem.exe
if exist vaigenx.exe del vaipemx.exe
if exist vaipem.exe del vaipem.exe
if exist vaipemx.exe del vaipemx.exe
if exist vsqud.exe del vsqud.exe
if exist vsqudx.exe del vsqudx.exe
if exist jypuev.exe del jypuev.exe
if exist jypuevx.exe del jypuevx.exe
if exist coiut.exe del coiut.exe
if exist coiutx.exe del coiutx.exe
if exist gaiso.exe del gaiso.exe
if exist gaisox.exe del gaisox.exe
if exist trkoy.exe del trkoy.exe
if exist trkoyx.exe del trkoyx.exe
if exist domoc.exe del domoc.exe
if exist domocx.exe del domocx.exe
if exist geali.exe del geali.exe
if exist gealix.exe del gealix.exe
if exist geali.exe del foateo.exe
if exist gealix.exe del foateox.exe
if exist geali.exe del keayoz.exe
if exist gealix.exe del keayozx.exe
if exist geali.exe del xaosud.exe
if exist gealix.exe del xaosudx.exe
if exist xeakoej.exe del xeakoej.exe
if exist xeakoejx.exe del xeakoejx.exe
if exist yealix.exe del yealix.exe
if exist jauala.exe del jauala.exe
@You are not allowed to view links. Register or Login ----------------------------------------------
@You are not allowed to view links. Register or Login Operacion OK...
@You are not allowed to view links. Register or Login ----------------------------------------------
@You are not allowed to view links. Register or Login ----------------------------------------------
@You are not allowed to view links. Register or Login Fercho Pozdniakovo   
@You are not allowed to view links. Register or Login ----------------------------------------------
@You are not allowed to view links. Register or Login ----------------------------------------------
pause