[eside-ghost] Urgente: troyano stbot
Malkavian (MHVSS) :[
malkavian en confluencia.net
Mie Abr 7 02:07:16 CEST 2004
> vida imposible. Le entró mientras estaba en mocosoft,
> no se sabe muy bien como. El caso es que genera un
Un troyano normalmente te lo envía alguien y te das cuenta tarde de que
no deberías haberte fiado, pues no, no es un programa chachi para ver
porno gratis XDDD
> Se me ha ocurrido que podríamos borrarlo desde linux,
> pero nuestra distribución no permite escribir en NTFS
> (Suse 9.0 con kernel 2.4). ¿Que tendría que instalar
> para poder escribir desde linux en NTFS? Agradeceria
> que sea paso por paso, no sabemos mucho de linux.
Quizás borrar el archivo no valga porque peude que se copie a otros laos
pero podéis probar...
Pos sería meter al linux el driver captive, que es uno que permite
escribir NTFS (usa el propio driver de NTFS de Windows) no se si es
facil o dificil ponerlo...
No si habrá alguna distribución que lo incluya ya... Se rumorea que la
Knoppix 3.4 lo tendrá, pero aún no ha salido...
La web de captive es: http://www.jankratochvil.net/project/captive/
Echadle un ojo a ver...
> Si sabeis de algun otro metodo para borrar el troyano
> decidmelo por favor.
Hay varios modos en los que un troyano consigue hacer que al arrancar
Windows se ejecute también el troyano, se de 3 pero desconozco el
funcionamiento de uno. Por suerte ese tercer metodo se usa muuuuy poco.
Ummm... actualización, he visto otro modo en una web, quizás sea el
tercer modo que desconozco, pero no lo sé...
3er modo (supongo) (lo menos frecuente):
Mirad el archivo c:/windows/system.ini (si no está ahí quizas en
c:/windows/system/system.ini o c:/windows/system32/system.ini o
buscadlo... Supongo que en WinXP aun existirá ese archivo...)
Debajo de la sección "boot" la línea "shell" no debe incluir ninguna
referencia al troyano, debe estar así:
[boot]
shell=Explorer.exe
y no así:
[boot]
shell=Explorer.exe [Nombre del troyano]
2º metodo (poco probable pero más que el anterior):
Mirad el archivo c:/windows/win.ini
Debajo de la sección "Windows" la línea "run" no debe incluir ninguna
referencia al troyano,
[Windows]
run= [nombre del troyano]
Debe quedar como:
[Windows]
run=
1er método (el más probable con diferencia):
Vete a:
Inicio --- Ejecutar --- REGEDIT
Y ahí a:
HKEY_LOCAL_MACHINES --- software --- Microsoft --- Windows ---
CurrentVersion --- Run
Esos son los programas que se cargan al inicio (y que la mayoría salen
como un iconito a la derecha de la barra de tareas). Mira a ver si ves
algo raro (quizás tenga un nombre "de camuflaje" para que no le pilles,
así que ojo...). Lo que borréis no se cargará al arrancar simplemente,
así que si queréis quitar algo de paso aprovechad...
Haced lo mismo en :
HKEY_LOCAL_MACHINES --- software --- Microsoft --- Windows ---
CurrentVersion --- RunOnce
y en:
HKEY_LOCAL_MACHINES --- software --- Microsoft --- Windows ---
CurrentVersion --- RunServices
y en:
HKEY_LOCAL_MACHINES --- software --- Microsoft --- Windows ---
CurrentVersion --- RunServicesOnce
Creo que en Win XP sólo hay 2 de estas 4...
Tras hacer todo esto reinicias y no debería cargarse el troyano si lo
habéis quitado de donde saliera pa que no se cargue... y probablemente
podréis borrar el archivo puñetero.
--
Agur: Malkavian (MHVSS) :[
------------------------------------------------------------------------
La página de Malkavian: H/P/V/C, linux, rol... ALGÚN DÍA...
Miembro del Grupo de LinUxuarios de Bizkaia (GLUB) http://glub.biz
Miembro de Kodeak, Eghost, Itsas, GULA, GLUGI, Guardianes del Túmulo...
------------------------------------------------------------------------
"El arte es el lenguaje de las almas; y la música, es su voz." - Aritz Olabarrieta (Wizard)
Más información sobre la lista de distribución eside-ghost