Hijackthis [Eliminado troyano] By ShadinessDark
Escritura del autor.
Como muchos sabemos o hemos visto con nuestros propios ojos millones de Web de la red las están
Atacando con códigos maliciosos los mas usados ~ Php ~ Javascript ~ y secuencia de comandos HTML Entonces Los usuarios están descargando códigos maliciosos para infectar a otros.
¿Como nos infectan?
Cuando abrimos un sitio Web supongamos en mi caso que usare INTERNE EXPLORE Es decir (IE) Y Esta infectado con códigos, la descarga del código malicioso que puede ser un troyano o/u spyware de la url especificada en la etiqueta de iframe bueno ya saben que cuando tenemos
Acrobat Reader se abren navegadores como en mi caso un antivirus nunca suele detectar este
Troyano lo hice con karpesky y no lo detecto con eset tampoco solo han dado la advertencia
Pero nunca lo bloquean sigue apareciendo entre los log de Windows como sabemos cuando vemos
Un trayano en nuestro PC roban las contraseñas de FTP cuando la escribimos en nuestro programa
De FTP el troyano scanea todos los directorios del servidor FTP y encuentran archivos que tengan:
1.) Principal
2.) Inicio
3.) Predeterminado
4.) índice
El atacante puede inyectar un código malicioso en estos archivos y también afecta a los usuarios
Que visitan su sitio.
¿Como saber si estoy infectado?
Vamos a usar una herramienta no se si sea muy conocida aunque en realidad ya la habia visto
Hace tiempo no se si Uds.
Ya la conocían se llama Hijackthis la pueden encontrar en su Web principal 'Para que no piensen que les meto algún virus es mas confiable descargarlo desde su Web'
Http://www.trendsecure.com/portal/en-US/tools/security_tools/hijackthis
Aqui tienen el sitio Web como encontramos el troyano.
Antes de seguir les voy a comentar que hace esta herramienta para que tengan un entendido
Para no dejarle todo a lo corto.
hijackthis:
Esta herramienta scanea rápido nuestro sistema para buscar configuraciones cambiadas por Programas no deseados como por ejemplo:
Malware
Spyware
Otros...
Nos crea un informe o archivo de exploración que nos genera los registros de Windows.
Podrian haber otras entradas diferentes a la mía que es el troyano producido por el IE que les dije
Arriba Este troyano tiene como nombre: AcroIEHelper.dll se registra en las carpetas de adobe casi
Siempre tenemos esa carpeta ya que la mayoría de PC traen en ADOBE instalado no se si me equivoque.
Captura de hijackthis:
¿como Elimino el troyano?
Empecemos Reparemos toda las entradas sospechosas que nos dio hijackthis si ven la entrada
Que yo les dije AcroIEHelper.dll quiere decir que nuestro equipo es infectado con un troyano...
Con HijackThis solucionamos este problema este archivo lo encontramos en la carpeta Acrobat Reader borramos el archivo y reiniciamos la PC y hacemos un nuevo scaneo si vuelven a scanear y les sigue saliendo esto pues nos toca intalar una copia de Windows.
Después que limpiemos el equipo cambiemos las contraseñas de los FTP y utilicemos el script PHP para encontrar archivos infectados en nuestro servidor...
Codigo:
Como muchos sabemos o hemos visto con nuestros propios ojos millones de Web de la red las están
Atacando con códigos maliciosos los mas usados ~ Php ~ Javascript ~ y secuencia de comandos HTML Entonces Los usuarios están descargando códigos maliciosos para infectar a otros.
¿Como nos infectan?
Cuando abrimos un sitio Web supongamos en mi caso que usare INTERNE EXPLORE Es decir (IE) Y Esta infectado con códigos, la descarga del código malicioso que puede ser un troyano o/u spyware de la url especificada en la etiqueta de iframe bueno ya saben que cuando tenemos
Acrobat Reader se abren navegadores como en mi caso un antivirus nunca suele detectar este
Troyano lo hice con karpesky y no lo detecto con eset tampoco solo han dado la advertencia
Pero nunca lo bloquean sigue apareciendo entre los log de Windows como sabemos cuando vemos
Un trayano en nuestro PC roban las contraseñas de FTP cuando la escribimos en nuestro programa
De FTP el troyano scanea todos los directorios del servidor FTP y encuentran archivos que tengan:
1.) Principal
2.) Inicio
3.) Predeterminado
4.) índice
El atacante puede inyectar un código malicioso en estos archivos y también afecta a los usuarios
Que visitan su sitio.
¿Como saber si estoy infectado?
Vamos a usar una herramienta no se si sea muy conocida aunque en realidad ya la habia visto
Hace tiempo no se si Uds.
Ya la conocían se llama Hijackthis la pueden encontrar en su Web principal 'Para que no piensen que les meto algún virus es mas confiable descargarlo desde su Web'
Http://www.trendsecure.com/portal/en-US/tools/security_tools/hijackthis
Aqui tienen el sitio Web como encontramos el troyano.
Antes de seguir les voy a comentar que hace esta herramienta para que tengan un entendido
Para no dejarle todo a lo corto.
hijackthis:
Esta herramienta scanea rápido nuestro sistema para buscar configuraciones cambiadas por Programas no deseados como por ejemplo:
Malware
Spyware
Otros...
Nos crea un informe o archivo de exploración que nos genera los registros de Windows.
Podrian haber otras entradas diferentes a la mía que es el troyano producido por el IE que les dije
Arriba Este troyano tiene como nombre: AcroIEHelper.dll se registra en las carpetas de adobe casi
Siempre tenemos esa carpeta ya que la mayoría de PC traen en ADOBE instalado no se si me equivoque.
Captura de hijackthis:
¿como Elimino el troyano?
Empecemos Reparemos toda las entradas sospechosas que nos dio hijackthis si ven la entrada
Que yo les dije AcroIEHelper.dll quiere decir que nuestro equipo es infectado con un troyano...
Con HijackThis solucionamos este problema este archivo lo encontramos en la carpeta Acrobat Reader borramos el archivo y reiniciamos la PC y hacemos un nuevo scaneo si vuelven a scanear y les sigue saliendo esto pues nos toca intalar una copia de Windows.
Después que limpiemos el equipo cambiemos las contraseñas de los FTP y utilicemos el script PHP para encontrar archivos infectados en nuestro servidor...
Codigo:
read ())) (
$ status ='';
if ($ entrada !='.' & & $ entrada !='..') (
$ entrada = entrada .'/'.$ $ dir;
if (is_dir ($ entrada)) (
$ array [] = '. $ de entrada. "';;
$ array = array_merge ($ array, read_dir ($ entrada));
) Else (
$ regex = '/ <[iframe \ w \ W] *? http [\ w \ W] *? <\ / iframe> /';
$ parts = pathinfo ($ entrada);
if ($ partes [ 'extension']==' php' | | $ partes [ 'extension']==' html' | | $ partes [ 'extension']==' js') (
preg_match ($ regex, $ contenido, $ matches);
if (count ($ matches)> 0) (
$ status = ' [infección] ';
)
else (
0 comentarios:
Publicar un comentario