Hoy recibi un usb, por respetar la amistad le digo que use la pc.
Observo mientras tanto… reconoce el USB y con un doble click su USB y boom se abre una ventana, dije VIRUS!!! y resulto ser muy grave, los antivirus no lo detectaban ni lo tomaban en cuenta. Ahora iba usar messenger y boom error saliendo un mensaje clasico de error con algun modulo de memoria asi que era grave este tipo de errores son explotados para muchas veces romper la seguridad de nuestro sistema operativo, tipico de un troyano 
Bien manos a la obra, en esta ocacion el proceso no lo sabemos ya que el error esta asociado a un .dll que no tiene nada que ver con el messenger. observamos la unidad usb y veamos que tipo de espcimen han instalado a nuestra PC
h:\>attrib
SHR C:\mb9x.exe
SHR C:\autorun.inf
bingo el clasico autorun, parece curioso que un autorun no sea detectado por el AV. y esto se debe a que hay tecnicas de ocultar o hacer indetectable a un virus por ejemplo cambiando sus flags. Asi que a veces uno se rompe la cabeza preguntandose por que no detecto un clasico autorun argg!!!
bien veamos que tiene este inofensivo archivo
h:\>edit autorun.inf
…
open=mb9bx.exe
…
Ahora si tenemos un poco de info, asi que tratamos de quitar atributos
h:\>attrib -r -s -h mb9bx.exe
bien todo funciono y despues de 5 segundos vuelve a recuperar sus atributos. Asi que no trabaja solo veamos entonces los temporales
De seguro en ejecutar no observaremos nada malaiciso asi que vayamos a ver desde una terminal:
c:\>cd DOCUME~1\ADMINI~1\CONFIG~1\Temp
C:\DOCUME~1\ADMINI~1\CONFIG~1\Temp>attrib
SHR C:\DOCUME~1\ADMINI~1\CONFIG~1\Temp\cvasds0.dll
SHR C:\DOCUME~1\ADMINI~1\CONFIG~1\Temp\cvasds1.dll
SHR C:\DOCUME~1\ADMINI~1\CONFIG~1\Temp\herss.exe
wow 3 virus mas asi que quitar attributos y a borrarlos
attrib -r -s -h cvasds0.dll
attrib -r -s -h cvasds1.dll
attrib -r -s -h herss.exe
del /f /q /s /a cvasds0.dll
del /f /q /s /a cvasds1.dll
del /f /q /s /a herss.exe
Bien en el caso de cvasds0.dll no se va a eliminar ya que es el file principal para su funcionamiento asi que con las demas este ya no tiene efecto en nuestro sistema (despues eliminaremos). Ahora eliminaremos autorun.inf y mb9bx.exe
En mi caso al hacer attrib ya no figuraba mb9bx.exe asi que me da a entender que debia estar asociad a una de las dll’s. Pero el autorun.inf si que no se borrara facilmente ello se debe que este usando el registro para autoregenerarse asi que veamos el registro
windows + r –> regedit
buscamos y borramos las siguiente cadena:
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
cdoosoft = “%Temp%\herss.exe”
Borramos todos los temporales (windows + r –> %temp%) posibles y reniciamos la PC, y si preguntan que pasa con el autorun.inf y cvasds0.dll eso viene despues.
Bien una vez dentro del sistema borramos el cvasds0.dll ya sea desde ejecutar o terminal Ahora borraremos autorun.inf de todos las unidades que tengamos en mi caso lo hago de esta manera:
@echo off
cd \
attrib -r -s -h autorun.inf
del /f /q /s /a autorun.inf
d:
attrib -r -s -h autorun.inf
del /f /q /s /a autorun.inf
e:
attrib -r -s -h autorun.inf
del /f /q /s /a autorun.inf
pause>null
exit
este script la edito en notepad y luego la guardo como file.bat
y por ultimo esta infeccion a cambiado algunas propieades de nuestra pc, si se an dado cuenta no pueden ver archivos ocultos desde opciones de carpeta
Modifiquemos lo modificado en regedit:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
CheckedValue = 0×00000000
entonces el valor dword la cambiaremos a 1:
CheckedValue = 0×00000001
Para ello una vez ubicado en la cadena anteriormente comentada damos un enter en checkedvalue y el 0 modificaremos por 1
Bueno con esto ya estamos un 80 % sin este molesto virus
Luego ire agregando informacion adicional ya que esta infeccion tiene muchas cadenas modificadas, esperemos que no sean graves
Ah por ultimo ya estamos en windows live messenger charlando con unos amigos 
