Eliminando winhelp32.exe

Para empezar este virus si que es bastante perjudicial y molesto, tiene como caracteristica volver a estar en proceso luego de eliminarlo, asi que para neutralizar este virus vamo a teber un poco de paciencia.

El winhelp32.exe lo podran encontrar en el directorio de windows y podran ver que no tiene firma de microsoft, este a a veces es aompañado con winlogon.exe dentro del direcotorio windows ques otra aplicacion no firmada por Microsoft.

No hay que confunfir con el winhlp32.exe que es la verdadera aplicacion de ayuda.

En mi caso, la pc esta muy lenta. Asi que vamos primero abrir el Administrador de tareas [Ctrl + Alt + Supr] y matar el proceso del explorer.exe Asi redusco el consumo de memoria.
Para los amantes del Ms-Dos, podemos abrir el Dos [tecla windows + r: cmd] y usar comando taskkill /f /im explore.exe

Asi que vamos a reconocer primero a winhelp32.exe los que tienen el administrador de Tareas deben de observarlo, o los que usan Dos podran con el comando tasklist, si quieren pueden comprobar a eliminar y veran que vuelve a ejecutarse. Asi que primero vamos a eliminar sus rastros del registro.

Desde el administrador de Tareas, Seleccionaremos el menu Archivo/Nueva Tarea y tendremos una pequeña ventana parecida al ejecutar. Ahi escribiremos simplemente regedit. En mi caso el regedit estaba desabilitado asi que tuve que usar un pequeño programa para lograr usar el regedit, luego publico el Tip.

Buscamos la cadena de a infeccion de winhelp32.exe:
HCU\Software\Microsoft\Search Assistant\ACMru\5603
HCU\Software\Microsoft\Search Assistant\ACMru\5604
HCU\Software\Microsoft\Search Assistant\ACMru\5647

HCU\software\microsoft\windows\shellnoroam\muicache\dword =”winhepl32″

Eliminados las entradas anteriores, y tedremos que usar rapidamente el Ms-Dos, Desde el administrador de tareas seleccionamos menu Archivo\Nueva tarea tipeamos: cmd.
Ingresamos a los temporales: cd %temp%

Tipeamos attrib para ver que programas ayudan a ejecutarse: attrib

En mi caso tenemos el 324.exe y el 951.exe que son de ayuda para ejecutarse n-veces
Eliminamos todo los posible del temporales: del *.*

Ahora eliminaremos winhelp32.exe con un pequeño script en batch:

@echo off
echo Eliminando winhelp32.exe
echo.
cd %homedrive%
cd %windir%
taskkill /f /im winhelp32.exe
del /f /q /s /a winhelp32.exe
echo presione una tecla para finalizar
pause > null
del null
exit

guardenlo como .bat y ejecutenlo, algunos tal vez aparesca acceso denegado.

Asi que pueden reiniciar la Pc, y ahora si notaran un poco mas ligero la PC.
En mi caso voy hacer un analisis rapido con la herramienta MalwareBytes, como veran figura el winlogon como infeccion eso es correcto por que winlogon de microsoft esta en system32.

Por ultimo usan el antivirus de su preferencia.

Para una completa limpieza de la infecion pueden ver este link ahi dan detalles mas profundos de la infeccion.

Saludos

Carpeta windows abre al iniciar.

Hoy luego de haber desinfectado una Pc, termine con un problema tal ves comun para algunos; o alarmante para otros. Pero la impresion me llevo a estar un buen rato frente a la Pc.

Sintomas:

Al iniciar windows este abre automaticamente al windows explorer, poniendo en la ruta de direccion a windows.

folder windows startup

Acciones realizadas:

En principio recurri al msconfig y observar la pestaña de Inicio, no habia nada extraño.

Luego buscamos en el regedit cadenas que puedan abrir la aplicacion, con comodines: %windir%\explorer.exe Pero estas eran necesarias para windows.

Luego busque algun script o aplicacion en el directorio de windows, y system32. Ninguno tenia propiedades virales.

Por ultimo revise con aplicacions como ccleaner que no dio solucion.

Solucion:

Luego de buen tiempo, use un programa que reportara aplicaciones que hacen uso del registro. Tal vez para algunos este programa sea muy usado para reportes y observados por expertos en malware.

Asi que usamos el programa: HijackThis

Una vez abierto examinamos el reporte y tenemos el objetivo localizado:

target found

Ahi esta la variable del directorio windows, con la accion a ejecutarse.

Asi que marcamos con un check y le damos fix checked en el hijackthis.

Reiniciamos y tenemos solucionado el problema.

Red Privada virtual gratuita en Ubuntu

Bien leyendo unos feeds del sitio neoteo, me intereso el tema de la navegacion privada en la red.

Como es de saber una navegacion de este tipo cifra paquetes al momento de conectarse en la red haciendo seguro nuestras conecciones. En este caso el sitio que ofrece este buen servicio es ItsHidden en su web podran ver detalles tecnicos, como un cifrado en 128 bits para algo gratuito es muy buena oferta.

Bien las configuraciones disponibles que veran en la web de ItsHidden esta relacionada con windows xp, windows vista, Mac, y Linux.

En nuestro caso vamos a crearnos una cuenta para usar el servicio, una vez registrados lo podran activar via e-mail, y posteriormente en nuestro O.S Linux Ubuntu pasaremos a instalar paquetes PPTP. Abrimos para ello la terminal:

$ sudo apt-get install network-manager-pptp

Ahora reseteamos el gestor de redes

primero matamos el proceso:

$ sudo killall NetworkManager

segundo volvemos a iniciar el gestor en segundo plano:

$ sudo NetworkManager &

Ahora creamos nuestra coneccion VPN, click derecho en icono de red y editar concecciones. Seguido vamos a la pestaña de VPN, seguido ponemos agregar donde agregaremos PPTP.

Y rapidamente ponemos nuestros datos, pero antes configuraremos algo adicional para ello vamos a avanzado y hablitamos con un check la encriptacion MPPE. Y aceptar:)

Podran ver en sitios de deteccion de ip que estan asignados a otras parte del mundo, disfruten

This is not a valid zip code. Please try again.

Para algunos usuarios resulta fastidioso cuando de repente nos sale un mensaje de alerta que nos muestra la siguiente imagen.

En ocaciones parece ser algun error relacionado con el winzip, o alguna infeccion que haya pasado por alto. Para ello averiguaremos cual es la aplicacion que genera el problema. Para ello abriremos el administrador de tareas [Ctrl + Alt + Supr] y observaremos que el problema esta relacionado al programa de Thoosje sidebar.

Asi que para ello veremos en su pagina principal si hay alguna actualizacion Thossje Home Site. En la seccion New tenemos actualizacion juntamente al enlace del por que el problema Support Forum.

Bien el problema se da en si por un un archivo .xml que usan los gadgets las cuales no pueden ser leidas o se encuentran desactualizadas dando error de codigo zip.

• 14/09/09: bien luego de que un usuario que no tenga la  gentileza de corregir o adicionar informacion que pueda ser necesario en la comprension para otros, opta por hablar todavia en un supuesto ingles fluido insultos a nuestra persona, luego de lo ocurrido espero que a este … le vaya bien despues de su comentario que lo dejo por respeto de la libertad de expresion.

Ahora para mas detalles del problema acontecido:

La aplicacion Thossje sidebar usa archivos xml, un file xml, puede contener informacion bien definida por el uso de sus etiquetas (hablando en el sentido de los lenguajes de de marcado).

El problema se produjo luego del cambio de hosting, y el mantenimeinto  de una web que guardaba su informacion dentro del xml ha provocado dicho mensaje.

cheers

Elimina virus y aparece nuevamente

Bien en mi caso suele ocurrir en raras veces pero en otras pc’s es constante ver estos problemas, que resulta fastidiando al usuario

Para empezar debemos de identificar el proceso de nuestro antivirus, tener en cuenta que un antivirus pueda tener distintos procesos en el caso de Nod32 en la version 4 tenemos presente el egui.exe y el ekrn.exe. El primero solo es aplicacion grafica accesible para todo usuario el segundo es el antivirus en si; que no se podra eliminar sencillamente.

Pero como los mensajes son reportados por la aplicacion grafica eliminaremos egui.exe. Accedemos al administrador de Tareas [Ctrl + Alt + Supr ] o usar el comando tasklist en Ms-Dos. Si usan el administrador de tareas basta con identificar el egui.exe y darle un click derecho seguidamente eliminar proceso. en Tasklist de Ms-Dos usamos comando:

taskkill /f /im egui.exe

Bien el mensaje desaparece ahora si nos ponemos a eliminar manualmente ya que nuestro antivirus no puede hacerlo por si solo. Asi que deben de identificar al virus o malware que este dando problemas. En mi caso el antivirus lo identifico y me dio la ruta de donde se encuentra este Virus

Pero primero eliminemos su proceso y asi al menos darle menos efectividad a nuestro malware.

taskkill /f /im wswisher.exe

Seguidamente eliminamos sus modificaiones en el registro (regedit):

[HKEY_CURRENT_USER\Software\Microsoft\Windows\ShellNoRoam\MUICache]
C:\Windows\wswisher.exe = wswisher

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
wswisher Module = wswisher.exe

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Terminal Server\Install\Software\Microsoft\Widows\CurrentVersion\Run]
wswisher Module = wswisher.exe

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AutorizhedApplications]
C:\WINDOWS\wswisher.exe

[HKEY_USERS\S-4-5-21-1715567821-796845957-1801674531-1004\Software\Microsoft\Windows\ShellNoRoam\MUICACHE]
C:\WINDOWS\wswisher.exe = wswisher.exe

Por ultimo accedemos al directorio en el que se encuentra el malware y lo eliminamos .

C:\WINDOWS>del /f /q /s /a wswisher.exe

Bien eso fue sensillo hay otros malwares que no nos dejaran ni eliminar procesos, o se vuelven a reproducir teniendo nuevamente el proceso activo. En fin desde ya iremos publicando mas sobre el comportamiento de un malware

Eliminando cvasds1.dll – no abre windows live messenger

Hoy recibi un usb, por respetar la amistad le digo que use la pc.
Observo mientras tanto… reconoce el USB y con un doble click su USB y boom se abre una ventana, dije VIRUS!!! y resulto ser muy grave, los antivirus no lo detectaban ni lo tomaban en cuenta. Ahora iba usar messenger y boom error saliendo un mensaje clasico de error con algun modulo de memoria asi que era grave este tipo de errores son explotados para muchas veces romper la seguridad de nuestro sistema operativo, tipico de un troyano

Bien manos a la obra, en esta ocacion el proceso no lo sabemos ya que el error esta asociado a un .dll que no tiene nada que ver con el messenger. observamos la unidad usb y veamos que tipo de espcimen han instalado a nuestra PC

h:\>attrib
SHR C:\mb9x.exe
SHR C:\autorun.inf

bingo el clasico autorun, parece curioso que un autorun no sea detectado por el AV. y esto se debe a que hay tecnicas de ocultar o hacer indetectable a un virus por ejemplo cambiando sus flags. Asi que a veces uno se rompe la cabeza preguntandose por que no detecto un clasico autorun argg!!!

bien veamos que tiene este inofensivo archivo

h:\>edit autorun.inf
…
open=mb9bx.exe
…

Ahora si tenemos un poco de info, asi que tratamos de quitar atributos

h:\>attrib -r -s -h mb9bx.exe

bien todo funciono y despues de 5 segundos vuelve a recuperar sus atributos. Asi que no trabaja solo veamos entonces los temporales

De seguro en ejecutar no observaremos nada malaiciso asi que vayamos a ver desde una terminal:

c:\>cd DOCUME~1\ADMINI~1\CONFIG~1\Temp
C:\DOCUME~1\ADMINI~1\CONFIG~1\Temp>attrib
SHR C:\DOCUME~1\ADMINI~1\CONFIG~1\Temp\cvasds0.dll
SHR C:\DOCUME~1\ADMINI~1\CONFIG~1\Temp\cvasds1.dll
SHR C:\DOCUME~1\ADMINI~1\CONFIG~1\Temp\herss.exe

wow 3 virus mas asi que quitar attributos y a borrarlos

attrib -r -s -h cvasds0.dll
attrib -r -s -h cvasds1.dll
attrib -r -s -h herss.exe
del /f /q /s /a cvasds0.dll
del /f /q /s /a cvasds1.dll
del /f /q /s /a herss.exe

Bien en el caso de cvasds0.dll no se va a eliminar ya que es el file principal para su funcionamiento asi que con las demas este ya no tiene efecto en nuestro sistema (despues eliminaremos). Ahora eliminaremos autorun.inf y mb9bx.exe

En mi caso al hacer attrib ya no figuraba mb9bx.exe asi que me da a entender que debia estar asociad a una de las dll’s. Pero el autorun.inf si que no se borrara facilmente ello se debe que este usando el registro para autoregenerarse asi que veamos el registro

windows + r –> regedit

buscamos y borramos las siguiente cadena:

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
cdoosoft = “%Temp%\herss.exe”

Borramos todos los temporales (windows + r –> %temp%) posibles y reniciamos la PC, y si preguntan que pasa con el autorun.inf y cvasds0.dll eso viene despues.

Bien una vez dentro del sistema borramos el cvasds0.dll ya sea desde ejecutar o terminal Ahora borraremos autorun.inf de todos las unidades que tengamos en mi caso lo hago de esta manera:

@echo off
cd \
attrib -r -s -h autorun.inf
del /f /q /s /a autorun.inf
d:
attrib -r -s -h autorun.inf
del /f /q /s /a autorun.inf
e:
attrib -r -s -h autorun.inf
del /f /q /s /a autorun.inf
pause>null
exit

este script la edito en notepad y luego la guardo como file.bat

y por ultimo esta infeccion a cambiado algunas propieades de nuestra pc, si se an dado cuenta no pueden ver archivos ocultos desde opciones de carpeta

Modifiquemos lo modificado en regedit:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
CheckedValue = 0×00000000

entonces el valor dword la cambiaremos a 1:

CheckedValue = 0×00000001

Para ello una vez ubicado en la cadena anteriormente comentada damos un enter en checkedvalue y el 0 modificaremos por 1

Bueno con esto ya estamos un 80 % sin este molesto virus

Luego ire agregando informacion adicional ya que esta infeccion tiene muchas cadenas modificadas, esperemos que no sean graves

Ah por ultimo ya estamos en windows live messenger charlando con unos amigos

Eliminando Zipm12.exe

Zipm12.exe un malware que esta asociado a internet chat gusano. que no tengo detallado aun que es lo que ocasiona en el sistema por que su nivel de riesgo es baja, aun asi estaba experimentando congelamiento del mouse y aletariomente en el tiempo de congelamiento se  descargaba automaticamente una ejecutable inyectado en una foto. por fortuna estaba con un gestor de descargas que grabo el link y dandome asi la oportunidad de no ser infectado del todo. 

para poder asegurarnos si este virus esta ejecutandose, accederemos al administrador de tareas [Ctrl + Alt + Supr] Siendo el proceso Zipm12.exe

En caso de que el administrador de tareas esta desabilitado por infeccion viral o permisos de administrador, veremos los procesos en  la terminal [Ms-Dos] con el comando tasklist.

Zipm12.exe       3144 Console   0   8,892 KB

Bien con esto nos aseguramos de que esta en ejecucion
Asi que eliminamos el proceso para que deje de ejcutarse. Usamos comando Taskkill /f /im [process_name]

C:\>taskkill /f /im Zipm12.exe

Ahora buscamos donde se encuentra alojado las cadenas del Zipm12.exe
Abrimos el regedit (Teclas -> Windows + R | escribis:  regedit)
Buscamos las siguientes cadenas:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
Zip Manager XP PRO 2009 = “Zipm12.exe”

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Terminal Server\Install\Software\Microsoft\Windows\CurrentVersion\Run]
Zip Manager XP PRO 2009 = “Zipm12.exe”

borramos las cadenas anteiromente mencionadas.

Cadenas adicionales a borrar:

[HKEY_CURRENT_USER\Software\Microsoft\Windows\ShellNoRoam\MUIcache]
C:\WINDOWS\system32\Zipm12.exe = “Zipm12″

[HKEY_LOCAL_MACHINE\Software\Microsoft\Shared Tools\MSconfig\Starupreg]
Borramos todo el directorio de Zip Manager XP PRO 2009

[HKEY_CURRENT_USERS\S-1-5-21-1715567821-796845957-1801674531-1004\Software\Microsoft\Windows\ShellNoRoam\MUICache]
C:\WINDOWS\system32\Zipm12.exe = “Zipm12.exe”

ahora buscamos la ubicacion del archivo, en la terminal [Ms-DOs]nos ubicamos en system32.

c:\Windows\system32>attrib | more
SHR     C:\WINDOWS\system32\Zipm12.exe

quitamos propiedades de sistema oculto y lectura:

c:\Windows\system32>attrib -r -s -h Zipm12.exe

y borramos esta aplicacion:

c:\Windows\system32>del /f /q Zipm12.exe

para asegurarnos de que no vuelva a ejecutarse borramos temporales
windows + r –> %temp%

Por ultimo reiniciar la PC

Eset presenta Eset Security University

Eset

Luego de leer feeds de l sitio infospyware (excelente web frente a soluciones de infecciones informaticas), acaban de publicar un interesante aporte para los usuarios del antivirus Nod32 ahora ya en su version 4.

Ahora eset nos presenta la opotunidad de conocer mas sobre infecciones y como enfretarlos o como evitarlos, con el novedoso Eset Security Universty que se encuentra dirigido a empleados de alguna empresa relacionada al uso de este producto, como ellos mismos describen: Seguridad para PyMEs.

Pero para aquellos usuarios finales tanto de uso domestico, estudiantes, etc nos presenta la Plataforma Educativa ESET, que ademas de aprender sobre los virus, nos recompensa con certificaciones y premios que veran en dicha web.

Ahora estoy por mi parte en la Plataforma Educativa que esta interesante

Ubuntu one – Ubuntu en la nube …

cloud computing uno de los terminos actuales mas hablados como el futuro del software, originado tal vez por la web 2.0. Y que ofrece distintos tipos de servicios atravez de internet: compartir archivos, ediciones on-line, etc …

Permitiendo asi usar menos recursos de la Pc, por que todo o parte de la informacion se encuentran en servidores que ofrecen dichos servicios.

Aunque Richard Stallman esta en contra de la computación nube ya que considera como una trampa del código “no libre”, ya que almacenar los datos en equipos no propios puede llevar, según la opinión de Richard Stallman, a perder el control sobre los mismos y perder por lo tanto la libertad.

Ahora la comunidad de ubuntu tambien nos muestra una de sus aplicaciones Beta llamada Ubuntu One, ofreciendo 2 Gb sin costo alguno y 10 Gb por $ 10 mensuales. Aun no esta del todo disponible ya que es a manera de invitacion, asi que a seguir esperando la activacion via e-mail

share files

Es necesario tener alguna cuenta en launchpad, para la invitacion.

Para la instalacion del paquete es neceasrio tener el sistema actualizado.

Instalacion Ubuntu One

Quedando la aplicacion asi:

launch Ubuntu one client

Esperando a probar el servicio

Apache web server en kubuntu

Primero debemos de descargarnos de la web de apache el paquete que vamos a necesitar instalar, si conocemos la url podemos hacer lo desde konsole o si no directamente de la web

nike-codeux@research$ wget http://apache.ziply.com/httpd/httpd-2.2.11.tar.gz

Ahora extraemos el archivo descargado, lo pueden hacer con tan solo dar anticlick o para los que gustan con comando tar

nike-codeux@research$ tar -xzvf httpd-2.2.11.tar.gz.

Ingresamos al directorio descomprimido y para los que gustan leer el overview de la instalacion en caso de queres hacer algo especial, como sabemos pueden usar kate o sino cat

nike-codeux@research$ cat INSTALL

Para los que leyeron ya deben de saber lo que debemos hacer, asi que empezamos primero a configurar nuestro paquete para nuestra PC:

nike-codeux@research$ ./configure

Ahora un sencillo make:

nike-codeux@research/httpd-2.2.11$ make

Y para empezar a instalar realmente el apache usaremo root para la instalacion:

nike-codeux@research/httpd-2.2.11$ sudo make install

probamos ahora en nuestro explorador web el localhost, si todo andubo bien tendremos algo similar a esto:

Apache

EDITADO:

En caso de algun error en la instalacion, anotar el codigo del error, y usar comando:

~$ make clean; ./configure

Ejemplo: [httpd] error 21

Solucion posible:

~$ sudo apt-get aptitude install libssl-dev

Iniciar manualmente el servicio de Apache:

:/$ sudo usr/local/apache2/bin/apachectl start