Infecciones por qbr2q.exe y olhrwef.exe

Estos días llevo varias infecciones por culpa de pendrives y tarjetas de memoria.

Estoy planteándome usar las diferentes vacunas para que no se ejecuten ni se creen los ficheros autorun.inf que son los que lee Windows al introducir los dispositivos extraibles, una lastima porque me gustaba usarlos para asignarle a cada dispositivo un icono característico.

En el portátil del trabajo se me metió el qbr2q.exe.


Este lo elimino el McAfee pero dejo algunas picias en el registro, como la imposibilidad de eliminar mostrar los ficheros ocultos, con lo que no podía ver, eliminar o editar los autorun.inf de los discos duros y las unidades extraibles que estaban modificados para que invocasen el virus, con lo que al hacer doble click en esas unidades, en vez de abrir el explorador Windows sacaba un mensaje de que no podía abrir el fichero y que programa deseaba usar para ello.

Bien conseguir corregir solucionar lo de mostrar los ficheros ocultos:

Modifica el registro de la siguiente manera, es el punto 4.

Código:
1.  Abra Inicio, Ejecutar, escriba regedit y pulse Aceptar.

2. Acceda a la clave   
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden

  Verifica que el valor la llave  type en la parte derecha sea de tipo REG_ZC y dato  
  group

3. Acceda a la clave  
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\NOHIDDEN.

    Verifique que los valores CheckedValue y DefaultValue de la parte  
    derecha  contengan sendos 2. Estos valores deben ser de tipo DWORD. Si   
    fueran de tipo alfanumérico (REG_SZ), selecciónelos, haga clic sobre Edición,  
    Eliminar, Sí y  créelos de nuevo (Edición, Nuevo, Valor DWORD).

4. Acceda a la clave
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL.

  Verifique que el valor CheckedValue contenga un 1 y que  
  DefaultValue contenga un 2. Modifíquelos si fuese necesario. Sus  
  tipos deben ser también DWORD.

5. Haga clic sobre Archivo, Salir.

Reinicia y comprueba

Nota: HKEY_LOCAL_MACHINE. también puede aparecer como HKLM

Vía: Anleg 30 (foros antispyware)

Así ya pude habilitar el poder ver los ficheros ocultos y pude modificar o eliminar los autorun.inf


En mi netbook fue peor, se me colo un tal "olhrwef.exe", este lo detectaba de repente el McAfee junto a otro grupo de archivos como infectados y los eliminaba, pero el problema al cabo de un tiempo se repetía, también saltaban cuando insertaba un dispositivo externo aunque no estuviera infectado.

Log de Mcafee:
01/11/2009 13:05:18 Eliminado(s)  MSI\Admin E:\qbr2q.exe HKEY_USERS\S-1-5-21-3464624088-3978763972-3333000621-1005\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced|SHOWSUPERHIDDEN Generic PWS.ak (Troyano)
01/11/2009 13:05:18 Eliminado(s)  MSI\Admin E:\qbr2q.exe SHOWSUPERHIDDEN Generic PWS.ak (Troyano)
01/11/2009 13:05:18 Eliminado(s)  MSI\Admin E:\qbr2q.exe HKEY_USERS\S-1-5-21-3464624088-3978763972-3333000621-1005\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced|HIDDEN Generic PWS.ak (Troyano)
01/11/2009 13:05:18 Eliminado(s)  MSI\Admin E:\qbr2q.exe HIDDEN Generic PWS.ak (Troyano)
01/11/2009 13:05:18 Eliminado(s)  MSI\Admin E:\qbr2q.exe HKEY_USERS\S-1-5-21-3464624088-3978763972-3333000621-1005\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced|SUPERHIDDEN Generic PWS.ak (Troyano)
01/11/2009 13:05:18 Eliminado(s)  MSI\Admin E:\qbr2q.exe SUPERHIDDEN Generic PWS.ak (Troyano)
01/11/2009 13:05:18 Limpiado(s)  MSI\Admin E:\qbr2q.exe CheckedValue Generic PWS.ak (Troyano)
01/11/2009 13:05:19 Eliminado(s)  MSI\Admin E:\qbr2q.exe C:\DOCUMENTS AND SETTINGS\ADMIN\CONFIGURACIóN LOCAL\TEMP\HERSS.EXE Generic PWS.ak (Troyano)
01/11/2009 13:05:19 Eliminado(s)  MSI\Admin E:\qbr2q.exe C:\Documents and Settings\Admin\Configuración local\Temp\herss.exe Generic PWS.ak (Troyano)
31/10/2009 17:12:31 Eliminado(s)  MSI\Admin E:\q9.cmd C:\WINDOWS\SYSTEM32\NMDFGDS0.DLL Generic PWS.ak (Troyano)
31/10/2009 17:12:31 Eliminado(s)  MSI\Admin E:\q9.cmd C:\WINDOWS\system32\nmdfgds0.dll Generic PWS.ak (Troyano)
31/10/2009 17:25:45 Limpiado(s)  MSI\Admin E:\q9.cmd CheckedValue Generic PWS.ak (Troyano)
31/10/2009 17:25:45 Eliminado(s)  MSI\Admin E:\q9.cmd C:\WINDOWS\SYSTEM32\OLHRWEF.EXE Generic PWS.ak (Troyano)
31/10/2009 17:25:45 Eliminado(s)  MSI\Admin E:\q9.cmd C:\WINDOWS\system32\olhrwef.exe Generic PWS.ak (Troyano)
31/10/2009 17:25:49 Limpiado(s)  MSI\Admin E:\q9.cmd CheckedValue Generic PWS.ak (Troyano)
31/10/2009 17:25:55 Eliminado(s)  MSI\Admin E:\q9.cmd C:\WINDOWS\SYSTEM32\NMDFGDS0.DLL Generic PWS.ak (Troyano)
31/10/2009 17:25:55 Eliminado(s)  MSI\Admin E:\q9.cmd C:\WINDOWS\system32\nmdfgds0.dll

Lo mejor de todo es que tampoco podía activar la opción de ver los ficheros ocultos, ocurría lo mismo que con el qbr2q.exe, pero aquí fue peor, ya que...  ¡Los correcciones con el regedit no se aplicaban!

Al final di con un articulo en Taringa para eliminar el olhrwef.exe, pero como indicaban los comentarios, no funcionaba porque a la gente no se les aplicaban los cambio en el registro que indicaba el procedimiento para su eliminación manual.




Al final de los comentarios el usuario leopato19 indica que con el programa MALWARE BYTES, lo detecta y lo elimina (ademas corrigiendo en el registro los problemas ocasionados), lo pruebo y mano de santo.

Enlace: Malware Bytes

2 comentarios:

  1. Hola! que taaal???
    Nose si te acordaras de mi! soy Blanca (estuve haciendo las practicas en P.N. :) )
    COmo te va todo? La verdad que llevo tiempo pasandome por tu Blog y nunca te firme :)
    Ya veo que sigues con tus cosillas! :D
    espero que todo te vaya muy bieen!
    Un besazo!

    ResponderEliminar
  2. ¡Hola Blanca!

    Mandarme un mail a la dirección de la derecha correoandromeda...

    Un Saludo.

    ResponderEliminar