Troyanos–[Trojan:JS/BlacoleRef.AL]

 

 

Ir a la Web de Security Essentials

Hoy me he encontrado con la sorpresa de que accediendo a una página de un resultado de búsqueda en Google me ha entrado un troyano en el ordenador. Definición de troyano

La página es twitterempresa.com (en la imagen el enlace completo).

Nada más pulsar en el enlace ¿Múltiples cuentas Twitter para una sola empresa? y mientras accedía a dicha página, el Security Essentials ha saltado con una alerta: sin terminar de cargar, sin pulsar en ningún enlace, sin hacer otra acción que acceder a la página.
Las acciones que tengo predeterminadas en todos los casos es “Quitar” y eso he hecho, dando por bueno que se había eliminado.

Pero al intentar realizar otra búsqueda y al ir a pulsar la tilde ha aparecido el (tan oído pero nunca visto por mi  parte) efecto doble tilde: m´´ultiple. Así que no quedaba otra que investigar.

Lo primero, eliminar los temporales de internet. Seguía el efecto doble tilde.

Segundo, revisar el MSCONFIG. Allí aparecía una referencia en Inicio de Windows que no debería:
C:UsersW7AppDataRoamingGulosavyby.exe
En la imagen de arriba se puede ver la fecha y hora de creación de la carpeta Gulosa, coincidente con la fecha y hora del troyano.
La desmarco y salgo sin reiniciar. El efecto continuaba. (La referencia se renombra al ser desmarcada).

Elimino la carpeta Gulosa.

Y observo otra carpeta (Iqceir) con la misma fecha y hora que la anterior así que la elimino también.

Tercero, revisar los servicios. Allí estaba ejecutándose el archivo que contenía la carpeta Gulosa, VYBY.EXE. Selecciono y finalizo dicho proceso.

Para limpiar del todo las referencias, accedo también a la carpeta Prefetch y elimino el pf de la ejecución de VYBY.EXE (manías mías).

Y por último y puesto que he desmarcado del inicio de Windows (MSCONFIG) la ejecución de  VYBY.EXE, accedo al registro de Windows y elimino la clave para que desaparezca su referencia incluso desmarcada (más manías mías).
(Las referencias que desmarcamos del inicio a través de MSCONFG se almacenan en
HKEY_LOCAL_MACHINESOFTWAREMicrosoftShared ToolsMSConfigstartupreg – nombre del elemento de Inicio)

La información que emite Microsoft Security Essentials sobre este troyano es:

Reinicio el sistema y todo parece correcto. Hago un examen completo del sistema con Security Essentials.

 

Palel

 

Deja un comentario