Registrese o identifiquese, para no ver la publicidad

Avira10, detecta archivo oculto

¿tu ordenador va lento, pierdes la conexion a internet, se reinicia solo, salen errores continuamente... este es tu foro para tu problemas con los virus

Avira10, detecta archivo oculto

Notapor ronaldherrera7 » 26-01-2013 10:47

Hola y gracias de antemano,

Acabo de instalar Avira Antivir Personal 10.0 (Free) última versión. Y tras analizar todo el sistema me da 0 detectados aunque también aparece 1 objeto oculto en el informe, algo que nunca había ocurrido.

Previos:

* Llevo ya varios años usando este antivirus. Esta última instalación consistió en desinstalar las versión anterior 9.3 e instalar la nueva.
* Al momento de quitar la version 9.3 eliminé manualmente de la cuarentena los 3 virus que estaban ahí.
* Coincide que casi de forma paralela me puse un fondo de escritorio desde la web de "Cirque du soleil".
* En un par de ocasiones el ordenador se quedó como 'colgado' y tuve que hacer un "hard reset".

Mi duda es si este archivo oculto es algún virus o si es algo del fondo de escritorio. He quitado el fondo de escritorio hace unos 5 días y no ha vuelto a colgarse el equipo pero tenga miedo que sólo sea una coincidencia.

Un saludo.
ronaldherrera7
Usuario
Usuario
 
Mensajes: 26
Registrado: 26-01-2013 10:47
Ubicación: Madrid

Re: Avira10, detecta archivo oculto

Notapor msc hotline sat » 26-01-2013 10:47

Si ha desaparecido la detección del Avira tras la desinstalacion del fondo de pantalla, podría ser un falso positivo o que realmente se tratara de un malware, especialmente si desaparecieron tambien con ello los cuelgues ...

Puede enviarnos como sospechoso dicho fondo y lo analizaremos, informando del resultado al respecto:


ImagenENVIO DE MUESTRAS Y ELIMINACIÓN DE CLAVES - Para ello recordar:
viewtopic.php?f=5&t=14253

Tras recibirlo/s, lo/s analizaremos e implementaremos su control y eliminación, si procede, en nuestras utilidades, de lo cual informaremos

saludos

ms, 13-4-2011
Avatar de Usuario
msc hotline sat
Administrador
Administrador
 
Mensajes: 81955
Registrado: 26-01-2013 10:47
Ubicación: BARCELONA (ESPAÑA)

Re: Avira10, detecta archivo oculto

Notapor ronaldherrera7 » 26-01-2013 10:47

Sí he notado que ya no se cuelga el ordenador pero tras el análisis con Avira el [b]objeto oculto sigue apareciendo[/b] en el informe (aunque detecta 0 virus igualmente).

He notado que la carpeta Windows en C: está oculta, le he quitado esa propiedad y he vueto a correr otro análisis general pero sigue dándome el mismo resultado (adjunto el informe del Avira Antivir).

El archivo del salvapantallas no lo sé ubicar en mi PC. Lo descargué, o mejor dicho, di al botón derecho en una imagen que me ofrecieron y lo establecí como fondo de escritorio. Por si lo considera necesario: la página de donde la bajé empieza más o menos por aquí ( http://www.cirquedusoleil.com/en/cirque ... apers.aspx ) hay que registrarse y buscar en Extras, el wallpaper que es amarillo con un clown en la parte inferior izquierda, escogí la resolucion 1680x1050.

Quizá lo del salvapantallas sea sólo una coincidencia. Me inclino a pensar que en el tiempo que desinstalé la versión anterior e instalé la nueva, hubo un tiempo que mi PC estuvo sin protección, unos 5 minutos y que ahí se pudo haber metido un virus. En esos días el Avira había detectado algunos intentos de ataque de troyanos y virus, unos 4 creo recordar, pero les di a eliminar o enviar a cuarentena en algunos casos. Ante la desinstalación requerida di a eliminar los virus en cuarentena.

Bueno, también albergo la esperanza que este archivo oculto sea algo del sistema que la versión anterior no reconocía y que esta nueva sí lo hace. En cualquier caso espero sus consejos para poder solucionarlo.

Atte.
Adjuntos
AVSCAN-20110413-123355-45A0D182.LOG
Informe del último análisis con Avira10
(26.17 KiB) 20 veces
ronaldherrera7
Usuario
Usuario
 
Mensajes: 26
Registrado: 26-01-2013 10:47
Ubicación: Madrid

Re: Avira10, detecta archivo oculto

Notapor msc hotline sat » 26-01-2013 10:47

pUES DE ENTRADA PARECE QUE TE FALTAN PARCHES:

Plataforma : Windows XP
Versión de Windows : (Service Pack 2) [5.1.2600]


LANZA UN WINDOWSUPDATE E INSTALA LOS QUE ENCUENTRES A FALTAR, puede que ademas del SP3 te falten posteriores como el del Conficker, que es un RootKit de cuidado, y por ello no lo viera el AVIRA


Y efectivamente parece que tienes un Rootkit oculto por ahí... :


490902 Los objetos se analizaron con el análisis de rootkits
1 Se detectaron objetos ocultos


Lanza el McAfee Rootkit Detective y posteanos el informe resultante:

ROOTKITDETECTIVE (ACCESO AL LINK DE DESCARGA)
http://download.nai.com/products/mcafee ... ective.zip


Tambien lanza el ELISTARA y el ELITRIIP y analiza con ellos el disco duro y los pendrives que tengas por ahí:


ELITRIIP:
http://www.zonavirus.com/descargas/elitriip.asp

ELISTARA:
http://www.zonavirus.com/descargas/elistara.asp

Tras probarlos, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado de los procesos

saludos

ms, 13-4-2011
Avatar de Usuario
msc hotline sat
Administrador
Administrador
 
Mensajes: 81955
Registrado: 26-01-2013 10:47
Ubicación: BARCELONA (ESPAÑA)

Re: Avira10, detecta archivo oculto

Notapor ronaldherrera7 » 26-01-2013 10:47

Hola, ante todo muchas gracias por su ayuda. Ya he realizado las actualizaciones a SP3 y demás.

He buscado en la web de McAfee y no encuentro el Detective Rootkit, me gustaría poder bajarlo de ahí, ¿es algún programa alternativo?, no sé si puedo fiarme de la página de descarga que me enlaza (... download.nai.com...). Qué me aconseja?

Un saludo.
ronaldherrera7
Usuario
Usuario
 
Mensajes: 26
Registrado: 26-01-2013 10:47
Ubicación: Madrid

Re: Avira10, detecta archivo oculto

Notapor flacoroo » 26-01-2013 10:47

bajate el programa de Detective Rootkit y la dirección es correcta...
Porque nos caemos?....para poder levantarnos
Avatar de Usuario
flacoroo
Moderador
Moderador
 
Mensajes: 5425
Registrado: 26-01-2013 10:47
Ubicación: Paso del Macho,Ver.México

Re: Avira10, detecta archivo oculto

Notapor msc hotline sat » 26-01-2013 10:47

Sí, la descarga es de la web de NAI, que era la de McAfee anteriormente:

http://download.nai.com/products/mcafee ... ective.zip

Seguimos utilizando el mismo link

saludos

ms, 24-4-2011
Avatar de Usuario
msc hotline sat
Administrador
Administrador
 
Mensajes: 81955
Registrado: 26-01-2013 10:47
Ubicación: BARCELONA (ESPAÑA)

Re: Avira10, detecta archivo oculto

Notapor ronaldherrera7 » 26-01-2013 10:47

Hola, perdón por la demora, esta semana he estado muy liado en el trabajo.

Pasos seguidos:

He descargado y ejecutado el McAfee Rootkit Detective
He descargado y ejecutado el EliTriIp, incluyendo ficheros zip, incluyendo ficheros zip en el análisis.
He descargado, reiniciado el PC en modo seguro y ejecutado el EliStarA, incluyendo ficheros zip en el análisis.
He reiniciado el PC.

Le adjunto los dos ficheros de informes pedidos.

Además estoy corriendo nuevamente un análisis general con mi Antivirus habitual y aunque no ha acabado el proceso (16%) ya veo que sigue apareciendo el objeto oculto como al principio.

Espero vuestros comentarios. Un saludo.
Adjuntos
InfoSat.txt
(4.39 KiB) 31 veces
RootkitDetectiveReport.txt
(15.49 KiB) 25 veces
ronaldherrera7
Usuario
Usuario
 
Mensajes: 26
Registrado: 26-01-2013 10:47
Ubicación: Madrid

Re: Avira10, detecta archivo oculto

Notapor msc hotline sat » 26-01-2013 10:47

Pues los 13 objetos ocultos, segun resumen:

Scan complete. Hidden registry keys/values: 13

son claves de registro, no ficheros, lo cual indica que no hay ficheros corriendo en procesos ocultos, como sería en el caso de algun RootKit:



Object-Type: Registry-value
Object-Name: Desc
Object-Path: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\StillImage\Events\STIProxyEvent\{0034EFF4-1FAF-4CD8-B1C7-730573AA7F9B}
Status: Registy value-data mismatch

Object-Type: Registry-value
Object-Name: Desc
Object-Path: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Control\StillImage\Events\STIProxyEvent\{0034EFF4-1FAF-4CD8-B1C7-730573AA7F9B}
Status: Registy value-data mismatch

Object-Type: Registry-value
Object-Name: Desc
Object-Path: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\StillImage\Events\STIProxyEvent\{0034EFF4-1FAF-4CD8-B1C7-730573AA7F9B}
Status: Registy value-data mismatch

Object-Type: Registry-key
Object-Name: DataEM\ControlSet001\Control\StillImage\Events\STIProxyEvent\{0034EFF4-1FAF-4CD8-B1C7-730573AA7F9B}
Object-Path: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Protected Storage System Provider\*Local Machine*\Data
Status: Hidden

Object-Type: Registry-key
Object-Name: a5c5c2e4-6bee-4ef9-a0f5-f76a07cce771 System Provider\*Local Machine*\Data
Object-Path: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Protected Storage System Provider\*Local Machine*\Data\a5c5c2e4-6bee-4ef9-a0f5-f76a07cce771
Status: Hidden

Object-Type: Registry-key
Object-Name: 00000000-0000-0000-0000-000000000000 System Provider\*Local Machine*\Data\a5c5c2e4-6bee-4ef9-a0f5-f76a07cce771
Object-Path: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Protected Storage System Provider\*Local Machine*\Data\a5c5c2e4-6bee-4ef9-a0f5-f76a07cce771\00000000-0000-0000-0000-000000000000
Status: Hidden

Object-Type: Registry-key
Object-Name: {6340E680-FF06-435f-8767-B79D88AEBD4D}ystem Provider\*Local Machine*\Data\a5c5c2e4-6bee-4ef9-a0f5-f76a07cce771\00000000-0000-0000-0000-000000000000
Object-Path: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Protected Storage System Provider\*Local Machine*\Data\a5c5c2e4-6bee-4ef9-a0f5-f76a07cce771\00000000-0000-0000-0000-000000000000\{6340E680-FF06-435f-8767-B79D88AEBD4D}
Status: Hidden

Object-Type: Registry-value
Object-Name: Item Data
Object-Path: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Protected Storage System Provider\*Local Machine*\Data\a5c5c2e4-6bee-4ef9-a0f5-f76a07cce771\00000000-0000-0000-0000-000000000000\{6340E680-FF06-435f-8767-B79D88AEBD4D}
Status: Hidden

Object-Type: Registry-value
Object-Name: Display String
Object-Path: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Protected Storage System Provider\*Local Machine*\Data\a5c5c2e4-6bee-4ef9-a0f5-f76a07cce771\00000000-0000-0000-0000-000000000000
Status: Hidden

Object-Type: Registry-value
Object-Name: Display String
Object-Path: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Protected Storage System Provider\*Local Machine*\Data\a5c5c2e4-6bee-4ef9-a0f5-f76a07cce771
Status: Hidden

Object-Type: Registry-key
Object-Name: Data 2RE\Microsoft\Protected Storage System Provider\*Local Machine*\Data\a5c5c2e4-6bee-4ef9-a0f5-f76a07cce771
Object-Path: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Protected Storage System Provider\*Local Machine*\Data 2
Status: Hidden

Object-Type: Registry-key
Object-Name: WindowsE\Microsoft\Protected Storage System Provider\*Local Machine*\Data 2
Object-Path: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Protected Storage System Provider\*Local Machine*\Data 2\Windows
Status: Hidden

Object-Type: Registry-value
Object-Name: Value
Object-Path: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Protected Storage System Provider\*Local Machine*\Data 2\Windows
Status: Hidden


Si actualmente aun persiste que la carpeta de C:\windows está oculta, lanza un CMD para acceder a una ventana de DOS y desde alli ejecuta:

ATTRIB /S /D -h -s c:\WINDOWS

Y tras reiniciar nos comentas el resultado, gracias

saludos

ms, 28-4-2011
Avatar de Usuario
msc hotline sat
Administrador
Administrador
 
Mensajes: 81955
Registrado: 26-01-2013 10:47
Ubicación: BARCELONA (ESPAÑA)

Re: Avira10, detecta archivo oculto

Notapor ronaldherrera7 » 26-01-2013 10:47

Ante todo, agradezco la prontitud de su respuesta.

La carpeta C:/Windows ya no está oculta desde hace más de una semana. Le quité ese estado desde mis primeros contactos con vosotros y sigue así hasta el momento. Supongo que la recomendación mencionada ya no es necesaria (attrib /s /d), ¿o la hago de todos modos?

En cuanto al resultado del Detective Rootkit, si bien algunos registros dan 'mismatch' (5) hay otros 8 que muestran Status 'hidden', ¿esto significa que todavía no podemos asegurar su origen?.

En cuanto a los análisis con los EliXXXX, creo recordar que se encontraron y borraron 3 elementos sospechosos. ¿Me podría comentar algo al respecto?
ronaldherrera7
Usuario
Usuario
 
Mensajes: 26
Registrado: 26-01-2013 10:47
Ubicación: Madrid

Re: Avira10, detecta archivo oculto

Notapor msc hotline sat » 26-01-2013 10:47

No, si ya ve la carpeta no hace falta aplicar el ATTRIB , claro.

Y las entradas ocultas del registro no tienen porqué ser víricas, sino historias de windows !

Por último los tres ficheros borrados por el ELISTARA fueron:

C:\Archivos de programa\Realtek\InstallShield\ALCMTR.EXE --> Eliminado, SpyRealtek
C:\System Volume Information\_restore{7DB924BF-CD61-4BA6-86E7-CA39F78DDFEA}\RP890\A0158259.EXE --> Eliminado, SpyRealtek
C:\System Volume Information\_restore{7DB924BF-CD61-4BA6-86E7-CA39F78DDFEA}\RP890\A0158260.EXE --> Eliminado, SpyRealtek

el primero es el unico activo, que sin ser virus, es un "espia" de Realtek (fabricante de drivers de sonido) para control de los usuarios que los están usando, lo cual produce trafico de la red que muchas veces se piensa que es malware, y no siendo imprescindible, preferimos quitarlo de enmedio.

Los otros dos son copias de seguridad del mismo (en SYUSTEM VOLUME INFORMATION-RESTORE), que como todos los ficheros que se ejecutan, windows los guarda para poder recuperarlos con la restauracion a un punto anterior, y, al igual que las copias de virus, el ELISTARA los elimina tambien.

Por todo ello, damos por solucionado el Tema y procedemos a cerrarlo

Si nos necesita de nuevo, ya sabe donde estamos

saludos

ms, 28-4-2011
Avatar de Usuario
msc hotline sat
Administrador
Administrador
 
Mensajes: 81955
Registrado: 26-01-2013 10:47
Ubicación: BARCELONA (ESPAÑA)


Volver a Foro Virus - Cuentanos tu problema

¿Quién está conectado?

Usuarios navegando por este Foro: Google [Bot] y 1 invitado


Registrese o identifiquese, para no ver la publicidad
cron