Avira10, detecta archivo oculto

Cerrado
ronaldherrera7
Mensajes: 27
Registrado: 02 Nov 2006, 20:54
Ubicación: Madrid

Avira10, detecta archivo oculto

Mensaje por ronaldherrera7 » 12 Abr 2011, 22:07

Hola y gracias de antemano,



Acabo de instalar Avira Antivir Personal 10.0 (Free) última versión. Y tras analizar todo el sistema me da 0 detectados aunque también aparece 1 objeto oculto en el informe, algo que nunca había ocurrido.



Previos:



* Llevo ya varios años usando este antivirus. Esta última instalación consistió en desinstalar las versión anterior 9.3 e instalar la nueva.

* Al momento de quitar la version 9.3 eliminé manualmente de la cuarentena los 3 virus que estaban ahí.

* Coincide que casi de forma paralela me puse un fondo de escritorio desde la web de "Cirque du soleil".

* En un par de ocasiones el ordenador se quedó como 'colgado' y tuve que hacer un "hard reset".



Mi duda es si este archivo oculto es algún virus o si es algo del fondo de escritorio. He quitado el fondo de escritorio hace unos 5 días y no ha vuelto a colgarse el equipo pero tenga miedo que sólo sea una coincidencia.



Un saludo.

Avatar de Usuario
msc hotline sat
Mensajes: 93500
Registrado: 09 Mar 2004, 20:39
Ubicación: BARCELONA (ESPAÑA)
Contactar:

Re: Avira10, detecta archivo oculto

Mensaje por msc hotline sat » 13 Abr 2011, 06:37

Si ha desaparecido la detección del Avira tras la desinstalacion del fondo de pantalla, podría ser un falso positivo o que realmente se tratara de un malware, especialmente si desaparecieron tambien con ello los cuelgues ...



Puede enviarnos como sospechoso dicho fondo y lo analizaremos, informando del resultado al respecto:





>[b]ENVIO DE MUESTRAS Y ELIMINACIÓN DE CLAVES - Para ello recordar[/b]:

https://foros.zonavirus.com/viewtopic.php?f=5&t=14253



Tras recibirlo/s, lo/s analizaremos e implementaremos su control y eliminación, si procede, en nuestras utilidades, de lo cual informaremos



saludos



ms, 13-4-2011

ronaldherrera7
Mensajes: 27
Registrado: 02 Nov 2006, 20:54
Ubicación: Madrid

Re: Avira10, detecta archivo oculto

Mensaje por ronaldherrera7 » 13 Abr 2011, 16:34

Sí he notado que ya no se cuelga el ordenador pero tras el análisis con Avira el [b]objeto oculto sigue apareciendo[/b] en el informe (aunque detecta 0 virus igualmente).



He notado que la carpeta Windows en C: está oculta, le he quitado esa propiedad y he vueto a correr otro análisis general pero sigue dándome el mismo resultado (adjunto el informe del Avira Antivir).



El archivo del salvapantallas no lo sé ubicar en mi PC. Lo descargué, o mejor dicho, di al botón derecho en una imagen que me ofrecieron y lo establecí como fondo de escritorio. Por si lo considera necesario: la página de donde la bajé empieza más o menos por aquí ( http://www.cirquedusoleil.com/en/cirque-club/goodies/wallpapers.aspx ) hay que registrarse y buscar en Extras, el wallpaper que es amarillo con un clown en la parte inferior izquierda, escogí la resolucion 1680x1050.



Quizá lo del salvapantallas sea sólo una coincidencia. Me inclino a pensar que en el tiempo que desinstalé la versión anterior e instalé la nueva, hubo un tiempo que mi PC estuvo sin protección, unos 5 minutos y que ahí se pudo haber metido un virus. En esos días el Avira había detectado algunos intentos de ataque de troyanos y virus, unos 4 creo recordar, pero les di a eliminar o enviar a cuarentena en algunos casos. Ante la desinstalación requerida di a eliminar los virus en cuarentena.



Bueno, también albergo la esperanza que este archivo oculto sea algo del sistema que la versión anterior no reconocía y que esta nueva sí lo hace. En cualquier caso espero sus consejos para poder solucionarlo.



Atte.
Adjuntos
AVSCAN-20110413-123355-45A0D182.LOG
Informe del último análisis con Avira10
(26.17 KiB) Descargado 48 veces

Avatar de Usuario
msc hotline sat
Mensajes: 93500
Registrado: 09 Mar 2004, 20:39
Ubicación: BARCELONA (ESPAÑA)
Contactar:

Re: Avira10, detecta archivo oculto

Mensaje por msc hotline sat » 13 Abr 2011, 17:35

pUES DE ENTRADA PARECE QUE TE FALTAN PARCHES:



[b][i]Plataforma : Windows XP

Versión de Windows : (Service Pack 2) [5.1.2600][/i]
[/b]




LANZA UN WINDOWSUPDATE E INSTALA LOS QUE ENCUENTRES A FALTAR, puede que ademas del SP3 te falten posteriores como el del Conficker, que es un RootKit de cuidado, y por ello no lo viera el AVIRA





Y efectivamente parece que tienes un Rootkit oculto por ahí... :





[b][i]490902 Los objetos se analizaron con el análisis de rootkits

1 Se detectaron objetos ocultos[/i]
[/b]




Lanza el McAfee Rootkit Detective y posteanos el informe resultante:



ROOTKITDETECTIVE (ACCESO AL LINK DE DESCARGA)

http://download.nai.com/products/mcafee-avert/McafeeRootkitDetective.zip





Tambien lanza el ELISTARA y el ELITRIIP y analiza con ellos el disco duro y los pendrives que tengas por ahí:





[b] ELITRIIP: [/b]

http://www.zonavirus.com/descargas/elitriip.asp



[b] ELISTARA: [/b]

http://www.zonavirus.com/descargas/elistara.asp



Tras probarlos, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado de los procesos



saludos



ms, 13-4-2011

ronaldherrera7
Mensajes: 27
Registrado: 02 Nov 2006, 20:54
Ubicación: Madrid

Re: Avira10, detecta archivo oculto

Mensaje por ronaldherrera7 » 19 Abr 2011, 15:55

Hola, ante todo muchas gracias por su ayuda. Ya he realizado las actualizaciones a SP3 y demás.



He buscado en la web de McAfee y no encuentro el Detective Rootkit, me gustaría poder bajarlo de ahí, ¿es algún programa alternativo?, no sé si puedo fiarme de la página de descarga que me enlaza (... download.nai.com...). Qué me aconseja?



Un saludo.

Avatar de Usuario
flacoroo
Mensajes: 6289
Registrado: 09 Mar 2004, 20:32
Ubicación: Paso del Macho,Ver.México

Re: Avira10, detecta archivo oculto

Mensaje por flacoroo » 19 Abr 2011, 17:50

bajate el programa de Detective Rootkit y la dirección es correcta...
:lol: :lol: La vida es hermosa....para que complicarnosla :lol: :lol:

Avatar de Usuario
msc hotline sat
Mensajes: 93500
Registrado: 09 Mar 2004, 20:39
Ubicación: BARCELONA (ESPAÑA)
Contactar:

Re: Avira10, detecta archivo oculto

Mensaje por msc hotline sat » 24 Abr 2011, 11:25

Sí, la descarga es de la web de NAI, que era la de McAfee anteriormente:



http://download.nai.com/products/mcafee-avert/McafeeRootkitDetective.zip



Seguimos utilizando el mismo link



saludos



ms, 24-4-2011

ronaldherrera7
Mensajes: 27
Registrado: 02 Nov 2006, 20:54
Ubicación: Madrid

Re: Avira10, detecta archivo oculto

Mensaje por ronaldherrera7 » 28 Abr 2011, 00:32

Hola, perdón por la demora, esta semana he estado muy liado en el trabajo.



Pasos seguidos:



He descargado y ejecutado el McAfee Rootkit Detective

He descargado y ejecutado el EliTriIp, incluyendo ficheros zip, incluyendo ficheros zip en el análisis.

He descargado, reiniciado el PC en modo seguro y ejecutado el EliStarA, incluyendo ficheros zip en el análisis.

He reiniciado el PC.



Le adjunto los dos ficheros de informes pedidos.



Además estoy corriendo nuevamente un análisis general con mi Antivirus habitual y aunque no ha acabado el proceso (16%) ya veo que sigue apareciendo el objeto oculto como al principio.



Espero vuestros comentarios. Un saludo.
Adjuntos
InfoSat.txt
(4.39 KiB) Descargado 50 veces
RootkitDetectiveReport.txt
(15.49 KiB) Descargado 56 veces

Avatar de Usuario
msc hotline sat
Mensajes: 93500
Registrado: 09 Mar 2004, 20:39
Ubicación: BARCELONA (ESPAÑA)
Contactar:

Re: Avira10, detecta archivo oculto

Mensaje por msc hotline sat » 28 Abr 2011, 11:22

Pues los 13 objetos ocultos, segun resumen:



Scan complete. Hidden registry keys/values: 13



son claves de registro, no ficheros, lo cual indica que no hay ficheros corriendo en procesos ocultos, como sería en el caso de algun RootKit:







Object-Type: Registry-value

Object-Name: Desc

Object-Path: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\StillImage\Events\STIProxyEvent\{0034EFF4-1FAF-4CD8-B1C7-730573AA7F9B}

Status: Registy value-data mismatch



Object-Type: Registry-value

Object-Name: Desc

Object-Path: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Control\StillImage\Events\STIProxyEvent\{0034EFF4-1FAF-4CD8-B1C7-730573AA7F9B}

Status: Registy value-data mismatch



Object-Type: Registry-value

Object-Name: Desc

Object-Path: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\StillImage\Events\STIProxyEvent\{0034EFF4-1FAF-4CD8-B1C7-730573AA7F9B}

Status: Registy value-data mismatch



Object-Type: Registry-key

Object-Name: DataEM\ControlSet001\Control\StillImage\Events\STIProxyEvent\{0034EFF4-1FAF-4CD8-B1C7-730573AA7F9B}

Object-Path: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Protected Storage System Provider\*Local Machine*\Data

Status: Hidden



Object-Type: Registry-key

Object-Name: a5c5c2e4-6bee-4ef9-a0f5-f76a07cce771 System Provider\*Local Machine*\Data

Object-Path: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Protected Storage System Provider\*Local Machine*\Data\a5c5c2e4-6bee-4ef9-a0f5-f76a07cce771

Status: Hidden



Object-Type: Registry-key

Object-Name: 00000000-0000-0000-0000-000000000000 System Provider\*Local Machine*\Data\a5c5c2e4-6bee-4ef9-a0f5-f76a07cce771

Object-Path: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Protected Storage System Provider\*Local Machine*\Data\a5c5c2e4-6bee-4ef9-a0f5-f76a07cce771\00000000-0000-0000-0000-000000000000

Status: Hidden



Object-Type: Registry-key

Object-Name: {6340E680-FF06-435f-8767-B79D88AEBD4D}ystem Provider\*Local Machine*\Data\a5c5c2e4-6bee-4ef9-a0f5-f76a07cce771\00000000-0000-0000-0000-000000000000

Object-Path: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Protected Storage System Provider\*Local Machine*\Data\a5c5c2e4-6bee-4ef9-a0f5-f76a07cce771\00000000-0000-0000-0000-000000000000\{6340E680-FF06-435f-8767-B79D88AEBD4D}

Status: Hidden



Object-Type: Registry-value

Object-Name: Item Data

Object-Path: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Protected Storage System Provider\*Local Machine*\Data\a5c5c2e4-6bee-4ef9-a0f5-f76a07cce771\00000000-0000-0000-0000-000000000000\{6340E680-FF06-435f-8767-B79D88AEBD4D}

Status: Hidden



Object-Type: Registry-value

Object-Name: Display String

Object-Path: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Protected Storage System Provider\*Local Machine*\Data\a5c5c2e4-6bee-4ef9-a0f5-f76a07cce771\00000000-0000-0000-0000-000000000000

Status: Hidden



Object-Type: Registry-value

Object-Name: Display String

Object-Path: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Protected Storage System Provider\*Local Machine*\Data\a5c5c2e4-6bee-4ef9-a0f5-f76a07cce771

Status: Hidden



Object-Type: Registry-key

Object-Name: Data 2RE\Microsoft\Protected Storage System Provider\*Local Machine*\Data\a5c5c2e4-6bee-4ef9-a0f5-f76a07cce771

Object-Path: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Protected Storage System Provider\*Local Machine*\Data 2

Status: Hidden



Object-Type: Registry-key

Object-Name: WindowsE\Microsoft\Protected Storage System Provider\*Local Machine*\Data 2

Object-Path: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Protected Storage System Provider\*Local Machine*\Data 2\Windows

Status: Hidden



Object-Type: Registry-value

Object-Name: Value

Object-Path: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Protected Storage System Provider\*Local Machine*\Data 2\Windows

Status: Hidden





Si actualmente aun persiste que la carpeta de C:\windows está oculta, lanza un CMD para acceder a una ventana de DOS y desde alli ejecuta:



ATTRIB /S /D -h -s c:\WINDOWS



Y tras reiniciar nos comentas el resultado, gracias



saludos



ms, 28-4-2011

ronaldherrera7
Mensajes: 27
Registrado: 02 Nov 2006, 20:54
Ubicación: Madrid

Re: Avira10, detecta archivo oculto

Mensaje por ronaldherrera7 » 28 Abr 2011, 12:39

Ante todo, agradezco la prontitud de su respuesta.



La carpeta C:/Windows ya no está oculta desde hace más de una semana. Le quité ese estado desde mis primeros contactos con vosotros y sigue así hasta el momento. Supongo que la recomendación mencionada ya no es necesaria (attrib /s /d), ¿o la hago de todos modos?



En cuanto al resultado del Detective Rootkit, si bien algunos registros dan 'mismatch' (5) hay otros 8 que muestran Status 'hidden', ¿esto significa que todavía no podemos asegurar su origen?.



En cuanto a los análisis con los EliXXXX, creo recordar que se encontraron y borraron 3 elementos sospechosos. ¿Me podría comentar algo al respecto?

Avatar de Usuario
msc hotline sat
Mensajes: 93500
Registrado: 09 Mar 2004, 20:39
Ubicación: BARCELONA (ESPAÑA)
Contactar:

Re: Avira10, detecta archivo oculto

Mensaje por msc hotline sat » 28 Abr 2011, 13:41

No, si ya ve la carpeta no hace falta aplicar el ATTRIB , claro.



Y las entradas ocultas del registro no tienen porqué ser víricas, sino historias de windows !



Por último los tres ficheros borrados por el ELISTARA fueron:



C:\Archivos de programa\Realtek\InstallShield\ALCMTR.EXE --> Eliminado, SpyRealtek

C:\System Volume Information\_restore{7DB924BF-CD61-4BA6-86E7-CA39F78DDFEA}\RP890\A0158259.EXE --> Eliminado, SpyRealtek

C:\System Volume Information\_restore{7DB924BF-CD61-4BA6-86E7-CA39F78DDFEA}\RP890\A0158260.EXE --> Eliminado, SpyRealtek



el primero es el unico activo, que sin ser virus, es un "espia" de Realtek (fabricante de drivers de sonido) para control de los usuarios que los están usando, lo cual produce trafico de la red que muchas veces se piensa que es malware, y no siendo imprescindible, preferimos quitarlo de enmedio.



Los otros dos son copias de seguridad del mismo (en SYUSTEM VOLUME INFORMATION-RESTORE), que como todos los ficheros que se ejecutan, windows los guarda para poder recuperarlos con la restauracion a un punto anterior, y, al igual que las copias de virus, el ELISTARA los elimina tambien.



Por todo ello, damos por solucionado el Tema y procedemos a cerrarlo



Si nos necesita de nuevo, ya sabe donde estamos



saludos



ms, 28-4-2011

Cerrado

Volver a “Foro Virus - Cuentanos tu problema”