necesito opinion, carpetas y archivos extraños (SOLUCIONADO)

[anytaxx]

Hola, la verdad no tengo mucha idea de informatica, asi que haber si me podeis ayudar.

Tengo el disco duro dividido en dos, C y D, en C tengo todos los programas y en D los archivos.

He empezado a limpiar un poco el ordenador de archivos, a pasar a CD.... y me he encontrado con cosas que no se que son.

Primera duda:

Me han aparecido en D dos carpetas, una llamada a42428f7bfaa7f06fc4ac2b1b9 y otra llamada 7385cb5e74518cdb7e43398f, en ambas hay un archivo de aplicacion llamado MRT, las dos carpetas no ocupan nada, que son?? las puedo eliminar??

Segunda duda:

Ademas de las dos carpetas citadas antiriormente hay un monton de archivos llamados eula.1028, eula.1031.... otros llamados install.res.1028.dll, install.res.1031.dll... una aplicacion llamada install, un archivo winrar llamado VC_RED, con el mismo nombre un paquete de windows, un archivo BMP llamado vcredist.

Todo esto no se si es que he instalado algo que no tenia que instalar, si es un virus, si lo ha creado windows por algo.

Si alguien me puede ayudar, os lo agradezco.

[msc hotline sat]

Pues no parece que sean maliciosos, por ejemplo:



http://www.prevx.com/filenames/1230627589073619780-X1/VC_RED.MSI.html



Creo que debe ser de la instalacion de alguna aplicacion, pero si todo te funciona, no debes preocuparte.



De todas formas si quieres salir de dudas sobre un posible vrus, lanza este AV ONLINE y posteanos el informe resultante:





http://www.kaspersky.com/kos/english/kavwebscan.html



y seleccionar MY COMPUTER para escanearlo todo. Si no se tiene la version de Java actualizada, a la izquierda de la ventana que presenta dicho acceso, ofrecen link de descarga...



Dicho AV ONLINE no limpia, solo testea, asi que lo que pretendemos con ello es solo el informe, ya obraremos en consecuencia. ms.



[img]http://img.photobucket.com/albums/v666/sUBs/Kas-SaveReport-1.gif[/img]





saludos



ms, 22-9-2009

[anytaxx]

Muchas gracias por contestar, he ido al enlace que me mandaste para hacer la revision, pero no me deja, lo he intentado unas cuantas veces y siempre me da este error:



Program is starting. Please wait...

Update source selected: http://www.kaspersky.com

Downloading file: packages/kos-extras.jar

Program has started.



Program database is being updated. Please wait...



Update has failed. Program has failed to start. Close the Kaspersky Online Scanner 7.0 window and open it again to install the program. You must be online to update the Kaspersky Online Scanner 7 database. With the latest database updates, you can find new viruses and other threats. Please go online to use Kaspersky Online Scanner 7. [ERROR: Key is expired]



Voy a seguir intentandolo durante la mañana y esta tarde te digo que tal.



Muchas gracias.

[msc hotline sat]

Pues prueba con otro AV ONLINE como el McAfee, la cuestion es probar con uno distinto del que tengas, ya que cuatro ojos ven mas que dos ...



http://www.zonavirus.com/antivirus-on-line/



saludos



ms, 23-9-2009

[anytaxx]

Bien, hice el analisic con mcaffe y el resultado fue este:



Ubicación de análisis

Unidad C Mis documentos Archivos de Windows

Estado de análisis

Archivos analizados: 70370

Archivos detectados: 4

Información: Análisis finalizado.



Lista de archivos detectados

Nombre de archivo Nombre de la amenaza

C:\Archivos de programa\...\CpqsetVer.exe Generic.dx

C:\Archivos de programa\WinZix\winzix.exe Generic PUP.x

C:\Archivos de programa\WinZix\WinZixManager.dll Generic.dx

C:\WINDOWS\uninst.exe W95/CIH.remnants



No me dejo analizar D, no me lo mostraba en la lista de seleccion. Pero bueno, algo malo tengo aunque no era lo que yo pensaba, que hago con esto???

Muchas gracias por la paciencia.

[msc hotline sat]

Pues envianos dichos ficheros para analizar:



C:\Archivos de programa\...\CpqsetVer.exe Generic.dx

C:\Archivos de programa\WinZix\winzix.exe Generic PUP.x

C:\Archivos de programa\WinZix\WinZixManager.dll Generic.dx

C:\WINDOWS\uninst.exe W95/CIH.remnants







[b]¿Como enviar las muestras a zonavirus? - Para ello recordar[/b]:

https://foros.zonavirus.com/viewtopic.php?f=5&t=14253





Tras recibir el/los fichero/s, lo/s analizaremos e implementaremos su control y eliminacion, si procede, en nuestras utilidades, de lo cual informaremos





saludos



ms, 23-9-2009







NOTA: Mientras, puedes añadir .VIR a la extension de estos ficheros, para que tras reiniciar ya no se pongan en marcha. ms.

[anytaxx]

no puedo enviar las muestras comprimidas con contraseña porque minimo tengo que poner ocho caracteres, asi que pongo dos veces la palabra virus, ok?? sirve asi??

[msc hotline sat]

Supongo que no lo haces con el WINRAR...



En tal caso usa como palabra de password infected , que es la que usamos con McAfee



saludos



ms, 23-9-2009

[anytaxx]

Vale, ya he enviado los archivos que en el escaner me daban que estaban infectados. Los cuatro que me detecto macafee y otro mas que me detecto el activescan 2.0 de Panda.

Son:

-De MacAfee:

C:\Archivos de programa\...\CpqsetVer.exe Generic.dx

C:\Archivos de programa\WinZix\winzix.exe Generic PUP.x

C:\Archivos de programa\WinZix\WinZixManager.dll Generic.dx

C:\WINDOWS\uninst.exe W95/CIH.remnants



-De activescan 2.0 Panda: (este tambien me detecto los otros cuatro)

C:\WINDOWS\system32\config\44281158.Evt



Los cinco van comprimidos con winzip y cifrados con la contraseña infected como me dijiste.



Muchas gracias, un saludo.

[msc hotline sat]

Bien, pues ahora les añades extension .VIR a esos mismos del disco duro, y tras reiniciar mira si persisten las anomalias.



Nosotros mañana hacemos fiesta ya que es la Virgen de la Merced, patrona de Barcelona, pero volvemos el viernes y entonces los analizaremos



saludos



ms, 23-9-200

ref SP/Lan+43.30-5.68







NOTA: De momento, una vez renombrados y reiniciado el ordenador no deberían incordiar, cuentanos el resultado, gracias



saludos



ms.

[msc hotline sat]

Pues este que dice detectarle Panda:



C:\WINDOWS\system32\config\44281158.Evt



vaya a saber lo que es. No es ejecutable y si no lo conoce de nada... nosotros tampoco.



Añadale extension .VIR y si tras 15 dias nada ni nadie lo encuentra a faltar, eliminelo.





Y los demas, que ya quedamos los renombraría, diganos si tras ello y reiniciar le persiste alguna anomalía.





Uno de ellos está claro, es un fichero que fue infectado por el CIH y que fue limpiado a medias por Panda, cambiando el punto de acceso al virus, pero dejando todas sus partes, por ello se lo detectan, aunque ya no esté activo. Tenemos en SATINFO una herramienta para ello, el RECIH.exe, pero no está disponible para evaluacion en el foro. Si el C:\WINDOWS\uninst.exe no lo usa, mejor eliminelo, y sino seguirá siendo detectado, sin mas consecuencias



El C:\Archivos de programa\WinZix\winzix.exe Generic PUP.x es una utilidad potencialmente peligrosa. Le recomendamos su eliminacion y sustitucion por una similar pero normal, ya que esta es dudosa, pero dado que no es virus significativo, la ponemos en cuarentena sin tomar mas medidas en nuestras utilidades al respecto.



y el cpqsetver.exe , que pediamos por poder ser troyano, ya que a veces lo es: http://www.prevx.com/filenames/101895710132885287-X1/CPQSETVER.EXE.html



en este caso parece ser de HP, pero si no tiene nada de dicha marca, diganoslo y eliminelo. Las pruebas con el mismo no han dejado nada residente ni cambiado claves ..., por nuestra parte lo ponemos tambien en cuarentena.



Así que queda todo un poco a su albedrío. Informenos de lo que decide y si tras reiniciar con lo que haga, persisten las anomalias y cuales, gracias



saludos



ms, 25-9-2009

[anytaxx]

Bien, añadi la extension .VIR (esto me supuse que era modificar el nombre del archivo poniendo .VIR detras del original), si no lo hice bien corrigeme.



He eliminado el Winzix, a duras penas, porque no se dejaba.



El del Panda: C:\WINDOWS\system32\config\44281158.Evt, lo dejo tal cual con la extension .VIR



Y el cpqsetver.exe, esta en una carpeta llamada HPQ en la que hay bastantes ficheros de la configuracion del ordenador, como el teclado, el wireless.. todos de HP, el ordenador es Compaq asi que el propio ordenador es de HP, con lo cual no me preocupare.



Muchisimas gracias por todo, espero no tener que entrar al foro muchas veces ya que eso significaria que hay problemas, os felicito por la rapidez en respuesta y la claridad en las soluciones, sobre todo para todos aquellos que no somos expertos en informatica.



Un saludo para todos.

[msc hotline sat]

Muy bien hecho, su sentido comun es el mejor antivirus !



Efectivamente el cpqsetver.exe si tiene otros drivers de HP, puede ser "nativo"



Y los demas, con extension .VIR ya no incordiaran, fueran lo que fueran



Y dando por solucionado el Tema, procedemos a cerrarlo



Si nos necesita de nuevo, ya sabe donde estamos



saludos



ms, 25-9-2009