Avira10, detecta archivo oculto
-
- Mensajes: 27
- Registrado: 02 Nov 2006, 20:54
- Ubicación: Madrid
Avira10, detecta archivo oculto
Hola y gracias de antemano,
Acabo de instalar Avira Antivir Personal 10.0 (Free) última versión. Y tras analizar todo el sistema me da 0 detectados aunque también aparece 1 objeto oculto en el informe, algo que nunca había ocurrido.
Previos:
* Llevo ya varios años usando este antivirus. Esta última instalación consistió en desinstalar las versión anterior 9.3 e instalar la nueva.
* Al momento de quitar la version 9.3 eliminé manualmente de la cuarentena los 3 virus que estaban ahí.
* Coincide que casi de forma paralela me puse un fondo de escritorio desde la web de "Cirque du soleil".
* En un par de ocasiones el ordenador se quedó como 'colgado' y tuve que hacer un "hard reset".
Mi duda es si este archivo oculto es algún virus o si es algo del fondo de escritorio. He quitado el fondo de escritorio hace unos 5 días y no ha vuelto a colgarse el equipo pero tenga miedo que sólo sea una coincidencia.
Un saludo.
Acabo de instalar Avira Antivir Personal 10.0 (Free) última versión. Y tras analizar todo el sistema me da 0 detectados aunque también aparece 1 objeto oculto en el informe, algo que nunca había ocurrido.
Previos:
* Llevo ya varios años usando este antivirus. Esta última instalación consistió en desinstalar las versión anterior 9.3 e instalar la nueva.
* Al momento de quitar la version 9.3 eliminé manualmente de la cuarentena los 3 virus que estaban ahí.
* Coincide que casi de forma paralela me puse un fondo de escritorio desde la web de "Cirque du soleil".
* En un par de ocasiones el ordenador se quedó como 'colgado' y tuve que hacer un "hard reset".
Mi duda es si este archivo oculto es algún virus o si es algo del fondo de escritorio. He quitado el fondo de escritorio hace unos 5 días y no ha vuelto a colgarse el equipo pero tenga miedo que sólo sea una coincidencia.
Un saludo.
- msc hotline sat
- Mensajes: 93500
- Registrado: 09 Mar 2004, 20:39
- Ubicación: BARCELONA (ESPAÑA)
- Contactar:
Re: Avira10, detecta archivo oculto
Si ha desaparecido la detección del Avira tras la desinstalacion del fondo de pantalla, podría ser un falso positivo o que realmente se tratara de un malware, especialmente si desaparecieron tambien con ello los cuelgues ...
Puede enviarnos como sospechoso dicho fondo y lo analizaremos, informando del resultado al respecto:
>[b]ENVIO DE MUESTRAS Y ELIMINACIÓN DE CLAVES - Para ello recordar[/b] :
https://foros.zonavirus.com/viewtopic.php?f=5&t=14253
Tras recibirlo/s, lo/s analizaremos e implementaremos su control y eliminación, si procede, en nuestras utilidades, de lo cual informaremos
saludos
ms, 13-4-2011
Puede enviarnos como sospechoso dicho fondo y lo analizaremos, informando del resultado al respecto:
>
Tras recibirlo/s, lo/s analizaremos e implementaremos su control y eliminación, si procede, en nuestras utilidades, de lo cual informaremos
saludos
ms, 13-4-2011
msc hotline sat Virus Research Engineer
Antes de preguntar - Normas Basicas - Mensajes Privados - Repetir Temas - Continuar Temas - Titulos del Tema - Antivirus Online
Antes de preguntar - Normas Basicas - Mensajes Privados - Repetir Temas - Continuar Temas - Titulos del Tema - Antivirus Online
-
- Mensajes: 27
- Registrado: 02 Nov 2006, 20:54
- Ubicación: Madrid
Re: Avira10, detecta archivo oculto
Sí he notado que ya no se cuelga el ordenador pero tras el análisis con Avira el [b]objeto oculto sigue apareciendo[/b] en el informe (aunque detecta 0 virus igualmente).
He notado que la carpeta Windows en C: está oculta, le he quitado esa propiedad y he vueto a correr otro análisis general pero sigue dándome el mismo resultado (adjunto el informe del Avira Antivir).
El archivo del salvapantallas no lo sé ubicar en mi PC. Lo descargué, o mejor dicho, di al botón derecho en una imagen que me ofrecieron y lo establecí como fondo de escritorio. Por si lo considera necesario: la página de donde la bajé empieza más o menos por aquí (http://www.cirquedusoleil.com/en/cirque-club/goodies/wallpapers.aspx ) hay que registrarse y buscar en Extras, el wallpaper que es amarillo con un clown en la parte inferior izquierda, escogí la resolucion 1680x1050.
Quizá lo del salvapantallas sea sólo una coincidencia. Me inclino a pensar que en el tiempo que desinstalé la versión anterior e instalé la nueva, hubo un tiempo que mi PC estuvo sin protección, unos 5 minutos y que ahí se pudo haber metido un virus. En esos días el Avira había detectado algunos intentos de ataque de troyanos y virus, unos 4 creo recordar, pero les di a eliminar o enviar a cuarentena en algunos casos. Ante la desinstalación requerida di a eliminar los virus en cuarentena.
Bueno, también albergo la esperanza que este archivo oculto sea algo del sistema que la versión anterior no reconocía y que esta nueva sí lo hace. En cualquier caso espero sus consejos para poder solucionarlo.
Atte.
He notado que la carpeta Windows en C: está oculta, le he quitado esa propiedad y he vueto a correr otro análisis general pero sigue dándome el mismo resultado (adjunto el informe del Avira Antivir).
El archivo del salvapantallas no lo sé ubicar en mi PC. Lo descargué, o mejor dicho, di al botón derecho en una imagen que me ofrecieron y lo establecí como fondo de escritorio. Por si lo considera necesario: la página de donde la bajé empieza más o menos por aquí (
Quizá lo del salvapantallas sea sólo una coincidencia. Me inclino a pensar que en el tiempo que desinstalé la versión anterior e instalé la nueva, hubo un tiempo que mi PC estuvo sin protección, unos 5 minutos y que ahí se pudo haber metido un virus. En esos días el Avira había detectado algunos intentos de ataque de troyanos y virus, unos 4 creo recordar, pero les di a eliminar o enviar a cuarentena en algunos casos. Ante la desinstalación requerida di a eliminar los virus en cuarentena.
Bueno, también albergo la esperanza que este archivo oculto sea algo del sistema que la versión anterior no reconocía y que esta nueva sí lo hace. En cualquier caso espero sus consejos para poder solucionarlo.
Atte.
- Adjuntos
-
- AVSCAN-20110413-123355-45A0D182.LOG
- Informe del último análisis con Avira10
- (26.17 KiB) Descargado 99 veces
- msc hotline sat
- Mensajes: 93500
- Registrado: 09 Mar 2004, 20:39
- Ubicación: BARCELONA (ESPAÑA)
- Contactar:
Re: Avira10, detecta archivo oculto
pUES DE ENTRADA PARECE QUE TE FALTAN PARCHES:
[b][i]Plataforma : Windows XP
Versión de Windows : (Service Pack 2) [5.1.2600][/i] [/b]
LANZA UN WINDOWSUPDATE E INSTALA LOS QUE ENCUENTRES A FALTAR, puede que ademas del SP3 te falten posteriores como el del Conficker, que es un RootKit de cuidado, y por ello no lo viera el AVIRA
Y efectivamente parece que tienes un Rootkit oculto por ahí... :
[b][i]490902 Los objetos se analizaron con el análisis de rootkits
1 Se detectaron objetos ocultos[/i] [/b]
Lanza el McAfee Rootkit Detective y posteanos el informe resultante:
ROOTKITDETECTIVE (ACCESO AL LINK DE DESCARGA)
http://download.nai.com/products/mcafee-avert/McafeeRootkitDetective.zip
Tambien lanza el ELISTARA y el ELITRIIP y analiza con ellos el disco duro y los pendrives que tengas por ahí:
[b] ELITRIIP: [/b]
http://www.zonavirus.com/descargas/elitriip.asp
[b] ELISTARA: [/b]
http://www.zonavirus.com/descargas/elistara.asp
Tras probarlos, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado de los procesos
saludos
ms, 13-4-2011
Versión de Windows : (Service Pack 2) [5.1.2600]
LANZA UN WINDOWSUPDATE E INSTALA LOS QUE ENCUENTRES A FALTAR, puede que ademas del SP3 te falten posteriores como el del Conficker, que es un RootKit de cuidado, y por ello no lo viera el AVIRA
Y efectivamente parece que tienes un Rootkit oculto por ahí... :
1 Se detectaron objetos ocultos
Lanza el McAfee Rootkit Detective y posteanos el informe resultante:
ROOTKITDETECTIVE (ACCESO AL LINK DE DESCARGA)
Tambien lanza el ELISTARA y el ELITRIIP y analiza con ellos el disco duro y los pendrives que tengas por ahí:
Tras probarlos, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado de los procesos
saludos
ms, 13-4-2011
msc hotline sat Virus Research Engineer
Antes de preguntar - Normas Basicas - Mensajes Privados - Repetir Temas - Continuar Temas - Titulos del Tema - Antivirus Online
Antes de preguntar - Normas Basicas - Mensajes Privados - Repetir Temas - Continuar Temas - Titulos del Tema - Antivirus Online
-
- Mensajes: 27
- Registrado: 02 Nov 2006, 20:54
- Ubicación: Madrid
Re: Avira10, detecta archivo oculto
Hola, ante todo muchas gracias por su ayuda. Ya he realizado las actualizaciones a SP3 y demás.
He buscado en la web de McAfee y no encuentro el Detective Rootkit, me gustaría poder bajarlo de ahí, ¿es algún programa alternativo?, no sé si puedo fiarme de la página de descarga que me enlaza (... download.nai.com...). Qué me aconseja?
Un saludo.
He buscado en la web de McAfee y no encuentro el Detective Rootkit, me gustaría poder bajarlo de ahí, ¿es algún programa alternativo?, no sé si puedo fiarme de la página de descarga que me enlaza (... download.nai.com...). Qué me aconseja?
Un saludo.
Re: Avira10, detecta archivo oculto
bajate el programa de Detective Rootkit y la dirección es correcta...
La vida es hermosa....para que complicarnosla
- msc hotline sat
- Mensajes: 93500
- Registrado: 09 Mar 2004, 20:39
- Ubicación: BARCELONA (ESPAÑA)
- Contactar:
Re: Avira10, detecta archivo oculto
Sí, la descarga es de la web de NAI, que era la de McAfee anteriormente:
http://download.nai.com/products/mcafee-avert/McafeeRootkitDetective.zip
Seguimos utilizando el mismo link
saludos
ms, 24-4-2011
Seguimos utilizando el mismo link
saludos
ms, 24-4-2011
msc hotline sat Virus Research Engineer
Antes de preguntar - Normas Basicas - Mensajes Privados - Repetir Temas - Continuar Temas - Titulos del Tema - Antivirus Online
Antes de preguntar - Normas Basicas - Mensajes Privados - Repetir Temas - Continuar Temas - Titulos del Tema - Antivirus Online
-
- Mensajes: 27
- Registrado: 02 Nov 2006, 20:54
- Ubicación: Madrid
Re: Avira10, detecta archivo oculto
Hola, perdón por la demora, esta semana he estado muy liado en el trabajo.
Pasos seguidos:
He descargado y ejecutado el McAfee Rootkit Detective
He descargado y ejecutado el EliTriIp, incluyendo ficheros zip, incluyendo ficheros zip en el análisis.
He descargado, reiniciado el PC en modo seguro y ejecutado el EliStarA, incluyendo ficheros zip en el análisis.
He reiniciado el PC.
Le adjunto los dos ficheros de informes pedidos.
Además estoy corriendo nuevamente un análisis general con mi Antivirus habitual y aunque no ha acabado el proceso (16%) ya veo que sigue apareciendo el objeto oculto como al principio.
Espero vuestros comentarios. Un saludo.
Pasos seguidos:
He descargado y ejecutado el McAfee Rootkit Detective
He descargado y ejecutado el EliTriIp, incluyendo ficheros zip, incluyendo ficheros zip en el análisis.
He descargado, reiniciado el PC en modo seguro y ejecutado el EliStarA, incluyendo ficheros zip en el análisis.
He reiniciado el PC.
Le adjunto los dos ficheros de informes pedidos.
Además estoy corriendo nuevamente un análisis general con mi Antivirus habitual y aunque no ha acabado el proceso (16%) ya veo que sigue apareciendo el objeto oculto como al principio.
Espero vuestros comentarios. Un saludo.
- Adjuntos
-
- InfoSat.txt
- (4.39 KiB) Descargado 103 veces
-
- RootkitDetectiveReport.txt
- (15.49 KiB) Descargado 98 veces
- msc hotline sat
- Mensajes: 93500
- Registrado: 09 Mar 2004, 20:39
- Ubicación: BARCELONA (ESPAÑA)
- Contactar:
Re: Avira10, detecta archivo oculto
Pues los 13 objetos ocultos, segun resumen:
Scan complete. Hidden registry keys/values: 13
son claves de registro, no ficheros, lo cual indica que no hay ficheros corriendo en procesos ocultos, como sería en el caso de algun RootKit:
Object-Type: Registry-value
Object-Name: Desc
Object-Path: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\StillImage\Events\STIProxyEvent\{0034EFF4-1FAF-4CD8-B1C7-730573AA7F9B}
Status: Registy value-data mismatch
Object-Type: Registry-value
Object-Name: Desc
Object-Path: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Control\StillImage\Events\STIProxyEvent\{0034EFF4-1FAF-4CD8-B1C7-730573AA7F9B}
Status: Registy value-data mismatch
Object-Type: Registry-value
Object-Name: Desc
Object-Path: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\StillImage\Events\STIProxyEvent\{0034EFF4-1FAF-4CD8-B1C7-730573AA7F9B}
Status: Registy value-data mismatch
Object-Type: Registry-key
Object-Name: DataEM\ControlSet001\Control\StillImage\Events\STIProxyEvent\{0034EFF4-1FAF-4CD8-B1C7-730573AA7F9B}
Object-Path: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Protected Storage System Provider\*Local Machine*\Data
Status: Hidden
Object-Type: Registry-key
Object-Name: a5c5c2e4-6bee-4ef9-a0f5-f76a07cce771 System Provider\*Local Machine*\Data
Object-Path: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Protected Storage System Provider\*Local Machine*\Data\a5c5c2e4-6bee-4ef9-a0f5-f76a07cce771
Status: Hidden
Object-Type: Registry-key
Object-Name: 00000000-0000-0000-0000-000000000000 System Provider\*Local Machine*\Data\a5c5c2e4-6bee-4ef9-a0f5-f76a07cce771
Object-Path: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Protected Storage System Provider\*Local Machine*\Data\a5c5c2e4-6bee-4ef9-a0f5-f76a07cce771\00000000-0000-0000-0000-000000000000
Status: Hidden
Object-Type: Registry-key
Object-Name: {6340E680-FF06-435f-8767-B79D88AEBD4D}ystem Provider\*Local Machine*\Data\a5c5c2e4-6bee-4ef9-a0f5-f76a07cce771\00000000-0000-0000-0000-000000000000
Object-Path: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Protected Storage System Provider\*Local Machine*\Data\a5c5c2e4-6bee-4ef9-a0f5-f76a07cce771\00000000-0000-0000-0000-000000000000\{6340E680-FF06-435f-8767-B79D88AEBD4D}
Status: Hidden
Object-Type: Registry-value
Object-Name: Item Data
Object-Path: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Protected Storage System Provider\*Local Machine*\Data\a5c5c2e4-6bee-4ef9-a0f5-f76a07cce771\00000000-0000-0000-0000-000000000000\{6340E680-FF06-435f-8767-B79D88AEBD4D}
Status: Hidden
Object-Type: Registry-value
Object-Name: Display String
Object-Path: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Protected Storage System Provider\*Local Machine*\Data\a5c5c2e4-6bee-4ef9-a0f5-f76a07cce771\00000000-0000-0000-0000-000000000000
Status: Hidden
Object-Type: Registry-value
Object-Name: Display String
Object-Path: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Protected Storage System Provider\*Local Machine*\Data\a5c5c2e4-6bee-4ef9-a0f5-f76a07cce771
Status: Hidden
Object-Type: Registry-key
Object-Name: Data 2RE\Microsoft\Protected Storage System Provider\*Local Machine*\Data\a5c5c2e4-6bee-4ef9-a0f5-f76a07cce771
Object-Path: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Protected Storage System Provider\*Local Machine*\Data 2
Status: Hidden
Object-Type: Registry-key
Object-Name: WindowsE\Microsoft\Protected Storage System Provider\*Local Machine*\Data 2
Object-Path: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Protected Storage System Provider\*Local Machine*\Data 2\Windows
Status: Hidden
Object-Type: Registry-value
Object-Name: Value
Object-Path: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Protected Storage System Provider\*Local Machine*\Data 2\Windows
Status: Hidden
Si actualmente aun persiste que la carpeta de C:\windows está oculta, lanza un CMD para acceder a una ventana de DOS y desde alli ejecuta:
ATTRIB /S /D -h -s c:\WINDOWS
Y tras reiniciar nos comentas el resultado, gracias
saludos
ms, 28-4-2011
Scan complete. Hidden registry keys/values: 13
son claves de registro, no ficheros, lo cual indica que no hay ficheros corriendo en procesos ocultos, como sería en el caso de algun RootKit:
Object-Type: Registry-value
Object-Name: Desc
Object-Path: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\StillImage\Events\STIProxyEvent\{0034EFF4-1FAF-4CD8-B1C7-730573AA7F9B}
Status: Registy value-data mismatch
Object-Type: Registry-value
Object-Name: Desc
Object-Path: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Control\StillImage\Events\STIProxyEvent\{0034EFF4-1FAF-4CD8-B1C7-730573AA7F9B}
Status: Registy value-data mismatch
Object-Type: Registry-value
Object-Name: Desc
Object-Path: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\StillImage\Events\STIProxyEvent\{0034EFF4-1FAF-4CD8-B1C7-730573AA7F9B}
Status: Registy value-data mismatch
Object-Type: Registry-key
Object-Name: DataEM\ControlSet001\Control\StillImage\Events\STIProxyEvent\{0034EFF4-1FAF-4CD8-B1C7-730573AA7F9B}
Object-Path: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Protected Storage System Provider\*Local Machine*\Data
Status: Hidden
Object-Type: Registry-key
Object-Name: a5c5c2e4-6bee-4ef9-a0f5-f76a07cce771 System Provider\*Local Machine*\Data
Object-Path: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Protected Storage System Provider\*Local Machine*\Data\a5c5c2e4-6bee-4ef9-a0f5-f76a07cce771
Status: Hidden
Object-Type: Registry-key
Object-Name: 00000000-0000-0000-0000-000000000000 System Provider\*Local Machine*\Data\a5c5c2e4-6bee-4ef9-a0f5-f76a07cce771
Object-Path: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Protected Storage System Provider\*Local Machine*\Data\a5c5c2e4-6bee-4ef9-a0f5-f76a07cce771\00000000-0000-0000-0000-000000000000
Status: Hidden
Object-Type: Registry-key
Object-Name: {6340E680-FF06-435f-8767-B79D88AEBD4D}ystem Provider\*Local Machine*\Data\a5c5c2e4-6bee-4ef9-a0f5-f76a07cce771\00000000-0000-0000-0000-000000000000
Object-Path: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Protected Storage System Provider\*Local Machine*\Data\a5c5c2e4-6bee-4ef9-a0f5-f76a07cce771\00000000-0000-0000-0000-000000000000\{6340E680-FF06-435f-8767-B79D88AEBD4D}
Status: Hidden
Object-Type: Registry-value
Object-Name: Item Data
Object-Path: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Protected Storage System Provider\*Local Machine*\Data\a5c5c2e4-6bee-4ef9-a0f5-f76a07cce771\00000000-0000-0000-0000-000000000000\{6340E680-FF06-435f-8767-B79D88AEBD4D}
Status: Hidden
Object-Type: Registry-value
Object-Name: Display String
Object-Path: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Protected Storage System Provider\*Local Machine*\Data\a5c5c2e4-6bee-4ef9-a0f5-f76a07cce771\00000000-0000-0000-0000-000000000000
Status: Hidden
Object-Type: Registry-value
Object-Name: Display String
Object-Path: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Protected Storage System Provider\*Local Machine*\Data\a5c5c2e4-6bee-4ef9-a0f5-f76a07cce771
Status: Hidden
Object-Type: Registry-key
Object-Name: Data 2RE\Microsoft\Protected Storage System Provider\*Local Machine*\Data\a5c5c2e4-6bee-4ef9-a0f5-f76a07cce771
Object-Path: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Protected Storage System Provider\*Local Machine*\Data 2
Status: Hidden
Object-Type: Registry-key
Object-Name: WindowsE\Microsoft\Protected Storage System Provider\*Local Machine*\Data 2
Object-Path: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Protected Storage System Provider\*Local Machine*\Data 2\Windows
Status: Hidden
Object-Type: Registry-value
Object-Name: Value
Object-Path: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Protected Storage System Provider\*Local Machine*\Data 2\Windows
Status: Hidden
Si actualmente aun persiste que la carpeta de C:\windows está oculta, lanza un CMD para acceder a una ventana de DOS y desde alli ejecuta:
ATTRIB /S /D -h -s c:\WINDOWS
Y tras reiniciar nos comentas el resultado, gracias
saludos
ms, 28-4-2011
msc hotline sat Virus Research Engineer
Antes de preguntar - Normas Basicas - Mensajes Privados - Repetir Temas - Continuar Temas - Titulos del Tema - Antivirus Online
Antes de preguntar - Normas Basicas - Mensajes Privados - Repetir Temas - Continuar Temas - Titulos del Tema - Antivirus Online
-
- Mensajes: 27
- Registrado: 02 Nov 2006, 20:54
- Ubicación: Madrid
Re: Avira10, detecta archivo oculto
Ante todo, agradezco la prontitud de su respuesta.
La carpeta C:/Windows ya no está oculta desde hace más de una semana. Le quité ese estado desde mis primeros contactos con vosotros y sigue así hasta el momento. Supongo que la recomendación mencionada ya no es necesaria (attrib /s /d), ¿o la hago de todos modos?
En cuanto al resultado del Detective Rootkit, si bien algunos registros dan 'mismatch' (5) hay otros 8 que muestran Status 'hidden', ¿esto significa que todavía no podemos asegurar su origen?.
En cuanto a los análisis con los EliXXXX, creo recordar que se encontraron y borraron 3 elementos sospechosos. ¿Me podría comentar algo al respecto?
La carpeta C:/Windows ya no está oculta desde hace más de una semana. Le quité ese estado desde mis primeros contactos con vosotros y sigue así hasta el momento. Supongo que la recomendación mencionada ya no es necesaria (attrib /s /d), ¿o la hago de todos modos?
En cuanto al resultado del Detective Rootkit, si bien algunos registros dan 'mismatch' (5) hay otros 8 que muestran Status 'hidden', ¿esto significa que todavía no podemos asegurar su origen?.
En cuanto a los análisis con los EliXXXX, creo recordar que se encontraron y borraron 3 elementos sospechosos. ¿Me podría comentar algo al respecto?
- msc hotline sat
- Mensajes: 93500
- Registrado: 09 Mar 2004, 20:39
- Ubicación: BARCELONA (ESPAÑA)
- Contactar:
Re: Avira10, detecta archivo oculto
No, si ya ve la carpeta no hace falta aplicar el ATTRIB , claro.
Y las entradas ocultas del registro no tienen porqué ser víricas, sino historias de windows !
Por último los tres ficheros borrados por el ELISTARA fueron:
C:\Archivos de programa\Realtek\InstallShield\ALCMTR.EXE --> Eliminado, SpyRealtek
C:\System Volume Information\_restore{7DB924BF-CD61-4BA6-86E7-CA39F78DDFEA}\RP890\A0158259.EXE --> Eliminado, SpyRealtek
C:\System Volume Information\_restore{7DB924BF-CD61-4BA6-86E7-CA39F78DDFEA}\RP890\A0158260.EXE --> Eliminado, SpyRealtek
el primero es el unico activo, que sin ser virus, es un "espia" de Realtek (fabricante de drivers de sonido) para control de los usuarios que los están usando, lo cual produce trafico de la red que muchas veces se piensa que es malware, y no siendo imprescindible, preferimos quitarlo de enmedio.
Los otros dos son copias de seguridad del mismo (en SYUSTEM VOLUME INFORMATION-RESTORE), que como todos los ficheros que se ejecutan, windows los guarda para poder recuperarlos con la restauracion a un punto anterior, y, al igual que las copias de virus, el ELISTARA los elimina tambien.
Por todo ello, damos por solucionado el Tema y procedemos a cerrarlo
Si nos necesita de nuevo, ya sabe donde estamos
saludos
ms, 28-4-2011
Y las entradas ocultas del registro no tienen porqué ser víricas, sino historias de windows !
Por último los tres ficheros borrados por el ELISTARA fueron:
C:\Archivos de programa\Realtek\InstallShield\ALCMTR.EXE --> Eliminado, SpyRealtek
C:\System Volume Information\_restore{7DB924BF-CD61-4BA6-86E7-CA39F78DDFEA}\RP890\A0158259.EXE --> Eliminado, SpyRealtek
C:\System Volume Information\_restore{7DB924BF-CD61-4BA6-86E7-CA39F78DDFEA}\RP890\A0158260.EXE --> Eliminado, SpyRealtek
el primero es el unico activo, que sin ser virus, es un "espia" de Realtek (fabricante de drivers de sonido) para control de los usuarios que los están usando, lo cual produce trafico de la red que muchas veces se piensa que es malware, y no siendo imprescindible, preferimos quitarlo de enmedio.
Los otros dos son copias de seguridad del mismo (en SYUSTEM VOLUME INFORMATION-RESTORE), que como todos los ficheros que se ejecutan, windows los guarda para poder recuperarlos con la restauracion a un punto anterior, y, al igual que las copias de virus, el ELISTARA los elimina tambien.
Por todo ello, damos por solucionado el Tema y procedemos a cerrarlo
Si nos necesita de nuevo, ya sabe donde estamos
saludos
ms, 28-4-2011
msc hotline sat Virus Research Engineer
Antes de preguntar - Normas Basicas - Mensajes Privados - Repetir Temas - Continuar Temas - Titulos del Tema - Antivirus Online
Antes de preguntar - Normas Basicas - Mensajes Privados - Repetir Temas - Continuar Temas - Titulos del Tema - Antivirus Online