¿Malware, Virus, Troyano? (SOLUCIONADO)

[Trescatorce]

Hola a todos:



Tengo Windows 7/64 con Avira Internet security 2012 y el módulo Realtime protección me está visualizando continuamente:



¡Se ha encontrado un virus o programa no deseado!



Objeto: tick.cmd

detección: BAT/Bumper.SS

Acción: Mover a cuarentena

y

Objeto: setv.cmd

detección: BAT/ModifySettin.SE

Acción: Mover a cuarentena



Como observaréis, la opción de mover a cuarentena ya está activada...



En el [b]Visor de sucesos-Aplicaciones[/b] tengo tropecientos eventos que dicen que Antivir detectó en el fichero: [b]C.\Windows\temp\366A.tmp\tick.cmd [/b]código sospechoso denominado [b]BAT/Bumper.SS[/b] (y en otros:...[b]\setv.cmd\ BAT/ModifySettin.SE[/b]



No encuentro nada en internet al respecto.



A ver si alguien sabe algo de este tema y me pueda ayudar.





Gracias

[msc hotline sat]

Los ficheros .CMD pueden contener ordenes de ejecucion de ficheros (como un .BAT) y son dichos ficheros los que interesa controlar, asi que con el bloc de notas abre uno de estos ficheros .CMD y con un copiar y pegar nos posteas su contenido



Si vemos los ficheros que lanza, es cuestion de añadir .VIR a su extension, para que no se puedan ejecutar, y enviarnoslos para analizar y controlar:



https://foros.zonavirus.com/viewtopic.php?f=5&t=14253



De todas formas, posteanos el contenido de dicho .CMD y te diremos los ficheros a los que debes añadir .VIR y enviarnos.



saludos



ms, 2-2-2012

[Trescatorce]

Gracias por contestar.

Ninguno de los dos .cmd me los deja "Editar" (acceso denegado). He mirado la pestaña "seguridad" de ambos y tanto SYSTEM como Usuario/YO tenemos los mismos permisos... es más, soy propietario.



Si doy a "Abrir" me dice que[i] "Windows no tiene acceso al dispositivo, ruta de acceso o archivo. Puede que no tenga los permisos apropiados..."[/i]



Si doy a "Ejecutar como Administrador" se abre una ventana CMD y se cierra rápidamente...



Te informaré de que he ejecutado EliStarA en modo seguro y no ha detectado nada ahí... aunque si en el archivo "hosts" (me lo restauró al original) y "userinit".



He pasado Malwarebytes y tampoco.



Si se te ocurre alguna maldad para abrirlos....

[Trescatorce]

¡Caramba! no me dejaba abrirlos y si me deja copiar la carpeta al Escritorio y allí los abrí sin problemas...

Los adjunto.

[msc hotline sat]

Pues vemos que utiliza estos ficheros:





wslmt.dll

slmgr.vbs

slwga.dll

sppwmi.dll

systemcpl.dll

wac64.dll

wac32.dll

slui.exe

sppcommdlg.dll

sppuinotify.dll

wla64.dll

wla32.dll

winlogon.exe

wlms.exe





Con un Inicio -> Buscar, mirar de encontrarlos y enviarnoslos para analizar



Para ello, recordar: https://foros.zonavirus.com/viewtopic.php?f=5&t=14253



saludos



ms, 2-2-2012

[Trescatorce]

Gracias.

Me pondré a ello con paciencia franciscana.



Hago notar que mientras me contestabas... me dediqué a borrar las carpetas de Windows\Temp (que son todas -aunque con nombres diferentes- de extensión tmp, y contiene cada una sus correspondientes "setv.cmd y tick.cmd" con exactamente el mismo contenido) y me dediqué a observar cuándo sucedía la aparición de la primera carpeta. No tardó en aparecer, y también la ventana del antivirus.



Harto de ello, puse una Excepción en el "Realtime protection" del antivirus para que [u]no analizara la carpeta Windows\Temp[/u] y quitarme el peñazo del antivirus...



Mano de santo, hace 3/4 de hora que no aparece nada en Windows\temp. [i]No-me-lo-puedo-de- creer[/i].



¿Qué tendrá que ver no analizar una carpeta con que no se formen las malditas subcarpetas contenedoras de supuestos virus?



...Hummm... me suena a efecto cuántico.

[msc hotline sat]

Hay virus que se activan cuando se debuguea sus ficheros, el Sirefef es uno de ellos, y este otro podría ser mas de lo mismo



por supuesto que lo que has hecho no lo ha eliminado, solo lo ha ocultado, pero has hecho bien en indicarlo.



Con los ficheros que nos envies, veremos si hay alguno malicioso e informaremos.



saludos



ms, 3-2-2012

[Trescatorce]

He recopilado los ficheros que he encontrado. Algunos no aparecen. El slui.exe aparece en 3 ubicaciones y los adjunto.



Curiosamente, el Buscador de Windows me encuentra algunos de los que adjunto y también me muestra un tick.cmd y un setv.cmd, es decir, que aparecen los 3, aunque en unos segundos desaparecen los .cmd.



Periódicamente miro la carpeta Windows/temp y está vacia.



Los ficheros que el buscador no encuentra:



wslmt.dll

slwga.dll

sppwmi.dll

systemcpl.dll

wac64.dll

wac32.dll

wla64.dll

wla32.dll

winlogon.exe

wlms.exe

[msc hotline sat]

Pues sin que ninguno de ellos sea reconocido como tal, si que en el CMD TICK el AVIRA detecta un BUMPER.SS:



Nombre: tick.cmd

Tipo: unknown

Detecciones: 1 / 43

Fecha de análisis: 2012-02-02 19:52:47 UTC ( hace 18 horas, 42 minutos )



00Antivirus Resultado Actualización

AhnLab-V3 - 20120202

AntiVir BAT/Bumper.SS



posiblemente sin ser viricos los ficheros que usa, el proceso seguido puede ser malicioso.





No tenemos informacion de ello, pero suguiero elimines todos los ticks.cmd que tengas.



Y para otra ver, recuerda que las muestras deben enviarse siguiendo estas indicaciones:



https://foros.zonavirus.com/viewtopic.php?f=5&t=14253



saludos



ms, 3-2-2012

[Trescatorce]

Pido disculpas por no haberme fijado en el modo de subir las muestras. Tomo nota



No hace falta que elimine los .cmd, se quitan solos.

Gracias nuevamente.



Un saludo

[msc hotline sat]

De acuierdo, pues dando el Tema por solucionado, procedemos a cerrarlo



Si nos necesita de nuevo, ya sabe donde estamos



saludos



ms, 3-2-2012