Fichero sospechoso "trz6.tmp" bloqueado por Avast

[FrAn_BeTa]

Hola,

tengo un problema hace ya varios meses, he estado navegando y navegando por internet y no he encontrado nada en español que me indique cual es la solución al problema que tengo y he visto este foro y me ha parecido que por aquí la gente tiene muchos conocimientos sobre virus y que solucionáis todos o casi todos los problemas, además también he visto que el administrador se toma muchas molestias en responder a todos y en solucionar los problemas, de antemano, gracias por eso :D.



Comienzo diciendo que el este mensaje me viene saliendo desde hace un par de meses, un día me pasó que yo tenía un programa portable, es el Matlab, bueno, es un programa que usamos en la universidad para hacer cálculos matemáticos, simulaciones, etc.; pues el caso que de la noche a la mañana cuando fui a abrir dicho programa me encuentro que se había convertido en un archivo .tmp cuyo nombre comenzaba por "trz", cuando intentaba abrirlo, el antivirus que tengo (Avast) me salía con este mensaje como el que voy a poner más adelante. Este programa lo tenía guardado en un pen drive, viendo que no me dejaba usar el portable que tenía en el PC, decidí probar con el del pen drive, pero cuando lo enchufé y me dirigí a la carpeta que contenía dicho programa y lo intenté ejecutar, inmediatamente se convirtió en un archivo como el otro, extensión .tmp y nombre de archivo trz+numero, pero ahora era otro número diferente... pues también perdí este archivo y no me dejó usarlo mas... Viendo que esto podía ser un virus que me dejaba inutilizados los programas, hice un escaneo completo en el arranque con Avast, pasé Ccleaner, Glary Utilities y Advanced System Optimizer, pero nada... seguía con el problema, así que... como no encontré este foro, ni solución alguna, pues a la solución mas común, formateé.



Hasta la semana pasada todo había ido bien, me conseguí otra vez el programa ese portable, porque el archivo del pen drive había quedado inutilizado y todo perfecto, pero como digo, la semana pasada me volvió ha salir el mensaje de Avast y llevo toda la semana buscando, pero no encuentro nada sobre este tipo de problema, parece ser que a nadie le ha ocurrido, pues bueno, hace cosa de 15mins me ha vuelto ha ocurrir, aquí subo la imagen (perdón si no es de la resolución adecuada o algo así... pero no he subido antes imágenes...) para que me digáis que debo hacer para intentar solucionar el problema o si es que no tiene solucion... :(



Este es el mensaje que me lanza Avast [img]http://imageshack.us/a/img707/7530/ficherosospechoso.png[/img]



Ante todo muchísimas grácias de antemano por las molestias ocasionadas y el interés prestado en leerme y comentarme.



Un saludo.

FrAn SS

[msc hotline sat]

Pues dos cosas, una que nos envies este fichero para poder analizarlo y saber lo que es, posiblemente malware, claro, y asi controlarlo y programar su eliminacion en siguiente version del ELISTARA



Y segunda, este fichero lo detecta en la carpeta del RESTORE del SYSTEM VOLUME INFORMATION, lo cual es una copia de seguridad que crea windows para poder restaurar sistema a un punto anterior, pero que si no se lanza dicha restauraicon, los ficheros alli contenidos están aparcados sin poder ser ejecutados.



De todas formas, para poder acceder a dicha carpeta y poder copiarlo y/o eliminarlo definitivamente, se ha de desactivar la RESTAURACION DE SISTEMA, y asi poder llegar al fichero en cuestion.



NO OLVIDAR LUEGO VOLVER A ACTIVAR DICHA RESTAURACION DE SISTEMA, para que siga haciendo puntos de restauraicon.



saludos



ms, 22-5-2013

[FrAn_BeTa]

Buenas, y, gracias por responder. :D



A ver... parece que va a ser mas complicado de lo que parecía, me explico.



He seguido tus indicaciones y he desactivado la restauración, para poder acceder a la carpeta en la que el antivirus me detectaba el archivo infectado, porque probé sin desactivarla y efectivamente me salía un mensaje de error diciendo: "acceso denegado". Cuando he vuelto a entrar en la carpeta "SYSTEM VOLUME INFORMATION" no estaba la carpeta "_restore{625C1153-1A22-43C4-B091-21FC98579BD4}" y por lo tanto tampoco he podido entrar al directorio "RP33" que es donde se encontraban los supuestos archivos "trz..." con extension .tmp



Aquí he adjuntado la imagen del informe con los últimos archivos detectados por el antivirus:



[url=http://imageshack.us/a/img547/9048/informedeamenazas.png/][img]http://imageshack.us/a/img547/9048/informedeamenazas.th.png[/img][/url]



Ahora voy a adjuntar una captura de pantalla porque esta tarde sobre las 7 y media me ha vuelto a pasar, en la captura se puede ver el mensaje del antivirus y también he marcado en ella el programa que comenté en el anterior mensaje, el cuál, para mi sorpresa se ha convertido otra vez en el dichoso archivo temporal, como me pasó antes de formatear, justo ahora que estoy liado con trabajos y exámenes de la uni...! pero bueno esto es así, que le vamos a hacer... Por eso, estoy un poco frustrado :? por que no se que hacer para que no me pase esto... ya que me ha vuelto a pasar después de que ya formatee por este mismo problema y creo que la causa también debe ser que el dichoso virus está en alguno de mis archivos que guardo en las copias de seguridad, o nose... algún programa que uso:



[url=http://imageshack.us/a/img845/7629/pantallazofye.png/][img]http://imageshack.us/a/img845/7629/pantallazofye.th.png[/img][/url]



Otra cosa, hace un momento he reiniciado el PC y justo después de darle click en reiniciar y mientras se cerraban los programas me ha salido el siguiente mensaje, que no se si tendrá algo que ver... :roll: pero lo pongo por si ayuda en algo a la detección de mi problema:



[url=http://imageshack.us/a/img593/2386/errordeaplicacin.png/][img]http://imageshack.us/a/img593/2386/errordeaplicacin.th.png[/img][/url]





Espero entusiasmado su respuesta. :P



Salu2!!

[msc hotline sat]

Posiblemente dicho fichero no lo puedas ver desde windows, asi que con la restauracion de sistema desactivada, lanza el antivirus que asi podrá eliminarlo.



Y asi eliminarás el dichoso fichero, aunque no nos lo puedas enviar, pero si ya el AV lo detecta virico, confiemos en él.



saludos



ms, 23-5-2013

[FrAn_BeTa]

Hola,

gracias, pues ahora mismo no tengo mi PC a mano porque no estoy en casa, pero para el domingo por la noche o el lunes probraré haciendo un análisis, pero no creo que funcione... ya hice un par de análisis durante el inicio de windows y no borrar los archivos infectados, pero probaré otra vez en cuanto llegue a casa :D



Un saludo.

[msc hotline sat]

Bien, pues hasta el lunes, ya nos contarás



Buen finde.-



saludos



ms, 24-5-2013

[FrAn_BeTa]

Muy buenas,

pues malas noticias, he tenido analizando el PC toda la hora de comer y nada, no ha eliminado nada, hoy no me ha aparecido el mensaje de aviso de avast, pero seguro que lo hará muy pronto.

A ver si me hechas una mano "msc hotline sat", que no se que hacer, ya comento si me vuelve a salir el mensaje, mientras hoy voy a seguir trabajando con él, a ver que pasa.

Gracias.



Salu2!!

[msc hotline sat]

Pues es lo que cabía hacer, y si asi reaparece la dichosa detección, con la restauracion de sistema desactivada, arranca en MODO SEGURO y lanza el antivirus en dicho modo.



Luego no te olvides de volver a activar la restauracion de sistema, ya que es necesaria aprovecharla en algunos casos.



saludos



ms, 28-5-2013

[FrAn_BeTa]

Hola,

OK, entendido, pues por ahora no me ha vuelto a salir el aviso. Mañana a ver si tengo tiempo (es que estoy liado con los estudios) y probaré lo que me dices, arrancaré en "modo a prueba de fallos" y realizaré un análisis con el antivirus, pero ya digo... con un análisis de esos de Avast que se realizan durante el arranque de windows no encontró nada... :(



También probaré a tener la restauración del sistema desactivada por un tiempo a ver que ocurre... Es que no me gustaría quedarme sin programas, como la otra vez y que se me conviertan en archivos temporales cuando al PC le venga en gana :) :)

Muchas gracias por tus consejos!



Un saludo.

[geoda]

Amigo no se si te sirve este articulo

http://www.precisesecurity.com/virus/win32evo-gen

[msc hotline sat]

Pues muchas gracias geoda, siempre es de agradecer tu ayuda, pero en este caso, al estar el fichero en el RESTORE de SYSTERM VOLUME INFORMATION, se trata de la copia de seguridad de la restauracion de sistema, y solo con desactivarla y lanzar el antivirus de nuevo, espero que se solucione.



De todas formas, por probar lo que dicen en el artículo, no se pierde nada ...



saludos



ms, 31-5-2013

[FrAn_BeTa]

Hola,

antes de nada, gracias geoda por tu aporte!! :D :D



Bueno, al toro, pues he estado probando todo lo que dice el artículo y he realizado las pruebas tanto con "escáner Microsoft Safety", como con "Malwarebytes Anti-Malware", lo he hecho todo con el MODO A PRUEBA DE FALLOS, pero nada, el "escáner Microsoft Safety" me detectó solo esto:



http://www.microsoft.com/security/portal/threat/encyclopedia/entry.aspx?name=HackTool%3aWin32%2fKeygen



pero creo que eso debe ser como un "keygen" que yo tenía por ahí, así que nada, no han encontrado ninguno de los dos nada del "Win32: Evo-gen".



Además, antes de todas estas pruebas desactivé la restauración del sistema, ahora mismo aún la tengo quitada, la verdad es que yo no suelo usarla, pero el caso es que ahora el antivirus ha dejado de lanzarme el aviso sobre el fichero de la carpeta SYSTEM VOLUME INFORMATION. Pero yo creo que el virus o lo que sea ese "Win32: Evo-gen" sigue alojado en algún sitio porque sigue regenerandose, ayer mismo, me volvió a pasar otra vez con el programa que ya comenté hace unos días, el que uso para la UNI, se me había vuelto a convertir en un archivo llamado "trzFB.tmp", cuando fuí a eliminar la carpeta que lo contenía me salió el siguiente mensaje:



[url=http://imageshack.us/a/img825/1430/ultimo2.png/][img]http://imageshack.us/a/img825/1430/ultimo2.th.png[/img][/url]



así que el antivirus no me dejaba eliminarlo y cuando estuve haciendo las pruebas en el MODO A PRUEBA DE FALLOS pues aproveché y los eliminé, además conseguí comprimir en un .ZIP uno de ellos, acabo de probar a enviároslo pinchando en el botón de ENVIO MUESTRAS, pero no me deja y me sale el siguiente error:



[url=http://imageshack.us/a/img442/9467/mensajealenviarelarchiv.png/][img]http://imageshack.us/a/img442/9467/mensajealenviarelarchiv.th.png[/img][/url]



no se a que se debe el fallo, pero supongo que puede ser porque el archivo ocupa mucho (852MB).



Bueno... pues eso, no se que más hacer :?: o probar para eliminar la infección :(



Un saludo y gracias a todos los que me leen y me dan ideas para solucionar el problema. :D

[msc hotline sat]

Recuerde lanzar el antivirus con el que lo detecta, arrancando en MODO SEGURO y con la restauracion de sistema desactivada.



Asi debe quedar eliminado, y salvo que lo vuelva a descargar, ya no debe incordiar mas.



saludos



ms, 3-5-2013