No me deja activar ocultos

enriquejrg · Mensaje por **enriquejrg** » 14 May 2007, 03:42

Hola, acabo de eliminar un virus, pero parece ser que ha dejado alguna secuela. El caso es que me meto en:

[i]Opciones de carpeta -> Ver -> Mostrar todos los archivos y carpetas ocultos[/i]

Le doy a Aplicar, y luego a Aceptar para cerrar la ventana. Observo la carpeta, y no se ve ningún archivo oculto (es la carpeta Windows, así que FIJO que existen :S). En resumen, por mucho que lo intento, no se aplican los cambios (si cambio otra cosa, sí me deja, pero no lo de los ocultos...).

¿Sabéis cómo puedo solucionar esto?

Mensaje por **msc hotline sat** » 14 May 2007, 06:13

En primer lugar, este no es un problema virico, y no debiera ser posteado en este apartado ...

Se mueve en consecuencia al apartado de problemas de software

Aparte de ello, los ficheros tienen atributos que pueden cambiarse, si estan ocultos el atributo es H (Hidden), pero igual que se pone, se quita, y no tiene porque haber ningun fichero oculto por real decreto, los que pudieran haber pueden haberse cambiado de atributo.

Y recordamos que los de Sistema (S) tampoco son visibles, y aunque no tuvieran el atributo H, seguirías sin verlos, pero esto es normal. Para verlos has de desmarcar la casilla de Ocultar los ficheros de Sistema.

Mira lo indicado en :

https://foros.zonavirus.com/viewtopic.php?f=5&t=13245

saludos

ms, 14-05-2007

darkmike · Mensaje por **darkmike** » 15 May 2007, 23:31

Hola ke tal enriquejrg.. komento lo siguiente.

A mi me ha pasado lo mismo ya tiene unos dias, pero en mi kaso si era unvirus, kon ese virus ke tenia aunke deshabilitaras la kasilla de verifikacion ke komenta msc hotline sat, kuando precionaba el boton aktualizar o kambiaba de karpeta se volvia a habilitar la kasilla...

Te rekomiendo ke aktualces tu antivirus y lo korras en modo seguro o a prueba de errores..(dependiendo tu SO)...

me perkataba ke kuando deshabilitba dicha kasilla podia ver varios archivos kon el nombre de "AUTORUN" .in, .txt, .ico, .vbs, .bat y me infektaba kada unidad extraible ke insertaba en mi ekipo pero eso lo solucione kon el antivirus, cheke mi registro y otras kosas y los borre todos, del registro... pero te rekomiendo de nuevo ke eskanees tu PC kon un antivirus aktualizado y esperemos no sea tu kaso... gracias:D

Mensaje por **msc hotline sat** » 17 May 2007, 08:54

Por lo que dices era un virus de los que se propagan por pendrive, no sabrias cual era ?

Si usas pendrive, lo limpiaste de alli ?, porque sino puede que todavia lo tengas alli, si no lo limpiaste de los pendrive dinoslo y veremos si aun lo tienes para controlarlo y quizas con ello solucionar el problema de este Tema

saludos

ms, 17-05.2007

darkmike · Mensaje por **darkmike** » 17 May 2007, 22:51

Hi komento ke el virus si se borro de mi makina, lo digo auke realmente no lo elimine kon mi antivirus por ke no esta aktualizado y no tengo internet para deskargar las aktualizaciones del mcafee, entonses lo ke hice fua entrar en modo seguro, chekar el registro y en las klaves:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

HKEY_USERS\S-1-5-21-2052111302-162531612-839522115-1003\Software\Microsoft\Windows\CurrentVersion\Run

cheke todas las ke habian y todas las ke no koincidian kon los programas ke tengo intalados en mi ekipo cheke las rutas y me fui direktamente a los archivos para borrarlos...

ademas de ke en C:\ estaban los archivos tambien se guardaba un par en C:\windows\system32\(nombres.vir) donde al momento de ejekutarse el virus d nuevo volvia a restablecer los archivos de raiz sii es ke ya no estuvieran.

Komento ke esta desinfektada por ke ahora si puedo habilitar la kasilla de verifikacion antes mencionada y aparte por ke me kambiaba en el menu kontextual kuando percionas klik derecho a la unidad aparece un nuevo submenu arriba de "~~[b]~~Abrir[/b]" kon karakteres raro asi komo letras chinas, entonses al darle dobleklik a la unidad lo ke hacias es ejekutar el virus por ke era la primera opcion del menu kontectual (kuando presionas klik derecho sobre la unidad ke kieres abrir).

Ahora ya no aparece mas eso y elimine el virus de mi HD extraible y de una flash memory...

De hecho tengo una kopia del todos los archivos del virus en ZIP si los kieres chekar msc hotline sat kiza sea el mismo virus o una variante...

Ok, espero haber ayudado..

Saludos.

Mensaje por **msc hotline sat** » 18 May 2007, 07:37

Pues sí, de eso se trata, envianos este fichero ZIP para ver si ya lo controlamos y sino proceder con ello, y poder solucionar este Tema y los que se presentaran al respecto.

Ya sabes:

->~~[b]~~ Para ello recordar[/b]: https://foros.zonavirus.com/viewtopic.php?f=2&t=45334

saludos

ms, 18-05-2007

darkmike · Mensaje por **darkmike** » 18 May 2007, 18:09

Listo ya se enviaron los archivos...

veremos ke pasa.

Saludos.

Mensaje por **msc hotline sat** » 18 May 2007, 18:26

Gracias, pero es viernes tarde y ya estoy en casa. Se examinará el lunes, cuando volvamos a SATINFO.

saludos

ms, 18-05-2007

enriquejrg · Mensaje por **enriquejrg** » 31 May 2007, 23:08

Hola, el virus, como ya dije, lo eliminé del sistema. Lo único que quedaban eran secuelas. Cambios en el registro que provocaban ese efecto. Es decir, es un cambio que hay que restaurar manualmente.

La verdad es que es algo complicado de explicar. Busqué información acerca de esta y otra secuela que detecté, y bueno, para el caso de este tema es algo complicado porque hay que meterse en el registro y trastear con él hasta dar con el error.

Es una cadena que contiene un valor 'Hidden' o algo por el estilo, ahora mismo no recuerdo el nombre y la cadena exacta. Y consistía en cambiar el valor a 0 o 1 (estaba con un 2), uno de los dos solucionaba el problema.

Saludos.

Mensaje por **msc hotline sat** » 01 Jun 2007, 07:24

No recuerdo haber recibido estas muestras, mira de repetir el envio segun indicamos en:

->~~[b]~~ Para ello recordar[/b]: https://foros.zonavirus.com/viewtopic.php?f=2&t=45334

y sobre lo indicado de las claves, ningun problema en implementarlo en nuestras utilidades, por ejemplo en el ELIRESTR.VBS que es donde implementamos las eliminaciuones de las restricciones.

saludos

ms, 1-06-2007

darkmike · Mensaje por **darkmike** » 02 Jun 2007, 02:29

Listo akabo de enviar de nuevo el archivo...

el zip kontiene 10 archivos.

Saludos

Mensaje por **msc hotline sat** » 02 Jun 2007, 09:04

Gracias "darkmike"

El martes las analizaremos (El lunes es fiesta en Barcelona) e implementaremos su control, eliminacion y restauracion de claves que modifiquen, en las proximas versiones de nuestras utilidades, a ver si con ello puede restaurar las claves modificadas, el autor de este Tema, "enriquejrg"

saludos

ms, 2-06-2007

darkmike · Mensaje por **darkmike** » 06 Jun 2007, 02:01

Hi se encontraron algo en los archivos MSC ?

Saludos

Mensaje por **msc hotline sat** » 06 Jun 2007, 07:05

Lo que se revisó ayer se implementó en el ELISTARA:

ELISTARA

---v14.12-( 5 de Junio del 2007) (Muestras de (5)Puper-Ies, (2)Vundo6(notify), Vundo7, DownLoader.ConHook "*****.DLL", NaviPromo(dropper), (15)MalWare.Celular, Flush(dldr) "KD***.EXE", DownLoader-Small "KERNELS32.EXE", DownLoader.Alphabet "SMANAGER.7.EXE", DownLoader.Agent.TD "IEQC.EXE", Downloader.VB.VCS "22.GIF", BanLoad.BEJ "BIOS.EXE", Malware.RPCC "RPCC.DLL" y Malware.NEBYZKDM)

No sé si la tuyas estaban entre ellas, solo sé que había mas de 50 mails del "celular" con sus mas de 150 ficheros y que se convirtieron en 15 nuevas variantes del mismo, lo cual nos tuvo muy ocupados todo el día, y hoy seguiremos...

De todas formas que enriquejrg lo pruebe y nos comente el resultado:

[quote]ELISTARA:

http://www.zonavirus.com/descargas/elistara.asp

Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso[/quote]

saludos

ms, 6-06-2007

Mensaje por **msc hotline sat** » 06 Jun 2007, 11:39

Sobre las muestras enviadas, se detecta PWS-legmir, con el ELISTARA actual, tanto en el AUTORUN.EXE como en el AUTORUN.BAT

comprobadlo

saludos

ms, 6-06-2007