IPB

Welcome Guest ( Log In | Register )

2 Pages V   1 2 >  
Reply to this topicStart new topic
> rvzr
lorito
post 15.11.2013 21:11
Post #1


Newbie
*

Group: Members
Posts: 9
Joined: 15.11.2013




Desde hace unos días se me ha infectado el PC con este virus: rvzr-a.akamahid el cual no me ha detectado nada kaspersky, como puedo eliminarlo?. Gracias
Go to the top of the page
 
+Quote Post
harlan4096
post 15.11.2013 21:15
Post #2


True legend
***************

Group: Moderators
Posts: 12259
Joined: 22.11.2005
From: Almería (Andalucía, Spain)




Bienvenido al foro, lee las normas para postear:

http://forum.kaspersky.com/index.php?showtopic=84034

Debes darnos más información para poderte ayudar, como sistema operativo, service packs instalados, versión exacta de producto K. instalado, siguiendo las normas genera GSI (getsysteminfo versión 4) y AVZ sysinfo log. En el caso del AVZ deberás se generará un informe en un archivo comprimido que deberá enviarnos aquí al foro anexo en un mensaje. En el caso del GSI, se generará automáticamente en tu navegador Web una Web con el informe, deberás envíanos el enlace (dirección URL) de la Web.

- Si tienes dudas de cómo generar el GSI puedes consultar este enlace (deber envíanos en tu mensaje del foro el enlace-dirección URL de la Web que se genera con el informe):

Baja el GetSystemInfo de aquí: http://www.getsysteminfo.com/download/GetSystemInfo.zip

Cómo generar el informe: http://support.kaspersky.com/sp/faq/?qid=208281645

- Si tienes dudas de cómo generar el AVZ sysinfo log puedes consultar este enlace, (debes enviarnos anexo en tu mensaje del foro el archivo comprimido con el informe), una ver finalizado, pulsa el botón [Ver] y allí podrás obtener el archivo comprimido con el informe:

AVZ Independiente: http://forum.kaspersky.com/index.php?s=&am...st&p=974448

Saludos.


--------------------
Go to the top of the page
 
+Quote Post
lorito
post 16.11.2013 00:02
Post #3


Newbie
*

Group: Members
Posts: 9
Joined: 15.11.2013




Adjunto los datos:

Windows XP
Service Pack 3
Karspesky anti-virus 2013

y los dos archivos comprimidos generados de GSI y AVZ.

Saludos
Attached File(s)
Attached File  virusinfo_syscure.zip ( 39,54K ) Number of downloads: 3
Attached File  GetSystemInfo_ACER_A4FFC67733_GSCOMERCIAL_2013_11_15_19_31_49.zip ( 237,72K ) Number of downloads: 3
 
Go to the top of the page
 
+Quote Post
harlan4096
post 16.11.2013 10:24
Post #4


True legend
***************

Group: Moderators
Posts: 12259
Joined: 22.11.2005
From: Almería (Andalucía, Spain)




Bien veamos, creo que más que un virus es un PUP (Programa Potencialmente No Deseado) que están ahora tanto de moda, dentro de este tipo están los "legal adware" o "legal junk" que dependiendo de las casas de antivirus, son añadidos a sus bases o no, pues se considera que es el usuario por su acción/inacción instalando otro tipo de software el responsable de que dicho tipo de programas entre en sus sistemas. Seguramente en tu caso, se te ha debido colar al instalar algún tipo de programa gratuito, y en el proceso de instalación se debería haber desactivado algunas casillas o declinado la instalación de este tipo de software que es sugerido previa la instalación del programa que realmente queremos instalar.

Una vez comentado esto, pasos a seguir:

1.- En tu KAV2013, en Configuración -> Configuración Avanzada -> Amenezas y Exclusiones, activar la casilla para detectar Otro Software.

2.- Prueba a desinstalar desde el Panel de Control el programa Software Version Updater.

3.- El programa Otto aparece como instalado ¿lo has instalado tú?. ¿Lo conoces?

4.- Borrar tarchivos temporales de la siguientes carpetas, donde aparecen restos de otro famoso PUP (Wajam):
QUOTE
C:\DOCUME~1\GSCOME~1\LOCALS~1\Temp\ [2]
=> Nombre del archivo C:\Documents and Settings\GSCOMERCIAL\Local Settings\Temp\wajam_download.exe -
=> Nombre del archivo C:\Documents and Settings\GSCOMERCIAL\Local Settings\Temp\wajam_install.exe - Wajam

C:\DOCUME~1\GSCOME~1\LOCALS~1\Temp\C41253C8-BAB0-7891-906B-3A682CF8B457\Latest [1]
=> Nombre del archivo C:\Documents and Settings\GSCOMERCIAL\Local Settings\Temp\C41253C8-BAB0-7891-906B-3A682CF8B457\Latest\MyBabylonTB.exe - delta

5.- Instala el MalwareBytes en modo Free (al final de la instalación, desactivar la primera casilla de las 3 que aparecen), actualiza, realiza un Análisis Rápido de tu sistema y sube el registro aquí al foro anexo el archivo de texto con el registro de los objetos encontrados antes de desinfectar nada.

6.- Para terminar usaremos el AdwCleaner, para limpiar posibles restos incrustados en los navegadores así como en el registro de Windows y carpetas. Primero dile Escanear, una vez terminado, podrás examinar debajo en las diferentes pestañas los restos encontrados, y luego Suprimir.

Saludos.

This post has been edited by harlan4096: 16.11.2013 11:19


--------------------
Go to the top of the page
 
+Quote Post
lorito
post 16.11.2013 21:58
Post #5


Newbie
*

Group: Members
Posts: 9
Joined: 15.11.2013




Buenas tardes.

El programa "OTTO" no tengo ni idea para que sirve, yo (al menos conscientemente) no lo he instalado, que hago? lo desinstalo?.

Adjunto el registro realizado "Malwarebytes".

Con lo que me digas elimino los archivos (me han salido 35 detectados) o me estoy quieto, posteriormente pasaré el "ADWARE".

Saludos.
Attached File(s)
Attached File  MBAM_log_2013_11_16__18_50_37_.txt ( 10,81K ) Number of downloads: 4
 
Go to the top of the page
 
+Quote Post
lorito
post 16.11.2013 21:59
Post #6


Newbie
*

Group: Members
Posts: 9
Joined: 15.11.2013




(lorito @ 16.11.2013 21:58) *
Buenas tardes.

El programa "OTTO" no tengo ni idea para que sirve, yo (al menos conscientemente) no lo he instalado, que hago? lo desinstalo?.

Adjunto el registro realizado "Malwarebytes".

Con lo que me digas elimino los archivos (me han salido 35 detectados) o me estoy quieto, posteriormente pasaré el "ADWARE".

Saludos.


Perdón, el "AwdCleaner".
Go to the top of the page
 
+Quote Post
harlan4096
post 18.11.2013 10:42
Post #7


True legend
***************

Group: Moderators
Posts: 12259
Joined: 22.11.2005
From: Almería (Andalucía, Spain)




Pues desinstala el programa Otto, por lo que veo en el registro del MWB tienes restos de varios PUP y algún que otro instalador: DeltaTool, Iminent, Babylon, OPenCandy, ...

Vuelva a hacer un análisis rápido del MWB marcando todas las entradas en rojo y eliminándolas posteriormente.

A continuación ejecuta el AdwCleaner a ver si te encuentra algún otro resto y también lo suprimes.

Saludos.


--------------------
Go to the top of the page
 
+Quote Post
Caos
post 18.11.2013 11:55
Post #8


Spanish Forum Moderator
***************

Group: Moderators
Posts: 16901
Joined: 25.09.2007
From: España (Spain)




Muevo la consulta al foro de virus.

Saludos


--------------------
Go to the top of the page
 
+Quote Post
lorito
post 19.11.2013 11:26
Post #9


Newbie
*

Group: Members
Posts: 9
Joined: 15.11.2013




Buenos días, he realizado todos los pasos, pero me siguen saliendo las ventanas de "rvzr-a.akamahidnet..." cuando abro un navegador o una neuva página... Que es lo siguiente que puedo hacer?

Gracias!!
Go to the top of the page
 
+Quote Post
harlan4096
post 19.11.2013 11:29
Post #10


True legend
***************

Group: Moderators
Posts: 12259
Joined: 22.11.2005
From: Almería (Andalucía, Spain)




¿En todos los navegadores?.

Bien, si has hecho y eliminado todo lo anterior, entonces es que seguramente los accesos directos de los navegadores también están "contaminados", prueba una cosa:

Ve directamente a la carpeta de instalación del FireFox, IE o del Chrome y llámalo desde el programa .exe a ver qué pasa ...

Si de esta forma los navegadores se abren bien, sin la ventana del adware ... es que los accesos directos hay que modificarlos, pulsando el botón derecho del ratón sobre el acceso directo -> Propiedades -> pestaña Acceso Directo -> campo Destino, por ejemplo para FireFox debe poner:
QUOTE
"C:\Program Files (x86)\Mozilla Firefox\firefox.exe"

Si además de eso, a la derecha tiene algún código más, directamente bórralo.

Saludos.

This post has been edited by harlan4096: 19.11.2013 11:36


--------------------
Go to the top of the page
 
+Quote Post
Caos
post 19.11.2013 11:38
Post #11


Spanish Forum Moderator
***************

Group: Moderators
Posts: 16901
Joined: 25.09.2007
From: España (Spain)




Hola,

Como te indica harlan4096, en el icono (acceso directo) desde donde llamas normalmente a tu navegador IE, Firefox, Chrome, .. pulsa botón derecho del ratón -> Propiedades, revisa si en el campo llamado Destino, además de esto (en el caso de IE, para el resto es lo mismo pero con su ruta correspondiente):
QUOTE
"C:\Program Files\Internet Explorer\iexplore.exe"
o si tiene algún añadido en el caso de que tenga "algo" mas, elimina ese añadido, y acepta.

Sino hay ningún añadido en los accesos directos a tus navegadores, vuelve a generar un nuevo gsi y avz log.

Saludos


--------------------
Go to the top of the page
 
+Quote Post
lorito
post 19.11.2013 11:40
Post #12


Newbie
*

Group: Members
Posts: 9
Joined: 15.11.2013




Disculpa, estoy en la carpeta de instalación pero no se a que te refieres con que lo llame desde el programa .exe
Go to the top of the page
 
+Quote Post
harlan4096
post 19.11.2013 11:57
Post #13


True legend
***************

Group: Moderators
Posts: 12259
Joined: 22.11.2005
From: Almería (Andalucía, Spain)




Pues C:\Archivos de programas\Mozilla\ -> firefox.exe

Saludos.


--------------------
Go to the top of the page
 
+Quote Post
harlan4096
post 19.11.2013 12:44
Post #14


True legend
***************

Group: Moderators
Posts: 12259
Joined: 22.11.2005
From: Almería (Andalucía, Spain)




Además de lo anterior, baja esta tool Shortcut Cleaner: http://www.bleepingcomputer.com/download/s...cleaner/dl/172/

Y ejecútala en modo Admin (botón derecho de ratón sobre el programa -> Ejecutar como Administrador).

Saludos.


--------------------
Go to the top of the page
 
+Quote Post
lorito
post 19.11.2013 13:20
Post #15


Newbie
*

Group: Members
Posts: 9
Joined: 15.11.2013




Buenas, he revisado el destino del navegador que utilizo habitualmente (Chrome), esta acaba en "chrome.exe".
Las ventanas salen de manera aleatoria, a veces cuando arrancas el navegador y otras cuando abres una página nueva.
Adjunto los archivos que me comentáis realizados de nuevo.

Saludos
Attached File(s)
Attached File  GetSystemInfo_ACER_A4FFC67733_GSCOMERCIAL_2013_11_19_09_15_22.zip ( 217,78K ) Number of downloads: 1
Attached File  virusinfo_syscure.zip ( 38,36K ) Number of downloads: 1
Attached File  sc_cleaner.txt ( 1,77K ) Number of downloads: 1
 
Go to the top of the page
 
+Quote Post
harlan4096
post 19.11.2013 14:07
Post #16


True legend
***************

Group: Moderators
Posts: 12259
Joined: 22.11.2005
From: Almería (Andalucía, Spain)




Desinstala J2SE Runtime Environment 5.0 Update 6, es una versión muy antigua.

Postea tu combofix log:

Descargalo de aqu: http://download.bleepingcomputer.com/sUBs/ComboFix.exe

Antes de guardar, por favor renombralo a algo parecido a 123.exe para parar al malware y que no pueda deshabilitarlo.

Ahora, por favor, asegúrate de que no se están ejecutando otros programas, cierra todas las ventanas y pausa Kaspersky (Elije la opción de "reanudar
manualmente" si todavía esta activo) hasta que termine con el escaneado y el proceso de eliminación.

Por favor, haga doble clic en el archivo descargado. Siga las indicaciones en pantalla para iniciar la exploración/escaneado.
Una vez que el proceso de exploración/escaneado ha comenzado por favor NO haga clic en la ventana del combofix o intente utilizar su equipo ya que esto
puede causar problemas en el equipo. La exploración/escaneado puede tomar bastante tiempo para completarse, esto es normal.

Su equipo se desconectara de Internet y los iconos del escritorio/barras de herramientas desaparecerán durante la exploración, no se preocupe, esto es
normal y apareceran en cuanto la exploración haya terminado.

Combofix creará un archivo de registro (log) y lo mostrara después de que su equipo se haya reiniciado. Por lo general, estará situado en
c:\combofix.txt, por favor, adjuntalo en tu siguiente post.

Saludos.


--------------------
Go to the top of the page
 
+Quote Post
lorito
post 19.11.2013 20:33
Post #17


Newbie
*

Group: Members
Posts: 9
Joined: 15.11.2013




Adjunto el LOG generado con "combofix"

Saludos
Attached File(s)
Attached File  ComboFix.txt ( 11,12K ) Number of downloads: 4
 
Go to the top of the page
 
+Quote Post
harlan4096
post 19.11.2013 20:58
Post #18


True legend
***************

Group: Moderators
Posts: 12259
Joined: 22.11.2005
From: Almería (Andalucía, Spain)




Bien, parece que el CF ha eliminado el BetterSurf, que según veo suele generar popups de publicidad.

De cualquier forma, en este nuevo link, sigue los pasos 2 y 3 (está en inglés), donde se indica cómo hacer un reset de las settings de los navegadores para eliminar restos del programa:

http://malwaretips.com/blogs/bettersurf-virus-removal/

Además asegúrate de que si existe la carpeta C:\Archivos de programa\Better Surf, la comprimes con WinRar y con contraseña "infected" (sin las comillas) la carpeta C:\qoobox\quarantine y sube el fichero a un servidor de ficheros gratuito como Mega, MediaFire, etc... y envíame el enlace de descarga por mensaje privado del foro.

También comprime con WinRar y con contraseña "infected" (sin las comillas) la carpeta C:\qoobox\quarantine y sube el fichero a un servidor de ficheros gratuito como Mega, MediaFire, etc... y envíame el enlace de descarga por mensaje privado del foro.

Saludos.

This post has been edited by harlan4096: 19.11.2013 21:12


--------------------
Go to the top of the page
 
+Quote Post
lorito
post 19.11.2013 21:29
Post #19


Newbie
*

Group: Members
Posts: 9
Joined: 15.11.2013




Buenas, el link no figura...
Go to the top of the page
 
+Quote Post
harlan4096
post 19.11.2013 21:33
Post #20


True legend
***************

Group: Moderators
Posts: 12259
Joined: 22.11.2005
From: Almería (Andalucía, Spain)




Perdón, ya lo actualicé hace un rato, se me había olvidado pegarlo wink.gif

Saludos.


--------------------
Go to the top of the page
 
+Quote Post

2 Pages V   1 2 >
Reply to this topicStart new topic

 



Lo-Fi Version Time is now: 20.09.2014 22:00