Tengo el KIS 8.0.0.454 (a.d.g.), actualizado a dia 18/10/2009, mi SO Windows XP Home Edition SP3.

- Los archivos ocultos (actualizaciones, archivos temporales, etc.), no los puedo ver, en el explorador de Windows, pero si los veo, cuando hago una busqueda de archivos. He visto en internet que puede ser a causa de un virus.
He escaneado repetidamente el ordenador y no ha encontrado nada, solo un par de vulnerabilidades, también lo he pasado por el Spybot - Search & Destroy, actualizado
- Por descontado ya he mirado en opciones de carpeta.
- Tambien he manipulado el registro (HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden...)
y nada
- Tambien he restaurado el sistema.
- Lo he pasdao por el CCleaner y nada.
Alguien tiene una idea de si es un virus, u otra cosa?

Bienvenido al foro, lee las normas para postear:

http://forum.kaspersky.com/index.php?showtopic=84034

Debes darnos más información para poderte ayudar, como sistema operativo, service packs instalados, versión exacta de producto K. instalado, siguiendo las normas genera GSI (getsysteminfo versión 4) y AVZ sysinfo log, en ambos casos se generará un archivo comprimido, que deberás enviarnos aquí al foro anexos en un mensaje, para su revisión.

Si tienes dudas de cómo generar el AVZ sysinfo log puedes consultar este enlace:

http://forum.kaspersky.com/index.php?showtopic=116981

Si tienes dudas de cómo generar el GSI puedes consultar este enlace, el punto 4:

http://forum.kaspersky.com/index.php?showt...mp;#entry756337

Asegúrate también de configurar Kaspersky con la opción Configuración -> Amenazas y Exclusiones -> Amenazas -> Configuración -> activas casilla: Otros programas.

Realiza en Modo Seguro de Windows un Análisis Completo del sistema con Kaspersky actualizado, modificando las opciones para que compruebe Todos los archivos, Análisis Heurístico Avanzado y Búsqueda de procesos Ocultos -> avanzado.


También mira en la ventana de Mi PC por ejemplo, Herramientas -> Opciones de carpetas -> Ver, que tienes desmarcadas las opciones para ocultar archivos protegidos del sistema, y extensiones de archivos, así como marcada la de Mostrar archivos, carpetas y unidades ocultos.

Saludos.

Click to view attachmentTengo el KIS 8.0.0.454 (a.d.), actualizado a dia 18/10/2009, mi SO Windows XP Home Edition SP3.

- Los archivos ocultos (actualizaciones, archivos temporales, Datos delprograma, etc.), no los puedo ver, en el explorador de Windows, pero si los veo, cuando hago una busqueda de archivos. He visto en internet que puede ser a causa de un virus.
He escaneado repetidamente el ordenador y no ha encontrado nada, solo un par de vulnerabilidades, también lo he pasado por el Spybot - Search & Destroy, actualizado
- Por descontado ya he mirado en opciones de carpeta.
- Tambien he manipulado el registro (HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden...)
y nada
- Tambien he restaurado el sistema.
- Lo he pasado por el CCleaner y nada.
Alguien tiene una idea de si es un virus, u otra cosa?

Software potencialmente incompatible con Kaspersky en tu sistema:



Desinstala/elimina estos programas, pasa un limpiador de registro a Windows como CCleaner y jv16 PowetTools Lite.

Se te recomienda actualizar driver de red: Realtek RTL8139/810x Family Fast Ethernet NIC

Tienes el fichero HOST modificado con entradas del SpyBot S&D, lo mejor es que sólo dejes la línea

127.0.0.1 localhost.

Para modificarlo/editarlo, sigue este enlace donde tienes información acerca del HOST: http://www.wilkinsonpc.com.co/free/articul...ts_editing.html

El archivo AVZ sysinfo log que has enviado está incompleto, debe ser un archivo comprimido con 2 archivos dentro, un hmtl y un xml, y sólo va el html.

Quedo a la espera de que lo generes correctamente.

Y te recomendaría también que instales la nueva KIS 2010 9.0.0.463, a la espera de la 9.0.0.735 en español (que vendrá pronto), previamente desinstalando la actual 2009 8.0.0.454, pasando como antes los mismos limpiadores de registro e instalando la nueva que te acabo de comentar.

Saludos.

Envio el archivo que falta, (sysinfo.zip) que también me ha costado encontrar, porque está en una carpeta oculta.

He estado todo el dia instalando, actualizando, escaneando, desinstalando, y no he adelantado nada.

El jv16 PowerTools 2009, lo he utilizado pero me parece algo complejol.(y en inglés).

Creo que todo empezó cuando puse la memory USB, y el exploradorde windows se colapsó varias veces. Si esto es cosa de un virus, por qué no lo detectó el antivirus. Lo actualizo cada dos dias.


Gracias

Hola,

Estas utilizando una versión 2009, te recomiendo que instales mejor la ultima versión 2010 v9.0.0.463 o la nueva release v9.0.0.735 CF2 (disponible de momento solo en la carpeta devbuilds/9.0.0.735_release de Kaspersky en inglés). Que saldrá oficialmente en breves.

Te recuerdo que como hemos comentado en bastantes ocasiones en el foro mientras tu licencia no haya caducado puedes actualizar gratuitamente a cualquier nueva versión de Kaspersky que salga de tu producto.

En cuanto tenga un hueco reviso tu avz log.

Saludos

Genera de nuevo el GSI.

En tu AVZ sysinfo hay un archivo: mailKmd.sys que es bastante sospechoso.

Saludos.

Fichero sospechoso:
mailKmd.sys

Restos de symantec:
C:\ARCHIV~1\ARCHIV~1\SYMANT~1\SymcData\IDS-DI~1\20060322.078\symidsco.sys

No entiendo: ¿?
http://av3m.telefonica.net/public/Antiviru...stall/setup.exe

Debes ejecutar la utilidad de desinstalación de symantec, para eliminar los restos que deja en el sistema.
Descarga: http://service1.symantec.com/SUPPORT/tsgen...v=&osv_lvl=

Recomendación: Limpia tu fichero host

Saludos

Ejecuta este script:



Ejecuta despues este otro script:



Busca el archivo llamado quarantine.zip en C:\ . Comprimelo con winrar y con contraseña "infected" (sin las comillas) y subelo a un servidor de ficheros, envíame el enlace de descarga por mensaje
privado, para su revisión.

Saludos

Despues de ejecutar el script, postea tu combofix log:
Descargalo de aquí

Antes de guardar, por favor renombralo a algo parecido a 123.exe para parar al malware y que no pueda deshabilitarlo.

Ahora, por favor, asegurate de que no se están ejecutando otros programas, cierra todas las ventanas y pausa Kaspersky (Elije la opción de "reanudar
manualmente" si todavía esta activo) hasta que termine con el escaneado y el proceso de eliminación.

Por favor, haga doble clic en el archivo descargado. Siga las indicaciones en pantalla para iniciar la exploración/escaneado.
Una vez que el proceso de exploración/escaneado ha comenzado por favor NO haga clic en la ventana del combofix o intente utilizar su equipo ya que esto
puede causar problemas en el equipo. La exploracion/escaneado puede tomar bastante tiempo para completarse, esto es normal.

Su equipo se desconectara de Internet y los iconos del escritorio/barras de herramientas desaparecerán durante la exploración, no se preocupe, esto es
normal y apareceran en cuanto la exploración haya terminado.

Combofix creará un archivo de registro (log) y lo mostrara después de que su equipo se haya reiniciado. Por lo general, estara situado en
c:\combofix.txt, por favor, adjuntalo en tu siguiente post.

Perdonad pero mis conocimientos de informática no me llegan para tanto.
Los archivos ocultos ya han aparecido. Supongo que con tanta limpieza al final deberian aparecer.

Esta mañana he visto el registro así:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\NOHIDDEN checkedvalue 2
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\NOHIDDEN DefaultValue 2
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL checkedvalue 3
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL DefaultValue 2

Por mi cuenta y riesgo lo he cambiado a:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\NOHIDDEN checkedvalue 1
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\NOHIDDEN DefaultValue 0
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL checkedvalue 0
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL DefaultValue 1

y "EureKa", allí estaban.
No sé si estaré infectado, o seré portador, pero voy a seguir actualizandome al KIS 2010.

Agradezco vuestra colaboración e interés y gracias.

Revisa lo que te he indicado, y envíame por mensaje privado el fichero sospechoso para su revisión, ejecuta la utilidad de Symantec para eliminar los restos de ese antivirus de tu equipo, etc....

No son necesarios unos grandes conocimientos de informatica, simplemente sigue los pasos que te indicamos, y si tienes alguna duda consultanos antes de proceder.

Saludos

Bueno, no sé si harán falta muchos conocimientos de informática para todo esto, pero horas un rato, creo que he conseguido terminar todas tus indicaciones, aquí te adjunto el archivo comboFix.txt

No sé si hemos acabado con el intruso, lo cierto es que no dá señales de vida.
Si me tienes que dar alguna indicación más aquí estaremos.

Mi licencia del KIS me vence en unos 50 dias, he pensado comprar en una tienda (así tendré el CD) el KIS 2010, e instalarlo.

Gracias por tu tiempo.

Como veas, pero ten en cuenta que en la caja tendras la versión anterior, no la ultima versión disponible.

En cuanto tenga un hueco reviso el fichero sospechos y tu combofix.

Saludos

Desinstala completamente el Spybot - Search & Destroy.

Escanea tu equipo con el programa Malwarebytes Antimalware: http://www.malwarebytes.org/,y postea su log en el foro, no elimines ni modifiques nada, hasta
que revisemos el log.

Escanea tu equipo con el programa SuperAntiSpyware: http://www.superantispyware.com/ ,y postea su log en el foro, no elimines ni modifiques nada, hasta
que revisemos el log.

Saludos

El fichero que me has enviado, esta vacío.

No se, porqué ese archivo está vacío, creo que seguí tus indicaciones al pie de la letra, de todos modos te vuelvo a enviar un nuevo sysinfo.zip, creado hace un rato.
Además adjunto los logs de Malwarebytes' Anti-Malware y Superantispyware.

Superantispyware, puedes eliminar las Adware.Tracking Cookie, simplemente son cookies.

Malwarebytes: Enviame el fichero C:\WINDOWS\PEV.exe por mensaje privado, comprimido y con la contraseña habitual.

Después elimina los Ficheros Infectados:
C:\WINDOWS\PEV.exe (Trojan.PWS) -> No action taken.
C:\System Volume Information\_restore{EC443CEE-B207-4B6E-94F0-E478F70E0802}\RP378\A0107219.exe (Trojan.PWS) -> No action taken.
C:\Documents and Settings\Default User\results.txt (Malware.Trace) -> No action taken.
C:\Documents and Settings\ENRIQUE\results.txt (Malware.Trace) -> No action taken.
C:\Documents and Settings\Invitado\results.txt (Malware.Trace) -> No action taken.

Deshabilita los puntos de restauración de windows, como se indica en el tutorial de los hilos principales para eliminar el que se encuentra en system volume information.

Reviso el sysinfo y te cuento.

Saludos

Serán el resultado de infección, el malware te habra realizado modificaciones en el registro de windows.

Prueba con las opciones de recuperación de Kaspersky.

Tienes que elegir en el menu principal Seguridad + tiene una opción para intentar arreglos de modificaciones realizadas por virus

Saludos