Jump to content
jesus34

Archivo altamente sospechoso

Recommended Posts

Hola, tengo un archivo altamente sospechoso, un ejecutable que a simple vista no hace nada pero parece instalarse perfectamente , al instalarse este se borra del lugar donde está, le he pasado el antivirus y no lo detecta como tal, al intentar enviarlo a la papelera tambien se autoejecuta.

 

Un saludo.

 

P.S fueron encontrados en esta página xxxxxxxx

 

Añado informe de analisis de virus total en el mismo archivo se detectan varios virus por otras suites de antivirus.

 

Editado Moderador: Esta prohibido postear enlaces a posible malware, etc...

Edited by Caos

Share this post


Link to post

Hola,

 

Te recomiendo que te revises las normas del foro, te serán de gran ayuda.

 

Postea toda la información que en ellas se pide (Versión y build de Kaspersky instalado, S.O. y servicepack instalados, postea tu getsysteminfo (gsi)

utilizando mejor la nueva versión que encontraras al final de mi post (en mi firma), postea tu avzlog para revisarlo, etc...) para que te podamos ayudar.

 

Esta prohibido terminantemente subir enlaces a posible malware, virus, etc... al foro.

 

La página indicada de keygens, cracks, etc... ya puedes imaginar que confianza y opinión merece.

 

Envío la muestra a los laboratorios para su revisión.

 

Saludos

Edited by Caos

Share this post


Link to post
Hola,

 

Te recomiendo que te revises las normas del foro, te serán de gran ayuda.

 

Postea toda la información que en ellas se pide (Versión y build de Kaspersky instalado, S.O. y servicepack instalados, postea tu getsysteminfo (gsi)

utilizando mejor la nueva versión que encontraras al final de mi post (en mi firma), postea tu avzlog para revisarlo, etc...) para que te podamos ayudar.

 

Esta prohibido terminantemente subir enlaces a posible malware, virus, etc... al foro.

 

La página indicada de keygens, cracks, etc... ya puedes imaginar que confianza y opinión merece.

 

Envío la muestra a los laboratorios para su revisión.

 

Saludos

 

Gracias Caos por tu respuesta, puse en nombre de la página como información para KIS , siento haberlo hecho si estaba prohibido no fué mi itención.

 

Ya tengo la getsystem info ¿Donde tengo que postearla?

 

Otra cosa es que el simbolo de Kasperky en la barra de tareas está siempre moviéndose en forma de latido de corazón y el disco duro funcionando a pleno rendimiento todo el tiempo.

 

Un saludo y gracias.

 

 

 

Share this post


Link to post

Haz lo que te ha pedido Caos y pega el link resultante del GSI creado aquí de nuevo en otro post.

El icono de KIS se mueve cuando realiza alguna actividad (como rootkit scan...) pero puedes desactivarlo si quieres:

KIS 2010 (v9XXX) > Configuración > Opciones > Apariencia > anular "Animar el icono en la barra".

Share this post


Link to post
Haz lo que te ha pedido Caos y pega el link resultante del GSI creado aquí de nuevo en otro post.

El icono de KIS se mueve cuando realiza alguna actividad (como rootkit scan...) pero puedes desactivarlo si quieres:

KIS 2010 (v9XXX) > Configuración > Opciones > Apariencia > anular "Animar el icono en la barra".

 

Gracias Visconti, postearé getsystem info aquí, sobre el tema del icono se puede desactivar pero el disco duro sigue trabajando a tope.

 

Un saludo.

 

Jesús

Share this post


Link to post

Host modificado: This HOSTS file created by Dr.Web Scanner for Windows

 

Ficheros sospechosos:

 

C:\Documents and Settings\Jesus M\Configuración local\Temp\e.exe

C:\WINDOWS\msb.exe

C:\Documents and Settings\Jesus M\Configuración local\Temp\a.exe

C:\Documents and Settings\Jesus M\Configuración local\Temp\b.exe

C:\Documents and Settings\Jesus M\Configuración local\Temp\c.exe

C:\Documents and Settings\Jesus M\Configuración local\Temp\d.exe

C:\Documents and Settings\Jesus M\Configuración local\Temp\e.exe

C:\Documents and Settings\Jesus M\Configuración local\Temp\f.exe

C:\Documents and Settings\Jesus M\Configuración local\Temp\msxml71.dll

 

Restos de Mcafee, Eset:

Programas instalados [1]

 

=> ESET Online Scanner v3

 

Procesos en ejecución

 

=> Nombre del archivo C:\Archivos de programa\McAfee\Common Framework\Mctray.exe - McAfee Common Framework

=> Nombre del archivo C:\Archivos de programa\McAfee\Common Framework\FrameworkService.exe" /servicestart - McAfee Common Framework

=> Nombre del archivo C:\Archivos de programa\McAfee\Common Framework\UdaterUI.exe" /startedfromrunkey - McAfee Common Framework

 

Controladores ejecutados por ...

 

Mctray.exe [1]

=> Nombre del archivo C:\Archivos de programa\McAfee\Common Framework\JrMac.dll - McAfee Common Framework

 

FrameworkService.exe [16]

=> Nombre del archivo C:\Archivos de programa\McAfee\Common Framework\nailog.dll - McAfee Common Framework

=> Nombre del archivo C:\Archivos de programa\McAfee\Common Framework\naCmnLib71.dll - McAfee Common Framework

=> Nombre del archivo C:\Archivos de programa\McAfee\Common Framework\applib.dll - McAfee Common Framework

=> Nombre del archivo C:\Archivos de programa\McAfee\Common Framework409\AgentRes.dll - McAfee Common Framework

=> Nombre del archivo C:\Archivos de programa\McAfee\Common Framework\Logging.dll - McAfee Common Framework

=> Nombre del archivo C:\Archivos de programa\McAfee\Common Framework\InternetManager.dll - McAfee Common Framework

=> Nombre del archivo C:\Archivos de programa\McAfee\Common Framework\naInet.dll - McAfee Common Framework

=> Nombre del archivo C:\Archivos de programa\McAfee\Common Framework\UserSpace.dll - McAfee Common Framework

=> Nombre del archivo C:\Archivos de programa\McAfee\Common Framework\SecureFrameworkFactory.dll - McAfee Common Framework

=> Nombre del archivo C:\Archivos de programa\McAfee\Common Framework\Management.dll - McAfee Common Framework

=> Nombre del archivo C:\Archivos de programa\McAfee\Common Framework\cmalib.dll - McAfee Common Framework

=> Nombre del archivo C:\Archivos de programa\McAfee\Common Framework\naPolicyManager.dll - McAfee Common Framework

=> Nombre del archivo C:\Archivos de programa\McAfee\Common Framework\ScriptSubSys.dll - McAfee Common Framework

=> Nombre del archivo C:\Archivos de programa\McAfee\Common Framework\UpdateSubSys.dll - McAfee Common Framework

=> Nombre del archivo C:\Archivos de programa\McAfee\Common Framework\Scheduler.dll - McAfee Common Framework

=> Nombre del archivo C:\Archivos de programa\McAfee\Common Framework\TCSubSys.dll - McAfee Common Framework

 

UdaterUI.exe [7]

=> Nombre del archivo C:\Archivos de programa\McAfee\Common Framework\nailog.dll - McAfee Common Framework

=> Nombre del archivo C:\Archivos de programa\McAfee\Common Framework\naCmnLib71.dll - McAfee Common Framework

=> Nombre del archivo C:\Archivos de programa\McAfee\Common Framework\applib.dll - McAfee Common Framework

=> Nombre del archivo C:\Archivos de programa\McAfee\Common Framework\cmalib.dll - McAfee Common Framework

=> Nombre del archivo C:\Archivos de programa\McAfee\Common Framework409\UpdRes.dll - McAfee Common Framework

=> Nombre del archivo C:\Archivos de programa\McAfee\Common Framework409\AgentRes.dll - McAfee Common Framework

=> Nombre del archivo C:\Archivos de programa\McAfee\Common Framework\SecureFrameworkFactory.dll - McAfee Common Framework

 

explorer.exe [1]

=> Nombre del archivo C:\Archivos de programa\McAfee\Common Framework\JrMac.dll - McAfee Common Framework

 

 

Servicios ejecutados

 

=> Nombre del archivo C:\Archivos de programa\McAfee\Common Framework\FrameworkService.exe - McAfee Common Framework

 

Registro

 

_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run [1]

=> Nombre del archivo C:\Archivos de programa\McAfee\Common Framework\UdaterUI.exe - McAfee Common Framework

 

Debes desinstalar completamente los programas o restos de McAfee, Eset Online Scanner, etc...

 

Revisa que el superantispyware no este como residente:

Controladores en ejecución

 

=> Nombre del archivo C:\Archivos de programa\SUPERAntiSpyware\sasdifsv.sys - SUPERAntiSpyware

=> Nombre del archivo C:\Archivos de programa\SUPERAntiSpyware\SASKUTIL.SYS - SUPERAntiSpyware

=> Nombre del archivo C:\Archivos de programa\SUPERAntiSpyware\SASENUM.SYS - SUPERAntiSpyware

 

Tienes poca memoria fisica: Memoria física total 523.76 Mb

Te recomiendo que compras mas memoria, si es posible 1 gb o mas.

 

Share this post


Link to post
Host modificado: This HOSTS file created by Dr.Web Scanner for Windows

 

Ficheros sospechosos:

 

C:\Documents and Settings\Jesus M\Configuración local\Temp\e.exe

C:\WINDOWS\msb.exe

C:\Documents and Settings\Jesus M\Configuración local\Temp\a.exe

C:\Documents and Settings\Jesus M\Configuración local\Temp\b.exe

C:\Documents and Settings\Jesus M\Configuración local\Temp\c.exe

C:\Documents and Settings\Jesus M\Configuración local\Temp\d.exe

C:\Documents and Settings\Jesus M\Configuración local\Temp\e.exe

C:\Documents and Settings\Jesus M\Configuración local\Temp\f.exe

C:\Documents and Settings\Jesus M\Configuración local\Temp\msxml71.dll

 

Restos de Mcafee, Eset:

Debes desinstalar completamente los programas o restos de McAfee, Eset Online Scanner, etc...

 

Revisa que el superantispyware no este como residente:

Tienes poca memoria fisica: Memoria física total 523.76 Mb

Te recomiendo que compras mas memoria, si es posible 1 gb o mas.

Ok haré todo esto pero el pc sigue infectado y el KIS no reconoce ningún virus, ahora me envía mensajes de alerta diciendo que mi equipo esta siendo atacado pero que no puede bloquearlo.

 

Gracias.

Share this post


Link to post

Postea tu combofix log:

Descargalo de aquí

 

Antes de guardar, por favor renombralo a algo parecido a 123.exe para parar al malware y que no pueda deshabilitarlo.

 

Ahora, por favor, asegurate de que no se están ejecutando otros programas, cierra todas las ventanas y pausa Kaspersky (Elije la opción de "reanudar

manualmente" si todavía esta activo) hasta que termine con el escaneado y el proceso de eliminación.

 

Por favor, haga doble clic en el archivo descargado. Siga las indicaciones en pantalla para iniciar la exploración/escaneado.

Una vez que el proceso de exploración/escaneado ha comenzado por favor NO haga clic en la ventana del combofix o intente utilizar su equipo ya que esto

puede causar problemas en el equipo. La exploracion/escaneado puede tomar bastante tiempo para completarse, esto es normal.

 

Su equipo se desconectara de Internet y los iconos del escritorio/barras de herramientas desaparecerán durante la exploración, no se preocupe, esto es

normal y apareceran en cuanto la exploración haya terminado.

 

Combofix creará un archivo de registro (log) y lo mostrara después de que su equipo se haya reiniciado. Por lo general, estara situado en

c:\combofix.txt, por favor, adjuntalo en tu siguiente post.

Share this post


Link to post
Ok haré todo esto pero el pc sigue infectado y el KIS no reconoce ningún virus, ahora me envía mensajes de alerta diciendo que mi equipo esta siendo atacado pero que no puede bloquearlo.

 

Gracias.

 

Los ficheros sospechosos son la cuarentena del Doctor Web que se lo pasé anoche tenía virus que nunca detectó KIS no es algo nuevo que cogiera ayer.

 

Share this post


Link to post

Desinstala todo lo que te he comentado, ya que con restos de mcafee, eset, posiblemente de dr web, etc.. es dificil que Kaspersky te pueda funcionar correctamente, y mas estando posiblemente infectado.

Share this post


Link to post
Tienes poca memoria fisica: Memoria física total 523.76 Mb

Te recomiendo que compras mas memoria, si es posible 1 gb o mas.

Esta es la razón por la que el disco duro trabaja tanto, ya que graba-elimina temporales... Uff, ampliar RAM es una seria recomendación válida para todas las aplicaciones y el PC mejorará mucho su rendimiento!!

Edited by Visconti12

Share this post


Link to post
Desinstala todo lo que te he comentado, ya que con restos de mcafee, eset, posiblemente de dr web, etc.. es dificil que Kaspersky te pueda funcionar correctamente, y mas estando posiblemente infectado.

 

Ok, pero en desinstalar programas no me aparecen estos archivos ¿Como elimino los restos?

 

Gracias por tu ayuda y perdona que sea tan torpe.

 

Jesús

Share this post


Link to post
Los ficheros sospechosos son la cuarentena del Doctor Web que se lo pasé anoche tenía virus que nunca detectó KIS no es algo nuevo que cogiera ayer.

 

Envíame como te he comentado los ficheros para su revisión.

 

Share this post


Link to post
Envíame como te he comentado los ficheros para su revisión.

 

He borrado todos los exes que me has comentado le la carpeta TEMP.

Share this post


Link to post
Ok, pero en desinstalar programas no me aparecen estos archivos ¿Como elimino los restos?

 

Gracias por tu ayuda y perdona que sea tan torpe.

 

Jesús

 

Para desinstalar cada programa debes ir a la pagina del fabricante del antivirus, localizar y descargar la herramienta de desinstalación.

 

Para McAfee: http://download.mcafee.com/products/licens...atches/MCPR.exe

 

Eset Online Scanner, revisa en la pagina de eset no se si tiene herramienta de desinstalación. Sino tendrías que eliminar a mano su carpeta, en el registro de windows, etc.. contacta con Eset.

 

Dr. Web no se si lo tienes instalado o no, lo mismo.

 

Después pasale un buen limpiador de registro JV Powertools or Powertools lite (gratuito), los puedes descargar en http://www.macecraft.com/ o el ccleaner (gratuito).

 

Saludos

Share this post


Link to post
He borrado todos los exes que me has comentado le la carpeta TEMP.

 

Sin la muestra como es lógico no los puedo revisar.

 

Saludos

Share this post


Link to post

Ejecuta el combofix como te he indicado y postea su log para revisarlo.

Share this post


Link to post
Ejecuta el combofix como te he indicado y postea su log para revisarlo.

 

¿El combofix es el getsysteminfo?

Share this post


Link to post
¿El combofix es el getsysteminfo?

 

No. Por favor lee detalladamente el post en el que te he explicado los pasos a seguir.

 

Share this post


Link to post
No. Por favor lee detalladamente el post en el que te he explicado los pasos a seguir.

 

Hola Caos aquí te dejo el reporte de combofix, he quitado todo lo que me comentastes, espero haberlo hecho bien.

 

Gracias

ComboFix.txt

Share this post


Link to post

Buena colección.

 

Tienes restos de un montón de antivirus: McAfee/Network Associates, AVG, AviraSymantec/Norton, Ahlab, USBScan, Spybot&Search, Lavasoft, etc...

 

Tienes varios programas de control remoto: teamviewer, radmin, PCNetSoftware, ....

 

Recomendación personal formatea el equipo, porque lo tienes bastante tocado.

 

Ten cuidado con el software que instalas, sobre todo con los "keygens".

Share this post


Link to post
Buena colección.

 

Tienes restos de un montón de antivirus: McAfee/Network Associates, AVG, AviraSymantec/Norton, Ahlab, USBScan, Spybot&Search, Lavasoft, etc...

 

Tienes varios programas de control remoto: teamviewer, radmin, PCNetSoftware, ....

 

Recomendación personal formatea el equipo, porque lo tienes bastante tocado.

 

Ten cuidado con el software que instalas, sobre todo con los "keygens".

 

Ok, todo eso que comentas son suites que he tenido instaladas anteriormente ¿Pero me comentais algo sobre los virus? parece que no, para tu información he subido el archivo a virus total y hay por lo menos 6 o 7 programas de antivirus que lo detectan como tal, 3 o 4 mas que ayer parece ser que algunas marcas de antivirus bastante conocidas en el mercado se han puesto las pilas para ayudar a sus usuarios a tener una buena seguridad online todos los anteriores detectan bichos en el archivo subido menos Kaspersky que lo detecta como limpio ¿Por que KIS no me da una solución a la detección de virus y quitarlo en vez de formatear el pc cuando el pc en realidad no me da problemas? La solución de formatear el pc me parece la mas facil y comoda por parte de vuestro equipo ademas esa la conoce todo el mundo y para eso no hace falta comprarse una solución de seguridad para internet como el KIS.

 

¿Que me comentais sobre los calentones del disco duro con la busqueda todo el tiempo de procesos ocultos?

 

Un saludo y gracias

Edited by jesus34

Share this post


Link to post

×
×
  • Create New...

Important Information

We use cookies to make your experience of our websites better. By using and further navigating this website you accept this. Detailed information about the use of cookies on this website is available by clicking on more information.