Jump to content
lorito

rvzr

Recommended Posts

lorito   

Desde hace unos días se me ha infectado el PC con este virus: rvzr-a.akamahid el cual no me ha detectado nada kaspersky, como puedo eliminarlo?. Gracias

Share this post


Link to post
Share on other sites

Bienvenido al foro, lee las normas para postear:

 

http://forum.kaspersky.com/index.php?showtopic=84034

 

Debes darnos más información para poderte ayudar, como sistema operativo, service packs instalados, versión exacta de producto K. instalado, siguiendo las normas genera GSI (getsysteminfo versión 4) y AVZ sysinfo log. En el caso del AVZ deberás se generará un informe en un archivo comprimido que deberá enviarnos aquí al foro anexo en un mensaje. En el caso del GSI, se generará automáticamente en tu navegador Web una Web con el informe, deberás envíanos el enlace (dirección URL) de la Web.

 

- Si tienes dudas de cómo generar el GSI puedes consultar este enlace (deber envíanos en tu mensaje del foro el enlace-dirección URL de la Web que se genera con el informe):

 

Baja el GetSystemInfo de aquí: http://www.getsysteminfo.com/download/GetSystemInfo.zip

 

Cómo generar el informe: http://support.kaspersky.com/sp/faq/?qid=208281645

 

- Si tienes dudas de cómo generar el AVZ sysinfo log puedes consultar este enlace, (debes enviarnos anexo en tu mensaje del foro el archivo comprimido con el informe), una ver finalizado, pulsa el botón [Ver] y allí podrás obtener el archivo comprimido con el informe:

 

AVZ Independiente: http://forum.kaspersky.com/index.php?s=&am...st&p=974448

 

Saludos.

Share this post


Link to post
Share on other sites

Bien veamos, creo que más que un virus es un PUP (Programa Potencialmente No Deseado) que están ahora tanto de moda, dentro de este tipo están los "legal adware" o "legal junk" que dependiendo de las casas de antivirus, son añadidos a sus bases o no, pues se considera que es el usuario por su acción/inacción instalando otro tipo de software el responsable de que dicho tipo de programas entre en sus sistemas. Seguramente en tu caso, se te ha debido colar al instalar algún tipo de programa gratuito, y en el proceso de instalación se debería haber desactivado algunas casillas o declinado la instalación de este tipo de software que es sugerido previa la instalación del programa que realmente queremos instalar.

 

Una vez comentado esto, pasos a seguir:

 

1.- En tu KAV2013, en Configuración -> Configuración Avanzada -> Amenezas y Exclusiones, activar la casilla para detectar Otro Software.

 

2.- Prueba a desinstalar desde el Panel de Control el programa Software Version Updater.

 

3.- El programa Otto aparece como instalado ¿lo has instalado tú?. ¿Lo conoces?

 

4.- Borrar tarchivos temporales de la siguientes carpetas, donde aparecen restos de otro famoso PUP (Wajam):

C:\DOCUME~1\GSCOME~1\LOCALS~1\Temp\ [2]

=> Nombre del archivo C:\Documents and Settings\GSCOMERCIAL\Local Settings\Temp\wajam_download.exe -

=> Nombre del archivo C:\Documents and Settings\GSCOMERCIAL\Local Settings\Temp\wajam_install.exe - Wajam

 

C:\DOCUME~1\GSCOME~1\LOCALS~1\Temp\C41253C8-BAB0-7891-906B-3A682CF8B457\Latest [1]

=> Nombre del archivo C:\Documents and Settings\GSCOMERCIAL\Local Settings\Temp\C41253C8-BAB0-7891-906B-3A682CF8B457\Latest\MyBabylonTB.exe - delta

5.- Instala el MalwareBytes en modo Free (al final de la instalación, desactivar la primera casilla de las 3 que aparecen), actualiza, realiza un Análisis Rápido de tu sistema y sube el registro aquí al foro anexo el archivo de texto con el registro de los objetos encontrados antes de desinfectar nada.

 

6.- Para terminar usaremos el AdwCleaner, para limpiar posibles restos incrustados en los navegadores así como en el registro de Windows y carpetas. Primero dile Escanear, una vez terminado, podrás examinar debajo en las diferentes pestañas los restos encontrados, y luego Suprimir.

 

Saludos.

Edited by harlan4096

Share this post


Link to post
Share on other sites
lorito   

Buenas tardes.

 

El programa "OTTO" no tengo ni idea para que sirve, yo (al menos conscientemente) no lo he instalado, que hago? lo desinstalo?.

 

Adjunto el registro realizado "Malwarebytes".

 

Con lo que me digas elimino los archivos (me han salido 35 detectados) o me estoy quieto, posteriormente pasaré el "ADWARE".

 

Saludos.

MBAM_log_2013_11_16__18_50_37_.txt

Share this post


Link to post
Share on other sites
lorito   
Buenas tardes.

 

El programa "OTTO" no tengo ni idea para que sirve, yo (al menos conscientemente) no lo he instalado, que hago? lo desinstalo?.

 

Adjunto el registro realizado "Malwarebytes".

 

Con lo que me digas elimino los archivos (me han salido 35 detectados) o me estoy quieto, posteriormente pasaré el "ADWARE".

 

Saludos.

 

Perdón, el "AwdCleaner".

Share this post


Link to post
Share on other sites

Pues desinstala el programa Otto, por lo que veo en el registro del MWB tienes restos de varios PUP y algún que otro instalador: DeltaTool, Iminent, Babylon, OPenCandy, ...

 

Vuelva a hacer un análisis rápido del MWB marcando todas las entradas en rojo y eliminándolas posteriormente.

 

A continuación ejecuta el AdwCleaner a ver si te encuentra algún otro resto y también lo suprimes.

 

Saludos.

Share this post


Link to post
Share on other sites
lorito   

Buenos días, he realizado todos los pasos, pero me siguen saliendo las ventanas de "rvzr-a.akamahidnet..." cuando abro un navegador o una neuva página... Que es lo siguiente que puedo hacer?

 

Gracias!!

Share this post


Link to post
Share on other sites

¿En todos los navegadores?.

 

Bien, si has hecho y eliminado todo lo anterior, entonces es que seguramente los accesos directos de los navegadores también están "contaminados", prueba una cosa:

 

Ve directamente a la carpeta de instalación del FireFox, IE o del Chrome y llámalo desde el programa .exe a ver qué pasa ...

 

Si de esta forma los navegadores se abren bien, sin la ventana del adware ... es que los accesos directos hay que modificarlos, pulsando el botón derecho del ratón sobre el acceso directo -> Propiedades -> pestaña Acceso Directo -> campo Destino, por ejemplo para FireFox debe poner:

"C:\Program Files (x86)\Mozilla Firefox\firefox.exe"

Si además de eso, a la derecha tiene algún código más, directamente bórralo.

 

Saludos.

Edited by harlan4096

Share this post


Link to post
Share on other sites
Caos   

Hola,

 

Como te indica harlan4096, en el icono (acceso directo) desde donde llamas normalmente a tu navegador IE, Firefox, Chrome, .. pulsa botón derecho del ratón -> Propiedades, revisa si en el campo llamado Destino, además de esto (en el caso de IE, para el resto es lo mismo pero con su ruta correspondiente):

"C:\Program Files\Internet Explorer\iexplore.exe"
o si tiene algún añadido en el caso de que tenga "algo" mas, elimina ese añadido, y acepta.

 

Sino hay ningún añadido en los accesos directos a tus navegadores, vuelve a generar un nuevo gsi y avz log.

 

Saludos

Share this post


Link to post
Share on other sites

Pues C:\Archivos de programas\Mozilla\ -> firefox.exe

 

Saludos.

Share this post


Link to post
Share on other sites

Además de lo anterior, baja esta tool Shortcut Cleaner: http://www.bleepingcomputer.com/download/s...cleaner/dl/172/

 

Y ejecútala en modo Admin (botón derecho de ratón sobre el programa -> Ejecutar como Administrador).

 

Saludos.

Share this post


Link to post
Share on other sites
lorito   

Buenas, he revisado el destino del navegador que utilizo habitualmente (Chrome), esta acaba en "chrome.exe".

Las ventanas salen de manera aleatoria, a veces cuando arrancas el navegador y otras cuando abres una página nueva.

Adjunto los archivos que me comentáis realizados de nuevo.

 

Saludos

GetSystemInfo_ACER_A4FFC67733_GSCOMERCIAL_2013_11_19_09_15_22.zip

virusinfo_syscure.zip

sc_cleaner.txt

Share this post


Link to post
Share on other sites

Desinstala J2SE Runtime Environment 5.0 Update 6, es una versión muy antigua.

 

Postea tu combofix log:

 

Descargalo de aqu: http://download.bleepingcomputer.com/sUBs/ComboFix.exe

 

Antes de guardar, por favor renombralo a algo parecido a 123.exe para parar al malware y que no pueda deshabilitarlo.

 

Ahora, por favor, asegúrate de que no se están ejecutando otros programas, cierra todas las ventanas y pausa Kaspersky (Elije la opción de "reanudar

manualmente" si todavía esta activo) hasta que termine con el escaneado y el proceso de eliminación.

 

Por favor, haga doble clic en el archivo descargado. Siga las indicaciones en pantalla para iniciar la exploración/escaneado.

Una vez que el proceso de exploración/escaneado ha comenzado por favor NO haga clic en la ventana del combofix o intente utilizar su equipo ya que esto

puede causar problemas en el equipo. La exploración/escaneado puede tomar bastante tiempo para completarse, esto es normal.

 

Su equipo se desconectara de Internet y los iconos del escritorio/barras de herramientas desaparecerán durante la exploración, no se preocupe, esto es

normal y apareceran en cuanto la exploración haya terminado.

 

Combofix creará un archivo de registro (log) y lo mostrara después de que su equipo se haya reiniciado. Por lo general, estará situado en

c:\combofix.txt, por favor, adjuntalo en tu siguiente post.

 

Saludos.

Share this post


Link to post
Share on other sites

Bien, parece que el CF ha eliminado el BetterSurf, que según veo suele generar popups de publicidad.

 

De cualquier forma, en este nuevo link, sigue los pasos 2 y 3 (está en inglés), donde se indica cómo hacer un reset de las settings de los navegadores para eliminar restos del programa:

 

http://malwaretips.com/blogs/bettersurf-virus-removal/

 

Además asegúrate de que si existe la carpeta C:\Archivos de programa\Better Surf, la comprimes con WinRar y con contraseña "infected" (sin las comillas) la carpeta C:\qoobox\quarantine y sube el fichero a un servidor de ficheros gratuito como Mega, MediaFire, etc... y envíame el enlace de descarga por mensaje privado del foro.

 

También comprime con WinRar y con contraseña "infected" (sin las comillas) la carpeta C:\qoobox\quarantine y sube el fichero a un servidor de ficheros gratuito como Mega, MediaFire, etc... y envíame el enlace de descarga por mensaje privado del foro.

 

Saludos.

Edited by harlan4096

Share this post


Link to post
Share on other sites

Perdón, ya lo actualicé hace un rato, se me había olvidado pegarlo ;)

 

Saludos.

Share this post


Link to post
Share on other sites
Perdón, ya lo actualicé hace un rato, se me había olvidado pegarlo ;)

 

Saludos.

 

Detección del KIS2014c en análisis on demand sobre el contenido descomprimido del BetterSurf.

 

post-5997-1384886681_thumb.png

 

No sé cómo es posible que no te lo haya detectado en tu sistema, o bien en el momento de la infección o bien de forma posterior.

 

Además acabo de enviar una .dll a KLabs sacada de la cuarentena del CF por si es algo no detectado aún.

 

Saludos.

Edited by harlan4096

Share this post


Link to post
Share on other sites

La contestación es que dicha dll enviada ayer no es maliciosa.

 

Saludos.

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now

×