Jump to content
nicer

KES 11 detecta virus tras cada inicio de sistema

Recommended Posts

Desde hace varias semanas, cada vez que se inicia el ordenador, kaspersky muestra el aviso de que ha encontrado objetos maliciosos en la carpeta temporal del sistema.

Cuando voy ahí no hay ninguno de esos archivos, porque Kaspersky ya los ha metido en cuarentena, pero cuando reinicio vuelve a salir un nuevo aviso y ha vuelto a eliminar más archivos infectados en la misma carpeta.

He realizado un análisis completo pero no ha encontrado nada. Parece que hay algún virus al inicio del sistema que crea esos archivos temporales que Kaspersky detecta, pero no al propio virus, por lo que vuelve a la carga tras cada inicio  ¿Qué puedo hacer?

Version: KES 11.0.1.90 AES56

Configuración: Sin consola ni políticas de seguridad

Fecha de las bases: 03/03/2019 6:51

SO: Windows 10 Home x64 build 17763

LOGS:

25/02/2019 9:06:39	Objeto malicioso detectado	Luck.qgRKbL	ORDENADOR114\ordenador14	Detectado: UDS:DangerousObject.Multi.Generic	C:\Users\ordenador14\AppData\Local\Temp\_0.299674040370394476733920188369191075.class	Análisis en la nube	
25/02/2019 9:07:52	Objeto malicioso detectado	Luck.qgRKbL	ORDENADOR114\ordenador14	Detectado: Trojan.WinREG.Small.g	C:\Users\ordenador14\AppData\Local\Temp\dXpksBnvLv3451744010157245377.reg	Análisis experto	
25/02/2019 9:08:14	Objeto malicioso detectado	Luck.qgRKbL	ORDENADOR114\ordenador14	Detectado: UDS:DangerousObject.Multi.Generic	C:\Users\ordenador14\AppData\Local\Temp\Windows683733831601216013.dll	Análisis en la nube	
26/02/2019 9:05:47	Objeto malicioso detectado	Luck.qgRKbL	ORDENADOR114\ordenador14	Detectado: UDS:DangerousObject.Multi.Generic	C:\Users\ordenador14\AppData\Local\Temp\Windows4342651793324672833.dll	Análisis en la nube	
27/02/2019 8:56:35	Objeto malicioso detectado	Luck.qgRKbL	ORDENADOR114\ordenador14	Detectado: UDS:DangerousObject.Multi.Generic	C:\Users\ordenador14\AppData\Local\Temp\_0.7912864113476487254016013091178529.class	Análisis en la nube	
27/02/2019 8:57:57	Objeto malicioso detectado	Luck.qgRKbL	ORDENADOR114\ordenador14	Detectado: Trojan.WinREG.Small.g	C:\Users\ordenador14\AppData\Local\Temp\aHGWPEPmoD815002330292166677.reg	Análisis experto	
27/02/2019 9:27:19	Objeto malicioso detectado	Luck.qgRKbL	ORDENADOR114\ordenador14	Detectado: UDS:DangerousObject.Multi.Generic	C:\Users\ordenador14\AppData\Local\Temp\_0.139403920090958925667314172907639436.class	Análisis en la nube	
27/02/2019 9:28:07	Objeto malicioso detectado	Luck.qgRKbL	ORDENADOR114\ordenador14	Detectado: Trojan.WinREG.Small.g	C:\Users\ordenador14\AppData\Local\Temp\YDZCHjbGYV1822859189319441882.reg	Análisis experto	
27/02/2019 9:31:07	Objeto malicioso detectado	Luck.qgRKbL	ORDENADOR114\ordenador14	Detectado: UDS:DangerousObject.Multi.Generic	C:\Users\ordenador14\AppData\Local\Temp\_0.83521158942306846916265695822262519.class	Análisis en la nube	
27/02/2019 9:32:00	Objeto malicioso detectado	Luck.qgRKbL	ORDENADOR114\ordenador14	Detectado: Trojan.WinREG.Small.g	C:\Users\ordenador14\AppData\Local\Temp\JSxKgkWIbr6208856372804080095.reg	Análisis experto	
27/02/2019 10:14:52	Objeto malicioso detectado	Luck.qgRKbL	ORDENADOR114\ordenador14	Detectado: UDS:DangerousObject.Multi.Generic	C:\Users\ordenador14\AppData\Local\Temp\_0.123396653074883571120894929633833388.class	Análisis en la nube	
27/02/2019 10:15:32	Error de procesado	Windows Explorer	ORDENADOR114\ordenador14	Error de procesado	\\192.168.0.250\apps\server\hojas\LAURA K\COBROS 2019\COBROS FEBRERO\26 DE FEBRERO - MARTES.xls	Error de lectura	
27/02/2019 10:15:32	Error de procesado	Windows Explorer	ORDENADOR114\ordenador14	Error de procesado	\\192.168.0.250\apps\server\hojas\LAURA K\COBROS 2019\COBROS FEBRERO\26 DE FEBRERO - MARTES.xls	Error de lectura	
27/02/2019 13:04:37	Objeto malicioso detectado	Luck.qgRKbL	ORDENADOR114\ordenador14	Detectado: UDS:DangerousObject.Multi.Generic	C:\Users\ordenador14\AppData\Local\Temp\Windows5083105269982812663.dll	Análisis en la nube	
28/02/2019 7:51:50	Objeto malicioso detectado	Luck.qgRKbL	ORDENADOR114\ordenador14	Detectado: UDS:DangerousObject.Multi.Generic	C:\Users\ordenador14\AppData\Local\Temp\_0.78907014136384151354909828586780591.class	Análisis en la nube	
28/02/2019 7:52:22	No se puede eliminar	Luck.qgRKbL	ORDENADOR114\ordenador14	No se puede eliminar: HackTool.VBS.Agent.d	C:\Users\ordenador14\AppData\Local\Temp\Retrive6336134495029824117.vbs	Acceso denegado	
28/02/2019 7:52:23	Objeto malicioso detectado	Luck.qgRKbL	ORDENADOR114\ordenador14	Detectado: Trojan.WinREG.Small.g	C:\Users\ordenador14\AppData\Local\Temp\iZFbOrRAhE3192080975629711884.reg	Análisis experto	
28/02/2019 12:37:41	Objeto malicioso detectado	Luck.qgRKbL	ORDENADOR114\ordenador14	Detectado: UDS:DangerousObject.Multi.Generic	C:\Users\ordenador14\AppData\Local\Temp\Windows3124395920722524830.dll	Análisis en la nube	
01/03/2019 9:18:19	Objeto malicioso detectado	Luck.qgRKbL	ORDENADOR114\ordenador14	Detectado: UDS:DangerousObject.Multi.Generic	C:\Users\ordenador14\AppData\Local\Temp\_0.63368175707949966825860758636371841.class	Análisis en la nube	
01/03/2019 9:19:02	No se puede eliminar	Luck.qgRKbL	ORDENADOR114\ordenador14	No se puede eliminar: HackTool.VBS.Agent.d	C:\Users\ordenador14\AppData\Local\Temp\Retrive1724857720378490350.vbs	Acceso denegado	
01/03/2019 9:19:03	Objeto malicioso detectado	Luck.qgRKbL	ORDENADOR114\ordenador14	Detectado: Trojan.WinREG.Small.g	C:\Users\ordenador14\AppData\Local\Temp\gwBhcWYigF2147193514786583492.reg	Análisis experto	
01/03/2019 11:12:14	Objeto malicioso detectado	Luck.qgRKbL	ORDENADOR114\ordenador14	Detectado: UDS:DangerousObject.Multi.Generic	C:\Users\ordenador14\AppData\Local\Temp\Windows1703308727853521339.dll	Análisis en la nube	
03/03/2019 10:54:23	Objeto malicioso detectado	Luck.qgRKbL	ORDENADOR114\ordenador14	Detectado: UDS:DangerousObject.Multi.Generic	C:\Users\ordenador14\AppData\Local\Temp\_0.59199724058824532061867258982160580.class	Análisis en la nube	
03/03/2019 10:55:25	Objeto malicioso detectado	Luck.qgRKbL	ORDENADOR114\ordenador14	Detectado: Trojan.WinREG.Small.g	C:\Users\ordenador14\AppData\Local\Temp\jHhiiJHejj1939755387072278966.reg	Análisis experto	
03/03/2019 12:13:56	Objeto malicioso detectado	Luck.qgRKbL	ORDENADOR114\ordenador14	Detectado: UDS:DangerousObject.Multi.Generic	C:\Users\ordenador14\AppData\Local\Temp\_0.74086431343050096693132694869214518.class	Análisis en la nube	
03/03/2019 12:14:26	No se puede eliminar	Luck.qgRKbL	ORDENADOR114\ordenador14	No se puede eliminar: HackTool.VBS.Agent.d	C:\Users\ordenador14\AppData\Local\Temp\Retrive5428692744701761972.vbs	Acceso denegado	
03/03/2019 12:14:26	Objeto malicioso detectado	Luck.qgRKbL	ORDENADOR114\ordenador14	Detectado: Trojan.WinREG.Small.g	C:\Users\ordenador14\AppData\Local\Temp\YKDpWTiAoX6471071957855652444.reg	Análisis experto	

Archivo GSI

 

Share this post


Link to post

Hola,

Te recomiendo personalmente, que en caso de cualquier problema, detección, etc... no debes tardar semanas en consultar, sino cuanto antes.

Revisando tu gsi, veo un fichero que desconozco, comprime este fichero C:\AdvoNicerCS\advonicer.exe  con contraseña "infected" , súbelo a un servidor de ficheros, y envíame enlace de descarga por mensaje privado.

Restaura también toda la cuarentena del KES v11 en una carpeta, y comprime todos los archivos en un fichero con contraseña "infected" y envíame enlace de descarga por mensaje privado para revisarlo.

Descarga la utilidad AdwCleaner en el escritorio: https://downloads.malwarebytes.com/file/adwcleaner

Desactiva temporalmente el Antivirus
Cierra también todos los programas que tengas abiertos.
Ejecuta Adwcleaner.exe
Pulsar en el botón Escanear, y espera a que se realice el proceso, inmediatamente pulsa sobre el botón Limpiar.
Espera a que se complete y sigue las instrucciones, si te pidiera Reiniciar el sistema Aceptas.
Guardas el reporte que te aparecerá, para copiarlo y pegarlo en tu próxima respuesta.
El informe también se puede encontrar en "C:\AdwCleaner\AdwCleaner[C0].txt"

Quedo a la espera de que subas dicho fichero para revisarlo.

Adjunta captura de pantalla de las detecciones, y de la cuarenta del KES.

¿Tienes más equipos en red?

Adicionalmente te recomiendo no usar software pirata, para evitarte sorpresas. Que activador has usado para activar Windows y/o Office, hay activadores que vienen con regalitos incluidos.

Saludos

Share this post


Link to post
Posted (edited)

Hola, gracias por responder.

El fichero advonicer al que haces mención es seguro, es un programa propio.

Olvidé mencionar que ya había pasado el adwcleaner y el malwarebytes antimalware y no encontraron nada en absoluto.

Adjunto el archivo con los objetos de la cuarentena pero me es imposible hacer ahora mismo una captura del antivirus.

El ordenador está en una red con otros 20 ordenadores, todos con el KES 11.

Edited by Caos
Eliminado el adjunto infectado, como te he indicado me lo deberías haber pasado por mensaje privado, no está permitido subir ficheros infectados al foro.

Share this post


Link to post

Hola,

De todas maneras sube el adwcleaner para revisarlo.

¿Tienes el activador que has usado para piratear windows y/o office?

Tienes modificaciones en el registro, resultado me imagino del malware que hayais ejecutado en ese equipo.

He encontrado esta por ejemplo: HKEY_CURRENT_USER, Software\Microsoft\Windows\CurrentVersion\Run, MvMSjuDZYYn

Descarga esta utilidad Farbar Recovery Scan Tool : https://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/

Desactiva temporalmente el Antivirus
Cierra también todos los programas que tengas abiertos. Clic derecho en, para ejecutar como administrador.
Cuando se abra la herramienta, haga clic en Sí.
Haga clic en Escanear.
Producirá un registro llamado FRST.txt en el mismo directorio desde el que se ejecuta la herramienta.
La primera vez que se ejecuta la herramienta, genera otro registro (Addition.txt, también ubicado en el mismo directorio que FRST.exe / FRST64.exe).
Sube ambos ficheros al foro para revisarlos.

Revisa en los servicios, ocultando los servicios de windows si puedes localizar al responsable. Sube captura(s) de pantalla de los servicios.

Todas las muestras de cuarentena son detectadas y eliminadas por Kaspersky.

Saludos

P.D.: Por Dios, y con toda esa colección tardas semanas en consultar :blink::blink:

Share this post


Link to post

Adicionalmente,

¿Solo tienes detecciones en ese equipo?

Revisa como tienes configuradas las opciones del KES v11 en todos los equipos, sobre todo en el apartado ransomware, y con 20 equipos yo instalaría el KSC en el servidor.

Saludos

Share this post


Link to post
Posted (edited)

Adjunto los logs, imagenes de los servicios y una copia de la entrada de registro que mencionas.

He borrado la entrada del registro y eliminado los archivos que llamaba (que estaban en la carpeta de usuario), para poder hacerlo tuve que parar el java porque estaban siendo usados por él y no me dejaba eliminarlos. KES no detecta nada en esa carpeta.

He reiniciado el equipo y KES ya no da ningún aviso.

Sí es el único equipo que me da avisos. Mi servidor es Linux, intenté instalar el KSC hace tiempo pero no fuí capaz.

FRST.txt

adwcleaner.txt

Addition.txt

web- Captura de pantalla 2019-03-04 23.00.15.jpg

web- Captura de pantalla 2019-03-04 23.01.05.jpg

web- Captura de pantalla 2019-03-04 23.01.01.jpg

web- Captura de pantalla 2019-03-04 23.00.53.jpg

web- Captura de pantalla 2019-03-04 23.00.50.jpg

web- Captura de pantalla 2019-03-04 23.00.48.jpg

web- Captura de pantalla 2019-03-04 23.00.42.jpg

web- Captura de pantalla 2019-03-04 23.00.40.jpg

web- Captura de pantalla 2019-03-04 23.00.31.jpg

 

Edited by Caos
Eliminado el adjunto infectado, como te he indicado me lo deberías haber pasado por mensaje privado, no está permitido subir ficheros infectados al foro.

Share this post


Link to post
Posted (edited)

Adjunto el virus comprimido con contraseña infected.

Edited by Caos
Eliminado el adjunto infectado, como te he indicado me lo deberías haber pasado por mensaje privado, no está permitido subir ficheros infectados al foro.

Share this post


Link to post

He enviado dicho adjunto al KL VirusDesk, los adjuntos que subiste en días anteriores, era todos detectados ya por los productos Kaspersky.

Saludos.

Share this post


Link to post

Los analistas del KLVD me has contestado esto:

Quote

Hello,

Attached file not malicious, but he referenced to another files. You must send following files in archive with password 'infected' from analyze:

"C:\Users\ordenador14\AppData\Roaming\Oracle\bin\javaw.exe"
"C:\Users\ordenador14\ZRWYqegpsjZ\Luck.qgRKbL"

Best regards,

Es decir, parece que los archivos que has enviado en el archivo anexo hacen referencia realmente a otros que no están en dicho archivo, y que realmente son los maliciosos. Ahí te los indico en negrita.

Saludos.

Share this post


Link to post
Posted (edited)

El segundo archivo sí que estaba incluido en el zip.

Lo vuelvo a adjuntar junto con el javaw por si acaso.

Edited by Caos
Eliminado el adjunto infectado, como te he indicado me lo deberías haber pasado por mensaje privado, no está permitido subir ficheros infectados al foro.

Share this post


Link to post

Hola,

Recuerda que no esta permitido subir directamente al foro ficheros sospechosos o infectados.

Puedes instalar el KSC, en un equipo con Windows 10 sin problemas.

Requisitos: https://support.kaspersky.com/14853#block1

En el registro elimina también:

HKU\S-1-5-21-1440319953-3149930476-46890070-1002\...\Run: [MvMSjuDZYYn] => "C:\Users\ordenador14\AppData\Roaming\Oracle\bin\javaw.exe" -jar "C:\Users\ordenador14\ZRWYqegpsjZ\Luck.qgRKbL"

El javaw.exe esta limpio: https://www.virustotal.com/es/file/8486dc144d0258175e83438871087478bd5784762e55a659643dc87f0b19397e/analysis/1551799175/

El malware estará en C:\Users\ordenador14\ZRWYqegpsjZ\Luck.qgRKbL"

Comprime todo el contenido de esta carpeta C:\Users\ordenador14\ZRWYqegpsjZ\Luck.qgRKbL con contraseña infected, y envíame enlace de descarga por mensaje privado.

Saludos

Share this post


Link to post

Hola,

Quote

New malicious software was found in the attached file. Its detection will be included in the next update.
Luck.qgRKbL - Trojan.Java.Agent.a
Thank you for your help.

Actualiza las firmas, y realiza un análisis completo del equipo. Ya es detectada por el KSN.

Elimina también todo el malware de la cuarentena del KES v11.

Aún así te recomiendo que formatees ese equipo, y realices una instalación en limpio del S.O., porque a saber que más ha podido hacer o meter en ese equipo, que modificaciones ha podido realizar en el registro de Windows, etc.., y que no uses software pirata para evitar estos problemas.

También te recomiendo que tengas una charla de concienciación con los usuarios(as), sobre los ficheros, adjuntos en correos electrónicos, etc... que se pueden abrir, o los que nunca se deben abrir, sino eliminar para evitar sorpresas.

Ya que desconozco si te ha entrado por usar el activador pirata de windows o/y office, o por abrir algún adjunto de correo electrónico, etc...

Saludos

Share this post


Link to post

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.


×
×
  • Create New...

Important Information

We use cookies to make your experience of our websites better. By using and further navigating this website you accept this. Detailed information about the use of cookies on this website is available by clicking on more information.