Necesito ayuda con posible virus.

[guanaman]

Buenas communiters... esta ves vengo a pedir urgentemente AYUDA, ya que creo que mi maquina se ha convertido en una especie de Zombi o algo asi, pues hace como dos semanas baje un disco y parece que traia virus, pero la cosa fue que no lo descargue de mi casa sino que en un ciber. Por eso sale mi duda si fue que me infecte en el ciber o el virus venia en las canciones... =s.

PRIMER PROBLEMA:
La primera ves que comenze a sospechar fue cuando le pase las canciones a mi mp3 y comenzo a funcionar muy raro, ya no funcionaban los botones de atrás (<<), volumen (-), y el del menu principal pero era solo por ratos luego ya funcionaban de nuevo.
No le tome mucha importancia pero según los dias avanzaban se ponia bien lento, y hasta q se me congelo y ya no lo podia apagar hasta que presione el boton de RESET que trae, luego lo intente encender pero se queda conegelado en la marca del mp3... ahora ya no se conecta a la PC, solo se queda con una pantalla negra como que quiere arrancar, pero nada de nada no lo reconoce. 

SEGUNDO PROBLEMA:
Mi maquina tiene dos SOP el Windows 7 Ultimate y el Ubuntu 10.04, el seven casi no lo ocupo pero un dia inente ingresar, pero el puntero del mouse me aparecia congelado, entonces tuve que ingresar a puros TAB y cursoras, reconecte el mouse varias veces y nada, busque los drivers y los actualize varias veces y nada tampoco. Le pregunte a san google y no habia posible respuesta, me canse y reinstale de nuevo el Seven y mas o menos todo bien pero hay un monton de cosas que me parecen sospechosas que el seven no debe de tenerlas (creo)...

Aquí se pueden ver archivos sospechosos (para mi), en la particion que tengo de windows


¿Porque las carpetas Archivos del programa y Doc and Settings me aparecen como acceso directo?
en windows Seven no puedo accesar a ellas)



porque este archivo tiene solo estas letras?



aquí no puedo abrir ningun otro archivo de esos.


Estos archivos me aparecen tambien en mi cuenta de usuario con windows seven y que tampoco me deja accesar


Esto me aparece dentro de la carpeta system volume information


Este archivo me comenzo a aparecer hace dos dias en esta particion y siempre que lo elimino, sale de nuevo.



quiero decir que ya le pase el KIS 2010 y el hijackthis entre otros programas.

Me pueden decir si se trata realmente de un Virus o solo es una paranoia mia 
Estas son solo algunas cosas, les agradesco su ayuda desde ya 

[ericks]

valla mira hace poco tuvimos este problema, le pasamos varios antivirus y x gusto incluso utilice un par de herramientas que me dieron aca los colegas y nada hasta que mi jefe nos paso un bat; al parecer no es un virus sino es un malware que lo que hace es quitar ciertas propiedades a las carpetas y las oculta crea accesos en ves de las carpetas; esto nos funciono al 100% en las USB pero en la PC me toco reinstalarla por seguridad pues como ningun antivirus la detecto nada me da la seguridad; copias el archivo a la USB y ahi lo corres, proba en la pc tambien si te arregla el problema te recomiendo saca respaldo,reinstala instalale el sp3 y todas las actualizaciones y luego un buen antivirus actualizado. aca estahttp://www.megaupload.com/?d=ZRF9OUSD

[G1r3D]

mira, no se si tendra que ver con esto:

Vulnerabilidad de escalada de privilegios en el kernel Linux

Septiembre está siendo un mes movidito en el mundo de la seguridad informática. Primero fueron las vulnerabilidades en Adobe Reader y Flash, y hoy conocemos otra en el kernel Linux, y es también bastante grave.

Esta vulnerabilidad permite escalar privilegios y obtener permisos de root mediante un exploit que ya está en circulación. Es realmente grave ya que socava uno de los pilares de la seguridad de Linux: una de las causas de que no haya mucho virus para este sistema es que, aunque consigan entrar en el sistema, para hacer algo grave y salir del entorno del usuario necesitan ser root y no es fácil de conseguir.

En concreto, el problema está causado por un error en el kernel de 64 bits, en la emulación para ejecutar binarios de 32 bits. Un fallo en un argumento da al binario que se está emulando permisos de superusuario.

Lo más curioso de todo es que este bug ya se resolvió en 2007, pero en 2008, nadie sabe por qué, el parche se eliminó volviendo a abrir el agujero. Por esto, el exploit que se creó para esa primera vulnerabilidad sólo ha necesitado una pequeña modificación para volver a funcionar. También por esto mismo, la vulnerabilidad ha sido parcheada rápidamente, y dentro de poco aparecerán los kernel actualizados para las diferentes distribuciones.

Para evitarlo, lo de siempre: no descargar ni ejecutar archivos sospechosos, y actualizar el kernel en cuanto esté disponible la nueva versión.

Fuente

[Radiux]

Lo que pasa Compañero, es que tu estas confundiendo archivos que tu crees virus con archivos del sistema validos como:

autoexec.bat
bootmgr
bootsec.bat
config.sys
pagefile.sys
hiberfil.sys

Entre otros, en resumidas cuentas, si, estas siendo paranoico como tu dices  , te recomiendo no sigas intentando borrarlos, porque si no vas a tener que reparar la instalacion de windows

Un par de archivos relacionados con XELDZ me indican que probablemente tu version de windows no es original verdad?

El hecho de que algunas carpetas te aparecen como acceso directo si es extraño, deberias confirmar la estructura del arbol de directorios usando el explordor de windows para confirmar.

[DarkBios]

yo espero con ancias el kernel hurd de debian, porque creo que será un moustro mucho mayor del que linux

[ENIGMAXG2]

No, no es problema de su distro. Los archivos que quiere abrir nada tienen que ver con el virus.

Estos día he visto uno que pone lentísima la pc e incluso cierra las ventanas automáticamente y deniega el acceso a diversos programas insertando un falso debugger en el registro de windows.

Por si acaso es ese virus, entrá desde Linux o un miniXP (HBCD) y buscá dentro de Users una carpeta con el nombre de tu usuario más un 1 (sería TuUsuario1) dentro hay un Winlogon.exe, así que borras la carpeta.

Luego reinicias en Windows y entras a C:\Windows y cambias el nombre de regedit.exe a otro nombre por ejemplo editor.exe para que el registro falso debugger no te lo deniegue. Ya con el regedit abierto, entras a HKEY_LOCAL_MACHINE -> Software -> Microsoft -> Windows NT -> Current Version -> ImageFile Execution Options y comienzas a borrar las subcarpetas que tenga (son bastantes, hay dos que no se borran porque son del sistema)

Ya hecho esto regresas el nombre al regedit.exe y analiza con un antivirus (de preferencia microsoft security essentials para garantizar que no haya quedado nada)

[DarkBios]

No, no es problema de su distro. Los archivos que quiere abrir nada tienen que ver con el virus.

Estos día he visto uno que pone lentísima la pc e incluso cierra las ventanas automáticamente y deniega el acceso a diversos programas insertando un falso debugger en el registro de windows.

Por si acaso es ese virus, entrá desde Linux o un miniXP (HBCD) y buscá dentro de Users una carpeta con el nombre de tu usuario más un 1 (sería TuUsuario1) dentro hay un Winlogon.exe, así que borras la carpeta.

Luego reinicias en Windows y entras a C:\Windows y cambias el nombre de regedit.exe a otro nombre por ejemplo editor.exe para que el registro falso debugger no te lo deniegue. Ya con el regedit abierto, entras a HKEY_LOCAL_MACHINE -> Software -> Microsoft -> Windows NT -> Current Version -> ImageFile Execution Options y comienzas a borrar las subcarpetas que tenga (son bastantes, hay dos que no se borran porque son del sistema)

Ya hecho esto regresas el nombre al regedit.exe y analiza con un antivirus (de preferencia microsoft security essentials para garantizar que no haya quedado nada)

mis respectos ENIGMAXG2, este tuto si es util en gran manera, los accesos directos son originados por un troyano que crea un archivo winlogon.exe en la carpeta raíz de la cuenta de usuario y se ejectuado desde en el arranque desde el regedit, ese mismo bloquea el administrador de tareas y otras herramientas para no ser desactivada, yo hace dos meses hice algo similar como el que dice enigmax, pero yo use el f-secure internet security 2010 para bloquear y desinfectar el winlogon.exe del sistema, porque otros antivirus solo quieren borrarlo, moverlo o cambiar el nombre para aislar el virus, antes usaba el microsoft security essentials, pero cuando se metio un gusano que no solo lo domino y tambien se amarrado a ella, me regrese al f-security porque yo antes lo usaba.

un consejo:
El mejor antivirus no es el mejor el que trae muchas herramientas, sino el que mas se puede administrar en el sistema.

[G1r3D]

veo q cada uno tiene sus opciones de desinfeccion, yo tengo las mias tambien, solo es de adaptarse, lo malo es q cuando queres explicarle a alguien como se hace, es bien dificil... Cuesta que te entiendan... 

[ENIGMAXG2]

antes usaba el microsoft security essentials, pero cuando se metio un gusano que no solo lo domino y tambien se amarrado a ella, me regrese al f-security porque yo antes lo usaba.

un consejo:
El mejor antivirus no es el mejor el que trae muchas herramientas, sino el que mas se puede administrar en el sistema.

Pues fijate que no se ancla al MSE sino que cierra automáticamente las notificaciones que este presenta. Lo más curioso es que el virus ese también tiene definiciones de los programas a los que debe joder (no descartemos la posibilidad que incluya al F-secure dentro de poco porque se upgradea a veces y cuando lo quieres eliminar o matar el proceso winlogon.exe de alguna forma, te tira BSoD). Por eso es bueno tener un disco de Linux a mano (aunque también los de MINI XP, aunque siendo Windows tienen muchas cosas en común, por lo que un Linux Live cd es lo mejor) y un antivirus desde USB o CD booteable, como el Kaspersky.

[guanaman]

Estoy probando, espero que me funcione mas de alguno

[guanaman]

No, no es problema de su distro. Los archivos que quiere abrir nada tienen que ver con el virus.

Estos día he visto uno que pone lentísima la pc e incluso cierra las ventanas automáticamente y deniega el acceso a diversos programas insertando un falso debugger en el registro de windows.

Por si acaso es ese virus, entrá desde Linux o un miniXP (HBCD) y buscá dentro de Users una carpeta con el nombre de tu usuario más un 1 (sería TuUsuario1) dentro hay un Winlogon.exe, así que borras la carpeta.


Luego reinicias en Windows y entras a C:\Windows y cambias el nombre de regedit.exe a otro nombre por ejemplo editor.exe para que el registro falso debugger no te lo deniegue. Ya con el regedit abierto, entras a HKEY_LOCAL_MACHINE -> Software -> Microsoft -> Windows NT -> Current Version -> ImageFile Execution Options y comienzas a borrar las subcarpetas que tenga (son bastantes, hay dos que no se borran porque son del sistema)

Ya hecho esto regresas el nombre al regedit.exe y analiza con un antivirus (de preferencia microsoft security essentials para garantizar que no haya quedado nada)

Hey muy interesante, pero fijate que no me sale esa carpeta aqui estan solo las que me salen
No se que ondas porque no sale, quiza no es ese virus.

Esto es lo que me salio en W7 cuando hice los procedimientos con el Regedit




Y esto fue lo que me quedo con el Bat que me dijo ericks

[sarezer]

me parece raro... a mi ver ese bat no ha hecho nada... no encontro ninguno de los archivos... 

[linux2010]

yo tuve ese problema hace como 2 meses creo

lo solvente con esto   Attrib /d /s -r -h -s *.*
en los ** pones el nombre de la carpeta con la seña de acceso directo y de hay te la deberia dejar normal otra vez

[ENIGMAXG2]

yo tuve ese problema hace como 2 meses creo

lo solvente con esto   Attrib /d /s -r -h -s *.*
en los ** pones el nombre de la carpeta con la seña de acceso directo y de hay te la deberia dejar normal otra vez

Yo para "revelar" las carpetas uso "atrrib.exe -s -h x:\*.* /d /s" (cambiar x: por la letra de tu unidad usb) los accesos directos se pueden eliminar digitando el comando "del *.lnk"

Y por lo visto no es el virus que yo comentaba, puede se otro o ser algún problema con el equipo.

Deberías poner una captura de lo que arranca al inicio (msconfig)

[guanaman]

me parece raro... a mi ver ese bat no ha hecho nada... no encontro ninguno de los archivos... 

La verdad no hizo nada que me pudiera resolver el problema... pero si me dejo descubierto todos los desktop.ini de las carpetas, las portadas de las discografias y la mayoria de archivos del sistema. Ah de servir cuando   no podes quitarle esos atributos a los archivos, y con este bat parece que a puro huev@ se los quita... 

Aqui dejo una imagen de el explorador de archivos de windows y ahi estan las carpetas que me parecen bloqueadas



Esta imagen es cuando intente revelar las carpetas como dijo Enigmaxg2, attrib.exe -s -h C:\*.* /d /s



En lo que me logre fijar, decia acceso denegado casi en la mayoria

Aqui esta la imagen del msconfig


es curioso que solo el NEro aparesca jajaja, aunq le acabada de desinstalar el KIS, pero tendrian que aparecer mas cosas