Author Topic: Por qué avast! no detecta esto  (Read 15459 times)

0 Members and 1 Guest are viewing this topic.

REDACTED

  • Guest
Por qué avast! no detecta esto
« on: July 27, 2014, 07:40:24 AM »
Hola! me preguntaba si mi pc estaba totalmente limpia asique instalé malwarebytes, realicé un análisis y detectó lo que muestra la imagen adjunta. Ahora mi duda es: si yo elimino esos objetos ¿causará la inestabilidad del sistema?
Otra pregunta: el hecho de que mwb haya detectado eso y Avast en el arranque NO: ¿esto se debe a la sensibilidad de la heurística?
También detecta un trojandropped hidcon.exe pero avast tampoco lo detecta y eso me preocupa.
Gracias!

REDACTED

  • Guest
Re: Por qué avast! no detecta esto
« Reply #1 on: July 27, 2014, 10:38:43 PM »
Lamentablemente ningun programa de seguridad protege el 100 %, ademas veo muchos PUM que son Modificaciones no deseadas y avast! no detecta eso. Tambien el bot y el hijack estan en registros que pueden ser huerfanos de una infeccion pasada.

... Ahora mi duda es: si yo elimino esos objetos ¿causará la inestabilidad del sistema?

¿ Esto quiere decir que no haz aplicado la limpieza de MBAM ?

Dudo que le haga algo al sistema. MBAM es bastante seguro y es el primer reporte pedido en casi todos los foros de limpieza de malware. No puedo ver exactamente la direccion de las detecciones ni el trojandropped hidcon.exe que tu dices. Cuando anexes reportes ( Logs ) de analisis tienes que hacerlo en forma de texto ( .txt ). Todos los programas dan este tipo de reportes al final del analisis. MBAM complico la forma en que los da, y ahora tienes dos formas de copiarlo a un bloc de notas ( documento de texto ), o lo haces cuando el analisis termina, o lo haces desde el historial. ver imagen

Si quieres estar seguro si tu sistema esta limpio tienes que seguir este procedimiento:

Tienes que leer esta guia.

http://forum.avast.com/index.php?topic=53253.0

Bajar y ejecutar estos programas ( los encuetras en la guia ); , Malwarebytes'( MBAM ), Farbar Recovery Scan Tool, y aswMBR.exe y sus reportes los guardas y los anexas ( no copiar/pegar ) .

Si no sabes ingles el unico sitio en español de confianza que conosco es este:

http://www.forospyware.com/foro-de-virus-y-spywares/



REDACTED

  • Guest
Re: Por qué avast! no detecta esto
« Reply #2 on: July 28, 2014, 09:14:27 PM »
Hola Iroc, gracias por tu inmensa ayuda, siempre estas para darnos una mano. Te comento que esa captura de pantalla es de la cuarentena de Malwarebytes y estan alojados alli luego de haber analizado el sistema. Por el momento no me han dado problemas. El único que he devuelto al sistema y que no se ve en la imagen es el hidcon.exe porque en el análisis de virustotal solo detectan 3 de 50 antivirus y he leido en un foro que a algunos usuarios les dió problemas de arranque del S.O por el faltante de él.
Voy a seguir los pasos de la guia en inglés para comprobar.
 :D

-EDITO--
Voy a adjuntar los análisis, el primero que realicé con malwarebytes y el ultimo. Eso es lo que me habias pedido.
« Last Edit: July 28, 2014, 10:03:18 PM by ::juanka:: »

REDACTED

  • Guest
Re: Por qué avast! no detecta esto
« Reply #3 on: July 29, 2014, 12:40:50 AM »
El buen hidcon.exe es un programa para modificar el reloj de Windows y aunque pueda ser detectado por MBAM es un F/P. Tambien tiene instancias que Office lo usa y otro programa llamado photodex. Ahora bien, tienes otros hidcon.exe que si son malware y la unica forma de saber es por un experto que analice el archivo que tienes.

.. en el análisis de virustotal solo detectan 3 de 50 antivirus y he leido en un foro que a algunos usuarios les dió problemas de arranque del S.O por el faltante de él.

Siempre es mejor pegar la direccion del analisis de VT. Asi yo puedo ver el analisis del archivo. VT tiene mucho mas que enseñar que los resultados de los analizadores.

En esta direccion puedes ver un hidcon.exe que es bueno y solo detectado por VT por 2 analizadores. Al fondo de la pagina vas aver 4 hidcon.exe que son maliciosos y casi todos los analizadores de VT lo detectan. Una manera de saber si el tuyo es bueno es comparando el MD5 del archivo con los que son infecciosos.
http://www.herdprotect.com/hidcon.exe-c0adf61a17a3698548bee1ef225ad824ab901e0d.aspx

El otro rograma que me preocupa es el Backdoor.Bot, D:\WINDOWS.0\system32\WindowsUpdate.exe. MBAM no detectaria ese archivo si fuera el original de Windows y siendo un BackdoorBot es de suma gravedad.

Me recomendacion es chequear tu ordenador y si puede ser aqui en avast! mejor donde pueden hacer una inspeccion visual de tus archivos con Farbar o OTL. Si abres un topico en Virus and worms yo estaria atento a guiarte en lo que no entiendas.

REDACTED

  • Guest
Re: Por qué avast! no detecta esto
« Reply #4 on: July 29, 2014, 04:15:29 AM »
Realicé el análisis de "mi" archivo hidcon.exe con virustotal y este es el resultado: https://www.virustotal.com/es/file/b88a4d442bcd94457fc75dc5a541dc3437fd01091a2b6500569c699260e65238/analysis/1406598732/
de ahi logré extraer el MD5 y pude comparar con el MD5 del archivo legitimo y original que aparece en el link que me escribiste: http://www.herdprotect.com/hidcon.exe-c0adf61a17a3698548bee1ef225ad824ab901e0d.aspx
Llegando a la conclusión que mi archivo alojado en mi pc es aparentemente original. (si encuentras algo extraño avisame).
¿Creerías que mbam tiene un falso positivo?

Con respecto al D:\WINDOWS.0\system32\WindowsUpdate.exe, lo tengo en cuarentena también para evitar problemas y mantenerlo alejado del resto del sistema. Hoy analicé de nuevo con mbam y no encontró ningún otro archivo malicioso. Por ahora no lo eliminé definitivamente por las dudas.

REDACTED

  • Guest
Re: Por qué avast! no detecta esto
« Reply #5 on: July 29, 2014, 10:25:30 PM »
¿ Porque lo detecta MBAM ? No se. Habria que reportarlo en su foro y mandarles el archivo.

Si puedes seguir las instrucciones de Farbar y aswMBR.exe ( https://forum.avast.com/index.php?topic=53253.0 ) y anexar sus reportes, yo le pediria a essexboy que le echara una mirada a ver que encuentra el.

REDACTED

  • Guest
Re: Por qué avast! no detecta esto
« Reply #6 on: July 30, 2014, 11:59:20 PM »
Hola Iroc  :)
Aqui tengo los reportes de Farbar y aswBMR. Espero que ayude en algo pero no veo algo en particular ahi.
Si queres, ayudame sobre como enviar el archivo a essexboy o alguien que lo pueda analizar por favor. Ya hice la comparación de los md5 y aparentemente es el original de Win.

REDACTED

  • Guest
Re: Por qué avast! no detecta esto
« Reply #7 on: July 31, 2014, 12:09:59 AM »
Algo raro en esos reportes. Tanto el de Farbar y aswBMR parecieran no estar completos. Yo le aviso a essexboy. Asi que tranquilo y atento cuando el conteste.

REDACTED

  • Guest
Re: Por qué avast! no detecta esto
« Reply #8 on: July 31, 2014, 01:01:49 AM »
Estaré atento.  :)
El informe de Asw tiene info sobre administrador y no de administrador.desktop que es el que utilizo actualmente, el anterior es de una partición que esta sobreescrita pero igual informó sobre eso  ???
Gracias por todo Iroc y esperaré novedades.

Offline essexboy

  • Malware removal instructor
  • Avast Überevangelist
  • Probably Bot
  • *****
  • Posts: 40589
  • Dragons by Sasha
    • Malware fixes
Re: Por qué avast! no detecta esto
« Reply #9 on: July 31, 2014, 03:45:04 PM »
Download and Install Combofix
 
Download ComboFix from one of the following locations:
Link 1
Link 2
 
VERY IMPORTANT !!! Save ComboFix.exe to your Desktop
 
* IMPORTANT - Disable your AntiVirus and AntiSpyware applications, usually via a right click on the System Tray icon. They may otherwise interfere with our tools. If you have difficulty properly disabling your protective programs, refer to this link here
  • Double click on ComboFix.exe & follow the prompts.
  • Accept the disclaimer and allow to update if it asks




  • When finished, it shall produce a log for you.
  • Please include the C:\ComboFix.txt in your next reply.[/b]
Notes:
1. Do not mouse-click Combofix's window while it is running. That may cause it to stall.
2. Do not "re-run" Combofix. If you have a problem, reply back for further instructions.

3.  If after the reboot you get errors about programmes being marked for deletion then reboot, that will cure it.


Please make sure you include the combo fix log in your next reply as well as describe how your computer is running now

REDACTED

  • Guest
Re: Por qué avast! no detecta esto
« Reply #10 on: July 31, 2014, 04:04:42 PM »
Thank you essexboy.

@::juanka::

Descarga ComboFix del Link 1 o del 2 a tu escritorio ( ningun otro lado )
Desactiva los escudos de avast! y/u otro programa de seguridad que tengas
Double click ComboFix y acepta todo. Hasta actualizaciones si lo pide. " Agree "

Mientras ComboFix corre no tengas nada activo en tu ordenador. Cierra los navegadores, mesengers, Explorer, etc. No muevas el raton para nada

ComboFix generara un reporte en C:\ComboFix.txt. anexalo en tu respuesta.

No trates de ejecutar ComboFix por segunda vez si tuvistes problemas la primera vez. Reporta el problema.
Si despues de finalizar y reinicias, te da problemas con errores siertos programas que no fueron removidos, reinicia nuevamente.

REDACTED

  • Guest
Re: Por qué avast! no detecta esto
« Reply #11 on: August 02, 2014, 06:36:24 AM »
Hola, ya realicé las acciones que me recomendaron. El link 1 tiene virus bank, aviso por las dudas. También al iniciar combofix requería crear un punto de restauración pero no pudo asi que continuó con el análisis.
Adjunto el archivo txt con los resultados, espero Iroc & essexboy me puedan ayudar  :)
Saludos cordiales!

Offline essexboy

  • Malware removal instructor
  • Avast Überevangelist
  • Probably Bot
  • *****
  • Posts: 40589
  • Dragons by Sasha
    • Malware fixes
Re: Por qué avast! no detecta esto
« Reply #12 on: August 02, 2014, 12:19:49 PM »
Necesito buscar varios archivos que faltan ahora. Utilizaremos FRST para esto


Ejecute FRST y en el cuadro de búsqueda, escriba lo siguiente:

wscntfy.exe;regsvc.dll;mspmsnsv.dll;tcpip.sys

A continuación, pulse buscar archivos
Un registro de search.txt se producirá, por favor lo publique



I will need to search for several missing files now.  We will use FRST for this

Run FRST and in the search box type the following :

wscntfy.exe;regsvc.dll;mspmsnsv.dll;tcpip.sys

Then press Search Files
A search.txt log will be produced, please post that

REDACTED

  • Guest
Re: Por qué avast! no detecta esto
« Reply #13 on: August 02, 2014, 04:00:12 PM »
Hola, ya realicé las acciones que me recomendaron. El link 1 tiene virus bank, aviso por las dudas.

" The first link was detected as a virus Bank "

Mi culpa. Deberia haberte advertido. A veces avast! detectara ComboFix como infectado pero es un F/P.

My bad. I should have warned you. Sometimes avast! will detect ComboFix as a malisious program. It is a F/P.

No importa sigue las instrucciones de essexboy. tienes que usar FRST otra vez. eseexboy esta buscando unos archivos que no encuentra. Son los que estan en negrito.



REDACTED

  • Guest
Re: Por qué avast! no detecta esto
« Reply #14 on: August 04, 2014, 04:39:20 PM »
Perdón por la demora, adjunto el archivo que me solicitó essexboy, farbar lo encontró.
Gracias  :D