¿Cómo eliminar un virus en C:Windows\assembley\GAC_MSIL\desktop(3).ini

[franmar]

Hola a todos

Cuando he pasado el AVAST Free a mi ordenador me ha detectado el Win32:Malware-gen en la carpeta
C:Windows\assembly\GAC_MSIL\Desktop(3).ini

Cómo podría eliminar el dichoso Malware. Evidentemente no me deja enviarlo al Baúl.

Mi PC tiene como sistema operativo Win XP.

Muchas gracias a tod@s.

[Populous]

Hola franmar y bienvenid@ al foro! 

Antes que nada, si Avast te detectó una infección te dará a alegir entre ELIMINAR / REPARAR / ENVIAR AL BAUL (chest).. ¿Qué opcion elegiste?

De todas formas yo te recomendaría lo siguiente:

1) Analiza el pc haciendo un analisis completo por si quedaran restos de la infección y reporta los resultados aquí.
2) Descargate el MBAN http://www.malwarebytes.org/ y haz un analisis rápido (en la mayoría de los casos es más que suficiente) y reporta los resultados.
3) No elimines ningun archivo detectado como malware pues podría tratarse de un FP (Falto positivo).

En principio siguiendo estos pasos, Avast debería ser capaz de eliminar las infecciones que tengas. No obstante te comento que existe un foro específico (en inglés) donde te ayudan con las infecciones. En concreto es el de VIRUSES & WORMS (http://forum.avast.com/index.php?board=4.0). Abre un topic allí comentando tu problema y te ayudarán. Lee primero este topic antes de postear nada. [http://forum.avast.com/index.php?topic=14433.0]

Si no sabes inglés también puedes registrarte gratuitamente en (http://www.forospyware.com/) y allí te ayudarán. Es un sitio web especializado en malware donde siempre están dispuestos a ayudar al que lo necesite...

Te lo recomiendo al 100%. si te lias con el inglés.

Un saludo!

[iroc9555]

Franmar.

Aparte de las recomendaciones del amigo Populous puedes hacerlo escanear en Virus Total con mas de 40 scaneadores para una segunda opinion:

https://www.virustotal.com/

Pega aqui el enlace del resultado de virus total.

El resultado de Avast del archivo como Win32: Malware-Gen es muy generico y aunque han habido caso de Desktop.ini infectados, estos son muy escasos.

Puesto que no se puede poner en el baul de Avast podrias reportarlo a virus@avast.com para que los labs de Avast! lo analizen y descarten si esta infectado. Comprime el archivo con ZIP o RAR. Lo encriptas y le pones una contraseña ( virus ) para que pueda ser mandado por email. En el texto del email si no sabes ingles escribes " F/P ? in XP C:Windows\assembly\GAC_MSIL\Desktop(3).ini Win32:Malware-gen. Password: virus " y pones el enlace a este topico. Puede que te contesten a tu email o aqui mismo con un veredicto.

suerte.

[ady4um]

No me queda claro por qué es que no se puede enviar al chest de avast.

Si no lo puede pasar al chest, cómo podría enviarlo a VT o a cualquier otro lugar?

[iroc9555]

Si no lo puede pasar al chest, cómo podría enviarlo a VT o a cualquier otro lugar?

Yo tampoco se porque no puede pasarse al chest pero si esta en los archivos del sistema se puede mandar a VT de seguro. Tambien hacer una copia y comprimerla y mandarlo a Avast!.

Ok. Parece que no se puede llegar a ese archivo al menos que se cambie la forma de ver la carpeta de Assenbly en Windows usando command prompt.

http://social.msdn.microsoft.com/Forums/en/netfxsetup/thread/83d662c4-03d4-40f6-a52e-466db5934b9d


Tambien parece que el archivo en si todo puede ser un troyano relacionado con Zero access rootkit.

http://removevirusmalware.blogspot.com/2012/02/cwindowsassemblygacmsildesktopini.html

Asi que es mejor buscar ayuda de expertos como te lo recomendo Populous. Buena suerte.

[ady4um]

Que el archivo esté con atributo de "oculto" y/o "sistema" se entiende (dado que es lo que hace Windows en las carpetas con vistas "especiales"). Pero sigo sin entender a qué se refiere con "no se puede mandar al chest". Mi intención era recibir una respuesta que clarifique de parte de franmar.

Trataré de ser más claro. El archivo es de "sistema". Aun si se configura Windows Explorer para "ver archivos de sistema / ocultos", el archivo se verá pero seguirá siendo de "sistema". Esto quiere decir que sólo un "administrador" tiene los permisos para hacer algo con este archivo (como borrarlo por ejemplo). Si es éste el problema ("permisos de administrador"), estaríamos hablando de una cosa. Si el problema es avast mismo, el problema es otro. Si el problema es que el malware está "defendiéndose" de avast o del borrado del archivo, el problema es otro.

Voy a permitirme suponer que no es el primer "desktop.ini" que se intenta borrar, cualquiera que sea el tipo de origen del problema (de los recién mencionados). Claro que el "peor" de los casos sería el del malware "defendiéndose" del antivirus.

En cualquiera de los casos mencionados, esto pareciera ser mejor enfrentado y resulto por la gente que realmente sabe cómo hacerlo, entre los que se encuentran los usuarios en el subforum de avast, "Viruses and Worms" (en inglés).

[iroc9555]

@ Ady4um

Tengo entendido que si un archivo es de sistema Avast! no lo tocara. Yo he visto varios post donde el miembro pregunta que avast! detecto cierto archivo y no puede hacer nada con el, y la contestacion siempre es la misma " Avast! no puede hacer nada porque el archivo es de sistema ".

Saludos.

[Populous]

Iroc9555 / Ady4um,

En mi opinión, creo que lo mejor que se puede hacer es esperar a que franmar nos responda y postee los logs que le hemos pedido ya que yo tampoco tengo muy claro que quiere decir con eso de "no lo puedo enviar al chest" ni tampoco tengo claro de qué se trate de una infección ó no aunque si sé de muchas familias de troyanos que utilizan los archivos desktop.ini para camuflar código vírico en su interior ó lo que es lo mismo, infectarlos.. pero hablo hipotéticamente, no sé si este es el caso ó no.

Debemos esperar a que responda  y en caso de resultar ser una infección que siga los pasos que le indicamos si quiere que le ayudemos.

Pero como siempre suele pasar en estos casos y más en este foro..., hasta que el usuario que inicia el post no ofrezca más información con logs, capturas de pantallas, etc,  ni nos indique si ha seguido ó no, nuestras instrucciones,  poco podemos hacer por ayudarle y creo que de nada sirve lanzar hipotésis al aire y/o discutir sobre si se trata de una infección ó no ni sobre cual podrá ser la posible solución al problema de franmar.

Esperemos que conteste!

Un saludo!

[franmar]

Hola

Ante todo muchas gracias a todos los que habeis contestado.

Os comento que pasé el malwarebytes (en un análisis rápido) y no detecto nada. Tampoco tiene "síntomas" de infección el PC (no hace nada raro). Pienso que como deciis puede ser un falso positivo.

En todo caso en estos días, le pasaré algunos antivirus en línea y volveré a pasar el avast por si detectan algo.

Muchas gracias.

saludos

[iroc9555]

Franmar.

y volveré a pasar el avast por si detectan algo.

Pasalo ya. Solo toma 30 min el completo, 10 el rapido. mientras mas tiempo pasa con un malware mas daño hace.

 ¿ Avast todavia detecta el desktop.ini como malware ? y si lo detecta  ¿ con que analisador o escudo?

¿ Analisis rapido, completo, de arranque o es el escudo de archivos de sistema ?