Discussion:
f2kmj.exe
(demasiado antiguo para responder)
Desastres
2010-01-11 23:27:26 UTC
Permalink
Hola.
Me ha aparecido este animal en la granja y le desconozco.
Dice que es una archivo del sistema pero no indica en sus propiedades,que sea de MS

He buscado y un tal Prevex dice que es un virus pero a pesar de lo que dice no lo detecta como tal.
Ha creado una entrada en el registro en :
Explorer Bars ---> {Algo mas}---> FilesNamedMRU
que he renonmbrado así como el mismo ejecutable, por si acaso

¿Alguien puede decirme si es de Microsoft (o al menos bueno y necesario) o si es un virus?
--
Saludos y ... Excel entes vibraciones
Des As Tres No imprimas, ganemos un árbol... o tres hojinas
.
José A. Quílez [MS MVP]
2010-01-12 06:53:52 UTC
Permalink
Eso es un troyano como una casa. Ten en cuenta que los antivirus no detectan
muchos de los que andan por ahí, más si son nuevos. Es muy típico en los
troyanos colarse en un archivo con un nombre compuesto de caracteres
aleatorios, como el que indicas. Para borrarlo, primero busca el proceso en
el administrador de tareas y lo matas, luego borras el archivo del disco.
Hay veces que no se deja porque hay otros procesos relacionados en memoria;
en este caso, a veces funciona mover el archivo a otra ubicación del disco y
reiniciar el equipo. Tras ello, y poniendo casi por seguro que donde había
uno vas a tener a toda la familia, instala otros antivirus (nunca más de uno
activo a la vez) y haz un escaneo completo, y lo mismo con varios
antitroyanos hasta que no quede nada.
Una buena utilidad de detección (que no limpieza) de troyanos es el
tcpview.exe de la suite sysinternals, que puedes descargar desde el
siguiente enlace:
http://technet.microsoft.com/es-es/sysinternals/default.aspx
Con esa utilidad puedes descubrir si hay algún proceso que esté realizando
conexiones al exterior que no tengas controladas, con lo que pondrás a ese
proceso en estado "sospechoso".
Otra buena utilidad de esta suite es el procexp.exe, con el que podrás ver
con detalle todos los procesos que están corriendo en el equipo, y sus
dependencias, con bastante más detalle que con el administrador de tareas.
Es conveniente editar los campos visibles (menú view, select colums) y
marcar "Verified signer", con lo que te aparecerá una nueva columna en la
que te informará caso de que la firma del archivo no sea válida (cualquiera
puede escribir "Microsoft" para firmar un archivo cuando lo crea, pero en el
troyano esa firma no estará respaldada por ninguna autoridad de
certificación y te lo dirá).

Si el equipo es crítico y tras las limpiezas ves que tiene problemas en su
funcionamiento, lo mejor (aunque laborioso) es reinstalar el equipo, ya que
los programas maliciosos te suelen dejar el equipo tocado (aunque lo hayas
limpiado) y suelen aparecer problemas a la larga.
--
Saludos
José Antonio Quílez

http://msmvps.com/blogs/quilez/
Post by Desastres
Hola.
Me ha aparecido este animal en la granja y le desconozco.
Dice que es una archivo del sistema pero no indica en sus propiedades,que sea de MS
He buscado y un tal Prevex dice que es un virus pero a pesar de lo que
dice no lo detecta como tal.
Explorer Bars ---> {Algo mas}---> FilesNamedMRU
que he renonmbrado así como el mismo ejecutable, por si acaso
¿Alguien puede decirme si es de Microsoft (o al menos bueno y necesario) o si es un virus?
--
Saludos y ... Excel entes vibraciones
Des As Tres No imprimas, ganemos un árbol... o tres hojinas
.
Desastres
2010-01-12 09:26:26 UTC
Permalink
Gracias José Antonio.
Tenia demasiadas patas, pa ser bueno.
Menos mal que apareció en un prao en el que no tenia que haber animales y se detectó a simple vista.
No le veo en el editor de procesos y como lo renombre allí donde le encontré espero que no lance
mas cosas.
Voy al link que me envías para ver si trajo a la familia
--
Saludos y ... Excel entes vibraciones
Des As Tres No imprimas, ganemos un árbol... o tres hojinas
.
Post by José A. Quílez [MS MVP]
Eso es un troyano como una casa. Ten en cuenta que los antivirus no detectan
muchos de los que andan por ahí, más si son nuevos. Es muy típico en los
troyanos colarse en un archivo con un nombre compuesto de caracteres
aleatorios, como el que indicas. Para borrarlo, primero busca el proceso en
el administrador de tareas y lo matas, luego borras el archivo del disco.
Hay veces que no se deja porque hay otros procesos relacionados en memoria;
en este caso, a veces funciona mover el archivo a otra ubicación del disco y
reiniciar el equipo. Tras ello, y poniendo casi por seguro que donde había
uno vas a tener a toda la familia, instala otros antivirus (nunca más de uno
activo a la vez) y haz un escaneo completo, y lo mismo con varios
antitroyanos hasta que no quede nada.
Una buena utilidad de detección (que no limpieza) de troyanos es el
tcpview.exe de la suite sysinternals, que puedes descargar desde el
http://technet.microsoft.com/es-es/sysinternals/default.aspx
Con esa utilidad puedes descubrir si hay algún proceso que esté realizando
conexiones al exterior que no tengas controladas, con lo que pondrás a ese
proceso en estado "sospechoso".
Otra buena utilidad de esta suite es el procexp.exe, con el que podrás ver
con detalle todos los procesos que están corriendo en el equipo, y sus
dependencias, con bastante más detalle que con el administrador de tareas.
Es conveniente editar los campos visibles (menú view, select colums) y
marcar "Verified signer", con lo que te aparecerá una nueva columna en la
que te informará caso de que la firma del archivo no sea válida (cualquiera
puede escribir "Microsoft" para firmar un archivo cuando lo crea, pero en el
troyano esa firma no estará respaldada por ninguna autoridad de
certificación y te lo dirá).
Si el equipo es crítico y tras las limpiezas ves que tiene problemas en su
funcionamiento, lo mejor (aunque laborioso) es reinstalar el equipo, ya que
los programas maliciosos te suelen dejar el equipo tocado (aunque lo hayas
limpiado) y suelen aparecer problemas a la larga.
--
Saludos
José Antonio Quílez
http://msmvps.com/blogs/quilez/
Post by Desastres
Hola.
Me ha aparecido este animal en la granja y le desconozco.
Dice que es una archivo del sistema pero no indica en sus propiedades,que sea de MS
He buscado y un tal Prevex dice que es un virus pero a pesar de lo que
dice no lo detecta como tal.
Explorer Bars ---> {Algo mas}---> FilesNamedMRU
que he renonmbrado así como el mismo ejecutable, por si acaso
¿Alguien puede decirme si es de Microsoft (o al menos bueno y necesario) o
si es un virus?
--
Saludos y ... Excel entes vibraciones
Des As Tres No imprimas, ganemos un árbol... o tres hojinas
.
Desastres
2010-01-12 09:50:35 UTC
Permalink
Hola, de nuevo.
Creo que aún pasan cosas raras.
Descargué, no vi una utilidad simple, el sysinternals suite y tiene tantos ejecutables que no se por
donde empezar.
Pero es que además, me ha aparecido por primera vez el mensaje:
"Algunos ficheros extraídos de SysinternalsSuite.zip fueron modificados o se crearon nuevos
ficheros. ¿Desea Incluirlos en el archivo?" Si-No-Cancelar
Como es la primera vez , he salido sin hacer nada y no he lanzado ningún ejecutable por que no he
visto ningún punto que lance la suite en conjunto y por si los modificados o añadidos están
infectados y se distribuyen por toda la finca.
¿Puedes aún echar una mano?
--
Saludos y ... Excel entes vibraciones
Des As Tres No imprimas, ganemos un árbol... o tres hojinas
.
Post by José A. Quílez [MS MVP]
Eso es un troyano como una casa. Ten en cuenta que los antivirus no detectan
muchos de los que andan por ahí, más si son nuevos. Es muy típico en los
troyanos colarse en un archivo con un nombre compuesto de caracteres
aleatorios, como el que indicas. Para borrarlo, primero busca el proceso en
el administrador de tareas y lo matas, luego borras el archivo del disco.
Hay veces que no se deja porque hay otros procesos relacionados en memoria;
en este caso, a veces funciona mover el archivo a otra ubicación del disco y
reiniciar el equipo. Tras ello, y poniendo casi por seguro que donde había
uno vas a tener a toda la familia, instala otros antivirus (nunca más de uno
activo a la vez) y haz un escaneo completo, y lo mismo con varios
antitroyanos hasta que no quede nada.
Una buena utilidad de detección (que no limpieza) de troyanos es el
tcpview.exe de la suite sysinternals, que puedes descargar desde el
http://technet.microsoft.com/es-es/sysinternals/default.aspx
Con esa utilidad puedes descubrir si hay algún proceso que esté realizando
conexiones al exterior que no tengas controladas, con lo que pondrás a ese
proceso en estado "sospechoso".
Otra buena utilidad de esta suite es el procexp.exe, con el que podrás ver
con detalle todos los procesos que están corriendo en el equipo, y sus
dependencias, con bastante más detalle que con el administrador de tareas.
Es conveniente editar los campos visibles (menú view, select colums) y
marcar "Verified signer", con lo que te aparecerá una nueva columna en la
que te informará caso de que la firma del archivo no sea válida (cualquiera
puede escribir "Microsoft" para firmar un archivo cuando lo crea, pero en el
troyano esa firma no estará respaldada por ninguna autoridad de
certificación y te lo dirá).
Si el equipo es crítico y tras las limpiezas ves que tiene problemas en su
funcionamiento, lo mejor (aunque laborioso) es reinstalar el equipo, ya que
los programas maliciosos te suelen dejar el equipo tocado (aunque lo hayas
limpiado) y suelen aparecer problemas a la larga.
--
Saludos
José Antonio Quílez
http://msmvps.com/blogs/quilez/
Post by Desastres
Hola.
Me ha aparecido este animal en la granja y le desconozco.
Dice que es una archivo del sistema pero no indica en sus propiedades,que sea de MS
He buscado y un tal Prevex dice que es un virus pero a pesar de lo que
dice no lo detecta como tal.
Explorer Bars ---> {Algo mas}---> FilesNamedMRU
que he renonmbrado así como el mismo ejecutable, por si acaso
¿Alguien puede decirme si es de Microsoft (o al menos bueno y necesario) o
si es un virus?
--
Saludos y ... Excel entes vibraciones
Des As Tres No imprimas, ganemos un árbol... o tres hojinas
.
José A. Quílez [MS MVP]
2010-01-12 13:35:31 UTC
Permalink
Hola Desastres
De todos los ejecutables que trae el archivo (que no tiene desperdicio
ninguno de ellos) los que tienes que usar para lo que te he comentado son el
tcpview.exe y el procexp.exe.
Ahora, la extracción del archivo no tiene que dar ningún mensaje de que se
ha modificado ninguno de ellos, por lo que el hecho es síntoma de que tienes
más de un bicho en memoria. Para poder usar esos archivos, haz lo siguiente:
descarga de nuevo el archivo en un equipo que sepas que está limpio de virus
y troyanos. Lo extraes en él (no tiene que decirte nada sobre modificaciones
en los archivos, sino extraerlos sin más) y copias la carpeta resultante a
un CD; de esta forma te aseguras que estos ejecutables no van a ser
modificados cuando los tengas en el equipo infectado. Llevas el CD al equipo
en cuestión y ejecutas las utilidades desde el propio CD.
--
Saludos
José Antonio Quílez

http://msmvps.com/blogs/quilez/
Post by Desastres
Hola, de nuevo.
Creo que aún pasan cosas raras.
Descargué, no vi una utilidad simple, el sysinternals suite y tiene tantos
ejecutables que no se por
donde empezar.
"Algunos ficheros extraídos de SysinternalsSuite.zip fueron modificados o
se crearon nuevos
ficheros. ¿Desea Incluirlos en el archivo?" Si-No-Cancelar
Como es la primera vez , he salido sin hacer nada y no he lanzado ningún
ejecutable por que no he
visto ningún punto que lance la suite en conjunto y por si los modificados
o añadidos están
infectados y se distribuyen por toda la finca.
¿Puedes aún echar una mano?
--
Saludos y ... Excel entes vibraciones
Des As Tres No imprimas, ganemos un árbol... o tres hojinas
.
Post by José A. Quílez [MS MVP]
Eso es un troyano como una casa. Ten en cuenta que los antivirus no detectan
muchos de los que andan por ahí, más si son nuevos. Es muy típico en los
troyanos colarse en un archivo con un nombre compuesto de caracteres
aleatorios, como el que indicas. Para borrarlo, primero busca el proceso en
el administrador de tareas y lo matas, luego borras el archivo del disco.
Hay veces que no se deja porque hay otros procesos relacionados en memoria;
en este caso, a veces funciona mover el archivo a otra ubicación del disco y
reiniciar el equipo. Tras ello, y poniendo casi por seguro que donde había
uno vas a tener a toda la familia, instala otros antivirus (nunca más de uno
activo a la vez) y haz un escaneo completo, y lo mismo con varios
antitroyanos hasta que no quede nada.
Una buena utilidad de detección (que no limpieza) de troyanos es el
tcpview.exe de la suite sysinternals, que puedes descargar desde el
http://technet.microsoft.com/es-es/sysinternals/default.aspx
Con esa utilidad puedes descubrir si hay algún proceso que esté realizando
conexiones al exterior que no tengas controladas, con lo que pondrás a ese
proceso en estado "sospechoso".
Otra buena utilidad de esta suite es el procexp.exe, con el que podrás ver
con detalle todos los procesos que están corriendo en el equipo, y sus
dependencias, con bastante más detalle que con el administrador de tareas.
Es conveniente editar los campos visibles (menú view, select colums) y
marcar "Verified signer", con lo que te aparecerá una nueva columna en la
que te informará caso de que la firma del archivo no sea válida (cualquiera
puede escribir "Microsoft" para firmar un archivo cuando lo crea, pero en el
troyano esa firma no estará respaldada por ninguna autoridad de
certificación y te lo dirá).
Si el equipo es crítico y tras las limpiezas ves que tiene problemas en su
funcionamiento, lo mejor (aunque laborioso) es reinstalar el equipo, ya que
los programas maliciosos te suelen dejar el equipo tocado (aunque lo hayas
limpiado) y suelen aparecer problemas a la larga.
--
Saludos
José Antonio Quílez
http://msmvps.com/blogs/quilez/
Post by Desastres
Hola.
Me ha aparecido este animal en la granja y le desconozco.
Dice que es una archivo del sistema pero no indica en sus
propiedades,que
sea de MS
He buscado y un tal Prevex dice que es un virus pero a pesar de lo que
dice no lo detecta como tal.
Explorer Bars ---> {Algo mas}---> FilesNamedMRU
que he renonmbrado así como el mismo ejecutable, por si acaso
¿Alguien puede decirme si es de Microsoft (o al menos bueno y necesario) o
si es un virus?
--
Saludos y ... Excel entes vibraciones
Des As Tres No imprimas, ganemos un árbol... o tres hojinas
.
Loading...