Problema con archivos ocultos

Iniciado por itzg3, 13 Diciembre 2010, 21:15 PM

0 Miembros y 1 Visitante están viendo este tema.

itzg3

Hola a  todos .

Tengo un problema en windows, resulta que tengo varios archivos ocultos .

Pero lo configuro en herramientas para que muestre los ocultos y lo que oculta el S.O
y le doy aplicar y aceptar nada se vuelbe a su propia configuracion y no muestra los archivos porfavor prodrian ayudarme como solucionar el problema  :huh:


Gracias

saliaz

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Explorer\Advanced\Folder\Hidden\SHOWALL hay una entrada que se llama CheckedValue, la cual por defecto es una entrada tipo DWORD, y el virus la elimina y crea una de nombre identico, de tipo alfanumerica, lo que debes de hacer, es eliminarla, y crear una tipo DWORD con valor 1

Randomize

Ni el tipo de máquina.

Ni la versión del sistema.

Ni la seguridad incorporada.


:D :D :D


Ho-Ho-Ho

itzg3

#3
Cita de: saliaz22 en 13 Diciembre 2010, 21:28 PM
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Explorer\Advanced\Folder\Hidden\SHOWALL hay una entrada que se llama CheckedValue, la cual por defecto es una entrada tipo DWORD, y el virus la elimina y crea una de nombre identico, de tipo alfanumerica, lo que debes de hacer, es eliminarla, y crear una tipo DWORD con valor 1

Hola amigo .

Hize todo lo que me dijiste pero lo  al eliminar el archivo "CheckedValue"  creo ontro "REG_DWORD" con el nombre "CheckedValue" y me dice que con ese nombre ya existe un archivo y al acutalizar la ventana aparece denuevo el archivo "CheckedValue"con el valor de 0 .

Y no se habilita mis archivos para poderlos ver .    :-\


Salu2

Arcano.

Buenas itzg3

Citaral acutalizar la ventana aparece denuevo el archivo "CheckedValue"con el valor de 0 .

Eso ocurre porque tu equipo está infectado por algún tipo de Malware. Primero debes eliminar 'el bicho', después ya te preocuparás de ver los archivos ocultos.

De todas formas, iniciando en modo seguro -donde posiblemente no se ejecute 'el virus'-, cambiando la rama que te indicaba saliaz22, sí podrás ver los archivos ocultos. Pero al reiniciar en modo normal, volverás a tener el mismo problema.

¿Consejo?

(1) Eliminar Malware.
    (1.1) ¿Tienes antivirus? Si es que 'no': Aquí te dejo algunos que puedes probar: Avast Free, Avira Free, Panda Cloud, Microsoft essentials, AVG Free...

Típica pregunta... ¿Cuál es mejor? Depende, principalmente de las características del ordenador y del uso que le des. Para gustos, los colores.

(2) Si tienes antivirus, actualízalo e inicia en modo seguro mediante F8. Mejor SIN conexiones de red.

(3) Escanea el ordenador, a ver qué te encuentra.

Si consigues mandar a paseo 'al amigo', deberás (1) Copiar el siguiente texto mediante el notepad. (2) Guardarlo con extensión .reg donde más te guste. (3) Ejecutarlo. (4) Borrar el archivo .reg si no quieres conservarlo

CitarWindows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\FriendlyTree]
"CheckedValue"=dword:00000001
"UncheckedValue"=dword:00000000
"DefaultValue"=dword:00000001

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\NOHIDDEN]
"CheckedValue"=dword:00000002
"ValueName"="Hidden"
"DefaultValue"=dword:00000002

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
"CheckedValue"=dword:00000001
"ValueName"="Hidden"
"DefaultValue"=dword:00000002

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden]
"ValueName"="ShowSuperHidden"
"CheckedValue"=dword:00000000
"UncheckedValue"=dword:00000001
"DefaultValue"=dword:00000000

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden\Policy\DontShowSuperHidden]
@=""

Es, básicamente, lo que te comentó saliaz22, que es totalmente correcto, pero ampliado.

O bien, "PASO -1": ¿No sabes muy bien cómo iniciar en modo seguro, no tienes la certeza de tener antivirus? O, simple y llanamente, prefieres que te aconsejemos/ayudemos...

PASO 1:Descarga Hijackthis y péganos el log (Do a system scan and save a logfile)

Ya nos contarás.

Saludos.



La curiosidad es la antesala al conocimiento...

itzg3

Hola amigo Arcano

Bueno hice lo que dijiste con el programa y este el log:

CitarLogfile of Trend Micro HijackThis v2.0.4
Scan saved at 16:15:24, on 15/12/2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Archivos de programa\Alwil Software\Avast4\aswUpdSv.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\system32\VTTimer.exe
C:\WINDOWS\system32\VTtrayp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Archivos de programa\MSN\Msn 7.5 Cero Errores\msnmsgr.exe
C:\Archivos de programa\Internet Download Manager\IDMan.exe
c:\Archivos de programa\Archivos comunes\Protexis\License Service\PsiService_2.exe
C:\Archivos de programa\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Archivos de programa\Mozilla Firefox\firefox.exe
C:\Documents and Settings\Crackenz\Mis documentos\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.garena.com/portal/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: IDM Helper - {0055C089-8582-441B-A0BF-17B458C2A3A8} - C:\Archivos de programa\Internet Download Manager\IDMIECC.dll
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Archivos de programa\Archivos comunes\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [VTTimer] VTTimer.exe
O4 - HKLM\..\Run: [VTTrayp] VTtrayp.exe
O4 - HKLM\..\Run: [avast!] C:\ARCHIV~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Archivos de programa\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Adobe ARM] "C:\Archivos de programa\Archivos comunes\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Archivos de programa\MSN\Msn 7.5 Cero Errores\msnmsgr.exe" /background
O4 - HKCU\..\Run: [AlcoholAutomount] "C:\Archivos de programa\Alcohol Soft\Alcohol 120\axcmd.exe" /automount
O4 - HKCU\..\Run: [IDMan] C:\Archivos de programa\Internet Download Manager\IDMan.exe /onboot
O4 - HKCU\..\Run: [cdoosoft] C:\WINDOWS\system32\olhrwef.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICIO LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Servicio de red')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: AWUS036H Wireless LAN Utility.lnk = C:\Archivos de programa\AWUS036H Wireless LAN Utility\RtWLan.exe
O8 - Extra context menu item: &Enviar a OneNote - res://c:\ARCHIV~1\MICROS~2\Office14\ONBttnIE.dll/105
O8 - Extra context menu item: Descargar con IDM - C:\Archivos de programa\Internet Download Manager\IEExt.htm
O8 - Extra context menu item: Descargar con IDM el contenido de video FLV - C:\Archivos de programa\Internet Download Manager\IEGetVL.htm
O8 - Extra context menu item: Descargar con IDM todos los enlaces  - C:\Archivos de programa\Internet Download Manager\IEGetAll.htm
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://c:\ARCHIV~1\MICROS~2\Office14\EXCEL.EXE/3000
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{DF9F1AF3-9A69-459A-85BD-14668D68F5F6}: NameServer = 200.48.225.130,200.48.225.146
O17 - HKLM\System\CCS\Services\Tcpip\..\{F4C208C9-C58E-4758-8EA4-EB8B17BC598A}: NameServer = 200.48.225.130,200.48.225.146
O22 - SharedTaskScheduler: Precargador Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Demonio de caché de las categorías de componente - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Archivos de programa\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Archivos de programa\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Archivos de programa\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Archivos de programa\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Servicio del administrador de discos lógicos (dmadmin) - Unknown owner - C:\WINDOWS\System32\dmadmin.exe
O23 - Service: Registro de sucesos (Eventlog) - Unknown owner - C:\WINDOWS\system32\services.exe
O23 - Service: Servicio COM de grabación de CD de IMAPI (ImapiService) - Unknown owner - C:\WINDOWS\system32\imapi.exe
O23 - Service: Escritorio remoto compartido de NetMeeting (mnmsrvc) - Unknown owner - C:\WINDOWS\system32\mnmsrvc.exe
O23 - Service: nProtect GameGuard Service (npggsvc) - Unknown owner - C:\WINDOWS\system32\GameMon.des.exe (file missing)
O23 - Service: Plug and Play (PlugPlay) - Unknown owner - C:\WINDOWS\system32\services.exe
O23 - Service: Protexis Licensing V2 (PSI_SVC_2) - Protexis Inc. - c:\Archivos de programa\Archivos comunes\Protexis\License Service\PsiService_2.exe
O23 - Service: Administrador de sesión de Ayuda de escritorio remoto (RDSessMgr) - Unknown owner - C:\WINDOWS\system32\sessmgr.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - CACE Technologies, Inc. - C:\Archivos de programa\WinPcap\rpcapd.exe
O23 - Service: Tarjeta inteligente (SCardSvr) - Unknown owner - C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: StarWind AE Service (StarWindServiceAE) - Rocket Division Software - C:\Archivos de programa\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe
O23 - Service: Registros y alertas de rendimiento (SysmonLog) - Unknown owner - C:\WINDOWS\system32\smlogsvc.exe
O23 - Service: Instantáneas de volumen (VSS) - Unknown owner - C:\WINDOWS\System32\vssvc.exe
O23 - Service: Adaptador de rendimiento de WMI (WmiApSrv) - Unknown owner - C:\WINDOWS\system32\wbem\wmiapsrv.exe

--
End of file - 6824 bytes

Espero que sea util....




Arcano.

#6
Buenas itzg3

Varias cosas:

CitarO4 - HKLM\..\Run: [avast!] C:\ARCHIV~1\ALWILS~1\Avast4\ashDisp.exe

No iría mal que actualizaras la versión: http://files.avast.com/iavs5x/setup_av_free_esp.exe?source=fdh

CitarMSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)

Tampoco iría mal que actualizaras. Aunque veo que utilizas Firefox....

CitarO4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Archivos de programa\Adobe\Reader 9.0\Reader\Reader_sl.exe"

Tampoco iría mal que actualizaras

____________________________

Pero bueno, dejando a un lado meros consejos:

CitarO4 - HKCU\..\Run: [cdoosoft] C:\WINDOWS\system32\olhrwef.exe

Éste es el culpable de lo que te sucede. Es un viejo amigo. Me he ido de copas unas cuantas veces con él. No es un mal tipo, pero acaba haciéndose pesao...

Tienes dos opciones:

(1) Echar un vistazo a este post

O bien...


(2) Descargar MalwareBytes y Ccleaner

 (2.1) Actualizar MalwareBytes.  

 (2.2) Desactivar Restaurar Sistema.  
 
 (2.3) Iniciar en modo seguro con F8. Mejor SIN funciones de red.
 
 (2.4) Realizar escaneo completo con MalwareBytes.
 
 (2.5) Revisar todo lo que te encuentre y, antes de darle a borrar, comprobar que no está eliminando alguna aplicación que sepas al 100% que no es 'maligna'.  :¬¬ Si no estás seguro, BORRA todo.

 (2.6) Ejecutar Ccleaner y limpiar todo lo encontrado.

 (2.7) Iniciar Windows normalmente y quitar 'el tic' de "Desactivar restaurar sistema".

Ya nos contarás.

Saludos.

La curiosidad es la antesala al conocimiento...

itzg3

Hola amigo Arcano

sinceramente que fue de mucha ayuda tus consejos ..

Logre soluciona el problema con los pasos que em dijiste ahora puedo ver archivos ocultos con normalidad.



Gracias de antemano x tus consejos que fueron concretos y coherentes...

;-) ;-) ;-) ;-)

Saludos

Arcano.

#8
Buenas itzg3,

Me alegra que te haya servido de ayuda.  :)

Por otro lado, ten en cuenta que "olhrwef" se propaga mediante pendrive. No olvides vacunar tus USB mediante las diferentes herramientas existentes. O mediante el parche oficial de Microsoft para quitar el Autorun. O bien... Mediante las políticas de Windows:

1- INICIO / EJECUTAR / GPEDIT.MSC (Sólo para XP Profesional)

CitarConfiguración de usuario / Plantillas Administrativas / Sistema / Desactivar Reproducción automática. ---> Habilitada para Todas las unidades

2- Copias:

CitarREGEDIT4
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\Autorun.inf]@="@SYS:DoesNotExist"

Lo pegas en un bloc de notas, lo guardas con extensión .reg y lo ejecutas.

Como mejor veas... Pero lleva a cabo algunas de las opciones para evitar 'reinfecciones' por este tipo de bichos  ;)

Saludos!

La curiosidad es la antesala al conocimiento...