Archivos .lnk

Hola,

Estoy teniendo algunos problemas con avast, ya que cuando conecto cualquier disco duro externo en mi PC automaticamente avast detecta archivos “.lnk” como trojans y los envia al baúl. El problema reside en que una vez hecho esto, no puedo ver el contenido del disco duro externo. ¿Como puedo solucionar esto?.

Gracias!

Podrias darnos un ejemplo de la alerta. HAz una captura y anexala o haz una captura del baul de virus y anexala.

Si estas seguro que no es una infeccion puedes excluir los archivos en:

Avast! > Opciones > Exclusiones

Avast! > ESCUDOS EN TIEMPO REAL > Escudo del sistema de archivos > opciones avanzadas > Exclusiones

No se si Autosandbox o Escudo de comportamiento pudieran tambien intervenir una vez que tengas el archivo en el HDD y lo ejecutes pero solo le tendrias que dar permiso.

Hmmm… Any .lnk or specific ones? Isn’t it pointed to an infected file/executable?
By default, avast! scans the target of links.

En español:

¿ Cualquier .lnk o alguno especifico ? ¿ No estara apuntando a un archivo/ejecutable infectado ?
Los analisis de Avast! esta predefinido a buscar esto enlaces.

Por eso te pedi que nos dieras una captura de la alerta o de lo que tienes en el baul de virus para estar seguro que es un falso/positivo.

Aquí tenéis la captura del baúl…

Una vez he excluido los archivos .lnk como me has aconsejado, ha detectado lo que os adjunto… he restaurado los .lnk que estaban en el baúl (foto anterior) y ahora al abrir la unidad de disco externa salen accesos directos con los mismos nombres de las as carpetas que tenía, pero al clickar e intentar abrir dichas carpetas salta avast de nuevo con el mismo mensaje (el que os adjunto).

Gracias de antemano.

No excluyas nada todavia estoy preguntando porque no me gusta lo que veo.

@lordsirius84:

Lo que tiene es un archivo infectado en la papelera de reciclaje…

F:\RECYCLER\e26f5077.exe

Está en la papelera reciclaje del disco F.

Los archivos .lnk son accesos directos como los iconos que se encuentra en el escritorio…

Lo que debe hacer antes que nada, es vaciar la papelera, eliminar ese archivo o mandarlo al baul y sobre todo, desactivar restaurar sistema, ya que si no lo hace, al reiniciar volverá a restaurar una copia del virus…

De todas formas espera a ver que le dicen al compañero iroc9555…

Lo que no entiendo es que el proceso que lanzó el archivo infectado fue CMD.EXE. Esto significa una de dos cosas:

  1. Bien estabas en modo consola (modo msdos) cuando accediste al disco F y ejecutaste el archivo infectado
  2. Tu sistema está infectado y cada vez que intentas acceder a una unidad de disco el virus intenta replicarse…

¿Que estabas haciendo exactamente cuando te saltó la alerta?

@Populous.

¿ Por que los demas archivos tambien son lnk ?

@lordsirius84Por favor.

¿ Haz analizado con Avast! Encuentra algo ?

Baja, instal y actualiza malwarebytes’ y haz un analisis rapido. Si encuentra algo no los elimines. Reporta los resultados.

http://www.infospyware.com/antispyware/malwarebytes-antimalware/

Si ninguno de ellos encuentra algo puede que tengas algo muy escondido y necesitas ayuda de un experto certificado. Aqui en Avast! los tenemos pero solo en ingles:

Tienes que leer esta guia.

http://forum.avast.com/index.php?topic=53253.0

Bajar y ejecutar estos programas ( los encuetras en la guia ); Malwarebytes’, OTL, y aswMBR.exe y sus reportes los guardas y los anexas ( no copiar/pegar ) en el nuevo topico que abriras aqui:

http://forum.avast.com/index.php?board=4.0

Si no sabes ingles el unico sitio en español con personal calificado que conosco es este:

http://www.forospyware.com/foro-de-virus-y-spywares/

@Iroc9555:

La mayoría de los ficheros .lnk no son ficheros sino enlaces directos a CARPETAS que están en el disco F…

También veo en la lista 2 puntos de restauración guardados y restos en la papelera de reciclaje…

Tiene toda la pinta que el troyano está activo en memoria y le está infectando todo disco que conecte y toda carpeta a la que acceda. De ahí que saliera que el proceso que lo lanza es “cmd.exe”.

Yo primero desconectaría ese disco F y realizaría un análisis de arranque y pasaría también el MBAN y cuando ya esté seguro de que no queda infección activa, entonces limpiaría el disco externo F (si es que F no es una partición del disco principal C:)

@lordsirius84:

Sigue las instrucciones de Iroc9555 en el post anterior sobre como reportar la infección para que te ayuden a limpiar el sistema.

Si el e26f5077.exe es un tipico backdoor

http://www.symantec.com/security_response/writeup.jsp?docid=2003-102711-3533-99

MBAM lo mas seguro lo encuentra y lo pone en cuarentena pero a lo mejor tiene otras infecciones porque le deja la puerta abierta amuchas otras cosas.

Ok iroc9555, lo que suponía… :-\

Entonces lo mejor es que haga un barrido completo con Avast para ver que infecciones tiene y otro con el MBAN. Que desconecte el ordenador de la red local y de internet para evitar que se descarguen otras variantes de malware en su equipo ya que al ser un troyano, posiblemente sea un dropper y para evitar infectar a otros ordenadores de su red local, si es que se encuentra conectado a una red LAN.

Cuando finalice los análisis que se conecte de nuevo a Internet para luego reporte los resultados y cuando ya sepa a lo que se enfrenta, que lo reporte en el foro de viruses&worms ya que, lamentablemente nosotros no estamos autorizados a indicar como limpiar el equipo ya que para eso existe el foro específico para ello.

Vamos a esperar que nos de más información lordsirius84

Todos los archivos ahí parecen infectados. Es seguro mantenerlos en el baúl, pero no restaurarlos.

@tech:

Cierto, pero hay algo que se me había pasado por alto: Ampliando la imagen del baúl no sólo está infectada la unidad F, también la E… Aparecen accesos directos a carpetas de los discos E y F que avast bloqueó porque si seguía el enlace llegaba a un archivo infectado.

@lordsirius84:

Sigue las instrucciones de iroc9555 para analizar el sistema y ver el alcance de la infección y como indica tech, no restaures ni elimines los archivos, déjalos en el baul que ahí no pueden dañar el sistema.

Reporta los resultados de los análisis cuando los hayas finalizado.

Saludos!

No son carpetas ni puntos de restauración… Son malware (virus).

@tech:

El malware(virus) está dentro de esas carpetas. Los archivos .lnk no pueden ser infectados ya que son un simple archivo de texto con una ruta hacia un archivo ó programa. Si te fijas no dice que sea un .EXE ó un .COM infectado (hablo del contenido del baúl - Mira el archivo anexo)

Sin embargo en la alerta de infección del escudo de comportamiento de Avast, si especifica que el malware está en el fichero ejecutable (.exe) e26f5077.exe que fue lanzado a su vez por otro proceso (cmd.exe).

http://forum.avast.com/index.php?action=dlattach;topic=97422.0;attach=81272;image

Eso si es un malware… En el baúl lo que aparece son accesos directos (rutas hacia archivos infectados).

No debe restaurar NADA del baúl ya que restauraría todo el malware ubicado en el interior de esas carpetas.

¿Por qué has restaurado los archivos? Al restaurarlos los has quitado del baúl y los has vuelto a poner en su ubicación original infectando el pc…
iroc9555 te dijo que los agregaras a la lista de exclusión pero no que los restaurases! :o Por eso en la captura salen ficheros .lnk que hacen referencia a las carpetas donde estaban los archivos infectados! Elimina esos archivos de la lista de exclusiones y vuelve a analizar todo el pc siguiendo las instrucciones que te han dado mis compañeros ó no te podremos ayudar…

Muy buenas!

En primer lugar agradezco vuestra ayuda. En segundo lugar…

He seguido las instrucciones y he analizado el equipo por completo tanto con Avast! como con Malwarebytes, analizado al arrancar el sistema y analisis completos tanto de “E:” como de “F:” (ambos son discos duros externos como comenté en el primer post). Sinceramente pienso que Avast! funcionó bien y mandó al baúl las amenazas detectadas al introducir los discos externos. La problemática real con la que me encuentro es que al entrar en los discos duros externos no me salen las carpetas que yo tenía en ellos, sino accesos directos con los nombres de esas carpetas y al intentar entrar en esos accesos directos me sale lo que os adjunto.

Ese archivo .exe es el que bloqueó avast! junto con los .lnk, pero lo que no logro entender es porqué ya no salen mis carpetas al abrir las unidades de disco, para poder ver el contenido de las mismas, música y películas que se que no se han borrado, porque en la TV (via USB) cuando los conecto si salen y si se ven.

Disculpad, he olvidado indicar que al analizar tanto el PC como los discos externos no se ha encontrado ningún archivo malicioso o infectado, nada de nada!.

Yo no soy experto pero esos discos estan infectados y dependiendo de la infeccion pues no veras nada y Avast! no dejara que hagas nada con esos archivos. Mi concejo sigue siendo el mismo que en la contestacion # 8:

http://forum.avast.com/index.php?topic=97422.msg777342#msg777342

e26f5077.exe es un malware que te esta afectando todos los archivos o la forma en que se ven. Deberias buscar un amigo que sepa ingles y abrir un topico nuevo en Viruses and Worms aqui en Avast! siguiendo las instrucciones dadas arriba en el enlace. No elimines nada deja que te digan que hacer.