Navegadores se cierran repentinamente (TERMINADO)

[msc hotline sat]

Vuelvenos a enviar la muestra que has enviado ya tres veces, la cual era interceptada antes de llegar a nuestro servidor (por el webshield)



No te sepa mal, hemos intentado recuperar la eliminada pero no ha sido posible.



Espero que en cuanto lo hagas, ahora podrá entrar y una vez analizada te informaremos del resultado.



saludos



ms, 26-3-2012

[fefamen]

Acabo de enviarles nuevamente la muestra, no me sabe mal, pero si me sabe mal que no me respondáis a porque Elistara Y SProces tienen elementos sospechocos (Según varios antivirus). También me gustaría, si no les sabe mal, que si me gasto en enviar capturas con explicaciones les deis un poco de bola y diganmen algo. Sé que esto es gratuito, y se los agradezco, pero no me dejen con miles de preguntas sin responder en los mensas.

Gracias desde ya.

[msc hotline sat]

Hemos ido analizando e informando de los análisis de los logs de las utilidades que menciona, por ello le hemos pedido el fichero sospechoso que entiendo nos ha enviado, el _7b12541d.exe, y si a lo que se refiere es porqué a las utilidades que empleamos las consideran viricas algunos antivirus, son falsos positivos de los mismos, como ya informamos en https://foros.zonavirus.com/viewtopic.php?f=5&t=26228



Supongo que es esto lo que pregunta, lo cual dábamos por sentado por lo indicado, y nos centrabamos en los informes, que es lo importante, ya que los falsos positivos es por deficiencia de terceros, aunque se supone que lo hacen de buena fé...



Esperamos que hoy recibiremos el fichero de marras, que hasta ahora había sido bloqueado por el webshield de entrada, atipicamente, ya que entran a diarios cientos de muestras sin ser interceptadas, pero esta hacía saltar la alarma y se activaba el consiguiente bloqueo.



Tan pronto lo recibamos, lo analizaremos e informaremos.



saludos



ms, 27-3-2012

[fefamen]

Gracias por responer.

No había leído ese post, sobretodo porque no lo ví, pasó inadvertido.

Respecto a las capturas?

Quedo a la espera del resultado del analisis de las muestras, y de los pasos a seguir.

[msc hotline sat]

No sabemos como está hecho este fichero o el empaquetado, pero se resiste a entrar !



EL WEBSHIELD LO RECHAZA CON EL SIGUIENTE MENSAJE:


[attachment=0]webshield.JPG[/attachment]

Si ya ha añadido.VIR a la extension del fichero, ya no es ejecutable y no debe incordiarle



Y sobre capturas de pantalla, solo analizamos los logs de nuestras utilidades:



https://foros.zonavirus.com/viewtopic.php?f=1&t=17488



Supongo que el empaquetado/muestra debe tener alguna cosa rara, ya que llegan las demas muestras sin problemas...



En cualquier caso, si nos llega, lo analizaremos e informaremos



saludos



ms, 27-3-2012





NOTA: Pruebe de enviarlo empaquetado sin password, si no lo conocen los AV, puede que no lo rechacen y llegue a entrar... ms.

[fefamen]

Gracias por responder.

No entiendo para que me piden que le ponga contraseña al archivo comprimido, si luego el WebShield (¿?) lo rechaza o no lo deja entrar. Volveré a enviarles la muestra sin contraseña.

Respecto a las capturas, yo creo que una imagen vale más que mil palabras, por eso las pongo. Sólo pedía una opinión sobre lo que se ve en ellas, ya que muestro rutas, aspectos, etc., de los archivos o carpetas en cuestión. Entiendo asimismo que los logs, por sí solos ya dicen bastante.

No entiendo cómo me incordiaban esos ejecutables, ya que parecen inofensivos, y en las capturas muestro la relación que tienen con el programa Styler. Los he escaneado varias veces por VirusTotal, en modo seguro con varios AV y ASPY, y no se los detecta como sospechosos.

Supongo que, mas o menos, el problema matriz de este post está, sino solucionado, al menos mejoró, ya que los navegadores ya no se cierran inesperadamente, Elistara eliminó varias infecciones.

Ayer por la noche pasé el CD Avira Boot Rescue System y detectó a Elistara y SProces como troyanos, así como otras advertencias sin importancia (rar corruptos, finales inesperados de los comprimidos, etc.). No me preocupa que haya detectado a Elistara y a SPRoces como troyanos, ya que vosotros me habéis advertido sobre ello. Supongo que es la competencia que habrá en el mundillo de la seguridad informártica.

Saludos.

[msc hotline sat]

El poner contraseña a los empaquetados es para que no sean interceptados por los antivirus de internet, imprescindible para que nos lleguen, pero por el hecho de llevar contraseña el webshield nos para su envio, y solo el suyo ...???



Hemos abierto puertas para que entre incluso el suyo, asi que envielo como qiuera que esperamos que entre, y en cuanto lo recibamos, lo analizaremos e informaremos del resultado



SALUDOS



MS, 28-3-2012

[fefamen]

Ya les envié la muestra sin contraseña y de nombre lleva el de la carpeta contenedora ({E9ECF354-2422-4FDB-9ABF-D8ADAC0EF941}.rar)

[msc hotline sat]

Pues si hoy lo recibimos, lo analizaremos e informaremos al respecto



saludos



ms, 29-3-2012

[msc hotline sat]

Por fin llegaron !





Los dos ficheros son idénticos, aun con diferente nombre:







SHA256: aab60a002d4540250febb4beea2e030e295fa00088e73c346e1ab9b965bc49ad

SHA1: e6c3275b817aa4b13634ee5674f4fd0abbaea548

MD5: 8588d2403599c1e7d1f6c9ea458ceb39

Tamaño: 14.7 KB ( 15086 bytes )

Nombre: _585b207a.exe.VIR

Tipo: ICO

Detecciones: 0 / 42

Fecha de análisis: 2012-03-29 08:15:22 UTC ( hace 1 minuto )





SHA256: aab60a002d4540250febb4beea2e030e295fa00088e73c346e1ab9b965bc49ad

SHA1: e6c3275b817aa4b13634ee5674f4fd0abbaea548

MD5: 8588d2403599c1e7d1f6c9ea458ceb39

Tamaño: 14.7 KB ( 15086 bytes )

Nombre: _7b12541d.exe.VIR

Tipo: ICO

Detecciones: 0 / 42

Fecha de análisis: 2012-03-29 08:20:26 UTC ( hace 0 minutos )







De entrada ningun AV de virustotal detecta nada, pero monitorizaremos la muestra a ver si produce algun cambio e informaremos



saludos



ms, 29-3-2012

[msc hotline sat]

Resulta ser un icono renombrado a EXE



nada de virus !



Ya con ello damos por terminado este Tema, que tanto ha costado llegar a recibir y ver que estos ficheros que lanzaba en el inicio, eran un icono que, si lo elimina de dicha carpeta, dejará de visualizar en cada reinicio.



Si persiste algun problema, sugerimos lance una REPARACION DE SISTEMA, arrancando con el CD de instalacion de windows y obrar en consecuencia.



No habiendo nada mas que añadir, procedemos a cerrarlo.



saludos



ms, 29-3-2012