creo que kav bloquea pdfmaker.xla (SOLUCIONADO)

Roys · Mensaje por **Roys** » 17 Jul 2007, 19:06

Hola de nuevo muchachos...

Les cuento el problema que me trae.

Tengo una notebook con kav 6.0 como residente, y estuve trabajando sin problemas con una planilla de Excel...

Ahora bien... se la preste a un compañero de trabajo, que por supuesto me dice que no sabe lo que paso :x

Cuando la encendi al otro dia cuando intento abrir esa planilla, me deja hacerlo pero no puedo visualizar la planilla en si sino que solo veo la ventana de excel y el eurotool abierto... probando con otras planillas de excel se abren perfectamente pero con esta no... no se que es lo que le pasa.

Revise el log de eventos del kav y lo unico extraño que encontre es:

Dangerous macro command in file C:\...\Datos de Programa\Microsoft\Excel\xlsstart\pdfmaker.xla. has been blocked

Creo que esta bloqueando la aplicacion y por eso no me deja abrirlo... Habra posibilidad de poder recuperar el archivo..

Es super importante, tenia una base de datos bastante larga y encima no estaba respaldada :cry:

Cualquier Ayuda desde ya muchas Gracias

Roys :wink: :wink: :wink:

Mensaje por **msc hotline sat** » 17 Jul 2007, 19:14

Normalmente las plantillas de las macros se pueden desinfectar al igual que se infectan, y parece que este fue el caso, que por abrir un fichero de EXCEL infectado, se le infectó la macro, y con ello todas las macros de los ficheros que abriera a continuacion.

No nos dice el virus que detectó en ella, pero lo bueno es detectarla, para asi poderla eliminar con el mismo antivirus.

Claro que ya no debería haber dejado que entrara el virus ???

Hagase una copia de dicho fichero si tan importante es, e intentelo limpiar con otro antivirus en otro ordenador. Si quiere envienosla para analizar y veremos de qué virus se trata, para ver cuales son los antivirus mas apropiados al respecto.

->~~[b]~~ Para ello recordar[/b]: https://foros.zonavirus.com/viewtopic.php?f=2&t=45334

saludos

ms, 17-07-2007

Roys · Mensaje por **Roys** » 17 Jul 2007, 19:20

Es posible que se haya infectado la planilla???

Si es asi, mando la muestra...

Mensaje por **msc hotline sat** » 17 Jul 2007, 19:34

Claro, es lo propio de las pantillas que contienen macros, fue el objetivo de los virus de cierta epoca, las macros, bien de Word o de Excel, y aunque ya no se estila (esto fue en la decada de los 90), donde ha habido, siempre queda, y puede que de un fichero antiguo lo haya revivido.

Lo curioso es que el Kasperky no lo haya parado y en cambio lo detecte... quizas se trata de una variante hecha recientemente...algun graciosillo que usa excel y quiere "jugar" a gamberro !

Envienosla y a la vista del fichero informaremos

slaudos

ms, 17-07-2007

Mensaje por **msc hotline sat** » 17 Jul 2007, 19:36

Y como que me parece que desconocia este tipo de virus que infectan las plantillas de documentos de EXCEL, aqui tiene dos millones y cuarto de links al respecto :wink:

http://www.google.es/search?hl=es&q=virus+macro+excel&meta=

saludos

ms, 17-07-2007

Roys · Mensaje por **Roys** » 17 Jul 2007, 20:08

ok, entonces voy a creerte... lo que pasa es que a nosotros los nuevos nos parece raro algo que nunca nos ha pasado y creemos que como nunca nos paso no existe...

te mando algo que acabo de encontrar recien perdidito por la web... quizas te sirva:

Cita:

"Si sabes que las macros son de ese programa de confianza, cuando te salga el aviso del kav, puedes añadirlos a la zona de confianza para que no pregunte mas.

A mi me pasa lo mismo con el Acrobat y excel. Para convertir los excel en pdf lo hace con una macro. Se añade a la zona de confianza y ya está."

Parece que alguien ya habia tenido ese problema con el kav y el pdfmaker... quizas

Mensaje por **msc hotline sat** » 17 Jul 2007, 20:58

Pero cuidado con dar confianza a una macro que no sabes si ha sido modificada por algun virus...

Evidentemente todos los antivirus tienen falsos positivos y mas heuristicamente, pero vamos, salvo que hayas hecho una macro personalmente y no hayas abierto ningun XLS externo, yo de ti no me fiaria ... :wink:

Bueno si quieres lo envias y mañana lo analizamos y te informamos, y si es fallo del kaspersky te lo decimos y obras como dices en la nota.

saludos

ms, 17-07-2007

Roys · Mensaje por **Roys** » 17 Jul 2007, 21:20

ok, ya la envie... esperare los resultados..

Gracias MS :wink: :wink: :wink:

Mensaje por **msc hotline sat** » 17 Jul 2007, 21:28

Si quieres ganar tiempo, subela al VIRUSTOTAL y posteanos el resultado de los 32 escaneos con los diferentes antivirus:

Entra en este link:

http://www.zonavirus.com/antivirus-on-line/

Pulsa FIN para ir al final de la pagina, y en ultimo lugar veras lo del VIRUSTOTAL, pulsa en EXAMINAR. navega hasta el fichero donde esté y doble click sobre él, y luego ya una vez ingresado pulsa en ANALIZAR ONLINE

Si quieres, luego haces un CTRL-E (seleccionar todo), CTRL-C (copiar al portapaleles ) y CTRL-V (pegar) sobre el proximo post de respuesta a este Tema y lo vemos y comentamos

saludos

ms, 17-07-2007

Mensaje por **msc hotline sat** » 18 Jul 2007, 10:15

Recibida las muestras en cuestion.

Las macros estan protegidas por password, asi que si el fichero es de su creacion, diganos el password para poder analizar dichas macros.

Ahora bien, el VIRUS TOTAL no detecta rutinas viricas, si bien pueden no ser vistas por la encriptacion.

[quote]File PDFMaker.xla received on 07.18.2007 09:12:48 (CET)

Current status: Loading ... queued waiting scanning finished NOT FOUND STOPPED

Loading server information...

Your file is queued in position: 1.

Estimated start time is between 40 and 58 seconds.

Do not close the window untill scan is complete.

The scanner that was processing your file is stopped at this moment, we are going to wait a few seconds to try to recover your result.

If you are waiting for more than five minutes you have to resend your file.

Your file is being scanned by VirusTotal in this moment,

results will be shown as they're generated.

Print results

Your file has expired or do not exists.

Service is stopped in this moments, your file is waiting to be scanned (position: ) for an undefined time.

You can wait for web response (automatic reload) or type your email in the form below and click "request" so the system sends you a notification when the scan is finished.

Email:

Antivirus Version Last Update Result

AhnLab-V3 2007.7.18.0 2007.07.18 no virus found

AntiVir 7.4.0.42 2007.07.18 no virus found

Authentium 4.93.8 2007.07.18 no virus found

Avast 4.7.997.0 2007.07.17 no virus found

AVG 7.5.0.476 2007.07.17 no virus found

BitDefender 7.2 2007.07.17 no virus found

CAT-QuickHeal 9.00 2007.07.17 no virus found

ClamAV devel-20070416 2007.07.18 no virus found

DrWeb 4.33 2007.07.18 no virus found

eSafe 7.0.15.0 2007.07.17 no virus found

eTrust-Vet 30.8.3790 2007.07.17 no virus found

Ewido 4.0 2007.07.17 no virus found

FileAdvisor 1 2007.07.18 no virus found

Fortinet 2.91.0.0 2007.07.18 no virus found

F-Prot 4.3.2.48 2007.07.17 no virus found

F-Secure 6.70.13030.0 2007.07.17 no virus found

Ikarus T3.1.1.8 2007.07.18 no virus found

Kaspersky 4.0.2.24 2007.07.18 no virus found

McAfee 5076 2007.07.17 no virus found

Microsoft 1.2704 2007.07.17 no virus found

NOD32v2 2404 2007.07.17 no virus found

Norman 5.80.02 2007.07.17 no virus found

Panda 9.0.0.4 2007.07.17 no virus found

Sophos 4.19.0 2007.07.17 no virus found

Sunbelt 2.2.907.0 2007.07.18 no virus found

Symantec 10 2007.07.18 no virus found

TheHacker 6.1.7.148 2007.07.16 no virus found

VBA32 3.12.2 2007.07.17 no virus found

VirusBuster 4.3.23:9 2007.07.17 no virus found

Webwasher-Gateway 6.0.1 2007.07.18 no virus found

Aditional information

File size: 508416 bytes

MD5: d3958691b33bec23c8d25ef5e25608d9

SHA1: 3957e1ffedb6432be559e4d47cc2f3de377e140d
[/quote]

y como que decia que era el Kaspwrsky el que le habia detectado macors potencialmente peligrosas, analizado especificamente con este tampoco se detecta nada, lo cual es visible en la ikmagen adjunta.

Solo nos queda por investigar sobre dicho fichero cierta duda que nos ha surgido respecto ADOBE ACROBAT...seguiremos luego.

saludos

ms, 18-08-2007

Mensaje por **msc hotline sat** » 18 Jul 2007, 10:27

Bueno, pues parece muy simple la explicacion !

Este fichero parece ser de ADOBE ACROBAT, una macro para convertir a PDF los ficheros de Excel, la cual tiene el certificado de VeriSign caducado desde hace varios años !

Puede que sea por alguna de las dos causas, que esta protegido por password y no puede ver las macros o porque el certificado de VeriSign está caducado.

Habiamos entendido que la plantilla estaba hecha por Vds... pero si es de ADOBE ACROBAT , o actualiza la version y usa una con certificado no caducado, a ver si asi no le salta la alerta o, bajo su responsabilidad, la acepta como segura ...

Nosotros la rechazariamos y adquiririamos una de actual antes que usar una sospechosa, visto ademas que tiene el certificado de VeriSign caducado.

Y con lo indicado damos por solucionado el Tema y procedemos a cerrarlo

saludos

ms, 18-07-2007