Cliente antivirus/symantec
Cliente antivirus/symantec
Que tal.
Hace semanas habia posteado sobre una duda con el W32.spybot, de antemano agradezco la respuesta pronto del administrador y por otra parte eso ya quedo resuelto.
Tengo una duda, estoy manejando clientes antivirus de norton/symantec, con versiones 10.1.6 , 10.1.5, etc. algunos clientes manejan menores versiones.
La cuestion es que en algunos no se da el servicio de actualizaciones automaticas, puesto que esto esta centralizado y configurado en determinados servidores.
A que se debera esto?.
Ojala alguien lo haya manejado.
Saludos
Hace semanas habia posteado sobre una duda con el W32.spybot, de antemano agradezco la respuesta pronto del administrador y por otra parte eso ya quedo resuelto.
Tengo una duda, estoy manejando clientes antivirus de norton/symantec, con versiones 10.1.6 , 10.1.5, etc. algunos clientes manejan menores versiones.
La cuestion es que en algunos no se da el servicio de actualizaciones automaticas, puesto que esto esta centralizado y configurado en determinados servidores.
A que se debera esto?.
Ojala alguien lo haya manejado.
Saludos
- msc hotline sat
- Mensajes: 93500
- Registrado: 09 Mar 2004, 20:39
- Ubicación: BARCELONA (ESPAÑA)
- Contactar:
Sí, las ultimas versiones contemplan acrualizacion a traves del LiveUpdate, lo cual no tenian las anteriores.
Supongo que estarán ya caducadas, yo probaría renovarlas por versiones actuales.
saludos
ms, 1-07-2007
Supongo que estarán ya caducadas, yo probaría renovarlas por versiones actuales.
saludos
ms, 1-07-2007
msc hotline sat Virus Research Engineer
Antes de preguntar - Normas Basicas - Mensajes Privados - Repetir Temas - Continuar Temas - Titulos del Tema - Antivirus Online
Antes de preguntar - Normas Basicas - Mensajes Privados - Repetir Temas - Continuar Temas - Titulos del Tema - Antivirus Online
- msc hotline sat
- Mensajes: 93500
- Registrado: 09 Mar 2004, 20:39
- Ubicación: BARCELONA (ESPAÑA)
- Contactar:
No trabajo con Symantec, (somos mayoristas de McAfee) pero en los logs de HJT veo que las versiones actuales utilizan el LiveUpdate y es posible que anteriores versiones que no lo hacian, ya hayan quedado obsoletas, por esto sugería actualizar a versiones actuales
Pero además, puedes probar nuestras utilidades ELITRIIP Y ELISTARA por si algun virus hubiera modificado claves de actualizacion :
ELITRIIP:
http://www.zonavirus.com/descargas/elitriip.asp
ELISTARA:
http://www.zonavirus.com/descargas/elistara.asp
Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso
saludos
ms, 1-08-2007
Pero además, puedes probar nuestras utilidades ELITRIIP Y ELISTARA por si algun virus hubiera modificado claves de actualizacion :
ELITRIIP:
ELISTARA:
Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso
saludos
ms, 1-08-2007
msc hotline sat Virus Research Engineer
Antes de preguntar - Normas Basicas - Mensajes Privados - Repetir Temas - Continuar Temas - Titulos del Tema - Antivirus Online
Antes de preguntar - Normas Basicas - Mensajes Privados - Repetir Temas - Continuar Temas - Titulos del Tema - Antivirus Online
- msc hotline sat
- Mensajes: 93500
- Registrado: 09 Mar 2004, 20:39
- Ubicación: BARCELONA (ESPAÑA)
- Contactar:
Pues quedamos a la espera de los resultados.
saludos
ms, 2-08-2007
saludos
ms, 2-08-2007
msc hotline sat Virus Research Engineer
Antes de preguntar - Normas Basicas - Mensajes Privados - Repetir Temas - Continuar Temas - Titulos del Tema - Antivirus Online
Antes de preguntar - Normas Basicas - Mensajes Privados - Repetir Temas - Continuar Temas - Titulos del Tema - Antivirus Online
La solucion
Vamos actualizar el motor de liveupdate en el servidor, esperando que quede ya todo bien.
Por otra parte
¿Que hacer en caso de que una red/corporativa con dominio este infectada?
Al conectar una PC al dominio de una empresa, practicamente e inmediatamente se infecta y el antivirus detecta un virus.
es el trojan.killAV a.bat.
Como en aquellos comienzos del sasser.
al parecer es en la red, ya que si desconectamos el cable del PC, el full scan, no detecta nada.
Por otra parte
¿Que hacer en caso de que una red/corporativa con dominio este infectada?
Al conectar una PC al dominio de una empresa, practicamente e inmediatamente se infecta y el antivirus detecta un virus.
es el trojan.killAV a.bat.
Como en aquellos comienzos del sasser.
al parecer es en la red, ya que si desconectamos el cable del PC, el full scan, no detecta nada.
- msc hotline sat
- Mensajes: 93500
- Registrado: 09 Mar 2004, 20:39
- Ubicación: BARCELONA (ESPAÑA)
- Contactar:
En una red deben desconectarse todos los ordenadores, limpiar uno por uno desconectados y con todos limpios volver a conectarlos.
Tambien se puede ir conectando solo los limpios, claro.
saludos
ms, 4.08.2007
Tambien se puede ir conectando solo los limpios, claro.
saludos
ms, 4.08.2007
Última edición por msc hotline sat el 05 Ago 2007, 09:52, editado 1 vez en total.
msc hotline sat Virus Research Engineer
Antes de preguntar - Normas Basicas - Mensajes Privados - Repetir Temas - Continuar Temas - Titulos del Tema - Antivirus Online
Antes de preguntar - Normas Basicas - Mensajes Privados - Repetir Temas - Continuar Temas - Titulos del Tema - Antivirus Online
de acuerdo
Practicamente eso hicimos con dos ordenadores, desconectados de la red, buscamos archivos del virus, borramos y ejecutamos full scan, no detecto nada y seguieron trabajando.
Pero oh sorpresa que el dichoso trojan, volvio hacer detectado por el antivirus.
Pero oh sorpresa que el dichoso trojan, volvio hacer detectado por el antivirus.
- msc hotline sat
- Mensajes: 93500
- Registrado: 09 Mar 2004, 20:39
- Ubicación: BARCELONA (ESPAÑA)
- Contactar:
Para eliminar dicho virus, procedió adecuadamente ???
Con el ordenador desconectado de la red:
1.- Desactivar restauracion de sistema
2.- Arrancar en modo seguro
3.- Lanzar el antivirus y eliminar el virus
Eso en cada uno y solo tras haberlos limpiado todos, proceder a conectarlos entre si
Tras ello no olvidarse de volver a activar la restauracion de sistema (si se trata de XP, claro)
saludos
ms, 5-08-2007
Con el ordenador desconectado de la red:
1.- Desactivar restauracion de sistema
2.- Arrancar en modo seguro
3.- Lanzar el antivirus y eliminar el virus
Eso en cada uno y solo tras haberlos limpiado todos, proceder a conectarlos entre si
Tras ello no olvidarse de volver a activar la restauracion de sistema (si se trata de XP, claro)
saludos
ms, 5-08-2007
msc hotline sat Virus Research Engineer
Antes de preguntar - Normas Basicas - Mensajes Privados - Repetir Temas - Continuar Temas - Titulos del Tema - Antivirus Online
Antes de preguntar - Normas Basicas - Mensajes Privados - Repetir Temas - Continuar Temas - Titulos del Tema - Antivirus Online
de esa misma manera
Asi es.
De esa manera, y eliminandolo volvimos a lanzar antivirus a prueba de error no detecto nada.
Lanzamos windows (trabajando con 2000) y no detecto nada.
Procedimos a conectar a red y despues de 1 hora volvio a detectarlo.
Equipos "virgenes" que apenas se iba a cargar software se infectaron, teniendo antivirus actualizado.
Alguna otra herramienta de vacunacion que recomienden.
De esa manera, y eliminandolo volvimos a lanzar antivirus a prueba de error no detecto nada.
Lanzamos windows (trabajando con 2000) y no detecto nada.
Procedimos a conectar a red y despues de 1 hora volvio a detectarlo.
Equipos "virgenes" que apenas se iba a cargar software se infectaron, teniendo antivirus actualizado.
Alguna otra herramienta de vacunacion que recomienden.
Quisiera probar
Quisiera probar con Spy bot &search & destroy.
Pero en mi red los usuarios no tienen acceso a internet para las actualizaciones, y no quisiera conectar solo para eso.
Hay alguna solucion para eso?
Pero en mi red los usuarios no tienen acceso a internet para las actualizaciones, y no quisiera conectar solo para eso.
Hay alguna solucion para eso?
- msc hotline sat
- Mensajes: 93500
- Registrado: 09 Mar 2004, 20:39
- Ubicación: BARCELONA (ESPAÑA)
- Contactar:
Creo que el problema que tiene es que, tras hacer limpieza a fondo, vuelve a descargar el troyano, bien entrando a una web infectada o bien descargandolo por utilizar algun proxy o algun downloader.
De alguna maquina que utilice para conectarse a internet, posteenos el log del HJT y lo analizarmos:
[b]
[color=yellow]HJT : (HiJackThis)[/color] [/b]
[i]¿Como utilizar el Hijackthis ?[/i]
Lo primero que debemos hacer es descargarlo en nuestro ordenador y ubicarlo en una carpeta propia C:\HijackThis\
Ejecútarlo y presionar el botón "[b]Do a system scan and save a logfile[/b] "; el programa realizará el escaneo e inmediatamente generará el Log, sólo te pedira el nombre del archivo y su ubicación, puedes simplemente guardarlo así como está.
Se abrirá el Bloc de Notas, copia todo el contenido y pégalo como respuesta de este Tema
·[url=http://www.zonavirus.com/descargas/trendmicro-hijackthis.asp][b]Descargar Hijackthis[/b] [/url]
Tras analizarlo, informaremos
y no hemos visto posteado en este Tema, ningun informe del ELISTARA como se pedía ??? posteenos tambien el contenido de C:\infosat.txt ...
saludos
ms, 6-08-2007
nota: y sobre lo del Spybot, entiendo que si tras instalarlo, una vez actualizado un ordenador con acceso a internet, con copiar los ficheros correspondientes a esta aplicacion, del actualizado al que no lo está, en iguales carpetas, quedaría actualizado tambien.
De alguna maquina que utilice para conectarse a internet, posteenos el log del HJT y lo analizarmos:
[i]¿Como utilizar el Hijackthis ?
Lo primero que debemos hacer es descargarlo en nuestro ordenador y ubicarlo en una carpeta propia C:\HijackThis\
Ejecútarlo y presionar el botón "
Se abrirá el Bloc de Notas, copia todo el contenido y pégalo como respuesta de este Tema
·
Tras analizarlo, informaremos
y no hemos visto posteado en este Tema, ningun informe del ELISTARA como se pedía ??? posteenos tambien el contenido de C:\infosat.txt ...
saludos
ms, 6-08-2007
nota: y sobre lo del Spybot, entiendo que si tras instalarlo, una vez actualizado un ordenador con acceso a internet, con copiar los ficheros correspondientes a esta aplicacion, del actualizado al que no lo está, en iguales carpetas, quedaría actualizado tambien.
msc hotline sat Virus Research Engineer
Antes de preguntar - Normas Basicas - Mensajes Privados - Repetir Temas - Continuar Temas - Titulos del Tema - Antivirus Online
Antes de preguntar - Normas Basicas - Mensajes Privados - Repetir Temas - Continuar Temas - Titulos del Tema - Antivirus Online
Ok yo posteo algun informe
Posteare algun informe y lo hare publicar,
Sobre la maquina con internet, ninguna de las maquinas tiene acceso a internet.
Sobre la maquina con internet, ninguna de las maquinas tiene acceso a internet.
informe
Lista de Acciones (por Acción Directa):
C:\WINNT\WEB\RELATED.HTM --> Eliminado
Eliminada Clave "HKLM\...\Image File Execution Options\Your Image File Name
Here without a path"
Linea Eliminada del HOSTS --> 127.0.0.1 downloads1.kaspersky-labs.com
Linea Eliminada del HOSTS --> 127.0.0.1 downloads2.kaspersky-labs.com
Linea Eliminada del HOSTS --> 127.0.0.1 downloads3.kaspersky-labs.com
Linea Eliminada del HOSTS --> 127.0.0.1 downloads4.kaspersky-labs.com
Linea Eliminada del HOSTS --> 127.0.0.1 downloads5.kaspersky-labs.com
Linea Eliminada del HOSTS --> 127.0.0.1http://www.sophos.com
Linea Eliminada del HOSTS --> 127.0.0.1 sophos.com
Linea Eliminada del HOSTS --> 127.0.0.1http://www.mcafee.com
Linea Eliminada del HOSTS --> 127.0.0.1 mcafee.com
Linea Eliminada del HOSTS --> 127.0.0.1http://www.viruslist.com
Linea Eliminada del HOSTS --> 127.0.0.1 viruslist.com
Linea Eliminada del HOSTS --> 127.0.0.1 viruslist.com
Linea Eliminada del HOSTS --> 127.0.0.1 f-secure.com
Linea Eliminada del HOSTS --> 127.0.0.1http://www.f-secure.com
Linea Eliminada del HOSTS --> 127.0.0.1 kaspersky.com
Linea Eliminada del HOSTS --> 127.0.0.1http://www.avp.com
Linea Eliminada del HOSTS --> 127.0.0.1http://www.kaspersky.com
Linea Eliminada del HOSTS --> 127.0.0.1http://www.kaspersky-labs.com
Linea Eliminada del HOSTS --> 127.0.0.1 avp.com
Linea Eliminada del HOSTS --> 127.0.0.1http://www.networkassociates.com
Linea Eliminada del HOSTS --> 127.0.0.1 networkassociates.com
Linea Eliminada del HOSTS --> 127.0.0.1http://www.ca.com
Linea Eliminada del HOSTS --> 127.0.0.1 ca.com
Linea Eliminada del HOSTS --> 127.0.0.1 mast.mcafee.com
Linea Eliminada del HOSTS --> 127.0.0.1 my-etrust.com
Linea Eliminada del HOSTS --> 127.0.0.1http://www.my-etrust.com
Linea Eliminada del HOSTS --> 127.0.0.1 download.mcafee.com
Linea Eliminada del HOSTS --> 127.0.0.1 dispatch.mcafee.com
Linea Eliminada del HOSTS --> 127.0.0.1 secure.nai.com
Linea Eliminada del HOSTS --> 127.0.0.1 nai.com
Linea Eliminada del HOSTS --> 127.0.0.1http://www.nai.com
Linea Eliminada del HOSTS --> 127.0.0.1 us.mcafee.com
Linea Eliminada del HOSTS --> 127.0.0.1 rads.mcafee.com
Linea Eliminada del HOSTS --> 127.0.0.1 trendmicro.com
Linea Eliminada del HOSTS --> 127.0.0.1http://www.trendmicro.com
No detectado Parche MS04-012 de Microsoft instalado. (RPC)
Restaurado fichero de Configuración del IE, (IERESET.INF)
Eliminadas las Paginas de Inicio y de Busqueda del IE
Eliminados Ficheros Temporales del IE
Mon Aug 06 12:03:10 2007
EliStartPage v14.50 (c)2007 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\
C:\Archivos de programa\Hummingbird\Connectivity\9.00\Hummingbird
Neighborhood\SHLHEFTP.EXE --> Eliminado, Keylog-Briss
C:\Archivos de programa\Hummingbird\Connectivity\9.00\Hummingbird
Neighborhood\SHLHN.EXE --> Eliminado, Keylog-Briss
Exploración Detenida por el Usuario.
Mon Aug 06 12:04:08 2007
EliStartPage v14.50 (c)2007 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Acción Directa):
No detectado Parche MS04-012 de Microsoft instalado. (RPC)
Restaurado fichero de Configuración del IE, (IERESET.INF)
Eliminadas las Paginas de Inicio y de Busqueda del IE
Eliminados Ficheros Temporales del IE
Mon Aug 06 12:04:14 2007
EliStartPage v14.50 (c)2007 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\
C:\Archivos de programa\SAP\FrontEnd\Controls\VCWIN32.DLL --> Eliminado,
CommanderNET (TB)
C:\Archivos de programa\Sony Corporation\Picture Package\Picture Package
Applications\MPGBASIC.DLL --> Eliminado, NavHelper(BHO)
C:\Sony Corporation\Picture Package\Picture Package
Applications\MPGBASIC.DLL --> Eliminado, NavHelper(BHO)
En esta PC me detecta
trojan.killav
y w32.spybot
C:\WINNT\WEB\RELATED.HTM --> Eliminado
Eliminada Clave "HKLM\...\Image File Execution Options\Your Image File Name
Here without a path"
Linea Eliminada del HOSTS --> 127.0.0.1 downloads1.kaspersky-labs.com
Linea Eliminada del HOSTS --> 127.0.0.1 downloads2.kaspersky-labs.com
Linea Eliminada del HOSTS --> 127.0.0.1 downloads3.kaspersky-labs.com
Linea Eliminada del HOSTS --> 127.0.0.1 downloads4.kaspersky-labs.com
Linea Eliminada del HOSTS --> 127.0.0.1 downloads5.kaspersky-labs.com
Linea Eliminada del HOSTS --> 127.0.0.1
Linea Eliminada del HOSTS --> 127.0.0.1 sophos.com
Linea Eliminada del HOSTS --> 127.0.0.1
Linea Eliminada del HOSTS --> 127.0.0.1 mcafee.com
Linea Eliminada del HOSTS --> 127.0.0.1
Linea Eliminada del HOSTS --> 127.0.0.1 viruslist.com
Linea Eliminada del HOSTS --> 127.0.0.1 viruslist.com
Linea Eliminada del HOSTS --> 127.0.0.1 f-secure.com
Linea Eliminada del HOSTS --> 127.0.0.1
Linea Eliminada del HOSTS --> 127.0.0.1 kaspersky.com
Linea Eliminada del HOSTS --> 127.0.0.1
Linea Eliminada del HOSTS --> 127.0.0.1
Linea Eliminada del HOSTS --> 127.0.0.1
Linea Eliminada del HOSTS --> 127.0.0.1 avp.com
Linea Eliminada del HOSTS --> 127.0.0.1
Linea Eliminada del HOSTS --> 127.0.0.1 networkassociates.com
Linea Eliminada del HOSTS --> 127.0.0.1
Linea Eliminada del HOSTS --> 127.0.0.1 ca.com
Linea Eliminada del HOSTS --> 127.0.0.1 mast.mcafee.com
Linea Eliminada del HOSTS --> 127.0.0.1 my-etrust.com
Linea Eliminada del HOSTS --> 127.0.0.1
Linea Eliminada del HOSTS --> 127.0.0.1 download.mcafee.com
Linea Eliminada del HOSTS --> 127.0.0.1 dispatch.mcafee.com
Linea Eliminada del HOSTS --> 127.0.0.1 secure.nai.com
Linea Eliminada del HOSTS --> 127.0.0.1 nai.com
Linea Eliminada del HOSTS --> 127.0.0.1
Linea Eliminada del HOSTS --> 127.0.0.1 us.mcafee.com
Linea Eliminada del HOSTS --> 127.0.0.1 rads.mcafee.com
Linea Eliminada del HOSTS --> 127.0.0.1 trendmicro.com
Linea Eliminada del HOSTS --> 127.0.0.1
No detectado Parche MS04-012 de Microsoft instalado. (RPC)
Restaurado fichero de Configuración del IE, (IERESET.INF)
Eliminadas las Paginas de Inicio y de Busqueda del IE
Eliminados Ficheros Temporales del IE
Mon Aug 06 12:03:10 2007
EliStartPage v14.50 (c)2007 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\
C:\Archivos de programa\Hummingbird\Connectivity\9.00\Hummingbird
Neighborhood\SHLHEFTP.EXE --> Eliminado, Keylog-Briss
C:\Archivos de programa\Hummingbird\Connectivity\9.00\Hummingbird
Neighborhood\SHLHN.EXE --> Eliminado, Keylog-Briss
Exploración Detenida por el Usuario.
Mon Aug 06 12:04:08 2007
EliStartPage v14.50 (c)2007 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Acción Directa):
No detectado Parche MS04-012 de Microsoft instalado. (RPC)
Restaurado fichero de Configuración del IE, (IERESET.INF)
Eliminadas las Paginas de Inicio y de Busqueda del IE
Eliminados Ficheros Temporales del IE
Mon Aug 06 12:04:14 2007
EliStartPage v14.50 (c)2007 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\
C:\Archivos de programa\SAP\FrontEnd\Controls\VCWIN32.DLL --> Eliminado,
CommanderNET (TB)
C:\Archivos de programa\Sony Corporation\Picture Package\Picture Package
Applications\MPGBASIC.DLL --> Eliminado, NavHelper(BHO)
C:\Sony Corporation\Picture Package\Picture Package
Applications\MPGBASIC.DLL --> Eliminado, NavHelper(BHO)
En esta PC me detecta
trojan.killav
y w32.spybot
- msc hotline sat
- Mensajes: 93500
- Registrado: 09 Mar 2004, 20:39
- Ubicación: BARCELONA (ESPAÑA)
- Contactar:
A ver, ahora nos dice :
"ninguna de las maquinas tiene acceso a internet."
y su problema era:
"La cuestion es que en algunos no se da el servicio de actualizaciones automaticas"
si ninguna tiene acceso a Internet ... pues va a ser que no tendrá actualizaciones automaticas!
En caulquier caso, desactivando la restairacion de sistema, arrancando en modo seguro con derechos de Administrador y lanzado el antivrius que le detecta dichos virus, debería poder eliminarlos
Pruebe ademas el ELITRIIP, no le hará ningun daño y veamos su informe:
ELITRIIP:
http://www.zonavirus.com/descargas/elitriip.asp
Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso
saludos
ms, 7-08-2007
"ninguna de las maquinas tiene acceso a internet."
y su problema era:
"La cuestion es que en algunos no se da el servicio de actualizaciones automaticas"
si ninguna tiene acceso a Internet ... pues va a ser que no tendrá actualizaciones automaticas!
En caulquier caso, desactivando la restairacion de sistema, arrancando en modo seguro con derechos de Administrador y lanzado el antivrius que le detecta dichos virus, debería poder eliminarlos
Pruebe ademas el ELITRIIP, no le hará ningun daño y veamos su informe:
ELITRIIP:
Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso
saludos
ms, 7-08-2007
msc hotline sat Virus Research Engineer
Antes de preguntar - Normas Basicas - Mensajes Privados - Repetir Temas - Continuar Temas - Titulos del Tema - Antivirus Online
Antes de preguntar - Normas Basicas - Mensajes Privados - Repetir Temas - Continuar Temas - Titulos del Tema - Antivirus Online