Hola a todos:
Les envìo el log file del hijackthis de la Pc de mi hermana, donde un programa llamado Antivirus2008 ha bloqueado la entrada a los servidores de correo (hotmail, yahoo) e impide entrar... tambièn he notado que en su navegador no aparece la barra de direcciones.
Como dato adicional, ElistarA y Elitriip no detectan nada.
Intentè eliminar Antivirus2008 manualmente y me niega el acceso.Tambièn les envìo una cap del bloqueo que aparece solicitando el registro para permitir la navegaciòn; ademàs alertas de que todos los passwords y datos de tarjetas de crèditos estàn "detectados" por lo que "urge" el registro para desinfectar.
Logfile of HijackThis v1.99.1
Scan saved at 09:12:36 p.m., on 03/07/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\VIRUSfighter\Npm\bin\ELOGSVC.EXE
C:\VIRUSfighter\Npm\Bin\Zanda.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\VIRUSfighter\Npm\bin\ZLH.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Archivos de programa\Antivirus2008y\antvrs.exe
C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\VIRUSfighter\Npm\bin\NJEEVES.EXE
C:\WINDOWS\System32\alg.exe
C:\VIRUSfighter\nse\bin\NSESVC.EXE
C:\VIRUSfighter\Nvc\BIN\NVCSCHED.EXE
C:\VIRUSfighter\Nvc\bin\nvcoas.exe
C:\VIRUSfighter\Nvc\BIN\NIP.EXE
C:\VIRUSfighter\Nvc\bin\cclaw.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Archivos de programa\Internet Explorer\iexplore.exe
C:\Archivos de programa\Internet Explorer\IEXPLORE.EXE
C:\Archivos de programa\Messenger\msmsgs.exe
C:\DOCUME~1\Veronica\CONFIG~1\Temp\Directorio temporal 1 para hijackthis.zip\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O4 - HKLM\..\Run: [Norman ZANDA] "C:\VIRUSfighter\Npm\bin\ZLH.EXE" /LOAD /SPLASH
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Archivos de programa\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Antivirus2008y] C:\Archivos de programa\Antivirus2008y\antvrs.exe
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O23 - Service: Norman eLogger service 6 (eLoggerSvc6) - Norman ASA - C:\VIRUSfighter\Npm\bin\ELOGSVC.EXE
O23 - Service: Norman NJeeves - Norman ASA - C:\VIRUSfighter\Npm\bin\NJEEVES.EXE
O23 - Service: Norman ZANDA - Norman ASA - C:\VIRUSfighter\Npm\Bin\Zanda.exe
O23 - Service: Norman Scanner Engine Service (nsesvc) - Unknown owner - C:\VIRUSfighter\nse\bin\NSESVC.EXE" -daemon (file missing)
O23 - Service: Norman Virus Control on-access component (nvcoas) - Norman ASA - C:\VIRUSfighter\Nvc\bin\nvcoas.exe
O23 - Service: Norman Virus Control Scheduler (NVCScheduler) - Norman ASA - C:\VIRUSfighter\Nvc\BIN\NVCSCHED.EXE
Y este mensaje aparece:
Insecure Internet activity. Threat of virus attack
Due to insecure Internet browsing your PC can easily get infected with viruses, worms and trojans without your knowledge, and that can lead to system slowdown, freezes and crashes.
Also insecure Internet activity can result in revealing your personal information.
To get full advanced real-time protection for PC and Internet activity, register Antivirus 2008.
We recommend you to protect your PC now and continue safe Internet browsing.
Click here to get full advanced real-time protection and continue browsing.
Continue to this website unprotected (not recommended).
Gracias, espero sus respuestas.
PD
Despuès de recièn solucionar el problema de mi Pc una tormenta elèctrica la dejò inservible, jejejeje gajes del oficio... pero eso es tema de otro post.
Serena.
bloqueados los correos con Antivirus2008 (SOLUCIONADO)
bloqueados los correos con Antivirus2008 (SOLUCIONADO)
Rosadelsvents: Nascuda contracorrent desafiant les gelades i plantat-li cara al vent...
Re: bloqueados los correos con Antivirus2008
Agrego el log de Elistara y Elitriip...
Thu Jul 03 20:39:49 2008
EliStartPage v16.63 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 3 de Julio del 2008)
--------------------------------------------------
Lista de Acciones (por Acción Directa):
No detectado SP3 de Windows XP
Eliminados Ficheros Temporales del IE
Thu Jul 03 20:45:57 2008
EliStartPage v16.63 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 3 de Julio del 2008)
--------------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\
Nº Total de Directorios: 1488
Nº Total de Ficheros: 18665
Nº de Ficheros Analizados: 8767
Nº de Ficheros Infectados: 0
Nº de Ficheros Limpiados: 0
Thu Jul 03 21:00:20 2008
EliTriIP v4.92 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 3 de Julio del 2008)
---------------------------------------------
Lista de Acciones (por Acción Directa):
No detectado SP3 de Windows XP
Thu Jul 03 21:00:25 2008
EliTriIP v4.92 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 3 de Julio del 2008)
---------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\
Nº Total de Directorios: 1491
Nº Total de Ficheros: 18971
Nº de Ficheros Analizados: 8624
Nº de Ficheros Infectados: 0
Nº de Ficheros Limpiados: 0
Thu Jul 03 21:36:51 2008
EliStartPage v16.63 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 3 de Julio del 2008)
--------------------------------------------------
Lista de Acciones (por Acción Directa):
No detectado SP3 de Windows XP
Eliminados Ficheros Temporales del IE
Thu Jul 03 21:37:14 2008
EliStartPage v16.63 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 3 de Julio del 2008)
--------------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\
Nº Total de Directorios: 1494
Nº Total de Ficheros: 18701
Nº de Ficheros Analizados: 8769
Nº de Ficheros Infectados: 0
Nº de Ficheros Limpiados: 0
Thu Jul 03 20:39:49 2008
EliStartPage v16.63 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 3 de Julio del 2008)
--------------------------------------------------
Lista de Acciones (por Acción Directa):
No detectado SP3 de Windows XP
Eliminados Ficheros Temporales del IE
Thu Jul 03 20:45:57 2008
EliStartPage v16.63 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 3 de Julio del 2008)
--------------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\
Nº Total de Directorios: 1488
Nº Total de Ficheros: 18665
Nº de Ficheros Analizados: 8767
Nº de Ficheros Infectados: 0
Nº de Ficheros Limpiados: 0
Thu Jul 03 21:00:20 2008
EliTriIP v4.92 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 3 de Julio del 2008)
---------------------------------------------
Lista de Acciones (por Acción Directa):
No detectado SP3 de Windows XP
Thu Jul 03 21:00:25 2008
EliTriIP v4.92 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 3 de Julio del 2008)
---------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\
Nº Total de Directorios: 1491
Nº Total de Ficheros: 18971
Nº de Ficheros Analizados: 8624
Nº de Ficheros Infectados: 0
Nº de Ficheros Limpiados: 0
Thu Jul 03 21:36:51 2008
EliStartPage v16.63 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 3 de Julio del 2008)
--------------------------------------------------
Lista de Acciones (por Acción Directa):
No detectado SP3 de Windows XP
Eliminados Ficheros Temporales del IE
Thu Jul 03 21:37:14 2008
EliStartPage v16.63 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 3 de Julio del 2008)
--------------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\
Nº Total de Directorios: 1494
Nº Total de Ficheros: 18701
Nº de Ficheros Analizados: 8769
Nº de Ficheros Infectados: 0
Nº de Ficheros Limpiados: 0
Rosadelsvents: Nascuda contracorrent desafiant les gelades i plantat-li cara al vent...
-
msc hotline sat
- Mensajes: 93500
- Registrado: 09 Mar 2004, 20:39
- Ubicación: BARCELONA (ESPAÑA)
- Contactar:
Re: bloqueados los correos con Antivirus2008
Pues envianos este fichero para analizar:
C:\Archivos de programa\Antivirus2008y\antvrs.exe
[b]¿Como enviar las muestras a zonavirus? - Para ello recordar[/b]
https://foros.zonavirus.com/viewtopic.php?f=5&t=14253
y acto seguido, renombras su extension a .VIR para que no se ponga en marcha a partir del proximo reinicio
Si entonces vuelve a aparecer, es que tienes un FAKE ALERT que no ve el HJT, Prueba nuestro SPROCES y posteanos el log resultante:
SPROCES (herramienta de investigación)
http://www.zonavirus.com/descargas/sproces.asp
Y tras pulsar en SALIR, posteanos el contenido del C:\SPROCLOG.TXT
lo analizaremos e informaremos al respecto.
saludos
ms, 4 de Julio de 2008
NOTA: Y lo que dices de "[b][i]Despuès de recièn solucionar el problema de mi Pc una tormenta elèctrica la dejò inservible, jejejeje gajes del oficio... pero eso es tema de otro post.[/i] [/b]
C:\Archivos de programa\Antivirus2008y\antvrs.exe
y acto seguido, renombras su extension a .VIR para que no se ponga en marcha a partir del proximo reinicio
Si entonces vuelve a aparecer, es que tienes un FAKE ALERT que no ve el HJT, Prueba nuestro SPROCES y posteanos el log resultante:
SPROCES (herramienta de investigación)
Y tras pulsar en SALIR, posteanos el contenido del C:\SPROCLOG.TXT
lo analizaremos e informaremos al respecto.
saludos
ms, 4 de Julio de 2008
NOTA: Y lo que dices de "
msc hotline sat Virus Research Engineer Antes de preguntar - Normas Basicas - Mensajes Privados - Repetir Temas - Continuar Temas - Titulos del Tema - Antivirus Online
Re: bloqueados los correos con Antivirus2008
Hola a todos.
Pues he enviado la muestra atravès de un correo privado, ya que no tengo acceso a los servidores de correo electrònico ni Outlook... espero que llegue correctamente y de antemano una disculpa por no hacerlo por la vìa correcta.
Serena
Pues he enviado la muestra atravès de un correo privado, ya que no tengo acceso a los servidores de correo electrònico ni Outlook... espero que llegue correctamente y de antemano una disculpa por no hacerlo por la vìa correcta.
Serena
Rosadelsvents: Nascuda contracorrent desafiant les gelades i plantat-li cara al vent...
-
msc hotline sat
- Mensajes: 93500
- Registrado: 09 Mar 2004, 20:39
- Ubicación: BARCELONA (ESPAÑA)
- Contactar:
Re: bloqueados los correos con Antivirus2008
Pues excepcionalmente y sin que sirva de precedente, recibida la muestra en privado, la he empaquetado con password VIRUS y enviado por mail a zonavirus@satinfo.es para darle entrada al circuito normal de muestras para analizar.
Paralelamente la he subido al VirusTotal y comprobado que la mayoria de antivirus lo detectan como FAKE ALERT, como se puede ver en el informe creado al respecto en:
http://www.virustotal.com/analisis/cc4a49f31cce3646a91b7f1db8a5ec36
En cuanto entremos a trabajar hoy en SATINFO procederemos e informaremos
saludos
ms, 8-07-2008
Paralelamente la he subido al VirusTotal y comprobado que la mayoria de antivirus lo detectan como FAKE ALERT, como se puede ver en el informe creado al respecto en:
En cuanto entremos a trabajar hoy en SATINFO procederemos e informaremos
saludos
ms, 8-07-2008
msc hotline sat Virus Research Engineer Antes de preguntar - Normas Basicas - Mensajes Privados - Repetir Temas - Continuar Temas - Titulos del Tema - Antivirus Online
-
msc hotline sat
- Mensajes: 93500
- Registrado: 09 Mar 2004, 20:39
- Ubicación: BARCELONA (ESPAÑA)
- Contactar:
Re: bloqueados los correos con Antivirus2008
Analizado el fichero enviado, es una antivirus con truco, pues genera los troyanos que luego detecta :mrgreen: !
Hemos implementado su control y eliminacion en la version de hoy del ELISTARA 16.66 que subiremos a esta web dentro de media hora, cuando ya terminemos la jornada laboral, ya que hacemos jornada intensiva de 8 a 15 horas.
Tras descargarlo, lo pruebas y nos comentas el resultado, gracias:
saludos
ms, 8-07-2008
Hemos implementado su control y eliminacion en la version de hoy del ELISTARA 16.66 que subiremos a esta web dentro de media hora, cuando ya terminemos la jornada laboral, ya que hacemos jornada intensiva de 8 a 15 horas.
Tras descargarlo, lo pruebas y nos comentas el resultado, gracias:
[quote][b]ELISTARA:[/b] http://www.zonavirus.com/descargas/elistara.asp
Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso[/quote]
saludos
ms, 8-07-2008
msc hotline sat Virus Research Engineer Antes de preguntar - Normas Basicas - Mensajes Privados - Repetir Temas - Continuar Temas - Titulos del Tema - Antivirus Online
Re: bloqueados los correos con Antivirus2008
Ya he pasado la herramienta y el bichillo fuè eliminado, tengo acceso a los servidores de correo.
(Ahora a actualizar:D )
Muchìsimas gracias por todo, un saludo afectuoso y seguimos leyèndolos.
Serena.
Wed Jul 09 17:27:57 2008
EliStartPage v16.67 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 9 de Julio del 2008)
--------------------------------------------------
Lista de Acciones (por Acción Directa):
Entrada Eliminada [HKCU\...\Run] "Antivirus2008y"="C:\Archivos de programa\Antivirus2008y\antvrs.exe"
Eliminada Carpeta "%Archivos de Programa%\AntiVirus2008y"
No detectado SP3 de Windows XP
Eliminados Ficheros Temporales del IE
Wed Jul 09 17:29:43 2008
EliStartPage v16.67 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 9 de Julio del 2008)
--------------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\
C:\System Volume Information\_restore{CB22FD9B-EF49-4CB4-9D90-73B7D63A721B}\RP13\A0003888.EXE --> Eliminado, AntiVirus2008(antispy)
Nº Total de Directorios: 1504
Nº Total de Ficheros: 18825
Nº de Ficheros Analizados: 8778
Nº de Ficheros Infectados: 1
Nº de Ficheros Limpiados: 1
(Ahora a actualizar
Muchìsimas gracias por todo, un saludo afectuoso y seguimos leyèndolos.
Serena.
Wed Jul 09 17:27:57 2008
EliStartPage v16.67 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 9 de Julio del 2008)
--------------------------------------------------
Lista de Acciones (por Acción Directa):
Entrada Eliminada [HKCU\...\Run] "Antivirus2008y"="C:\Archivos de programa\Antivirus2008y\antvrs.exe"
Eliminada Carpeta "%Archivos de Programa%\AntiVirus2008y"
No detectado SP3 de Windows XP
Eliminados Ficheros Temporales del IE
Wed Jul 09 17:29:43 2008
EliStartPage v16.67 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 9 de Julio del 2008)
--------------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\
C:\System Volume Information\_restore{CB22FD9B-EF49-4CB4-9D90-73B7D63A721B}\RP13\A0003888.EXE --> Eliminado, AntiVirus2008(antispy)
Nº Total de Directorios: 1504
Nº Total de Ficheros: 18825
Nº de Ficheros Analizados: 8778
Nº de Ficheros Infectados: 1
Nº de Ficheros Limpiados: 1
Rosadelsvents: Nascuda contracorrent desafiant les gelades i plantat-li cara al vent...
-
msc hotline sat
- Mensajes: 93500
- Registrado: 09 Mar 2004, 20:39
- Ubicación: BARCELONA (ESPAÑA)
- Contactar:
Re: bloqueados los correos con Antivirus2008
Muy bien, pues lo celebramos, y dando el Tema por solucionado, procedemos a cerrarlo
Si nos necesitas de nuevo, ya sabes donde estamos
saludos
ms, 10-07-2008
NOTA: Vemos que te falta instalar el SP3. Es importante que actualices los parches lanzando un windowsupdate. ms.
Si nos necesitas de nuevo, ya sabes donde estamos
saludos
ms, 10-07-2008
NOTA: Vemos que te falta instalar el SP3. Es importante que actualices los parches lanzando un windowsupdate. ms.
msc hotline sat Virus Research Engineer Antes de preguntar - Normas Basicas - Mensajes Privados - Repetir Temas - Continuar Temas - Titulos del Tema - Antivirus Online