Desbordamiento de bufer

[David Saca]

Buenas, desgraciadamente me baje del Emule un programa y lo ejecute y a raiz de eso el McAfee me bloquea 2 (virus) de desbordamiento de bufer:de escritura Desbordamiento de bufer:pila solo los bloquea pero no los detecta cuando paso el antivirus.

Tengo instalado tambien el Ad-Aware 2008 y detecta 1 MRU que lo elimino pero cada vez que enciendo el ordenador los 2 vuelven a salir.

1 es C:/WINDOWS/system32/services.exe:KERNEL32.CreateFileA ,(que sale al encender al ordenador) y el otro

C:/WINDOWS/system32/services.exe:ADVAPI32.RegCreateKeyA que sale despues.

No se como eliminarlos, si son peligrosos, etc.

Me gustaria que me ayudasen. Gracias.

NOTA: tengo un portatil y me conecto a internet a traves del router ¿se me podria colar el virus tambien?.

Un saludo

[msc hotline sat]

Un BO o Buffer Overflow (Desbordamiento de buffer) puede ser causado por falta de parches

Dinos versión del sistema operativo y parches aplicados (si es XP, mira si tienes el SP3) y del antivirus (si dices que usas McAfee dinos si es la versión Enterprise 8,5 y si es así si tienes el patch 6)

saludos
ms, 10-11-2008

[David Saca]

El sistema es Xp pero no se como mirar si tengo SP3 y me han aconsejado (el que me instalo el ordenador) no utilizar Windows Update.

El McAfee tiene 5 parches.Debo actualizarlo ¿verdad? En cuanto acabe de pasar el Kaspersky on-line lo actualizo y le contesto.

Gracias

[David Saca]

Hola otra vez la version XP tiene el Service Pack 3 y el McAfee lo acabo de actualizar pero solo instala 5 parches.

Le agradezco su atencion y le ruego la ayuda necesaria para quitarme el rollo este de encima, lo llevo intentando 5 dias y soy incapaz, tampoco tengo muchos conocimentos de ordenadores.

Un saludo.

[msc hotline sat]

Pues le falta el patch 6 del VirusScan Enterprise 8.5 y mientras escribo me llega la noticia de McAfee acaba de publicar el patch 7 para dicha versión, asi que en lugar de descargarse el 6, descargue el 7 que al ser acumulativo ya incluirá el 6 que no tiene.

Evidentemente ello lo ha de pedir a su distribuidor o con el GRAND NUMBER, descargarlo de www.mcafee.com (en www.satinfo.es tambien está, pero se requiere estar asociado a nuestros servicio tecnicos, no es accesible mas que a los que tienen contrato de asistencia tecnica con nosotros, que conlleva licencia de McAfee, claro),

Es el primero en saber la existencia de este nuevo parche, voy a comentarlo para los demas

saludos
ms, 10-11-2008

[msc hotline sat]

Mientras le escribía, mis compañeros ya han subido dicho parche a nuestra web, pero ojo, me han avisado que antes de instalar dicho parche se ha de instalr un HOTFIX, que y hemos puesto delante en la zona de descarga del mismo:

vse85hf427887.zip HotFix para instalar antes que el Patch 7 y cualquier parche posterior de VirusScan 8.5i 304.39 KBytes
vse85p7.zip Patch 7 para VirusScan Enterprise 8.5i, requiere hotfix VSE85HF427887.zip antes de su instalación 9484.60 K


Así que ya lo sabe, y tras ello, comentenos el resultado, gracias

saludos
m,s, 10-11-2008

[David Saca]

El Mcafee que me instalaron dice que es "Con licencia" pero no se cual sera el "GRAND NUMBER",¿es el de version motor o el de Version DAT?.

Como le dije no tengo muchos conocimientos, lo unico que quisiera es resolver el problema aunque lo hiciera de forma manual (he visto algunos ejemplos en las descripciones de virus de su pagina).

Y no me gustaria tener que volver a pagar por un antivirus y ordenador que me instalaron, probablemente sin las licencias opurtunas y mucha caradura.

Le agradeceria mucho su colaboracion en mi problema.

Gracias.

[msc hotline sat]

Cada licencia de antivirus tiene su GRANDNUMBER, pideselo a quien te lo instaló, aunque debería haberte entregado el certificado, pero bueno...



saludos



ms, 10-11-2008

[David Saca]

Ya tengo instalado el Patch 6 de mcafee y tambien tengo el SP3 de XP. ¿ Y ahora que hago?.

¿Instalo el HOTFIX o eso es solo para el parche 7?.

[msc hotline sat]

Sí, cuando puedas instala el HOTFIX y el patch 7

saludos
ms, 10-11-2008

[David Saca]

Muchisimas gracias por su colaboracion, despues de volverme loco para conseguir el parche 6 (que me pedia al principio) veo que necesito todos los visados para que me asesoren, siento mucho no disponer de todos los originales necesarios, pues el ordenador es de segunda mano, me lo instalo quien me lo vendio y no tengo forma de localizarlo, de todas maneras no se preocupe ya lo soluciono cuando salga el parche 32, pago por "otro" antivirus o entro en un foro dode caiga en gracia del ingeniero.

[msc hotline sat]

No es cuestion de caer en gracia, sino disponer del password de acceso para la descarga ...

Y tras instalar de momento el patch 6, diganos si ya no persiste el problema del los BO, como esperamos, y en tal caso daremos por solucionado el Tema

saludos
ms, 10-11-2008
ref MAD/Alco40.3-3.8

[David Saca]

El problema sigue persistiendo.

Espero poder solucionarlo sin el parche 7 pues seguramente no pueda conseguirlo.

El prolema era muy parecido al del virus W32 Raleka pero no se cumplen los requisitos exactamente, no me creo las copias de svchost32.exe, service.exe. etc.

[msc hotline sat]

Pues por si ya hubiera entrado, lanza este AV ONLINE y posteanos el informe resultante:

url=https://www.kaspersky.es/downloads/than ... s-download] SOLO TESTEO AV ONLINE[/url]

NOTA: Y escojer la opcion de MIPC para escanearlo todo. Dicho AV ONLINE no limpia, solo testea, asi que lo que pretendemos con ello es solo el informe, ya obraremos en consecuencia. ms.

saludos
ms, 10-11-2008

[David Saca]

No sabia que Kasperky fuera tan bueno de detectar lo que el Panda, Mcafee y ad-aware no detectaron.

Les mando el informe, dandole las gracias por anticipado.

lunes, 10 de noviembre de 2008 20:17:29

Sistema operativo: Microsoft Windows XP Professional, Service Pack 3 (Build 2600)

Kaspersky Online Scanner versión: 5.0.84.1

Ultima actualización: 10/11/2008

Registros en la base antivirus: 1235908





Configuración del análisis

Analizar usando las siguientes bases standard

Analizar archivos verdadero

Analizar bases de correo verdadero



Objetivo a analizar Mi PC

A:\

C:\

D:\

F:\



Estadísticas

Número de objeros analizados 58292

Virus encontrados 1

Objetos infectados 4 / 0

Objetos sospechosos 0

Duración del análisis 01:46:25



Bombre del objeto infectado Nombre del virus Última acción

C:\Documents and Settings\All Users\Datos de programa\McAfee\Common Framework\Db\Agent_PESEBRE.log Object is locked saltado



C:\Documents and Settings\All Users\Datos de programa\McAfee\Common Framework\Db\PrdMgr_PESEBRE.log Object is locked saltado



C:\Documents and Settings\All Users\Datos de programa\McAfee\DesktopProtection\AccessProtectionLog.txt Object is locked saltado



C:\Documents and Settings\All Users\Datos de programa\McAfee\DesktopProtection\BufferOverflowProtectionLog.txt Object is locked saltado



C:\Documents and Settings\All Users\Datos de programa\McAfee\DesktopProtection\OnAccessScanLog.txt Object is locked saltado



C:\Documents and Settings\david\Configuración local\Archivos temporales de Internet\AntiPhishing\B3BB5BBA-E7D5-40AB-A041-A5B1C0B26C8F.dat Object is locked saltado



C:\Documents and Settings\david\Configuración local\Archivos temporales de Internet\Content.IE5\index.dat Object is locked saltado



C:\Documents and Settings\david\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat Object is locked saltado



C:\Documents and Settings\david\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat.LOG Object is locked saltado



C:\Documents and Settings\david\Configuración local\Historial\History.IE5\index.dat Object is locked saltado



C:\Documents and Settings\david\Configuración local\Historial\History.IE5\MSHist012008111020081111\index.dat Object is locked saltado



C:\Documents and Settings\david\Configuración local\Temp\hpodvd09.log Object is locked saltado



C:\Documents and Settings\david\Configuración local\Temp\NAILogs\UpdaterUI_PESEBRE.log Object is locked saltado



C:\Documents and Settings\david\Cookies\index.dat Object is locked saltado



C:\Documents and Settings\david\NTUSER.DAT Object is locked saltado



C:\Documents and Settings\david\NTUSER.DAT.LOG Object is locked saltado



C:\Documents and Settings\LocalService\Configuración local\Archivos temporales de Internet\Content.IE5\index.dat Object is locked saltado



C:\Documents and Settings\LocalService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat Object is locked saltado



C:\Documents and Settings\LocalService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat.LOG Object is locked saltado



C:\Documents and Settings\LocalService\Configuración local\Historial\History.IE5\index.dat Object is locked saltado



C:\Documents and Settings\LocalService\Cookies\index.dat Object is locked saltado



C:\Documents and Settings\LocalService\NTUSER.DAT Object is locked saltado



C:\Documents and Settings\LocalService\ntuser.dat.LOG Object is locked saltado



C:\Documents and Settings\NetworkService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat Object is locked saltado



C:\Documents and Settings\NetworkService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat.LOG Object is locked saltado



C:\Documents and Settings\NetworkService\NTUSER.DAT Object is locked saltado



C:\Documents and Settings\NetworkService\ntuser.dat.LOG Object is locked saltado



C:\System Volume Information\MountPointManagerRemoteDatabase Object is locked saltado



C:\System Volume Information\_restore{161C7372-8F6C-421D-9491-68C6E10BA3C0}\RP1\change.log Object is locked saltado



C:\WINDOWS\Debug\PASSWD.LOG Object is locked saltado



C:\WINDOWS\SchedLgU.Txt Object is locked saltado



C:\WINDOWS\SoftwareDistribution\ReportingEvents.log Object is locked saltado



C:\WINDOWS\Sti_Trace.log Object is locked saltado



C:\WINDOWS\system32\config\47611984.Evt Object is locked saltado



C:\WINDOWS\system32\config\AppEvent.Evt Object is locked saltado



C:\WINDOWS\system32\config\default Object is locked saltado



C:\WINDOWS\system32\config\default.LOG Object is locked saltado



C:\WINDOWS\system32\config\Internet.evt Object is locked saltado



C:\WINDOWS\system32\config\SAM Object is locked saltado



C:\WINDOWS\system32\config\SAM.LOG Object is locked saltado



C:\WINDOWS\system32\config\SecEvent.Evt Object is locked saltado



C:\WINDOWS\system32\config\SECURITY Object is locked saltado



C:\WINDOWS\system32\config\SECURITY.LOG Object is locked saltado



C:\WINDOWS\system32\config\software Object is locked saltado



C:\WINDOWS\system32\config\software.LOG Object is locked saltado



C:\WINDOWS\system32\config\SysEvent.Evt Object is locked saltado



C:\WINDOWS\system32\config\system Object is locked saltado



C:\WINDOWS\system32\config\system.LOG Object is locked saltado



C:\WINDOWS\system32\h323log.txt Object is locked saltado



C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR Object is locked saltado



C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP Object is locked saltado



C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER Object is locked saltado



C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP Object is locked saltado



C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP Object is locked saltado



C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA Object is locked saltado



C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP Object is locked saltado



C:\WINDOWS\Temp\WFVB.tmp Object is locked saltado



C:\WINDOWS\wiadebug.log Object is locked saltado



C:\WINDOWS\wiaservc.log Object is locked saltado



C:\WINDOWS\WindowsUpdate.log Object is locked saltado



D:\eMule\Temp\036.part/Setup.exe Infectados: Rootkit.Win32.Agent.eii saltado



D:\eMule\Temp\036.part RAR: infectado - 1 saltado



D:\eMule\Temp\040.part/Setup.exe Infectados: Rootkit.Win32.Agent.eii saltado



D:\eMule\Temp\040.part ZIP: infectado - 1 saltado



D:\System Volume Information\MountPointManagerRemoteDatabase Object is locked saltado



Análisis completado.



Espero sus respuestas.

uUn saludo.

[msc hotline sat]

Pues sí que tiene virus, pero es que usando eMule, lo raro sería lo contrario ... :wink:





D:\eMule\Temp\036.part/Setup.exe Infectados: Rootkit.Win32.Agent.eii saltado



D:\eMule\Temp\036.part RAR: infectado - 1 saltado



D:\eMule\Temp\040.part/Setup.exe Infectados: Rootkit.Win32.Agent.eii saltado



D:\eMule\Temp\040.part ZIP: infectado - 1 saltado



Directamente elimine estos ficheros que podría ser que por las comparticiones del eMule le provoquem dicho desbordamiento de bufffer



Y si con ello no lo lora, vaya oensando en el nuevo parche que ha salido hoy, ya que cuando es por algo ...



y nos cuenta el resultado, gracias



saludos



ms, 10-11-2008

[David Saca]

Ire pensando en ello, sigue saltando el de Kernel32 al principio.

Y ADVAPI a los 5 minutos.

He borrado esos archivos que estaban en modo de archivo que windows no puede abrir, pero nada, que cara de bobo se me ha quedado ya que pensaba que lo teniamos. :oops:

¿Hay alguna otra solucion inmediata?.

Gracias

[lucl]

Pues tienes esto infectado





D:\eMule\Temp\036.part/Setup.exe Infectados: Rootkit.Win32.Agent.eii saltado



D:\eMule\Temp\036.part RAR: infectado - 1 saltado



D:\eMule\Temp\040.part/Setup.exe Infectados: Rootkit.Win32.Agent.eii saltado



D:\eMule\Temp\040.part ZIP: infectado - 1 saltado





no se si sea de alguna peli , si es asi eliminalas y nos comentas saludos

[David Saca]

Fue un programa que ya elimine, ¿Cree que tendre que formatear el ordenador?. Espero que no pues no tengo ni idea.

Los programas infectados ya los elimine ¿Que hago?.¿Le paso otro antivirus?

Gracias.

[msc hotline sat]

No, mas bien deja de usar el eMule !!!



saludos



ms, 11-11-2008

[David Saca]

Escarmentado quedo de utilizarlo.

¿Que solucion le podemos dar al problema, para eliminar lo que tengo?.Estoy desesperado. :cry:

[msc hotline sat]

Desinstala el eMule y elimina la carpeta c:\eMule y lo que cuelga de ella, claro



Espero que asi soluciones problemas presentes y futuros...



saludos



ms, 11-11-2008

[David Saca]

Ya he eliminado emule o eso creo porque le doy a busqueda y no me sale nada. El problema persiste. :cry:

[David Saca]

No se si tendra algo que ver, pero buscando por Kernel me aparece alguno con el mismo nombre pero de diferente ubicacion,

ademas en algunos cambia el nombre. Ejem.

Kernel32.dll en C;/WINDOWS/System32 tipo extension de la aplicacion.

Kernel32.dll en C;/WINDOWS/ServicePackFiles/i386 ""

Kernel32.dll en C:/WINDOWS/SofwareDistribution/Download/2aeaf54e7e4b5....

Tambien hay un gckernel (duplicado) un Ikernel.exe y otro dll y 2 SVGVernElement.class.

De advapi no estan duplicados pero se encuentran en la misma ubicacion de los kernel respectivos.

[msc hotline sat]

Es normal que los ficheros de sistema esten en su carpeta, c\windows\system32 y las actualizaciones en la de C;/WINDOWS/ServicePackFiles/i386



Luego estos otros que dices, pues subelos al VirusTotal a ver si algun antivirus detecta algun virus...



www.virustotal.com/es



y nos comnetas el resultado, gracias



saludos



ms, 11-11-2008

[David Saca]

Disculpe la verborrea de hoy pero como ya le dije estoy desesperado.

Al pasar el Ad-Ware que me instalaron, me dice que tengo 3 MRU.

1) MRU PATH en C/Documents and settings/David/Reciente. count 17 que es un archivo EXD el cual no puedo abrir (RefEDIT.exd) con fecha de 12/9/2008 el cual no se ni lo que es.



2) MRU Registry Key S-1-5-21-343818398-16....../sofware/Microsof/Search Assistant/Ac Mru/5603 Count:6

El cual con identicos numeros se encuentra en system32/appmgmt. ¡¡Esa carpeta esta VACIA!!

3) tiene la misma numeracion que el anterior pero varia en .....microsoft/Internet explorer/Typed URLS count:1

Al eliminarlos con Ad-Ware los archivos permanecen.

Al apagar el ordenador me salta (Ya apagandose) un texto de advertencia que nunca antes habia visto, el cual no consigo leer.

El ordenador (quiza sea cosa mia) tarda en cerrar ventanas y cuando las cierra a veces lo hace "por partes, a trozos". esto es un sintoma nuevo.

He subido los archivos que le comente antes a Virustotal y nada. Lo dicho desesperanta. :cry:

[msc hotline sat]

Antes de gastar dinero en cambiar la memoria, lance una REPARACION DE SISTEMA, quizas se le ha dañado algun fichero;


[quote="para REPARAR WINDOWS, msc"]
Sugiero proceder a REPARAR windows, arrancando con el CD de instalacion y primero seleccionar instalar, y tras detectar la particion existente, escoger REPARAR, no reinstalar para no perder las aplicaciones instaladas, y finalizar con un windowsupdate [/quote]

y nos cuenta el resultado, gracias



saludos



ms, 11-11-2008

[David Saca]

Dos cosas e intento arrancar con el CD (expliqueme como se hace).

1 Cuando le vuelvo a pasar el AD-Ware no me da ningun problema, no me detecta nada pero si apago el ordenador y lo vuelvo a encender, ademas de saltarme otra vez el Mcafee, paso el Ad-ware y me vuelven a salir los MRU.

2 ¿Sabe usted que sera una carpeta llamada DRVSTORE que contiene otra llamada GEARAspiWD_d23663b6...................?

es reciente de mas o menos cuando el problema y no se que es, ademas destaca de las demas de system32 porque esta en azul.

Gracias por la paciencia y a ver si acabamos con el jodio bicho.

Saludos.

[lucl]

El color azul es porque esta cifrado o comprimido en nfts y es del sistema, lo que no se es a que corresponde la carpeta GEARAspiWD_d23663b6, si quieres para salir de dudas analizala en virustotal pero no la borres. Puede responder a algun programa tuyo.





https://www.virustotal.com/es/





Y nos comentas, saludos

[msc hotline sat]

GEARASPI está relacionado con GEAR Software - software de grabación de CD / DVD .



Y para arrancar con el CD se ha de configurar en el BOOTSEQUENCE del SETUP del BIOS con prioridad de arranque desde CD, antes de Disco duro y de otros medios.



Y los MRU son los ficheros "Most Recent Used" (Elementos Utilizados Recientemente) , lo cual crea automaticamente windows, y que se guarda en una lista que puede borrarse con una utilidad gratuita: http://www.incubaweb.com/6972/software-offline/mru-blaster-protege-tu-privacidad-en-2-clics/



Y ya con las aclaraciones indicadas, indicanos si tienes algun otro problema o damos por solucionado el Tema, gracias



saludos



ms, 1-11-2008