IE no arranca con antivirus (CERRADO, sigue en uno nuevo al respecto)

[msc hotline sat]

Es que flacoroo ha estado ausente y no ha visto la primera parte de la pelicula ! :wink:



Viene de https://foros.zonavirus.com/viewtopic.php?f=2&t=28097&p=157628#p157628 que llegando a 80 post y siendo inviable su lectura en cada respuesta, lo cerramos y seguimos en este, pero mirate el resto si quieres enterarte...



De todas formas he mirado el sproclog y solo cabe eliminar esta clave "missing", aunque no afecte:



O23 - Service: ZZZJNFVN - Unknown owner - C:\WINDOWS\system32\drivers\ZZZJNFVN.sys (file missing)



Espero que el lunes (mañana no trabajamos) encontremos los ficheros que nos has enviado y podamos rematar el asunto.



Y ya ves que los ZBOT con RootKit como era el que tenias y ya hemos eliminado son lo peorcito, y este tenía dos... Ha sido duro de pelar, pero creo que al fin lo hemos logrado.



El lunes monitorizaremos al sospechoso y lo juzgaremos, y espero que le caerá la sentencia máxima...



saludos



ms, 24-4-2009

[julibaga]

Ahí la llevan.... :D

[b]AangeL:[/b] Olvídate de formatear, amigo... este [color=#800000]msc hotline sat[/color] es tremendo....

Paso que vaaaaaaa... ! :lol:

[msc hotline sat]

Y ahora que empiezo a estar enseñado, ahora va cuando me jubilan ... :mrgreen:



(Que mas quisiera yo... :lol: :lol: :lol: )



Y no des malas ideas, julibaga, "formatear" no existe en nuestro lenguaje... (y no por el léxico, sino por principios !)



saludos



ms, 25-4-2009

[AangeL]

avisas cuando sepais algo nuevo! jeje gracxias

[msc hotline sat]

Hemos recibido las nuevas muestras y vemos que se trata de nuevas variantes de ZBOT, para las cuales desarrollamos hoy nueva version del ELISTARA y ELINOTIF




[quote]
[b] ELISTARA: [/b]

http://www.zonavirus.com/descargas/elistara.asp



[b] ELINOTIF.DLL:[/b]

http://www.zonavirus.com/descargas/elinotif.asp



Descargue las dos en una misma carpeta y pruebe el ELISTARA, y tras reiniciar y posteenos el contenido de C:\infosat.txt para ver el resultado del proceso



Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso
[/quote]





A partir de las 19 h GMT, estará disponible en esta web, para pruebas de evaluacion en el foro de zonavirus



informanos del resultado, gracias.



saludos



ms, 27-4-2009

[AangeL]

(27-4-2009 19:50:58)

EliStartPage v18.49 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 27 de Abril del 2009)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminada Carpeta "%WinSys%\Skype32"

Eliminada Carpeta "%WinSys%\Winoffice"

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



(27-4-2009 19:51:04)

EliStartPage v18.49 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 27 de Abril del 2009)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"

C:\Muestras\WINDOWS64.EXE.MUESTRA ELISTARTPAGE V18.48 --> Eliminado, Spy.ZBot.SOA

C:\WINDOWS\system32\BOOTWINDOWS.EXE.VIR --> Eliminado, Spy.ZBot.OL



Nº Total de Directorios: 14749

Nº Total de Ficheros: 136468

Nº de Ficheros Analizados: 29959

Nº de Ficheros Infectados: 2

Nº de Ficheros Limpiados: 2

[lucl]

Pues ya tan solo te falta decirnos como esta tu pc, si se ha normalizado nos lo comentas gracias saludos

[AangeL]

pues el tema de los antivirus me pasa exactamente lo mismo, con el nod32 se me bloquea internet y con el avg no se me actualiza por fallo de conexion pero si va internet

[msc hotline sat]

Descarga el COMPROBADOR.EXE y dinos si ves los tres logos de la primera fila:



DESCARGA COMPROBADOR.EXE

http://www.zonavirus.com/descargas/comprobador.asp



saludos



ms, 28-4-2008

[AangeL]

buenos dias!,



pues no, solo veo 2 SATINFO Y VIRUSTOTAL

[msc hotline sat]

Pues Conficker C no es, puede ser uno anterior o cualquier otro virus que intercepte el acceso a McAfee, pero no a WEBS que contengan la palabra "VIRUS" eb su URL.



Lanza este AV ONLINE y posteanos el informe resultante:





http://www.kaspersky.com/kos/english/kavwebscan.html



y seleccionar MY COMPUTER para escanearlo todo. Si no se tiene la version de



Java actualizada, a la izquierda de la ventana que presenta dicho acceso,



ofrecen link de descarga...



Dicho AV ONLINE no limpia, solo testea, asi que lo que pretendemos con ello



es solo el Informe, ya obraremos en consecuencia. ms.



[img]http://img.photobucket.com/albums/v666/sUBs/Kas-SaveReport-1.gif[/img]



saludos



ms, 28-4-2009

[AangeL]

es necesario hacer el scan con arranque de modo seguro?

[msc hotline sat]

Depende de lo que tengas, siempre es mejor, para poder evitar que algun rootkit se ponga en uso y nos impida ver lo que queremos, si lo haces asi, selecciona modo seguro con funciones de red, para poder navegar.



saludos



ms, 28-4-2009

[AangeL]

scan a MODO NORMAL (ahora reinicio y lo hago en modo seguro con red), lo que no entiendo es porque sigue el archivo de JACK.gif...



--------------------------------------------------------------------------------

KASPERSKY ONLINE SCANNER 7 REPORT

Tuesday, April 28, 2009

Operating System: Microsoft Windows XP Professional Service Pack 3 (build 2600)

Kaspersky Online Scanner 7 version: 7.0.25.0

Program database last update: Tuesday, April 28, 2009 11:42:50

Records in database: 2086087

--------------------------------------------------------------------------------



Scan settings:

Scan using the following database: extended

Scan archives: yes

Scan mail databases: yes



Scan area - My Computer:

A:\

C:\

D:\

E:\

F:\

G:\



Scan statistics:

Files scanned: 154172

Threat name: 2

Infected objects: 2

Suspicious objects: 0

Duration of the scan: 02:48:21





File name / Threat name / Threats count

C:\WINDOWS\system32\~.exe Infected: Trojan-Spy.Win32.Zbot.soz 1

F:\Mis documentos\Mis archivos recibidos\JACK.gif.vir Infected: Trojan-Clicker.HTML.IFrame.rp 1



The selected area was scanned.

[msc hotline sat]

Pues ya ves que detecta dos malwares:



C:\WINDOWS\system32\~.exe



y en



F:\Mis documentos\Mis archivos recibidos\JACK.gif.vir



Este último está ya "aparcado", pero mira de limpiarlo con el ELIFRAME:



http://www.zonavirus.com/datos/descargas/276/eliframeexe.asp



Y EL OTRO, ENVIANOSLO PARA ANALIZAR Y CONTROLAR:



C:\WINDOWS\system32\~.exe









>[b]ENVIO DE MUESTRAS Y



ELIMINACION DE CLAVES - Para ello recordar[/b]:

https://foros.zonavirus.com/viewtopic.php?f=5&t=14253





Tras recibirlos, los analizaremos e implementaremos su control y eliminacion, si procede, en nuestras utilidades, de lo cual informaremos



saludos



ms, 28-4-2009

[AangeL]

el iframe pasado me elimino el jack.gif, pero sigue apareciendo, ya envie las 2 muestras en un zip con la password

[msc hotline sat]

El Eliframe limpia los ficheros infectados con el Iframe, pero si se regenera, igual tienes un downloader o un dropper... y podría ser este C:\WINDOWS\system32\~.exe , que es un ZBOT ... !!!



Cuando lo hayas enviado y lo monitoricemos, veremos si es el caso.



saludos



ms, 28-4-2009

[msc hotline sat]

Bueno, pues este ~.exe es un dropper, que genera el windows64.exe ...



Lo pasaremos a controlar desde el ELISTARA 18.50 de hoy



saludos



ms, 28-4-2009

[AangeL]

scan a MODO SEGURO



--------------------------------------------------------------------------------

KASPERSKY ONLINE SCANNER 7 REPORT

Tuesday, April 28, 2009

Operating System: Microsoft Windows XP Professional Service Pack 3 (build 2600)

Kaspersky Online Scanner 7 version: 7.0.25.0

Program database last update: Tuesday, April 28, 2009 14:36:25

Records in database: 2086399

--------------------------------------------------------------------------------



Scan settings:

Scan using the following database: extended

Scan archives: yes

Scan mail databases: yes



Scan area - My Computer:

A:\

C:\

D:\

E:\

F:\

G:\



Scan statistics:

Files scanned: 154479

Threat name: 2

Infected objects: 4

Suspicious objects: 0

Duration of the scan: 02:30:46





File name / Threat name / Threats count

C:\RECYCLER\S-1-5-21-1644491937-1229272821-839522115-1003\Dc28\JACK.gif.vir Infected: Trojan-Clicker.HTML.IFrame.rp 1

C:\RECYCLER\S-1-5-21-1644491937-1229272821-839522115-1003\Dc28\~.exe.vir Infected: Trojan-Spy.Win32.Zbot.soz 1

C:\WINDOWS\system32\~.exe.vir Infected: Trojan-Spy.Win32.Zbot.soz 1

F:\Mis documentos\Mis archivos recibidos\JACK.gif.vir Infected: Trojan-Clicker.HTML.IFrame.rp 1



The selected area was scanned.

[AangeL]

iframe reiniciado:



(28-4-2009 16:38:6)

EliFrame v1.2 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 24 de Abril del 2009)

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"



Nº Total de Directorios: 14793

Nº Total de Ficheros: 138347

Nº de Ficheros Analizados: 17325

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

[msc hotline sat]

Pero prueba el ELISTARA 18.50 , que ya está subido, y posteanos el resultado, gracias



saludos



ms, 28-4-2009

[AangeL]

elistara nuevo reiniciado pc



(28-4-2009 17:43:05)

EliStartPage v18.50 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 28 de Abril del 2009)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



(28-4-2009 17:43:10)

EliStartPage v18.50 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 28 de Abril del 2009)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"

C:\WINDOWS\system32\~.EXE.VIR --> Eliminado, Spy.ZBot.SOA



Nº Total de Directorios: 14772

Nº Total de Ficheros: 136683

Nº de Ficheros Analizados: 29970

Nº de Ficheros Infectados: 1

Nº de Ficheros Limpiados: 1



(28-4-2009 17:59:02)

EliStartPage v18.50 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 28 de Abril del 2009)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



(28-4-2009 17:59:12)

EliStartPage v18.50 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 28 de Abril del 2009)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "F:\"



Nº Total de Directorios: 316

Nº Total de Ficheros: 15559

Nº de Ficheros Analizados: 62

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

[AangeL]

me acabo de descargar el comprobador, y sigo sin ver la imagen de la izquierda superior :-(

[msc hotline sat]

Malo, algo te impide ir a la web de McAfee, no es el Conficker C, pero algunos otros tambien lo hacen...



Vuelve a lanzar el AV ONLINE, ya sabes como, y nos posteas su informe actual, a ver si aun hay algo...



saludos



ms, 28-4-2009

[AangeL]

--------------------------------------------------------------------------------

KASPERSKY ONLINE SCANNER 7 REPORT

Wednesday, April 29, 2009

Operating System: Microsoft Windows XP Professional Service Pack 3 (build 2600)

Kaspersky Online Scanner 7 version: 7.0.25.0

Program database last update: Wednesday, April 29, 2009 09:38:16

Records in database: 2090164

--------------------------------------------------------------------------------



Scan settings:

Scan using the following database: extended

Scan archives: yes

Scan mail databases: yes



Scan area - My Computer:

A:\

C:\

D:\

E:\

F:\

G:\



Scan statistics:

Files scanned: 153927

Threat name: 1

Infected objects: 1

Suspicious objects: 0

Duration of the scan: 02:43:20





File name / Threat name / Threats count

C:\WINDOWS\vteyg.dlm Infected: Trojan.Win32.Small.aarn 1



The selected area was scanned.



envio muestra?

[AangeL]

muestra enviada, en zip con password

[msc hotline sat]

Recibida la muestra... aunque no sabemos por donde cogerla con esta extension, si es de adobe o de qué, y como está infectada, peor vamos a verlo



De momento el preanalisis ofrece lo siguiente:


[quote="virustotal"]


File vteyg.dlm.vir received on 04.29.2009 15:35:47 (CET)





Result: 6/40 (15%)



Antivirus Version Last Update Result

a-squared 4.0.0.101 2009.04.29 -

AhnLab-V3 5.0.0.2 2009.04.29 -

AntiVir 7.9.0.156 2009.04.29 TR/Agent.its

Antiy-AVL 2.0.3.1 2009.04.29 -

Authentium 5.1.2.4 2009.04.29 -

Avast 4.8.1335.0 2009.04.28 -

AVG 8.5.0.287 2009.04.29 Agent.4.AK

BitDefender 7.2 2009.04.29 -

CAT-QuickHeal 10.00 2009.04.29 -

ClamAV 0.94.1 2009.04.29 -

Comodo 1141 2009.04.29 -

DrWeb 4.44.0.09170 2009.04.29 -

eSafe 7.0.17.0 2009.04.27 -

eTrust-Vet 31.6.6482 2009.04.29 -

F-Prot 4.4.4.56 2009.04.29 -

F-Secure 8.0.14470.0 2009.04.29 -

Fortinet 3.117.0.0 2009.04.29 -

GData 19 2009.04.29 -

Ikarus T3.1.1.49.0 2009.04.29 -

K7AntiVirus 7.10.719 2009.04.29 -

Kaspersky 7.0.0.125 2009.04.29 Trojan.Win32.Small.aarn

McAfee 5599 2009.04.28 -

McAfee+Artemis 5599 2009.04.28 -

McAfee-GW-Edition 6.7.6 2009.04.29 Trojan.Agent.its

Microsoft 1.4602 2009.04.29 -

NOD32 4043 2009.04.29 a variant of Win32/Delf.OHA

Norman 6.00.06 2009.04.28 -

nProtect 2009.1.8.0 2009.04.29 -

Panda 10.0.0.14 2009.04.28 -

PCTools 4.4.2.0 2009.04.29 -

Prevx1 3.0 2009.04.29 -

Rising 21.27.22.00 2009.04.29 -

Sophos 4.41.0 2009.04.29 -

Sunbelt 3.2.1858.2 2009.04.28 -

Symantec 1.4.4.12 2009.04.29 Trojan Horse

TheHacker 6.3.4.1.317 2009.04.29 -

TrendMicro 8.950.0.1092 2009.04.29 -

VBA32 3.12.10.3 2009.04.29 -

ViRobot 2009.4.29.1715 2009.04.29 -

VirusBuster 4.6.5.0 2009.04.29 -

Additional information

File size: 29696 bytes

MD5...: 215a54cdc1e5e4d64c00846a5ded8744

SHA1..: 5c7fe9fa4986cf703443c59d08d6ee96005d3cd8 [/quote]

En cualquier caso, como que veo que ya lo has añadido extension .VIR, ya no es operativo en tu ordenador, asi que, prueba reiniciar y vuelve a pasar el COMPROBADOR y sabremos si es lo que impedía navegar a McAfee... ???



saludos



ms, 29-4-2009

[msc hotline sat]

Pues ya nos contestarás, de momento implementamos la cadena de deteccion en los que se haya añadido la extension .VIR como decimos, lo cual estará controlado a partir de la version de hoy del ELISTARA 18.51:


[quote]
[b] ELISTARA: [/b]

http://www.zonavirus.com/descargas/elistara.asp



Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para



ver el resultado del proceso
[/quote]





A partir de las 19 h GMT, estará disponible en esta web, para pruebas de



evaluacion en el foro de zonavirus





saludos



ms, 29-4-2009

[AangeL]

aqui teneis el infosat reiniciado, y lamento decir que sigo sin ver el primer logo de la izqda :-(



(29-4-2009 19:38:25)

EliStartPage v18.51 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 29 de Abril del 2009)

--------------------------------------------------

Lista de Acciones (por Acción Directa):



(29-4-2009 19:38:48)

EliStartPage v18.51 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 29 de Abril del 2009)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



(29-4-2009 19:38:53)

EliStartPage v18.51 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 29 de Abril del 2009)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"

C:\WINDOWS\VTEYG.DLM.VIR --> Eliminado, Trojan.Small.AARN



Nº Total de Directorios: 14562

Nº Total de Ficheros: 136627

Nº de Ficheros Analizados: 30014

Nº de Ficheros Infectados: 1

Nº de Ficheros Limpiados: 1

[msc hotline sat]

Pues ya ves que hemos eliminado lo que se habia detectado...



Podría ser (aunque es improbable) que tus servidores de DNS no resolvieran bien la URL de McAfee ... ???



Mira si puedes acceder a http://www.symantec.com , o a http://www.panda.es o a www.cai.com , que son otras webs de seguridad importantes, y si accedes a ellas... veremos qué te pasa con la de www.mcafee.com (por cierto, prueba tambien esta ultima a mano y nos informas)



Aparte de esto, tienes algun otro sintoma vírico a anómalo ???



saludos



ms, 30-4-2009