Dos consultas sobre mis log , gracias

[poipoipoi]

Hola a todos,



Mi consulta es k pasando el hijackthis me aperece el comando rundll32.exe tamto en minusculas como en mayusculas.Es esto correcto? o uno de los dos no tendria k estar.Aparece asi en el log:



C:\WINDOWS\system32\RUNDLL32.EXE

C:\WINDOWS\system32\rundll32.exe



Y este no se k es:



O23 - Service: GEARSecurity - GEAR Software - C:\WINDOWS\System32\GEARSec.exe



Por ultimo en el norton antivirus en informes/ver registro de actividades/Symantec Resources Protector/Alertas siempre me sale que "Se registro un acceso no autorizado" y no se si esto es normal pero me mosquea mucho que siempre el "objetivo" es o bien hacia el antivirus o bien hacia un administrador de contraseñas que tengo "Norton password manager"



31/05/2005 7:40:18,Se registró un acceso no autorizado.,<HEAD><title>SymProtect</title></HEAD><b>Detalles del evento:</b><br> <b>Hora:</b> 31/05/2005 7:40:18<br> <b>Actor:</b> C:\WINDOWS\Explorer.EXE (PID=2928)<br> <b>Objetivo:</b> C:\Archivos de programa\Norton Password Manager\AcctMgr.exe (PID=3344)<br> <b>Acción:</b> Acceso no autorizado<br> <b>Reacción:</b> Se detuvo un acceso no autorizado<br><br> <a href='http://www.symantec.com.mx' target=new>www.symantec.com.mx<

31/05/2005 7:40:18,Se registró un acceso no autorizado.,<HEAD><title>SymProtect</title></HEAD><b>Detalles del evento:</b><br> <b>Hora:</b> 31/05/2005 7:40:18<br> <b>Actor:</b> C:\WINDOWS\Explorer.EXE (PID=2928)<br> <b>Objetivo:</b> C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe (PID=3488)<br> <b>Acción:</b> Acceso no autorizado<br> <b>Reacción:</b> Se detuvo un acceso no autorizado<br><br> <a href='http://www.symantec.com.mx' target=new>www.symantec.com.mx<

31/05/2005 7:40:18,Se registró un acceso no autorizado.,<HEAD><title>SymProtect</title></HEAD><b>Detalles del evento:</b><br> <b>Hora:</b> 31/05/2005 7:40:18<br> <b>Actor:</b> C:\WINDOWS\Explorer.EXE (PID=2928)<br> <b>Objetivo:</b> C:\Archivos de programa\Norton Password Manager\AcctMgr.exe (PID=3344)<br> <b>Acción:</b> Acceso no autorizado<br> <b>Reacción:</b> Se detuvo un acceso no autorizado<br><br> <a href='http://www.symantec.com.mx' target=new>www.symantec.com.mx<

31/05/2005 7:40:18,Se registró un acceso no autorizado.,<HEAD><title>SymProtect</title></HEAD><b>Detalles del evento:</b><br> <b>Hora:</b> 31/05/2005 7:40:18<br> <b>Actor:</b> C:\WINDOWS\Explorer.EXE (PID=2928)<br> <b>Objetivo:</b> C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe (PID=3488)<br> <b>Acción:</b> Acceso no autorizado<br> <b>Reacción:</b> Se detuvo un acceso no autorizado<br><br> <a href='http://www.symantec.com.mx' target=new>www.symantec.com.mx<

31/05/2005 7:40:18,Se registró un acceso no autorizado.,<HEAD><title>SymProtect</title></HEAD><b>Detalles del evento:</b><br> <b>Hora:</b> 31/05/2005 7:40:18<br> <b>Actor:</b> C:\WINDOWS\Explorer.EXE (PID=2928)<br> <b>Objetivo:</b> C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe (PID=3488)<br> <b>Acción:</b> Acceso no autorizado<br> <b>Reacción:</b> Se detuvo un acceso no autorizado<br><br> <a href='http://www.symantec.com.mx' target=new>www.symantec.com.mx<

31/05/2005 7:40:18,Se registró un acceso no autorizado.,<HEAD><title>SymProtect</title></HEAD><b>Detalles del evento:</b><br> <b>Hora:</b> 31/05/2005 7:40:18<br> <b>Actor:</b> C:\WINDOWS\Explorer.EXE (PID=2928)<br> <b>Objetivo:</b> C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe (PID=3488)<br> <b>Acción:</b> Acceso no autorizado<br> <b>Reacción:</b> Se detuvo un acceso no autorizado<br><br> <a href='http://www.symantec.com.mx' target=new>www.symantec.com.mx<

31/05/2005 7:40:18,Se registró un acceso no autorizado.,<HEAD><title>SymProtect</title></HEAD><b>Detalles del evento:</b><br> <b>Hora:</b> 31/05/2005 7:40:18<br> <b>Actor:</b> C:\WINDOWS\Explorer.EXE (PID=2928)<br> <b>Objetivo:</b> C:\Archivos de programa\Norton Password Manager\AcctMgr.exe (PID=3344)<br> <b>Acción:</b> Acceso no autorizado<br> <b>Reacción:</b> Se detuvo un acceso no autorizado<br><br> <a href='http://www.symantec.com.mx' target=new>www.symantec.com.mx<

31/05/2005 7:40:18,Se registró un acceso no autorizado.,<HEAD><title>SymProtect</title></HEAD><b>Detalles del evento:</b><br> <b>Hora:</b> 31/05/2005 7:40:18<br> <b>Actor:</b> C:\WINDOWS\Explorer.EXE (PID=2928)<br> <b>Objetivo:</b> C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe (PID=3488)<br> <b>Acción:</b> Acceso no autorizado<br> <b>Reacción:</b> Se detuvo un acceso no autorizado<br><br> <a href='http://www.symantec.com.mx' target=new>www.symantec.com.mx<

31/05/2005 7:40:18,Se registró un acceso no autorizado.,<HEAD><title>SymProtect</title></HEAD><b>Detalles del evento:</b><br> <b>Hora:</b> 31/05/2005 7:40:18<br> <b>Actor:</b> C:\WINDOWS\Explorer.EXE (PID=2928)<br> <b>Objetivo:</b> C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe (PID=3488)<br> <b>Acción:</b> Acceso no autorizado<br> <b>Reacción:</b> Se detuvo un acceso no autorizado<br><br> <a href='http://www.symantec.com.mx' target=new>www.symantec.com.mx<

31/05/2005 7:39:38,Se registró un acceso no autorizado.,<HEAD><title>SymProtect</title></HEAD><b>Detalles del evento:</b><br> <b>Hora:</b> 31/05/2005 7:39:38<br> <b>Actor:</b> C:\Sierra\COUNTE~1\CStrike.EXE (PID=508)<br> <b>Objetivo:</b> C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe (PID=3488)<br> <b>Acción:</b> Acceso no autorizado<br> <b>Reacción:</b> Se detuvo un acceso no autorizado<br><br> <a href='http://www.symantec.com.mx' target=new>www.symantec.com.mx<

31/05/2005 7:39:38,Se registró un acceso no autorizado.,<HEAD><title>SymProtect</title></HEAD><b>Detalles del evento:</b><br> <b>Hora:</b> 31/05/2005 7:39:38<br> <b>Actor:</b> C:\Sierra\COUNTE~1\CStrike.EXE (PID=508)<br> <b>Objetivo:</b> C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe (PID=3488)<br> <b>Acción:</b> Acceso no autorizado<br> <b>Reacción:</b> Se detuvo un acceso no autorizado<br><br> <a href='http://www.symantec.com.mx' target=new>www.symantec.com.mx<

31/05/2005 7:39:38,Se registró un acceso no autorizado.,<HEAD><title>SymProtect</title></HEAD><b>Detalles del evento:</b><br> <b>Hora:</b> 31/05/2005 7:39:38<br> <b>Actor:</b> C:\Sierra\COUNTE~1\CStrike.EXE (PID=508)<br> <b>Objetivo:</b> C:\Archivos de programa\Norton Password Manager\AcctMgr.exe (PID=3344)<br> <b>Acción:</b> Acceso no autorizado<br> <b>Reacción:</b> Se detuvo un acceso no autorizado<br><br> <a href='http://www.symantec.com.mx' target=new>www.symantec.com.mx<

31/05/2005 7:39:38,Se registró un acceso no autorizado.,<HEAD><title>SymProtect</title></HEAD><b>Detalles del evento:</b><br> <b>Hora:</b> 31/05/2005 7:39:38<br> <b>Actor:</b> C:\Sierra\COUNTE~1\CStrike.EXE (PID=508)<br> <b>Objetivo:</b> C:\Archivos de programa\Norton Password Manager\AcctMgr.exe (PID=3344)<br> <b>Acción:</b> Acceso no autorizado<br> <b>Reacción:</b> Se detuvo un acceso no autorizado<br><br> <a href='http://www.symantec.com.mx' target=new>www.symantec.com.mx<

31/05/2005 7:39:38,Se registró un acceso no autorizado.,<HEAD><title>SymProtect</title></HEAD><b>Detalles del evento:</b><br> <b>Hora:</b> 31/05/2005 7:39:38<br> <b>Actor:</b> C:\Sierra\COUNTE~1\CStrike.EXE (PID=508)<br> <b>Objetivo:</b> C:\Archivos de programa\Archivos comunes\Symantec Shared\CCPD-LC\symlcsvc.exe (PID=1832)<br> <b>Acción:</b> Acceso no autorizado<br> <b>Reacción:</b> Se detuvo un acceso no autorizado<br><br> <a href='http://www.symantec.com.mx' target=new>www.symantec.com.mx<

31/05/2005 7:39:38,Se registró un acceso no autorizado.,<HEAD><title>SymProtect</title></HEAD><b>Detalles del evento:</b><br> <b>Hora:</b> 31/05/2005 7:39:38<br> <b>Actor:</b> C:\Sierra\COUNTE~1\CStrike.EXE (PID=508)<br> <b>Objetivo:</b> C:\Archivos de programa\Archivos comunes\Symantec Shared\CCPD-LC\symlcsvc.exe (PID=1832)<br> <b>Acción:</b> Acceso no autorizado<br> <b>Reacción:</b> Se detuvo un acceso no autorizado<br><br> <a href='http://www.symantec.com.mx' target=new>www.symantec.com.mx<

31/05/2005 7:39:38,Se registró un acceso no autorizado.,<HEAD><title>SymProtect</title></HEAD><b>Detalles del evento:</b><br> <b>Hora:</b> 31/05/2005 7:39:38<br> <b>Actor:</b> C:\Sierra\COUNTE~1\CStrike.EXE (PID=508)<br> <b>Objetivo:</b> C:\Archivos de programa\Norton AntiVirus\IWP\NPFMntor.exe (PID=1644)<br> <b>Acción:</b> Acceso no autorizado<br> <b>Reacción:</b> Se detuvo un acceso no autorizado<br><br> <a href='http://www.symantec.com.mx' target=new>www.symantec.com.mx<

31/05/2005 7:39:38,Se registró un acceso no autorizado.,<HEAD><title>SymProtect</title></HEAD><b>Detalles del evento:</b><br> <b>Hora:</b> 31/05/2005 7:39:38<br> <b>Actor:</b> C:\Sierra\COUNTE~1\CStrike.EXE (PID=508)<br> <b>Objetivo:</b> C:\Archivos de programa\Norton AntiVirus\navapsvc.exe (PID=1344)<br> <b>Acción:</b> Acceso no autorizado<br> <b>Reacción:</b> Se detuvo un acceso no autorizado<br><br> <a href='http://www.symantec.com.mx' target=new>www.symantec.com.mx<



Gracias,

Un saludo :?: :idea:

[msc hotline sat]

La llamada a un fichero de un mismo directorio, sea en mayusculas o minusculas no afecta en sistemas MSDOS y Windows, a diferencia de LINUX o UNIX. que diferencia entre mayisculas y minusculas.



Sencillamente, segun el programa que lo utilice lo tenga escrito en uno o otro modo, se verá la llamada de una u otra forma. sin que ello afecte para nada.



Sobre su otra consulta, vea este link, si bien recuerde que cualquier fichero puede contener otra cosa respecto a lo originalmente previsto:



http://www.iamnotageek.com/a/gearsec.exe.php



Y de su incidencia con el Norton, yo uso McAfee, pero lo que le aconsejo es que lance un antivirus ONLINE diferente al suyo, a ver si detecta algo que no controla:



https://www.virustotal.com/es/





saludos



ms, 31-05-2005

[poipoipoi]

Hola msc hotline sat,

Gracias por tu respuesta y la sencilles en tus explicaciones y por el dato que cuando windows hace una llamada este puede aparecer indistintamente en minusculas o mayusculas.Lo desconocia.

Gracias y animo por este trabajo que realizas.

[msc hotline sat]

Aclaro que no es que pueda aparecer indistintamente en mayusculas o minusculas, sino que aparecerá en uno u otro modo segun que el programa que lo llame lo tenga escrito de una u otra forma, pero siempre se ejecutará el mismo fichero, a no ser que se le indique otro de otra ruta, que pudiera tener el mismo nombre, sea cual fuere su formato de letra.



Y si puedes, comentanos el resultado del analisis ONLINE, en cualquier sentido, gracias



saludos



ms, 31-05-2005

[poipoipoi]

Hola msc hotline sat,

Gracias por la aclaracion,tomo nota.Referente al analisis online comunicarte que efectivamente tenias razon y este me a detectado 4 virus que el norton no lo hacia.Te pongo el link para que veas el resultaso:



http://img248.echo.cx/my.php?image=viruscopia5ma.jpg



me pregunto si eran estos los causantes de las alertas en el log del norton.Al intentar eliminarlos desde la pagina el explorer se me colgo , esto me pasa a menudo ultimamente (reinstale el explorer pero no dio resultado) asi pues fui a archivos temporales y borre todos.Cuando vuelva a encender la CPU mirare si el log de norton ya no me detecta las alertas y volvera a pasar el antivirus-online otra vez para prevenir.una pregunta,como es posible que norton no los detecte?,tengo que reinstalarlo?lo complemento con el on-line?,vaya sin querer e hecho 3 :lol: .

Gracias por todo ,un saludo

[msc hotline sat]

Cualquier antivirus actualizado debe detectar lo mismo, y no es cuestion de complementarlo con el ONLINE, sino tener uno residente y siempre actualizado, y el ONLINE tenerlo como recurso de escaneo a voluntad alternativo.



No sé ñp que p`retendes que vea en el link ?, pero cualquier informacion mejor la pegas en el post de respuesta.



Logicamente para eliminar los virus que detecte ha de arrancar en modo seguro y deshabilitar la restauracion de sistema si usa XP, y lanzar el antivirus que los detectarña y eliminará.



Si no los detecta es que no está bien. Desinstalelo y vielvalo a instalar.



saludos



ms, 1-06-2005