mensaje "lookin at iexplore" multiple (SOLUCIONA

[msc hotline sat]

[quote="msc"]Recibido el fichero de marras.



Resulta ya ser detectado por McAfee como SDBOT.gen.AS



Debería ser controlado en consecuencia por tu antivirus ...



Hoy terminaremos el ELISTARA 10.80 con novedades significativas sobre instalacion de DLL en el WinLogon Notify y control de SVCHOSTS.dll y MSCORNET.EXE y a continuacion está en cola un nuevo ELIBAGLA y meteremos una cuña con este nuevo SDBOT en una nueva version del ELITRIIP, que esperamos realizar mañana 22, aunque si nos toca el gordo...



saludos



ms, 21-12-2005



NOTA: MIentras muevelo a cuarentena y reinicia.
[/quote]

Al final ya indicabamos que movieras este fichero a cuarentena y reiniciaras



El fichero en cuestion ha de ser detectado por tu antiviurs, Indicanos marca y version, como respuesta dee ste Tema, gracias



El problema es que el fichero recibido es un DAT, no ejecutable, y que debe haber otros ficheros relacionados, los cuales conviene nos envies para desarrollar la utilidad, y esos los debes detectar con tu antivirus



Con el DAT no podemos monitorizarlo por no ser una aplicacion valida ejecutable de 32 bits, y no vemos las claves que crea ni lo que modifica.



Podemos eliminarlo por nombre pero podría ser variable, por lo que no es suficiente. Precisamos los ejecutables al respecto.



Esperamos nos los puedas enviar



saludos



ms, 22-12-2005

[msc hotline sat]

Aun no siendo el ejecutable de marras, se ha incluido cadena de deteccion de la version 1.80 del ELITRIIP , lo cual eliminará los ficheros en los que la detecte, se llamen como se llamen.



---v1.80---(22 de Diciembre del 2005) (Muestra de SdBot.worm.gen.AS "TFTP672.DAT", WootBot "MSNOWEN32.EXE", Exclusión del valor "RegisterDropHandler" y Exclusión del Windows 2003 Server en la comprobación de Parches)





Seguramente eliminaremos mas ficheros aparte del DAT en cuestion, como podrá ver en c:\infosat.txt



saludos



ms, 22-12-2005

[manunavafer]

las actualizaciones de windows me vuelven a funcionar correctamente, y el nuevo elitrip me ha eliminado el virus, pero los mensajes me siguen saliendo. Le he vuelto a pasar el hijackthis y he observado que la entrada referente al archivo service.exe sigue ahi, asi como el archivo service.exe( que por cierto, esta vacio) y tanto uno como el otro son imposibles de eliminar, vamos que los elimino, y vuelven a salir en el reinicio.

Mi antivirus es el AVG free edition v.7.1.737 y lo tengo actualizado (se actualiza solo casi diariamente). Gracias por la ayuda ya recibida y espero que podais seguir ayudandome a eliminar ese molesto mensaje que me aparece continuamente "lookin at iexplore"

[maura63]

Cybernano
[quote]incico / ejecutar

regedit

- Buscar la clave HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SecurityCenter

en la clave (AntivirusDisableNotify) tendremos que poner un 1



las demas (AntivirusOverride, FirewallDisabeleNotify, FirewallOverride, UpdatesDisableNotify) estan a 0 [/quote]

Prueba y nos cuentas.



Saludos

maura63

[msc hotline sat]

En el ELISTARA que hacemos hoy lo hemos implementado, aunque ello no es mas que deshabilitar el aviso del antivirus de microsoft..??? pero que relacion tiene, y mejor no tocar nada con el REGEDIT si no se está acostumbrado, puede ser peor el remedio que la enfermedad...



saludos



ms. 23-12-2005

[manunavafer]

Nada de lo intentado ha surgido efecto.Estoy empezando a desesperarme( por no decir que ya lo estoy), ya que el mensaje "lookin at iexplore" no se quita de ninguna de las maneras. Tengo la sensacion de que me sistema esta limpio, pero ese mensaje sigue saliendo. Lo unico que no consigo eliminar de mi log es la clave

O23 - Service: Service - Unknown owner - C:\WINDOWS\system32\Service.exe



y el archivo al que hace referncia "Service.exe" esta vacio (0 bytes) pero por mas que lo elimino vuelve a salir con el reinicio de pc ¿creeis que sera esto el causante del mensaje "lookin at iexplore"? Porfavor, indicarme como puedo eliminar dicha entrada y el archivo. De lo contrario voy a tener que formatear y quisiera evitar el formateo. Gracias y saludos.

[msc hotline sat]

Ahí puede estar el quid de la cuestión !!!



No debe estar vacio cuando lo ejecuta, queda residente y se resiste...



Supongo que aun a 0 bytes no se dejarña eliminar, pero intentalo, o por lo menos muevelo a otra carpeta que abras, por ejemplo C:\virus y luego, cuando ya no esté en C:\windows\system32, abres aqui una carpeta con este nombre, SERVICE.EXE de forma que dicho nombre y extension esten ocupados y no pueda volver a crearlo en dicho sitio con dicho nombre. Si fuera un fichero lo sobreescribiría, pero una carpeta no, por ahora...



Pruebalo y nos comentas el resultado. Eso lo hemos hecho con exito total en otros virus, y si nos fijeras que te ha ido bien, lo implementariamos en el ELISTARA para este.



saludos



ms, 24-12-2005

[manunavafer]

He hecho lo que habeis dicho,y ha dado resultado a medias. El archivo "service.exe" no se ha vuelto a crear, pero la clave del hijackthis sigue ahi. Por otra parte, junto al service.exe, habia otro "service" ejecutable en modo msdos que tambien he eliminado(este ultimo puedo recuperarlo en caso de que me digais que es un archivo importante, pues esta en la palelera de reciclaje). Pero lo mas importante es que los mensajes "lookin at iexplore" siguen saliendo. Creo que he descubierto una posible causa del problema, os cuento: En la carpeta c:\windows\system32 hay un monton de archivos ejecutables con nombres aleatorios (como por ejemplo aanaaaaa.exe), todos tienen unas caracteristicas comunes que son las siguientes: todos ocupan 1,01kb, todos se han creado en la misma fecha (14/12/2005, pero a distintas horas, unos a las 7:31, 0:23,etc....) (fecha que por cierto,creo que coincide con la aparicion de mi problema), y ademas ninguno de ellos tiene fabricante, ni version del archivo ni nada de eso. ¿que opinais al respecto? ¿debo proceder a eliminarlos manualmente? Gracias y saludos.

[msc hotline sat]

Envianos este service.exe que dices tener en la papelera, asi como estos ficheros de nombre aleatorio de 1,01 Kb y los analizaremos. Tras ello te diremos si eliminarlos manualmente o ya haremos utilidad para ello, o no se han de eliminar...



envianoslo a zonavirus@satinfo.es anexado a un mail en cuyo texto indiques como referencia "REF MANUNA" y te conteraemos como respuesta a este Tema,



saludis



ms, 26-12-2005

[manunavafer]

Le he pasado de nuevo el elitriip y accidentalmente he borrado la papelera de reciclaje (donde estaba el "service" ejecutable en modo msdos). El caso es que mi problema ha desaparecido, ya no salen las pantallas con el mensaje "lookin at iexplore", con lo que mi problema parece solucionado. De todas formas me gustaria me dijeseis que hacer con los archivos ejecutables con nombres aleatorios que figuran en c:\windows\system32. Por otra parte el firewall de windows no me funciona, ¿podeis ayudarme con esto? Gracias y un saludo.

[msc hotline sat]

Pues envianoslos con la misma referencia que indicabamos, y tras abalizarlos informaremos.



saludos



ms, 28-12-2005

[msc hotline sat]

Recibidas las muestras al respecto, los de 1038 bytes de nomb res aleatorios son EXEs que parecen ser la cabecera cortada de otros programas, como si hubieras sido "desinfectados" cortando todo el cuerpom y dejando solo la cabecera.



El de 12 Kb apunta a un fichero de una direccion de internet http://69.XXXXX.179/erst.exe (de un site de Nueva York), por lo que es un downloader que descarga este fichero erst.exe , lo cual vamos a controlar.



Pues efectivamente, este de 12 kb es un dowbloader que descarga un fichero ERST.EXE que es un peligroso troyano que facilita la captura de pantallas e intrusion al equipo afectado, segun la descripcion de Panda:





en proceso...[quote="Panda"]

Nombre común: SDOptimizer.A



Nombre técnico: Trj/SDOptimizer.A



Peligrosidad: Media



Alias: SmileyDistrict Optimizer, Spyware/Virtumonde



Tipo: Troyano



Efectos: Permite llevar a cabo intrusiones contra el ordenador afectado.





Plataformas que infecta: Windows XP/2000/NT/ME/98/95





Fecha de detección: 19/12/2005



Detección actualizada: 21/12/2005



¿Está en circulación? Si





Descripción Breve



SDOptimizer.A es un troyano, que permite llevar a cabo intrusiones y ataques contra el ordenador afectado, como pueden ser captura de pantallas, recogida de datos personales, etc.





Información actualizada: 21/12/2005


[/quote]

Muchos antivirus aun no los controlan, por lo que enviamos muestras para su control, asi como procedemos a implemenatr su control y eliminacion en nuestra version 19.82 del ELISTARA de hoy



El analisis con VIRUSTOTAL ofrece los sioguientes resultados:



Para el downloader de 12 Kb:


[quote]Este es el resultado de analizar el archivo "saorhaaa.exe" que VirusTotal ha procesado el dia 28/12/2005 a las 13:26:10 (CET).

Antivirus Version Actualización Resultado

AntiVir 6.33.0.70 28.12.2005 no ha encontrado virus

Avast 4.6.695.0 27.12.2005 no ha encontrado virus

AVG 718 27.12.2005 no ha encontrado virus

Avira 6.33.0.70 28.12.2005 no ha encontrado virus

BitDefender 7.2 28.12.2005 BehavesLike:Trojan.Downloader

CAT-QuickHeal 8.00 27.12.2005 no ha encontrado virus

ClamAV devel-20051108 26.12.2005 no ha encontrado virus

DrWeb 4.33 28.12.2005 Trojan.DownLoader.5959

eTrust-Iris 7.1.194.0 27.12.2005 no ha encontrado virus

eTrust-Vet 12.4.1.0 28.12.2005 no ha encontrado virus

Ewido 3.5 28.12.2005 no ha encontrado virus

Fortinet 2.54.0.0 27.12.2005 W32/Erst.A-dldr

F-Prot 3.16c 28.12.2005 no ha encontrado virus

Ikarus 0.2.59.0 27.12.2005 no ha encontrado virus

Kaspersky 4.0.2.24 28.12.2005 no ha encontrado virus

McAfee 4660 27.12.2005 no ha encontrado virus

NOD32v2 1.1341 27.12.2005 probably unknown NewHeur_PE virus

Norman 5.70.10 28.12.2005 W32/DLoader.NRA

Panda 8.02.00 27.12.2005 Trj/SDOptimizer.A

Sophos 4.01.0 28.12.2005 no ha encontrado virus

Symantec 8.0 28.12.2005 Download.Trojan

TheHacker 5.9.1.062 27.12.2005 no ha encontrado virus

UNA 1.83 28.12.2005 no ha encontrado virus

VBA32 3.10.5 27.12.2005 no ha encontrado virus







VirusTotal es un servicio gratuito ofrecido por Hispasec Sistemas, que no garantiza la disponibilidad y continuidad de funcionamiento de este. Pese a que el indice de detección ofrecido por el análisis simultaneo de múltiples motores antivirus es muy superior al de un solo producto, los resultados NO pueden garantizar la inocuidad de un archivo. No existe solución que pueda ofrecer un 100% de efectividad en el reconocimiento de virus y malware en general.> Ir a: Inicio Contactar English Version

--------------------------------------------------------------------------------

http://www.virustotal.com :: ©Hispasec Sistemas 2004,05:: e-mail info@virustotal.com[/quote]



y para el ERST descargado, de 721 Kb:


[quote]Este es el resultado de analizar el archivo "erst.exe" que VirusTotal ha procesado el dia 28/12/2005 a las 13:15:04 (CET).

Antivirus Version Actualización Resultado

AntiVir 6.33.0.70 28.12.2005 TR/Agent.CS.5

Avast 4.6.695.0 27.12.2005 no ha encontrado virus

AVG 718 27.12.2005 Generic.MBL

Avira 6.33.0.70 28.12.2005 TR/Agent.CS.5

BitDefender 7.2 28.12.2005 no ha encontrado virus

CAT-QuickHeal 8.00 27.12.2005 Trojan.Agent.cs

ClamAV devel-20051108 26.12.2005 no ha encontrado virus

DrWeb 4.33 28.12.2005 Trojan.MulDrop.3137

eTrust-Iris 7.1.194.0 27.12.2005 no ha encontrado virus

eTrust-Vet 12.4.1.0 28.12.2005 no ha encontrado virus

Ewido 3.5 28.12.2005 Trojan.Agent.cs

Fortinet 2.54.0.0 27.12.2005 W32/Crypt.O-dr

F-Prot 3.16c 28.12.2005 no ha encontrado virus

Ikarus 0.2.59.0 27.12.2005 Trojan.Win32.Agent.CS

Kaspersky 4.0.2.24 28.12.2005 Trojan.Win32.Agent.cs

McAfee 4660 27.12.2005 no ha encontrado virus

NOD32v2 1.1341 27.12.2005 no ha encontrado virus

Norman 5.70.10 28.12.2005 no ha encontrado virus

Panda 8.02.00 27.12.2005 Trj/SDOptimizer.A

Sophos 4.01.0 28.12.2005 no ha encontrado virus

Symantec 8.0 28.12.2005 no ha encontrado virus

TheHacker 5.9.1.062 27.12.2005 no ha encontrado virus

UNA 1.83 28.12.2005 Trojan.Win32.Agent

VBA32 3.10.5 27.12.2005 no ha encontrado virus







VirusTotal es un servicio gratuito ofrecido por Hispasec Sistemas, que no garantiza la disponibilidad y continuidad de funcionamiento de este. Pese a que el indice de detección ofrecido por el análisis simultaneo de múltiples motores antivirus es muy superior al de un solo producto, los resultados NO pueden garantizar la inocuidad de un archivo. No existe solución que pueda ofrecer un 100% de efectividad en el reconocimiento de virus y malware en general.> Ir a: Inicio Contactar English Version

--------------------------------------------------------------------------------

http://www.virustotal.com :: ©Hispasec Sistemas 2004,05:: e-mail info@virustotal.com[/quote]

Tan pronto nos conteste McAfee, ofreceremos el EXTRA.DAT correspondiente, y esta tarde acabaremos el ELISTARA que lo contemplará (v 10.82)



Los ficheros de 1 Kb no tienen sentido, copn solo cabeceras y puede eliminarlos.



saludos



ms, 28-12-2005

[msc hotline sat]

Subida a esta web la utilidad para control y eliminacion del downloader y troyano descargado por él , ERST.EXE:



https://foros.zonavirus.com/viewtopic.php?p=47654#47654



saludos



ms, 28-12-2005

[manunavafer]

he conseguido eliminar el mensaje "lookin at iexplore" y mi ordenador parecia estar limpio, pero de vez en cuando me daban errores del explore y se me bloqueaba el ordenador,por lo que he optado por formatear. Ahora mi ordenador funciona perfectamente. Lo he actualizado con todos los parches y actualizaciones de xp (criticas) disponibles. Utilizo como software para proteger mi equipo los siguientes programas. AVG free edition v. 7..... (antivirus), spywareblaster, ad-aware, spybot, el firewall de windows(el zonealarm me parece mas coñazo) y el ccleaner para limpiezas rutinarias, ¿creeis que estoy bien protegido? deberia cambiar o añadir algun programa? Con este mensaje (y esperando vuestra respuesta) doi por finalizando el tema, estando muy agradecido por la ayuda recibida. Gracias por todo y saludos.

[msc hotline sat]

Pues celebramos que se hayan solucionado los problemas, aunque tras ello haya preferido partir de cero.



Solucionado el problema, procedemos a cerrar el Tema, no sin antes contestar a su pregunta:



La seguridad informatica exige una continua puesta al día de los medios utilizados en la proteccion, y sí, hoy por hoy está protegido, pero no para mañana...



Mas de 50 nuevos malwares aparecen diariamente, y todos kis residentes de sefuridad deben renovarse, desde antivirus hasta antispywares, para seguir controlando todos los conocidos, a pesar de los métodos heuristicos que nos ayudan a descubrir malas intenciones, pero no siempre.



Y no se olvide de los keyloggers profesionales, adquiridos como una aplicacion y que son verdaderos ingenios que se ocultan a la bosta de los escaneos convencionales, requiriendo utilidades que pueden emplear varias horas, incluso dias, en descubrirlos, o los phishings, que diariamente llegan por e-mail a cual mas picaresco, y que su mision es la de capturar paswords para aligerarle la cuenta bancaria..., o los nuevos troyanos que pueden descargar virus existentes como el SOBER, en cualquier momento que el coder instale en los sites precistos, los ficheros programados, y que al ser totalmente desconocidos, pueden no ser detectados y enviados por el mismo SOBER a todo el mundo.



Piense que los que los hacen son gamerros, pero no tontos !!! Y sin pretender jacer apología a los coders, ante alguna de sus creaciones, no podemops decir menos que CHAPEAU ! (por su ingenio, picaresca, o descubrimiento de agujero de seguridad)



Con ello no quiero decir que no esté protegido, lo está para lo ultimo conocido, pero en el mundo de los virus no se conoce el último virus existente (y no creo que llegue el momento en que esto se pueda contradecir)



Así que mantenga su miedo y temor a los virus, que cuando les pierda el respeto, y se considere seguro, será infectado !!!



saludos



ms, 9-1-2006