Detectado el W32/Netsky.p@MM pero sin eliminarlo

[Cruz Mario Silva B.]

saludos a todos.....



El McAfee detectó un virus pero no lo eliminó, a continuación muestro el log:



18/01/2006 04:54:06 p.m. Move failed (Clean failed) IEXPLORE.EXE C:\WINDOWS\Archivos temporales de Internet\Content.IE5\BWPQOOQQ\031401Mfdab4$3f3dL780$73387018@57W81fa70Re[1].wav W32/Netsky.p@MM (Virus)

18/01/2006 05:04:20 p.m. Engine version = 4.4.00

18/01/2006 05:04:20 p.m. DAT version = 4677

18/01/2006 05:04:20 p.m. Number of virus signatures in EXTRA.DAT = None

18/01/2006 05:04:20 p.m. Names of viruses that EXTRA.DAT can detect = None



He intentado actualizar el McAfee pero no ha sido posible, este es log:



16/01/2006 05:54 p.m.Extracting Zip file from stub file, C:\Actualización antivirus\McFee\4675xdat.exe.

16/01/2006 05:54 p.m.Performing self validation ...

16/01/2006 05:54 p.m.Retrieving file, NAISCRIP.NSC from zip file.

16/01/2006 05:54 p.m. Loading and parsing script file : C:\DOCUME~1\Empresa\CONFIG~1\Temp\2CB7\NAISCRIP.NSC

16/01/2006 05:54 p.m. Retrieving file, Globals.nsg from zip file.

16/01/2006 05:54 p.m. Loading and parsing globals file : Globals.nsg

16/01/2006 05:54 p.m. Searching for all Installed anti-virus products.

16/01/2006 05:54 p.m. Update failed to version 4.0.4675.

16/01/2006 05:54 p.m. Deleting...C:\DOCUME~1\Empresa\CONFIG~1\Temp\NAI4F.tmp

16/01/2006 05:54 p.m. Deleting...C:\DOCUME~1\Empresa\CONFIG~1\Temp\2CB7

16/01/2006 05:54 p.m. Product already running latest DAT files.

16/01/2006 06:02 p.m. Update process failed.



Tengo un Pentium III windows 2000 SP4 se han bajado automaticamente las ultimas actualizaciones del windows y la verdad es que no sé por qué aun no permite actualizar el antivirus y tampoco cómo eliminar el virus detectado...



saludos...

[msc hotline sat]

Vamos a ver . lea lo que le dice la antepeniltima linea del log de instalación:



"16/01/2006 05:54 p.m. Product already running latest DAT files."



Como quiere actualizar algo que le dice que ya está actualizado a los últimos DAT ??? (!!!) Claro que le dice que ha fallado en el intento...



y la detecion es en ficheros tempoales de internet, o sea que recibió un mail con virus y al leerlo McAfee analizó en carpèta temporal el fichero que llevaba anexado y le avis´ço del vorius, por lo que se supone que Vd eliminó el mail, pero el fichero temporal, si no ha borrado los temporales, aun lo tiene en coma en la UVI



Rematelo eliminando temporales, con el ELITEMPO por ejemplo. Seguro que ganará rapidez.





ELITEMPO

http://www.zonavirus.com/datos/descargas/70/EliTempo.asp





Y nos informa del resultado comor espuesta de este Tema, gracias



saludos



ms, 19-1-2006

[Cruz Mario Silva B.]

saludos...



Gracias por contestar...se hizo la sig observación:



[i]Como quiere actualizar algo que le dice que ya está actualizado a los últimos DAT ??? (!!!) Claro que le dice que ha fallado en el intento...[/i]



Gracias por aclarar mi duda, a decir verdad estoy nuevo en estas lides y hay terminologías que aun no domino o entiendo por completo (ejem. "DAT" "Motor o Engine")...



En cuanto al virus detectado, se me dio la sig instrucción:

[i]Rematelo eliminando temporales, con el ELITEMPO por ejemplo. Seguro que ganará rapidez.[/i]...

hice la descarga la corrí y resultó efectivo...ahora bien...



El McAfee hoy detectó el virus w32/squlSlammer.com de seguida muestro el log:

19/01/2006 Engine version = 4.4.00

19/01/2006 DAT version = 4651

19/01/2006 Number of virus signatures in EXTRA.DAT = None

19/01/2006 Names of viruses that EXTRA.DAT can detect = None

19/01/2006 [b]No Action Taken (Clean failed) C:\ARCHIV~1\MICROS~4\MSSQL\binn\sqlservr.exe W32/SQLSlammer.worm (Virus)[/b]

19/01/2006 Engine version = 4.4.00

19/01/2006 DAT version = 4675



Actualicé el McAffe, y lo corrí y en esta oportunidad no detectó virus alguno:



19/01/2006 Engine version=4400

19/01/2006 DAT version =4675

19/01/2006 Number of virus signatures in EXTRA.DAT=None

19/01/2006 Names of viruses that EXTRA.DAT can detect=None

19/01/2006 Scan Started On-Demand Scan

19/01/2006 Scan Summary Scan Summary

19/01/2006 Scan Summary Processes scanned : 28

19/01/2006 Scan Summary Processes detected : 0

19/01/2006 Scan Summary Processes cleaned : 0

19/01/2006 Scan Summary Boot sectors scanned : 5

19/01/2006 Scan Summary Boot sectors detected: 0

19/01/2006 Scan Summary Boot sectors cleaned : 0

19/01/2006 Scan Summary Files scanned : 71027

19/01/2006 Scan Summary Files with detections: 0

19/01/2006 Scan Summary File detections : 0

19/01/2006 Scan Summary Files cleaned : 0

19/01/2006 Scan Summary Files moved : 0

19/01/2006 Scan Summary Files deleted : 0

[u]19/01/2006 Scan Summary Files not scanned : 21[/u]

19/01/2006 Scan Summary Run time : 1:24:02

19/01/2006 Scan Complete On-Demand Scan



Mi duda es: si previamente habia detectado un virus y no efectúo ninguna acción...por qué en la segunda corrida del antivirus no detecta nada? ¿no debería detectarlo y luego eliminarlo? no debería aparecer está acción en el Log? por otra parte, aparecen 21 archivos no escaneados ¿qué pudo haber ocurrido?...gracias

[msc hotline sat]

Es esta máquina un servidor web ???



El SQL Slammer solo entra en las máquinas con IIS (Internet Information Server), y en lo que respecta a esta no llegó a entrar. Solo se quedñi en un intento fallido de intrusión, poe lo que no hizo falta hacer nada, y en el siguiente escaneo no se detectó el virus porque no estaba.



Solo es una hipótesis lógica ante los hechos, la cuestión es que no tiene virus y que además ha aclarado el concepto de la actualizacion y que con el ELITEMPO solucionó lo de los temporales , con lo que entendemos que está todo solucionado, y rogamos nos lo confirme en suj proximo post. o nos consulte mas dudas al respecto, para proceder en consecuencia



saludos



ms, 19-1-2006

[Cruz Mario Silva B.]

[i]Es esta máquina un servidor web ???[/i]



No lo es, lo que sucede es que tengo instalado el Microsoft SQL Server Service Manager versión 8.00.194, que por cierto,

el McAffe desde el 03 de diciembre me muestra el siguiente aviso y hoy lo volvió a mostrar..



19/01/2006 11:50:27 a.m. Blocked by Buffer Overflow Protection BASOCA\SYSTEM C:\Archivos de programa\Microsoft SQL Server\MSSQL\Binn\sqlservr.exe::LoadLibraryA bo:stack



Se instaló el FixSQLex.exe se corrió sin embargo este problema aun persiste ¿es un virus lo q origina el problema? ¿cuál? ¿cómo puede eliminarse?



Del mismo modo detectó lo sig:

16/01/2006 Engine version = 4.4.00

16/01/2006 DAT version = 4673

16/01/2006 Number of virus signatures in EXTRA.DAT =None

16/01/2006 Names of viruses that EXTRA.DAT can detect =None

16/01/2006 Engine version = 4.4.00

16/01/2006 DAT version =4674

16/01/2006 Number of virus signatures in EXTRA.DAT =None

16/01/2006 Names of viruses that EXTRA.DAT can detect =None

16/01/2006 Moved (Clean failed) IEXPLORE.EXE [b]C:\quarantine\connect[1].php.Vir Exploit-MhtRedir.gen (Trojan)[/b]

16/01/2006 Moved (Clean failed)IEXPLORE.EXE [b]C:\quarantine\connect[1].php.Vir.0 Exploit-MhtRedir.gen (Trojan)[/b]

16/01/2006 Engine version =4.4.00

16/01/2006 DAT version =4675

16/01/2006 Number of virus signatures in EXTRA.DAT=None

16/01/2006 Names of viruses that EXTRA.DAT can detect =None



Hoy 19/01 abró la carpeta "quarantine" y encuentro estos archivos intenté borrarlos pero no fue posible...el aviso q sale es el siguiente "No puede eliminar connect[1].php.vir:Acceso denegado.El archivo de origen puede estar en uso"



Cómo puedo eliminarlos? gracias...

[msc hotline sat]

Arranca en modo seguro y podrás eliminarlos y olvodarte de ellos ! AUNQUE EN CUARENTENA ESTAN FUERA DE CIRCULACION ...



saludos



ms, 19-1-2006