PROBLEMA INSTALACION MCAFEE (SOLUCIONADO)

LAYARA · Mensaje por **LAYARA** » 24 Ene 2006, 18:45

Después de hacer varias investigaciónes :) he llegado a ver que todos los programas que salen en esas claves se cargan en memoria como un servicio. hago inicio-ejecutar-msconfig y me sale como servicios desconocidos... pero no me atrevo a tocar mas :)

He intentado borrar esas claves a traves del regedit (con sumo cuidado) y me da error. No me deja borrarlas ni manualmente...

Mensaje por **msc hotline sat** » 24 Ene 2006, 20:16

Hacerlo con el REGEDIT, el BUSCAREG o el HJT es lo mismo pero con mayor o menor facilidad de equivocacion, asi que centrese en lo que le inficamos y contestenis a lo que preguntabamos en el ultimo post.

Gafa lo que se le propone e informenos, gracias

saludos

ms, 24-1-2006

LAYARA · Mensaje por **LAYARA** » 25 Ene 2006, 08:44

ya lo habia realizado y tampoco me dejó, por eso buscaba otras alternativas... he pasado el antivirus online Kaspersky Antivirus y me ha encontrado 3 virus y 5 objetos encontrados.

gasjad.exe

wrvjad.exe

v0.39.dat

y luego unos archivos sin descomprimir. Lo malo es que no tengo antivirus y el Kaspersky no da opcion de limpieza.

Mensaje por **msc hotline sat** » 25 Ene 2006, 10:25

Pues nos envia estos ficheros que le ha detectado Kaspersky a zonavirus@satinfo.es anexadas a un mail en cuyo texto indique la referencia REF GASJAD y tras analizarlas comentaremos el resultado y las implementaremos, si procede, en nuestras utilidades e informaremos al respecto

saludos

ms, 25-1-2006

LAYARA · Mensaje por **LAYARA** » 25 Ene 2006, 11:59

Vale, ahora mismo hago un mail y envio esos archivos. Los he mandado a la papelera y ahora SI me deja borrar las dichosas claves de norton que no podia con el HijackThis. Pero el problema sigue estando ahi puesto que intento instalar mcafee y sigue sin dejarme...

Ahora pongo otro log del HijackThis que creo que ya está correcto...

Logfile of HijackThis v1.99.1

Scan saved at 11:59:21, on 25/01/2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\MsPMSPSv.exe

C:\WINDOWS\system32\wscntfy.exe

C:\Archivos de programa\Internet Explorer\iexplore.exe

C:\WINDOWS\system32\wuauclt.exe

C:\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.diariodenavarra.es/

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.adobe.com/acrobat/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\archivos de programa\google\googletoolbar3.dll

O8 - Extra context menu item: &Búsqueda en Google - res://c:\archivos de programa\google\GoogleToolbar3.dll/cmsearch.html

O8 - Extra context menu item: &Traducir palabra inglesa - res://c:\archivos de programa\google\GoogleToolbar3.dll/cmwordtrans.html

O8 - Extra context menu item: Instantánea de caché de la página - res://c:\archivos de programa\google\GoogleToolbar3.dll/cmcache.html

O8 - Extra context menu item: Páginas similares - res://c:\archivos de programa\google\GoogleToolbar3.dll/cmsimilar.html

O8 - Extra context menu item: Páginas vinculadas - res://c:\archivos de programa\google\GoogleToolbar3.dll/cmbacklinks.html

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204

O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll

O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe

O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Archivos de programa\TuneUp Utilities 2006\WinStylerThemeSvc.exe

GRACIAS DE NUEVO

Mensaje por **msc hotline sat** » 25 Ene 2006, 12:36

Pues si señor !, lo curioso es que los ficheros en cuestion, sin estar en uso, pudieran afectar impidiendo borrar claves ???

Tras recibir las muestras, informaremos

saludos y felicidades, que lo suyo le ha costado :lol:

saludos

ms, 25-1-2006

LAYARA · Mensaje por **LAYARA** » 25 Ene 2006, 13:04

vale, entonces espero. Ahora si que puedo decrite que el explorer me da errores al cargar algunas paginas, me sale un cartel de alerta y pone ''Hay problemas con la página actual. Podría no mostrarse o no funcionar...''

Mensaje por **msc hotline sat** » 25 Ene 2006, 13:16

Entiendo que quieres decir Internet Explorer, no Explorer, y no veo la relaicon con la eliminacion de las claves ???

Me informan que se han recibido muestras con tu referencia. Voy a ver

saludos

ms, 25-1-2006

Mensaje por **msc hotline sat** » 25 Ene 2006, 13:30

Bueno, parece que son downloaders, y analizados con los 22 antivirus de VirusTotal, estas son las detecciones:

[quote]GASJAD.EXE, WRVJAD.EXE

BitDefender 7.2 25.01.2006 Trojan.Downloader.Small.QD

CAT-QuickHeal 8.00 24.01.2006 (Suspicious) - DNAScan

ClamAV devel-20051123 24.01.2006 Trojan.SdBot-416

DrWeb 4.33 25.01.2006 Trojan.DownLoader.465

Fortinet 2.54.0.0 25.01.2006 suspicious

Ikarus 0.2.59.0 25.01.2006 Trojan-Dropper.Win32.Microjoin.gen

Kaspersky 4.0.2.24 25.01.2006 Trojan-Downloader.Win32.Small.qd

Norman 5.70.10 25.01.2006 W32/Malware

Panda 9.0.0.4 24.01.2006 Suspicious file

----

V0.39.DAT

Ewido 3.5 25.01.2006 Downloader.Small.bdl

Kaspersky 4.0.2.24 25.01.2006 Trojan-Downloader.Win32.Small.bdl

Panda 9.0.0.4 24.01.2006 Trj/Downloader.GVH

UNA 1.83 25.01.2006 TrojanDownloader.Win32.Small

VBA32 3.10.5 25.01.2006 suspected of Downloader.Small.19

[/quote]

Como sea que no las veiamos en proceso con el HJT, igual son de las que se ocultan si estan en uso, ficheros, procesos y claves, lo cual analizaremos, pues es lo único que se me ocurre a la vista de los hechos.

Esta tarde haremos la utilidad pertinente, (ahora estamos acabando la del Tearec) y ya informaremos

Igual al ejecutar la utilidad de eliminacion restauraremos mas claves que le podían afectar al I.E. ???

saludos

ms, 25-1-2006

Mensaje por **msc hotline sat** » 25 Ene 2006, 18:35

Bueno, analizando el fichero vemos que no es que se oculte del registro, es que no está, sino que se lanza cuando se accede a ciertas paginas web, y lo que hace es bajar el nivel de seguridad, de manera que se queda desprotegido y se le puede hacer de todo al ordenador.

Con la proxima version del ELISTARA restableceremos los miveles de seguridad especificos que modifica este bicho, aparte de eliminar los ficheros en cuestion

Aunque los haya eliminado, bajese mañana la proxima version que pondremos del ELISTARA y aunque no encontremos los ficheros gusano, restableceremos los nive,es de seguridad en ciestion

saludos

ms, 25.1.2006

LAYARA · Mensaje por **LAYARA** » 26 Ene 2006, 10:50

vale, muchas gracias por toda su atención. Después de ejecutar esa herramienta podre borrar por fin las claves que se han quedado en el registro de norton y mcafee? no logro quitarlas, es como si fueran estuvieran trabajando y no me deja borrarlas...

saludos

Mensaje por **msc hotline sat** » 26 Ene 2006, 11:48

Al menos habremos hecho limpieza y con el ELISTARA restaurado el nivel de seguroidad:

ELISTARA:

http://www.zonavirus.com/descargas/elistara.asp

Lo que pueda hacer o no ya se verá, pues será en funcion de que sea debido a eso...

Tras ello, reinicie y nos cuenta el resultado, gracias

saludios

ms, 26-1-2005

LAYARA · Mensaje por **LAYARA** » 27 Ene 2006, 10:28

Bueno, ya he solucionado el problema. AL FIN! :D Probe el elistara y no se solucionó el problema, alguna pagina de iexplorer me daba error y además seguia sin poder instalar el McAfee. Entonces se me encendió la bombilla y pensé que igual el virus había infectado de tal forma el sistema que era imposible detectarlo desde el mismo sistema, así que puse el ordenador en red con otro y compartí el dico duro y pasé el mcafee por esa unidad y BINGO! Peacho virus que me detectó y eliminó. TODO SOLUCIONADO, ahora ya puedo instalar Mcafee, puedo ver todas las webs sin problemas, aun sigo sin poder quitar las claves de norton, pero eso creo que es algo normal, que por ahi no iba el problema. Muchas gracias por toda la ayuda prestada y por los ratos.

GRACIAS Y SALUDOS.

LAYARA · Mensaje por **LAYARA** » 27 Ene 2006, 10:29

Por cierto en el log del mcafee ponía que el virus se llamaba W32, creo recordar.

Mensaje por **msc hotline sat** » 27 Ene 2006, 10:55

Pues nos alegramos, pero lástima que no se acuerde del nombre, ya que lo de "43 es solo el prefijo y nos indica que es para windows de 32 bits, pero hay mas de 150.000 que empiezan así...

Quizas en el log que heneró en la máquina desde donde lanzó el Scan, en el fichero ONACCESSSCANLOG.TXT, donde se recopilan las dtecciones que va haciendo dicho SCAN, suponiendo que es VIRUSSCAN ENTERPRISE V.8 y asi poder saber el nombre del virus que eliminaste. lo cual es muy imteresante, pues señal que desde el propio ordenador no podría detectarse !!!

Dejamos este Tema abierto para que nos puedas indicar el nombre del fichero en cuestion, pues sería de gran importancia saberlo para poder conocer esta característica !!!

Ya kay algun otro virus que cuando estña en uso se esconde y no nos deja ver ni los ficheros gusano ni las claves de registro, por ello en ocasiones pedimos el REGEDIT en modo seguro, pero parece que este es el SCAN qie no lo ve, ni arrancando en modo seguro !!!

Esperamos sus noticias

saludos

ms, 27-1-2006

LAYARA · Mensaje por **LAYARA** » 27 Ene 2006, 12:52

vale, como se que version de mcafee tengo. Esque en la caja pone una cosa, pero me ha dicho el hermano como que lo modificaron y por eso cada vez que lo instalo se pega media hora actualizando, hasta cambia el logo de la M y todo, entonces no se exactamente que version es. Sabiendo la versión me podrás indicar en donde guarda el log.

Mensaje por **msc hotline sat** » 27 Ene 2006, 13:00

Pulsar doble click en esta M de la bara de inicio y se abrirá el centro de seguridad y allí entrar en la casilla de VirusScan, donde hay el ACERCA DE

Pero nosotros no trabajamos con estas versiones ni damos soporte por ser "retail", para uso doméstico y el servico tecncio lo atiende directamente McAfee. Nosotros llevamos la parte de empresas, Virusscan Enterprise.

Este log debe ser algo como VSCANLOG.TXT o algo asi...

En una antigua version 7 HOME era VSCAN.TXT, pero salió la 8 y la 9 y creo que ahora hasta la 10 ...

saludos

ms, 27-1-2006

LAYARA · Mensaje por **LAYARA** » 30 Ene 2006, 09:34

vamos a ver... no he conseguido localizar el numbre del dichoso virus por medio del txt que hace mcafee. Pero, como hice una copia del disco duro infectado por si acaso para tener todos los documentos guardados, pues he vuelto a chequear y me han salidos todos adwares y troyanos y el virus se llama W32/Sdbot.worm/ftp. Yo creo que fue ese el que estaba fastidiando la manta. Lo conoces?

Saludos

Mensaje por **msc hotline sat** » 30 Ene 2006, 11:57

Eso lo aclara todo: Se trata de este virus:

http://vil.nai.com/vil/content/v_128082.htm

que no tiene nada que ver con los tropuanos que caza el ELISTARA, sino que corresponde a las familias que detecta el ELITRIIP...

Por lo menos asi entendemos de donde venía el problema, y queda claro. Por cierto, que puede entrar aprovechando agujeros de las vulnerabilidades RPCDCOM y LSASS, que si bien ahora puedes tener parcheadas, quizas no lo estaban cuando entró.

Pues nos alegramos que se solucionara el problema y con lo indicado ya queda todo aclarado y procedemos a cerrar el Tema

gracias por su colaboracion

ms, 30-1-2006