Cliente antivirus/symantec

Responder
anthrax
Mensajes: 12
Registrado: 30 Jun 2007, 17:59

Cliente antivirus/symantec

Mensaje por anthrax » 31 Jul 2007, 23:56

Que tal.

Hace semanas habia posteado sobre una duda con el W32.spybot, de antemano agradezco la respuesta pronto del administrador y por otra parte eso ya quedo resuelto.



Tengo una duda, estoy manejando clientes antivirus de norton/symantec, con versiones 10.1.6 , 10.1.5, etc. algunos clientes manejan menores versiones.

La cuestion es que en algunos no se da el servicio de actualizaciones automaticas, puesto que esto esta centralizado y configurado en determinados servidores.





A que se debera esto?.



Ojala alguien lo haya manejado.





Saludos

Avatar de Usuario
msc hotline sat
Mensajes: 93500
Registrado: 09 Mar 2004, 20:39
Ubicación: BARCELONA (ESPAÑA)
Contactar:

Mensaje por msc hotline sat » 01 Ago 2007, 06:45

Sí, las ultimas versiones contemplan acrualizacion a traves del LiveUpdate, lo cual no tenian las anteriores.



Supongo que estarán ya caducadas, yo probaría renovarlas por versiones actuales.



saludos



ms, 1-07-2007

anthrax
Mensajes: 12
Registrado: 30 Jun 2007, 17:59

Admin

Mensaje por anthrax » 01 Ago 2007, 07:30

Gracias por tu respuesta.





No entendi tu contestación.

Avatar de Usuario
msc hotline sat
Mensajes: 93500
Registrado: 09 Mar 2004, 20:39
Ubicación: BARCELONA (ESPAÑA)
Contactar:

Mensaje por msc hotline sat » 01 Ago 2007, 08:17

No trabajo con Symantec, (somos mayoristas de McAfee) pero en los logs de HJT veo que las versiones actuales utilizan el LiveUpdate y es posible que anteriores versiones que no lo hacian, ya hayan quedado obsoletas, por esto sugería actualizar a versiones actuales



Pero además, puedes probar nuestras utilidades ELITRIIP Y ELISTARA por si algun virus hubiera modificado claves de actualizacion :





ELITRIIP:

http://www.zonavirus.com/descargas/elitriip.asp



ELISTARA:

http://www.zonavirus.com/descargas/elistara.asp



Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso





saludos



ms, 1-08-2007

anthrax
Mensajes: 12
Registrado: 30 Jun 2007, 17:59

Gracias

Mensaje por anthrax » 01 Ago 2007, 20:41

Probare lo que me comentas

Avatar de Usuario
msc hotline sat
Mensajes: 93500
Registrado: 09 Mar 2004, 20:39
Ubicación: BARCELONA (ESPAÑA)
Contactar:

Mensaje por msc hotline sat » 02 Ago 2007, 08:44

Pues quedamos a la espera de los resultados.



saludos



ms, 2-08-2007

anthrax
Mensajes: 12
Registrado: 30 Jun 2007, 17:59

La solucion

Mensaje por anthrax » 04 Ago 2007, 00:13

Vamos actualizar el motor de liveupdate en el servidor, esperando que quede ya todo bien.



Por otra parte



¿Que hacer en caso de que una red/corporativa con dominio este infectada?



Al conectar una PC al dominio de una empresa, practicamente e inmediatamente se infecta y el antivirus detecta un virus.



es el trojan.killAV a.bat.



Como en aquellos comienzos del sasser.



al parecer es en la red, ya que si desconectamos el cable del PC, el full scan, no detecta nada.

Avatar de Usuario
msc hotline sat
Mensajes: 93500
Registrado: 09 Mar 2004, 20:39
Ubicación: BARCELONA (ESPAÑA)
Contactar:

Mensaje por msc hotline sat » 04 Ago 2007, 09:15

En una red deben desconectarse todos los ordenadores, limpiar uno por uno desconectados y con todos limpios volver a conectarlos.



Tambien se puede ir conectando solo los limpios, claro.



saludos



ms, 4.08.2007
Última edición por msc hotline sat el 05 Ago 2007, 09:52, editado 1 vez en total.

anthrax
Mensajes: 12
Registrado: 30 Jun 2007, 17:59

de acuerdo

Mensaje por anthrax » 04 Ago 2007, 15:52

Practicamente eso hicimos con dos ordenadores, desconectados de la red, buscamos archivos del virus, borramos y ejecutamos full scan, no detecto nada y seguieron trabajando.





Pero oh sorpresa que el dichoso trojan, volvio hacer detectado por el antivirus.

Avatar de Usuario
msc hotline sat
Mensajes: 93500
Registrado: 09 Mar 2004, 20:39
Ubicación: BARCELONA (ESPAÑA)
Contactar:

Mensaje por msc hotline sat » 05 Ago 2007, 09:58

Para eliminar dicho virus, procedió adecuadamente ???



Con el ordenador desconectado de la red:



1.- Desactivar restauracion de sistema



2.- Arrancar en modo seguro



3.- Lanzar el antivirus y eliminar el virus





Eso en cada uno y solo tras haberlos limpiado todos, proceder a conectarlos entre si



Tras ello no olvidarse de volver a activar la restauracion de sistema (si se trata de XP, claro)





saludos



ms, 5-08-2007

anthrax
Mensajes: 12
Registrado: 30 Jun 2007, 17:59

de esa misma manera

Mensaje por anthrax » 05 Ago 2007, 22:25

Asi es.



De esa manera, y eliminandolo volvimos a lanzar antivirus a prueba de error no detecto nada.



Lanzamos windows (trabajando con 2000) y no detecto nada.

Procedimos a conectar a red y despues de 1 hora volvio a detectarlo.



Equipos "virgenes" que apenas se iba a cargar software se infectaron, teniendo antivirus actualizado.





Alguna otra herramienta de vacunacion que recomienden.

anthrax
Mensajes: 12
Registrado: 30 Jun 2007, 17:59

Quisiera probar

Mensaje por anthrax » 06 Ago 2007, 01:59

Quisiera probar con Spy bot &search & destroy.



Pero en mi red los usuarios no tienen acceso a internet para las actualizaciones, y no quisiera conectar solo para eso.





Hay alguna solucion para eso?

Avatar de Usuario
msc hotline sat
Mensajes: 93500
Registrado: 09 Mar 2004, 20:39
Ubicación: BARCELONA (ESPAÑA)
Contactar:

Mensaje por msc hotline sat » 06 Ago 2007, 07:31

Creo que el problema que tiene es que, tras hacer limpieza a fondo, vuelve a descargar el troyano, bien entrando a una web infectada o bien descargandolo por utilizar algun proxy o algun downloader.



De alguna maquina que utilice para conectarse a internet, posteenos el log del HJT y lo analizarmos:



[b]

[color=yellow]HJT : (HiJackThis)[/color][/b]




[i]¿Como utilizar el Hijackthis ?[/i]

Lo primero que debemos hacer es descargarlo en nuestro ordenador y ubicarlo en una carpeta propia C:\HijackThis\

Ejecútarlo y presionar el botón "[b]Do a system scan and save a logfile[/b]"; el programa realizará el escaneo e inmediatamente generará el Log, sólo te pedira el nombre del archivo y su ubicación, puedes simplemente guardarlo así como está.

Se abrirá el Bloc de Notas, copia todo el contenido y pégalo como respuesta de este Tema

· [url=http://www.zonavirus.com/descargas/trendmicro-hijackthis.asp][b]Descargar Hijackthis[/b][/url]



Tras analizarlo, informaremos



y no hemos visto posteado en este Tema, ningun informe del ELISTARA como se pedía ??? posteenos tambien el contenido de C:\infosat.txt ...



saludos



ms, 6-08-2007







nota: y sobre lo del Spybot, entiendo que si tras instalarlo, una vez actualizado un ordenador con acceso a internet, con copiar los ficheros correspondientes a esta aplicacion, del actualizado al que no lo está, en iguales carpetas, quedaría actualizado tambien.

anthrax
Mensajes: 12
Registrado: 30 Jun 2007, 17:59

Ok yo posteo algun informe

Mensaje por anthrax » 06 Ago 2007, 16:53

Posteare algun informe y lo hare publicar,



Sobre la maquina con internet, ninguna de las maquinas tiene acceso a internet.

anthrax
Mensajes: 12
Registrado: 30 Jun 2007, 17:59

informe

Mensaje por anthrax » 07 Ago 2007, 00:10

Lista de Acciones (por Acción Directa):

C:\WINNT\WEB\RELATED.HTM --> Eliminado

Eliminada Clave "HKLM\...\Image File Execution Options\Your Image File Name

Here without a path"

Linea Eliminada del HOSTS --> 127.0.0.1 downloads1.kaspersky-labs.com

Linea Eliminada del HOSTS --> 127.0.0.1 downloads2.kaspersky-labs.com

Linea Eliminada del HOSTS --> 127.0.0.1 downloads3.kaspersky-labs.com

Linea Eliminada del HOSTS --> 127.0.0.1 downloads4.kaspersky-labs.com

Linea Eliminada del HOSTS --> 127.0.0.1 downloads5.kaspersky-labs.com

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.sophos.com

Linea Eliminada del HOSTS --> 127.0.0.1 sophos.com

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.mcafee.com

Linea Eliminada del HOSTS --> 127.0.0.1 mcafee.com

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.viruslist.com

Linea Eliminada del HOSTS --> 127.0.0.1 viruslist.com

Linea Eliminada del HOSTS --> 127.0.0.1 viruslist.com

Linea Eliminada del HOSTS --> 127.0.0.1 f-secure.com

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.f-secure.com

Linea Eliminada del HOSTS --> 127.0.0.1 kaspersky.com

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.avp.com

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.kaspersky.com

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.kaspersky-labs.com

Linea Eliminada del HOSTS --> 127.0.0.1 avp.com

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.networkassociates.com

Linea Eliminada del HOSTS --> 127.0.0.1 networkassociates.com

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.ca.com

Linea Eliminada del HOSTS --> 127.0.0.1 ca.com

Linea Eliminada del HOSTS --> 127.0.0.1 mast.mcafee.com

Linea Eliminada del HOSTS --> 127.0.0.1 my-etrust.com

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.my-etrust.com

Linea Eliminada del HOSTS --> 127.0.0.1 download.mcafee.com

Linea Eliminada del HOSTS --> 127.0.0.1 dispatch.mcafee.com

Linea Eliminada del HOSTS --> 127.0.0.1 secure.nai.com

Linea Eliminada del HOSTS --> 127.0.0.1 nai.com

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.nai.com

Linea Eliminada del HOSTS --> 127.0.0.1 us.mcafee.com

Linea Eliminada del HOSTS --> 127.0.0.1 rads.mcafee.com

Linea Eliminada del HOSTS --> 127.0.0.1 trendmicro.com

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.trendmicro.com

No detectado Parche MS04-012 de Microsoft instalado. (RPC)

Restaurado fichero de Configuración del IE, (IERESET.INF)

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Mon Aug 06 12:03:10 2007

EliStartPage v14.50 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\Archivos de programa\Hummingbird\Connectivity\9.00\Hummingbird

Neighborhood\SHLHEFTP.EXE --> Eliminado, Keylog-Briss

C:\Archivos de programa\Hummingbird\Connectivity\9.00\Hummingbird

Neighborhood\SHLHN.EXE --> Eliminado, Keylog-Briss

Exploración Detenida por el Usuario.



Mon Aug 06 12:04:08 2007

EliStartPage v14.50 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

No detectado Parche MS04-012 de Microsoft instalado. (RPC)

Restaurado fichero de Configuración del IE, (IERESET.INF)

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Mon Aug 06 12:04:14 2007

EliStartPage v14.50 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\Archivos de programa\SAP\FrontEnd\Controls\VCWIN32.DLL --> Eliminado,

CommanderNET (TB)

C:\Archivos de programa\Sony Corporation\Picture Package\Picture Package

Applications\MPGBASIC.DLL --> Eliminado, NavHelper(BHO)

C:\Sony Corporation\Picture Package\Picture Package

Applications\MPGBASIC.DLL --> Eliminado, NavHelper(BHO)



En esta PC me detecta



trojan.killav

y w32.spybot

Avatar de Usuario
msc hotline sat
Mensajes: 93500
Registrado: 09 Mar 2004, 20:39
Ubicación: BARCELONA (ESPAÑA)
Contactar:

Mensaje por msc hotline sat » 07 Ago 2007, 08:23

A ver, ahora nos dice :



"ninguna de las maquinas tiene acceso a internet."



y su problema era:



"La cuestion es que en algunos no se da el servicio de actualizaciones automaticas"



si ninguna tiene acceso a Internet ... pues va a ser que no tendrá actualizaciones automaticas!



En caulquier caso, desactivando la restairacion de sistema, arrancando en modo seguro con derechos de Administrador y lanzado el antivrius que le detecta dichos virus, debería poder eliminarlos



Pruebe ademas el ELITRIIP, no le hará ningun daño y veamos su informe:





ELITRIIP:

http://www.zonavirus.com/descargas/elitriip.asp



Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso



saludos



ms, 7-08-2007

Responder

Volver a “Foro Virus - Cuentanos tu problema”