Setup de pre-release de nero infectado (SOLUCIONADO)

[zetor]

Hola, descargue descuidadamente el setup de un pre-release de nero y Kaspersky online lo detecta como supuestamente infectado con el troyano Trojan.Win32.Inject.alo

El archivo me es imposible mandarlo por correo porque pesa 185 Mb pero lo subi a un servidor. La pregunta es si les puedo enviar el enlace o si por el contrario esta forma de enviar un archivo no esta permitida y si simplemente lo elimino.

Por otra parte el KIS instalado me dice que cualquier aplicacion que quiera ejecutar fue modificada lo que estaria indicando una infeccion.



Gracias

[msc hotline sat]

Pues igual estas infectado por lo que dices:



"[b][i]Por otra parte el KIS instalado me dice que cualquier aplicacion que quiera ejecutar fue modificada lo que estaria indicando una infeccion[/i][/b]"



Si el Kaspersky no te detecta virus en el ordenador, igual es nuevo y aun no lo conoce, o lo no tienes actualizado... y si es virus infector no lo veremos con un HJT, asi que prueba su ONLINE y estarás seguro de usar la version actual:



[url=https://www.kaspersky.es/downloads/thank-you/free-antivirus-download][color=darknesred][b] SOLO TESTEO AV ONLINE[/b][/color][/url]



NOTA: Y de las opciones a escanear, escoger MIPC, para examinarlo todo. Dicho AV ONLINE no limpia, solo testea, asi que lo que pretendemos con ello es solo el informe, ya obraremos en consecuencia, pidiendo muestras para analizar, si hace falta, indicando la utilidad a probar para solucionarlo.





(Este análisis con el kaspersky es muy lento, vaya este aviso por delante, tras lanzarlo, cargar la actualización y escoger MIPC, dejarlo trabajar (puede tardar varias horas), y cuando haya acabado, con un copiar y pegar, pegarnos el informe indicado)





saludos



ms, 29 de Agosto de 2008

[zetor]

Pues fue justamente el Kaspersky[b] online[/b] el que me dio ese informe , aunque no me da otra ubicacion. Despues sí, fui al setup en cuestion y mi KIS tambien lo detecta.



Saludos

[msc hotline sat]

Pues posteanos el informe de dicho AV ONLINE y veremos la extension de la infeccion y los ficheros que hay infectados, y obraremos en consecuencia



saludos



ms, 29 de Agosto de 2008

[zetor]

Aqui el informe pedido, (omiti la parte de la carpeta restore porque ya desactive restaurar sistema)



-------------------------------------------------------------------------------

KASPERSKY ONLINE SCANNER INFORME

jueves, 28 de agosto de 2008 Hector Zevi 22:35:06

Sistema operativo: Microsoft Windows XP Professional, Service Pack 3 (Build 2600)

Kaspersky Online Scanner versión: 5.0.84.1

Ultima actualización: 28/08/2008

Registros en la base antivirus: 1158372

-------------------------------------------------------------------------------



Configuración del análisis:

Analizar usando las siguientes bases: estendidas

Analizar archivos: verdadero

Analizar bases de correo: verdadero



Objetivo a analizar - Mi PC:

A:\

C:\

D:\

E:\



Estadísticas:

Número de objeros analizados: 39573

Virus encontrados: 7

Objetos infectados: 13 / 0

Objetos sospechosos: 0

Duración del análisis: 01:45:18



Bombre del objeto infectado / Nombre del virus / Última acción

C:\Documents and Settings\Administrador\Configuración local\Archivos temporales de Internet\Content.IE5\index.dat Object is locked saltado

C:\Documents and Settings\Administrador\Configuración local\Datos de programa\Microsoft\Feeds Cache\index.dat Object is locked saltado

C:\Documents and Settings\Administrador\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat Object is locked saltado

C:\Documents and Settings\Administrador\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat.LOG Object is locked saltado

C:\Documents and Settings\Administrador\Configuración local\Historial\History.IE5\index.dat Object is locked saltado

C:\Documents and Settings\Administrador\Configuración local\Historial\History.IE5\MSHist012008082820080829\index.dat Object is locked saltado

C:\Documents and Settings\Administrador\Cookies\index.dat Object is locked saltado

C:\Documents and Settings\Administrador\ntuser.dat Object is locked saltado

C:\Documents and Settings\Administrador\NTUSER.DAT.LOG Object is locked saltado

C:\Documents and Settings\All Users\Datos de programa\Kaspersky Lab\AVP7\Report\24ab_AdBlocker_eventcritlog.rpt Object is locked saltado

C:\Documents and Settings\All Users\Datos de programa\Kaspersky Lab\AVP7\Report\24ab_AdBlocker_eventlog.rpt Object is locked saltado

C:\Documents and Settings\All Users\Datos de programa\Kaspersky Lab\AVP7\Report\24ac_File_Monitoring_eventlog.rpt Object is locked saltado

C:\Documents and Settings\All Users\Datos de programa\Kaspersky Lab\AVP7\Report\24af_popupchk_eventcritlog.rpt Object is locked saltado

C:\Documents and Settings\All Users\Datos de programa\Kaspersky Lab\AVP7\Report\24af_popupchk_eventlog.rpt Object is locked saltado

C:\Documents and Settings\All Users\Datos de programa\Kaspersky Lab\AVP7\Report\24b3_pdm_eventcritlog.rpt Object is locked saltado

C:\Documents and Settings\All Users\Datos de programa\Kaspersky Lab\AVP7\Report\24b3_pdm_eventlog.rpt Object is locked saltado

C:\Documents and Settings\All Users\Datos de programa\Kaspersky Lab\AVP7\Report\24b6_Web_Monitoring_eventlog.rpt Object is locked saltado

C:\Documents and Settings\All Users\Datos de programa\Kaspersky Lab\AVP7\Report\detected.idx Object is locked saltado

C:\Documents and Settings\All Users\Datos de programa\Kaspersky Lab\AVP7\Report\detected.rpt Object is locked saltado

C:\Documents and Settings\All Users\Datos de programa\Kaspersky Lab\AVP7\Report\eventlog.rpt Object is locked saltado

C:\Documents and Settings\All Users\Datos de programa\Kaspersky Lab\AVP7\Report\report.rpt Object is locked saltado

C:\Documents and Settings\LocalService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat Object is locked saltado

C:\Documents and Settings\LocalService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat.LOG Object is locked saltado

C:\Documents and Settings\LocalService\ntuser.dat Object is locked saltado

C:\Documents and Settings\LocalService\NTUSER.DAT.LOG Object is locked saltado

C:\Documents and Settings\NetworkService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat Object is locked saltado

C:\Documents and Settings\NetworkService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat.LOG Object is locked saltado

C:\Documents and Settings\NetworkService\NTUSER.DAT Object is locked saltado

C:\Documents and Settings\NetworkService\NTUSER.DAT.LOG Object is locked saltado

C:\System Volume Information\MountPointManagerRemoteDatabase Object is locked saltado

C:\System Volume Information\_restore{295CF48E-39B2-4F54-9827-F96C1107FAE6}\RP40\change.log Object is locked saltado

C:\WINDOWS\Debug\PASSWD.LOG Object is locked saltado

C:\WINDOWS\Registration\{02D4B3F1-FD88-11D1-960D-00805FC79235}.{12E94689-1585-4EA3-9B13-A1C7884882CB}.crmlog Object is locked saltado

C:\WINDOWS\SoftwareDistribution\ReportingEvents.log Object is locked saltado

C:\WINDOWS\system32\CatRoot2\edb.log Object is locked saltado

C:\WINDOWS\system32\CatRoot2\tmp.edb Object is locked saltado

C:\WINDOWS\system32\config\AppEvent.Evt Object is locked saltado

C:\WINDOWS\system32\config\default Object is locked saltado

C:\WINDOWS\system32\config\default.LOG Object is locked saltado

C:\WINDOWS\system32\config\Internet.evt Object is locked saltado

C:\WINDOWS\system32\config\SAM Object is locked saltado

C:\WINDOWS\system32\config\SAM.LOG Object is locked saltado

C:\WINDOWS\system32\config\SecEvent.Evt Object is locked saltado

C:\WINDOWS\system32\config\SECURITY Object is locked saltado

C:\WINDOWS\system32\config\SECURITY.LOG Object is locked saltado

C:\WINDOWS\system32\config\software Object is locked saltado

C:\WINDOWS\system32\config\software.LOG Object is locked saltado

C:\WINDOWS\system32\config\SysEvent.Evt Object is locked saltado

C:\WINDOWS\system32\config\system Object is locked saltado

C:\WINDOWS\system32\config\system.LOG Object is locked saltado

C:\WINDOWS\system32\drivers\fidbox.dat Object is locked saltado

C:\WINDOWS\system32\drivers\fidbox.idx Object is locked saltado

C:\WINDOWS\system32\drivers\fidbox2.dat Object is locked saltado

C:\WINDOWS\system32\drivers\fidbox2.idx Object is locked saltado

C:\WINDOWS\system32\drivers\sptd.sys Object is locked saltado

C:\WINDOWS\system32\h323log.txt Object is locked saltado

C:\WINDOWS\system32\MsDtc\MSDTC.LOG Object is locked saltado

C:\WINDOWS\system32\MsDtc\Trace\dtctrace.log Object is locked saltado

C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR Object is locked saltado

C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP Object is locked saltado

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER Object is locked saltado

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP Object is locked saltado

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP Object is locked saltado

C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA Object is locked saltado

C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP Object is locked saltado

C:\WINDOWS\Tasks\SCHEDLGU.TXT Object is locked saltado

C:\WINDOWS\Temp\Perflib_Perfdata_194.dat Object is locked saltado

C:\WINDOWS\Temp\Perflib_Perfdata_1cc.dat Object is locked saltado

C:\WINDOWS\Temp\Perflib_Perfdata_780.dat Object is locked saltado

C:\WINDOWS\Temp\Perflib_Perfdata_a00.dat Object is locked saltado

C:\WINDOWS\Temp\Perflib_Perfdata_cd4.dat Object is locked saltado

C:\WINDOWS\WindowsUpdate.log Object is locked saltado

D:\Prog. Vs\Nueva carpeta\2008-08-28\Nero 8.4.0.0 Ultra Edition Pre-Release Setup.exe/data0003 Infectados: not-a-virus:PSWTool.Win32.FirePass.r saltado

D:\Prog. Vs\Nueva carpeta\2008-08-28\Nero 8.4.0.0 Ultra Edition Pre-Release Setup.exe/data0004 Infectados: not-a-virus:PSWTool.Win32.IEPassView.e saltado

D:\Prog. Vs\Nueva carpeta\2008-08-28\Nero 8.4.0.0 Ultra Edition Pre-Release Setup.exe/data0006 Infectados: Trojan.Win32.Inject.alo saltado

D:\Prog. Vs\Nueva carpeta\2008-08-28\Nero 8.4.0.0 Ultra Edition Pre-Release Setup.exe/data0007/Toolbar.exe Infectados: not-a-virus:AdTool.Win32.MyWebSearch.bm saltado

D:\Prog. Vs\Nueva carpeta\2008-08-28\Nero 8.4.0.0 Ultra Edition Pre-Release Setup.exe/data0007 Infectados: not-a-virus:AdTool.Win32.MyWebSearch.bm saltado

D:\Prog. Vs\Nueva carpeta\2008-08-28\Nero 8.4.0.0 Ultra Edition Pre-Release Setup.exe NSIS: infectado - 5 saltado

D:\Progr s- instalacion\SEGURIDAD & MANTENIMIENTO\Elistara\ELISTARA.%D8B%D8IB%D8%D8H.EXE Infectados: Trojan-Downloader.Win32.IstBar.vv saltado

D:\Progr s- instalacion\Ultimate Boot CD 5.0 Beta 4\ubcd50b4.iso/pmagic/pmodules/xfprot.7z/xfprot/eicar.com Infectados: EICAR-Test-File saltado

D:\Progr s- instalacion\Ultimate Boot CD 5.0 Beta 4\ubcd50b4.iso/pmagic/pmodules/xfprot.7z Infectados: EICAR-Test-File saltado

D:\Progr s- instalacion\Ultimate Boot CD 5.0 Beta 4\ubcd50b4.iso ISOimage: infectado - 2 saltado



Análisis completado.



Saludos

[msc hotline sat]

Bueno vemos cuatro ultimos que son simuladores, imagenes iso y falsos positivos, asi que estos no cuentan:



D:\Progr s- instalacion\SEGURIDAD & MANTENIMIENTO\Elistara\ELISTARA.%D8B%D8IB%D8%D8H.EXE Infectados: Trojan-Downloader.Win32.IstBar.vv saltado

D:\Progr s- instalacion\Ultimate Boot CD 5.0 Beta 4\ubcd50b4.iso/pmagic/pmodules/xfprot.7z/xfprot/eicar.com Infectados: EICAR-Test-File saltado

D:\Progr s- instalacion\Ultimate Boot CD 5.0 Beta 4\ubcd50b4.iso/pmagic/pmodules/xfprot.7z Infectados: EICAR-Test-File saltado

D:\Progr s- instalacion\Ultimate Boot CD 5.0 Beta 4\ubcd50b4.iso ISOimage: infectado - 2 saltado



pero cuidado con este:



D:\Prog. Vs\Nueva carpeta\2008-08-28\Nero 8.4.0.0 Ultra Edition Pre-Release Setup.exe NSIS: infectado - 5 saltado



Es lo que debes estar encontrando, y parece que este SETUP.EXE contiene todos estos:



D:\Prog. Vs\Nueva carpeta\2008-08-28\Nero 8.4.0.0 Ultra Edition Pre-Release Setup.exe/data0003 Infectados: not-a-virus:PSWTool.Win32.FirePass.r saltado

D:\Prog. Vs\Nueva carpeta\2008-08-28\Nero 8.4.0.0 Ultra Edition Pre-Release Setup.exe/data0004 Infectados: not-a-virus:PSWTool.Win32.IEPassView.e saltado

D:\Prog. Vs\Nueva carpeta\2008-08-28\Nero 8.4.0.0 Ultra Edition Pre-Release Setup.exe/data0006 Infectados: Trojan.Win32.Inject.alo saltado

D:\Prog. Vs\Nueva carpeta\2008-08-28\Nero 8.4.0.0 Ultra Edition Pre-Release Setup.exe/data0007/Toolbar.exe Infectados: not-a-virus:AdTool.Win32.MyWebSearch.bm saltado

D:\Prog. Vs\Nueva carpeta\2008-08-28\Nero 8.4.0.0 Ultra Edition Pre-Release Setup.exe/data0007 Infectados: not-a-virus:AdTool.Win32.MyWebSearch.bm saltado

D:\Prog. Vs\Nueva carpeta\2008-08-28\Nero 8.4.0.0 Ultra Edition Pre-Release Setup.exe NSIS: infectado - 5 saltado



Pues nada, parece que esta pre-release contiene ficheros sospechosos de ser PSWTool, AdTOol, y en definitiva herramientas de hacker, que aunque pudieran no ser utilizadas maliciosamente, no dejan de ser un peligro, asi que elimina esta pre-release y espera la definitiva, a ver si ya laofrecen si estos inconvenientes.



saludos



ms, 29 de gosto de 2008

[zetor]

Ok, gracias, voy a hacer que el propio KIS se de con el gusto :D

El tema es que no haya alguna otra que no haya sido detectada , por el momento estoy abriendo otras aplicaciones y el KIS no salta.

Y hablando de falsos positivos, intente enviar a KasperskyLab lo detectado con el Elistara pero no me deja porque dice que debo elegir archivos [i]sospechosos[/i] y no [b]infectados[/b] :shock:



Saludos

[msc hotline sat]

Olvida lo del ELISTARA, es logico que los antivirus tengan falsos positivos con él debido a las miles de cadenas viricas que contiene para deteccion de malwares... por ello decimos que debe desactivarse cualquier antivirus para probar nuestras utilidades, o mejor, arrancar en modo seguro con funciones de red y asi poderlas descargar y probar sin problemas



saludos



ms, 29 de Agosto de 2008

[zetor]

Lo se, pero quise intentar que Kaspesky lo quitara de su base de datos o lo pusieran en la lista de exclusion.

El KIS me sigue diciendo que cambiaron algunas aplicaciones al momento de abrirlas y no tengo mas pistas de donde buscar, ( el setup ya esta borrado).

No quiero mezclar los temas pero buscando encontre en Archivos de programa una aplicacion "semiintalada" si cabe la palabra, es que ejecute un instalador y cancele antes de que se instalara pero parece que lo hizo a medias , el hecho es que no aparece en agregar o quitar programas.. lo correcto seria que vuelva a correr el instalador para despues poder desinstalarlo correctamente no?



Saludos

[msc hotline sat]

Un programa instalado a medias es mas dificil de desintalar que si lo está correctamente, pero falta que ahora puedas instalarlo totalmente...



Pero pruebalo, peor de lo que estás, no estarás... :mrgreen:



saludos



ms, 29 de Agosto de 2008

[zetor]

Solucionado lo del programa mal instalado.

El KIS me acaba de mandar al WinAmp a cuarentena , detectado: software de riesgo Hidden data sending Proceso en ejecución: C:\Archivos de programa\Winamp\winamp.exe

Segun parece esto es "normal" desde el KIS7 en adelante cuando una aplicacion manda informacion a internet. Pero a mi no me parece tan normal desde que nunca antes mostro ese comportamiento y aunque otras aplicaciones no las mando a cuarentena (todavia) , me dice que el ejecutable ha "cambiado".

Mas arriba dijiste que el HJT podria no ayudar y me pregunto que herramienta utilizar, tal vez ver los procesos o el combofix del que escuche hablar pero que no se si serviria ni si aqui lo recomiendan .



Un saludo

[msc hotline sat]

Sí, en el log del HJT solo se muestra una minima parte del registro, por esto nosotros disponemos del SPROCES (utilidad de SATINFO) que llega mas a fondo, y ademas de usar los AV ONLINE que creamos oportunos (generalmente el de Kaspersky), los complementamos con las utilidades de SATINFO que en este foro se disponen para evaluacion (como el ELISTARA, ELITRIIP, ELIBAGLA, ELIPEN, etc)



Si tienes otro problema, postealo y recomendaremos probar la que creamos mas oportuna.



Y dando por solucionado el Tema, procedemos a cerrarlo



saludos



ms, 30 de Agosto de 2008