Everest portable infectado? (SOLUCIONADO)

zetor · Mensaje por **zetor** » 29 Sep 2008, 10:36

Hola, el KIS me alerto al querer abrir el Everest de una actividad sospechosa (querer introducir un controlador en C:\Windows\Temp ) . Ya probe con el Elistara y no lo detecto.Lo subi a VirusTotal y dos motores lo detectaron como malicioso.

Por otro lado no se si se trata de un falso positivo este informe que me da

Mon Sep 29 05:10:19 2008

EliStartPage v16.94 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 12 de Septiembre del 2008)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad D:\

D:\Progr s- instalacion\PC-Check\PCCheck\PCCHECKCURRENTSETUP.EXE --> Infectado, P2PAdware.A

Nº Total de Directorios: 1328

Nº Total de Ficheros: 12582

Nº de Ficheros Analizados: 1531

Nº de Ficheros Infectados: 1

Nº de Ficheros Limpiados: 0

Quiero saber si puedo enviarles las muestras (supongo que deben ir por separado) para que las analicen.

Gracias

Mensaje por **msc hotline sat** » 29 Sep 2008, 10:47

Si, envianoslas y puedes empaquetarlas juntas en un ZIP o RAR con password virus:

¿Como enviar las muestras a zonavirus? - Para ello recordar:
viewtopic.php?f=5&t=14253
___________

Pero si con Virustotal solo dos motores lo detectaron, debieron ser Kaspersky y F_secure, y mas bien es un falso positivo o la deteccion de una utilidad potencialmente peligrosa... no creo que sea positivamente virus, pero tras analizarlo lo veremos.

saludos
ms, 29-09-2008

zetor · Mensaje por **zetor** » 29 Sep 2008, 11:24

De acuerdo, las acabo de enviar, con pass VIRUS
Tambien subi el Everest portable y estos dieron positivo

Fortinet 2.81-3.113 9.600 2008-09-29 --- Suspicious
Ikarus T3.1.01.34 2008.09.29.71548 2008-09-29 --- Virus.Win32.Agent.aj
mks_vir 2.01 2008.09.28 2008-09-28 --- Trojan.DownLoader.10652
The Hacker 6.3.0.9 v00096 2008-09-28 --- Backdoor/Rbot.tps

Saludos

Edito : No sabia que ahora hay un botón para enviar las muestras y lo hice con Hotmail, espero que no haya problemas

Mensaje por **msc hotline sat** » 29 Sep 2008, 11:32

Cada uno una cosa diferente, backdoor, downloader, sospechoso... pero lo que dices que con Virustotal te lo detectaba el kaspersky y un otro es muy raro, pues el analizador es lo de menos, los que lo controlan son los motores, y el de Kaspersky y demas son los mismos de una manera u otra... ???

Cuando lo recibamos ya veremos... Pero sería raro de una casa como Everest !

saludos

ms, 29-09-2008

zetor · Mensaje por **zetor** » 29 Sep 2008, 11:52

No te olvides que es portable y quien lo hizo pudo no tener buenas intenciones.
Y en VirusTotal el Kaspersky no lo detecto, fue mi KIS

En VirusTotal fueron estos
Ikarus T3.1.1.34.0 2008.09.29 --- Virus.Win32.Agent.aj
TheHacker 6.3.0.9.096 2008.09.29 --- Backdoor/Rbot.tps
TrendMicro 8.700.0.1004 2008.09.29 --- PAK_Generic.005

Saludos

Mensaje por **msc hotline sat** » 29 Sep 2008, 12:52

Y que es el KIS sino el Kaspersky ??? (KIS=Kaspersky Internet Security)

Mira que lo tengas actualizado, no sea que fuera un falso positivo ya corregido.

saludos

ms, 29-09-2008

zetor · Mensaje por **zetor** » 29 Sep 2008, 18:36

Lo se, lo se :D pero dijiste que [code]pero lo que dices que con Virustotal te lo detectaba el kaspersky [/code] y por eso queria aclararlo.

Curiosamente el KIS me alerta cuando lo quiero abrir pero si lo scaneo no detecta nada, ni tampoco si scaneo el archivo que marca en C:\Windows\Temp

Reitero que las muestras las envie por Hotmail por no haberme percatado del boton que hay aqui en el foro, espero ansiosamente los resultados .

Muchas gracias

zetor · Mensaje por **zetor** » 29 Sep 2008, 20:06

Ahora ya estoy seguro que algo se metio, cuando quise entrar al foro me redirigio aqui

: ¿Everest portable infectado?; Everest portable infectado.jpg (31.86 KiB) Visto 3181 veces

Mensaje por **msc hotline sat** » 29 Sep 2008, 21:19

Justamente tenemos otros dos Temas con similar problema, y ello puede ser una variante de Flush o parecido, vamos a ver si descargando esta utilidad y lanzandola, tras reiniciar detectamos algo ...:

saludos
ms, 29-09-2008

zetor · Mensaje por **zetor** » 29 Sep 2008, 21:40

Aqui va, (intente scanear con Kaspersky online, con NOD y con E-Trust y no pude)

Username "Administrador" - 29/09/2008 16:33:37 [Fixwareout edited 9/01/2007]

~~~~~ Prerun check

No se puede vaciar la caché de resolución de DNS: Error de una función durante la ejecución.

System was rebooted successfully.

~~~~~ Postrun check
HKLM\SOFTWARE\~\Winlogon\ "System"=""
....
....
~~~~~ Misc files.
....
~~~~~ Checking for older varients.
....

~~~~~ Current runs (hklm hkcu "run" Keys Only)
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"S3Trayp"="S3Trayp.exe"
"AVP"="\"C:\\Archivos de programa\\Kaspersky Lab\\Kaspersky Internet Security 2009\\avp.exe\""
"TrueImageMonitor.exe"="C:\\Archivos de programa\\Acronis\\TrueImageHome\\TrueImageMonitor.exe"
"AcronisTimounterMonitor"="C:\\Archivos de programa\\Acronis\\TrueImageHome\\TimounterMonitor.exe"
"Acronis Scheduler2 Service"="\"C:\\Archivos de programa\\Archivos comunes\\Acronis\\Schedule2\\schedhlp.exe\""

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="C:\\WINDOWS\\system32\\ctfmon.exe"
....
Hosts file was reset, If you use a custom hosts file please replace it...
~~~~~ End report ~~~~~

zetor · Mensaje por **zetor** » 29 Sep 2008, 23:21

Encontre algo en Archivos de progama, una carpeta de nombre MyCentria , hay dos subcarpetas y un uninstaller. lamentablemente ejecute este ultimo (pense que lo podia cancelar pero no) pero dejo una dll que para ganar tiempo ya la estoy enviando. Espero respuesta

Saludos

Mensaje por **msc hotline sat** » 30 Sep 2008, 03:59

Mientras, si quieres, subela al VirusTotal y sepamos si tiene algo que ver con el Adware MyCentria...

https://www.virustotal.com/es/

y nos posteas el informe resultante, gracias

saludos
ms, 30-09-2008

zetor · Mensaje por **zetor** » 30 Sep 2008, 05:09

La subi y solo uno la detecta

Sunbelt 3.1.1675.1 2008.09.27 - - - VIPRE.Suspicious

El nombre es MyCentriaInfoBar.dll y es un viejo conocido (al menos el nombre) que ya lo tratamos aquí
Solo que en esa ocasion fueron 16 los que lo detectaron.
Si quieres vuelvo a ejecutar el portable para verificar primero si fue el que creo la carpeta y segundo para que cree todos los ficheros nuevamente (que se borraron cuando ejecute el uninstaller).

Saludos

Mensaje por **msc hotline sat** » 30 Sep 2008, 06:21

Si claro, mira si se ha reproducido aunque no creo... , y este fichero detectado por solo un antivirus puede ser un resto no significativo, pero renombra su extension a .VIR, y reinicia, a ver si tiene alguna relacion con el problema que nos ocupa...

saludos

ms, 30-09-2008

zetor · Mensaje por **zetor** » 30 Sep 2008, 07:48

Estabas en lo cierto, ejecute nuevamente el everest portable y la carpeta MyCentria y sus ficheros no se reprodujeron. Ademas aclaro que el MyCentriaInfoBar.dll solo estuvo hasta que reinicie ; el unico que tengo es solamente el que comprimi para enviarlo a SatInfo (y el mismo que subi a VirusTotal). Solo quedaron las carpetas MyCentria y dos subcarpetas de nombre Infobar y Firefox, todas vacias.

Lo que sucedio al correr nuevamente el portable es que el KIS me volvio a advertir que estaba intentando introducir un controlador en C:\Windows\Temp\RarSFXO\kerneld.wnt . Efectivamente al ir a ver esta carpeta RarSFXO , dentro estan el Everest.exe, varias dll , archivos de lenguaje y este kerneld.wnt, lo subi a VirusTotal y ninguno lo detecta como tampoco lo detecta mi KIS..

Supongo que las muestras que envie ya las recibieron, algun comentario?

Espero instrucciones.

Gracias

Mensaje por **msc hotline sat** » 30 Sep 2008, 09:14

Hay cola para entrar en proceso... Especialmente por el fin de semana se acumulan las muestras, ademas de que las urgencias son prioritarias, pero se acaban mirando todas las muestras recibidas.

De todas formas por lo que dices no es virus sino simple instalacion de drivers de dicha aplicacion, asi que tranquilo :wink:

Si resultara ser maliciosa, implementariamos su control y eliminacion en nuestras utilidades, de lo cual informariamos.

saludos

ms, 30-09-3008

zetor · Mensaje por **zetor** » 30 Sep 2008, 09:55

[quote="msc hotline sat"]De todas formas por lo que dices no es virus sino simple instalacion de drivers de dicha aplicacion, asi que tranquilo :wink: [/quote]

Bueno, lo que pasa es que no queria pasar limpiadores de registro, borrar las claves que dejo MyCentria, en fin tocar lo menos posible por si habia que enviar mas muestras o algo. Espero que sea como dices y lo del KIS sea una falsa alarma. No puedo hacer comparaciones porque ahora tengo el KIS 8 y cuando tenia el KIS7 no me advertia cuando ejecutaba el everest portable (tambien era otra version).

Otra consulta: formatie hace poco y todos los controles ActiveX se borraron, ahora cuando voy al Kaspersky online me pide instalarlo, acepto pero se queda sin hacer nada. Fui al KAV online en ingles pero me pide la ultima version del java y no lo quiero instalar porque me enlantece la maquina ademas que en Yahoo juegos hace que se vea mal el sitio. Sabes de donde mas podria bajar e instalar el ActiveX ?

Igualmente quedo a la espera de los resultados de las muestras.

Un saludo

Mensaje por **msc hotline sat** » 30 Sep 2008, 10:01

Justamente la actualizacion del java es lo que te falta...

Yo la tengo instalada y no tengo problemas de lentitud. Pruebalo y siempre puedes desinstalarlo si quieres.

saludos

ms, 30-09-2008

zetor · Mensaje por **zetor** » 30 Sep 2008, 10:46

Tengo una version de java instalada aunque algo antigua, pero con esta podia escanear con KAV online hasta antes de formatear. Igual si no tengo otra solucion tendre que probar con la ultima.

Gracias

Mensaje por **msc hotline sat** » 30 Sep 2008, 11:15

Siempre es conveniente tener instalada la ultima version , para compatibilidad con nuevos programas.

Pruebalo con ello y mira si puedes escanear con el AV ONLINE indicado, pero sino, consideralo un falso positivo.

saludos

ms, 30-09-2008

Mensaje por **msc hotline sat** » 30 Sep 2008, 11:30

Para resolver de una vez el Tema, he enviado este fichero a Kaspersky y obtenido el siguiente resultado:

You're clean!
Kaspersky Anti-Virus has not detected any viruses at this time in the file you submitted.

However, only a fully-functional antivirus solution with regularly updated virus definitions can ensure comprehensive protection against malware. If you do not have an antivirus solution installed, you may wish to consider purchasing one today.

Download a trial version of Kaspersky Anti-Virus
Purchase Kaspersky Anti-Virus in our E-Store
Purchase Kaspersky Anti-Virus from a certified partner

Scanned file: MyCentriaInfoBar.dll

Asi que de una vez por todas, no es virus, posiblemente solo un falso posiitivo de alguna version anterior.

Aparte subido a VirusTotal alguno lo considera sospechoso, o sea solo detectado con analisis heuristico, muy favorable a dichas falsas detecciones.

Con ello ya damos por solucionado el Tema y procedemos a cerrarlo

Si nos necesita de nuevo. ya sabe donde estamos

saludos
ms, 30-09-2008

Everest portable infectado? (SOLUCIONADO)

Everest portable infectado? (SOLUCIONADO)

Re: Everest portable infectado?

Re: Everest portable infectado?

Re: Everest portable infectado?

Re: Everest portable infectado?

Re: Everest portable infectado?

Re: Everest portable infectado?

Re: Everest portable infectado?

Re: Everest portable infectado?

Re: Everest portable infectado?

Re: Everest portable infectado?

Re: Everest portable infectado?

Re: Everest portable infectado?

Re: Everest portable infectado?

Re: Everest portable infectado?

Re: Everest portable infectado?

Re: Everest portable infectado?

Re: Everest portable infectado?

Re: Everest portable infectado?

Re: Everest portable infectado?

Re: Everest portable infectado?