Problemas con Yahoo juegos y Java (SOLUCIONADO)

[zetor]

Hola, cuelgo esta consulta aquí porque no creo que sea un problema virico aunque nunca se sabe.

Vereis, tengo instalada una version antigua de java porque tengo un programa que deja de funcionar si actualizo java. Pero hasta aqui nunca tuve problemas con Yahoo juegos, ayer cuando quise entrar no me abria la sala y para mi confusion, el KIS salto dandome este aviso



http://javadl-esd.sun.com/update/1.5.0/jinstall-1_5_0-windows-i586.cab/jinstall.exe ---> Detectados: HEUR:Trojan-Downloader.Win32.Generic

Yo creo que es falso positivo, ya me direis pero lo que quiero saber es como hago para dilucidar si es que hubo un cambio en mi configuracion o, por el contrario, Yahoo cambio algo y ya no me deja cargar las salas de juegos.

Utilizo IE7 y ya fui a Herramientas > Opciones de internet > Seguridad y cambie el nivel de seguridad al nivel Medio, pero sigue igual.



Gracias

[msc hotline sat]

Fíjate que es una detección heurística, [b][i]"Detectados: HEUR:Trojan-Downloader.Win32.Generic"[/i][/b], y ello es propenso a falsos positivos.



Envianos dicho fichero para analizar y veremos el resultado:



>[b]ENVIO DE MUESTRAS Y ELIMINACIÓN DE CLAVES - Para ello recordar[/b]:

https://foros.zonavirus.com/viewtopic.php?f=5&t=14253



Tras recibirlo/s, lo/s analizaremos e implementaremos su control y eliminación, si procede, en nuestras utilidades, de lo cual informaremos



saludos



ms, 26-5-2011

[zetor]

Pues no creo que lo tuviera a dicho archivo, asi que lo que hice fue limpiar los temporales de internet, desactivar el KIS, intentar acceder a una sala de yahoo y los temporales creados ahora, comprimirlos y es lo que estoy enviando; espero que sea eso lo que me pides.

Si se trata de un falso positivo como pensamos, como crees que deberia averiguar a que se debe que no pueda acceder?



Gracias

[msc hotline sat]

Ya te indiqué que si tenías dicho fichero, nos lo enviaras en la forma indicada y lo analizaríamos.



Si quieres accede a él arrancando EN MODO SEGURO CON FUNCIONES DE RED, asi podrás navegar y deScargar dicho fichero para enviarnoslo.



saludos



ms, 26-5-2011

[msc hotline sat]

Recibidos ficheros para analizar, no aparece en ellos el de marras...



De todas formas hemos preanalizado el fichero .js que nos envias, pero no se detectan anomalias víricas:



Nombre de archivo:

yabcs [1]. js

Fecha de presentación:

05/26/2011 08:05:55 (UTC)

Situación actual:

terminado

Resultado:

0 / 43 (0,0%)



MD5: 99cc475e3df20e71e4456d20f788aeba

: SHA1 362577c434e6aa90006bfea1578afd1c1b5ad5ab



Tamaño del archivo: 1.834 bytes





De todas formas este no es el fichero en el que indicabas detectar el virus:





http://javadl-esd.sun.com/update/1.5.0/jinstall-1_5_0-windows-i586.cab/jinstall.exe





La pena es que el link no sea correcto, pero lo que cabe analizar es este jinstall.exe, si nos lo envias, claro.



saludos



ms, 26-5-2011

[zetor]

Voy a intentarlo, es correcto que lo busque en C:\Documents and Settings\Administrador\Configuración local\Archivos temporales de Internet ?, digo, porque se descarga sin mi intervencion e imagino que lo hace en esa ruta no?



Saludos

[zetor]

Pues nada, en la ruta que pregunto no esta, de echo ejecutable con ese nombre, ninguno. Los unicos dos estaban en C:\WINDOWS\Downloaded Program Files y en la carpeta Prefetch pero con extensiones .inf y .pf; los envio por si acaso.



Saludos

[msc hotline sat]

Aparte de un .inf, nos envias el fichero pedido pero .pf, que es un prefecth, y que no sirve para analizar:



JINSTALL.EXE-081C766B.pf



Supongo que no envias el .EXE pedido (JINSTALL.EXE) porque lo intentas descargar con el antivirus activo, y si te lo detecta como virus, no permitre ni descargarlo ni enviarlo.



Tal como te dije, arranca en MODO SEGURO CON FUNCIONES DE RED para ello, pues asi no estará activo el antivirus y no impedirá acceder a dicho fichero.



Si lo descargas, envianoslo y lo analizaremos y te informaremos



saludos



ms, 26-5-2011

[zetor]

No, segui tus indicaciones de arrancar en modo seguro con funciones de red y lo único que obtengo es lo que envie, tengo habilitado para ver carpetas y archivos ocultos asi que tampoco esta como oculto.



Saludos

[msc hotline sat]

Pues si existiera, puede que lo vieras desde la Consola de Recuperacion, arrancando con el CD de instalacion y pulsando R para entrar en ella, y en dicho modo ir a la carpeta indicada.



Si no es asi, es que no existe, y en tal caso no podremos analizarlo, pero tampoco molestaría



Dinos si logras verlo en dicho modo y enviarnoslo, o si tampoco está, en cuyo caso no habría nada que analizar y procederíamos a cerrar el Tema, claro.



saludos



ms, 26-5-2011

[zetor]

Pues nada, al final lo hice en modo normal, desactivando el KIS y [i]actualizando la sala [/i](que por supuesto, estaba en blanco). Pero el KIS no detecta nada y subido a VirusTotal, solo 1/42.

Pero me parece que en lo que coincidimos estamos en lo cierto, es un Falso Positivo. Lo que no me soluciona la duda que es saber si se me cambio alguna configuracion de la maquina o si Yahoo modifico algo y ya no me deja entrar y en todo caso ver que posibilidad tengo de solucionarlo.



Saludos y gracias

[msc hotline sat]

Si es un falso positivo no habrá hecho ningun cambio, simplemente se detectaba erroneamente, eso es todo.



Pero si enviaste el fichero a VirusTotal es que lograste dar con él, aunque no nos lo enviaras... De todas formas con lo que dices de que el VT dio una sola deteccion, que suponemos fue del mismo AV que usaste, lo mas probable es que no fuera mas que dicho FALSO POSITIVO, pero otra vez envianoslo para monitorizarlo y salir de dudas.



Si tuvieras algun otro problema, derivado o no de este, abre un nuevo Tema y lo estudiaremos



Dando este por solucionado, procedemos a cerrarlo



saludos



ms, 27-5-2011

[msc hotline sat]

RECIBIDO POSTCIERRE EL FICHERO PEDIDO PARA ANALIZAR





Recibido fichero jinstall.exe vemos que es un SETUP de Sun, sin rutinas maliciosas conocidas:





Fichero jinstall.exe



MD5 : 456ccbf50fcfe62f6dec9db816e0b1fe

SHA1 : fba748baae7dc832983dfaa046072f1eaf6cb69e





File size : 221294 bytes





publisher....: Sun Microsystems, Inc.

copyright....: Copyright (c) 2004

product......: Java(TM) 2 Platform Standard Edition 5.0

description..: Java(TM) 2 Platform Standard Edition binary

original name: jinstall.exe

internal name: Setup Launcher

file version.: 1.5.0.0



saludos



ms, 27-5-2011