Por caridad me podrian explicar...!!!????
Hola.
Encontre unos HOST que son creados por una amenaza. No tengo la amenaza en cuestion que crea a esto Host.
Pero otros antivirus si detectan este tipo de HOST modificado como amenza.
Los HOST se reproducen casi infinitamente en el la Carpeta ETC. Ubicacion: C:\WINDOWS\system32\drivers\etc
Estos archivo se los envie a los expertos de kaspersky desde el dia 23-09-09 y aun no me han contestado; lo mas extraño es que se los envie por email y por http://support.kaspersky.com/virlab/helpdesk.html?LANG=sp casi simultaneamente...!!!
Resultados de virustotal:
13/41 (31.71%)
http://www.virustotal.com/es/analisis/7afd...8aeb-1253917444
Saludos.
Full Version: Por caridad me podrian explicar...!!!????
QUOTE(arquezvall2004 @ 25.09.2009 17:34) 
Por caridad me podrian explicar...!!!????
Hola.
Encontre unos HOST que son creados por una amenaza. No tengo la amenaza en cuestion que crea a esto Host.
Pero otros antivirus si detectan este tipo de HOST modificado como amenza.
Los HOST se reproducen casi infinitamente en el la Carpeta ETC. Ubicacion: C:\WINDOWS\system32\drivers\etc
Estos archivo se los envie a los expertos de kaspersky desde el dia 23-09-09 y aun no me han contestado; lo mas extraño es que se los envie por email y por http://support.kaspersky.com/virlab/helpdesk.html?LANG=sp casi simultaneamente...!!!
Resultados de virustotal:
13/41 (31.71%)
http://www.virustotal.com/es/analisis/7afd...8aeb-1253917444
Saludos.
Hola.
Encontre unos HOST que son creados por una amenaza. No tengo la amenaza en cuestion que crea a esto Host.
Pero otros antivirus si detectan este tipo de HOST modificado como amenza.
Los HOST se reproducen casi infinitamente en el la Carpeta ETC. Ubicacion: C:\WINDOWS\system32\drivers\etc
Estos archivo se los envie a los expertos de kaspersky desde el dia 23-09-09 y aun no me han contestado; lo mas extraño es que se los envie por email y por http://support.kaspersky.com/virlab/helpdesk.html?LANG=sp casi simultaneamente...!!!
Resultados de virustotal:
13/41 (31.71%)
http://www.virustotal.com/es/analisis/7afd...8aeb-1253917444
Saludos.
Hola que tal, pues dime algo???
Has probado esta amenaza con el KIS en cuestion haber si detecta algo el firewall o la PDMo quizas...la HIPS???
Que raro que no te contesten... seguro que estan con mucha carga de trabajo (MUESTRAS)... bueno; eso espero
----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
*Aprovecho esta ocasion en hacer un llegado de una importantisima sugerencia, y es que tienen mucha razon "ARQUEZVALL2004" y "DAVILE" de que hay realmente una diferencia ya que mandan y sugieren excelentes propuestas; pero por lo visto, en muy pocos casos se ha visto interes por parte de los expertos.
*Sabemos perfectamente que se tiene que hacer dichas propuestas en el idioma comercial (INGLES), pero NO SERIA NADITA MALA LA IDEA que nuestros moderadores "CAOS" y "RadarpSP" hagan una petición al foro (maximas autoridades de "K.L") para que al menos UN REPRESENTANTE experto pueda traducirles dichos reportes y propuestas al foro principal.
*Si se dan cuenta... tenemos grandes ideas innovadoras que el foro en sí ESTA PERDIENDO!!! por no reunir propuestas de los diferentes idiomas (logicamente a excepcion del idioma RUSO e INGLES).
Esperemos que Uds. nuestros queridos moderadores propongan al consejo del foro un representante por cada idioma que se ENCARGUE ESPECIFICAMENTE DE MANDAR Y TRADUCIR LAS MEJORES PROPUESTAS Y SUGERENCIAS al foro base (INGLES Y RUSO).
Espero haber animado un poco a nuestros camaradas "testeadores" y en general; para seguir ayudando a este gran producto, que desde ya hace un buen tiempo que no se hacen buenas propuestas en esta sección.
Saludos y éxitos!!!
QUOTE(Yami Nemesis @ 25.09.2009 18:18)
Hola que tal, pues dime algo???
Has probado esta amenaza con el KIS en cuestion haber si detecta algo el firewall o la PDMo quizas...la HIPS???
Que raro que no te contesten... seguro que estan con mucha carga de trabajo (MUESTRAS)... bueno; eso espero
Saludos y éxitos!!!
Has probado esta amenaza con el KIS en cuestion haber si detecta algo el firewall o la PDMo quizas...la HIPS???
Que raro que no te contesten... seguro que estan con mucha carga de trabajo (MUESTRAS)... bueno; eso espero
Saludos y éxitos!!!
Hola que tal Yami Nemesis, como ha estado....??
Es un gusto verle por aqui en el foro....!!!
Mira tengo un problema "No poseo ninguna version de Kaspersky" ya que no dispongo para una key legal y en mi trabajo se tiraron a una version gratuita de antivirus, ya se imaginara cual.... jejejej creo que aqui lo explico mejor:
http://forum.kaspersky.com/index.php?s=&am...t&p=1095677
Lo unico que se es que la PC donde esta la infeccion tiene:
El HOST modificado:
http://www.getsysteminfo.com/read.php?file...08e6612cf0deef9
Archivo desconocido del instalador IMBOOSTER:
http://www.virustotal.com/es/analisis/bd7a...06cc-1253915625
Las aplicaciones del IMBOOSTER que se instalan para que arranquen con el sistema, no se dejaban desactivar desde el MSCONFIG, las destildaba, aplicaba, aceptaba y reiniciaba; y al volver a reiniciar el sistema volvian a cargarse con el sistema y volvian aparecer en el MSCONFIG tildadas o marcadas. Cuando intente desinstalarlo me mando error y se quedo en pantalla sin hacer nada, para poder desinstalar la aplicacion necesite hacer otra Sesion de Win XP con derechos de administrador, y desde esa Sesion desinstalar todo lo que no se podia, actualice el antivirus que estaba en esa PC y realice un escaneo, pase malwarebyte y nada, el antivirus residente solo encontro el virus NTDR.EXE.
La amenaza que sea, no dejaba ver el Escritorio, incluso si copiaba algo nuevo en el escritorio no se miraba, solo se miraba el fondo de pantalla que tenia la PC. En la sesion original de Windows la amenaza me cerraba el antivirus y cualquier programa de segurida, el modo a prueba de fallo no funcionaba, las restauraciones automaticas aparecian desactivadas. le ejecute el COMBOFIX y durante la ejecucion del combofix aparecio una ventana a la par del reloj del sistema, que decia algo de un archivo dañado en la carpeta temporal de internet. Y ahora cunado arranca la PC Windows intenta ejecutar el CHKDSK y se queda arreglando algo llamado asi: $O y no hace nada, ni lee el disco duro, hasta lo he dejado 30 minutos ahi reparando y me veo obligado a reiniciar y vuleve aparecer el CHKDSK, y se tiene que presionar cualquier tecla para entrar a cualquiera de las sesiones de WIN XP.
Esta es otra PC con el mismo problema pero con uno de los HOST diferentes:
http://www.getsysteminfo.com/read.php?file...fccbf067be2e413
Aqui algunos de los HOST modificados que capture en mi USB:
Saludos y gracias por atender...!!!
QUOTE(arquezvall2004 @ 25.09.2009 20:10)
Hola que tal Yami Nemesis, como ha estado....??
Es un gusto verle por aqui en el foro....!!!
Mira tengo un problema "No poseo ninguna version de Kaspersky" ya que no dispongo para una key legal y en mi trabajo se tiraron a una version gratuita de antivirus, ya se imaginara cual.... jejejej creo que aqui lo explico mejor:
http://forum.kaspersky.com/index.php?s=&am...t&p=1095677
Lo unico que se es que la PC donde esta la infeccion tiene:
El HOST modificado:
http://www.getsysteminfo.com/read.php?file...08e6612cf0deef9
Archivo desconocido del instalador IMBOOSTER:
http://www.virustotal.com/es/analisis/bd7a...06cc-1253915625
Las aplicaciones del IMBOOSTER que se instalan para que arranquen con el sistema, no se dejaban desactivar desde el MSCONFIG, las destildaba, aplicaba, aceptaba y reiniciaba; y al volver a reiniciar el sistema volvian a cargarse con el sistema y volvian aparecer en el MSCONFIG tildadas o marcadas. Cuando intente desinstalarlo me mando error y se quedo en pantalla sin hacer nada, para poder desinstalar la aplicacion necesite hacer otra Sesion de Win XP con derechos de administrador, y desde esa Sesion desinstalar todo lo que no se podia, actualice el antivirus que estaba en esa PC y realice un escaneo, pase malwarebyte y nada, el antivirus residente solo encontro el virus NTDR.EXE.
La amenaza que sea, no dejaba ver el Escritorio, incluso si copiaba algo nuevo en el escritorio no se miraba, solo se miraba el fondo de pantalla que tenia la PC. En la sesion original de Windows la amenaza me cerraba el antivirus y cualquier programa de segurida, el modo a prueba de fallo no funcionaba, las restauraciones automaticas aparecian desactivadas. le ejecute el COMBOFIX y durante la ejecucion del combofix aparecio una ventana a la par del reloj del sistema, que decia algo de un archivo dañado en la carpeta temporal de internet. Y ahora cunado arranca la PC Windows intenta ejecutar el CHKDSK y se queda arreglando algo llamado asi: $O y no hace nada, ni lee el disco duro, hasta lo he dejado 30 minutos ahi reparando y me veo obligado a reiniciar y vuleve aparecer el CHKDSK, y se tiene que presionar cualquier tecla para entrar a cualquiera de las sesiones de WIN XP.
Esta es otra PC con el mismo problema pero con uno de los HOST diferentes:
http://www.getsysteminfo.com/read.php?file...fccbf067be2e413
Aqui algunos de los HOST modificados que capture en mi USB:
Saludos y gracias por atender...!!!
Es un gusto verle por aqui en el foro....!!!
Mira tengo un problema "No poseo ninguna version de Kaspersky" ya que no dispongo para una key legal y en mi trabajo se tiraron a una version gratuita de antivirus, ya se imaginara cual.... jejejej creo que aqui lo explico mejor:
http://forum.kaspersky.com/index.php?s=&am...t&p=1095677
Lo unico que se es que la PC donde esta la infeccion tiene:
El HOST modificado:
http://www.getsysteminfo.com/read.php?file...08e6612cf0deef9
Archivo desconocido del instalador IMBOOSTER:
http://www.virustotal.com/es/analisis/bd7a...06cc-1253915625
Las aplicaciones del IMBOOSTER que se instalan para que arranquen con el sistema, no se dejaban desactivar desde el MSCONFIG, las destildaba, aplicaba, aceptaba y reiniciaba; y al volver a reiniciar el sistema volvian a cargarse con el sistema y volvian aparecer en el MSCONFIG tildadas o marcadas. Cuando intente desinstalarlo me mando error y se quedo en pantalla sin hacer nada, para poder desinstalar la aplicacion necesite hacer otra Sesion de Win XP con derechos de administrador, y desde esa Sesion desinstalar todo lo que no se podia, actualice el antivirus que estaba en esa PC y realice un escaneo, pase malwarebyte y nada, el antivirus residente solo encontro el virus NTDR.EXE.
La amenaza que sea, no dejaba ver el Escritorio, incluso si copiaba algo nuevo en el escritorio no se miraba, solo se miraba el fondo de pantalla que tenia la PC. En la sesion original de Windows la amenaza me cerraba el antivirus y cualquier programa de segurida, el modo a prueba de fallo no funcionaba, las restauraciones automaticas aparecian desactivadas. le ejecute el COMBOFIX y durante la ejecucion del combofix aparecio una ventana a la par del reloj del sistema, que decia algo de un archivo dañado en la carpeta temporal de internet. Y ahora cunado arranca la PC Windows intenta ejecutar el CHKDSK y se queda arreglando algo llamado asi: $O y no hace nada, ni lee el disco duro, hasta lo he dejado 30 minutos ahi reparando y me veo obligado a reiniciar y vuleve aparecer el CHKDSK, y se tiene que presionar cualquier tecla para entrar a cualquiera de las sesiones de WIN XP.
Esta es otra PC con el mismo problema pero con uno de los HOST diferentes:
http://www.getsysteminfo.com/read.php?file...fccbf067be2e413
Aqui algunos de los HOST modificados que capture en mi USB:
Saludos y gracias por atender...!!!
Hola que tal, se me ocurre dos cosas.
Antes de esas 2 cosas recomendaria que almacenes dichos hostsVIR. para yo probarlo en mi maquina virtual.
1) Si hay error desde que arranca scandisk y no se puede restaurar ni entrar en modo prueba de fallos y practicamente ni modificar ya que se restaura los archivos infectados.
*Te recomendaria que hicieras un disco de rescate, claro que antes de eso deberas entrar a modo "SETUP" para que lea primero el CD como "BOOT"
2)Por las caracteristicas se trataria de un "RETRO-VIRUS" que ataca directo a los antivirus y evita que se ejecute cualquier software y quizas webs de seguridad, tambien por los datos que me das se ve que esta "incrustado" en memoria y para evitar ser modifica desactivó restauración del sistema.
*Como dato extra intenta antes de hacer todo lo nombrado instalar el TUNEUP 2009 y hazlo correr el repair wizard haber si ayuda en algo.
Cuentanos como te fue.
Saludos
A los KLabs si no les envías la amenaza que genera el Host modificado, difícilmente te van a añadir ninguna amenaza.
Por otro lado con la herramienta GSI se puede detectar si un Host está infectado o es sospechoso.
Y la proactiva del KIS normalmente (bien configurada) te avisará is algún programa intenta hacer una modificación en el Host.
Saludos.
Por otro lado con la herramienta GSI se puede detectar si un Host está infectado o es sospechoso.
Y la proactiva del KIS normalmente (bien configurada) te avisará is algún programa intenta hacer una modificación en el Host.
Saludos.
QUOTE(arquezvall2004 @ 26.09.2009 00:34)
Por caridad me podrian explicar...!!!????
Hola.
Encontre unos HOST que son creados por una amenaza. No tengo la amenaza en cuestion que crea a esto Host.
Pero otros antivirus si detectan este tipo de HOST modificado como amenza.
Los HOST se reproducen casi infinitamente en el la Carpeta ETC. Ubicacion: C:\WINDOWS\system32\drivers\etc
Estos archivo se los envie a los expertos de kaspersky desde el dia 23-09-09 y aun no me han contestado; lo mas extraño es que se los envie por email y por http://support.kaspersky.com/virlab/helpdesk.html?LANG=sp casi simultaneamente...!!!
Resultados de virustotal:
13/41 (31.71%)
http://www.virustotal.com/es/analisis/7afd...8aeb-1253917444
Saludos.
Hola.
Encontre unos HOST que son creados por una amenaza. No tengo la amenaza en cuestion que crea a esto Host.
Pero otros antivirus si detectan este tipo de HOST modificado como amenza.
Los HOST se reproducen casi infinitamente en el la Carpeta ETC. Ubicacion: C:\WINDOWS\system32\drivers\etc
Estos archivo se los envie a los expertos de kaspersky desde el dia 23-09-09 y aun no me han contestado; lo mas extraño es que se los envie por email y por http://support.kaspersky.com/virlab/helpdesk.html?LANG=sp casi simultaneamente...!!!
Resultados de virustotal:
13/41 (31.71%)
http://www.virustotal.com/es/analisis/7afd...8aeb-1253917444
Saludos.
Por favor passame el archivo que infecta por mp o email para ver si puedo ver su tabla de contenidos y/o probarlo. Gracias
QUOTE(harlan4096 @ 26.09.2009 00:15)
A los KLabs si no les envías la amenaza que genera el Host modificado, difícilmente te van a añadir ninguna amenaza.
Por otro lado con la herramienta GSI se puede detectar si un Host está infectado o es sospechoso.
Y la proactiva del KIS normalmente (bien configurada) te avisará is algún programa intenta hacer una modificación en el Host.
Saludos.
Por otro lado con la herramienta GSI se puede detectar si un Host está infectado o es sospechoso.
Y la proactiva del KIS normalmente (bien configurada) te avisará is algún programa intenta hacer una modificación en el Host.
Saludos.
Eso es lo que me imaginaba, bueno ni modo.
Otros antivirus si detecta el HOST modificado sin detectar la amenaza creadora. En el futuro cuando se detecte esa amenaza, Kaspersky borrara los HOST Modificados o los dejara como los Autorun.inf....????
Como dije anteriormente, no tengo la amenaza origen que es la que crea o modifica los HOST. por ende no se las puedo enviar, solo tengo los HOSt Modificados que es lo que se muestra en el analice de virustotal. Con el GSI fue que me percate que el HOST estaba modificado.
Tengo la impresion que estas dos PC esta con infecciones multiples y de seguro es una amenaza nueva la que modifica el HOST.
Probare con el KIS 70.1.325 o me recomiendan la ultima version para esta PC y portatil...??
Saludos.
Respuesta de los expertos de Kaspersky y resultados en virustotal:
Result: 14/41 (34.15%)
http://www.virustotal.com/analisis/7afd4c4...8aeb-1253989927
Saludos.
Result: 14/41 (34.15%)
http://www.virustotal.com/analisis/7afd4c4...8aeb-1253989927
Saludos.
This is a "lo-fi" version of our main content. To view the full version with more information, formatting and images, please click here.