Foro de InfoSpyware - Foro de Hijackthis - Foro de Virus

Hola amigos
Tengo un problema muy raro,no se que rayos esta pasando o quizas el Comodo firewall este exagerando,pero me pega cada susto.

Tuve que formatear mi PC,debido a una infección;ya que mi sistema se vulnero cuando cometí el error de actualizar El Comodo 2 a su versión 3. En esos momentos yo tenía el Avast! Home como antivirus,por error habilite por completo todo el Comodo 3,fue cuando me dí cuenta que este era una especie de Internet Security,que ya traía antivirus y se dió de golpes con el Avast!.


Me aburrí y formatee la maquina,actualmente tengo Avira Free y para evitar problemas solo instale el Comodo firewall en su versión 2.

Pero en todo el tiempo (antes y ahora) Comodo me ha alarmado en muchas ocasiones.

He instalado programas y por lo regular les cancelo la actualización automatica, por que Open Office me había dado mucha lata ¡¡Razón por la cual no lo volví a instalar!!


Tengo los 3 navegadores conocidos,Firefox es el que más uso,cuando este no quiere entrar entonces uso Opera,al IE lo tengo como predeterminado,porque es la plataforma para el Windows Update y además la pagina de mi ISP y del servicio de Electricidad no abren en Firefox.


El asunto esta en que siempre que tenga una aplicación abierta que desee actualizarse y este usando CUALQUIERA de los 3 navegadores Comodo salta con un recuadro diciendome variados mensajes como estos

El navegador que este usando
Protocolo Acción Puerto

y los mensajes son como estos:

Se ha agregado una aplicación padre para "Navegador"

Aplicación ha modificado la interfaz de usuario del "Navegador"

Aplicación esta mandando mensajes especiales

Aplicación esta usando Actualización Automatizada OLE

Aplicación ha modificado explorer.exe.
....etc,
Despues de cualquiera de los mensajes. Dice que cuando una aplicación se adueña de otra puede deberse a una actualización o una posible actividad troyana

Después de todo el rollo,termina resumiendo.

Aplicación esta usando a "Navegador" para conectarse a Internet

Despues siguen los botones Permitir y Denegar.

Cuando yo le doy Denegar;se me arruina el Navegador,si llego a tildarle la Opción Recordar para esta aplicación
Ya me he visto obligado a remover las reglas para el Firefox y Opera y volverlas a hacer.
Pero si le doy Permitir,no se di que demonios con exactitud le estoy permitiendo

Me harte de los mensajes
Writer esta usando a Firefox para conectarse a Internet
Writer esta usando a Opera para conectarse a Internet

Gomplayer esta usando a Firefox para conectarse a Internet

etc,etc
No se si a ustedes les ha pasado lo mismo,o si es problema exclusivamente mio
No puedo escuchar musica o ver peliculas con los navegadores abiertos,porque lo primero que intentan hacer ya sea WMP o gomplayer es adueñarse del navegador

¿¿Que estara pasando aquí?? porque yo ya lo se

Hola

Te puedo garantizar que lo que me cuentas es perfectamente normal, y mas viniendo de la versión de COMODO 2.x la cual es lo mas estricto a la vez que pesado en alertas que hay, si quieres hacer un intento de disminuir las alertas intenta cambiar los protocolos de entrada-salida para que las aplicaciones comunes tengan vía libre.

Otra cosa que puedes hacer es instalar la versión 3.x desde aquí (versión pro), el instalador te pedirá que componentes instalar, cortafuegos, defensas pro-activa (defense +) y antivirus---> instala solo los dos primeros--->también de cara al final te pedirá si instalar COMODO toolbar, Poner su pagina como predeterminada del navegador y suscrivirte a la comunidad de alertas, no elijas ninguna de ellas.

Esta versión recuerda tus decisiones en los apartados de defensa pro-activa y Firewall y tiene una sección de aplicaciones sospechosas a verificar (Pending List), de modo que si elijes permitir una aplicación (al principio sera muy frecuente) no te dará mas alertas sobre la misma a no ser que la actualices o sufra algún cambio no autorizado.

Puedes también bloquear aplicaciones extrañas, eliminar archivos sospechosos previamente bloqueados, hacer un seguimiento de que aplicaciones están activas en memoria y detener la que no te convenza, etc... todo ello desde su panel principal, si tienes conocimiento medio de ingles te gustara.

De primeras si tienes un sistema limpio de infecciones ve aceptando alertas procedentes de la defensa pro-activa y del cortafuegos cuando te conectes a internet, a demás podrás hacer un seguimiento de los nuevos archivos y aplicaciones que se crean en tu equipo consultando la Pending List en el apartado de defensa pro-activa.

***Si no tienes un sistema limpio y sospechas de infección ve realizando análisis completos y eliminando todo lo detectado con estas herramientas antes de nada:

MalwareBytes

Eset Online

Doctor Web (examen expres y completo)

Pon los informes de cada uno para ver que tenemos y para saber si lo has echo bien, (examen completo y eliminando lo detectado).

Suerte

Muchas gracias por responder,amigo

Como tu lo has dicho,primero hay que descartar posibles infecciones.Aquí estan los reportes que pediste.

El de Malware Bytes

Malwarebytes' Anti-Malware 1.37
Versión de la Base de Datos: 2186
Windows 5.1.2600 Service Pack 3

27/05/2009 07:43:03 p.m.
mbam-log-2009-05-27 (19-43-03).txt

Tipo de examen : Examen Completo (C:\|D:\|)
Objetos examinados: 120603
Tiempo transcurrido: 45 minute(s), 43 second(s)

Procesos en Memoria Infectados: 0
Módulos en Memoria Infectados: 0
Claves del Registro Infectadas: 0
Valores del Registro Infectados: 0
Elementos de Datos del Registro Infectados: 0
Carpetas Infectadas: 0
Ficheros Infectados: 0

Procesos en Memoria Infectados:
(No se han detectado elementos maliciosos)

Módulos en Memoria Infectados:
(No se han detectado elementos maliciosos)

Claves del Registro Infectadas:
(No se han detectado elementos maliciosos)

Valores del Registro Infectados:
(No se han detectado elementos maliciosos)

Elementos de Datos del Registro Infectados:
(No se han detectado elementos maliciosos)

Carpetas Infectadas:
(No se han detectado elementos maliciosos)

Ficheros Infectados:
(No se han detectado elementos maliciosos)

El de ESEt Online

# version=4
# OnlineScanner.ocx=1.0.0.638
# OnlineScannerDLLA.dll=1, 0, 0, 52
# OnlineScannerDLLW.dll=1, 0, 0, 53
# OnlineScannerUninstaller.exe=1, 0, 0, 50
# vers_standard_module=4109 (20090527)
# vers_arch_module=1.064 (20080214)
# vers_adv_heur_module=1.066 (20070917)
# EOSSerial=177b5e3707d69f48a173065e45da8518
# end=finished
# remove_checked=true
# unwanted_checked=true
# utc_time=2009-05-28 04:55:34
# local_time=2009-05-27 11:55:34 )
# country="Mexico"
# osver=5.1.2600 NT Service Pack 3
# compatibility_mode=1793 21 100 100 911411843120
# compatibility_mode=3073 62 60 8 26998840126992
# scanned=251939
# found=0
# scan_time=14395


Supungo que es normal que mientras se realizaba el scan de Eset
Avira me alerto dos veces;pero por las dudas exporte los eventos

Exported events:

27/05/2009 20:55 [Guard] Malware found
Virus or unwanted program 'TR/Dropper.Gen [trojan]'
detected in file 'C:\Documents and Settings\TPAJCarlos\Configuración
local\Temp\NOD5BA1.tmp.
Action performed: Deny access

27/05/2009 22:26 [Guard] Malware found
Virus or unwanted program 'TR/Crypt.XPACK.Gen [trojan]'
detected in file 'C:\Documents and Settings\TPAJCarlos\Configuración
local\Temp\NOD3DB8.tmp.
Action performed: Allow access

Hola

Elimina esas dos detecciones en los temporales si no lo has echo ya, te faltan los exámenes con Doctor Web y comentar como te va con el cortafuegos

Si quieres puedes hacer otro analisis con Kaspersky o Panda Online por si no te quedas del todo seguro, aunque parece que todo esta en orden.

Suerte

================================================== ===========================
Dr.Web Scanner para Windows v5.00.3 (5.00.3.05144)
© Igor Daniloff, 1992-2009. Todos los derechos reservados.
Log generado: 2009-05-28, 00:26:56 [JCMAQ02][TPAJCarlos]
Línea de comandos: "C:\DOCUME~1\TPAJCA~1\CONFIG~1\Temp\RarSFX0\4aa7c. exe" /lng:es-cureit.dwl /ini:setup_XP.ini
Sistema Operativo: Windows XP Professional x86 (Build 2600), Service Pack 3
================================================== ===========================
DwShield comenzó
Versión del motor: 5.00 (5.00.0.12182)
Versión del motor API: 2.02
[Bases de Virus] C:\DOCUME~1\TPAJCA~1\CONFIG~1\Temp\RarSFX0\3b7b327 f - 1622 virus conocidos
[Bases de Virus] C:\DOCUME~1\TPAJCA~1\CONFIG~1\Temp\RarSFX0\b96d9d5 b - 2792 virus conocidos
[Bases de Virus] C:\DOCUME~1\TPAJCA~1\CONFIG~1\Temp\RarSFX0\0d797de 3 - 5845 virus conocidos
[Bases de Virus] C:\DOCUME~1\TPAJCA~1\CONFIG~1\Temp\RarSFX0\5f63a79 7 - 2260 virus conocidos
[Bases de Virus] C:\DOCUME~1\TPAJCA~1\CONFIG~1\Temp\RarSFX0\a1f3bd6 7 - 4796 virus conocidos
[Bases de Virus] C:\DOCUME~1\TPAJCA~1\CONFIG~1\Temp\RarSFX0\3f12421 d - 5098 virus conocidos
[Bases de Virus] C:\DOCUME~1\TPAJCA~1\CONFIG~1\Temp\RarSFX0\827e420 4 - 4891 virus conocidos
[Bases de Virus] C:\DOCUME~1\TPAJCA~1\CONFIG~1\Temp\RarSFX0\ded7c44 3 - 5033 virus conocidos
[Bases de Virus] C:\DOCUME~1\TPAJCA~1\CONFIG~1\Temp\RarSFX0\4b45d13 6 - 3254 virus conocidos
[Bases de Virus] C:\DOCUME~1\TPAJCA~1\CONFIG~1\Temp\RarSFX0\0000fca 5 - 5241 virus conocidos
[Bases de Virus] C:\DOCUME~1\TPAJCA~1\CONFIG~1\Temp\RarSFX0\594c552 a - 7585 virus conocidos
[Bases de Virus] C:\DOCUME~1\TPAJCA~1\CONFIG~1\Temp\RarSFX0\f74f74b 3 - 5298 virus conocidos
[Bases de Virus] C:\DOCUME~1\TPAJCA~1\CONFIG~1\Temp\RarSFX0\d17e466 1 - 5947 virus conocidos
[Bases de Virus] C:\DOCUME~1\TPAJCA~1\CONFIG~1\Temp\RarSFX0\ab630bf 3 - 6039 virus conocidos
[Bases de Virus] C:\DOCUME~1\TPAJCA~1\CONFIG~1\Temp\RarSFX0\f5b9a68 8 - 5309 virus conocidos
[Bases de Virus] C:\DOCUME~1\TPAJCA~1\CONFIG~1\Temp\RarSFX0\f2c1f77 2 - 3511 virus conocidos
[Bases de Virus] C:\DOCUME~1\TPAJCA~1\CONFIG~1\Temp\RarSFX0\22a7390 6 - 2495 virus conocidos
[Bases de Virus] C:\DOCUME~1\TPAJCA~1\CONFIG~1\Temp\RarSFX0\77753f5 5 - 4565 virus conocidos
[Bases de Virus] C:\DOCUME~1\TPAJCA~1\CONFIG~1\Temp\RarSFX0\f3da452 6 - 4467 virus conocidos
[Bases de Virus] C:\DOCUME~1\TPAJCA~1\CONFIG~1\Temp\RarSFX0\dbb55cd 9 - 5196 virus conocidos
[Bases de Virus] C:\DOCUME~1\TPAJCA~1\CONFIG~1\Temp\RarSFX0\3ccbdfc 0 - 2359 virus conocidos
[Bases de Virus] C:\DOCUME~1\TPAJCA~1\CONFIG~1\Temp\RarSFX0\23b6bba 8 - 1938 virus conocidos
[Bases de Virus] C:\DOCUME~1\TPAJCA~1\CONFIG~1\Temp\RarSFX0\ccd0fb6 4 - 3335 virus conocidos
[Bases de Virus] C:\DOCUME~1\TPAJCA~1\CONFIG~1\Temp\RarSFX0\e3676ec 5 - 3185 virus conocidos
[Bases de Virus] C:\DOCUME~1\TPAJCA~1\CONFIG~1\Temp\RarSFX0\a7c4f54 0 - 1468 virus conocidos
[Bases de Virus] C:\DOCUME~1\TPAJCA~1\CONFIG~1\Temp\RarSFX0\fd8ec3e 0 - 280 virus conocidos
[Bases de Virus] C:\DOCUME~1\TPAJCA~1\CONFIG~1\Temp\RarSFX0\45b8d4d e - 567 virus conocidos
[Bases de Virus] C:\DOCUME~1\TPAJCA~1\CONFIG~1\Temp\RarSFX0\44ae5e9 0 - 1194 virus conocidos
[Bases de Virus] C:\DOCUME~1\TPAJCA~1\CONFIG~1\Temp\RarSFX0\10094d2 a - 423328 virus conocidos
[Bases de Virus] C:\DOCUME~1\TPAJCA~1\CONFIG~1\Temp\RarSFX0\40ce408 d - 448 virus conocidos
[Bases de Virus] C:\DOCUME~1\TPAJCA~1\CONFIG~1\Temp\RarSFX0\6c9d34b 2 - 626 virus conocidos
[Bases de Virus] C:\DOCUME~1\TPAJCA~1\CONFIG~1\Temp\RarSFX0\184a7cb c - 412 virus conocidos
[Bases de Virus] C:\DOCUME~1\TPAJCA~1\CONFIG~1\Temp\RarSFX0\28f834f 8 - 925 virus conocidos
[Bases de Virus] C:\DOCUME~1\TPAJCA~1\CONFIG~1\Temp\RarSFX0\935b2f4 2 - 840 virus conocidos
[Bases de Virus] C:\DOCUME~1\TPAJCA~1\CONFIG~1\Temp\RarSFX0\7a13865 d - 3316 virus conocidos
[Bases de Virus] C:\DOCUME~1\TPAJCA~1\CONFIG~1\Temp\RarSFX0\2b05caf e - 19303 virus conocidos
Total Virus conocidos: 554768
[Auto-chequeo] C:\DOCUME~1\TPAJCA~1\CONFIG~1\Temp\RarSFX0\4aa7c.e xe
Archivo de licencia: C:\DOCUME~1\TPAJCA~1\CONFIG~1\Temp\RarSFX0\setup.k ey
Número de licencia: 0010537607
Usuario: A User
Fecha de activación: 2008-12-05
Fecha de caducidad: 2009-06-07
Procesos en la memoria: System:4 - OK
Procesos en la memoria: C:\WINDOWS\System32\alg.exe:240 - OK
Procesos en la memoria: C:\WINDOWS\soundman.exe:400 - OK
Procesos en la memoria: C:\Archivos de programa\Avira\AntiVir PersonalEdition Classic\avgnt.exe:408 - OK
Procesos en la memoria: C:\Archivos de programa\Comodo\Firewall\CPF.exe:464 - OK
Procesos en la memoria: \SystemRoot\System32\smss.exe:544 - OK
Procesos en la memoria: \??\C:\WINDOWS\system32\csrss.exe:600 - OK
Procesos en la memoria: \??\C:\WINDOWS\system32\winlogon.exe:624 - OK
Procesos en la memoria: C:\WINDOWS\system32\services.exe:668 - OK
Procesos en la memoria: C:\WINDOWS\system32\ctfmon.exe:672 - OK
Procesos en la memoria: C:\WINDOWS\system32\lsass.exe:680 - OK
Procesos en la memoria: C:\WINDOWS\system32\svchost.exe:836 - OK
Procesos en la memoria: C:\WINDOWS\system32\svchost.exe:896 - OK
Procesos en la memoria: C:\WINDOWS\System32\svchost.exe:984 - OK
Procesos en la memoria: C:\WINDOWS\system32\svchost.exe:1028 - OK
Procesos en la memoria: C:\Documents and Settings\TPAJCarlos\Escritorio\launch.exe:1036 - OK
Procesos en la memoria: C:\WINDOWS\System32\svchost.exe:1164 - OK
Procesos en la memoria: C:\WINDOWS\system32\svchost.exe:1200 - OK
Procesos en la memoria: C:\WINDOWS\Explorer.EXE:1236 - OK
Procesos en la memoria: C:\WINDOWS\system32\spoolsv.exe:1316 - OK
Procesos en la memoria: C:\Archivos de programa\Avira\AntiVir PersonalEdition Classic\sched.exe:1364 - OK
Procesos en la memoria: C:\WINDOWS\system32\svchost.exe:1428 - OK
Procesos en la memoria: C:\Archivos de programa\Windows Live\Messenger\msnmsgr.exe:1468 - OK
Procesos en la memoria: C:\Archivos de programa\Avira\AntiVir PersonalEdition Classic\avguard.exe:1488 - OK
Procesos en la memoria: C:\Archivos de programa\Comodo\Firewall\cmdagent.exe:1504 - OK
Procesos en la memoria: C:\Archivos de programa\Java\jre6\bin\jqs.exe:1564 - OK
Procesos en la memoria: C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7Debug\mdm.exe:1648 - OK
Procesos en la memoria: C:\Archivos de programa\Java\jre6\bin\jusched.exe:1804 - OK
Procesos en la memoria: C:\DOCUME~1\TPAJCA~1\CONFIG~1\Temp\RarSFX0\yb2v7r. exe:2072 - OK
Procesos en la memoria: C:\DOCUME~1\TPAJCA~1\CONFIG~1\Temp\RarSFX0\4aa7c.e xe:2168 - OK
Procesos en la memoria: C:\Archivos de programa\Mozilla Firefox\firefox.exe:3068 - OK
Procesos en la memoria: C:\Archivos de programa\SUPERAntiSpyware\SUPERAntiSpyware.exe:323 6 - OK
Procesos en la memoria: C:\WINDOWS\system32\NOTEPAD.EXE:3508 - OK
[Chequeo de memoria] No se han encontrado Virus
Master Boot Record HDD1 - OK
Active OS/2 or WinNT Boot Sector HDD1 - OK
OS/2 or WinNT Boot Sector HDD1 - OK

Al moderador: Borre este mensaje,por favor

¿Has echo el chequeo completo o solo el expres? hazlo completo si no es asi

Sigo esperando que me comentes que tal y como llevas lo del cortafuegos

Saludos

Hola he hecho los 2 escaneos ya,pero el estoy tratando de dividir el express,porque no cabe, por eso esta mochado y voy a tener que editar

El Completo del Dr Web ; este lo tengo grabado pero ¿¿Como abro esta clase de archivos?? Como texto me sale esto.

JSCRIPT5.CHM\htm/jstextwriteln.htm;C:\Archivos de programa\Microsoft Office\Office10\3082\JSCRIPT5.CHM;una modificación de VBS.Generic.94;;
JSCRIPT5.CHM;C:\Archivos de programa\Microsoft Office\Office10\3082;Contenedor con objetos infectados;Eliminado.;


Si no me equivoco el ; delimita un campo de una BD

¿¿Y ahora que sigue??

si eliminaste todo lo encontrado solo te quedaría el escaner online con Kaspersky para prevenir que no quede nada, traer su informe que genere dicho escaner para ver si queda algo y que me comentes tu como va la cosa

Saludos

Hola amigo,te voy a ser franco... debido a los escaneos (como 4 hrs aprox) no había podido instalar la versión 3 del Comodo,anuque ya la descargue,solo me dio dos opciones:
Firewall + Defense (recomendado)

Firewall

Tu me mencionaste 3 ¿¿La de FIREWALL + DEFENSE no es la que incluye antivirus?? porque despues de instalarlo me hizo un scan y temo que ocasiones conflictos con Avira.

¿Tendre que desinstalarlo y volverlo a instalar o así lo dejo? Por cierto COMODO quiere actualizarse,pero la mayor parte de las actualizaciones son definiciones de virus

Al rato nos vemos,pues voy a realizar el scan de Kaspersky
¡¡Otras horas mas sin poder hacer nada!!

Firewall y defense + no incluye antivirus, de todos modos tras instalarlo siempre da opción de hacer un escaner preventivo, tu simplemente omitelo, o bien hazlo pero con tu antivirus desactivado, tras eso acabara la instalacion y quizás pida reiniciar, tras el reinicio abre el panel de control de COMODO desde el icono de escudo blanco en la barra de tareas y amoldalo a tu gusto.

Lo recomentable es que tras el reinicio dejes la defensa Proactiva (defense+) en Training mode y el cortafuegos en Safe mode, tras navegar y realizar las acciones normales en el equipo pon los dos apartados en Safe mode

El resto de detalles esta en mi primer post.

Has eliminado infecciones que ni sabias que tenias.

Saludos