Foro de InfoSpyware - Foro de Hijackthis - Foro de Virus

Hola,

me he registrado en este foro para buscar solución a unos síntomas que tiene mi equipo, los datos básicos de hardware son: CPU Pentium D 2.6Hz 1024 MB RAM HD 160 GB, los datos básicos de software son: Windows XP Pro Sp3, McAfee Virus Scan 8.5i + Arthemis, AVG Free 8.5, SpyBot Search & Destroy.

Mis síntomas:
- No puedo conectarme via HTTP a MSN.com o Hotmail.com, asi como a otras paginas, entre las que cuenta la pagina de mi banco, la pagina de soporte de McAfee y algunas redes sociales.
- No puedo utilizar MSN messenger, ni aMSN, el diagnostico indica error en archivos del host, el código de error (no lo tengo a la mano) según el servicio de soporte MSN se da si hay un firewall bloqueando a messenger o si el servidor no esta disponible.
- El análisis en tiempo real de McAfee insiste en que hay un virus de nombre Athemis!93F86FFEC130, en el archivo Autorun.exe de mi disco (Imagen iso) de Los Sims 2 estaciones. el md5 del archivo Autorun.exe en cuestión es: 93f86ffec130f5343a0537afea53357d. he enviado este archivo a VirusTotal.com, este el permalink del resultado: Virustotal. MD5: 93f86ffec130f5343a0537afea53357d [Parece tratarse de un falso positivo] Tengo que anotar que McAfee no detecta el virus en análisis bajo demanda, solo en análisis de tiempo real, incluso si desactivo esta ultima.

Causas descartadas:
- He intentado utilizar ping y tracert a estas paginas, los paquetes se pierden por timeout, así que no son mis navegadores (tengo Chrome, IE 8, FireFox 3 y Opera)
- He visto el uso del ancho de banda de mi conexión desde administrador de tareas, y concuerda con el esperado (2M, es decir, 2% de los 100M de la conexión al LanModem)
- He llamado a soporte de mi proveedor de Internet, Me informan que no hay problema con el servicio.
- He probado desde otros equipos (que no están en red con el mio), en los cuales estas paginas funcionan bien.
- He revizado la configuracion Firewall de mis antivirus y de Windows, esta no es la causa.

Mis sospechas
- Un problema con el DNS de mi proveedor de Internet del cual no se han dado cuenta, la verdad es poco probable, sin embargo si alguien conoce algún DNS con el que pueda probar, se lo agradecería.
- Un virus dedicado a bloquear estas páginas, he ejecutado Rootkit Detective en mi computador, sin embargo no sé cuales de las cosas que muestra pertenecen a SpyBot, Avg o al mismo VirusScan

* Ya que he instalado los Sims 2 estaciones hace unos días (en ese momento McAfee aun no mostraba el Autorun como virus), y para ese tiempo empezó el síntoma de no poder usar messenger, ni entrar a las paginas citadas, y ya que en realidad tengo una imgen iso del disco, sospecho de una infección.

La ayuda que busco:
- La Ip de un Servidor DNS para probar
- Información acerca de como interpretar y identificar los resultados de Rootkit Detective
- Alguna herramienta que se especialice en detectar hooks o similar
- Ideas de que he podido haber pasado por alto

* He logrado realizar una copia del archivo Autorun.exe, con el cual aun el análisis en tiempo real de McAfee lo escanea no detecta nada, esto me hace sospechar que de alguna forma el virus engaña a McAfee para que señale un archivo incorrecto. He ejecutado el análisis completo de AVG, no dio ningun resultado, y el de McAfee que dio una detección, un virus distinto que ya fue eliminado.

* Para enviar el archivo Autorun.exe a VirusTotal.com y para realizar la copia le tenido que indicar a McAfee que excluya de su escaneo en tiempo real al archivo mientras hacia estas operaciones.

* He enviado la copia de Autorun.exe a AvertLabs para que lo investiguen

Al momento de escribir, esta ejecutandose el escaneo de SpyBot en mi equipo, pleaneo utilizar Microsoft OneCare y Karpesky Online si el problema persiste. Otra prueba que tengo pendiente es intentar conectarme a hormail.com desde un PC Virtual.

Gracias por su tiempo, agradezco cualquier ayuda, sugerencia o cualquier ocurrencia >-<
-- prometo postear la solución si la encuentro por otro medio (siempre y cuando no me cierren el tema) excepto si la solución es formatear el disco duro o me harto de buscarla.

[Edit: typo AdvertLabs por AvertLabs]

descarga el winsockfix WinSockFix 1.2 | InfoSpyware y ejecutalo reinicia e intenta entrar al masesnger y comentas si funciono

Primero que todo, gracias por WinSockFix, ha resultado una solución parcial.

He ejecutado el WinSockFix, y aun tengo el problema de no poder entrar a las páginas de hotmail, sin embargo puedo entrar a las otras, Messenger aun no sierve, me da el error 81000306, La información que tengo del error viene de messengeradictos.com porque no puedo visitar a MSN para ver que dice de este error.

Tal parece que AvertLabs solucionó el problema del falso positivo en McAfee, con la ultima actualización del antivirus se solucionó el problema (y prueba que mandarles muestras sirve de algo).

En cuanto a SpyBot y OneCare, el primero encontró y solucionó algunos (42...) problemas, el segundo ninguno, pero nada relacionado. Y en cuanto a Karpesky no lo he ejecutado completo por el tiempo que tarda su escaneo.

* Tengo que comentar otra cosa, tras reiniciar (y teniendo a la protección de acceso de McAfee desactivada para dejar a WinSockFix hacer su trabajo), ha aparecido lo que parecía una pantalla negra con letras azules en baja resolución (480 x 640, creo), no he podido leer lo que decia y he tenido que reiniciar de nuevo, tras hacerlo el Scan de Xp me dice que un archivo de Spybot se dañó... no tengo idea de como repararlo, confío que al actualizarlo la próxima se arregle.

* El problema que me queda por solucionar (descartando la misteriosa pantalla negra que ví) es el de hotmail.com y msn.com, y suponiendo que los servidores siguen funcionando... sea lo que sea, ni McAfee, ni Spybot, ni Avg, ni OneCare, ni WinSockFix lo soluciona.

no creo que sea conveniente que tengas mas de un antivirus como residente; ahora bien si el problema que tienes va muy relacionado a messenger y hotmail tal ves necesites utilizar una herramienta especializada en ello MSN CLEANER BY INFOSPYWARE si tienes algun problema con el spybot despues de aber utilizado el winsocxfix podria ser algun archivo para actualizarse no estariia de mas que lo descargues y buelvas a instalar, por lo de la pequeña pantalla negra que viste recordemos que la herramienta winsocxfix modifica el registro de win cuando algun virus lo daña (mas no elimina el virus) asi que probablemente alla sido por el cambio en el registro; intenta utilizar el MSN CLEANER en modo seguro despues reinicia y ejecuta winsocfix de nuevo reinicia y nos comentas

Hola de nuevo,

En cuanto a tener dos antivirus residentes, para mi no es mas que un mito, he tenido combinaciones Panda y Norton y ahora McAfee y AVG Free, la verdad con McAfee me resulta cómodo, solo tengo que indicarle los archivos de AVG como excepciones y ya esta, pareciera que McAfee estuviera pensado para permitir esto. Ambos funcionan, McAfee es quien me ha dado mas detecciones, AVG mas que todo atrapa cookies y virus de USB.

* Hoy probé desde conectarme a Hotmail desde mi módem, pero utilizando un PC portátil, y no dio ningún problema.

* En cuanto a la pantalla que vi.... no era pequeña, era toda la pantalla, tenia lo que parecían ser letras azules, pero estaba en baja resolución, el puntero quedo paralizado, y no recibía entrada de teclado (ni para cambiar el estado del led de Num Lock), se apagó enseguida al presionar el botón power de la torre, sin tener que dejarlo sostenido, como si no estuviera en Windows.

Respecto al soft que me recomiendas, Athemis de McAfee lo encuentra como virus, lo he enviado a AvertLabs, y a VirustTotal.com, este es permalink de este ultimo: Virustotal. MD5: f24298f253754669228ff8c94e630374 UnclassifiedMalware Suspicious File Low Risk Adware

No voy a confiar en el archivo antes de tener respuesta de AvertLabs, ¿Puedes darme una alternativa manual, o el código fuente o indicarme quien es el autor para solicitarlo formalmente?

Bueno, te haces de paso a una idea de que tan desconfiado soy con lo que descargo de Internet, anoto que el WinSockFix pasó la prueba de VirusTotal.com.
Por cierto, lo único que me pasó con SpyBot a la larga fue que tuve que inmunizar de nuevo, no sé si a causa de WinSockFix o por el archivo dañado, probé la conexión a hotmail.com antes de inmunizar (por si fuese culpa de SpyBot), sin embargo, como es evidente, el problema persiste.

Gracias.

[Editado para agregar el link]

mm bueno compañero pues veras en MSN CLEANER esta echo por personal de infospyware especialmente diseñado para messenger para que te des una idea de lo confiable que es quien diseño este software realmente no podre brindart mas asesoria si no ejecutas el MSN CLEANER Y ME DICES QUE RESULTADOS TE DA MSN CLEANER es 100 seguro yo lo uso y unas 20,000 mas que lo an descargado por recomendacion de este foro podrian asegurarlo recomiendo ejecutar MSN CLEANER en modo seguro, lo de dos antivirus como te dije solo una recomendacion, de echo yo ni siquiera uso antivirus

Hola chicos y permiso:

Theraot

La Herramienta MsnCleaner, fue creada y es mantenida por Miembros del Staff de este Foro.

Su función principal es la de eliminar Malware de Mensajería Instantanea.


Infecciones en el Messenger? MSNCleaner! | InfoSpyware

Las detecciones que mencionas son Falsos Positivos.

Te dejo información al respecto:

Falsos negativos y falsos positivos. Problemas para desarrolladores




Salu2.

De acuerdo, estando así las cosas, voy a esperar a ver que dice AvertLabs (se hachen un par de días el peor de los casos). Si llego a encontrar alguna solución antes de eso, igual la posteo acá.

Gracias a SanMar, acabo de ver el mensaje, voy a leer la información de links que pones, y si cambio de opinión, bueno, también lo posteo acá >_<.

Hasta entonces.

te recomendaria que aceptaras las recomendaciones de SanMar es una MODERADORA con gran experiencia que aporta mucho al foro al pareser si conoses algo de computadores y programas al pedir algo como el codigo fuente y varias cosas que me eh dado cuenta eres muy desconfiado por cosas algo pequeñas

Los virus son algo pequeño, compañero.

Esta bien, yo reconozco mis defectos, soy terco, Engreído (con E mayúscula) y desconfiado, entre otras cosas que no vienen al caso. [Nota: estoy hablando de mi mismo, ofender no es mi intención]

Leyendo la información que me indicó SanMar, he caido en cuenta que la razón de no publicar el código fuente de esta herramienta es evitar que mas gente aprenda a hacer estos virus, y me parce muy bien.

También me parece bien que AvertLabs tenga una copia, La heuristica de McAfee a detectado al archivo como virus, y lo mismo a hecho Arthemis, sin embargo ArvertLabs se toma días porque lo hacen personas, espero que descubran que no es dañino, y de paso McAfee deja de decir que MSNCleaner tiene un virus desde la siguiente actualización. Bueno, el error humano también existe así que eso tampoco es seguro.

Hasta luego.