Tema: Problema con "ZoneAlarm Security Suite, v. 7.0.337.000" (SOLUCIONADO)

[Sokrattes]

Buenos dias a todos,

Veréis, desde hace un par de semanas mi Firewall (ZoneAlarm Security Suite, ver. 7.0.337.000) me da avisos  (unas 7/8 veces al dia, cosa que no ocurría con otras versiones y que en ésta no pasó hasta ahora) de lo siguiente:

Clasificacion de Riesgo          -         Alto
Tipo de Alarma                         -         Un proceso intenta generar un subproceso
Alarma                                     -         "regedit.exe" intenta ejecutar "regedt32.exe"

Ahora, ésto es lo que saco en claro:

El "regedit.exe", como seguro ya sabreis, es el ejecutable del Windows Registry Editor. Según internet (lo busqué en una biblioteca de procesos) "...this process will only run while you have the editor open and should not be removed..." es decir, que, según lo entiendo, solo debería estar activo si yo lo abro (¿?), cosa que no hago.

El "regedt32.exe" es una Registry Editor Utility, vamos un subproceso del registro que sirve en concreto para editar el registro.

Entonces, uno ( "regedit.exe ") es el editor del registro y el otro el editor de la configuración del registro ( "regedt32.exe") y lo que está ocurriendo es que se me pide permiso para una modificación en el registro. Modificación que yo no solicito y que no sé a que viene (¿?).


Mi problema (además del evidente) es que ya he probado las cuatro opciones que el Firewall me da para este aviso (Permitir-Permitir Siempre-Denegar-Denegar Siempre) y el preoceso continua ejecutándose y los avisos apareciendo. Como no sé a que se debe ni la ejecución del editor ni su reiteración, he escaneado con el NOD32  en nivel digamos "paranoico" y con el Tauscan (un anti-troyanos de Agnitum, los del Outpost) y el PC está limpio como una patena...  ni idea de si lo que pasa es normal o no.

Y bueno, ésto es todo lo que sé de momento. Mi pregunta iría hacia si os ha pasado alguna vez o si se os ocurre algo que hacer para obtener más información, como instalar un lector de procesos para intentar dirimir exactamente quien llama a quien y porque.

Muchas gracias por vuestra atención.

[171278]

Pega un log de HijackThis por si fuera consecuencia de una infeccion.

Un Saludo

[Sokrattes]

Muchas gracias por contestar. Aquí te dejo el "log" por si puedes echarle un vistazo:

Logfile of HijackThis v1.99.1
Scan saved at 21:11:59, on 22/04/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0011)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Archivos de programa\Java\jre1.5.0_11\bin\jusched.exe
C:\Archivos de programa\Eset\nod32kui.exe
C:\Archivos de programa\Philips\Philips Device Manager\Bin\DeviceManager.exe
C:\Archivos de programa\Microsoft Office\Office12\GrooveMonitor.exe
C:\Archivos de programa\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Archivos de programa\Philips\Philips Lime Service\bin\LimeAlive.exe
C:\Archivos de programa\Philips\Philips Lime Service\bin\Lime.exe
C:\Archivos de programa\SAGEM\SAGEM F@st 800-840\dslmon.exe
C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\system32\mgabg.exe
C:\Archivos de programa\Eset\nod32krn.exe
C:\Archivos de programa\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\ARCHIV~1\ZONELA~1\ZONEAL~1\MAILFR~1\mantispm.exe
C:\Archivos de programa\eMule\emule.exe
C:\Archivos de programa\Mozilla Firefox\firefox.exe
C:\Documents and Settings\suso\Escritorio\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.es/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\ARCHIV~1\MICROS~2\Office12\GRA8E1~1.DLL
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.5.0_11\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Archivos de programa\Java\jre1.5.0_11\bin\jusched.exe"
O4 - HKLM\..\Run: [WebCam Monitor] S
O4 - HKLM\..\Run: [nod32kui] "C:\Archivos de programa\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKLM\..\Run: [Matrox PowerDesk SE] "c:\Archivos de programa\Matrox Graphics Inc\PowerDesk SE\Matrox.PowerDesk SE.exe"
O4 - HKLM\..\Run: [PhilipsDM] "C:\Archivos de programa\Philips\Philips Device Manager\Bin\DeviceManager.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [GrooveMonitor] "C:\Archivos de programa\Microsoft Office\Office12\GrooveMonitor.exe"
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Archivos de programa\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [Tau Monitor] C:\ARCHIV~1\Agnitum\TAUSCA~1.7\taumon.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [updateMgr] C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe AcRdB7_0_9
O4 - HKCU\..\Run: [PhilipsLime] "C:\Archivos de programa\Philips\Philips Lime Service\bin\LimeAlive.exe"
O4 - Startup: RC.exe.lnk = C:\Archivos de programa\DTV\DVB-T USB 2.0\RC.exe
O4 - Startup: Recorte de pantalla e Inicio rápido de OneNote 2007.lnk = C:\Archivos de programa\Microsoft Office\Office12\ONENOTEM.EXE
O4 - Global Startup: Adobe Reader 7.0.lnk = ?
O4 - Global Startup: DSLMON.lnk = C:\Archivos de programa\SAGEM\SAGEM F@st 800-840\dslmon.exe
O4 - Global Startup: Inicio rápido de Adobe Reader.lnk = C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: NOD32 FiX.lnk = C:\WINDOWS\system32\regedt32.exe
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra button: Enviar a OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\ARCHIV~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: &Enviar a OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\ARCHIV~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\Office12\REFIEBAR.DLL
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab31267.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://by108fd.bay108.hotmail.msn.com/resources/MsnPUpld.cab
O16 - DPF: {82F2D6B2-6C58-4404-A930-9DB0FD90D4B1} (Driver_Detective_v43_Non_Member.DD_v43) - http://www.drivershq.com/cab/prod/Driver_Detective_v43_Non_Member.CAB
O17 - HKLM\System\CCS\Services\Tcpip\..\{35AD9C76-3065-48E5-92E2-7220DC963662}: NameServer = 193.152.63.197,212.49.128.65,87.216.1.65,62.37.228.22,62.42.230.135,62.14.63.145
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\ARCHIV~1\MICROS~2\Office12\GR99D3~1.DLL
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Help\hxds.dll
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL
O18 - Filter hijack: text/xml - {807563E5-5146-11D5-A672-00B0D022E945} - C:\ARCHIV~1\ARCHIV~1\MICROS~1\OFFICE12\MSOXMLMF.DLL
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Archivos de programa\Archivos comunes\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: MGABGEXE - Matrox Graphics Inc. - C:\WINDOWS\system32\mgabg.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset  - C:\Archivos de programa\Eset\nod32krn.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Archivos de programa\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

[Sokrattes]

Acabo de notar una novedad: al aviso de actualización del NOD32 le ha seguido, al instante, la ventana de aviso del ZoneAlarm. He desactivado las actualizaciones automáticas del NOD32 para actualizarlo "manualmente" y estar presente (dentro de unas horas lo intentaré) la proxima vez que tenga algo que descargar  . Seguiré informando.

[Sokrattes]

Parece que puedo confirmarlo (tras dos intentos de idéntico resultado): cada vez que se actualiza el NOD32 salta el aviso del firewall.

Versiones:
ZoneAlarm Security Suit 7.0.337.000
NOD32 2.70.16

Ahora bien, El NOD32 tiene "Nivel de confianza" - "Super" en el firewall, es decir: "Acceso super. El programa puede realizar acciones sospechosas y peligrosas sin solicitar permiso. No se mostrarán alertas"

¿Tal vez se haya quedado algo "colgado" en el registro?

[destroyer]

Hola:
 Bienvenido al foro.

Pues es posible que de alguna manera el zone interprete los cambios en el registro como nuevas acciones en cada actualizacion, no sé la verdad. Espera a ver que te comentan del log del hijackthis, más que nada porque quedes más tranquilo.

Un saludo

[171278]

Pues el log esta limpio...Puede ser cosa del Nod32, dale todos los permisos posibles en el zone y dinos como va la cosa.

Un Saludo

[Sokrattes]

Buenos dias destroyer

Eso parece, si, que interpreta cada actualización como una nueva acción.

Por otro lado, le he dado todos los permisos posibles y continua saltando el aviso del firewall al actualizarse el NOD32. Tampoco he encontrado nada en el Google en referencia a incompatibilidades en estas versiones (más bien al contrario) asi que creo que, a la espera de algún otro consejo, voy a tirar por el camino del medio: desinstalar el NOD32, retirar los permisos del firewall y volver a instalarlo... a ver que pasa

Os iré contando.

P.D. ¿Tenéis experiencia con algún limpiador de registro? es la otra opción que se me ocurre (?) y son programas que nunca he llegado a utilizar, por precaución... lo de las "limpiezas automáticas", no sé yo...

[destroyer]

Hola:
 Prueba a ver lo que comentas si.. En cuanto a limpiadores del registro tienes varios manuales en el foro de manuales de windows:

http://www.daboweb.com/foros/index.php?board=62.0

Un saludo

[Sokrattes]

Pues parece que ya está solucionado, no hay ningún aviso extraño del firewall. Lo que hice fué muy sencillo (y clásico):

-Desinstalé el NOD32 y le retiré los permisos del firewall
-Instalé el AVG (por ver como se comportaba el firewall con otro antivirus) que se actualizó sin problemas. Como no apareció ningún aviso, lo desinstalé.
-Volví al NOD32 y le concedí todos los permisos posibles.

Ya se ha actualizado automática y manualmente y no ha aparecido ningún permiso a dar en ningún momento. ¿Qué es lo que ha pasado? ni idea . Pero me quedo tranquilo. Voy a echarle un ojo un par de dias...

Muchas gracias a los dos por vuestro interés y ayuda.

Un saludo.

P.D. ""http://www.daboweb.com/foros/index.php?board=62.0"" ya está en mis marcadores  .