EliTriIP detecta LUInit.exe , falso positivo ?(SOLUCIONADO)

conchirrin · Mensaje por **conchirrin** » 30 Jun 2007, 14:24

Hola como tengo este ordenador un poco abandonado , (siempre estoy liada con el mio ) y este es el que mas utiliza la peque de la casa ,y no sabe leer ,se me ha ocurrido pasarle el elistara y el elitriip y veo que el elitriip me detecta el LUInit.exe , y este ya os lo mande, por que era, si mal no me equivoco un falso positivo.,

dime si estoy equivocada o lo elimino, pero era del norton.

Otra cosa el elistara me ha detectado y eliminado tambien SpyRealtek , tendria que pasar el hijackthis por si hay que eliminar algo ?

Sat Jun 30 12:35:59 2007

EliStartPage v14.31 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\ALCMTR.EXE --> Eliminado SpyRealtek

Entrada Eliminada [HKLM\...\Run] "Alcmtr"="ALCMTR.EXE"

Eliminada Clave "HKLM\...\Image File Execution Options\Your Image File Name Here without a path"

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Sat Jun 30 12:36:59 2007

EliStartPage v14.31 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\recover\WINDOWS\ALCMTR.EXE --> Eliminado, SpyRealtek

Sat Jun 30 12:51:50 2007

EliTriIP v3.71 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Acción Directa):

Sat Jun 30 12:51:56 2007

EliTriIP v3.71 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\Archivos de programa\Symantec\LiveUpdate\LUInit.exe --> Infectado, BackDoor.CMQ

C:\PowerDVD\Autorun.inf --> Infectado, BackDoor.CMQ (inf)

C:\recover\PowerDVD\Autorun.inf --> Infectado, BackDoor.CMQ (inf)

Mensaje por **msc hotline sat** » 30 Jun 2007, 14:55

No el de Realtek es un conocido metodo de recoleccion de datos, no tiene mas importancioa una vez eliminado (ya se ha eliminado la clave de carga) y este otro LUInit.exe , ni idea de que fuera un falso positivo, igual sí, pero por el nombre no puede saberse con seguridad su contenido.

Si sabes que es de Symantec, envianoslo indicando bien claro FALSO POSITIVO y lo excluiremos del control, buscando para el virus otra clave que siga detectando los infectados pero no coincida con las de este fichero:

https://foros.zonavirus.com/detecciones-de-falsos-positivos-en-utilidades-de-evaluacion-vt19441.html

saludos

ms, 30-06-2007

conchirrin · Mensaje por **conchirrin** » 30 Jun 2007, 17:35

He buscado en el foro , cuando paso lo del ya falso positivo luinit y esta fue tu contestacion antes del envio :

https://foros.zonavirus.com/4-vt18609.html?postdays=0&postorder=asc&start=45

~~[b]~~y sobre el LUInit.exe mira de enviarnoslo como muestra a analizar pero indicando "PUEDE SER FALSO POSITIVO, PUES ES DE NORTON" y asi lo analizaremos en tal sentido para excluirlo de la deteccion de proximas versiones del ELITRIIP

http://www.fbmsoftware.com/spyware-net/process/LUInit_exe/1155/

gracias por vuestra colaboracion

saludos

ms, 22-05-2007[/b]

bueno ya os la he vuelto a enviar

gracias.

Mensaje por **msc hotline sat** » 30 Jun 2007, 19:28

Sí, Symanetc usa un Luinit.exe, pero para saber que no sea un malware con el mismo nombre, ha de analizarse

Como dices ya haberlo hecho, esperamos que hayas indicado bien claro FALSO POSITIVO, el lunes se buscará otra cadena de deteccion para el virus en cuestion, de forma que siga detectando al fichero infectado, pero no a este.

y se implementará en la nueva version del ELISTARA, de lo cual informaremos

saludos

ms, 30-06-2007

conchirrin · Mensaje por **conchirrin** » 02 Jul 2007, 12:39

Si puedes y lo sabes me dices si has recibido el luinit

Mensaje por **msc hotline sat** » 02 Jul 2007, 14:27

Sí, está en proceso, y se excluirá de la deteccion en un proximo ELITRIIP , seguramente mañana, pues hoy no ha dado tiempo ya que es el primer dia de jornada intensiva y se cierra a las 15 h, luego compilar y subirlas al foro, a las 16 cada dia ya estarán, pero claro, menos tiempo de trabajo... menos trabajo realizado, mañana será otro día

saludos

ms, 2-07-2007

conchirrin · Mensaje por **conchirrin** » 02 Jul 2007, 19:57

pues si quieres cierra el tema

gracias por todo.

Mensaje por **msc hotline sat** » 02 Jul 2007, 20:27

No,no, interesa que lo puedas probar cuando te lo diga, que espero será mañana, pues hoy hemos visto que mas de 100 cadenas estrategicas de diferentes puntos del fichero, que tenemos configuradas para escoger segun sea el caso, coincidian con los mismo bytes de los ficheros viricos, y o dejabamos de controlar el virus o teniamos falsa alarma. Al final si conviene, lo excluiremos por nombre, a pesar de que la cadena coincida, ya veremos.

saludos

ms, 2-07-2007

Mensaje por **msc hotline sat** » 03 Jul 2007, 13:09

Solucionada la coincidencia de cadenas. Se implementa en la 14.33 de hoy, que estara disponible a partir de las 16 h GMT para pruebas de evaluacion en esta web

Comentanos el resultado, Conchirrin, gracias

saludos

ms, 3-07-2007

conchirrin · Mensaje por **conchirrin** » 03 Jul 2007, 17:41

descargada la version 3.73 de elitriip

Tue Jul 03 16:29:52 2007

EliTriIP v3.73 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Acción Directa):

Tue Jul 03 16:29:54 2007

EliTriIP v3.73 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\PowerDVD\Autorun.inf --> Infectado, BackDoor.CMQ (inf)

C:\recover\PowerDVD\Autorun.inf --> Infectado, BackDoor.CMQ (inf)

bueno el luinit ya no lo detecta. solo me detecta esos dos, los elimino ??? , no tengo ni idea de que son.

Mensaje por **msc hotline sat** » 03 Jul 2007, 17:59

Del que se ha cambiado la deteccion es el LUInit.exe

Los otros dos AUTORUN no sé qué hacen en un disco duro, son propios de CDROM o de virus en pendrives y Discos Duros.

Yo los eliminaría, pero si quieres mira lo que cargan , editando el con el bloc de Notas dicho fichero.

Piensa que en un disco duro no tienen sentido, y que se autoejecutan cuando accedes a dicha carpeta, asi que ...

saludos

ms, 3-07-2007

conchirrin · Mensaje por **conchirrin** » 03 Jul 2007, 18:57

bueno pues le dejare al elitriip que los elimine.

otra cosa , :D

mi ordenador es cierto que es mas que un mundo , parece que todo lo tengo yo , pero lo del luinit era del portatil ,

Bueno la verdad espero no tener que abrir ningun tema mas, al menos por la salud de mi cabeza , pero ir no me voy , por que me encanta ver los temas de otras personas, asi que en mas de un momento estare por aqui ojeando . :lol:

Hasta la proxima y gracias como siempre por todo.

conchirrin · Mensaje por **conchirrin** » 03 Jul 2007, 19:21

Msc enchufe no tengo en microsoft, te lo digo por lo de solucionar el problema de las actualizaciones automaticas,yo escribi al soporte tecnico y explique mi caso despues de 4 metodos diferentes para solucionar el problema , parece que quien lleva mi caso dio con la solucion , aunque con microsoft no tengo todavia el tema cerrado , hay una actualizacion que se resiste a querer actualizarse y ya la tengo instalada, pero en ello estamos ,

:lol: Como soy muy insistente , pues ellos a ayudar que es su trabajo y la verdad de las dos veces que he contactado con el soporte de microsoft me han tratado muy bien .

Mensaje por **msc hotline sat** » 03 Jul 2007, 22:12

Pues mano izquierda si que tienes !

Te felicito

Y ya dando por solucionado el Tema, procedemos a cerrarlo

saludos

ms, 3-07-2007