AMVO.EXE.Muestra EliStartPage v15.51 (SOLUCIONADO)

[GuidoX]

Saludos Amigos de ZonaVIRUS :)





Estaba ejecutando el Elistara y me detectó esto:



Fri Jan 25 08:38:24 2008

EliStartPage v15.51 (c)2008 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Por favor, envienos una muestra del fichero

C:\Muestras\AMVO.EXE.Muestra EliStartPage v15.51

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\AMVO.EXE --> Eliminado

C:\WINDOWS\SYSTEM32\AMVO0.DLL --> Eliminado PWS-OnLineGames.AMVO

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Detectado AUTORUN.INF en la Unidad (F)

open=autorun.exe

Si Desconoce la Aplicación, por favor envienosla

acompañada del AUTORUN.INF a "virus@satinfo.es". Gracias.



Ya les envié la muestra del AMVO.exe para que agreguen la corrección para la proxima version.

Muchas Gracias por esta magnifica herramienta.







Saludos desde Costa Rica :)

[GuidoX]

por cierto no se si será por ese virus que el sistema se cuelga periodicamente :?

[msc hotline sat]

Acabamos de subir la version 15.52 del ELISTARA



Descarguela y pruebe si ya es controlado, sino el lunes cuando volvamos al trabajo en SATINFO se analizará y controlará.



Informenos del resultado posteando el contenido del infosat.txt



saludos



ms, 25-1-2008

[flacoroo]

tambien ejecuta estos programas en modo seguro y nos mandas las muestras a zonavirus@satinfo.es



http://www.zonavirus.com/descargas/elitriip.asp

[url=http://www.zonavirus.com/descargas/elipen.asp][u][b]Descargar Elipen [/b][/u][/url]



nos pegas el resultado que se crea en C:infosat.txt

[msc hotline sat]

En un Online Game, si no lo controlamos con la version del ELISTARA que acabo de subir, como que ya tenemos la muestra, lo implementaremos en la proxima, pero de todas formas, ademas, como bien dice flacoroo, el ELIPEN es muy recomendable para vacuna ordenador y pendrives contra propagacion de este tipo de virus



saludos



ms, 25-1-2008

[mikmatcr]

No lo menciono pero les indico que la máquina de guidox tiene el Elipen puesto desde el año pasado(desde que salio la versión) pero aún asi nos entran virus en la máquina como si nada.



Casi que cada día de por medio el elistara nos pide mandar nuevas muestras, esto es coctel de virus!!!!!

[msc hotline sat]

Es que hay muchas vias de infeccion, y muchos utilizan varias, aparte de la de USB...



Muchos de MSN, de mail, y gusanos en general luego propagan por pendrive, y con los ordenadores y pendrives vacunados es una via menos, pero quedan las otras...



Ojalá tuvieramos la solucion del pendrive para las demás vías, pero no es así, los nuevos que los antivirus no controlan, entran como Don Pedro por su casa por otras vias !



saludos



ms, 25-1-2008

[flacoroo]

espero que tambien hayan bajado la ultima actualuizacion de Elipen, no evita que te contamines por la usb en tu maquina o viceversa pero si la ejecucion de ellos virus....y ademas evita que se crea la carpeta de autorun que es la que contagia....y cuando ejecutas d nuevo el elipen pues deshabilitas el virus de autorun ya que le cambia la extension

[msc hotline sat]

Bueno, exactamente lo que hace el ELIPEN es que si encuentra un AUTORUN.INF lo renombra a OLD y avisa para que se analice el fichero que lanzaba, y cambia una clave de politicas en el registro mediante la cual impide que se autoejecute el AUTORUN.INF desde disco duro y desde pendrive, pero no desde CDROM.



Así, la introduccion de un pendrive desconocido no se autoejecutará el virus que pudiera contener. Otra cosa es que se ejecute manualmente un fichero infectado, si uno es masoquista...



Y en las unidades de pendrive procesadas con el ELIPEN, aparte de renombrar a .OLD los AUTORUN.INF que contuvieran, crea una carpeta con dicho nombre de modo que los virus que quieran crear un fichero con dicho nombre, no ppdrán por estar ya ocupado, y asi impedir la prpopagacion.



Simple pero efectivo, que es de lo que se trata ! :wink:



saludos



ms, 25-1-2008

[msc hotline sat]

Bueno Guidox, segun mikmatcr nos has enviado nuevas muestras que no controlamos todavía, pero no se han recibido con tu referencia...



Repite el envio y recuerda:



->[b] Para ello recordar[/b]: https://foros.zonavirus.com/viewtopic.php?f=2&t=45334



saludos



ms, 28-1-2008

[mikmatcr]

Ya que Guidox esta en otro edificio y yo en el equipo de él, les he reenviado las muestras pero con referencia de mi usuario. Espero no haya problema!!!



Gracias!!!

[msc hotline sat]

No, ningun problema, mañana las monitorizaremos, pues ya está cerrada la entrada de muestras por hoy, pero ya te adelanto que son variantes del ONLINE GAME, que pasaremos a controlar con nuevo ELISTARA, si no se controla con el que se está cerrando hoy 15.53



Mañana seguiremos :wink: (si Dios quiere)



saludos



ms, 28-1-2008

[mikmatcr]

OK. Esperaremos, por cierto que montón de variantes, ya nos hicimos clientes frecuentes, es que aqui es un criadero de virus y los estudiantes traen de todo.

[msc hotline sat]

Acabamos de subir la 15.53, pruebala por si fuera de las que hemos añadido hoy...



Y sino mañana :wink:



saludos



ms, 28-1-2008

[mikmatcr]

Lamentablemente no sirvio la actualización de hoy, esperaremos a mañana!!!!

[msc hotline sat]

No se habian analizado las muestras, pero podian haber sido de las que se han visto hoy de esta familia, que cada día hay...



Pues mañana será otro día :wink:



saludos



ms, 28-1-2008

[msc hotline sat]

Analizadas las muestras recibidas, corresponden a nueva variante del ONLINE GAME que pasamos a controlar y eliminar con la nueva version que estamos haciendo hoy del ELISTARA 15.54, que estará en esta web a partir de las 19 h, para pruebas de evaluacion en el foro de zonavirus:


[quote]http://www.zonavirus.com/descargas/elistara.asp



Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso [/quote]



saludos



ms, 29-1-2008

[mikmatcr]

OK. Ahora si.



Tue Jan 29 11:56:23 2008

EliStartPage v15.54 (c)2008 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Detectado AUTORUN.INF en la Unidad (F)

open=autorun.exe

Si Desconoce la Aplicación, por favor envienosla

acompañada del AUTORUN.INF a "virus@satinfo.es". Gracias.



Tue Jan 29 11:56:31 2008

EliStartPage v15.54 (c)2008 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\QD.CMD --> Eliminado, PWS-OnLineGames.AMVO

C:\YLR.EXE --> Eliminado, PWS-OnLineGames.AMVO

C:\Muestras\AMVO.EXE.MUESTRA ELISTARTPAGE V15.51 --> Eliminado, PWS-OnLineGames.AMVO

C:\Muestras\AMVO.EXE.MUESTRA ELISTARTPAGE V15.52 --> Eliminado, PWS-OnLineGames.AMVO

C:\Muestras\AMVO.EXE.MUESTRA ELISTARTPAGE V15.53 --> Eliminado, PWS-OnLineGames.AMVO

C:\Muestras\AMVO0.DLL.MUESTRA ELISTARTPAGE V15.52 --> Eliminado, PWS-OnLineGames.AMVO

C:\WINDOWS\system32\AMVO1.DLL --> Acceso Denegado, PWS-OnLineGames.AMVO



Nº Total de Directorios: 2488

Nº Total de Ficheros: 23337

Nº de Ficheros Analizados: 7549

Nº de Ficheros Infectados: 7

Nº de Ficheros Limpiados: 6



Tue Jan 29 12:04:42 2008

EliStartPage v15.54 (c)2008 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad D:\

D:\QD.CMD --> Eliminado, PWS-OnLineGames.AMVO

D:\YLR.EXE --> Eliminado, PWS-OnLineGames.AMVO



Nº Total de Directorios: 2765

Nº Total de Ficheros: 17483

Nº de Ficheros Analizados: 1268

Nº de Ficheros Infectados: 2

Nº de Ficheros Limpiados: 2





Ya pueden dar el tema por cerrado. Cabe destacar que me pidio reiniciar, pero eso la haré después.



Gracias!!!

[msc hotline sat]

Muy bien, pues damos el Tema por solucionado y procedemos a cerrarlo



Si nos necesitas de nuevo, ya sabes donde estamos



saludos



ms, 29-1-2008