Virus ISE32.EXE en usb y pc (SOLUCIONADO)

[jc_kusanagi]

Hola que tal, pues aqui vengo a pedirles su ayuda, resulta que un amigo me presto una memoria usb y luego de eso ya no puedo utilizar mi memoria usb en mi pc del trabajo, cuando la inserto el karspersky detecta que se quiere ejecutar el archivo ise32.exe y lo bloquea y no me deja abrir la usb pero si inserto la usb en otra pc si puedo ver los archivos. El Elistara detecta un autorun en la usb que no debería estar y ese autorun al parecer contienen al archivo ise32.exe, pero el elistara al analizar la usb no encuentra nada. Alguna sugerencia de como quitar este bicho? al parecer es nuevo porque ya e buscado por internet y no encuentro información relacionada con el archivo ise32.exe



Hasta ahora el unico que parece poder eliminar ese archivo es un programa llamado Prevx CSI pero resulta que es de pago :lol:, en esta pagina hablan sobre este virus http://www.prevx.com/filenames/2888899304631635914-0/ISE32.EXE.html y también es para la descarga de este programa Prevx CSI, pero esta versión solo lo detecta, si lo queremos eliminar hay que pagar xD



Bueno espero puedan ayudarme, un saludo.



PD: por cierto el icono de usb en el explorador ahora es el de una carpeta, ya no es el de una unidad extraible

[Claudia34]

Pues descárgate las siguientes herramientas de los siguientes enlaces respectivos, guárdalos en una carpeta y lánzalos en modo a prueba de fallos obviamente con la restauración del sistema desactivado para que de mejores resultados:



ELISTARA:

http://www.zonavirus.com/descargas/elistara.asp



Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso.





Pásate también el Elitriip, y nos pegas el Log que te dejara en C llamado infosat.txt



http://www.zonavirus.com/descargas/elitriip.asp



Y para complementar (opcional en algunos casos):



https://foros.zonavirus.com/viewtopic.php?f=5&t=18469





Y compleméntalo posteándonos el Log del HJT:





HJT: (HiJackThis)



¿Como utilizar el Hijackthis?

Lo primero que debemos hacer es descargarlo en nuestro ordenador y localizarlo en una carpeta propia C:\HijackThis\

Ejecútalo y presiona el botón "Do a system scan and save a logfile"; el programa realizará el escaneo e inmediatamente generará el Log, sólo te pedirá el nombre del archivo y su ubicación, puedes simplemente guardarlo así como está.

Se abrirá el Bloc de Notas, copia todo el contenido y pégalo como respuesta de este Tema

• Descargar Hijackthis del siguiente enlace: http://www.zonavirus.com/descargas/trendmicro-hijackthis.asp

Tras analizarlo, informaremos.

Nota: con respecto al hijackthis realiza dos escaneos uno en modo normal de Windows y el otro escaneo en modo a prueba de fallos, obviamente péganos el Log de cada uno de ellos como dice arriba en la cita anterior, el primero de los escaneos en modo normal nos sirve para saber que procesos tienes ejecutados en el inicio principalmente.

Hay que tener en cuenta que solo desactivaras la restauracion de sistema cuando quieras escanear con alguna herramienta de seguridad, cuando termines de escanear deberas volver a activar la restauracion del sistema nuevamente.



¿Como arrancar en modo a prueba de fallos?



http://www.zonavirus.com/articulos/como-arrancar-en-modo-seguro-o-a-prueba-de-fallos.asp



Opcional:





Además de eso no te vendría mal realizar un scandisk completo y una desfragmentacion este ultimo en modo a prueba de fallos.

También realiza un escaneo en modo a prueba de fallos con la restauración del sistema deshabilitado con el Spybot-Search and Destroy y con el Adware S.E. obviamente actualizados por completo, y realiza un Windows Update completo por las dudas y cuéntanos los resultados.





Y mientras no te vendria mal probar los siguientes antivirus online en modo a prueba de fallos con la opcion de red (para asi poder conectarte a internet) y obviamente tienes que tener la restauracion del sistema desactivado para que te de mejores resultados el analisis:



https://www.virustotal.com/es/



https://www.pandasecurity.com/spain/homeusers/solutions/online-antivirus//



Nota: Hay mas antivirus online para usar, aunque alli arriba solo te dimos dos, nada impide que uses otros, es mas es mucho mejor por el tema de los resultados usar todas las que puedas.

Y te dejo tambien otro enlace para que lo disfrutes:



http://www.zonavirus.com/antivirus-on-line/



Y pruebate el kaspersky antivirus online que tiene un alto porcentaje de deteccion, que si bien no te elimina el bicho que te encuentre, al pegarnos el informe del escaneo aqui en el foro entonces obraremos en consecuencia.



https://www.kaspersky.es/downloads/thank-you/free-antivirus-download



Y para el tema de los autorun descargate del siguiente enlace el elipen:



http://www.zonavirus.com/descargas/elipen.asp



Saludos.

[msc hotline sat]

Pues envianos dicho fichero ise32.exe (puede estar con atributos de oculto y de sistema) y tras analizarlo, implementaremos su control y eliminacion en la siguiente version del ELISTARA



Y ya de entrada vacuna ordenador y pendrives con el ELIPEN y asi ya no se intentará ejecutar dicho virus:



http://www.zonavirus.com/descargas/elipen.asp



Para el envio de las muestras:





[b]¿Como enviar las muestras a zonavirus? - Para ello recordar[/b]:

https://foros.zonavirus.com/viewtopic.php?f=5&t=14253



saludos



ms, 2-04-2008

[jc_kusanagi]

ya les eh enviado una muestra del autorun que al parecer contiene el archivo ise32.exe, y aqui les pego los resultados de los analisis con el Elistara, Elitrip y el HijackThis, los analisis con antivirus en linea los hare luego porque ahora mismo mi conexcion anda mal y no me permite hacerlos. Y otra cosa ahora de vez en cuando me sale un mensaje del Internet Explorer diciendo que no cerré correctamente la sesión y que si quiero restaurarla, pero yo ni siquiera uso el IE para navegar, yo uso Safari para Windows.



Lista de Acciones (por Acción Directa):

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Detectado AUTORUN.INF en la Unidad (F)

open=RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\ise32.exe

Si Desconoce la Aplicación, por favor envienosla

acompañada del AUTORUN.INF a "virus@satinfo.es". Gracias.



Thu Apr 03 14:17:28 2008

EliStartPage v15.96 (c)2008 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\



Nº Total de Directorios: 18922

Nº Total de Ficheros: 202440

Nº de Ficheros Analizados: 38968

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



Thu Apr 03 14:34:56 2008

EliStartPage v15.96 (c)2008 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad D:\



Nº Total de Directorios: 10503

Nº Total de Ficheros: 37358

Nº de Ficheros Analizados: 1725

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



Thu Apr 03 14:38:55 2008

EliTriIP v4.56 (c)2008 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Acción Directa):



Thu Apr 03 14:38:59 2008

EliTriIP v4.56 (c)2008 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\



Nº Total de Directorios: 18922

Nº Total de Ficheros: 202440

Nº de Ficheros Analizados: 28336

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



Thu Apr 03 14:54:57 2008

EliTriIP v4.56 (c)2008 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad D:\



Nº Total de Directorios: 10503

Nº Total de Ficheros: 37358

Nº de Ficheros Analizados: 1197

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0







Esto es lo que me dio el HijackThis ***************************************************************************************************



Logfile of HijackThis v1.99.1

Scan saved at 03:07:11 p.m., on 03/04/2008

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v8.00 (8.00.6001.17184)



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Archivos de programa\Archivos comunes\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe

C:\Archivos de programa\PrevxCSI\PrevxCSI.exe

C:\MATLAB7\webserver\bin\win32\matlabserver.exe

C:\Archivos de programa\Eset\nod32krn.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\Archivos de programa\Analog Devices\SoundMAX\SMAgent.exe

C:\Archivos de programa\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe

C:\WINDOWS\explorer.exe

C:\WINDOWS\system32\wuauclt.exe

C:\WINDOWS\system32\wuauclt.exe

C:\hijackthis\HijackThis.exe



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Archivos comunes\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: flashget urlcatch - {2F364306-AA45-47B5-9F9D-39A8B94E7EF7} - C:\Archivos de programa\FlashGet\jccatch.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.6.0_05\bin\ssv.dll

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Archivos de programa\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll

O2 - BHO: FlashGet GetFlash Class - {F156768E-81EF-470C-9057-481BA8380DBA} - C:\Archivos de programa\FlashGet\getflash.dll

O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Archivos de programa\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll

O4 - HKLM\..\Run: [SoundMAXPnP] C:\Archivos de programa\Analog Devices\SoundMAX\SMax4PNP.exe

O4 - HKLM\..\Run: [SoundMAX] "C:\Archivos de programa\Analog Devices\SoundMAX\Smax4.exe" /tray

O4 - HKLM\..\Run: [nod32kui] "C:\Archivos de programa\Eset\nod32kui.exe" /WAITSERVICE

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [Babylon Client] C:\Archivos de programa\Babylon\Babylon-Pro\Babylon.exe -AutoStart

O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\QTTask.exe" -atboottime

O4 - HKLM\..\Run: [iTunesHelper] "C:\Archivos de programa\iTunes\iTunesHelper.exe"

O4 - HKLM\..\Run: [System Files Updater] C:\WINDOWS\FlyakiteOSX\Tools\System Files Updater.exe /S

O4 - HKLM\..\Run: [Acrobat Assistant 8.0] "C:\Archivos de programa\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe"

O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Archivos de programa\Java\jre1.6.0_05\bin\jusched.exe"

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [RK Launcher] C:\Archivos de programa\RK Launcher\RKLauncher.exe

O4 - Global Startup: Adobe Acrobat Speed Launcher.lnk = ?

O4 - Global Startup: Adobe Acrobat Synchronizer.lnk = C:\Archivos de programa\Adobe\Acrobat 8.0\Acrobat\AdobeCollabSync.exe

O4 - Global Startup: Launchy.lnk = C:\Archivos de programa\Launchy\Launchy.exe

O8 - Extra context menu item: &Download All with FlashGet - C:\Archivos de programa\FlashGet\jc_all.htm

O8 - Extra context menu item: &Download with FlashGet - C:\Archivos de programa\FlashGet\jc_link.htm

O8 - Extra context menu item: Append to existing PDF - res://C:\Archivos de programa\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html

O8 - Extra context menu item: Convert link target to Adobe PDF - res://C:\Archivos de programa\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html

O8 - Extra context menu item: Convert link target to existing PDF - res://C:\Archivos de programa\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html

O8 - Extra context menu item: Convert selected links to Adobe PDF - res://C:\Archivos de programa\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html

O8 - Extra context menu item: Convert selected links to existing PDF - res://C:\Archivos de programa\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html

O8 - Extra context menu item: Convert selection to Adobe PDF - res://C:\Archivos de programa\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html

O8 - Extra context menu item: Convert selection to existing PDF - res://C:\Archivos de programa\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html

O8 - Extra context menu item: Convert to Adobe PDF - res://C:\Archivos de programa\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://D:\PROGRA~1\MICROS~1\Office12\EXCEL.EXE/3000

O8 - Extra context menu item: Translate with &Babylon - res://C:\Archivos de programa\Babylon\Babylon-Pro\Utils\BabylonIEPI.dll/Translate.htm

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_05\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_05\bin\ssv.dll

O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\PROGRA~1\MICROS~1\Office12\REFIEBAR.DLL

O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\Archivos de programa\FlashGet\FlashGet.exe

O9 - Extra 'Tools' menuitem: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\Archivos de programa\FlashGet\FlashGet.exe

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O11 - Options group: [INTERNATIONAL] International*

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\WINDOW~3\MESSEN~1\MSGRAP~1.DLL

O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Help\hxds.dll

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\WINDOW~3\MESSEN~1\MSGRAP~1.DLL

O18 - Protocol: wlmailhtml - {03C514A3-1EFB-4856-9F99-10D7BE1653C0} - C:\Archivos de programa\Windows Live\Mail\mailcomm.dll

O18 - Filter hijack: text/xml - {807563E5-5146-11D5-A672-00B0D022E945} - C:\ARCHIV~1\ARCHIV~1\MICROS~1\OFFICE12\MSOXMLMF.DLL

O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll

O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Archivos de programa\Archivos comunes\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe

O23 - Service: CSIScanner - Unknown owner - C:\Archivos de programa\PrevxCSI\\PrevxCSI.exe" /service (file missing)

O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Archivos de programa\Archivos comunes\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe

O23 - Service: Servicio del iPod (iPod Service) - Apple Inc. - C:\Archivos de programa\iPod\bin\iPodService.exe

O23 - Service: MATLAB Server (matlabserver) - Unknown owner - C:\MATLAB7\webserver\bin\win32\matlabserver.exe

O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Archivos de programa\Eset\nod32krn.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Archivos de programa\Analog Devices\SoundMAX\SMAgent.exe

O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Archivos de programa\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe

[msc hotline sat]

Suponemos que ademas del AUTORUN.INF nos habrá enviado el que lanza, RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\ise32.exe



sino, hagalo, pues el AUTORUN.INF solo es un script que indica lo que lanzar, pero no contiene los que lanza, solo indica cuales.



saludos



ms, 4-4-2008

[msc hotline sat]

Como nos temíamos, no ha enviado el fichero [b][i]ise32.exe[/i][/b], el cual es imprescindible para poder analizar y controlar el malware.



Quedamos a la espera de recibirlo.



saludos



ms, 4-4-2008

[jc_kusanagi]

Bueno la cosa es que no encuentro esa ruta para poder enviarles el dichoso archivo ise32.exe, aunque ahora buscando en google veo que ya se han reportado mas casos pero todavía no hay como quitarselo xD



en fin, hoy volvi a analizar mi disco con Elistara la ultima versión y miren lo que me saco el NOD32, tambien ya ejecute el Spybot y borro algunos spywares pero los sintomas raros siguen, el Lavasoft no me deja instalarlo, dice que no tengo acceso a la ruta xD y un programa llamado Launchy a dejado de funcionar :cry: , si me pudieran decir como hago para encontrar esa ruta les puedo mandar el archivo para que lo analizen. Active la opción de ver archivos ocultos y del sistema pero no logro hallar esa ruta, en C no existe ninguna carpeta RECYCLERS.



[url=http://img260.imageshack.us/my.php?image=rutadelvirusise32hh4.jpg][img]http://img260.imageshack.us/img260/1486/rutadelvirusise32hh4.th.jpg[/img][/url]

[msc hotline sat]

Pues ya que te lo ofrece el NOD, marca la casilla "[b][i]Copy to Quarantine[/i][/b]" y una vez hecho, lo cojes de dicha carpeta y nos lo envias e implementaremos su control y eliminacion en la siguiente version del ELISTARA, como indicamos en:



[b]¿Como enviar las muestras a zonavirus? - Para ello recordar[/b]:

https://foros.zonavirus.com/viewtopic.php?f=5&t=14253



Pero si quieres saber como hacerlo normalmente, se puede arrancar en modo seguro con solo simbolo de sistema, y desde DOS con un



ATTRIB \RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\ise32.exe



verás los atributos que tiene, y si tiene H, R o S, eliminalos para poder acceder a él, verlo y copiarlo facilmente, con:



ATTRIB -H -R -S \RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\ise32.exe



una vez hecho esto, mueve el fichero en cuestion al directorio principal, donde te será accesible para adjuntarlo al mail, en el proximo reinicio en modo normal:



MOVE \RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\ise32.exe C:\



Tras ello, reinicias, nos lo envias y nosotros implementaremos su control y eliminacion desde la indicada carpeta del RECYCLER y con los atributos que tenga, aparte de buscar copias del mismo en todo el disco duro...



saludos



ms, 5-4-2008

[jc_kusanagi]

Pues eh hecho de las dos maneras, pero el NOD ya no detecta nada, y cuando entro en modo seguro con simbolo del sistema me dice que no existe esa ruta. Incluso busque en la unidad F (la memoria usb) pero igual no encuentra ni el directorio ni el archivo ise32.exe. Lo que me hace suponer ¿qué estoy frito? (bueno mi PC está frita xD)



[url=http://img395.imageshack.us/my.php?image=elistaraisejw8.jpg][img]http://img395.imageshack.us/img395/1715/elistaraisejw8.th.jpg[/img][/url]



la usb sigue igual diciendo que tiene un autorun que quiere abrir ese directorio, pero no mas no puedo hallar el ise32.exe y no puedo hacer escaneo en linea con karspersky porque no me deja, dice que no se puede ejecutar los controles activeX, le doy que permita pero no se puede :cry:



Alguna otra sugerencia?

[msc hotline sat]

Pues lamentablemente parece que algo ha eliminado el ISE32.EXE impidiendo asi su analisis y control especifico...



Pero si ya es tarde, vacunen con ELIPEN el ordenador y los pendrives para evitar la propagacion de virus de este tipo, y asi de paso evitará la deteccion de dicho AUTORUN.INF


[quote="para DESCARGAR el ELIPEN, msc"] http://www.zonavirus.com/descargas/elipen.asp



Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso [/quote]

saludos



ms, 8-04-2008

[joaquinmtz]

les he enviado el archivo ise32.exe al mail de zona virus ojala le encuentren alguna manera de removerlo definitivamente, saludos

[msc hotline sat]

Pues mañana mismo, cuando entremos de nuevo a trabajar en SATINFO, pasaremos a controlarlo con nuestras utilidades, de lo cual informaremos



Como que dicen que es un backdoor de IRC es probable que implementemos su control y eliminacion en el ELITRIIP, pero en funcion de lo que se vea cuando lo monitoricemos, se decidirá.



Lo que vemos en el informe de PREV al respecto es lo que a priori sabemos:



http://info.prevx.com/aboutprogramtext.asp?PX5=6E3D6C5E00F10E283690003A43F0E8005D8BCF75


[quote="PREV"]


ISE32.EXE



This executable program has a file size of 13,824 bytes, it is most frequently called ISE32.EXE and is most frequently located in the %recycler%\ folder.

This file is considered unsafe and is part of the malware group, Covert.Sys.Exec. It was first seen on Friday, Mar 28 2008. It has been seen frequently by 8 users in this section of the community. The file was first seen in CANADA but has been seen in other locations, including SPAIN.

ISE32.EXE has been seen to perform the following behaviors:

- The Process is packed and/or encrypted using a software packing process

- Writes to another Process's Virtual Memory (Process Hijacking)

- This Process Creates Other Processes On Disk

- Executes a Process

- Uses DNS to retrieve the IP address for web sites

- Connects with IRC chat rooms

ISE32.EXE has been the subject of the following behaviors:

- Executed as a Process

- Created as a process on disk

- Added as a Registry Key (DXCOM) to auto start Programs on system start up

- Has code inserted into its Virtual Memory space by other programs

- Copied to multiple locations on the system

- Deleted as a process from disk



© Prevx 2002 - 2008. All Rights Reserved[/quote]

saludos



ms, 10-04-2008

[msc hotline sat]

Pues sorpresa ! Con el actual ELISTARA 16.05 ya se controla esta variante, asi que pruebala y compruebalo.



Tras ello nos posteas el contenido de c:\infosat.txt



saludos



ms, 11-04-.2008

[elbull7]

Que tal,



Hace un par de dias comence a recibir mensajes cada vez q iniciaba mi pc de un ise32.exe, unos dias despues aparte de este mensaje aparecia otra ventana con un iuhx32.exe



Segui los pasos que indica claudia34 ya que pareciaron bastante claros; hice un scan en linea y en efecto detectó una carpeta infectada en c: recycle, pero aun habilitando la opcion de ver archivos ocultos no aparece esa carpeta en c:, y si me meto directo a la papelera esta vacia. Baje dos aplicaciones: "elistara" para eliminar ambos malware y "elipen" para porteger la pc de nuevos contagios. Ejecute el elistara en modo seguro y pude borrar el ise32.exe! :) pero el iuhx32 sigue apareciendo al inicar en modo normal, ya habilite la funcion para ver archivos oculto de nuevo y no aparece la tal carpeta recycler, tampoco parece haber nada oculto en la papelera para elimiarlos manualmente.



Honestamente no se mucho de esto, pero vi en review en linea del hijackthis y decian q era para expertos ya que si uno borra algun archivo importante puede estropear su pc así q preferi no descargarlo





Alguien sabe de alguna otra opcion para eliminarlo?

[Santiago Perez]

Hola, como estan, soy nuevo en este tema. Desde hace algunos dias, (aprox 5 dias), tengo el virus ise32, y por fortuna di con ustedes. Descargue el ELISTARA 16.07 y el ELINOTIF.DLL, como indica la pagina de descarga. Sin embargo ejecuto el ELISTARA y se completa la barra, pero luego de un rato me aparece ELISTARA Not Responding. Mi sistema operativo es windows vista, espero me puedan ayudar para eliminarlo. Voy a seguir intentando, gracias.

Santiago :?

[mikmatcr]

Ok, primero que todo en este foro no se le da soporte a Vista, pero eso mas adelante te lo aclarará "msc".



De mi parte te digo que cuando el Elistara se queda pegado asi es porque esta borrandote los temporales(eso creo yo, por lomenos es lo que a mi me ha pasado)



Entonces te vas a al "administrador de tareas" y matas el proceso"Elistara.exe". Seguramente al ser Vista te dara algún mensaje de que este programa no ha funcianado que si quieres cerrarlo o esperar a que funcione, pues dile que se cierre.



Seguidamente ejecuta nuevamente el Elistara pero cuando te pida que si quieres borrar los temporales dile que no y escanea todos los dicos que tengas. Cuando termine escanea nuevamente tu pc pero esta vez si deja que borre los temporales para evitar que quede algo inesperado.





"msc" se que no esta muy bien mi procedimiento pero esta fue la mejor forma que encontre para esto, pues a mi me ha pasado en varias pcs de la U.



Espero haber ayudado!!!

[msc hotline sat]

Para ELBULL7:



En este Tema no se habla para nada del [b][i]iuhx32 [/i][/b], asi que si tienes este fichero y sospechas de él, envianoslo para analizar:



[b]¿Como enviar las muestras a zonavirus? - Para ello recordar[/b]:

https://foros.zonavirus.com/viewtopic.php?f=5&t=14253



y mejor abre un Tema al respecto, pues este ya lo vamos a cerrar en cuanto nos conteste su autor , jc_kusanagi, de que ha soluciuonado el problema.



____________



Y para Santiago Perez, decirle que no damos soporte al VISTA, pero que pruebe arancar en modo seguro para correr el ELISTARA en dicho sistema, y dandole los privilegios requeridos...



y sobre los ficheros temporales, mejor eliminarlos antes desde el I.E., Herramientas -> Opciones de Internet -> eliminar ficheros temporales



saludos



ms, 13-04-2008





NOTA: Y por favor, no mezclar mas problemas a Temas abiertos, mejor abrir uno nuevo con el título apropiado que lo identifique. ms.

[elbull7]

msc,



una disculpa por mezclar los temas, en este momento abro uno nuevo

[msc hotline sat]

Bien "ELBULL7", y paralelamente espero que nos hayas enviado el fichero que te pediamos para analizar ...



Nos vemos en tu nuevo Tema



saludos



ms, 14-4-2008

[murillomiguel]

Hola! Yo tengo problemas con el ise32. El problema principal es que he intentado bajar el elistara para eliminar el virus y los enlaces que me enviaron no me sirven de mucho o mejor dicho no los se usar bien me podrían dar una explicación mas detallada como bajarlo, es que siempre que encuentro el elistara 16.07 en la zona de descargas me regresa a los enlaces donde esta los enlaces de características de los elistara anteriores como el 14. Ahora también tengo el problema de que tengo Windows vista.



Posdata. Una disculpa por enviar el problema por correo privado pero todavía no se usar bien el internet me cuesta un poco de trabajo. Espero no repetirlo gracias

[lucl]

Para murillomiguel, debes abrir un tema nuevo no se permite postear en el de otro forero. Y como dice msc prueba elistara arrancando en modo seguro con el pc en modo administrador. Para descargarlo baja la pagina del todo y al final encontraras el link de descarga. Primero ves las versiones anteriores pero al final de la pagina esta un cuadrado donde lo bajas. Y recuerda que no damos soporte al vista pero aun asi cuando consigas pasar elistara nos pegas en el post nuevo que abras para ti , el resultado que te habra dejado en C infosat.txt . Saludos

[jc_kusanagi]

Hola que tal, pues ya pude eliminar el ise32.exe de mi sistema y de mi memoria usb con la ultima versión del Elistara, gracias por la ayuda :wink:

[msc hotline sat]

Pues lo celebramos, y dando el Tema por solucionado, procedemos a cerrarlo



Si nos necesita de nuevo, ya sabe donde estamos



saludos



ms, 15-04-2008