EliStarA: ¿Eliminación de antivirus?

[ivanovic77]

Saludos. Me acabo de pasar el EliStarA y según el archivo de texto guardado con la lista de acciones, parece que ha eliminado archivos legítimos de mi antivirus AVG. Pego aquí la lista:





Wed Sep 06 23:46:35 2006

EliStartPage v12.29 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\SYSTEM32\INISTONE.INI --> Eliminado (Fichero Complementario).

C:\Documents and Settings\Win XP\Datos de programa\Install.dat --> Eliminado (Fichero Complementario).

Linea Eliminada del HOSTS --> 127.0.0.1 sds-qckads.com

Linea Eliminada del HOSTS --> 127.0.0.1 status.qckads.com

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.qoolaid.com

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.qoologic.com

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.CLKPrecision.com

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.urllogic.com

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.clkoptimizer.com

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.isearch.com

Linea Eliminada del HOSTS --> 127.0.0.1 isearch.com

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.idownload.com

Linea Eliminada del HOSTS --> 127.0.0.1 idownload.com

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.mytotalsearch.com

Linea Eliminada del HOSTS --> 127.0.0.1 mytotalsearch.com

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.lop.com

Linea Eliminada del HOSTS --> 127.0.0.1 lop.com

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.page-not-found.net

Linea Eliminada del HOSTS --> 127.0.0.1 page-not-found.net

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.isearchhere.com

Linea Eliminada del HOSTS --> 127.0.0.1 isearchhere.com

Linea Eliminada del HOSTS --> 127.0.0.1 as.adwave.com

Linea Eliminada del HOSTS --> 127.0.0.1 sr.adwave.com

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.adwave.com

Linea Eliminada del HOSTS --> 127.0.0.1 adwave.com EVENT:HOST:127.0.0.1

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.pacimedia.com

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.exactsearch.net

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.contextplus.net

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.contextplus.net

Eliminada Carpeta "%Archivos Comunes%\WinSoftware"

Eliminada Carpeta "\Program Files\Internet Optimizer"

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Sat Sep 09 11:22:02 2006

EliStartPage v12.29 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminados Ficheros Temporales del IE



Sat Sep 09 11:24:19 2006

EliStartPage v12.29 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

C:\Archivos de programa\Grisoft\AVG Free\AVGUPD(4).DLL --> Eliminado, Puper (BHO)

C:\Archivos de programa\Grisoft\AVG Free\AVGXCH32.DLL --> Eliminado, Puper (BHO)

C:\Archivos de programa\PhotoFiltre\UNINST.EXE --> AutoExtraible

C:\Archivos de programa\Winamp\UNINSTWA.EXE --> AutoExtraible

C:\Documents and Settings\All Users\Datos de programa\Kaspersky Anti-Virus Personal\5.0\Bases\Patches\PATCH_PERS_5.0.388_390_TO_5.0.391.EXE --> AutoExtraible

C:\Documents and Settings\Win XP\Mis documentos\Macros AO\PESCATALAMINA.EXE --> Eliminado, KeyLogger.FL

C:\kav\personal\english\KAV5.0.388_PERSONALEN.EXE --> AutoExtraible





Se ve en esta última lista de acciones (por exploración), que los dos primeros archivos eliminados están en la carpeta del antivirus AVG Free, y que han sido identificados como el troyano Puper (BHO). No sé si es un error del EliStarA o si realmente tenía troyanos alojados en la misma carpeta del antivirus. ¿Alguna idea de lo que ha pasado?



Gracias.

[msc hotline sat]

Lo que bien le ha ido es la deteccion y eliminacion de este keylogger:



C:\Documents and Settings\Win XP\Mis documentos\Macros AO\PESCATALAMINA.EXE --> Eliminado, KeyLogger.FL



y en estas DLL del AVG gratuito, se detectan rutinas del PUPER, conocido downloader muy en boga con continuas nuevas variantes.



Si es un falso positivo, lo veremos en otros Temas y eliminaremos la deteccion en proximas versiones



Si quiere puede reinstalar el AVG y enviarnos estos ficheros para analizarlos y saldremos de dudas:







Todas las muestras que pedimos al respecto, nos las puede enviar a zonavirus@satinfo.es anexadas a un mail en cuyo texto indique como referencia "REF <nick que usa en el foro>" y asi podremos informarle si hay alguna incidencia sobre el particular, gracias.





Tras recibirlas, las analizaremos y mejoraremos nuestras utilidades, de lo cual informaremos en el foro, como siempre.



Por cierto, ha usado una version obsoleta del ELISTARA: CVuabndi se vata a uysarm descargar siempre la ultima version pues se actualiza a diario !!! Ya estamos en la 12.31 y

usa la 12.29 que debe eliminar. (aparte dejará de funcionar ya la semana que viene...



saludos



ms. 9-9-2006

[ivanovic77]

De acuerdo, muchas gracias. Voy a reinstalar el antivirus AVG Free y les enviaré una muestra de los dos archivos eliminados. En relación al supuesto keylogger:



C:\Documents and Settings\Win XP\Mis documentos\Macros AO\PESCATALAMINA.EXE --> Eliminado, KeyLogger.FL



En realidad, era un macro para un juego MMORPG llamado Argentum online. Este programa repetía combinaciones de teclas de manera automática, para que el personaje pescase o talase más deprisa sin tener que estar pulsando las teclas manualmente. Es posible que tenga rutinas parecidas a las de un Keylogger y que el EliStarA haya optado por liquidarlo. Pero estoy seguro (casi al cien por cien) de que dicho programa no registraba información introducida por teclado. Lástima que ahora no recuerde de dónde me lo descargué, de modo que no podré enviar ninguna muestra.



Reinstalo el AVG Free y les envío muestra de los dos archivos mencionados arriba.



Gracias :)

[msc hotline sat]

Y mejor no usar el jueguecito, por si las moscas :lol: :lol: :lol:



y cuando recibamos las muestras, obraremos en consecuencia



saludos



ms, 10-9-2006

[ivanovic77]

Ya están enviados los archivos AVGUPD.DLL. Después de reinstalar el antivirus AVG Free, no hay rastro del archivo AVGXCH32.DLL. Es posible que sea un archivo que se crea después de utilizarse algunas aplicaciones del antivirus y que no aparezca hasta dentro de unos días.



Gracias.

[msc hotline sat]

Entonces pueden ser plugins sin mas importancia...



http://free.grisoft.com/doc/FAQ+6.11/lng/us/tpl/v5



pero los analizaremos ...



(será el martes, que mañana es fiesta aqui.)- aunque ya lo sabes, porque mirando desde donde sales a internet, veo que hoy he pasado cerca, camino de Pons...



saludos



ms, 10-9-2006

[msc hotline sat]

Recibidas las muestras, se corrigen las falsas detecciones en la proxima version 12.32 del ELISTARA de hoy



saludos



ms, 12-9-2006

[msc hotline sat]

De hecho ya no con la 12.31 actual ya no se eliminan, asi que puede descargar la actual y probarla



Es que estaba usando la 12.29 ... y debe usarse siempre la última, y por eso, para evitar usar versiones ya superadas, las anteriores caducan cuando hay nuevas.

[msc hotline sat]

De hecho ya no con la 12.31 actual ya no se eliminan, asi que puede descargar la actual y probarla



Es que estaba usando la 12.29 ... y debe usarse siempre la última, y por eso, para evitar usar versiones ya superadas, las anteriores caducan cuando hay nuevas.



Esta 12.29 hoy ya no funcionará ...



saludos



ms, 12-9-2006

[msc hotline sat]

Resulta que los que ha enviado nop son los que se elimaron con el ELISTARA



Aquellos eran:



Lista de Acciones (por Exploración):

C:\Archivos de programa\Grisoft\AVG Free\AVGUPD(4).DLL --> Eliminado, Puper



(BHO)

C:\Archivos de programa\Grisoft\AVG Free\AVGXCH32.DLL



y los que nos envian son otros que ya no se detectaban ! claro... :lol:



Revise lo que nos ha enviado y comparelo con los que se eliminaban... y env¡enos de nuevo los ficheros pedidos, gracias



saludos



ms, 12-9-2006

[msc hotline sat]

Disponible la nueva versión del ELISTARA

saludos
ms, 12-9-2006