Consulta sobre ElistarA

Lestat · Mensaje por **Lestat** » 20 Dic 2006, 05:54

Queria preguntaros si es normal que el programa elimine los ~~[b]~~UNWISE.EXE[/b], cuando son parte legal de los programas, ejemplo:

Mon Dec 18 16:41:59 2006

EliStartPage v12.91 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

C:\Archivos de programa\Copernic Agent\UNWISE.EXE --> Eliminado, PurityScan(dldr)

C:\Archivos de programa\Yahoo!\Messenger\UNWISE.EXE --> Eliminado, PurityScan(dldr)

C:\Archivos de programa\TVAnts\UNWISE.EXE --> Eliminado, PurityScan(dldr)

Un Saludo y gracias

Mensaje por **msc hotline sat** » 20 Dic 2006, 06:24

Por el mombre no se puede saber, a ciencia cierta, el contenido de un programa. Muchos malwares se ocultan bajo nombres de aplicaciones conocidas para pasar desapercibidos...

Envienos muestra de este fichero contandonos lo indicado y lo analizaremos, y si fuera un falso positivo por coincidencia de cadenas, escogeriamos otra cadena.

Recuerde: https://foros.zonavirus.com/viewtopic.php?f=2&t=45334

saludos

ms, 20-12-2006

Lestat · Mensaje por **Lestat** » 20 Dic 2006, 09:18

[quote]Envienos muestra de este fichero contandonos lo indicado y lo analizaremos, y si fuera un falso positivo por coincidencia de cadenas, escogeriamos otra cadena. [/quote]

Me temo que eso es imposible, me explico:

Yo me dedico analizar log de hijackthis en otras webs y recomendamos la descarga del ElistarA de vuestra web, muchisimas veces. Me encanta la aplicacion y sobre todo que se actualice de forma casi diaria. Siempre me fijo en los reports con suma atencion (Por si pidiera el Elinotif.dll o no eliminara algo) y me he dado de cuenta que la aplicacion elimina siempre todos los ~~[b]~~UNWISE.EXE[/b] que localiza, indiscriminadamente.

Lo maximo que puedo hacer es pegar reports de otra gente:

C:\Archivos de programa\Accoona\UNWISE.EXE --> Eliminado, PurityScan(dldr)

C:\Archivos de programa\tvants\UNWISE.EXE --> Eliminado, PurityScan(dldr)

C:\Archivos de programa\Steam\UNWISE.EXE --> Eliminado, PurityScan(dldr)

C:\Archivos de programa\Call of Duty\Uninstall\UNWISE.EXE --> Infectado, PurityScan(dldr)

C:\Archivos de programa\AjedrezNet\UNWISE.EXE --> Eliminado, PurityScan(dldr)

C:\Archivos de programa\Yahoo!\Messenger\UNWISE.EXE --> Eliminado, PurityScan(dldr)

Y asi una larga lista, daros de cuenta que lo que elimina son los ~~[b]~~Desinstaladores[/b] y que los usuarios no lo notan ya que la aplicacion no deja de funcionar, pero cuando la quieran desinstalar, va a ser distinto.

Un Saludo

Mensaje por **msc hotline sat** » 20 Dic 2006, 12:06

Pues parece una coincidencia de cadenas de los desimstaladores con el PurityScan(dldr) , pero debido a que son dos las cadenas de identificacion, necesitariamos ybo de estpos UNWISE para ver cual de las dos coincide.

Si nos puede enviar uno cualquiera, cambiaremos en la proximaversion de la cadena coincidente por otra, esperando que con ello deje de eliminar UNWISES...

saludos

ms, 20-12-2006

Lestat · Mensaje por **Lestat** » 21 Dic 2006, 15:41

[quote]Si nos puede enviar uno cualquiera, cambiaremos en la proximaversion de la cadena coincidente por otra[/quote]

En cuanto pueda os enviare una, o conseguire que quien la tenag os la envie.

Un Saludo

PD: Gran trabajo, seguir asi.

Mensaje por **msc hotline sat** » 21 Dic 2006, 16:15

Esta mañana hemos probado con 5 UNWISE que hemos encontrado en nuestros ordenadores, y ninguna era detectada por el ELISTARA

Por lo que hemos indagado, es el desinstalador de las aplicaciones instaladas con el WISE, pero debe depender de la version instalada que coincida la cadema o no

Tan pronto como recibamos muestra, cambiaremos las cadenas de deteccion en este caso son 2)

saludos

ms, 21-12-2006

Mensaje por **flacoroo** » 21 Dic 2006, 20:34

Pues recalcando con MSC ejecute el Elistara y puse atencion a lo que hacia y no me elimino el UNWISE.EXE en ningun programa... y desinstale algunos programas sin ningun problema...

saludos....

Lestat · Mensaje por **Lestat** » 22 Dic 2006, 08:28

A mi tampoco me los elimina, peor creo que es, porque solo tengo ~~[b]~~UNINSTALL.EXE [/b]y ~~[b]~~UNINST.EXE[/b].

Estoy a la espera para que os envien varios ficheros, con el supuesto "bug"

Un Saludo

Lestat · Mensaje por **Lestat** » 23 Dic 2006, 12:08

No estaba seguro como enviaros la muestra, os dejo aqui una con un Unwise.exe y el log del ElistarA

[url=http://www.aliciaybios36.com/informe.zip]~~[b]~~Muestra[/b][/url]

Un Saludo

Mensaje por **msc hotline sat** » 23 Dic 2006, 12:48

Mientras no tenemos ninguna muestra al respecto, la version actual, si detecta el purityscan en un UNWISE, en lugar de eliminarlo pedirá muestra del mismo para poder analizarlo y poder saber la cadena a cambiar.

saludos

ms, 23-12-2006

Lestat · Mensaje por **Lestat** » 23 Dic 2006, 13:08

[quote="msc hotline sat"]Mientras no tenemos ninguna muestra al respecto, la version actual, si detecta el purityscan en un UNWISE, en lugar de eliminarlo pedirá muestra del mismo para poder analizarlo y poder saber la cadena a cambiar.

saludos

ms, 23-12-2006[/quote]

OK, entonces lo dejamos asi, NO?

Un Saludo

ATT:Lestat

Mensaje por **msc hotline sat** » 23 Dic 2006, 20:13

Si tantas incidencias tenias, pronto podras enviarnos muestra y con ellas procederemos.

Pero de momento ya no seran eliminadas

Gracias por el aviso

saludos

ms, 23-12-2006