El ElistarA me ha dado varios falsos positivos (o al menos eso creo yo):
Tue Dec 26 15:57:21 2006
EliStartPage v12.96 (c)2006 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Exploración):
C:\Archivos de programa\Programes\Internet\Download Manager\UNINST.EXE --> AutoExtraible
C:\Archivos de programa\Programes\Internet\WellGet\UNINSTALL.EXE --> AutoExtraible
C:\Archivos de programa\Programes\Utils\Unlocker\UNINST.EXE --> AutoExtraible
C:\WINNT\system32\SYSTOOLS.DLL --> Eliminado, BackDoor-CGZ
Tue Dec 26 16:08:43 2006
EliTriIP v2.93 (c)2006 S.G.H. / Satinfo S.L.
---------------------------------------------
Lista de Acciones (por Exploración):
D:\Users\crl\Mis documentos\Varis\Programes\Internet\Missatgeria,correu,etc\MSN Mesenger\Install_MSN_Messenger 7.5.EXE --> Eliminado, Bifrose (dropper)
D:\Users\crl\Mis documentos\Varis\Jocs\Saga Total War\Rome\Mods\RomeTotalRealism v6.0\RomeTotalRealism 6.0 Gold.exe --> Eliminado, Bifrose (dropper)
D:\Users\crl\Mis documentos\Varis\Jocs\Saga Total War\Rome\Mods\RomeTotalRealism v6.0\RomeTotalRealism v6.2 Music Addon.exe --> Eliminado, Bifrose (dropper)
---------------------------------------------------------
Éste: C:\WINNT\system32\SYSTOOLS.DLL --> Eliminado, BackDoor-CGZ, es un archivo del panda internet security 2007, aunque la version del panda del año 2006 no da positivo.
Éste: D:\Users\crl\Mis documentos\Varis\Programes\Internet\Missatgeria,correu,etc\MSN Mesenger\Install_MSN_Messenger 7.5.EXE --> Eliminado, Bifrose (dropper), era la versión bajada de la web del msn mesenger oficial
Los dos restantes són mods de un juego y no creo que sean peligrosos.
También me da dos positivos (PurityScan dldr) en dos desinstaladores (UNWISE.EXE) de dos juegos aunque no queda reflejado en el archivo de informe.
--------------------------------------------------------
Por último, un par de mejoras para ElistarA:
->Que pida al usuario si quiere que se le cambien las configuraciones de las Opciones de Internet (Seguridad y Privacidad).
->Un botón para pausar o detener el analisis en curso.
ElistarA
-
msc hotline sat
- Mensajes: 93500
- Registrado: 09 Mar 2004, 20:39
- Ubicación: BARCELONA (ESPAÑA)
- Contactar:
El UNWISE ya ha sido indicado en el foro y la actual version solo pide muestra, no elimina, ya que se vio la coinciodencia de cadenas con las del purityscan. En la que estamos haciendo hoy, gracias a las muestras recibidas, ya se excluiran.
Y de los otros, envianos muestra indicando que son falsos positivos y buscaremos otra cadena que , estando en los ficheros bviricos., no esten en las muestras que nos envien, si no estan infectadas
Y gracias por tus otras sugerencias, se sugeriran al departamento de programacion
saludos
ms, 27-12-2006
Y de los otros, envianos muestra indicando que son falsos positivos y buscaremos otra cadena que , estando en los ficheros bviricos., no esten en las muestras que nos envien, si no estan infectadas
Y gracias por tus otras sugerencias, se sugeriran al departamento de programacion
saludos
ms, 27-12-2006
msc hotline sat Virus Research Engineer Antes de preguntar - Normas Basicas - Mensajes Privados - Repetir Temas - Continuar Temas - Titulos del Tema - Antivirus Online
Lo de los UNWISE.EXE lo dije para confirmar solamente.
Ahora estoy volviendo a bajar los archivos eliminados y comprobando si vuelven a dar positivo, y por ahora el mesenger ya no lo detecta, y los otros dos queda por ver, aunque será imposible enviarlos ya que ocupan 162 y 128 MB cada uno. Lo unico que puedo hacer es pasar el vinculo de la web desde donde los bajo.
Si me vuelve a detectar los mods lo diré.
El archivo del panda es el único enviado por ahora.
Ahora estoy volviendo a bajar los archivos eliminados y comprobando si vuelven a dar positivo, y por ahora el mesenger ya no lo detecta, y los otros dos queda por ver, aunque será imposible enviarlos ya que ocupan 162 y 128 MB cada uno. Lo unico que puedo hacer es pasar el vinculo de la web desde donde los bajo.
Si me vuelve a detectar los mods lo diré.
El archivo del panda es el único enviado por ahora.
-
msc hotline sat
- Mensajes: 93500
- Registrado: 09 Mar 2004, 20:39
- Ubicación: BARCELONA (ESPAÑA)
- Contactar:
Recibido, trabajamos en ello a ver si hoy mismo lo podemos implementar.
saludos
ms, 27-12-2006
saludos
ms, 27-12-2006
msc hotline sat Virus Research Engineer Antes de preguntar - Normas Basicas - Mensajes Privados - Repetir Temas - Continuar Temas - Titulos del Tema - Antivirus Online
Que desastre! Me habia dejado de pasar el elitrip que era el que detectaba los mods i el mesenger.
Ya he comprobado los dos mods y el mesenger y me los detecta todos otra vez.
Y ahora, para rematar la faena, me he encontrado con otro pastelito (Detectada Posible Infección del Spam-MailBot).....
Wed Dec 27 17:42:57 2006
EliStartPage v12.96 (c)2006 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Exploración):
E:\Archivos de programa\Programes\Internet\WellGet\UNINSTALL.EXE --> AutoExtraible
E:\Archivos de programa\Programes\Utils\Unlocker\UNINST.EXE --> AutoExtraible
Detectada Posible Infección del Spam-MailBot.
Wed Dec 27 17:54:45 2006
EliStartPage v12.96 (c)2006 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Exploración):
E:\Archivos de programa\Programes\Internet\WellGet\UNINSTALL.EXE --> AutoExtraible
E:\Archivos de programa\Programes\Utils\Unlocker\UNINST.EXE --> AutoExtraible
Wed Dec 27 18:07:12 2006
EliStartPage v12.96 (c)2006 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Exploración):
C:\Archivos de programa\Programes\Internet\Download Manager\UNINST.EXE --> AutoExtraible
C:\Archivos de programa\Programes\Internet\WellGet\UNINSTALL.EXE --> AutoExtraible
C:\Archivos de programa\Programes\Utils\Unlocker\UNINST.EXE --> AutoExtraible
Wed Dec 27 22:38:00 2006
EliTriIP v2.93 (c)2006 S.G.H. / Satinfo S.L.
---------------------------------------------
Lista de Acciones (por Exploración):
D:\Users\crl\Mis documentos\Varis\Programes\Internet\Missatgeria,correu,etc\MSN Mesenger\MSN Messenger v7.5 [ESP] (WinXP).EXE --> Infectado, Bifrose (dropper)
D:\Users\crl\Mis documentos\Varis\Jocs\Saga Total War\Rome\Mods\RomeTotalRealism v6.0\RomeTotalRealism v6.0 Gold.exe --> Infectado, Bifrose (dropper)
D:\Users\crl\Mis documentos\Varis\Jocs\Saga Total War\Rome\Mods\RomeTotalRealism v6.0\RomeTotalRealism v6.2 Music Addon.exe --> Infectado, Bifrose (dropper)
Lo del Spam-MailBot es una falsa alarma que viene dada por culpa del escudo del spyware terminator. Lo he comprobado tropocientas veces antes de decirlo y lo puedo asegurar, ya que he pasado el elistarA en modo a prueba de fallos y no me detecta nada (ni tampoco da el aviso), en modo normal, con y sin el spyware terminator residente y con él me ha dado la alarma y sin él no.
Ya he comprobado los dos mods y el mesenger y me los detecta todos otra vez.
Y ahora, para rematar la faena, me he encontrado con otro pastelito (Detectada Posible Infección del Spam-MailBot).....
Wed Dec 27 17:42:57 2006
EliStartPage v12.96 (c)2006 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Exploración):
E:\Archivos de programa\Programes\Internet\WellGet\UNINSTALL.EXE --> AutoExtraible
E:\Archivos de programa\Programes\Utils\Unlocker\UNINST.EXE --> AutoExtraible
Detectada Posible Infección del Spam-MailBot.
Wed Dec 27 17:54:45 2006
EliStartPage v12.96 (c)2006 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Exploración):
E:\Archivos de programa\Programes\Internet\WellGet\UNINSTALL.EXE --> AutoExtraible
E:\Archivos de programa\Programes\Utils\Unlocker\UNINST.EXE --> AutoExtraible
Wed Dec 27 18:07:12 2006
EliStartPage v12.96 (c)2006 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Exploración):
C:\Archivos de programa\Programes\Internet\Download Manager\UNINST.EXE --> AutoExtraible
C:\Archivos de programa\Programes\Internet\WellGet\UNINSTALL.EXE --> AutoExtraible
C:\Archivos de programa\Programes\Utils\Unlocker\UNINST.EXE --> AutoExtraible
Wed Dec 27 22:38:00 2006
EliTriIP v2.93 (c)2006 S.G.H. / Satinfo S.L.
---------------------------------------------
Lista de Acciones (por Exploración):
D:\Users\crl\Mis documentos\Varis\Programes\Internet\Missatgeria,correu,etc\MSN Mesenger\MSN Messenger v7.5 [ESP] (WinXP).EXE --> Infectado, Bifrose (dropper)
D:\Users\crl\Mis documentos\Varis\Jocs\Saga Total War\Rome\Mods\RomeTotalRealism v6.0\RomeTotalRealism v6.0 Gold.exe --> Infectado, Bifrose (dropper)
D:\Users\crl\Mis documentos\Varis\Jocs\Saga Total War\Rome\Mods\RomeTotalRealism v6.0\RomeTotalRealism v6.2 Music Addon.exe --> Infectado, Bifrose (dropper)
Lo del Spam-MailBot es una falsa alarma que viene dada por culpa del escudo del spyware terminator. Lo he comprobado tropocientas veces antes de decirlo y lo puedo asegurar, ya que he pasado el elistarA en modo a prueba de fallos y no me detecta nada (ni tampoco da el aviso), en modo normal, con y sin el spyware terminator residente y con él me ha dado la alarma y sin él no.
Como último apunte, con la versión última del elitrip:
Wed Dec 27 23:45:08 2006
EliTriIP v2.94 (c)2006 S.G.H. / Satinfo S.L.
---------------------------------------------
Lista de Acciones (por Exploración):
D:\Users\crl\Mis documentos\Varis\Programes\Internet\Missatgeria,correu,etc\MSN Mesenger\MSN Messenger v7.5 [ESP] (WinXP).EXE --> Infectado, Bifrose (dropper2)
D:\Users\crl\Mis documentos\Varis\Programes\Manteniment&Seguretat\Antimalware\Spyware Terminator v1.7.0.899 [ESP] (Allwin).exe --> Infectado, HideExec
D:\Users\crl\Mis documentos\Varis\Jocs\Saga Total War\Rome\Mods\RomeTotalRealism v6.0\RomeTotalRealism v6.0 Gold.exe --> Infectado, Bifrose (dropper1)
D:\Users\crl\Mis documentos\Varis\Jocs\Saga Total War\Rome\Mods\RomeTotalRealism v6.0\RomeTotalRealism v6.2 Music Addon.exe --> Infectado, Bifrose (dropper1)
El vinculo del mod es:
[url]http://www.rometotalrealism.org/download.html[/url]
El mesenger ya lo he enviado.
Para comprobar si el spyware terminator daba la falsa alarma, he bajado el archivo de instalacion y tambien lo detecta com se puede apreciar en el informe.
Wed Dec 27 23:45:08 2006
EliTriIP v2.94 (c)2006 S.G.H. / Satinfo S.L.
---------------------------------------------
Lista de Acciones (por Exploración):
D:\Users\crl\Mis documentos\Varis\Programes\Internet\Missatgeria,correu,etc\MSN Mesenger\MSN Messenger v7.5 [ESP] (WinXP).EXE --> Infectado, Bifrose (dropper2)
D:\Users\crl\Mis documentos\Varis\Programes\Manteniment&Seguretat\Antimalware\Spyware Terminator v1.7.0.899 [ESP] (Allwin).exe --> Infectado, HideExec
D:\Users\crl\Mis documentos\Varis\Jocs\Saga Total War\Rome\Mods\RomeTotalRealism v6.0\RomeTotalRealism v6.0 Gold.exe --> Infectado, Bifrose (dropper1)
D:\Users\crl\Mis documentos\Varis\Jocs\Saga Total War\Rome\Mods\RomeTotalRealism v6.0\RomeTotalRealism v6.2 Music Addon.exe --> Infectado, Bifrose (dropper1)
El vinculo del mod es:
El mesenger ya lo he enviado.
Para comprobar si el spyware terminator daba la falsa alarma, he bajado el archivo de instalacion y tambien lo detecta com se puede apreciar en el informe.
-
msc hotline sat
- Mensajes: 93500
- Registrado: 09 Mar 2004, 20:39
- Ubicación: BARCELONA (ESPAÑA)
- Contactar:
Pues envianos el EXE que dices tiene un falso positivo en las dos utilidades y recisaremos la cadena de deteccion, gracias
En el envio indica "falso pistivo en el ELISTARA y ELITRIIP", gracias
saludos
ms 28-12-2006
En el envio indica "falso pistivo en el ELISTARA y ELITRIIP", gracias
saludos
ms 28-12-2006
msc hotline sat Virus Research Engineer Antes de preguntar - Normas Basicas - Mensajes Privados - Repetir Temas - Continuar Temas - Titulos del Tema - Antivirus Online
-
msc hotline sat
- Mensajes: 93500
- Registrado: 09 Mar 2004, 20:39
- Ubicación: BARCELONA (ESPAÑA)
- Contactar:
Procederemos a cambiar la cadena para que no coincida con la de esta utiliddad, gracias
saludos
ms, 28-12-2006
saludos
ms, 28-12-2006
msc hotline sat Virus Research Engineer Antes de preguntar - Normas Basicas - Mensajes Privados - Repetir Temas - Continuar Temas - Titulos del Tema - Antivirus Online
He probado las dos versiones nuevas y ahora ya solo queda el mod y lo del spam-mailbot.
Thu Dec 28 19:34:52 2006
EliTriIP v2.95 (c)2006 S.G.H. / Satinfo S.L.
---------------------------------------------
Lista de Acciones (por Exploración):
D:\Users\crl\Mis documentos\Varis\Jocs\Saga Total War\Rome\Mods\RomeTotalRealism v6.0\RomeTotalRealism v6.0 Gold.exe --> Infectado, Bifrose (dropper)
D:\Users\crl\Mis documentos\varis\Jocs\Saga Total War\Rome\Mods\RomeTotalRealism v6.0\RomeTotalRealism v6.2 Music Addon.exe --> Infectado, Bifrose (dropper)
Thu Dec 28 19:36:27 2006
EliStartPage v12.98 (c)2006 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Exploración):
E:\Archivos de programa\Programes\Internet\WellGet\UNINSTALL.EXE --> AutoExtraible
E:\Archivos de programa\Programes\Utils\Unlocker\UNINST.EXE --> AutoExtraible
Detectada Posible Infección del Spam-MailBot.
Thu Dec 28 19:34:52 2006
EliTriIP v2.95 (c)2006 S.G.H. / Satinfo S.L.
---------------------------------------------
Lista de Acciones (por Exploración):
D:\Users\crl\Mis documentos\Varis\Jocs\Saga Total War\Rome\Mods\RomeTotalRealism v6.0\RomeTotalRealism v6.0 Gold.exe --> Infectado, Bifrose (dropper)
D:\Users\crl\Mis documentos\varis\Jocs\Saga Total War\Rome\Mods\RomeTotalRealism v6.0\RomeTotalRealism v6.2 Music Addon.exe --> Infectado, Bifrose (dropper)
Thu Dec 28 19:36:27 2006
EliStartPage v12.98 (c)2006 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Exploración):
E:\Archivos de programa\Programes\Internet\WellGet\UNINSTALL.EXE --> AutoExtraible
E:\Archivos de programa\Programes\Utils\Unlocker\UNINST.EXE --> AutoExtraible
Detectada Posible Infección del Spam-MailBot.