System Alert --> Ayuda! (SOLUCIONADO)

JRM · Mensaje por **JRM** » 22 Ene 2007, 12:23

Ante todo pedir disculpas por colocar mi anterior mensaje donde no debía:
viewtopic.php?f=5&t=15990

Pero muchas gracias por contestar.
Aquí mando el log del Elistara:

Código: Seleccionar todo

	  Mon Jan 22 10:59:11 2007
EliStartPage v13.14  (c)2007 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Acción Directa):
Por favor, envienos una muestra del fichero
C:\Muestras\NBBRHBD.DLL.Muestra EliStartPage v13.14
 a "virus@satinfo.es".  Gracias.
C:\WINDOWS\SYSTEM32\NBBRHBD.DLL -->  Renombrado a .VIR
Por favor, envienos una muestra del fichero
C:\Muestras\PMSNGR.EXE.Muestra EliStartPage v13.14
 a "virus@satinfo.es".  Gracias.
C:\ARCHIVOS DE PROGRAMA\VIDEO ACTIVEX OBJECT\PMSNGR.EXE --> Eliminado 
Por favor, envienos una muestra del fichero
C:\Muestras\ISAMONITOR.EXE.Muestra EliStartPage v13.14
 a "virus@satinfo.es".  Gracias.
C:\ARCHIVOS DE PROGRAMA\VIDEO ACTIVEX OBJECT\ISAMONITOR.EXE -->  Renombrado a .VIR
Por favor, envienos una muestra del fichero
C:\Muestras\ISADDON.DLL.Muestra EliStartPage v13.14
 a "virus@satinfo.es".  Gracias.
C:\ARCHIVOS DE PROGRAMA\VIDEO ACTIVEX OBJECT\ISADDON.DLL -->  Acceso Denegado.
Por favor, envienos una muestra del fichero
C:\Muestras\ISAMINI.EXE.Muestra EliStartPage v13.14
 a "virus@satinfo.es".  Gracias.
C:\ARCHIVOS DE PROGRAMA\VIDEO ACTIVEX OBJECT\ISAMINI.EXE -->  Renombrado a .VIR
Por favor, envienos una muestra del fichero
C:\Muestras\IESPLUGIN.DLL.Muestra EliStartPage v13.14
 a "virus@satinfo.es".  Gracias.
C:\ARCHIVOS DE PROGRAMA\VIDEO ACTIVEX OBJECT\IESPLUGIN.DLL --> Eliminado 
Por favor, envienos una muestra del fichero
C:\Muestras\ISADDON.DLL.Muestra EliStartPage v13.14
 a "virus@satinfo.es".  Gracias.
C:\ARCHIVOS DE PROGRAMA\VIDEO ACTIVEX OBJECT\ISADDON.DLL -->  Acceso Denegado.
Entrada Eliminada [HKLM\...\Run] "AlcxMonitor"="ALCXMNTR.EXE"
Eliminada Class, "{67982BB7-0F95-44C5-92DC-E3AF3DC19D6D}" -> C:\Archivos de programa\Video ActiveX Object\isaddon.dll
Eliminada Class, "{FA19BD7E-50BC-4203-80AC-C4EDC81CA9A3}" -> C:\WINDOWS\system32\nbbrhbd.dll
Eliminada Carpeta "%WinSys%\Service"
ALERTA. WindowsUpdate Incompleto.
Eliminadas las Paginas de Inicio y de Busqueda del IE
Eliminados Ficheros Temporales del IE

	  Mon Jan 22 11:11:56 2007
EliStartPage v13.14  (c)2007 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Acción Directa):
C:\Archivos de programa\Video Activex Object\ISAMONITOR.EXE.VIR --> Eliminado.
Por favor, envienos una muestra del fichero
C:\Muestras\ISADDON.DLL.Muestra EliStartPage v13.14
 a "virus@satinfo.es".  Gracias.
C:\ARCHIVOS DE PROGRAMA\VIDEO ACTIVEX OBJECT\ISADDON.DLL --> Eliminado 
C:\Archivos de programa\Video Activex Object\ISAMINI.EXE.VIR --> Eliminado.
Eliminada Class, "{67982BB7-0F95-44C5-92DC-E3AF3DC19D6D}" -> C:\Archivos de programa\Video ActiveX Object\isaddon.dll
ALERTA. WindowsUpdate Incompleto.
Eliminadas las Paginas de Inicio y de Busqueda del IE
Eliminados Ficheros Temporales del IE

	  Mon Jan 22 11:14:14 2007
EliStartPage v13.14  (c)2007 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Exploración):
C:\Archivos de programa\fotoalbum\UNINST.EXE --> AutoExtraible
C:\Archivos de programa\Hobbyprint\UNINST.EXE --> AutoExtraible
C:\Archivos de programa\LimeWire\UNINSTALL.EXE --> AutoExtraible
C:\Archivos de programa\Winamp\UNINSTWA.EXE --> AutoExtraible
C:\Documents and Settings\Manu\Escritorio\3GP_Converter033\finishing\MESSAGEBOX.EXE --> Eliminado, PWS-WoW
C:\Documents and Settings\Manu\Escritorio\3GP_Converter033\finishing\SHUTDOWN.EXE --> Eliminado, PWS-WoW

Eso es todo. Parece que el iconito se ha eliminado de la barra de tareas.
¿Debo hacer algo más?
Muchas gracias y perdonen las molestias.
Un saludo

Mensaje por **msc hotline sat** » 22 Ene 2007, 12:45

Pues ya ves:

Por favor, envienos una muestra del fichero
C:\Muestras\NBBRHBD.DLL.Muestra EliStartPage v13.14
C:\Muestras\PMSNGR.EXE.Muestra EliStartPage v13.14
C:\Muestras\ISAMONITOR.EXE.Muestra EliStartPage v13.14
C:\Muestras\ISADDON.DLL.Muestra EliStartPage v13.14
C:\Muestras\ISAMINI.EXE.Muestra EliStartPage v13.14
C:\Muestras\IESPLUGIN.DLL.Muestra EliStartPage v13.14
C:\Muestras\ISADDON.DLL.Muestra EliStartPage v13.14

Recuerda: viewtopic.php?f=5&t=45334

A su recepcion las analizaremos y procederemos a controlarlas con bueva version de dicha utilidad

saludos
ms, 22-01-2007

JRM · Mensaje por **JRM** » 22 Ene 2007, 20:15

Hola de nuevo.

En teoría he enviado los ficheros y digo eso porque hasta que no obtenga contestación no estoy seguro. Si por lo que sea no han llegao diganmelo. Gracias.

Mensaje por **msc hotline sat** » 22 Ene 2007, 20:19

Pues mañana cuando volvamos al trabajo lo podremos ver.

Son variamtes del Sownloader PUPER que pasaremos a controlar en la siguiente version del ELISTARA, tras analizarlas.

saludos

ms, 22-01-2007

Mensaje por **msc hotline sat** » 23 Ene 2007, 11:58

Efectivamente hemos recibido los ficheros y entran en proceso.

Con el ELISTARA de hoy se controlaran y eliminaran claves y ficheros detectados por cadenas.

Descarguelo estar tarde, a partir de las 20 h , pruebelo y nos comenta el resultado, gracias

saludos
ms, 23-01-2007

JRM · Mensaje por **JRM** » 24 Ene 2007, 13:08

Buenos días.

Anoche no pude descargar el elistara, y ahora he probado y tampoco me abre la página.

¿Qué hacemos entonces?

Gracias.

Mensaje por **msc hotline sat** » 24 Ene 2007, 13:46

Esperemos que a alguna hora de hoy estará arreglado, pero mientras, utiliza el de emergencia. (y renombralo a ELISTARA.EXE una vez descargado)

saludos
ms, 24-01-2007

JRM · Mensaje por **JRM** » 24 Ene 2007, 14:34

Hola de nuevo!
Pongo el log del ELISTARA:

Mon Jan 22 10:59:11 2007
EliStartPage v13.14 (c)2007 S.G.H. / Satinfo S.L.
--------------------------------------------------

Código: Seleccionar todo

Lista de Acciones (por Acción Directa):
Por favor, envienos una muestra del fichero
C:\Muestras\NBBRHBD.DLL.Muestra EliStartPage v13.14
 a "virus@satinfo.es".  Gracias.
C:\WINDOWS\SYSTEM32\NBBRHBD.DLL -->  Renombrado a .VIR
Por favor, envienos una muestra del fichero
C:\Muestras\PMSNGR.EXE.Muestra EliStartPage v13.14
 a "virus@satinfo.es".  Gracias.
C:\ARCHIVOS DE PROGRAMA\VIDEO ACTIVEX OBJECT\PMSNGR.EXE --> Eliminado 
Por favor, envienos una muestra del fichero
C:\Muestras\ISAMONITOR.EXE.Muestra EliStartPage v13.14
 a "virus@satinfo.es".  Gracias.
C:\ARCHIVOS DE PROGRAMA\VIDEO ACTIVEX OBJECT\ISAMONITOR.EXE -->  Renombrado a .VIR
Por favor, envienos una muestra del fichero
C:\Muestras\ISADDON.DLL.Muestra EliStartPage v13.14
 a "virus@satinfo.es".  Gracias.
C:\ARCHIVOS DE PROGRAMA\VIDEO ACTIVEX OBJECT\ISADDON.DLL -->  Acceso Denegado.
Por favor, envienos una muestra del fichero
C:\Muestras\ISAMINI.EXE.Muestra EliStartPage v13.14
 a "virus@satinfo.es".  Gracias.
C:\ARCHIVOS DE PROGRAMA\VIDEO ACTIVEX OBJECT\ISAMINI.EXE -->  Renombrado a .VIR
Por favor, envienos una muestra del fichero
C:\Muestras\IESPLUGIN.DLL.Muestra EliStartPage v13.14
 a "virus@satinfo.es".  Gracias.
C:\ARCHIVOS DE PROGRAMA\VIDEO ACTIVEX OBJECT\IESPLUGIN.DLL --> Eliminado 
Por favor, envienos una muestra del fichero
C:\Muestras\ISADDON.DLL.Muestra EliStartPage v13.14
 a "virus@satinfo.es".  Gracias.
C:\ARCHIVOS DE PROGRAMA\VIDEO ACTIVEX OBJECT\ISADDON.DLL -->  Acceso Denegado.
Entrada Eliminada [HKLM\...\Run] "AlcxMonitor"="ALCXMNTR.EXE"
Eliminada Class, "{67982BB7-0F95-44C5-92DC-E3AF3DC19D6D}" -> C:\Archivos de programa\Video ActiveX Object\isaddon.dll
Eliminada Class, "{FA19BD7E-50BC-4203-80AC-C4EDC81CA9A3}" -> C:\WINDOWS\system32\nbbrhbd.dll
Eliminada Carpeta "%WinSys%\Service"
ALERTA. WindowsUpdate Incompleto.
Eliminadas las Paginas de Inicio y de Busqueda del IE
Eliminados Ficheros Temporales del IE

	  Mon Jan 22 11:11:56 2007
EliStartPage v13.14  (c)2007 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Acción Directa):
C:\Archivos de programa\Video Activex Object\ISAMONITOR.EXE.VIR --> Eliminado.
Por favor, envienos una muestra del fichero
C:\Muestras\ISADDON.DLL.Muestra EliStartPage v13.14
 a "virus@satinfo.es".  Gracias.
C:\ARCHIVOS DE PROGRAMA\VIDEO ACTIVEX OBJECT\ISADDON.DLL --> Eliminado 
C:\Archivos de programa\Video Activex Object\ISAMINI.EXE.VIR --> Eliminado.
Eliminada Class, "{67982BB7-0F95-44C5-92DC-E3AF3DC19D6D}" -> C:\Archivos de programa\Video ActiveX Object\isaddon.dll
ALERTA. WindowsUpdate Incompleto.
Eliminadas las Paginas de Inicio y de Busqueda del IE
Eliminados Ficheros Temporales del IE

	  Mon Jan 22 11:14:14 2007
EliStartPage v13.14  (c)2007 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Exploración):
C:\Archivos de programa\fotoalbum\UNINST.EXE --> AutoExtraible
C:\Archivos de programa\Hobbyprint\UNINST.EXE --> AutoExtraible
C:\Archivos de programa\LimeWire\UNINSTALL.EXE --> AutoExtraible
C:\Archivos de programa\Winamp\UNINSTWA.EXE --> AutoExtraible
C:\Documents and Settings\Manu\Escritorio\3GP_Converter033\finishing\MESSAGEBOX.EXE --> Eliminado, PWS-WoW
C:\Documents and Settings\Manu\Escritorio\3GP_Converter033\finishing\SHUTDOWN.EXE --> Eliminado, PWS-WoW

	  Wed Jan 24 13:15:18 2007
EliStartPage v13.16  (c)2007 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Acción Directa):
Eliminada Class, "{84938242-5C5B-4A55-B6B9-A1507543B418}" -> C:\Archivos de programa\Video ActiveX Object\iesplugin.dll
Eliminada Carpeta "%Archivos de Programa%\Video Activex Object"
ALERTA. WindowsUpdate Incompleto.
Eliminadas las Paginas de Inicio y de Busqueda del IE
Eliminados Ficheros Temporales del IE

	  Wed Jan 24 13:16:58 2007
EliStartPage v13.16  (c)2007 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Exploración):
C:\Archivos de programa\fotoalbum\UNINST.EXE --> AutoExtraible
C:\Archivos de programa\Hobbyprint\UNINST.EXE --> AutoExtraible
C:\Archivos de programa\LimeWire\UNINSTALL.EXE --> AutoExtraible
C:\Archivos de programa\Winamp\UNINSTWA.EXE --> AutoExtraible
C:\Muestras\IESPLUGIN.DLL.MUESTRA ELISTARTPAGE V13.14 --> Eliminado, Puper-Isa
C:\Muestras\ISADDON.DLL.MUESTRA ELISTARTPAGE V13.14 --> Eliminado, Puper-Isa
C:\Muestras\ISAMINI.EXE.MUESTRA ELISTARTPAGE V13.14 --> Eliminado, Puper-Isa
C:\Muestras\ISAMONITOR.EXE.MUESTRA ELISTARTPAGE V13.14 --> Eliminado, Puper-Isa
C:\Muestras\NBBRHBD.DLL.MUESTRA ELISTARTPAGE V13.14 --> Eliminado, FakeAlert
C:\Muestras\PMSNGR.EXE.MUESTRA ELISTARTPAGE V13.14 --> Eliminado, Puper-Isa
C:\WINDOWS\system32\NBBRHBD.DLL.VIR --> Eliminado, FakeAlert

Por lo que veo ya se han eliminado los archivos maliciosos, y la carpeta de muestras ha quedado vacía.
También he observado que WindowsUpdate esta incompleto. Cuando me confirmen que está todo en orden conecto mi pc a la red y lo actualizo.
Muchas gracias. Espero su respuesta.
Buenos días.

Mensaje por **msc hotline sat** » 24 Ene 2007, 14:46

Efectivamente, se ha eliminado tanto el FAKE ALERT que le visualizaba la falsa alerta, como la nueva variante de downloader Puper.

Pues lo celebramos, y dando el Tema por solucionado, procedemos a cerrarlo.

Si nos necesita de nuevo, ya sabe donde estamos

saludos
ms, 24-01-2007