virus "video active X object" (SOLUCIONADO)

clepsidra · Mensaje por **clepsidra** » 12 Abr 2007, 18:50

Hola, tenia un problema con un virus, una carpeta q se llamaba "Video Active X object", y buscando informacion llegue a un post de este foro que hablaba del Elistara. Se lo pasé y parece que los problemas que me estaba dando de la pagina de inicio y los avisos y toda la publicidad q me salia se ha solucionado. Pero si voy a C: archivos de programa , la carpeta sigue estando ahí. Pongo el documento infosat por si me podeis echar una mano:

Thu Apr 12 16:37:09 2007

EliStartPage v13.72 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Por favor, envienos una muestra del fichero

C:\Muestras\ISAMNTR.EXE.Muestra EliStartPage v13.72

a "virus@satinfo.es". Gracias.

C:\ARCHIVOS DE PROGRAMA\VIDEO ACTIVEX OBJECT\ISAMNTR.EXE --> Renombrado a .VIR

Por favor, envienos una muestra del fichero

C:\Muestras\ISADD.DLL.Muestra EliStartPage v13.72

a "virus@satinfo.es". Gracias.

C:\ARCHIVOS DE PROGRAMA\VIDEO ACTIVEX OBJECT\ISADD.DLL --> Acceso Denegado.

Por favor, envienos una muestra del fichero

C:\Muestras\ISAMINI.EXE.Muestra EliStartPage v13.72

a "virus@satinfo.es". Gracias.

C:\ARCHIVOS DE PROGRAMA\VIDEO ACTIVEX OBJECT\ISAMINI.EXE --> Renombrado a .VIR

Por favor, envienos una muestra del fichero

C:\Muestras\PMSNRR.EXE.Muestra EliStartPage v13.72

a "virus@satinfo.es". Gracias.

C:\ARCHIVOS DE PROGRAMA\VIDEO ACTIVEX OBJECT\PMSNRR.EXE --> Renombrado a .VIR

Por favor, envienos una muestra del fichero

C:\Muestras\PMMNT.EXE.Muestra EliStartPage v13.72

a "virus@satinfo.es". Gracias.

C:\ARCHIVOS DE PROGRAMA\VIDEO ACTIVEX OBJECT\PMMNT.EXE --> Renombrado a .VIR

Por favor, envienos una muestra del fichero

C:\Muestras\ISADD.DLL.Muestra EliStartPage v13.72

a "virus@satinfo.es". Gracias.

C:\ARCHIVOS DE PROGRAMA\VIDEO ACTIVEX OBJECT\ISADD.DLL --> Acceso Denegado.

Entrada Eliminada [HKLM\...\Run] "Alcmtr"="ALCMTR.EXE"

Eliminada Class, "{84938242-5C5B-4A55-B6B9-A1507543B418}" -> C:\Archivos de programa\Video ActiveX Object\iesplugin.dll

Eliminada Class, "{A6ACAE64-F798-4930-AD86-BD3FB32038DB}" -> C:\Archivos de programa\Video ActiveX Object\isadd.dll

Linea Eliminada del HOSTS --> 127.0.0.1 microweb

No detectado Parche MS06-001 de Microsoft instalado. (WMF)

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Thu Apr 12 16:40:02 2007

EliStartPage v13.72 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\Archivos de programa\Archivos comunes\Ahead\DSFilter\NEAMR.DLL --> Eliminado, CyDoor

No se si lo habre hecho bien, ya me decís

graciasss! :)

Nuker · Mensaje por **Nuker** » 12 Abr 2007, 19:14

Pues si apenas va a mitad del camino, envie todas los ficheros que encuentre en la carpeta Muestras. Para accesar a esta se va a Unidad C, Muestras...

Para enviar los ficheros:

https://foros.zonavirus.com/viewtopic.php?f=2&t=45334

Una vez enviados seran analizados y agregados al nuevo Elistara que limpiara todos los restos. NOTA: Los virus ya estan fuera de accion asi que ya no tendra síntomas. Espere respuesta, Saludos.

[u]Atendido a las 11:20 a.m. (Hora México) 12/04/07[/u]

clepsidra · Mensaje por **clepsidra** » 12 Abr 2007, 19:56

que rapidez de contestacion :D

he hecho lo que me dices, pero dos de los ficheros no me ha dejado adjuntarlo porque dice que tiene virus, bueno yo he mandado lo q he podido, yo no entiendo nada de esto asi es que ya me direis

Mil gracias

Mensaje por **msc hotline sat** » 12 Abr 2007, 20:03

Claro que tienen virus, sino no te los pediríamos !

Desactiva el antivirus, empaqueta los ficheros solicitados en un ZIP o RAR con password VIRUS y asi podrás enviarlos y que nos lleguen para analizar

Son variantes del Downloader PUPER que debemos controlar, eliminar y restaurar las claves que hayan modificado.

recuerda: https://foros.zonavirus.com/viewtopic.php?f=2&t=45334

saludos

ms, 12-04-2007

clepsidra · Mensaje por **clepsidra** » 12 Abr 2007, 20:58

jeje, es verdad... era evidente :oops:

pero he desactivado el antivirus y el antispy y lo he empaquetao en un rar pero sigue sin dejarme enviarlo :?

Mensaje por **flacoroo** » 12 Abr 2007, 22:02

como te menciono MSC cuando los comprimes debes ponerle una contraseña "virus" y eso se hace cuando lo estas comprimiendo, te sale una ventana y dice password, de ese modo no lo analizara el antivirus y podras mandarlo.....

Mensaje por **msc hotline sat** » 13 Abr 2007, 08:52

En el WINRAR ve a "·opciones avanzadas" y alli tienes la opcion de empaquetar con password, eligela y ponle VIRUS, y asi pasará por todos los controles y nos llegará sin probnlemas.

saludos

ms, 13-04-2007

Mensaje por **msc hotline sat** » 13 Abr 2007, 14:03

Rcibidas las muestras son variantes de PUPER que pasamos a controlar con la version de Hoy del ELISTARA 13.74 que subiremos a esta web esta tarde, para pruebas de evaluacion en el foro.

saludos

ms, 13-04-2007

clepsidra · Mensaje por **clepsidra** » 13 Abr 2007, 16:34

Lo subireis en este post? bueno, estaré atenta. Pero ya estoy feliz porque se me arregló el ordena y vuelve a ir todo perfectamente, gracias mil!!!!

Mensaje por **msc hotline sat** » 13 Abr 2007, 17:12

Lo descargas esta noche de donde siempre:

ELISTARA:

http://www.zonavirus.com/descargas/elistara.asp

Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso

saludos

ms, 13-04-2007

clepsidra · Mensaje por **clepsidra** » 13 Abr 2007, 23:37

Fri Apr 13 22:20:56 2007

EliStartPage v13.74 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminada Carpeta "%Archivos de Programa%\Video Activex Object"

No detectado Parche MS06-001 de Microsoft instalado. (WMF)

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Fri Apr 13 22:21:21 2007

EliStartPage v13.74 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\Muestras\ISADD.DLL.MUESTRA ELISTARTPAGE V13.72 --> Eliminado, Puper-Isa

C:\Muestras\ISAMINI.EXE.MUESTRA ELISTARTPAGE V13.72 --> Eliminado, Puper-Isa

C:\Muestras\ISAMNTR.EXE.MUESTRA ELISTARTPAGE V13.72 --> Eliminado, Puper-Isa

C:\Muestras\PMMNT.EXE.MUESTRA ELISTARTPAGE V13.72 --> Eliminado, Puper-Isa

C:\Muestras\PMSNRR.EXE.MUESTRA ELISTARTPAGE V13.72 --> Eliminado, Puper-Isa

Ahí está el resultado. Ya está todo arreglado, ¿no? . Una cosilla, que virus era y que hacía? y el elistara exactamente para que sirve? ¿Puedo usarlo siempre q haya algun problema con virus?

No me canso de decir que muchas gracias! :D

Saludos!

Nuker · Mensaje por **Nuker** » 14 Abr 2007, 01:12

Exactamente Elistara ya detecto y elimino las muestras enviadas, vease:

[quote]C:\Muestras\ISADD.DLL.MUESTRA ELISTARTPAGE V13.72 --> Eliminado, Puper-Isa

C:\Muestras\ISAMINI.EXE.MUESTRA ELISTARTPAGE V13.72 --> Eliminado, Puper-Isa

C:\Muestras\ISAMNTR.EXE.MUESTRA ELISTARTPAGE V13.72 --> Eliminado, Puper-Isa

C:\Muestras\PMMNT.EXE.MUESTRA ELISTARTPAGE V13.72 --> Eliminado, Puper-Isa

C:\Muestras\PMSNRR.EXE.MUESTRA ELISTARTPAGE V13.72 --> Eliminado, Puper-Isa [/quote]

Son variantes troyanos de la familia Puper, las cuales pueden llegar a controlar maquinas, o bien robar informacion confidencial entre otras cosas.

Elistara es una herramienta de prueba que se ofrece de forma gratuita hacia los usuarios para su testeo, todas las muestras que se le piden son subidas a este programa el cual elimina Malwares mediante firmas, al igual que algunos Rootkits, Adwares, entre otras basuras. Disfrutelo, solo que si sale una nueva version la tendra que descargar de nuevo, ya que la que tiene ahorita se desabilitará. Saludos.

[u]Atendido a las 5:18 p.m. (Hora México) 13/04/07[/u]

Mensaje por **msc hotline sat** » 14 Abr 2007, 10:04

SOLO ACLARAR ALGO RESPECTO LO INDICADO POR NUKER DE "Elistara es una herramienta de prueba que se ofrece de forma gratuita hacia los usuarios para su testeo,"

No, ~~[b]~~ELISTARA no es una utilidad gratuita[/b], tiene Copyright de SATINFO y solo los que contratan los servicios tecnicos de SATINFO, tienen licencia de uso durante el periodo de dicho contrato, pudiendo utilizar todas sus utilidades asi como el acceso a su HOTLINE de asistencia tecnica

En este foro se contempla poder probar algunas, en concepto de evaluacion, pero ateniendose a lo indicado en la pagina de DESCARGA de esta web para dichas utilidades

Nuker no ha querido decir lo que se puede malinterpretar de que "para testear los ordenadores se pueda usar esta herramienta gratuita", pero por si alguien lo hubiera interpretado asi, quede claro que no lo es!

Y ya a la vista del resultado, damos el Tema por solucionado y procedemos a cerrarlo

saludos

ms, 14-04-2007

NOTA : Y la familia del troyano PUPER es una gama de Downloaders que descargan de webs programas maliciosos para infectar los PC que lo tengan, y de ellos ya controlamos cientos de variantes. ms.