Utilidad de investigacion para visualizar procesos y modulos utilizados por los mismos.

Genera un fichero en C: llamado SPROCLOG.TXT

Pueden detenerse los procesos haciendo doble click sobre el proceso a detener y pulsando en continuar o pulsar en NO y apareceran los moduclos que cuelgan de ese proceso en la columna de la izquierda.

Historial de revisiones

---v3.0---(22 de Abril del 2008) (mejoras en el LOG, **O23 en SafeBoot)
---v3.1---(19 de Junio del 2008) (Traslado de HKCU y HKLM...PoliciesExplorerRun de Información Adicional a la Sección O4)
---V3.2-- (10 de Diciembre de 2008) (Nueva deteccion de clave redireccionamientro por ubicacion HOSTS)
---v3.3---(17 de Diciembre del 2008) (mejoras en el LOG, Nombre del Equipo y del Usuario)
---v3.4---( 1 de Abril del 2009) (mejoras en el LOG, Comprueba Parche MS08-067 Servicio Servidor)

Son muchas las variantes del StarPage, caracterizadas por la instalación de una pagina de inicio no deseada.

Para su eliminación, vamos acumulando en nuestras versiones del ELISTARA las rutinas de control de las muestras recibidas al respecto, y que son implementadas día a día para eliminar las nuevas variantes de este malware.

Consulte el Historial de revisiones del ElistarA

¿Como asegurar la efectividad del ElistarA y su descarga segura?

• Arranque su pc en modo seguro con funciones de red de forma que no incordien, ni el antivirus que se tenga instalado, ni muchos malwares, como los FAKE ALERT, que fastidian con sus ventanas emergentes, lo cual, si no están residentes, por haber arrancado EN MODO SEGURO, ya no será el caso,además que evitara que los virus se apoderen del sistema y su eliminación sea satisfactoria.
• Descargue la utilidad en su disco duro y ejecútela.

¿Como detecta el ElistarA los virus o malware?

El ElistarA usa los MD5 de los malwares, en lugar de las rutinas víricas, pero las técnicas usadas por nuestras utilidades, sin ser virus, puede que las utilicen algunos virus (es lógico, son igualmente programas de software), y algunos antivirus fallan al considerar infectado, por este u otro virus, las utilidades que usan ciertas rutinas, totalmente lícitas y no víricas, sin saber cuales son ni porque lo hacen, pero el caso es que dan un FALSO POSITIVO.

¿Que son los "falsos positivos"?

Un falso positivo es cuando un antivirus detecta erroneamente un software legitimo ser portador de un virus o malware . Las causas mas frecuentes son imitar tener un comportamiento similar a un virus, aplicaciones que se pueden utilizar con fines oscuros.

¿Como utilizar el ElistarA en Windows Vista o Windows 7?

• Descargue la utilidad en su disco duro.
• Boton derecho sobre la utilidad y seleccionar "Ejecutar como administrador"

¿Quien es SATINFO?

SATINFO S.L. es una empresa creada por técnicos informáticos que ya en 1988, y dedicándose al sector del hardware, tuvieron que desarrollar el primer antivirus español para controlar el primer virus para ordenadores personales compatibles (un virus de BOOT que hacía aparecer una pelotita en la pantalla, PING), tras lo cual se desarrollaron utilidades para controlar nuevos virus que fueron apareciendo (Viernes 13 ó Jerusalem, Stoned, etc.). Llegaron a un punto en que trabajaban en paralelo con John McAfee, de California, por lo que decidieron unir esfuerzos y trabajar en conjunto. De esta manera, SATINFO pasó a ser Agente en España de McAfee Associates.

Con el paso del tiempo y la llegada de internet, el número de los virus se ha multiplicado enormemente y McAfee se ha convertido en una empresa líder mundial en el sector, con una plantilla superior a los 3.800 empleados, presente en más de 60 países y con más de 80 millones de usuarios de sus productos en todo el mundo.

• Las actualizaciones se efectúan a las 19:00h, hora Española, los dias laborables.
• La licencia de uso, es de 10 dias desde que se sube a la web.

Las tres grandes familias de gusanos que entran por IP, bien por en agujero del RPCDCOM. a traves del NetBios 135, como el Blaster, bien por desbordamiento de buffer del LSASS, a través del TCPIP 445, como el Sasser, o bien por comparticiones, tipo BOT, como los SDBOT, pasan a ser controlados por una nueva utilidad que une las tres anteriores, ELIRPCA, ELILSA y ELISLUTA, resudiendolas a una sola a la que llamamos ELITRIIP, y que será la que será actualizada a partir de ahora, debiendose usar esta en lugar de cualquiera de las otras indicadas.

¿Como utilizar el EliTriip en Windows Vista o Windows 7?

• Descargue la utilidad en su disco duro.
• Boton derecho sobre la utilidad y seleccionar "Ejecutar como administrador"

¿Quien es SATINFO?

SATINFO S.L. es una empresa creada por técnicos informáticos que ya en 1988, y dedicándose al sector del hardware, tuvieron que desarrollar el primer antivirus español para controlar el primer virus para ordenadores personales compatibles (un virus de BOOT que hacía aparecer una pelotita en la pantalla, PING), tras lo cual se desarrollaron utilidades para controlar nuevos virus que fueron apareciendo (Viernes 13 ó Jerusalem, Stoned, etc.). Llegaron a un punto en que trabajaban en paralelo con John McAfee, de California, por lo que decidieron unir esfuerzos y trabajar en conjunto. De esta manera, SATINFO pasó a ser Agente en España de McAfee Associates.

Con el paso del tiempo y la llegada de internet, el número de los virus se ha multiplicado enormemente y McAfee se ha convertido en una empresa líder mundial en el sector, con una plantilla superior a los 3.800 empleados, presente en más de 60 países y con más de 80 millones de usuarios de sus productos en todo el mundo.

• Las actualizaciones se efectúan a las 19:00h, hora Española, los dias laborables.
• La licencia de uso, es de 10 dias desde que se sube a la web.

• Queda residente.
• Lanza el IEXPLORE.EXE en 2º plano.
• Nombre del fichero (.EXE o .SCR) y del valor, varia en cada infección (de 5, 6 ó 7 letras)
• Su Código varia en cada infección.
• oloca 8 bytes en posiciones concretas del EXE (posiblemente no importantes para su funcionamiento)
• No deja detener el proceso activo.
• Oculta ficheros del sistema.
• Escrito en Visual Basic.

Consulte mas detalles sobre el troyano en: worm polimorfico vbna que vamos a detectar y eliminar con una nueva utilidad elivbna.exe

Como temíamos va aumentando la familia en cuestión, por la dificultad de su detección, si bien con técnicas especificas contra el mismo hemos logrado detectarlo y eliminarlo con esta nueva utilidad, necesitando hacerla especialmente al no ser convencional su método.

Si se detecta alguna variante que haga lo mismo pero no sea de las controladas, enviarnosla para analizar y añadir su control y eliminación en la siguiente versión de la misma utilidad.

Cabe indicar que los ficheros SYS que escoge para utilizar el malware en su lugar, son los siguientes:

• netbt.sys
• mrxsmb.sys
• cdrom.sys
• afd.sys
• ipsec.sys
• beep.sys
• volsnap.sys
• rdpcdd.sys
• rasl2tp.sys
• redbook.sys

Son ficheros de microsoft, que están en la carpèta C:windows system32 DRIVERS

Uno de ellos es escogido en cada infección de dicho RootKit, para esconder el malware, y mientras está activo en memoria, al copiarlo o mirar sus propiedades, veremos el de microsoft, pero realmente el que utiliza el sistema es el malware

Ello forma parte de la complejidad de dicho engendro, que entre que utiliza la función junction para asignar ficheros a carpetas, ademas de utilizar tecnicas de rootkit y esconderse en una carpeta oculta del tipo de desinstalacion de parches, de los que todos tenemos muchas, y ademas usar estructura ADS dentro de la NTFS

NOTA ACLARATORIA:
Este bicho utiliza un driver aleatorio de windows, y al eliminar el virus se elimina el driver, el cual si no lo repone windows, debe reponerse manualmente.

La manera de solucionarlo es copiando dicho fichero de otro ordenador con el mismo sistema, a la carpeta DRIVERS, para lo cual puede ser necesario arrancar con otro medio, LIVE CD / BART PE o colocando el disco duro como esclavo en otro ordenador limpio, o lanzar una REPARACION DE SISTEMA, que sobreescribe todos los ficheros de windows (tras lo cual procede un windowsupdate para instalar los parches en dichos nuevos ficheros), pero de esto a formatear y empezar de cero...

Cada día tenemos nuevas variantes de este bicho, con nuevas historias, que vamos controlando a medida que vamos conociendo, y lo peor es que al actualizarse bajan ademas otras historias como BUZUS, VBNA, PROXY.EXI, SIMDA, etc, todos ellos relacionados con el SIREFEF y posiblemente alguno que aun no conocemos...

En algun caso, el driver que ha utilizado aleatoriamente el SIREFEF, se requiere en el inicio, y tras la limpieza, algun equipo no arranca, y debe reponerse dicho driver eliminado, para que vuelva a arrancar el equipo, para lo cual lo mas fácil y seguro es lanzar una REPARACION DE SISTEMA.

Bagle es un gusano que se propaga por correo electrónico utilizando su propio programa de correo SMTP para enviarse a todas las direcciones encontradas en el ordenador. Puede descargar otros programas maliciosos de determinadas direcciones de Internet.

Se propaga enviando copias de sí mismo en adjuntos de mensajes de correo electrónico que envía a la dirección objetivo usando su propio programa de correo SMTP. A través de este programa SMTP es capaz de enviar fácilmente mensajes de correo sin usar otras aplicaciones de correo como Microsoft Outlook.

Con EliBagla se elimina el proceso residente en memoria, elimina claves de registro víricas y elimina fichero gusano creado por el virus.

Historial de revisiones del EliBagla

¿Como asegurar la efectividad del EliBagla y su descarga segura?

• Arranque su pc en modo seguro con funciones de red de forma que no incordien, ni el antivirus que se tenga instalado, ni muchos malwares, como los FAKE ALERT, que fastidian con sus ventanas emergentes, lo cual, si no están residentes, por haber arrancado EN MODO SEGURO, ya no será el caso, además que evitara que los virus se apoderen del sistema y su eliminación sea satisfactoria.
• Descargue la utilidad en su disco duro y ejecútela.

¿Como utilizar el EliBagla en Windows Vista o Windows 7?

• Descargue la utilidad en su disco duro.
• Botón derecho sobre la utilidad y seleccionar "Ejecutar como administrador"

¿Quien es SATINFO?

SATINFO S.L. es una empresa creada por técnicos informáticos que ya en 1988, y dedicándose al sector del hardware, tuvieron que desarrollar el primer antivirus español para controlar el primer virus para ordenadores personales compatibles (un virus de BOOT que hacía aparecer una pelotita en la pantalla, PING), tras lo cual se desarrollaron utilidades para controlar nuevos virus que fueron apareciendo (Viernes 13 ó Jerusalem, Stoned, etc.). Llegaron a un punto en que trabajaban en paralelo con John McAfee, de California, por lo que decidieron unir esfuerzos y trabajar en conjunto. De esta manera, SATINFO pasó a ser Agente en España de McAfee Associates.

• Las actualizaciones se efectúan a las 19:00h, hora Española, los días laborables.
• La licencia de uso, es de 10 días desde que se sube a la web.

Con el ELIMOVER.EXE se le introduce ruta y nombre del fichero y este será copiado a C:MUESTRAS sin atributos, para facilitar el envio de la muestra.

Ademas, si se sabe que es virus, puede marcarse la casilla de RENOMBRAR LA EXTENSION DEL FICHERO ORIGINAL a .VIR y asi ya no se pondrá en uso a partir del proximo reinicio.

Una ves copiado en C:MUESTRAS el fichero sospechoso, enviarnoslo para analizar.

CCleaner es un sistema de optimización del registro de windows, limpia la privacidad y una herramienta de limpieza.

Elimina los archivos no utilizados de su sistema - que permite a Windows funcionen más rápido y liberar valioso espacio en el disco duro.

También limpia rastros de sus actividades en línea tales como su historial de Internet.

Pero la mejor parte es que es rápido y NO contiene Spyware o Adware!

Caracteristicas principales

• Internet Explorer
  Archivos temporales, historial, cookies, historial de forma automáticamente, index.dat.
• Firefox
  Archivos temporales, historial, cookies, historial de descargas, forma la historia.
• Google Chrome
  Archivos temporales, historial, cookies, historial de descargas, forma la historia.
• Opera
  Archivos temporales, historial, las cookies.
• Safari
  Archivos temporales, historial, cookies, historial forma.
• Windows
  Papelera de reciclaje, documentos recientes, archivos temporales y archivos de registro.
• Limpiador del registro
  Características avanzadas para eliminar entradas no utilizadas y de edad, incluyendo las extensiones de archivos, controles ActiveX, ClassIDs, ProgIDs, desinstaladores, DLLs compartidas, Fuentes, archivos de ayuda, la aplicación de rutas, iconos, accesos directos inválidos y más ... también viene con una función de copia de seguridad.
• Aplicaciones de terceros
  Elimina archivos temporales y listas de archivos recientes (MRUs) de muchas de las aplicaciones incluidas Media Player, eMule, Kazaa, Google Toolbar, Netscape, Microsoft Office, Nero, Adobe Acrobat, WinRAR, WinAce, WinZip y muchos más ...

Recuva es una utilidad gratuita de Windows para restaurar los archivos que se han suprimido accidentalmente de tu computadora.

Esto incluye los archivos eliminados de la Papelera de Reciclaje, así como imágenes y otros archivos que han sido suprimidos por error del usuario.

Incluso puede recupedar archivos que han sido suprimidos por errores, accidentes y virus

Sencillo de utilizar, realiza la busqueda en la unidad correspondiente, selecciona los archivos a recuperar y pulsar en recover.

Una herramienta inprescindible, por su rapidez, efectividad y su facilidad de uso

Medios desde donde recuva recupera

• Discos duros.
• Tarjetas de memoria de cámaras digitales.
• Pendrives
• Reproductores de MP3

Soporta entre otros...

• Mails del Thunderbird.
• Nikon RAW en Deep Scan.
• Discos exFAT.
• Recupera imagenes JPG dew disco duros NTFS.