NOTA DE AYUDA sobre uso de las utilidades de SATINFO (ELISTARA, SPROCES, ELIPEN, COPYMBR, etc)

Siempre el VirusScan debe estar residente y actualizado (a diario se actualiza) de forma que detecte y elimine todos los malwares conocidos.

Cuando hay alguna detección, conviene ARRANCAR EN MODO SEGURO y analizar con un ANÁLISIS BAJO DEMANDA la unidad en la que se ha detectado la anomalía, para evitar que Windows impida eliminar el malware si está en uso, y así limpiar totalmente el ordenador y unidades extraibles.

Pero cada día aparecen decenas de miles de nuevos malwares o variantes de los ya conocidos, que puede que el antivirus detecte heurísticamente o no, hasta que reciban muestras de los nuevos engendros que han intrusionado en el ordenador y que gracias a otras herramientas como los ELI*.*, van siendo detectados y eliminados o aparcados, según grado de conocimiento de las mismas.

Es por ello que cuando se nota o parece que el PC va lento, o anómalo, recomendamos ARRANCAR EN MODO SEGURO y pasar el ELISTARA.EXE, que es la utilidad mas genérica contra troyanos, a ver si detecta algo nuevo conocido o sospechoso, y en el último caso, se pide muestra para analizar y controlar, aparte de enviar a McAfee para su posterior inclusión en próximos DATS.

Si persiste la anomalía y el ELISTARA.EXE no detecta ni sospecha de nada del disco duro, vamos mas allá y pasamos a probar otros ELI*.* como el ELITRIIP, ELIBAGLA, ELIPALEVO, ELIVBNA, y así hasta 300 más, de lo cual, en función del síntoma, aconsejamos usar una u otra, si bien las cinco indicadas son las mas frecuentes.

Cuando se nos plantea el problema, y no se identifica la familia del troyano en cuestión, conviene lanzar el SPROCES.EXE el cual genera un informe (SPROCLOG.TXT) que pedimos nos envíen para su análisis y, tras ello, contestamos indicando si vemos algo sospechoso, pidiendo muestra de los ficheros en cuestión, aparte de dar indicaciones, si se puede, para solucionar el problema provisionalmente.

Cuando no se ven los causantes, cabe pensar en un posible ROOTKIT, para lo que pedimos informe del MCAFEE ROOTKIT DETECTIVE, o del GMER según sea el sistema operativo usado.

También cabe mencionar otras dos utilidades especificas, el ELIPEN.EXE, para evitar la transmisión de virus a dispositivos de almacenamiento USB como el pendrive, a través del AUTORUN.INF , y el COPYMBR.EXE para analizar el sector MBR si se sospecha de él y el ELISTARA no ha detectado técnicas stealth en el mismo, ni ningún otro intruso de MBR conocido, como el famoso ALUREON.

Sobre el fichero HOSTS de C:\windows\system32\drivers\etc\ , si no se ha modificado voluntariamente y el ELISTARA o el ELITRIIP lo detectan modificado o no existente, procede aceptar que dicha utilidad cree uno nuevo, pero en el caso de que con ello persista el problema o que, al hacerlo, el ELISTARA se corte, conviene tratarlo especialmente, arrastrándolo al ESCRITORIO y tras ello volver a lanzar el proceso.

De todo lo indicado vamos dando instrucciones en cada caso concreto, cuando se nos solicita asistencia técnica, pero como Norma básica lo indicado es lo procedente.

Ante cualquier duda o aclaración al respecto, rogamos consulten.

saludos
SATINFO, 9-6-2011