Spyware desconocido

[Fresh]

Hola, he metido la pata ejecutando un keygen que no resultó ser tal, sino algún tipo de malware. Creo q spyware concretamente. He descargado y ejecutado EliStarA y me ha recomendado enviarles por correo unas determinadas muestras. Y ya se las he enviado.

Comentarles q previamente al EliStarA también he pasado el ad aware, quien me reconoció 127 objetos criticos y eliminó unos cuantos, permitiendome conectarme a internet de nuevo. Ya q antes se me quedaba bloqueado.



Les copio aki el log:



Wed Jun 27 04:08:59 2007

EliStartPage v14.28 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

[WinLogon\Notify\NNNLLJH]

Por favor, envienos una muestra del fichero

C:\WinLogon\NNNLLJH.DLL

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SERVICEPACKFILES\SERVICES.EXE --> Eliminado CWS.Yexe (dldr)

Por favor, envienos una muestra del fichero

C:\Muestras\SPOOLSVV.EXE.Muestra EliStartPage v14.28

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\SPOOLSVV.EXE --> Eliminado

Por favor, envienos una muestra del fichero

C:\Muestras\XPUPDATE.EXE.Muestra EliStartPage v14.28

a "virus@satinfo.es". Gracias.

C:\WINDOWS\XPUPDATE.EXE --> Eliminado

C:\PROGRAM FILES\BRAVESENTRY\BRAVESENTRY.EXE --> Eliminado BraveSentry(antispy)

C:\WINDOWS\DESKTOP.HTML --> Eliminado

C:\WINDOWS\SYSTEM32\DLH9JKD1Q1.EXE --> Eliminado DownLoader-Small (vxh8jkdq)

Por favor, envienos una muestra del fichero

C:\Muestras\DLH9JKD1Q2.EXE.Muestra EliStartPage v14.28

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\DLH9JKD1Q2.EXE --> Eliminado

C:\WINDOWS\SYSTEM32\DLH9JKD1Q5.EXE --> Eliminado DownLoader-Small(dlh9jkd1q)

Por favor, envienos una muestra del fichero

C:\Muestras\DLH9JKD1Q6.EXE.Muestra EliStartPage v14.28

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\DLH9JKD1Q6.EXE --> Eliminado

Por favor, envienos una muestra del fichero

C:\Muestras\DLH9JKD1Q7.EXE.Muestra EliStartPage v14.28

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\DLH9JKD1Q7.EXE --> Eliminado

C:\WINDOWS\SYSTEM32\DLH9JKD1Q8.EXE --> Eliminado

Por favor, envienos una muestra del fichero

C:\Muestras\KERNELS32.EXE.Muestra EliStartPage v14.28

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\KERNELS32.EXE --> Eliminado

Por favor, envienos una muestra del fichero

C:\Muestras\NNNLLJH.DLL.Muestra EliStartPage v14.28

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\NNNLLJH.DLL --> Acceso Denegado.

Por favor, envienos una muestra del fichero

C:\Muestras\VTUUU.DLL.Muestra EliStartPage v14.28

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\VTUUU.DLL --> Acceso Denegado.

C:\WINDOWS\SYSTEM32\6271944.DLL --> Eliminado LugSearch(BHO)

C:\I --> Eliminado (Fichero Complementario).

C:\WINDOWS\SYSTEM32\UUUTV.ini --> Eliminado (Fichero Complementario).

C:\Documents and Settings\Mi Pc\Datos de programa\Install.dat --> Eliminado (Fichero Complementario).

C:\WINDOWS\SYSTEM32\svcp.csv --> Eliminado (Fichero Complementario).

C:\WINDOWS\SYSTEM32\Winsub.xml --> Eliminado (Fichero Complementario).

Eliminada Class, "{2C1CD3D7-86AC-4068-93BC-A02304B20509}" -> C:\WINDOWS\system32\zmhjyz.dll

Eliminada Class, "{58FB2CBB-C874-45FC-A1C9-B62CC9E3BED9}" -> C:\WINDOWS\system32\6271944.dll

Eliminada Class, "{FD3C40EC-AF9A-4060-9590-F29DB7D85CF1}" -> C:\WINDOWS\system32\vtuuu.dll

Eliminado Servicio, "runtime"

Eliminada Clave "HKLM\...\Image File Execution Options\Your Image File Name Here without a path"

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.trendmicro.com

Linea Eliminada del HOSTS --> 127.0.0.1 rads.mcafee.com

Linea Eliminada del HOSTS --> 127.0.0.1 customer.symantec.com

Linea Eliminada del HOSTS --> 127.0.0.1 liveupdate.symantec.com

Linea Eliminada del HOSTS --> 127.0.0.1 us.mcafee.com

Linea Eliminada del HOSTS --> 127.0.0.1 updates.symantec.com

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.nai.com

Linea Eliminada del HOSTS --> 127.0.0.1 secure.nai.com

Linea Eliminada del HOSTS --> 127.0.0.1 dispatch.mcafee.com

Linea Eliminada del HOSTS --> 127.0.0.1 download.mcafee.com

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.my-etrust.com

Linea Eliminada del HOSTS --> 127.0.0.1 mast.mcafee.com

Linea Eliminada del HOSTS --> 127.0.0.1 ca.com

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.ca.com

Linea Eliminada del HOSTS --> 127.0.0.1 networkassociates.com

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.networkassociates.com

Linea Eliminada del HOSTS --> 127.0.0.1 avp.com

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.kaspersky.com

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.avp.com

Linea Eliminada del HOSTS --> 127.0.0.1 downloads4.kaspersky-labs.com

Linea Eliminada del HOSTS --> 127.0.0.1 downloads3.kaspersky-labs.com

Linea Eliminada del HOSTS --> 127.0.0.1 downloads2.kaspersky-labs.com

Linea Eliminada del HOSTS --> 127.0.0.1 downloads1.kaspersky-labs.com

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.f-secure.com

Linea Eliminada del HOSTS --> 127.0.0.1 viruslist.com

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.viruslist.com

Linea Eliminada del HOSTS --> 127.0.0.1 liveupdate.symantecliveupdate.com

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.mcafee.com

Linea Eliminada del HOSTS --> 127.0.0.1 sophos.com

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.sophos.com

Linea Eliminada del HOSTS --> 127.0.0.1 securityresponse.symantec.com

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.symantec.com

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE





Gracias por su atención, espero su respuesta.

[msc hotline sat]

Pues cuando recibamos las muestras solicitadas, las analizaremos y procederemos en consecuencia, implementando su control y eliminación, si procede, en las nuevas versiones de nuestras utilidades, de lo cual informaremos.



->[b] Para ello recordar[/b]: https://foros.zonavirus.com/viewtopic.php?f=2&t=45334



saludos



ms, 27-06-2007

[Fresh]

Hola, no quiero resultar pesado ni mucho menos, pero me gustaría saber si recibieron mis muestras sin problemas. Dado q tengo el ordenador inutilizado y este post lo estoy haciendo desde otro.



Muchas gracias.

[msc hotline sat]

Efectivamnete, estan en proceso, y posiblemente mañana se implementaran en las utilidades correspondientes



saludos



ms, 27-06-2007



Mientras, ya hemos movido a la carpeta C:\muestras los sospechosos, asi que tras reinciiar ya no se pondrán en uso, permitiendo trabajar, si bien es necesario la restauracion de las claves modificadas por el malware, pero posiblemente ya notes mejora. ms.

[Fresh]

Al reiniciar me da problemas diciendo que ha ocurrido un error en la aplicación services.exe y q necesita cerrarse. También me aparece una ventana con un contador descendente q indica q el sistema va a ser apagado, pero al llegar a 0 no se apaga ni sucede nada.

No sé a q es debido ni q causa este problema. El ordenador se me queda medio colgado permitiendome abrir el explorer pero continuamente en estado de Conectando... También aparece un poco deformada la imagen de fondo del escritorio y cuando lo enciendo tarda casi 15 min en reaccionar.

[msc hotline sat]

Si quieres renombra este fichero a extension .VIR:





C:\WINDOWS\SYSTEM32\VTUUU.DLL





Pero posiblemente no se deje, y para ello puedes probar de arrancar en consola de recuperacion y renombrarlo, o como que hay copia de seguridad en C:\muestras , te será mas facil eliminarlo, y en el caso que no fuera lo que pensamos, ya lo volveriamos a copiar, pero vamos, que tiene una mala pinta...



Para entrar en consola de recuperacion, arranca con el CD de instalacion, y pulsa R , y una vez en opciones de comando escribes:





C: <enter>



cd windows <enter>



cd system32 < enter>



del VTUUU.DLL <enter>





Y tras ello quitas el CD y reinicias



ya veras como se acabaran las historias !



saludos



ms, 27-06-2007

[Fresh]

Hola, efectivamente no me deja renombrarlo. Desgraciadamente no dispongo del cd de instalación xq lo he prestado y no sé cuando lo podré tener.

He conseguido q tras unas horas encendido, internet me funcione, de forma q he pasado EliStarA 14.29 y me ha detectado el troyano ConHook....me dice de reiniciar para completar su eliminación pero temo q tarde otras 2 o 3 horas en responder mi aparato. Además no parece ser ese troyano el único problema verdad?

Si hay alguna novedad ya les informo, gracias.

[msc hotline sat]

Recuerda que para algunos CONHOOK se requiere el ELINOTIF.DLL en la misma carpeta que el ELISTARA.EXE :


[quote]

ELISTARA:

http://www.zonavirus.com/descargas/elistara.asp



ELINOTIF.DLL

http://www.zonavirus.com/descargas/elinotif.asp



Descargar los dos en una misma carpeta y probar el ELISTARA, tras lo cual reiniciar para terminar la eliminacion y luego postearnos el contenido de C:\infosat.txt para ver el resultado del proceso


[/quote]



SALUDOS



ms, 28-06-2007

[Fresh]

Hola, efectivamente el Elistara me pidió q tuviera el elinotif.dll. Consegui bajarlo y pasar el Elistara de nuevo. Cuando tenga acceso les posteare aqui el log.

También me dio mensajes de estar contaminado con el VUNDO.

La última vez q pasé el Elistara me eliminó 3/3 archivos infectados, pero mis problemas persisten.

Proximamente espero poder postearles mi ultimo log.

[msc hotline sat]

Es importante tras reiniciar, cuando pase el ELISTARA/ELINOTIF automaticamente, explorar todo el disco, y tras ello postearnos el contenido de c:\infosat.txt para ver si se ha solucionado todo o hay algun resquicio, y poder obrar en consecuencia



saludos



ms, 28-06-2007

[Fresh]

Todos los mensajes los escribo desde otro ordenador por eso no les he podido postear el log xq el ordenador con problemas hace lo q le viene en gana. Ayer daba señales de vida pero hoy, en teoría algo más limpio, no está respondiendo, por lo q veo dificil acceder al log, y aún más postearselo.



Unos mensajes más atrás me dijeron de borrar el vtuuu.dll, pero no he podido. Hay alguna forma de hacerlo q no sea empleando el cd de instalación?



Esto empieza a ser desesperante. Gracias por su ayuda.

[msc hotline sat]

El CONHOOK no afecta a ficheros de sistema, pero si quiere arrancar y seguir con la instalacion hasta detectar particion instalada y alli seleccionar REPARAR, corregirá las anomalias que hubiera en el sistema y añadiria los ficheros del mismo que hubieran sido borrados, pero de eso a solucionar el problema de un CONHOOK..., mas bien son cosas independientes.



Si puede enviarnos el log lo revisaremos, o mirelo Vd y vea que no le diga nada especial como pedirle que nos envie muestras, o algun acceso denegado, o algun comentario atipìco... y nos lo comenta



saludos



ms, 28-06-2007

[Fresh]

Hola de nuevo, por lo pronto me pide q les envíe como muestra el fichero vtuuu.dll. Y esa muestra ya se la envié al inicio de este hilo. No me ha pedido q les envíe ninguna muestra nueva de ningun archivo. Están todas enviadas.



PD: Sigo sin poder abrir el infosat.txt xq el ordenador se queda colgado.

[msc hotline sat]

Hizo lo que se indicó en un post anterior al respecto de dicho fichero VTUUU.DLL ???:


[quote]


Pero posiblemente no se deje, y para ello puedes probar de arrancar en consola de recuperacion y renombrarlo, o como que hay copia de seguridad en C:\muestras , te será mas facil eliminarlo, y en el caso que no fuera lo que pensamos, ya lo volveriamos a copiar, pero vamos, que tiene una mala pinta...



Para entrar en consola de recuperacion, arranca con el CD de instalacion, y pulsa R , y una vez en opciones de comando escribes:





C: <enter>



cd windows <enter>



cd system32 < enter>



del VTUUU.DLL <enter>





Y tras ello quitas el CD y reinicias


[/quote]

Sino, pruebelo...



saludos



ms, 28-06-2007

[Fresh]

No he podido probarlo xq aún no he podido disponer del cd de instalación, por eso les pregunté si existía otro método para hacerlo.

[msc hotline sat]

Entonces no pretenda arreglarlo !



El CD de windows es indispensable tenerlo siempre a mano, muchas veces es necesario para instalar aplicaciones, reparar el sistema, aplicar drivers, o como ahora, simplemente para arrancar en consola de recuperacion.



Cuando ya lo tenga, proceda en consecuencia y nos informa de sus progresos al respecto, gracias



saludos



ms, 28-06-2007

[Fresh]

Milagrosamente he podido acceder al log aki lo posteo. ESPERO TENER EL CD DE INSTALACION Y PROBAR LO Q ME ACONSEJAN MAÑANA.



Wed Jun 27 21:25:04 2007

EliStartPage v14.29 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

[WinLogon\Notify\NNNLLJH]

Por favor, envienos una muestra del fichero

C:\WinLogon\NNNLLJH.DLL

a "virus@satinfo.es". Gracias.

Por favor, envienos una muestra del fichero

C:\Muestras\NNNLLJH.DLL.Muestra EliStartPage v14.29

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\NNNLLJH.DLL --> Acceso Denegado.

Por favor, envienos una muestra del fichero

C:\Muestras\VTUUU.DLL.Muestra EliStartPage v14.29

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\VTUUU.DLL --> Acceso Denegado.

C:\WINDOWS\SYSTEM32\62718303.DLL --> Eliminado LugSearch(BHO)

C:\WINDOWS\SYSTEM32\UUUTV.ini --> Eliminado (Fichero Complementario).

Eliminada Class, "{58FB2CBB-C874-45FC-A1C9-B62CC9E3BED9}" -> C:\WINDOWS\system32\62718303.dll

Eliminada Class, "{EE1AF322-10E4-4CC3-8341-1E2E54F9B10D}" -> C:\WINDOWS\system32\vtuuu.dll

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Wed Jun 27 21:35:15 2007

EliStartPage v14.29 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\WINDOWS\system32\627193127.DLL --> Eliminado, LugSearch(BHO)

C:\WINDOWS\system32\627204138.DLL --> Acceso Denegado, LugSearch(BHO)

C:\WINDOWS\system32\ARCAC.EXE --> Eliminado, LugSearch(dr)

C:\WINDOWS\system32\drivers\IP6FW.SYS --> Eliminado, Spy-Agent.BV(rootkit)(Puede necesitar Restauración)

No Detectada Utilidad "ELINOTIF.DLL" (Necesaria para la Limpieza)



Thu Jun 28 01:06:51 2007

EliStartPage v14.29 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

[WinLogon\Notify\NNNLLJH]

Por favor, envienos una muestra del fichero

C:\WinLogon\NNNLLJH.DLL

a "virus@satinfo.es". Gracias.

[WinLogon\Notify\VTUUU]

Por favor, envienos una muestra del fichero

C:\WinLogon\VTUUU.DLL

a "virus@satinfo.es". Gracias.

Por favor, envienos una muestra del fichero

C:\Muestras\NNNLLJH.DLL.Muestra EliStartPage v14.29

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\NNNLLJH.DLL --> Acceso Denegado.

Por favor, envienos una muestra del fichero

C:\Muestras\VTUUU.DLL.Muestra EliStartPage v14.29

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\VTUUU.DLL --> Acceso Denegado.

C:\WINDOWS\SYSTEM32\62721534.DLL --> Eliminado LugSearch(BHO)

C:\WINDOWS\SYSTEM32\UUUTV.ini --> Eliminado (Fichero Complementario).

Eliminada Class, "{58FB2CBB-C874-45FC-A1C9-B62CC9E3BED9}" -> C:\WINDOWS\system32\62721534.dll

Eliminada Class, "{AEFEB488-CFA1-44AA-A6A1-3BB20C117629}" -> C:\WINDOWS\system32\vtuuu.dll

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Thu Jun 28 01:09:28 2007

EliStartPage v14.29 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\WINDOWS\ServicePackFiles\WINLOGON.EXE --> Eliminado, CWS.Yexe (dldr)

C:\WINDOWS\system32\627204138.DLL.VIR --> Eliminado, LugSearch(BHO)

C:\WINDOWS\system32\ARCAC.EXE --> Eliminado, LugSearch(dr)

Instalada Utilidad "ELINOTIF.DLL"



EliNotify v1.7.06.19 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones:

Detectado DownLoader.ConHook

C:\WINDOWS\SYSTEM32\nnnlljh.dll -> Eliminado.

Elininada KEY "Winlogon\Notify\nnnlljh"

Detectado Vundo

Elininada KEY "Winlogon\Notify\vtuuu"

Desinstalado EliNotif.dll



Thu Jun 28 19:11:04 2007

EliStartPage v14.29 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Por favor, envienos una muestra del fichero

C:\Muestras\VTUUU.DLL.Muestra EliStartPage v14.29

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\VTUUU.DLL --> Acceso Denegado.

C:\WINDOWS\SYSTEM32\UUUTV.ini --> Eliminado (Fichero Complementario).

Eliminada Class, "{D101556F-6DB2-4351-8E42-3EEA8EEB4C31}" -> C:\WINDOWS\system32\vtuuu.dll

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.google.com

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Thu Jun 28 19:11:51 2007

EliStartPage v14.29 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

Instalada Utilidad "ELINOTIF.DLL"



EliNotify v1.7.06.19 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones:

Detectado Vundo

Elininada KEY "Winlogon\Notify\vtuuu"

Desinstalado EliNotif.dll



Thu Jun 28 22:08:47 2007

EliStartPage v14.29 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):



Thu Jun 28 22:57:20 2007

EliStartPage v14.30 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Thu Jun 28 22:57:25 2007

EliStartPage v14.30 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

[msc hotline sat]

Pues dos cosas:



Proceda a enviarnos el fichero como le pedimos, para analizarlo:



Por favor, envienos una muestra del fichero

C:\Muestras\VTUUU.DLL.Muestra EliStartPage v14.29



->[b] Para ello recordar[/b]: https://foros.zonavirus.com/viewtopic.php?f=2&t=45334



y luego arranque en modo seguro, y con un cortar y pegar (CTRL X y CTRL V) mueva, el que aun queda en la siguiente carpeta, a la papelera y luego vacie la papelera, ya que se resiste a ser eliminado:



C:\WINDOWS\SYSTEM32\VTUUU.DLL --> Acceso Denegado



y nos comenta el resultado, gracias



saludos



ms, 29-06-2007

[msc hotline sat]

Estamos procesando sus muestras y le adelantamos que con el ELISTARA/ELINOTIF de hoy (14.31) se controlará y eliminará



El dichoso VTUUU.DLL ha resultado ser una variante del VUNDO



seguiremos informando



saludos



ms, 29-06-2007

[Fresh]

Hola, he pasado el Elistara 14.31. Y por fin se eliminó vtuuu.dll pero ha aparecido un nuevo aviso de un nuevo archivo. El JEVGBJRK.dll. Les envío una muestra por correo.







Fri Jun 29 14:51:15 2007

EliStartPage v14.31 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Key Eliminada [WinLogon\Notify\VTUUU] -> C:\WINDOWS\SYSTEM32\VTUUU.DLL

C:\WINDOWS\SYSTEM32\VTUUU.DLL --> Vundo6(notify) Acceso Denegado.

Por favor, envienos una muestra del fichero

C:\Muestras\JEVGBJRK.DLL.Muestra EliStartPage v14.31

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\JEVGBJRK.DLL --> Eliminado

C:\WINDOWS\SYSTEM32\VTUUU.DLL --> Vundo6(notify) Acceso Denegado.

C:\WINDOWS\SYSTEM32\UUUTV.ini --> Eliminado (Fichero Complementario).

Eliminada Class, "{1F6581D5-AA53-4B73-A6F9-41420C6B61F1}" -> C:\WINDOWS\system32\jevgbjrk.dll

Eliminada Class, "{A6807262-1D7A-44AB-947B-23B71E97915C}" -> C:\WINDOWS\system32\nnnlljh.dll

Eliminada Class, "{1DDD2C96-25F2-43A8-9069-DBE0489AA0D5}" -> C:\WINDOWS\system32\vtuuu.dll

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Fri Jun 29 14:52:33 2007

EliStartPage v14.31 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\Muestras\DLH9JKD1Q2.EXE.MUESTRA ELISTARTPAGE V14.28 --> Eliminado, BraveSentry(dldr)

C:\Muestras\DLH9JKD1Q6.EXE.MUESTRA ELISTARTPAGE V14.28 --> Eliminado, DownLoader-Small(dlh9jkd1q)

C:\Muestras\DLH9JKD1Q7.EXE.MUESTRA ELISTARTPAGE V14.28 --> Eliminado, DownLoader-Small(dlh9jkd1q)

C:\Muestras\NNNLLJH.DLL.MUESTRA ELISTARTPAGE V14.28 --> Eliminado, DownLoader.ConHook(notify)

C:\Muestras\NNNLLJH.DLL.MUESTRA ELISTARTPAGE V14.29 --> Eliminado, DownLoader.ConHook(notify)

C:\Muestras\SPOOLSVV.EXE.MUESTRA ELISTARTPAGE V14.28 --> Eliminado, Alanchum

C:\Muestras\VTUUU.DLL.MUESTRA ELISTARTPAGE V14.28 --> Eliminado, Vundo6(notify)

C:\Muestras\VTUUU.DLL.MUESTRA ELISTARTPAGE V14.29 --> Eliminado, Vundo6(notify)

C:\Muestras\XPUPDATE.EXE.MUESTRA ELISTARTPAGE V14.28 --> Eliminado, BraveSentry(dldr)

C:\WINDOWS\system32\VEXGA4M1ET4.EXE --> Eliminado, Alanchum

C:\WINDOWS\system32\VTUUU.DLL --> Acceso Denegado, Vundo6(notify)

C:\WinLogon\NNNLLJH.DLL --> Eliminado, DownLoader.ConHook(notify)

C:\WinLogon\VTUUU.DLL --> Eliminado, Vundo6(notify)

Instalada Utilidad "ELINOTIF.DLL"



EliNotify v1.7.06.19 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones:

Detectado Vundo

Elininada KEY "Winlogon\Notify\vtuuu"

Elininado BHO: "{1DDD2C96-25F2-43A8-9069-DBE0489AA0D5}"

Elininada Class: "{1DDD2C96-25F2-43A8-9069-DBE0489AA0D5}"

Desinstalado EliNotif.dll



Fri Jun 29 17:12:14 2007

EliStartPage v14.31 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Fri Jun 29 17:12:25 2007

EliStartPage v14.31 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\WINDOWS\system32\VTUUU.DLL --> Eliminado, Vundo6(notify)

[msc hotline sat]

Bien, pero ya está aparcado en c:\muestras, tranqui !



El lunes lo vemos y haremos limpieza de restos con la siguiente version del ELISTARA



saludos



ms, 29-06-2007