que es qwerty12.exe (SOLUCIONADO)

Alberto Sarkar · Mensaje por **Alberto Sarkar** » 24 Jul 2007, 21:33

hola este proceso se encuentra en mi barra de tareas y creo que es un proceso sospechoso será algun gusano,virus o programa espia?

gracias y si me explican como eliminarlo ...

Mensaje por **msc hotline sat** » 25 Jul 2007, 09:02

Puede tratarse de una variante de VUNDO ya controlado desde la 14.40 del ELISTARA :

https://foros.zonavirus.com/nueva-version-de-la-utilidad-elistaraexe-1440-vt19787.html?highlight=qwerty12

Prueba dicha utilidad :

ELISTARA:

http://www.zonavirus.com/descargas/elistara.asp

Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso

saludos

ms, 25-07-2007

Alberto Sarkar · Mensaje por **Alberto Sarkar** » 26 Jul 2007, 15:29

Gracias por reponderme;bajé elistara pero mi antivirus detectó un trojano.¿Que hago?

Mensaje por **msc hotline sat** » 26 Jul 2007, 16:15

Pasalo en modo seguro, para no cargar el antivirus residente o desactivalo.

Son falsos positivos (fallos que todos podemos tener, especialmente cuando se escanea otras herramientas antivirus)

saludos

ms, 26-07-2007

Alberto Sarkar · Mensaje por **Alberto Sarkar** » 31 Jul 2007, 17:05

Gracias por vuestra atención; pasé el EliStarA y les envio el informe generado.:

Tue Jul 31 07:41:43 2007

EliStartPage v14.48 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Key Eliminada [WinLogon\Notify\IALADM] -> C:\WINDOWS\SYSTEM32\ialadm.dll

Por favor, envienos una muestra del fichero

C:\Muestras\IALADM.DLL.Muestra EliStartPage v14.48

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\IALADM.DLL --> Acceso Denegado.

Por favor, envienos una muestra del fichero

C:\Muestras\DDAYYWX.DLL.Muestra EliStartPage v14.48

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\DDAYYWX.DLL --> Acceso Denegado.

C:\WINDOWS\SYSTEM32\TMP5.TMP.DLL --> Eliminado JuanSearch(BHO)

Eliminada Class, "{1F6581D5-AA53-4B73-A6F9-41420C6B61F1}" -> C:\WINDOWS\system32\tmp5.tmp.dll

Eliminada Class, "{9AFB8248-617F-460D-9366-D71CDEDA3179}" -> NULL1

Eliminado Servicio, "DomainService"

Eliminada Clave "HKLM\...\Image File Execution Options\Your Image File Name Here without a path"

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Tue Jul 31 07:49:08 2007

EliStartPage v14.48 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\Documents and Settings\ROSA\Datos de programa\TMP1B.TMP.EXE --> Eliminado, FotoMoto

C:\Documents and Settings\ROSA\Datos de programa\TMP2F7.TMP.EXE --> Eliminado, FotoMoto

C:\Documents and Settings\ROSA\Datos de programa\TMP47B.TMP.EXE --> Eliminado, FotoMoto

C:\Documents and Settings\ROSA\Datos de programa\TMP4C2.TMP.EXE --> Eliminado, FotoMoto

C:\Documents and Settings\ROSA\Datos de programa\TMP4E3.TMP.EXE --> Eliminado, FotoMoto

Tue Jul 31 08:00:08 2007

EliStartPage v14.48 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Key Eliminada [WinLogon\Notify\IALADM] -> C:\WINDOWS\SYSTEM32\ialadm.dll

[WinLogon\Notify\IALADM]

Por favor, envienos una muestra del fichero

C:\WinLogon\IALADM.DLL

a "virus@satinfo.es". Gracias.

Por favor, envienos una muestra del fichero

C:\Muestras\IALADM.DLL.Muestra EliStartPage v14.48

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\IALADM.DLL --> Acceso Denegado.

Por favor, envienos una muestra del fichero

C:\Muestras\DDAYYWX.DLL.Muestra EliStartPage v14.48

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\DDAYYWX.DLL --> Acceso Denegado.

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Tue Jul 31 08:02:27 2007

EliStartPage v14.48 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

Espero orientación. Gracias por todo.

Mensaje por **msc hotline sat** » 31 Jul 2007, 17:40

Siempre se ha de probar la ultima version de nuestras utilidades, y del ELISTARA ya hay la 14.50 y estas usando la 14.48 ...

En cualquier caso, envianos estos ficheros sospechosos para analizar:

Por favor, envienos una muestra del fichero

C:\Muestras\IALADM.DLL.Muestra EliStartPage v14.48

Por favor, envienos una muestra del fichero

C:\Muestras\DDAYYWX.DLL.Muestra EliStartPage v14.48

y como que no se ha podido acceder a dichos ficheros para renombrarlos o moverlos a cuarentena, procede a arrancar en CONSOLA DE RECUPERACION, con el CD de instalacion, y renombralos a extension .VIR, tras lo cual al reinciiar ya no se pondrán en uso y podrás enviarnoslos, muy importante para controlarlos en proximas versiones.

saludos

ms, 31-07-2007

C:\WINDOWS\SYSTEM32\IALADM.DLL --> Acceso Denegado.

C:\WINDOWS\SYSTEM32\DDAYYWX.DLL --> Acceso Denegado.

Alberto Sarkar · Mensaje por **Alberto Sarkar** » 31 Jul 2007, 19:24

Ya envié muestras de esos archivos a la dirección virus@satinfo.es; ¿Debo enviarlas al foro?

Mensaje por **msc hotline sat** » 31 Jul 2007, 19:58

Debes enviarlas a zonavirus@satinfo.es , como se indica en:

->~~[b]~~ Para ello recordar[/b]: https://foros.zonavirus.com/viewtopic.php?f=2&t=45334

saludos

ms, 31-7-2007

Alberto Sarkar · Mensaje por **Alberto Sarkar** » 11 Ago 2007, 23:46

Ya no encuentro rastros de qwerty12.

Gracias por la ayuda.

Mensaje por **lucl** » 12 Ago 2007, 11:33

nos alegramos pues, vuelve cuando quieras, saludos

solucionado

Mensaje por **msc hotline sat** » 25 Ago 2007, 12:59

ok, procedemos a cerrarlo

si nos necesita de nuevo, ya sabe donde estamos

saludos

ms, 25-08-2007