Problema con el proceso "ntde1ect.com" - SOLUCIONADO

[Yokoshima]

Pues el problema es que al momento de abrir una memoria USB se ejecuta un proceso que se llama "ntde1ect.com" y este a su vez ejecuta hasta 3 procesos de Internet Explorer (IEXPLORE.EXE), en la imagen que adjunto nada mas se estan ejecutando dos procesos de Internet Explorer pero el tercero (el que esta seleccionado) no esta visible en la barra de tareas. Ademas al momento de que se abre la memoria el AVG detecta un archivo como virus "fg4.dll" y si lo elimina pero al momento de abrir la memoria otra vez lo vuelve a detectar.

Agradesco la ayuda que me puedan dar.

Gracias

[msc hotline sat]

Pues envienos dicho fichero NTDE1ECT.COM para analizar y controlar en nuestras utilidades

-> Para ello recordar: viewtopic.php?f=2&t=45334

Por lo que indicas puede ser un virus de los que se propaga a traves de pendrives

saludos
ms, 30-08-2007

[Yokoshima]

Bueno, aqui esta el resultado de Elistara:


Mon Jun 11 13:25:59 2007
EliStartPage v14.12 (c)2007 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Acción Directa):

Código: Seleccionar todo

C:\WINDOWS\BDE\B3DSETUP.EXE --> Eliminado BrilliantDig
Por favor, envienos una muestra del fichero
C:\Muestras\BDECLEAN.EXE.Muestra EliStartPage v14.12
 a "virus@satinfo.es".  Gracias.
C:\WINDOWS\BDE\BDECLEAN.EXE --> Eliminado 
C:\WINDOWS\BDE\BDEIMAGE.DLL --> Eliminado BrilliantDig
C:\WINDOWS\BDE\BDEVIEWER.EXE --> Eliminado BrilliantDig
Por favor, envienos una muestra del fichero
C:\Muestras\MYBAR.DLL.Muestra EliStartPage v14.12
 a "virus@satinfo.es".  Gracias.
C:\ARCHIVOS DE PROGRAMA\MYWAY\MYBAR\1.BIN\MYBAR.DLL -->  Renombrado a .VIR
C:\ARCHIVOS DE PROGRAMA\NEWDOTNET\NEWDOTNET7_48.DLL --> NewDotNet Renombrado a .VIR
C:\WINDOWS\NDNUNINSTALL4_80.EXE --> Eliminado NewDotNet Uninst
C:\WINDOWS\NDNUNINSTALL5_20.EXE --> Eliminado NewDotNet Uninst
C:\WINDOWS\NDNUNINSTALL5_40.EXE --> Eliminado NewDotNet Uninst
C:\WINDOWS\NDNUNINSTALL5_48.EXE --> Eliminado NewDotNet Uninst
C:\WINDOWS\NDNUNINSTALL5_64.EXE --> Eliminado NewDotNet Uninst
C:\WINDOWS\NDNUNINSTALL6_10.EXE --> Eliminado NewDotNet Uninst
C:\WINDOWS\NDNUNINSTALL6_22.EXE --> Eliminado NewDotNet Uninst
C:\WINDOWS\NDNUNINSTALL6_30.EXE --> Eliminado NewDotNet Uninst
C:\WINDOWS\NDNUNINSTALL6_38.EXE --> Eliminado NewDotNet Uninst
C:\WINDOWS\NDNUNINSTALL6_98.EXE --> Eliminado NewDotNet Uninst
C:\WINDOWS\NDNUNINSTALL7_22.EXE --> Eliminado NewDotNet Uninst
C:\WINDOWS\NDNUNINSTALL7_48.EXE --> Eliminado NewDotNet Uninst
Por favor, envienos una muestra del fichero
C:\Muestras\BDEINSTA25.DLL.Muestra EliStartPage v14.12
 a "virus@satinfo.es".  Gracias.
C:\WINDOWS\SYSTEM32\BDEINSTA25.DLL --> Eliminado 
Por favor, envienos una muestra del fichero
C:\Muestras\NPBDPLAY2.DLL.Muestra EliStartPage v14.12
 a "virus@satinfo.es".  Gracias.
C:\WINDOWS\BDE\NPBDPLAY2.DLL --> Eliminado 
Entrada Eliminada [HKLM\...\Run] "DownloadWare"=""C:\Archivos de programa\DownloadWare\dw.exe" /H"
Entrada Eliminada [HKLM\...\Run] "New.net Startup"="rundll32 C:\ARCHIV~1\NEWDOT~1\NEWDOT~1.DLL,ClientStartup -s"
Eliminada Class, "{014DA6C9-189F-421A-88CD-07CFE51CFF10}" -> C:\Archivos de programa\MyWay\myBar\1.bin\MYBAR.DLL
Eliminada Class, "{0494D0D1-F8E0-41AD-92A3-14154ECE70AC}" -> C:\Archivos de programa\MyWay\myBar\1.bin\MYBAR.DLL
Eliminada Class, "{0494D0D2-F8E0-41AD-92A3-14154ECE70AC}" -> C:\Archivos de programa\MyWay\myBar\1.bin\MYBAR.DLL
Eliminada Class, "{0494D0D3-F8E0-41AD-92A3-14154ECE70AC}" -> C:\Archivos de programa\MyWay\myBar\1.bin\MYBAR.DLL
Eliminada Class, "{0494D0D5-F8E0-41AD-92A3-14154ECE70AC}" -> C:\Archivos de programa\MyWay\myBar\1.bin\MYBAR.DLL
Eliminada Class, "{0494D0D7-F8E0-41AD-92A3-14154ECE70AC}" -> C:\Archivos de programa\MyWay\myBar\1.bin\MYBAR.DLL
Eliminada Class, "{0494D0D9-F8E0-41AD-92A3-14154ECE70AC}" -> C:\Archivos de programa\MyWay\myBar\1.bin\MYBAR.DLL
Eliminada Class, "{0494D0DB-F8E0-41AD-92A3-14154ECE70AC}" -> C:\Archivos de programa\MyWay\myBar\1.bin\MYBAR.DLL
Eliminada Class, "{21FFB6C0-0DA1-11D5-A9D5-00500413153C}" -> NULL1
Eliminada Class, "{3EEC42B5-FB94-40D3-A588-BB54B383A7CB}" -> C:\WINDOWS\System32\bdeinsta25.dll
Eliminada Class, "{4A2AACF3-ADF6-11D5-98A9-00E018981B9E}" -> C:\Archivos de programa\NewDotNet\newdotnet7_48.dll
Eliminada Class, "{51958169-D5E3-11D1-AA42-0000E842E40A}" -> C:\WINDOWS\BDE\NPBDPlay2.dll
Eliminada Class, "{D537A3D0-8C07-4D62-953F-162207F5090D}" -> C:\WINDOWS\system32\regsvrac32.dll
Eliminada Carpeta "%Archivos de Programa%\Hotbar"
Eliminadas las Paginas de Inicio y de Busqueda del IE
Eliminados Ficheros Temporales del IE

	  Mon Jun 11 13:32:15 2007
EliStartPage v14.12  (c)2007 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\
C:\Archivos de programa\Nero\Nero 7\Nero Vision\NVDV.DLL --> Eliminado, Hotbar
C:\Archivos de programa\NewDotNet\NEWDOTNET7_48.DLL.VIR --> Acceso Denegado, NewDotNet
C:\WINDOWS\QKSHIELD.DLL --> Eliminado, PWS-WoW
C:\WINDOWS\Downloaded Program Files\F3INITIALSETUP1.0.0.15.INF --> Eliminado, MyWebSearch(inf)

	  Mon Jun 11 13:56:45 2007
EliStartPage v14.12  (c)2007 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad D:\

	  Mon Jun 11 13:57:08 2007
EliStartPage v14.12  (c)2007 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad G:\

	  Mon Jun 11 13:59:21 2007
EliStartPage v14.12  (c)2007 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad E:\
E:\Documents and Settings\HP Authorized Custom\Local Settings\Temp\AU_SETUPH.DLL --> Eliminado, NavHelper (BHO)
E:\Program Files\MusicMatch\MusicMatch Jukebox\HWUPDATEMOVE.EXE --> Eliminado, HiWire
Exploración Detenida por el Usuario.

	  Thu Aug 30 02:26:20 2007
EliStartPage v14.53  (c)2007 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Acción Directa):
Eliminada Clave "HKLM\...\Image File Execution Options\Your Image File Name Here without a path"
Eliminada Carpeta "%WinDir%\BDE"
Eliminada Carpeta "%Archivos de Programa%\MyWay"
Eliminada Carpeta "%Archivos de Programa%\NewDotNet"
Eliminadas las Paginas de Inicio y de Busqueda del IE

	  Thu Aug 30 02:31:42 2007
EliStartPage v14.53  (c)2007 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Acción Directa):
Eliminadas las Paginas de Inicio y de Busqueda del IE
Eliminados Ficheros Temporales del IE
Detectado AUTORUN.INF en la Unidad (C)
 open=ntde1ect.com
Si Desconoce la Aplicación, por favor envienosla
acompañada del AUTORUN.INF a "virus@satinfo.es". Gracias.
Detectado AUTORUN.INF en la Unidad (D)
 open=ntde1ect.com
Si Desconoce la Aplicación, por favor envienosla
acompañada del AUTORUN.INF a "virus@satinfo.es". Gracias.
Detectado AUTORUN.INF en la Unidad (G)
 open=ntde1ect.com
Si Desconoce la Aplicación, por favor envienosla
acompañada del AUTORUN.INF a "virus@satinfo.es". Gracias.
Detectado AUTORUN.INF en la Unidad (H)
 open=ntde1ect.com
Si Desconoce la Aplicación, por favor envienosla
acompañada del AUTORUN.INF a "virus@satinfo.es". Gracias.
Detectado AUTORUN.INF en la Unidad (I)
 open=ntde1ect.com
Si Desconoce la Aplicación, por favor envienosla
acompañada del AUTORUN.INF a "virus@satinfo.es". Gracias.
Detectado AUTORUN.INF en la Unidad (J)
 open=ntde1ect.com
Si Desconoce la Aplicación, por favor envienosla
acompañada del AUTORUN.INF a "virus@satinfo.es". Gracias.

	  Thu Aug 30 02:36:38 2007
EliStartPage v14.53  (c)2007 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\

	  Thu Aug 30 09:10:42 2007
EliStartPage v14.53  (c)2007 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad D:\

	  Thu Aug 30 09:11:12 2007
EliStartPage v14.53  (c)2007 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad G:\

	  Thu Aug 30 09:14:54 2007
EliStartPage v14.53  (c)2007 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad H:\

	  Thu Aug 30 09:15:40 2007
EliStartPage v14.53  (c)2007 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad H:\

	  Thu Aug 30 09:15:52 2007
EliStartPage v14.53  (c)2007 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad I:\

	  Thu Aug 30 09:15:57 2007
EliStartPage v14.53  (c)2007 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad J:\

	  Thu Aug 30 09:22:17 2007
EliStartPage v14.53  (c)2007 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Acción Directa):
Eliminadas las Paginas de Inicio y de Busqueda del IE
Eliminados Ficheros Temporales del IE
Detectado AUTORUN.INF en la Unidad (C)
 open=ntde1ect.com
Si Desconoce la Aplicación, por favor envienosla
acompañada del AUTORUN.INF a "virus@satinfo.es". Gracias.
Detectado AUTORUN.INF en la Unidad (D)
 open=ntde1ect.com
Si Desconoce la Aplicación, por favor envienosla
acompañada del AUTORUN.INF a "virus@satinfo.es". Gracias.
Detectado AUTORUN.INF en la Unidad (G)
 open=ntde1ect.com
Si Desconoce la Aplicación, por favor envienosla
acompañada del AUTORUN.INF a "virus@satinfo.es". Gracias.
Detectado AUTORUN.INF en la Unidad (H)
 open=ntde1ect.com
Si Desconoce la Aplicación, por favor envienosla
acompañada del AUTORUN.INF a "virus@satinfo.es". Gracias.
Detectado AUTORUN.INF en la Unidad (I)
 open=ntde1ect.com
Si Desconoce la Aplicación, por favor envienosla
acompañada del AUTORUN.INF a "virus@satinfo.es". Gracias.
Detectado AUTORUN.INF en la Unidad (J)
 open=ntde1ect.com
Si Desconoce la Aplicación, por favor envienosla
acompañada del AUTORUN.INF a "virus@satinfo.es". Gracias.
Detectado AUTORUN.INF en la Unidad (K)
 open=ntde1ect.com
Si Desconoce la Aplicación, por favor envienosla
acompañada del AUTORUN.INF a "virus@satinfo.es". Gracias.

	  Thu Aug 30 09:22:56 2007
EliStartPage v14.53  (c)2007 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad K:\

	  Thu Aug 30 09:24:13 2007
EliTriIP v3.80  (c)2007 S.G.H. / Satinfo S.L.
---------------------------------------------
Lista de Acciones (por Acción Directa):
C:\AUTORUN.INF --> Eliminado
C:\WINDOWS\README.TXT --> Eliminado

	  Thu Aug 30 09:24:28 2007
EliTriIP v3.80  (c)2007 S.G.H. / Satinfo S.L.
---------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\

	  Thu Aug 30 09:43:13 2007
EliTriIP v3.80  (c)2007 S.G.H. / Satinfo S.L.
---------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad D:\

	  Thu Aug 30 09:43:31 2007
EliTriIP v3.80  (c)2007 S.G.H. / Satinfo S.L.
---------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad E:\

	  Thu Aug 30 09:43:41 2007
EliTriIP v3.80  (c)2007 S.G.H. / Satinfo S.L.
---------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad G:\

	  Thu Aug 30 09:45:41 2007
EliTriIP v3.80  (c)2007 S.G.H. / Satinfo S.L.
---------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad H:\

	  Thu Aug 30 09:45:50 2007
EliTriIP v3.80  (c)2007 S.G.H. / Satinfo S.L.
---------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad I:\

	  Thu Aug 30 09:45:55 2007
EliTriIP v3.80  (c)2007 S.G.H. / Satinfo S.L.
---------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad J:\

	  Thu Aug 30 09:46:04 2007
EliTriIP v3.80  (c)2007 S.G.H. / Satinfo S.L.
---------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad K:\

Perdon por la tardansa pero es que tenia que dormir .
Me temo que no se en donde esta el archivo del problema por eso no se los e enviado, tengo un autorun.inf que estaba grabado en la unidad C que les enviare lo mas pronto posible. ¿Tambien les envio el dll que se genera cuando abro las unidades locales y la memoria?

[msc hotline sat]

Tal y como preveiamos el marrano parece ser el fichero ntde1ect.com , pues ya el infosat dice:

"Detectado AUTORUN.INF en la Unidad (K)
open=ntde1ect.com "

envianos dicho fichero para analizar y controlar en las proximas versiones del ELISTARA

-> Para ello recordar: viewtopic.php?f=2&t=45334

saludos
ms, 30-08-2007

[Yokoshima]

Pues ese es el detalle, no se en donde esta almacenado el archivo ntde1ect.com, lo unico que tengo es el autorun.inf y el fg4.dll que detecta el AVG

[msc hotline sat]

Mire si lo encuentra arrancando en modo seguro y lanzando un Inicio -> Buscar -> en todos los ficheros y carpetas



Y busquelo tambien en los pendrive



saludos



ms, 30-08-2007

[Yokoshima]

Ok, ya encontre el archivo y lo envie a zonavirus@satinfo.com.

Espero que puedan hacer algo con el.



Gracias :wink:

[msc hotline sat]

Mañana cuando abra SATINFO lo veremos



Mientras, suba el fichero al VirusTotal, a ver si lo detecta alguien:



https://www.virustotal.com/es/



y nos comenta el resultado, gracias



saludos



ms, 30-08-2007

[virbius]

Hola, al parecer mi computadora tiene lo mismo, estuve buscando en el foro de hardware y encontre un caso similar, a mi memoria usb no le pasa nada pero la de mi hermana ya no se puede abrir...



Yo no puedo ver el archivo ntde1ect.com, pero con un administrador de procesos se pude ver que esta en C:



Ah, los procesos del internet explorer a mi no me los pone.

[msc hotline sat]

Pues pruebe de arrancar en modo seguro y con un inicio-buscar vea si encuentra este ntde1ect.com

Y en cualquier caso vea lo que encontramos tras analizar la muestra enviada, pero Vd si la encuentra envienosla tambien, podría ser una variante

-> Para ello recordar: viewtopic.php?f=2&t=45334

saludos
ms, 31-08-2007

[Yokoshima]

Bueno, aqui esta el resultado de VirusTotal:

Análisis del archivo ntde1ect.com recibido el 31.08.2007 09:13:42 (CET)
Estado actual: análisis terminado

Resultado: 12/32 (37.5%)

AhnLab-V3 2007.8.31.0 2007.08.31 -
AntiVir 7.4.1.66 2007.08.31 TR/Crypt.NSPM.Gen
Authentium 4.93.8 2007.08.31 -
Avast 4.7.1029.0 2007.08.30 -
AVG 7.5.0.484 2007.08.30 PSW.OnlineGames.HMO
BitDefender 7.2 2007.08.31 -
CAT-QuickHeal 9.00 2007.08.30 (Suspicious) - DNAScan
ClamAV 0.91.2 2007.08.31 -
DrWeb 4.33 2007.08.31 Win32.HLLW.Autoruner.437
eSafe 7.0.15.0 2007.08.29 suspicious Trojan/Worm
eTrust-Vet 31.1.5098 2007.08.30 Win32/NSAnti
Ewido 4.0 2007.08.30 -
FileAdvisor 1 2007.08.31 -
Fortinet 3.11.0.0 2007.08.31 W32/OnLineGames.BDB!tr.pws
F-Prot 4.3.2.48 2007.08.31 -
F-Secure 6.70.13030.0 2007.08.31 Trojan-PSW.Win32.OnLineGames.bdb
Ikarus T3.1.1.12 2007.08.31 Trojan-PWS.Win32.OnLineGames.bdb
Kaspersky 4.0.2.24 2007.08.31 Trojan-PSW.Win32.OnLineGames.bdb
McAfee 5109 2007.08.30 -
Microsoft 1.2803 2007.08.31 -
NOD32v2 2493 2007.08.31 -
Norman 5.80.02 2007.08.30 -
Panda 9.0.0.4 2007.08.31 Suspicious file
Prevx1 V2 2007.08.31 -
Rising 19.38.41.00 2007.08.31 -
Sophos 4.21.0 2007.08.31 -
Sunbelt 2.2.907.0 2007.08.25 -
Symantec 10 2007.08.31 -
TheHacker 6.1.9.175 2007.08.31 -
VBA32 3.12.2.3 2007.08.30 -
VirusBuster 4.3.26:9 2007.08.30 -
Webwasher-Gateway 6.0.1 2007.08.31 Trojan.Crypt.NSPM.Gen
Información adicional
Tamañorchivo: 66856 bytes
MD5: 43bbcf25d40bc04a1d6a52b3d01b8386
SHA1: 72d7f7e3475f067076309c69e71f5965715b428d

[Yokoshima]

Esto empeora, ahora no puedo entrar en los discos duros locales ni a la memoria USB :cry:

[msc hotline sat]

Biueno, si ha podido encontrar y enviarnos muestra del fichero que le pediamos bien, y si no, a la vista de que el E-TRUST lo detecta (segun VirusTotal),

eTrust-Vet 31.1.5098 2007.08.30 Win32/NSAnti

Arranca en modo seguro con funciones de red y lanza su AV ONLINE que, en dicha forma, lo detectará y eliminará:

Antivirus ONLINE aconsejado

y no te olvides de los pendrive !!! (Pulsa shift cuando los insertes ...)

saludos

ms, 31-08-2007

[virbius]

Logre encontrarlo (aunque no en mi computadora), al parecer el virus cambio la opcion de ver archivos ocultos y no puedo cambiarla (ni siquiera desde el registro)

Ya les envie la muestra a ustedes, y les paso tambien lo que me dijo el virustotal.com

Análisis del archivo ntde1ect.com recibido el 01.09.2007 00:46:24 (CET)
Resultado: 15/32 (46.88%)

Motor antivirus Versión Última actualización Resultado
AhnLab-V3 2007.9.1.0 2007.08.31 -
AntiVir 7.4.1.66 2007.08.31 TR/Crypt.NSPM.Gen
Authentium 4.93.8 2007.08.31 W32/PWStealer.OCH
Avast 4.7.1029.0 2007.08.31 -
AVG 7.5.0.484 2007.08.31 PSW.OnlineGames.HMO
BitDefender 7.2 2007.09.01 Packer.Malware.NSAnti.I
CAT-QuickHeal 9.00 2007.08.31 TrojanPSW.OnLineGames.bdb
ClamAV 0.91.2 2007.08.31 -
DrWeb 4.33 2007.08.31 Win32.HLLW.Autoruner.437
eSafe 7.0.15.0 2007.08.29 suspicious Trojan/Worm
eTrust-Vet 31.1.5100 2007.08.31 Win32/NSAnti
Ewido 4.0 2007.08.31 -
FileAdvisor 1 2007.09.01 -
Fortinet 3.11.0.0 2007.08.31 W32/OnLineGames.BDB!tr.pws
F-Prot 4.3.2.48 2007.08.31 W32/PWStealer.OCH
F-Secure 6.70.13030.0 2007.08.31 Trojan-PSW.Win32.OnLineGames.bdb
Ikarus T3.1.1.12 2007.08.31 Trojan-PWS.Win32.OnLineGames.bdb
Kaspersky 4.0.2.24 2007.09.01 Trojan-PSW.Win32.OnLineGames.bdb
McAfee 5110 2007.08.31 -
Microsoft 1.2803 2007.09.01 -
NOD32v2 2495 2007.09.01 -
Norman 5.80.02 2007.08.31 -
Panda 9.0.0.4 2007.08.31 Suspicious file
Prevx1 V2 2007.09.01 -
Rising 19.38.42.00 2007.08.31 -
Sophos 4.21.0 2007.08.31 -
Sunbelt 2.2.907.0 2007.08.31 -
Symantec 10 2007.08.31 -
TheHacker 6.1.9.175 2007.08.31 -
VBA32 3.12.2.3 2007.08.30 -
VirusBuster 4.3.26:9 2007.08.31 -
Webwasher-Gateway 6.0.1 2007.08.31 Trojan.Crypt.NSPM.Gen
Información adicional
Tama?rchivo: 66856 bytes
MD5: 43bbcf25d40bc04a1d6a52b3d01b8386
SHA1: 72d7f7e3475f067076309c69e71f5965715b428d

[msc hotline sat]

Pues gracias por enviarnoslo, y ya lo controlamos con el ELISTARA 14.55 :

ELISTARA:
http://www.zonavirus.com/descargas/elistara.asp

Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso

SALUDOS
MS, 1-09-2007

[virbius]

Muchas gracias por la ayuda, pude recuperar la memoria flash de mi hermana, y la mia ya esta limpia



dejo una parte del log del elistara:



Sat Sep 01 12:49:50 2007

EliStartPage v14.55 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

No detectado Parche MS06-001 de Microsoft instalado. (WMF)

Eliminados Ficheros Temporales del IE



Sat Sep 01 12:50:03 2007

EliStartPage v14.55 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad I:\



Sat Sep 01 12:50:17 2007

EliStartPage v14.55 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad H:\



Sat Sep 01 12:52:58 2007

EliStartPage v14.55 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\NTDE1ECT.COM --> Eliminado, PWS-OnLineGames.BDB

C:\Documents and Settings\Iris.MIGUE-AFE340BBC\Configuración local\Temp\FG4.DLL --> Eliminado, PWS-OnLineGames.BDB

C:\Masf\Programas\Programacion\Dreamwaver\MACROMEDIA8KEYGEN.EXE --> Eliminado, KeyGen.ZWT



Sat Sep 01 13:03:22 2007

EliStartPage v14.55 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

No detectado Parche MS06-001 de Microsoft instalado. (WMF)



Sat Sep 01 13:03:30 2007

EliStartPage v14.55 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad L:\

L:\NTDE1ECT.COM --> Eliminado, PWS-OnLineGames.BDB

L:\AUTORUN.INF --> Eliminado, PWS-OnLineGames(inf)



Sat Sep 01 13:06:17 2007

EliStartPage v14.55 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Entrada Eliminada [HKCU\...\Run] "avpa"="C:\WINDOWS\system32\avpo.exe"

No detectado Parche MS06-001 de Microsoft instalado. (WMF)

[msc hotline sat]

Vemos :





"EliStartPage v14.55 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad L:\

L:\NTDE1ECT.COM --> Eliminado, PWS-OnLineGames.BDB

L:\AUTORUN.INF --> Eliminado, PWS-OnLineGames(inf) ""



Pues lo celebramos y solucionado el problema, procedemos a cerrar el Tema



saludos



ms, 1-09-2007

[Yokoshima]

Muchas gracias, ya se soluciono el problema :D



Les dejo el resultado del Elistara



Sat Sep 01 12:04:24 2007

EliStartPage v14.55 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\SYSTEM32\AVPO0.DLL --> Eliminado

Entrada Eliminada [HKCU\...\Run] "avpa"="C:\WINDOWS\system32\avpo.exe"

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Sat Sep 01 12:05:19 2007

EliStartPage v14.55 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\AUTORUN.INF --> Eliminado, PWS-OnLineGames(inf)



Sat Sep 01 12:36:02 2007

EliStartPage v14.55 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad D:\

D:\AUTORUN.INF --> Eliminado, PWS-OnLineGames(inf)

D:\System Volume Information\_restore{D6DB80A2-5A5C-46BA-945A-A1980F09061A}\RP987\A0456086.INF --> Eliminado, PWS-OnLineGames(inf)

D:\System Volume Information\_restore{D6DB80A2-5A5C-46BA-945A-A1980F09061A}\RP988\A0456139.INF --> Eliminado, PWS-OnLineGames(inf)

D:\System Volume Information\_restore{D6DB80A2-5A5C-46BA-945A-A1980F09061A}\RP988\A0456169.INF --> Eliminado, PWS-OnLineGames(inf)

D:\System Volume Information\_restore{D6DB80A2-5A5C-46BA-945A-A1980F09061A}\RP989\A0456229.INF --> Eliminado, PWS-OnLineGames(inf)

D:\System Volume Information\_restore{D6DB80A2-5A5C-46BA-945A-A1980F09061A}\RP989\A0456374.INF --> Eliminado, PWS-OnLineGames(inf)

D:\System Volume Information\_restore{D6DB80A2-5A5C-46BA-945A-A1980F09061A}\RP989\A0456403.INF --> Eliminado, PWS-OnLineGames(inf)

D:\System Volume Information\_restore{D6DB80A2-5A5C-46BA-945A-A1980F09061A}\RP990\A0456433.INF --> Eliminado, PWS-OnLineGames(inf)

D:\System Volume Information\_restore{D6DB80A2-5A5C-46BA-945A-A1980F09061A}\RP990\A0456465.INF --> Eliminado, PWS-OnLineGames(inf)



Sat Sep 01 12:36:24 2007

EliStartPage v14.55 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad E:\



Sat Sep 01 12:36:30 2007

EliStartPage v14.55 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad G:\

G:\AUTORUN.INF --> Eliminado, PWS-OnLineGames(inf)



Sat Sep 01 12:39:06 2007

EliStartPage v14.55 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad H:\

H:\AUTORUN.INF --> Eliminado, PWS-OnLineGames(inf)



Sat Sep 01 12:39:18 2007

EliStartPage v14.55 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad I:\

I:\AUTORUN.INF --> Eliminado, PWS-OnLineGames(inf)



Sat Sep 01 12:39:24 2007

EliStartPage v14.55 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad J:\

J:\AUTORUN.INF --> Eliminado, PWS-OnLineGames(inf)



Sat Sep 01 12:39:31 2007

EliStartPage v14.55 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad K:\

K:\AUTORUN.INF --> Eliminado, PWS-OnLineGames(inf)



Les repito, muchas gracias, son los mejores 8)

[msc hotline sat]

Perfecto, gracias.

Solucionado el problema, procedemos a cerrar el Tema.

Si nos necesita de nuevo, ya sabe donde estamos

saludos
ms, 2-09-2007

[msc hotline sat]

Recibida postcierre la muestra enviada, vemos efectivamente que ya se controla con el actual ELISTARA



saludos



ms, 3-09-2007