Dll´s imborrables, Virtumonde y pop-ups

vector · Mensaje por **vector** » 03 Sep 2007, 10:01

El AVAST reconoce un win32:virtumonde y el explorador saca popups al conectarme. Aparte, el AVAST no es capaz de eliminar alguna dll a la hora de hacer un scan. Pego un log del hijacj para ver si podéis ayudarme:

[i]Logfile of HijackThis v1.99.1

Scan saved at 9:55:30, on 03/09/2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\Archivos de programa\WinRAR\WinRAR.exe

C:\DOCUME~1\Fran\CONFIG~1\Temp\Rar$EX00.781\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.es/

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.es

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.hp.com/

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer proporcionado por alen

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O2 - BHO: (no name) - {8d83b16e-0de1-452b-ac52-96ec0b34aa4b} - (no file)

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\archivos de programa\google\googletoolbar1.dll

O2 - BHO: (no name) - {D9CF9E72-1E65-4EC1-B57A-19BE12030BF5} - C:\WINDOWS\system32\ddcywvw.dll

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\archivos de programa\google\googletoolbar1.dll

O4 - HKLM\..\Run: [Smapp] C:\Archivos de programa\Analog Devices\SoundMAX\SMTray.exe

O4 - HKLM\..\Run: [DrvLsnr] C:\Archivos de programa\Analog Devices\SoundMAX\DrvLsnr.exe

O4 - HKLM\..\Run: [PRONoMgrWired] c:\Archivos de programa\Intel\PROSetWired\NCS\PROSet\PRONoMgr.exe

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [PDF Complete] "C:\Archivos de programa\PDF Complete\pdfsty.exe"

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent

O4 - HKLM\..\Run: [avast!] C:\ARCHIV~1\ALWILS~1\Avast4\aswDisp.exe

O4 - HKLM\..\Run: [HPWPTOOLBOX] C:\Archivos de programa\Hewlett-Packard\HP Business Inkjet 2800 series\Toolbox\HPWPTBX.exe "-i"

O4 - HKLM\..\Run: [SPAMfighter Agent] "C:\Archivos de programa\SPAMfighter\SFAgent.exe" update delay 60

O4 - HKLM\..\Run: [ppjdzvu] c:\windows\system32\ppjdzvu.exe ppjdzvu

O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\QTTask.exe" -atboottime

O4 - HKLM\..\Run: [iTunesHelper] "C:\Archivos de programa\iTunes\iTunesHelper.exe"

O4 - HKCU\..\Run: [Free Download Manager] C:\Documents and Settings\Fran\Mis documentos\software\Free Download Manager\fdm.exe -autorun

O4 - HKCU\..\Run: [NBJ] "C:\Archivos de programa\Ahead\Nero BackItUp\NBJ.exe"

O4 - HKCU\..\Run: [updateMgr] C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe AcRdB7_0_9

O4 - HKCU\..\Run: [DAEMON Tools] "C:\Archivos de programa\DAEMON Tools\daemon.exe" -lang 1033

O4 - HKCU\..\Run: [swg] C:\Archivos de programa\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe

O4 - Startup: Adobe Gamma.lnk = C:\Archivos de programa\Archivos comunes\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Startup: OpenOffice.org 2.1.lnk = C:\Archivos de programa\OpenOffice.org 2.1\program\quickstart.exe

O4 - Startup: Run POPFile.lnk = C:\Archivos de programa\POPFile\runpopfile.exe

O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Archivos de programa\Archivos comunes\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: Inicio rápido de Adobe Reader.lnk = C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O4 - Global Startup: Logo Calibration Loader.lnk = C:\Archivos de programa\GretagMacbeth\i1\Eye-One Match 3\CalibrationLoader\CalibrationLoader.exe

O4 - Global Startup: ProfileReminder.lnk = C:\Archivos de programa\GretagMacbeth\i1\Eye-One Match 3\ProfileReminder.exe

O4 - Global Startup: TabUserW.exe.lnk = C:\WINDOWS\system32\WTablet\TabUserW.exe

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0\bin\npjpi150.dll

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0\bin\npjpi150.dll

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204

O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1138293006217

O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = alen.local

O17 - HKLM\Software\..\Telephony: DomainName = alen.local

O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = alen.local

O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = alen.local

O17 - HKLM\System\CS3\Services\Tcpip\Parameters: Domain = alen.local

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O20 - Winlogon Notify: ddcywvw - C:\WINDOWS\SYSTEM32\ddcywvw.dll

O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll

O20 - Winlogon Notify: WRNotifier - WRLogonNTF.dll (file missing)

O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll

O23 - Service: Adobe LM Service - Adobe Systems - C:\Archivos de programa\Archivos comunes\Adobe Systems Shared\Service\Adobelmsvc.exe

O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Archivos de programa\Archivos comunes\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Archivos de programa\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: avast! Antivirus - ALWIL Software - C:\Archivos de programa\Alwil Software\Avast4\aswServ.exe

O23 - Service: avast! Mail Scanner - Unknown owner - C:\Archivos de programa\Alwil Software\Avast4\aswMaiSv.exe" /service (file missing)

O23 - Service: avast! NetAgent - Unknown owner - C:\Archivos de programa\Alwil Software\Avast4\AvAgent.exe" /ServiceStart (file missing)

O23 - Service: avast! Web Scanner - Unknown owner - C:\Archivos de programa\Alwil Software\Avast4\aswWebSv.exe" /service (file missing)

O23 - Service: Avid SDM Service (AvidSDMService) - Avid Technology, Inc. - C:\WINDOWS\system32\AvidSDMService.exe

O23 - Service: Avid Startup (AvidStartup) - Unknown owner - C:\WINDOWS\system32\AvidStartup.exe

O23 - Service: Google Updater Service (gusvc) - Google - C:\Archivos de programa\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Archivos de programa\Archivos comunes\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: Servicio del iPod (iPod Service) - Apple Inc. - C:\Archivos de programa\iPod\bin\iPodService.exe

O23 - Service: MGE Service module - Unknown owner - C:\WINDOWS\system32\MGE\RunSC.exe

O23 - Service: Intel NCS NetService (NetSvc) - Intel(R) Corporation - c:\Archivos de programa\Intel\PROSetWired\NCS\Sync\NetSvc.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: Panda AdminSecure Communications Agent (PAVAGENTE) - Panda Software - C:\Archivos de programa\Panda Software\Panda Administrator 3\Pav_Agent\Pagent.exe

O23 - Service: Panda AdminSecure Scheduler (PavAtScheduler) - Panda Software - C:\Archivos de programa\Panda Software\Panda Administrator 3\Scheduler\pavsched.exe

O23 - Service: Panda Process Protection Service (PavPrSrv) - Panda Software - C:\Archivos de programa\Archivos comunes\Panda Software\PavShld\pavprsrv.exe

O23 - Service: Panda Antivirus Report Service (PavReport) - Panda Software - C:\Archivos de programa\Panda Software\Panda Administrator 3\PavReport\PavReport.exe

O23 - Service: PDF Document Manager (pdfcDispatcher) - PDF Complete Inc - C:\Archivos de programa\PDF Complete\pdfsvc.exe

O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

O23 - Service: Sentinel Protection Server (SentinelProtectionServer) - SafeNet, Inc - C:\Archivos de programa\Archivos comunes\SafeNet Sentinel\Sentinel Protection Server\WinNT\spnsrvnt.exe

O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Archivos de programa\Analog Devices\SoundMAX\SMAgent.exe

O23 - Service: TabletService - Wacom Technology, Corp. - C:\WINDOWS\system32\Tablet.exe

O23 - Service: Sistema de alimentación ininterrumpida (UPS) - Unknown owner - C:\WINDOWS\System32\ups2.exe (file missing)

[/i]

Gracias:

Véctor

Mensaje por **msc hotline sat** » 03 Sep 2007, 10:22

Pues vaya enviandonos estos dos ficheros para analizar:

C:\WINDOWS\system32\ddcywvw.dll

c:\windows\system32\ppjdzvu.exe

->~~[b]~~ Para ello recordar[/b]: https://foros.zonavirus.com/viewtopic.php?f=2&t=45334

y pruebe el ELISTARA:

ELISTARA:

http://www.zonavirus.com/descargas/elistara.asp

Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso

saludos

ms, 3-09-2007

vector · Mensaje por **vector** » 04 Sep 2007, 12:24

He utilizado el Elistara junto con la librería Elinotif.dll y he conseguido eliminar el Vundo y el Conhook. Parece ser que todo ha quedado OK ya que no tengo alertas del Avast ni surgen las Pop Pups. Gracias por la ayuda.

Véctor

vector · Mensaje por **vector** » 04 Sep 2007, 12:27

Lo olvidaba:

[i]"

Mon Sep 03 11:53:58 2007

EliStartPage v14.55 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Key Eliminada [WinLogon\Notify\DDCYWVW] -> C:\WINDOWS\SYSTEM32\ddcywvw.dll

[WinLogon\Notify\DDCYWVW]

Por favor, envienos una muestra del fichero

C:\WinLogon\DDCYWVW.DLL

a "virus@satinfo.es". Gracias.

Por favor, envienos una muestra del fichero

C:\Muestras\DDCYWVW.DLL.Muestra EliStartPage v14.55

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\DDCYWVW.DLL --> Acceso Denegado.

C:\WINDOWS\SYSTEM32\NVS2.INF --> Eliminado

Eliminada Class, "{5ADF3862-9E2E-4AD3-86F7-4510E6550CD0}" -> C:\WINDOWS\system32\cuijaxij.dll

Eliminada Class, "{6D794CB4-C7CD-4C6F-BFDC-9B77AFBDC02C}" -> C:\WINDOWS\system32\opnlihi.dll

Eliminada Clave "HKLM\...\Image File Execution Options\Your Image File Name Here without a path"

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Mon Sep 03 11:56:06 2007

EliStartPage v14.55 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\Documents and Settings\Fran\Configuración local\Datos de programa\Microsoft\Windows Defender\Software Explorers\Disabled Startup Folder Items\POWERREG SCHEDULER.EXE --> Eliminado, PowerReg

C:\WINDOWS\system32\DNRJXQPE.DLL --> Eliminado, Vundo7

C:\WINDOWS\system32\KHVAIKAK.DLL --> Eliminado, Vundo7

C:\WINDOWS\system32\KYKAJVDV.DLL --> Eliminado, Vundo7

C:\WINDOWS\system32\OSBCPFFC.EXE --> Eliminado, DownLoader.Tiny.ID

C:\WINDOWS\system32\QFKARJID.DLL --> Eliminado, Vundo7

C:\WINDOWS\system32\UXDEFAGB.DLL --> Eliminado, Vundo7

C:\WINDOWS\system32\WNCCSNIS.DLL --> Eliminado, Vundo7

No Detectada Utilidad "ELINOTIF.DLL" (Necesaria para la Limpieza)[/i]

Mensaje por **msc hotline sat** » 04 Sep 2007, 14:56

No parece que este se todo el log del infosat...

Al final Indica "No detectada la utilidad ELINOTIF... " quizas popsteriormente se la puso, pero no lo vemos, y en consecuencia aparece este mensaje de :

C:\WINDOWS\SYSTEM32\DDCYWVW.DLL --> Acceso Denegado.

pidiendo que nos envie muestra de este fichero. Vea de postear todo el log, sino es posible que se hayan eliminado o solucionado indicaciones que aparecen anteriores a tener el ELINOTIF junto al ELISTARA...

saludos

ms, 4-09-2007

vector · Mensaje por **vector** » 04 Sep 2007, 17:26

Mis disculpas. Cierto. El log completo:

[i]

Mon Sep 03 11:53:58 2007

EliStartPage v14.55 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Key Eliminada [WinLogon\Notify\DDCYWVW] -> C:\WINDOWS\SYSTEM32\ddcywvw.dll

[WinLogon\Notify\DDCYWVW]

Por favor, envienos una muestra del fichero

C:\WinLogon\DDCYWVW.DLL

a "virus@satinfo.es". Gracias.

Por favor, envienos una muestra del fichero

C:\Muestras\DDCYWVW.DLL.Muestra EliStartPage v14.55

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\DDCYWVW.DLL --> Acceso Denegado.

C:\WINDOWS\SYSTEM32\NVS2.INF --> Eliminado

Eliminada Class, "{5ADF3862-9E2E-4AD3-86F7-4510E6550CD0}" -> C:\WINDOWS\system32\cuijaxij.dll

Eliminada Class, "{6D794CB4-C7CD-4C6F-BFDC-9B77AFBDC02C}" -> C:\WINDOWS\system32\opnlihi.dll

Eliminada Clave "HKLM\...\Image File Execution Options\Your Image File Name Here without a path"

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Mon Sep 03 11:56:06 2007

EliStartPage v14.55 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\Documents and Settings\Fran\Configuración local\Datos de programa\Microsoft\Windows Defender\Software Explorers\Disabled Startup Folder Items\POWERREG SCHEDULER.EXE --> Eliminado, PowerReg

C:\WINDOWS\system32\DNRJXQPE.DLL --> Eliminado, Vundo7

C:\WINDOWS\system32\KHVAIKAK.DLL --> Eliminado, Vundo7

C:\WINDOWS\system32\KYKAJVDV.DLL --> Eliminado, Vundo7

C:\WINDOWS\system32\OSBCPFFC.EXE --> Eliminado, DownLoader.Tiny.ID

C:\WINDOWS\system32\QFKARJID.DLL --> Eliminado, Vundo7

C:\WINDOWS\system32\UXDEFAGB.DLL --> Eliminado, Vundo7

C:\WINDOWS\system32\WNCCSNIS.DLL --> Eliminado, Vundo7

No Detectada Utilidad "ELINOTIF.DLL" (Necesaria para la Limpieza)

Mon Sep 03 12:15:43 2007

EliStartPage v14.55 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Key Eliminada [WinLogon\Notify\DDCYWVW] -> C:\WINDOWS\SYSTEM32\ddcywvw.dll

Por favor, envienos una muestra del fichero

C:\Muestras\PPJDZVU.EXE.Muestra EliStartPage v14.55

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\PPJDZVU.EXE --> Eliminado

Por favor, envienos una muestra del fichero

C:\Muestras\DDCYWVW.DLL.Muestra EliStartPage v14.55

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\DDCYWVW.DLL --> Acceso Denegado.

Entrada Eliminada [HKLM\...\Run] "PPJDZVU"="c:\windows\system32\ppjdzvu.exe ppjdzvu"

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Mon Sep 03 12:16:31 2007

EliStartPage v14.55 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

No Detectada Utilidad "ELINOTIF.DLL" (Necesaria para la Limpieza)

Mon Sep 03 12:34:13 2007

EliStartPage v14.55 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Key Eliminada [WinLogon\Notify\AWTTQNO] -> C:\WINDOWS\SYSTEM32\awttqno.dll

Key Eliminada [WinLogon\Notify\awvvs] -> C:\WINDOWS\SYSTEM32\AWVVS.DLL

Por favor, envienos una muestra del fichero

C:\Muestras\WGTXGYWW.EXE.Muestra EliStartPage v14.55

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\WGTXGYWW.EXE --> Eliminado

Por favor, envienos una muestra del fichero

C:\Muestras\AWTTQNO.DLL.Muestra EliStartPage v14.55

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\AWTTQNO.DLL --> Acceso Denegado.

C:\WINDOWS\SYSTEM32\NVS2.INF --> Eliminado

Por favor, envienos una muestra del fichero

C:\Muestras\AWVVS.DLL.Muestra EliStartPage v14.55

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\AWVVS.DLL --> Acceso Denegado.

Por favor, envienos una muestra del fichero

C:\Muestras\AWTTQNO.DLL.Muestra EliStartPage v14.55

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\AWTTQNO.DLL --> Acceso Denegado.

C:\WINDOWS\SYSTEM32\SVVWA.ini --> Eliminado (Fichero Complementario).

Entrada Eliminada [HKLM\...\Run] "WGTXGYWW"="c:\windows\system32\wgtxgyww.exe wgtxgyww"

Eliminada Class, "{6D794CB4-C7CD-4C6F-BFDC-9B77AFBDC02C}" -> C:\WINDOWS\system32\awttqno.dll

Eliminada Class, "{1B08BD76-8ECD-4E7D-81F7-5EEB50CD8A5A}" -> C:\WINDOWS\system32\awvvs.dll

Eliminado Servicio, "DomainService"

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Mon Sep 03 12:34:27 2007

EliStartPage v14.55 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

Instalada Utilidad "ELINOTIF.DLL"

Mon Sep 03 12:41:09 2007

EliStartPage v14.55 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Key Eliminada [WinLogon\Notify\AWTTQNO] -> C:\WINDOWS\SYSTEM32\awttqno.dll

Key Eliminada [WinLogon\Notify\awvvs] -> C:\WINDOWS\SYSTEM32\AWVVS.DLL

Por favor, envienos una muestra del fichero

C:\Muestras\AWTTQNO.DLL.Muestra EliStartPage v14.55

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\AWTTQNO.DLL --> Acceso Denegado.

Por favor, envienos una muestra del fichero

C:\Muestras\AWVVS.DLL.Muestra EliStartPage v14.55

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\AWVVS.DLL --> Acceso Denegado.

Por favor, envienos una muestra del fichero

C:\Muestras\AWTTQNO.DLL.Muestra EliStartPage v14.55

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\AWTTQNO.DLL --> Acceso Denegado.

C:\WINDOWS\SYSTEM32\SVVWA.ini --> Eliminado (Fichero Complementario).

Eliminada Class, "{6D794CB4-C7CD-4C6F-BFDC-9B77AFBDC02C}" -> C:\WINDOWS\system32\awttqno.dll

Eliminada Class, "{D5127B82-B033-44DF-8B01-19F54003EFCE}" -> C:\WINDOWS\system32\awvvs.dll

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Instalada Utilidad "ELINOTIF.DLL"

Mon Sep 03 12:44:39 2007

EliStartPage v14.55 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Key Eliminada [WinLogon\Notify\awvvs] -> C:\WINDOWS\SYSTEM32\AWVVS.DLL

Por favor, envienos una muestra del fichero

C:\Muestras\AWVVS.DLL.Muestra EliStartPage v14.55

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\AWVVS.DLL --> Acceso Denegado.

C:\WINDOWS\SYSTEM32\SVVWA.ini --> Eliminado (Fichero Complementario).

Eliminada Class, "{6D794CB4-C7CD-4C6F-BFDC-9B77AFBDC02C}" -> C:\WINDOWS\system32\awttqno.dll

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Instalada Utilidad "ELINOTIF.DLL"

Mon Sep 03 12:55:54 2007

EliStartPage v14.55 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Key Eliminada [WinLogon\Notify\awvvs] -> C:\WINDOWS\SYSTEM32\AWVVS.DLL

Eliminada Class, "{4AC60869-6105-4701-ACA5-444E19D7CD13}" -> C:\WINDOWS\system32\awvvs.dll

Eliminado Servicio, "DomainService"[/i]

Mensaje por **msc hotline sat** » 04 Sep 2007, 17:40

Perfecto, lo unico que no sé es si nos has enviado la muestra que pediamos en el infosat:

"Por favor, envienos una muestra del fichero

C:\Muestras\AWVVS.DLL.Muestra EliStartPage v14.55 "

Si no lo has hecho, hazlo para poder controlarlo por cadenas:

->~~[b]~~ Para ello recordar[/b]: https://foros.zonavirus.com/viewtopic.php?f=2&t=45334

saludos

ms, 4-09-2007

Mensaje por **msc hotline sat** » 05 Sep 2007, 18:20

Recibidas muestras, pasan a controlarse como nuevas variantes de VUNDO 6 y CONHOOK, para cuya eliminacion es necesario acompañar al ELISTARA con el ELINOTIF:

[quote]

ELISTARA:

http://www.zonavirus.com/descargas/elistara.asp

ELINOTIF.DLL

http://www.zonavirus.com/descargas/elinotif.asp

Descargar los dos en una misma carpeta y probar el ELISTARA, tras lo cual reiniciar para terminar la eliminacion y luego postearnos el contenido de C:\infosat.txt para ver el resultado del proceso

[/quote]

a partir de las 19 h GMT de hoy ya habremos subido a esta web la version 14.58 del ELISTARA de hoy para evaluacion en el foro

saludos

ms, 5-09-2007