VARIOS PROBLEMAS - SUPUESTOS SPYWARE (SOLUCIONADO)

nacamar · Mensaje por **nacamar** » 14 Feb 2008, 11:52

Hola! Os he encontrado hace un par de dias y estoy alucinando con el trabajo y las molestias que os tomais, así como el interés que poneis en solucionar los problemas de la, cada vez, más insegura y vulnerable web. Gracias de antemano! (no os hago la pelota, es que creo que os lo mereceis visto lo visto...)

A ver; estoy desesperado, llevo un par de meses (sino más) que no sé que hacer con mi pc .... ésto puede ya con mis nervios y mi paciencia. Me han comentado que es spyware, tengo instalado ad-ware 2007 professional, he instalado spy-doctor y aunque los detecta y supuestamente elimina, aparecen una y otra vez. Pero os cuento como empezó todo ....

- Hace un par de meses, lo primero que noté extraño es que, en paginas de internet y sobre todo en mis cuentas de correo, los mails que recibo (tanto en el titulo o asunto como en el texto), son casi indescifrables ... a saber: las "ñ", letras acentuadas etc... se han convertido en caracteres ilegibles.... creo que ya me he hasta acostumbrado y tengo un lenguaje propio jajaja.

- Por otro lado, cuando por ejemplo, hago una búsqueda en Google y clico en el resultado que me interesa, siempre se me abre una página de anuncio de antivirus, antispyware, o directamente se intenta abrir una página que, ralentiza el ordenador hasta "bloquearlo" (no puedo hacer nada mientras no termina de abrirse), para al final, no abrir o dar mensaje de error .... a todo ésto, la barra de tareas "pierde momentaneamente" las paginas y programas que haya abiertos en ése momento minimizados.

- Navegando por internet y clico en cualquier sitio que me lleva a otro lado, igualmente se abren las dichosas páginas de publicidad de antivirus, spyware etc ..... (nunca he pinchado en ellas, siempre las cierro), al igual que el tipico mensaje en el centro de la pantalla (en español ó inglés) de que mi pc está infectado , bla bla bla ...

No puedo + ..... voy a acabar de los nervios. Os he encontrado y he descargado tal y como indicais, el Elistara + archivo elinotif. Lo he pasado, he reiniciado ... y en fin, aqui os posteo el archivo Infosat.txt. Eso si, en cuanto he abierto Internet Explorer y he intentado navegar, me ha vuelto a salir una de las paginas antivirus malditas!!!

Os agradezco desde ya vuestro interés y espero que al igual que al resto de foristas, me echeis un cable. Si os indico, que no soy ningún experto informático ni muchos menos, con lo cual, explicadme detalladamente los pasos que debo seguir, si creeis que ésto tiene solución. Quedo a la espera de vuestras noticias. Mil gracias!

Thu Feb 14 10:33:20 2008
EliStartPage v15.65 (c)2008 S.G.H. / Satinfo S.L.
--------------------------------------------------

Código: Seleccionar todo

Lista de Acciones (por Acción Directa):
Key Eliminada [WinLogon\Notify\TUVUURS] -> C:\WINDOWS\SYSTEM32\tuvuurs.dll
Entrada Eliminada [HKLM\...\Run] "2e3213ae"="rundll32.exe "C:\WINDOWS\system32\ravysrco.dll",b" (Vundo)
Por favor, envienos una muestra del fichero
C:\Muestras\RAVYSRCO.DLL.Muestra EliStartPage v15.65
 a "virus@satinfo.es".  Gracias.
C:\WINDOWS\SYSTEM32\RAVYSRCO.DLL -->  Renombrado a .VIR
D:\DESKTOP.INI --> Eliminado (Fichero Complementario).
Eliminadas las Paginas de Inicio y de Busqueda del IE
Eliminados Ficheros Temporales del IE

	  Thu Feb 14 10:41:55 2008
EliStartPage v15.65  (c)2008 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\
C:\WINDOWS\system32\WKLGFHRW.DLL --> Eliminado, JuanSearch(BHO)
C:\WINDOWS\system32\POSMVDWV.DLL --> Eliminado, Vundo5
C:\System Volume Information\_restore{A270581A-2423-4378-A0E6-168FC9DBB0B1}\RP296\A0064367.DLL --> Eliminado, Vundo5
C:\System Volume Information\_restore{A270581A-2423-4378-A0E6-168FC9DBB0B1}\RP301\A0064448.DLL --> Eliminado, JuanSearch(BHO)
C:\System Volume Information\_restore{A270581A-2423-4378-A0E6-168FC9DBB0B1}\RP301\A0064449.DLL --> Eliminado, Vundo5
C:\System Volume Information\_restore{A270581A-2423-4378-A0E6-168FC9DBB0B1}\RP301\A0064452.DLL --> Eliminado, Vundo5
C:\System Volume Information\_restore{A270581A-2423-4378-A0E6-168FC9DBB0B1}\RP304\A0064508.DLL --> Eliminado, JuanSearch(BHO)
C:\System Volume Information\_restore{A270581A-2423-4378-A0E6-168FC9DBB0B1}\RP304\A0064509.DLL --> Eliminado, Vundo5
C:\System Volume Information\_restore{A270581A-2423-4378-A0E6-168FC9DBB0B1}\RP305\A0064545.DLL --> Eliminado, JuanSearch(BHO)
C:\System Volume Information\_restore{A270581A-2423-4378-A0E6-168FC9DBB0B1}\RP305\A0064546.DLL --> Eliminado, Vundo5

Nº Total de Directorios:   3661
Nº Total de Ficheros:      46366
Nº de Ficheros Analizados: 12893
Nº de Ficheros Infectados: 10
Nº de Ficheros Limpiados:  10

	  Thu Feb 14 10:50:10 2008
EliStartPage v15.65  (c)2008 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad D:\

Nº Total de Directorios:   194
Nº Total de Ficheros:      2055
Nº de Ficheros Analizados: 0
Nº de Ficheros Infectados: 0
Nº de Ficheros Limpiados:  0

	  Thu Feb 14 10:50:26 2008
EliStartPage v15.65  (c)2008 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad E:\

Nº Total de Directorios:   559
Nº Total de Ficheros:      40690
Nº de Ficheros Analizados: 9114
Nº de Ficheros Infectados: 0
Nº de Ficheros Limpiados:  0
Sistema Infectado por el Vundo9
(C:\WINDOWS\SYSTEM32\DDCAA.DLL)
Instalada Utilidad "ELINOTIF.DLL" (Reinicie de Nuevo para Completar la Limpieza)

EliNotify v1.8.02.06 (c)2008 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones:
Detectado Vundo9
Elininada Class {91706478-F2DB-4E23-85E2-47A0C0C7F0DF}
Elininado BHO {91706478-F2DB-4E23-85E2-47A0C0C7F0DF}
Desinstalado EliNotif.dll

	  Thu Feb 14 11:08:42 2008
EliStartPage v15.65  (c)2008 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Acción Directa):
Por favor, envienos una muestra del fichero
C:\Muestras\DDCAA.DLL.Muestra EliStartPage v15.65
 a "virus@satinfo.es".  Gracias.
C:\WINDOWS\SYSTEM32\DDCAA.DLL -->  Acceso Denegado.
Eliminada Class, "{33AD6945-E3DB-4AAF-9B1F-8C1A8FEFEF95}" -> C:\WINDOWS\system32\ddcaa.dll
Eliminadas las Paginas de Inicio y de Busqueda del IE
Eliminados Ficheros Temporales del IE
Sistema Infectado por el Vundo9
(C:\WINDOWS\SYSTEM32\DDCAA.DLL)
Instalada Utilidad "ELINOTIF.DLL" (Reinicie de Nuevo para Completar la Limpieza)

Claudia34 · Mensaje por **Claudia34** » 14 Feb 2008, 11:58

Y compleméntalo posteándonos el Log del HJT:
HJT: (HiJackThis)
¿Como utilizar el Hijackthis?
Lo primero que debemos hacer es descargarlo en nuestro ordenador y localizarlo en una carpeta propia C:\HijackThis\
Ejecútalo y presiona el botón "Do a system scan and save a logfile"; el programa realizará el escaneo e inmediatamente generará el Log, sólo te pedirá el nombre del archivo y su ubicación, puedes simplemente guardarlo así como está.
Se abrirá el Bloc de Notas, copia todo el contenido y pégalo como respuesta de este Tema
• Descargar Hijackthis del siguiente enlace: http://www.zonavirus.com/descargas/tren ... ckthis.asp
Tras analizarlo, informaremos.
Nota: con respecto al hijackthis realiza dos escaneos uno en modo normal de Windows y el otro escaneo en modo a prueba de fallos, obviamente péganos el Log de cada uno de ellos como dice arriba en la cita anterior, el primero de los escaneos en modo normal nos sirve para saber que procesos tienes ejecutados en el inicio principalmente.
Hay que tener en cuenta que solo desactivaras la restauracion de sistema cuando quieras escanear con alguna herramienta de seguridad, cuando termines de escanear deberas volver a activar la restauracion del sistema nuevamente.

¿Como arrancar en modo a prueba de fallos? http://www.zonavirus.com/articulos/como ... fallos.asp

Opcional:
Además de eso no te vendría mal realizar un scandisk completo y una desfragmentacion este ultimo en modo a prueba de fallos.
También realiza un escaneo en modo a prueba de fallos con la restauración del sistema deshabilitado con el Spybot-Search and Destroy y con el Adware S.E. obviamente actualizados por completo, y realiza un Windows Update completo por las dudas y cuéntanos los resultados.

Y mientras no te vendria mal probar los siguientes antivirus online en modo a prueba de fallos con la opcion de red (para asi poder conectarte a internet) y obviamente tienes que tener la restauracion del sistema desactivado para que te de mejores resultados el analisis:
https://www.virustotal.com/es/
https://www.pandasecurity.com/spain/hom ... antivirus/

Nota: Hay mas antivirus online para usar, aunque alli arriba solo te dimos dos, nada impide que uses otros, es mas es mucho mejor por el tema de los resultados usar todas las que puedas.
Y te dejo tambien otro enlace para que lo disfrutes:

http://www.zonavirus.com/antivirus-on-line/

Saludos.

Mensaje por **msc hotline sat** » 14 Feb 2008, 12:26

Pues tenias muchos VUNDO, y es posible que aun tengas de desconocidos, pues por algo te pedimos que nos envies muestras para analizar:

Por favor, envienos una muestra del fichero
C:\Muestras\RAVYSRCO.DLL.Muestra EliStartPage v15.65
C:\Muestras\DDCAA.DLL.Muestra EliStartPage v15.65

-> Para ello recordar: viewtopic.php?f=2&t=45334

Aparte, arranca con el CD de instalacion, pulsa R para acceder a la Consola de Recuperacion, ve a la carpeta de sistema y elimina con un DEL el fichero que se indica del VUNDO 9:

Sistema Infectado por el Vundo9
(C:\WINDOWS\SYSTEM32\DDCAA.DLL)

de la siguiente forma, cuando estés ya en consola de recuperacion:

C: <Enter>
CD windows <Enter>
CD SYSTEM32 <Enter>
DEL DDCAA.DLL <Enter>

Y tras recibir los ficheros solicitado, implementaremos su control y eliminación en la próxima versión del ELISTARA, de lo cual informaremos, y al probarla eliminará incluso las muestras "aparcadas"

saludos
ms, 14-2-2008

nacamar · Mensaje por **nacamar** » 18 Feb 2008, 16:46

Hola de nuevo!!!

Bueno, ya os he enviado las muestras pertinentes de:
C:\Muestras\RAVYSRCO.DLL.Muestra EliStartPage v15.65
C:\Muestras\DDCAA.DLL.Muestra EliStartPage v15.65

espero que las reviseis y ya me contais que tal ( por cierto, como quito los avisos de "REcuerde enviar muestras ...." que me salen al arrancar el pc??? ).

Y tambien he descargado y escaneado en modo normal y a prueba de fallos con el Hijackthis. Aqui os dejo los Log que me ha creado. Quedo a la espera de vuestra información y continúo realizando los pasos que me disteis. Mil gracias de nuevo por todo!!!

Log de Hijackthis modo normal:

Logfile of HijackThis v1.99.1
Scan saved at 13:54:19, on 18/02/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

Código: Seleccionar todo

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Archivos de programa\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\Archivos de programa\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\Archivos de programa\Eset\nod32krn.exe
C:\Archivos de programa\Spyware Doctor\pctsAuxs.exe
C:\Archivos de programa\Spyware Doctor\pctsSvc.exe
C:\Archivos de programa\Spyware Doctor\pctsTray.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\WINDOWS\System32\alg.exe
C:\Archivos de programa\Eset\nod32kui.exe
C:\Archivos de programa\Hewlett-Packard\Toolbox2.0\Apache Tomcat 4.0\webapps\Toolbox\StatusClient\StatusClient.exe
C:\Archivos de programa\Java\jre1.6.0_03\bin\jusched.exe
C:\DsgCD\DsgAviso.Exe
C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe
C:\Archivos de programa\Messenger\msmsgs.exe
C:\Archivos de programa\Logitech\SetPoint\SetPoint.exe
C:\Archivos de programa\Google\Google Updater\GoogleUpdater.exe
C:\WINDOWS\system32\ntvdm.exe
C:\Archivos de programa\Archivos comunes\Logitech\KHAL\KHALMNPR.EXE
C:\WINDOWS\system32\ntvdm.exe
C:\WINDOWS\explorer.exe
C:\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = 
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O4 - HKLM\..\Run: [nod32kui] "C:\Archivos de programa\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKLM\..\Run: [StatusClient] C:\Archivos de programa\Hewlett-Packard\Toolbox2.0\Apache Tomcat 4.0\webapps\Toolbox\StatusClient\StatusClient.exe /auto
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Archivos de programa\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [DSGAviso] C:\DsgCD\DsgAviso.Exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Archivos de programa\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [ISTray] "C:\Archivos de programa\Spyware Doctor\pctsTray.exe"
O4 - HKLM\..\RunOnce: [ReEXEc] C:\ELISTARA\ELISTARA.23022008.EXE
O4 - HKCU\..\Run: [MsnMsgr] "C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [MSMSGS] "C:\Archivos de programa\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Archivos de programa\Spybot - Search & Destroy\TeaTimer.exe
O4 - Startup: DSG.lnk = C:\DSGCD\DSGCD.EXE
O4 - Startup: Protección red.LNK = C:\LOGWIN32\EXES\logred95.exe
O4 - Startup: Panel de Control Logic Win.LNK = C:\LOGWIN32\EXES\LOGWIN32.EXE
O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Logitech SetPoint.lnk = C:\Archivos de programa\Logitech\SetPoint\SetPoint.exe
O4 - Global Startup: Google Updater.lnk = C:\Archivos de programa\Google\Google Updater\GoogleUpdater.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O15 - Trusted Zone: *.imageservr.com (HKLM)
O16 - DPF: {8AE2688B-025F-4F98-B164-4FA711A631C2} (lcAplisLWNet.lcAplisNet) - https://soporte.sagelogiccontrol.com/web/lcLWNet.CAB
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O16 - DPF: {A996E48C-D3DC-4244-89F7-AFA33EC60679} (Settings Class) - https://www.cert.fnmt.es/content/pages_std/ficheros_apps_usuarios/capicom.cab
O16 - DPF: {B785FA3C-1DE9-4D20-8396-613C486FE95E} (AeatCtl Class) - https://www5.aeat.es/es13/h/cactivex.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - https://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{0714E076-388C-4383-9919-3C0B63C53D9F}: NameServer = 80.58.0.33,80.58.32.97
O17 - HKLM\System\CS1\Services\Tcpip\..\{0714E076-388C-4383-9919-3C0B63C53D9F}: NameServer = 80.58.0.33,80.58.32.97
O17 - HKLM\System\CS2\Services\Tcpip\..\{0714E076-388C-4383-9919-3C0B63C53D9F}: NameServer = 80.58.0.33,80.58.32.97
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Archivos de programa\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Archivos de programa\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset  - C:\Archivos de programa\Eset\nod32krn.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Archivos de programa\Spyware Doctor\pctsAuxs.exe
O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Archivos de programa\Spyware Doctor\pctsSvc.exe

Mensaje por **msc hotline sat** » 18 Feb 2008, 17:01

Pues elimina esta clave:
O15 - Trusted Zone: *.imageservr.com (HKLM)

y envianos tambien estos ficheros para analizar:
C:\DsgCD\DsgAviso.Exe
C:\DSGCD\DSGCD.EXE

-> Para ello recordar: viewtopic.php?f=2&t=45334

y lo que indicas de cuando va a dejar de aparecer el mensaje al arrancar, de detectado el fichero sospechosos y enviar una muestra, será cuando hagas lo que te indicada en mi ultimo post de este Tema, anterior a este:

saludos
ms, 18-2-2008

Mensaje por **msc hotline sat** » 18 Feb 2008, 19:21

Las muestras recibidas eran un VUNDO9 y dos VUNDO5 que ya han sido implementados en el ELISTARA de hoy, 15.68 que ya hemos subido a esta web.

Recuerda lo indicado para la eliminacion del VUNDO9

Cuando esté todo resuelto, indicanoslo para dar por solucionado el Tema

saludos

ms, 18-2-2008

nacamar · Mensaje por **nacamar** » 19 Feb 2008, 11:15

Ok!, me pongo manos a la obra. Pero, como elimino O15 - Trusted Zone: *.imageservr.com (HKLM) ???. Disculpa pero, no estoy muy puesto en éstas historias y tengo que ir siguiendo pasos. Gracias.

Ah! los archivos C:\DsgCD\DsgAviso.Exe y C:\DSGCD\DSGCD.EXE que me pides son de una agenda y su correspondiente archivo de notas de aviso. Te los mando de todas formas.

Gracias!

Mensaje por **msc hotline sat** » 19 Feb 2008, 11:23

Para eliminar claves lo tienes en el mismo Tema que para enviar muestras: -> Para ello recordar: viewtopic.php?f=2&t=45334

saludos
ms, 19-2-2008

nacamar · Mensaje por **nacamar** » 19 Feb 2008, 11:58

Que rapidez!!!

Acabo de eliminar C:\WINDOWS\SYSTEM32\DDCAA.DLL desde la consola de recuperación.
Ahora mismo me pongo con la eliminación del O15 - Trusted Zone: *.imageservr.com (HKLM)

Mil gracias!!!

nacamar · Mensaje por **nacamar** » 19 Feb 2008, 13:08

He eliminado el archivo O15 - Trusted Zone: *.imageservr.com (HKLM).

Además, tal y como me indicasteis, han desaparecido los avisos al arrancar de enviar muestras.

Detecto una mejora general en el pc... rapidez sobre todo. :)

Eso si, desgraciadamente al navegar me siguen abriendo páginas de publicidad (casino royal, tonos de moviles etc...)... hay alguna opción más a realizar??

Y por otro lado, el correo electrónico sigue teniendo simbolos de comillas, arrobas y otros no descifrables dónde deberian de haber letras acentuadas.

Por ultimo, cuando hago una busqueda en Google, tal y como os comenté, al elegir uno de las paginas que me dá en resultados... me sigue redirigiendo a otra que no tiene nada que ver (normalmente publicitaria).

Algún consejo al respecto???? :roll:

GRACIAS!!!!!!

Mensaje por **msc hotline sat** » 19 Feb 2008, 13:21

Sí, como decias, los dos ficheros enviados son de una AGENDA, pero al no conocerlos se han analizado, no resultando malwares, somo cabía esperar.

Bueno, pues eliminado el VUNDO, eliminada la clave maliciosa y aclarado lo de la AGENDA, si aun aparecen popups son de troyanos que es esconden al HJT...

Utilizaremos el SPROCES para llegar mas a fondo:

SPROCES (herramienta de investigación)

http://www.zonavirus.com/descargas/sproces.asp

Y tras pulsar en SALIR, posteanos el contenido del C:\SPROCLOG.TXT :

saludos

ms, 19-2-2008

nacamar · Mensaje por **nacamar** » 19 Feb 2008, 16:33

He descargado y ejecutado el Sproces.exe. Aqui está el Log que me ha creado. Ya me contais. Gracias!

Tue Feb 19 16:28:24 2008
SProces v2.8b (c)2007 S.G.H. / Satinfo S.L.
-------------------------------------------
Sistema Operativo: Microsoft Windows XP (v5.1.2600) Service Pack 2
Internet Explorer: (v6.0.2900.2180) ;SP2;

Procesos Activos:

Código: Seleccionar todo

C:\WINDOWS\SYSTEM32\SMSS.EXE
C:\WINDOWS\SYSTEM32\CSRSS.EXE
C:\WINDOWS\SYSTEM32\WINLOGON.EXE
C:\WINDOWS\SYSTEM32\SERVICES.EXE
C:\WINDOWS\SYSTEM32\LSASS.EXE
C:\WINDOWS\SYSTEM32\SVCHOST.EXE
C:\WINDOWS\SYSTEM32\SVCHOST.EXE
C:\WINDOWS\SYSTEM32\SVCHOST.EXE
C:\WINDOWS\SYSTEM32\SVCHOST.EXE
C:\WINDOWS\SYSTEM32\SVCHOST.EXE
C:\WINDOWS\SYSTEM32\SPOOLSV.EXE
C:\ARCHIVOS DE PROGRAMA\LAVASOFT\AD-AWARE 2007\AAWSERVICE.EXE
C:\ARCHIVOS DE PROGRAMA\GOOGLE\COMMON\GOOGLE UPDATER\GOOGLEUPDATERSERVICE.EXE
C:\ARCHIVOS DE PROGRAMA\ESET\NOD32KRN.EXE
C:\ARCHIVOS DE PROGRAMA\SPYWARE DOCTOR\PCTSAUXS.EXE
C:\WINDOWS\EXPLORER.EXE
C:\ARCHIVOS DE PROGRAMA\SPYWARE DOCTOR\PCTSSVC.EXE
C:\ARCHIVOS DE PROGRAMA\ESET\NOD32KUI.EXE
C:\ARCHIVOS DE PROGRAMA\HEWLETT-PACKARD\TOOLBOX2.0\APACHE TOMCAT 4.0\WEBAPPS\TOOLBOX\STATUSCLIENT\STATUSCLIENT.EXE
C:\ARCHIVOS DE PROGRAMA\JAVA\JRE1.6.0_03\BIN\JUSCHED.EXE
C:\DSGCD\DSGAVISO.EXE
C:\ARCHIVOS DE PROGRAMA\SPYWARE DOCTOR\PCTSTRAY.EXE
C:\ARCHIVOS DE PROGRAMA\MSN MESSENGER\MSNMSGR.EXE
C:\ARCHIVOS DE PROGRAMA\MESSENGER\MSMSGS.EXE
C:\ARCHIVOS DE PROGRAMA\LOGITECH\SETPOINT\SETPOINT.EXE
C:\ARCHIVOS DE PROGRAMA\GOOGLE\GOOGLE UPDATER\GOOGLEUPDATER.EXE
C:\WINDOWS\SYSTEM32\NTVDM.EXE
C:\WINDOWS\SYSTEM32\WDFMGR.EXE
C:\WINDOWS\SYSTEM32\NTVDM.EXE
C:\LOGWIN32\EXES\LOGWIN32.EXE
C:\ARCHIVOS DE PROGRAMA\ARCHIVOS COMUNES\LOGITECH\KHAL\KHALMNPR.EXE
C:\WINDOWS\SYSTEM32\ALG.EXE
C:\SPROCES.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/en/us/default.aspxisapi/redir.dll?prd=ie&ar=iesearch
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/en/us/default.aspxisapi/redir.dll?prd=ie&ar=iesearch
R3 - URLSearchHook: Hook de búsqueda de direcciones URL de Microsoft - {CFBFAE00-17A6-11D0-99CB-00C04FD64497} - %SystemRoot%\system32\shdocvw.dll
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,
O1 - Hosts: 127.0.0.1       localhost
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - (no file)
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {5efacb19-c94d-4993-a96e-0a9d47739e4b} - C:\WINDOWS\system32\cybjsjwf.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: (no name) - {A6703659-868E-4EAB-9A81-2E115C2E8227} - (no file)
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Archivos de programa\Google\GoogleToolbarNotifier\2.1.1119.1736\swg.dll
O2 - BHO: (no name) - {ffd769ca-1dd1-11b2-9cee-82bba51a5ef6} - C:\WINDOWS\gfwhkzgp.dll
O4 - HKCU\..\Run: [MsnMsgr] "C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [MSMSGS] "C:\Archivos de programa\Messenger\msmsgs.exe" /background
O4 - HKLM\..\Run: [nod32kui] "C:\Archivos de programa\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKLM\..\Run: [StatusClient] C:\Archivos de programa\Hewlett-Packard\Toolbox2.0\Apache Tomcat 4.0\webapps\Toolbox\StatusClient\StatusClient.exe /auto
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Archivos de programa\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [DSGAviso] C:\DsgCD\DsgAviso.Exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Archivos de programa\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [ISTray] "C:\Archivos de programa\Spyware Doctor\pctsTray.exe"
O4 - Startup: desktop.ini
O4 - Startup: DSG.lnk
O4 - Startup: Protección red.LNK
O4 - Startup: Panel de Control Logic Win.LNK
O4 - Global Startup: desktop.ini
O4 - Global Startup: Microsoft Office.lnk
O4 - Global Startup: Logitech SetPoint.lnk
O4 - Global Startup: Google Updater.lnk
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/english/kavwebscan_unicode.cab
O16 - DPF: {8436FE12-31DB-48BF-83BF-FE682F9160B4} (NanoInstaller Class) - https://www.pandasecurity.com/spain/homeusers/solutions/online-antivirus//cabs/nanoinst.cab
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Plug-in 1.6.0_03) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_03-windows-i586.cab
O16 - DPF: {8AE2688B-025F-4F98-B164-4FA711A631C2} (lcAplisLWNet.lcAplisNet) - https://soporte.sagelogiccontrol.com/web/lcLWNet.CAB
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O16 - DPF: {A996E48C-D3DC-4244-89F7-AFA33EC60679} (Settings Class) - https://www.cert.fnmt.es/content/pages_std/ficheros_apps_usuarios/capicom.cab
O16 - DPF: {B785FA3C-1DE9-4D20-8396-613C486FE95E} (AeatCtl Class) - https://www5.aeat.es/es13/h/cactivex.cab
O16 - DPF: {CAFEEFAC-0014-0002-0002-ABCDEFFEDCBA} (Java Plug-in 1.4.2_02) - http://java.sun.com/products/plugin/autodl/jinstall-142-windows-i586.cab
O16 - DPF: {CAFEEFAC-0015-0000-0009-ABCDEFFEDCBA} (Java Plug-in 1.5.0_09) - http://java.sun.com/update/1.5.0/jinstall-1_5_0_09-windows-i586.cab
O16 - DPF: {CAFEEFAC-0015-0000-0010-ABCDEFFEDCBA} (Java Plug-in 1.5.0_10) - http://java.sun.com/update/1.5.0/jinstall-1_5_0_10-windows-i586.cab
O16 - DPF: {CAFEEFAC-0015-0000-0011-ABCDEFFEDCBA} (Java Plug-in 1.5.0_11) - http://java.sun.com/update/1.5.0/jinstall-1_5_0_11-windows-i586.cab
O16 - DPF: {CAFEEFAC-0016-0000-0001-ABCDEFFEDCBA} (Java Plug-in 1.6.0_01) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_01-windows-i586.cab
O16 - DPF: {CAFEEFAC-0016-0000-0002-ABCDEFFEDCBA} (Java Plug-in 1.6.0_02) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_02-windows-i586.cab
O16 - DPF: {CAFEEFAC-0016-0000-0003-ABCDEFFEDCBA} (Java Plug-in 1.6.0_03) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_03-windows-i586.cab
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} (Java Plug-in 1.6.0_03) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_03-windows-i586.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} - https://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{0714E076-388C-4383-9919-3C0B63C53D9F}: NameServer = 80.58.0.33,80.58.32.97
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL
O21 - SSODL: PostBootReminder - {7849596a-48ea-486e-8937-a2a3009f31a9} - %SystemRoot%\system32\SHELL32.dll
O21 - SSODL: CDBurn - {fbeb8a05-beee-4442-804e-409d6c4515e9} - %SystemRoot%\system32\SHELL32.dll
O21 - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - %SystemRoot%\system32\webcheck.dll
O21 - SSODL: SysTray - {35CEC8A3-2BE6-11D2-8773-92E220524153} - C:\WINDOWS\system32\stobject.dll
O22 - SharedTaskScheduler: {438755C2-A8BA-11D1-B96B-00A0C90312E1} - Precargador Browseui - %SystemRoot%\system32\browseui.dll
O22 - SharedTaskScheduler: {8C7461EF-2B13-11d2-BE35-3078302C2030} - Demonio de caché de las categorías de componente - %SystemRoot%\system32\browseui.dll

Información Adicional:
----------------------

Listado de Servicios (Carga Automatica):
----------------------------------------
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Archivos de programa\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: AMON - Eset  - C:\WINDOWS\system32\drivers\amon.sys
O23 - Service: Iniciador de procesos de servidor DCOM (DcomLaunch) - Unknown owner - C:\WINDOWS\system32\svchost -k DcomLaunch (file missing)
O23 - Service: Google Updater Service (gusvc) - Google - C:\Archivos de programa\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset  - C:\Archivos de programa\Eset\nod32krn.exe
O23 - Service: Llamada a procedimiento remoto (RPC) (RpcSs) - Unknown owner - C:\WINDOWS\system32\svchost -k rpcss (file missing)
O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Archivos de programa\Spyware Doctor\pctsAuxs.exe
O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Archivos de programa\Spyware Doctor\pctsSvc.exe
O23 - Service: Sentinel - Rainbow Technologies, Inc. - C:\WINDOWS\System32\Drivers\SENTINEL.SYS

Listado de Servicios (Carga Manual):
------------------------------------
O23 - Service: Servicio de instalación del controlador de audio (WDM) de Intel(r) 82801 (ac97intc) - Intel Corporation - C:\WINDOWS\SYSTEM32\drivers\ac97intc.sys
O23 - Service: Servicio del administrador de discos lógicos (dmadmin) - Microsoft Corp., VERITAS Software - C:\WINDOWS\System32\dmadmin.exe
O23 - Service: Logitech SetPoint Keyboard Driver (L8042Kbd) - Logitech, Inc. - C:\WINDOWS\SYSTEM32\Drivers\L8042Kbd.sys
O23 - Service: Logitech SetPoint PS/2 Mouse Filter Driver (L8042mou) - Logitech, Inc. - C:\WINDOWS\SYSTEM32\Drivers\L8042mou.sys
O23 - Service: Logitech SetPoint HID Mouse Filter Driver (LHidKe) - Logitech, Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\LHidKE.Sys
O23 - Service: Logitech SetPoint USB Receiver device driver (LHidUsbK) - Logitech, Inc. - C:\WINDOWS\SYSTEM32\Drivers\LHidUsbK.Sys
O23 - Service: Logitech SetPoint Mouse Filter Driver (LMouKE) - Logitech, Inc. - C:\WINDOWS\SYSTEM32\Drivers\LMouKE.sys
O23 - Service: nv - NVIDIA Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\nv4_mini.sys
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: Controlador de vínculo paralelo directo (Ptilink) - Parallel Technologies, Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\ptilink.sys
O23 - Service: Controlador de Windows NT del adaptador Fast Ethernet PCI basado en Realtek  RTL8139(A/B/C) (rtl8139) - Realtek Semiconductor Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\RTL8139.SYS
O23 - Service: Secdrv - Unknown owner - C:\WINDOWS\SYSTEM32\DRIVERS\secdrv.sys
O23 - Service: Servicios de Terminal Server (TermService) - Unknown owner - C:\WINDOWS\System32\svchost -k DComLaunch (file missing)

Listado de Servicios (Deshabilitados):
--------------------------------------
O23 - Service: dmboot - Microsoft Corp., Veritas Software - C:\WINDOWS\SYSTEM32\drivers\dmboot.sys

 23 Servicios.
  9 de Carga Automatica.
 13 de Carga Manual.
  1 Deshabilitados.

Mensaje por **msc hotline sat** » 19 Feb 2008, 17:10

Pues ahí aparecen dos nuevos sospechosos:
C:\WINDOWS\system32\cybjsjwf.dll
C:\WINDOWS\gfwhkzgp.dll

Envíanoslos para analizar e informaremos: Para ello recordar: viewtopic.php?f=2&t=45334

saludos
ms, 19-2-2008

nacamar · Mensaje por **nacamar** » 19 Feb 2008, 17:40

Ok! te los hago llegar ahora mismo .... me tienen acorralado!!! jejeje ... espero tus noticias. Agradecido de nuevo ;)

Mensaje por **lucl** » 19 Feb 2008, 21:38

Estate atento mañana a tu post que te diran algo respecto al envio, saludos

Mensaje por **msc hotline sat** » 20 Feb 2008, 05:26

Pues acorralado no sé, pero infectado sí, porque los ficheros en cuestion no aparecian en el primer log del HJT, asi que esperamos encontrar la causa en el analisis de dichos ficheros, lo cual haremos a partir de cuando los recibamos, esperamos encontrarlos cuando lleguemos al trabajo en SATINFO

ya informaremos al respecto

saludos

ms, 20-2-2008

Mensaje por **msc hotline sat** » 20 Feb 2008, 15:01

Pues las muestras recibidas corresponden a nuevas variantes de Juan Search y de ZLOB, para las cuales se implemente el control y eliminacion en la nueva version de hoy del ELISTARA 15.70

A partir de las 19 h GMT estrá disponible en esta web para pruebas de evaluacion en el foro de zonavirus:

http://www.zonavirus.com/descargas/elistara.asp

Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso

saludos
ms, 20-2-2008

nacamar · Mensaje por **nacamar** » 20 Feb 2008, 18:01

OK! Esta misma tarde si puedo, descargo la nueva versión de Elistara, escaneo y posteo el log. Si no, mañana durante la mañana. Gracias!!!! ;)

Mensaje por **msc hotline sat** » 20 Feb 2008, 20:04

Ya están subidas, pruebalas cuado quieras y nos comentas el resultado: http://www.zonavirus.com/descargas/elistara.asp

saludos
ms, 20-2-2008

nacamar · Mensaje por **nacamar** » 21 Feb 2008, 11:34

Hola, buenos dias!

Ya he descargado Elistara nuevo y escaneado el pc. Aqui os dejo el Log que ha creado. Quedo a la espera de vuestras noticias. Gracias!

Thu Feb 14 10:33:20 2008
EliStartPage v15.65 (c)2008 S.G.H. / Satinfo S.L.
--------------------------------------------------

Código: Seleccionar todo

Lista de Acciones (por Acción Directa):
Key Eliminada [WinLogon\Notify\TUVUURS] -> C:\WINDOWS\SYSTEM32\tuvuurs.dll
Entrada Eliminada [HKLM\...\Run] "2e3213ae"="rundll32.exe "C:\WINDOWS\system32\ravysrco.dll",b" (Vundo)
Por favor, envienos una muestra del fichero
C:\Muestras\RAVYSRCO.DLL.Muestra EliStartPage v15.65
 a "virus@satinfo.es".  Gracias.
C:\WINDOWS\SYSTEM32\RAVYSRCO.DLL -->  Renombrado a .VIR
D:\DESKTOP.INI --> Eliminado (Fichero Complementario).
Eliminadas las Paginas de Inicio y de Busqueda del IE
Eliminados Ficheros Temporales del IE

	  Thu Feb 14 10:41:55 2008
EliStartPage v15.65  (c)2008 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\
C:\WINDOWS\system32\WKLGFHRW.DLL --> Eliminado, JuanSearch(BHO)
C:\WINDOWS\system32\POSMVDWV.DLL --> Eliminado, Vundo5
C:\System Volume Information\_restore{A270581A-2423-4378-A0E6-168FC9DBB0B1}\RP296\A0064367.DLL --> Eliminado, Vundo5
C:\System Volume Information\_restore{A270581A-2423-4378-A0E6-168FC9DBB0B1}\RP301\A0064448.DLL --> Eliminado, JuanSearch(BHO)
C:\System Volume Information\_restore{A270581A-2423-4378-A0E6-168FC9DBB0B1}\RP301\A0064449.DLL --> Eliminado, Vundo5
C:\System Volume Information\_restore{A270581A-2423-4378-A0E6-168FC9DBB0B1}\RP301\A0064452.DLL --> Eliminado, Vundo5
C:\System Volume Information\_restore{A270581A-2423-4378-A0E6-168FC9DBB0B1}\RP304\A0064508.DLL --> Eliminado, JuanSearch(BHO)
C:\System Volume Information\_restore{A270581A-2423-4378-A0E6-168FC9DBB0B1}\RP304\A0064509.DLL --> Eliminado, Vundo5
C:\System Volume Information\_restore{A270581A-2423-4378-A0E6-168FC9DBB0B1}\RP305\A0064545.DLL --> Eliminado, JuanSearch(BHO)
C:\System Volume Information\_restore{A270581A-2423-4378-A0E6-168FC9DBB0B1}\RP305\A0064546.DLL --> Eliminado, Vundo5

Nº Total de Directorios:   3661
Nº Total de Ficheros:      46366
Nº de Ficheros Analizados: 12893
Nº de Ficheros Infectados: 10
Nº de Ficheros Limpiados:  10

	  Thu Feb 14 10:50:10 2008
EliStartPage v15.65  (c)2008 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad D:\

Nº Total de Directorios:   194
Nº Total de Ficheros:      2055
Nº de Ficheros Analizados: 0
Nº de Ficheros Infectados: 0
Nº de Ficheros Limpiados:  0

	  Thu Feb 14 10:50:26 2008
EliStartPage v15.65  (c)2008 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad E:\

Nº Total de Directorios:   559
Nº Total de Ficheros:      40690
Nº de Ficheros Analizados: 9114
Nº de Ficheros Infectados: 0
Nº de Ficheros Limpiados:  0
Sistema Infectado por el Vundo9
(C:\WINDOWS\SYSTEM32\DDCAA.DLL)
Instalada Utilidad "ELINOTIF.DLL" (Reinicie de Nuevo para Completar la Limpieza)

EliNotify v1.8.02.06 (c)2008 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones:
Detectado Vundo9
Elininada Class {91706478-F2DB-4E23-85E2-47A0C0C7F0DF}
Elininado BHO {91706478-F2DB-4E23-85E2-47A0C0C7F0DF}
Desinstalado EliNotif.dll

	  Thu Feb 14 11:08:42 2008
EliStartPage v15.65  (c)2008 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Acción Directa):
Por favor, envienos una muestra del fichero
C:\Muestras\DDCAA.DLL.Muestra EliStartPage v15.65
 a "virus@satinfo.es".  Gracias.
C:\WINDOWS\SYSTEM32\DDCAA.DLL -->  Acceso Denegado.
Eliminada Class, "{33AD6945-E3DB-4AAF-9B1F-8C1A8FEFEF95}" -> C:\WINDOWS\system32\ddcaa.dll
Eliminadas las Paginas de Inicio y de Busqueda del IE
Eliminados Ficheros Temporales del IE
Sistema Infectado por el Vundo9
(C:\WINDOWS\SYSTEM32\DDCAA.DLL)
Instalada Utilidad "ELINOTIF.DLL" (Reinicie de Nuevo para Completar la Limpieza)

EliNotify v1.8.02.06 (c)2008 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones:
Detectado Vundo9
Elininada Class {B646EFDD-D58A-426B-856E-3606B829A988}
Elininado BHO {B646EFDD-D58A-426B-856E-3606B829A988}
Desinstalado EliNotif.dll

	  Fri Feb 15 09:46:11 2008
EliStartPage v15.65  (c)2008 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Acción Directa):
Por favor, envienos una muestra del fichero
C:\Muestras\DDCAA.DLL.Muestra EliStartPage v15.65
 a "virus@satinfo.es".  Gracias.
C:\WINDOWS\SYSTEM32\DDCAA.DLL -->  Acceso Denegado.
Eliminada Class, "{D062707C-3205-421B-98FE-5AB71C1019C8}" -> C:\WINDOWS\system32\ddcaa.dll
Eliminadas las Paginas de Inicio y de Busqueda del IE
Eliminados Ficheros Temporales del IE
Sistema Infectado por el Vundo9
(C:\WINDOWS\SYSTEM32\DDCAA.DLL)
Instalada Utilidad "ELINOTIF.DLL" (Reinicie de Nuevo para Completar la Limpieza)

EliNotify v1.8.02.06 (c)2008 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones:
Detectado Vundo9
Elininada Class {879505C7-A558-4DEE-A63B-D8E3ED99EC9F}
Elininado BHO {879505C7-A558-4DEE-A63B-D8E3ED99EC9F}
Desinstalado EliNotif.dll

	  Fri Feb 15 16:36:37 2008
EliStartPage v15.65  (c)2008 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Acción Directa):
Por favor, envienos una muestra del fichero
C:\Muestras\DDCAA.DLL.Muestra EliStartPage v15.65
 a "virus@satinfo.es".  Gracias.
C:\WINDOWS\SYSTEM32\DDCAA.DLL -->  Acceso Denegado.
Eliminada Class, "{B36D02DD-DB67-48D5-B011-2C3B708A92D6}" -> C:\WINDOWS\system32\ddcaa.dll
Eliminadas las Paginas de Inicio y de Busqueda del IE
Eliminados Ficheros Temporales del IE
Sistema Infectado por el Vundo9
(C:\WINDOWS\SYSTEM32\DDCAA.DLL)
Instalada Utilidad "ELINOTIF.DLL" (Reinicie de Nuevo para Completar la Limpieza)

EliNotify v1.8.02.06 (c)2008 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones:
Detectado Vundo9
Elininada Class {43092ECB-5629-43C1-B566-30EEFF97476D}
Elininado BHO {43092ECB-5629-43C1-B566-30EEFF97476D}
Desinstalado EliNotif.dll

	  Mon Feb 18 10:01:12 2008
EliStartPage v15.65  (c)2008 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Acción Directa):
Por favor, envienos una muestra del fichero
C:\Muestras\DDCAA.DLL.Muestra EliStartPage v15.65
 a "virus@satinfo.es".  Gracias.
C:\WINDOWS\SYSTEM32\DDCAA.DLL -->  Acceso Denegado.
Eliminada Class, "{7F49C8FA-CF13-4141-A4DF-3005726EB493}" -> C:\WINDOWS\system32\ddcaa.dll
Eliminadas las Paginas de Inicio y de Busqueda del IE
Eliminados Ficheros Temporales del IE
Sistema Infectado por el Vundo9
(C:\WINDOWS\SYSTEM32\DDCAA.DLL)
Instalada Utilidad "ELINOTIF.DLL" (Reinicie de Nuevo para Completar la Limpieza)

	  Mon Feb 18 13:09:33 2008
EliStartPage v15.65  (c)2008 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Acción Directa):
Entrada Eliminada [HKLM\...\Run] "2e3213ae"="rundll32.exe "C:\WINDOWS\system32\whfwqeug.dll",b" (Vundo)
Por favor, envienos una muestra del fichero
C:\Muestras\WHFWQEUG.DLL.Muestra EliStartPage v15.65
 a "virus@satinfo.es".  Gracias.
C:\WINDOWS\SYSTEM32\WHFWQEUG.DLL -->  Renombrado a .VIR
Por favor, envienos una muestra del fichero
C:\Muestras\DDCAA.DLL.Muestra EliStartPage v15.65
 a "virus@satinfo.es".  Gracias.
C:\WINDOWS\SYSTEM32\DDCAA.DLL -->  Acceso Denegado.
Eliminada Class, "{7F49C8FA-CF13-4141-A4DF-3005726EB493}" -> C:\WINDOWS\system32\ddcaa.dll
Linea Eliminada del HOSTS --> 127.0.0.1        http://www.customer.symantec.com
Linea Eliminada del HOSTS --> 127.0.0.1        http://www.dispatch.mcafee.com
Linea Eliminada del HOSTS --> 127.0.0.1        http://www.download.mcafee.com
Linea Eliminada del HOSTS --> 127.0.0.1        http://www.liveupdate.symantec.com
Linea Eliminada del HOSTS --> 127.0.0.1        http://www.liveupdate.symantecliveupdate.com
Linea Eliminada del HOSTS --> 127.0.0.1        http://www.mast.mcafee.com
Linea Eliminada del HOSTS --> 127.0.0.1        http://www.rads.mcafee.com
Linea Eliminada del HOSTS --> 127.0.0.1        http://www.secure.nai.com
Linea Eliminada del HOSTS --> 127.0.0.1        http://www.securityresponse.symantec.com
Linea Eliminada del HOSTS --> 127.0.0.1        http://www.update.symantec.com
Linea Eliminada del HOSTS --> 127.0.0.1        http://www.updates.symantec.com
Linea Eliminada del HOSTS --> 127.0.0.1        http://www.us.mcafee.com
Linea Eliminada del HOSTS --> 127.0.0.1        ad.doubleclick.net
Linea Eliminada del HOSTS --> 127.0.0.1        http://www.ad.doubleclick.net
Linea Eliminada del HOSTS --> 127.0.0.1        ad.fastclick.net
Linea Eliminada del HOSTS --> 127.0.0.1        http://www.ad.fastclick.net
Linea Eliminada del HOSTS --> 127.0.0.1        ads.fastclick.net
Linea Eliminada del HOSTS --> 127.0.0.1        http://www.ads.fastclick.net
Linea Eliminada del HOSTS --> 127.0.0.1        ar.atwola.com
Linea Eliminada del HOSTS --> 127.0.0.1        http://www.ar.atwola.com
Linea Eliminada del HOSTS --> 127.0.0.1        atdmt.com
Linea Eliminada del HOSTS --> 127.0.0.1        http://www.atdmt.com
Linea Eliminada del HOSTS --> #AAW 127.0.0.1        awaps.net
Linea Eliminada del HOSTS --> #AAW 127.0.0.1        http://www.awaps.net
Linea Eliminada del HOSTS --> #AAW 127.0.0.1        banner.fastclick.net
Linea Eliminada del HOSTS --> 127.0.0.1        http://www.banner.fastclick.net
Linea Eliminada del HOSTS --> #AAW 127.0.0.1        banners.fastclick.net
Linea Eliminada del HOSTS --> 127.0.0.1        http://www.banners.fastclick.net
Linea Eliminada del HOSTS --> 127.0.0.1        click.atdmt.com
Linea Eliminada del HOSTS --> 127.0.0.1        http://www.click.atdmt.com
Linea Eliminada del HOSTS --> 127.0.0.1        clicks.atdmt.com
Linea Eliminada del HOSTS --> 127.0.0.1        http://www.clicks.atdmt.com
Linea Eliminada del HOSTS --> 127.0.0.1        http://www.dispatch.mcafee.com
Linea Eliminada del HOSTS --> 127.0.0.1        http://www.download.mcafee.com
Linea Eliminada del HOSTS --> 127.0.0.1        http://www.download.microsoft.com
Linea Eliminada del HOSTS --> 127.0.0.1        http://www.downloads.microsoft.com
Linea Eliminada del HOSTS --> 127.0.0.1        engine.awaps.net
Linea Eliminada del HOSTS --> 127.0.0.1        http://www.engine.awaps.net
Linea Eliminada del HOSTS --> #AAW 127.0.0.1        fastclick.net
Linea Eliminada del HOSTS --> 127.0.0.1        http://www.fastclick.net
Linea Eliminada del HOSTS --> 127.0.0.1        http://www.ftp.f-secure.com
Linea Eliminada del HOSTS --> 127.0.0.1        http://www.ftp.sophos.com
Linea Eliminada del HOSTS --> 127.0.0.1        http://www.go.microsoft.com
Linea Eliminada del HOSTS --> 127.0.0.1        http://www.liveupdate.symantec.com
Linea Eliminada del HOSTS --> 127.0.0.1        http://www.mast.mcafee.com
Linea Eliminada del HOSTS --> 127.0.0.1        media.fastclick.net
Linea Eliminada del HOSTS --> 127.0.0.1        http://www.media.fastclick.net
Linea Eliminada del HOSTS --> 127.0.0.1        http://www.msdn.microsoft.com
Linea Eliminada del HOSTS --> 127.0.0.1        http://www.office.microsoft.com
Linea Eliminada del HOSTS --> 127.0.0.1        http://www.phx.corporate-ir.net
Linea Eliminada del HOSTS --> 127.0.0.1        http://www.secure.nai.com
Linea Eliminada del HOSTS --> 127.0.0.1        http://www.securityresponse.symantec.com
Linea Eliminada del HOSTS --> 127.0.0.1        http://www.service1.symantec.com
Linea Eliminada del HOSTS --> 127.0.0.1        spd.atdmt.com
Linea Eliminada del HOSTS --> 127.0.0.1        http://www.spd.atdmt.com
Linea Eliminada del HOSTS --> 127.0.0.1        http://www.support.microsoft.com
Linea Eliminada del HOSTS --> 127.0.0.1        http://www.update.symantec.com
Linea Eliminada del HOSTS --> 127.0.0.1        http://www.updates.symantec.com
Linea Eliminada del HOSTS --> 127.0.0.1        http://www.us.mcafee.com
Linea Eliminada del HOSTS --> 127.0.0.1        http://www.vil.nai.com
Linea Eliminada del HOSTS --> 127.0.0.1        http://www.windowsupdate.microsoft.com
Linea Eliminada del HOSTS --> #AAW 127.0.0.1        awaps.net
Linea Eliminada del HOSTS --> #AAW 127.0.0.1        http://www.awaps.net
Linea Eliminada del HOSTS --> #AAW 127.0.0.1        fastclick.net
Linea Eliminada del HOSTS --> 127.0.0.1        http://www.fastclick.net
Eliminadas las Paginas de Inicio y de Busqueda del IE
Eliminados Ficheros Temporales del IE

	  Mon Feb 18 13:12:53 2008
EliStartPage v15.65  (c)2008 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\

Nº Total de Directorios:   3676
Nº Total de Ficheros:      46615
Nº de Ficheros Analizados: 12893
Nº de Ficheros Infectados: 0
Nº de Ficheros Limpiados:  0

	  Mon Feb 18 13:19:25 2008
EliStartPage v15.65  (c)2008 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad D:\

Nº Total de Directorios:   198
Nº Total de Ficheros:      2071
Nº de Ficheros Analizados: 0
Nº de Ficheros Infectados: 0
Nº de Ficheros Limpiados:  0

	  Mon Feb 18 13:19:44 2008
EliStartPage v15.65  (c)2008 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad E:\

Nº Total de Directorios:   584
Nº Total de Ficheros:      41694
Nº de Ficheros Analizados: 9300
Nº de Ficheros Infectados: 0
Nº de Ficheros Limpiados:  0
Sistema Infectado por el Vundo9
(C:\WINDOWS\SYSTEM32\DDCAA.DLL)
Instalada Utilidad "ELINOTIF.DLL" (Reinicie de Nuevo para Completar la Limpieza)

EliNotify v1.8.02.06 (c)2008 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones:
Detectado Vundo9
Elininada Class {B30A6540-AE8C-44CC-AE5F-2129295C9225}
Elininado BHO {B30A6540-AE8C-44CC-AE5F-2129295C9225}
Desinstalado EliNotif.dll

	  Mon Feb 18 16:11:08 2008
EliStartPage v15.65  (c)2008 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Acción Directa):
Por favor, envienos una muestra del fichero
C:\Muestras\DDCAA.DLL.Muestra EliStartPage v15.65
 a "virus@satinfo.es".  Gracias.
C:\WINDOWS\SYSTEM32\DDCAA.DLL -->  Acceso Denegado.
Eliminada Class, "{6E4049F4-A586-4CEA-8FDA-3E3960A82C73}" -> C:\WINDOWS\system32\ddcaa.dll
Eliminadas las Paginas de Inicio y de Busqueda del IE
Eliminados Ficheros Temporales del IE
Sistema Infectado por el Vundo9
(C:\WINDOWS\SYSTEM32\DDCAA.DLL)
Instalada Utilidad "ELINOTIF.DLL" (Reinicie de Nuevo para Completar la Limpieza)

EliNotify v1.8.02.06 (c)2008 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones:
Detectado Vundo9
Elininada Class {A6703659-868E-4EAB-9A81-2E115C2E8227}
Elininado BHO {A6703659-868E-4EAB-9A81-2E115C2E8227}
Desinstalado EliNotif.dll

	  Mon Feb 18 16:17:02 2008
EliStartPage v15.65  (c)2008 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Acción Directa):
Por favor, envienos una muestra del fichero
C:\Muestras\DDCAA.DLL.Muestra EliStartPage v15.65
 a "virus@satinfo.es".  Gracias.
C:\WINDOWS\SYSTEM32\DDCAA.DLL -->  Acceso Denegado.
Eliminada Class, "{CCD5D81B-2860-4F62-A932-B3D5EFB006A2}" -> C:\WINDOWS\system32\ddcaa.dll
Eliminadas las Paginas de Inicio y de Busqueda del IE
Eliminados Ficheros Temporales del IE
Sistema Infectado por el Vundo9
(C:\WINDOWS\SYSTEM32\DDCAA.DLL)
Instalada Utilidad "ELINOTIF.DLL" (Reinicie de Nuevo para Completar la Limpieza)

EliNotify v1.8.02.06 (c)2008 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones:
Detectado Vundo9
Elininada Class {060CC3BA-DC86-49E0-AAAD-F3672DF3C2E0}
Elininado BHO {060CC3BA-DC86-49E0-AAAD-F3672DF3C2E0}
Desinstalado EliNotif.dll

	  Mon Feb 18 16:28:26 2008
EliStartPage v15.65  (c)2008 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Acción Directa):
Por favor, envienos una muestra del fichero
C:\Muestras\DDCAA.DLL.Muestra EliStartPage v15.65
 a "virus@satinfo.es".  Gracias.
C:\WINDOWS\SYSTEM32\DDCAA.DLL -->  Acceso Denegado.
Entrada Eliminada [HKLM\...\Run] "Msconfig"="C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto"
Eliminada Class, "{EB76F1E2-F62D-4080-B2D6-063C429A1F26}" -> C:\WINDOWS\system32\ddcaa.dll
Eliminadas las Paginas de Inicio y de Busqueda del IE
Eliminados Ficheros Temporales del IE
Sistema Infectado por el Vundo9
(C:\WINDOWS\SYSTEM32\DDCAA.DLL)
Instalada Utilidad "ELINOTIF.DLL" (Reinicie de Nuevo para Completar la Limpieza)

EliNotify v1.8.02.06 (c)2008 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones:
Detectado Vundo9
Elininada Class {C46D3594-7725-43A6-B844-0B0021F70856}
Elininado BHO {C46D3594-7725-43A6-B844-0B0021F70856}
Desinstalado EliNotif.dll

	  Tue Feb 19 09:14:09 2008
EliStartPage v15.65  (c)2008 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Acción Directa):
Por favor, envienos una muestra del fichero
C:\Muestras\DDCAA.DLL.Muestra EliStartPage v15.65
 a "virus@satinfo.es".  Gracias.
C:\WINDOWS\SYSTEM32\DDCAA.DLL -->  Acceso Denegado.
Entrada Eliminada [HKLM\...\Run] "Msconfig"="C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto"
Eliminada Class, "{76565CB1-2C71-452B-849F-0D53362CEED5}" -> C:\WINDOWS\system32\ddcaa.dll
Eliminadas las Paginas de Inicio y de Busqueda del IE
Eliminados Ficheros Temporales del IE
Sistema Infectado por el Vundo9
(C:\WINDOWS\SYSTEM32\DDCAA.DLL)
Instalada Utilidad "ELINOTIF.DLL" (Reinicie de Nuevo para Completar la Limpieza)

EliNotify v1.8.02.06 (c)2008 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones:
Detectado Vundo9
Elininada Class {F4221224-B5A1-4480-A379-66A7B67DC373}
Elininado BHO {F4221224-B5A1-4480-A379-66A7B67DC373}
Desinstalado EliNotif.dll

	  Tue Feb 19 10:34:54 2008
EliStartPage v15.65  (c)2008 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Acción Directa):
Por favor, envienos una muestra del fichero
C:\Muestras\DDCAA.DLL.Muestra EliStartPage v15.65
 a "virus@satinfo.es".  Gracias.
C:\WINDOWS\SYSTEM32\DDCAA.DLL -->  Acceso Denegado.
Eliminada Class, "{08E42F2D-12BD-42E0-B8E2-D6FE54A6042E}" -> C:\WINDOWS\system32\ddcaa.dll
Eliminadas las Paginas de Inicio y de Busqueda del IE
Eliminados Ficheros Temporales del IE
Sistema Infectado por el Vundo9
(C:\WINDOWS\SYSTEM32\DDCAA.DLL)
Instalada Utilidad "ELINOTIF.DLL" (Reinicie de Nuevo para Completar la Limpieza)

EliNotify v1.8.02.06 (c)2008 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones:
Detectado Vundo9
Elininada Class {5AF161C9-AC15-4684-8A12-CE85DC3627BA}
Elininado BHO {5AF161C9-AC15-4684-8A12-CE85DC3627BA}
Desinstalado EliNotif.dll

	  Tue Feb 19 11:30:21 2008
EliStartPage v15.65  (c)2008 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Acción Directa):
Entrada Eliminada [HKLM\...\Run] "2e3213ae"="rundll32.exe "C:\WINDOWS\system32\vjdhfitp.dll",b" (Vundo)
Por favor, envienos una muestra del fichero
C:\Muestras\VJDHFITP.DLL.Muestra EliStartPage v15.65
 a "virus@satinfo.es".  Gracias.
C:\WINDOWS\SYSTEM32\VJDHFITP.DLL --> Eliminado 
Por favor, envienos una muestra del fichero
C:\Muestras\DDCAA.DLL.Muestra EliStartPage v15.65
 a "virus@satinfo.es".  Gracias.
C:\WINDOWS\SYSTEM32\DDCAA.DLL -->  Acceso Denegado.
Entrada Eliminada [HKLM\...\Run] "Msconfig"="C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto"
Eliminada Class, "{AE67AE44-3038-44F7-8230-77B9B2ACE685}" -> C:\WINDOWS\system32\ddcaa.dll
Eliminadas las Paginas de Inicio y de Busqueda del IE
Eliminados Ficheros Temporales del IE
Detectado AUTORUN.INF en la Unidad (F)
 open=setup.exe
Si Desconoce la Aplicación, por favor envienosla
acompañada del AUTORUN.INF a "virus@satinfo.es". Gracias.
Sistema Infectado por el Vundo9
(C:\WINDOWS\SYSTEM32\DDCAA.DLL)
Instalada Utilidad "ELINOTIF.DLL" (Reinicie de Nuevo para Completar la Limpieza)

EliNotify v1.8.02.06 (c)2008 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones:
Detectado Vundo9
Elininada Class {AE67AE44-3038-44F7-8230-77B9B2ACE685}
Elininado BHO {AE67AE44-3038-44F7-8230-77B9B2ACE685}
Desinstalado EliNotif.dll

	  Tue Feb 19 11:46:15 2008
EliStartPage v15.65  (c)2008 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Acción Directa):
Eliminadas las Paginas de Inicio y de Busqueda del IE
Eliminados Ficheros Temporales del IE

	  Thu Feb 21 10:52:48 2008
EliStartPage v15.70  (c)2008 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\GFWHKZGP.DLL --> DownLoader.Zlob.BCD(BHO) Renombrado a .VIR
Eliminada Class, "{FFD769CA-1DD1-11B2-9CEE-82BBA51A5EF6}" -> C:\WINDOWS\gfwhkzgp.dll
Eliminadas las Paginas de Inicio y de Busqueda del IE
Eliminados Ficheros Temporales del IE
Reinicie para Completar la Limpieza.

	  Thu Feb 21 10:53:08 2008
EliStartPage v15.70  (c)2008 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\
C:\WINDOWS\GFWHKZGP.DLL.VIR --> Acceso Denegado, DownLoader.Zlob.BCD(BHO) (Reiniciar para Completar la Limpieza)
C:\WINDOWS\system32\CYBJSJWF.DLL --> Acceso Denegado, JuanSearch(BHO) (Reiniciar para Completar la Limpieza)
C:\WINDOWS\system32\WHFWQEUG.DLL.VIR --> Eliminado, Vundo5
C:\WINDOWS\system32\CYBJSJWF.DLL.VIR --> Acceso Denegado, JuanSearch(BHO) (Reiniciar para Completar la Limpieza)
C:\System Volume Information\_restore{A270581A-2423-4378-A0E6-168FC9DBB0B1}\RP4\A0004897.DLL --> Infectado, DownLoader.Zlob.BCD(BHO)
C:\System Volume Information\_restore{A270581A-2423-4378-A0E6-168FC9DBB0B1}\RP4\A0004898.DLL --> Eliminado, JuanSearch(BHO)
C:\Muestras\DDCAA.DLL.MUESTRA ELISTARTPAGE V15.65 --> Eliminado, Vundo9
C:\Muestras\WHFWQEUG.DLL.MUESTRA ELISTARTPAGE V15.65 --> Eliminado, Vundo5

Nº Total de Directorios:   3237
Nº Total de Ficheros:      32714
Nº de Ficheros Analizados: 10682
Nº de Ficheros Infectados: 8
Nº de Ficheros Limpiados:  4
Exploración Detenida por el Usuario.

	  Thu Feb 21 11:13:47 2008
EliStartPage v15.70  (c)2008 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\
C:\WINDOWS\GFWHKZGP.DLL.VIR.VIR --> Acceso Denegado, DownLoader.Zlob.BCD(BHO) (Reiniciar para Completar la Limpieza)
C:\WINDOWS\system32\RAVYSRCO.DLL.VIR --> Eliminado, Vundo5
C:\WINDOWS\system32\CYBJSJWF.DLL.VIR.VIR --> Acceso Denegado, JuanSearch(BHO) (Reiniciar para Completar la Limpieza)
C:\System Volume Information\_restore{A270581A-2423-4378-A0E6-168FC9DBB0B1}\RP4\A0004897.DLL --> Eliminado, DownLoader.Zlob.BCD(BHO)

Nº Total de Directorios:   3479
Nº Total de Ficheros:      38353
Nº de Ficheros Analizados: 11022
Nº de Ficheros Infectados: 4
Nº de Ficheros Limpiados:  2

	  Thu Feb 21 11:18:25 2008
EliStartPage v15.70  (c)2008 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad D:\

Nº Total de Directorios:   113
Nº Total de Ficheros:      1486
Nº de Ficheros Analizados: 0
Nº de Ficheros Infectados: 0
Nº de Ficheros Limpiados:  0

	  Thu Feb 21 11:18:37 2008
EliStartPage v15.70  (c)2008 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad E:\

Nº Total de Directorios:   499
Nº Total de Ficheros:      37007
Nº de Ficheros Analizados: 8992
Nº de Ficheros Infectados: 0
Nº de Ficheros Limpiados:  0

Mensaje por **msc hotline sat** » 21 Feb 2008, 11:58

Bien. pues se supone que una vez eliminados los bichos ya no persisten los problemas, con lo que damos por solucionado el tema, y procedemos a cerrarlo

Si nos necesita de nuevo, ya sabe donde estamos.

saludos
ms, 21-2-2008