Otra variante virus messenger (SOLUCIONADO)

[koga]

Otra variante del ya conocido virus de MSN con la tipica escusa de las fotos, el archivo enviado es [b]fotos.zip[/b] que contiene el archivo [b]foto_003.JPEG-www.myspace.com[/b] en su interior que al ejecutarlo desencadena el dichoso virus ya conocido.



[b]Informacion:[/b]

Inmediatamente ejecuta el proceso: [b]hjayb.exe[/b]

Crea las dos siguientes entradas en el log de HJT para ser ejecutadas en cada arranque:



[b]O4 - HKLM\..\Run: [MSN Messenger Mutex] msnstartup.exe[/b]

A variant of the IRCBot family of worms and IRC backdoor Trojans // Fuente: http://www.bleepingcomputer.com/



[b]O4 - HKLM\..\Run: [hjayb] C:\WINDOWS\system32\hjayb.exe \u[/b]

No encontre informacion.



Bueno eso es lo que encontre, el archivo ya fue enviado, adjunto ademas imagen del informe al analizarlo en virus total.







Saludos

[msc hotline sat]

Sí, con el ELITRIIP ya controlamos muchas variantes de este ipo de IRC BOT, que llegan en los mensajes del MSN:



http://www.bleepingcomputer.com/startups/msnstartup.exe-22506.html



En cuanto nos llegue la muestra pasaremos a controlarlo.



saludos y gracias



ms, 29-05-2008

[koga]

Espero entonces para probarlo en el pc de prueba ya que deje todo tal cual para ver como anda el infosat luego,







saludos.

[msc hotline sat]

Pues como te decía por otro lado, el fichero recibido solo tiene el nombre semejante al del gusano del virus, pero no su contenido...



Mira de enviarnos realmente el fichero que se recibe por menssenger. Este no parece ser un IRC BOT como todos los demas al respecto.



Igual es una broma de uno de tus contactos del MSN, que te envia cualquier fichero renombrado como el virus y te lo envia a traves de un mensaje del MSN...



Tenemos 20 muestras diferentes de este tipo, y todas parecidas, menos esta, que ni queda residente, ni visualiza nada, ni modifica claves, ni se autoborra como los otros...



A ver si alguien está jugando contigo :twisted:



saludos



ms, 29-05-2008

[koga]

jajaja tal vez.

No para nada, siempre antes de enviar als muestras lo ejecuto verifico que procesos crea y entradas ejecutando el HJT, ya lo he vuelto ha enviar y esta ves comprobe que creara las entradas antes nombradas, lo extraño es que probe el anterior que habia mandado y no hizo nada asi que descomprimi el zip nuevamente lo compri en rar, probe que al ejecutarlo me creara los procesos, para mi sorpresa solo creo 1,

O4 - HKLM\..\Run: [MSN Messenger Mutex] msnstartup.exe



Bueno yo ahora me tengo que ir a clases en poco rato asi que no tendre mas tiempo de analizarlo, de todas formas ya lo envie y COMPROBE que crea ese proceso cuando ya lo tenia comprimido y con clave.



No es dia de los inocentes ni de bromas verdad? :lol: :lol:





Saludos, espero su respuesta al analisis.

[koga]

Para que no me molesten luego jajaaj



Log HJT antes de ejecutar el archivo:

Logfile of HijackThis v1.99.1

Scan saved at 1:29:21, on 29-05-2008

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16640)



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\Archivos de programa\Eset\nod32kui.exe

C:\Archivos de programa\Analog Devices\SoundMAX\SMax4PNP.exe

C:\WINDOWS\AGRSMMSG.exe

C:\WINDOWS\system32\igfxtray.exe

C:\WINDOWS\system32\hkcmd.exe

C:\WINDOWS\system32\igfxpers.exe

C:\Archivos de programa\TaskSwitchXP\TaskSwitchXP.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Archivos de programa\Eset\nod32krn.exe

C:\WINDOWS\system32\HPZipm12.exe

C:\Archivos de programa\Analog Devices\SoundMAX\SMAgent.exe

C:\WINDOWS\system32\svchost.exe

C:\Archivos de programa\Windows Live\Messenger\usnsvc.exe

C:\Archivos de programa\Mozilla Firefox\firefox.exe

C:\Archivos de programa\Windows Live\Messenger\msnmsgr.exe

C:\hijackthis\HijackThis.exe



R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.busca7.com

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.cl/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.busca7.com

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.busca7.com

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Windows Internet Explorer proporcionado por Windows uE

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: Aplicación auxiliar de vínculos de Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Archivos comunes\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.6.0_02\bin\ssv.dll

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O2 - BHO: Windows Live Aplicación auxiliar de inicio de sesión - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O4 - HKLM\..\Run: [nod32kui] "C:\Archivos de programa\Eset\nod32kui.exe" /WAITSERVICE

O4 - HKLM\..\Run: [SoundMAXPnP] C:\Archivos de programa\Analog Devices\SoundMAX\SMax4PNP.exe

O4 - HKLM\..\Run: [SoundMAX] C:\Archivos de programa\Analog Devices\SoundMAX\Smax4.exe /tray

O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe

O4 - HKLM\..\Run: [igfxtray] C:\WINDOWS\system32\igfxtray.exe

O4 - HKLM\..\Run: [igfxhkcmd] C:\WINDOWS\system32\hkcmd.exe

O4 - HKLM\..\Run: [igfxpers] C:\WINDOWS\system32\igfxpers.exe

O4 - HKLM\..\Run: [BigDog305] C:\WINDOWS\VM305_STI.EXE VIMICRO USB PC Camera (ZC0305)

O4 - HKCU\..\Run: [TaskSwitchXP] C:\Archivos de programa\TaskSwitchXP\TaskSwitchXP.exe

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - Startup: Spida 5 - Check for updates.lnk = C:\Archivos de programa\Micro Medical\Spida5\WiseUpdt.exe

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~1\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_02\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_02\bin\ssv.dll

O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~1\OFFICE11\REFIEBAR.DLL

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O11 - Options group: [INTERNATIONAL] International*

O17 - HKLM\System\CCS\Services\Tcpip\..\{9A3DC5FF-B608-470F-B1F7-E5BBCDBFFD36}: NameServer = 200.54.0.10,200.54.144.227

O17 - HKLM\System\CCS\Services\Tcpip\..\{CEFF2877-7BB1-472B-8629-6AE9E6DDBC50}: NameServer = 200.54.0.10,200.54.144.227

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\WINDOW~4\MESSEN~1\MSGRAP~1.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\WINDOW~4\MESSEN~1\MSGRAP~1.DLL

O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxdev.dll

O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll

O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll

O23 - Service: Ares Chatroom server (AresChatServer) - Ares Development Group - C:\Archivos de programa\Ares\chatServer.exe

O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Archivos de programa\Eset\nod32krn.exe

O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Archivos de programa\Analog Devices\SoundMAX\SMAgent.exe





Log posterior la ejecucion:

Logfile of HijackThis v1.99.1

Scan saved at 6:49:24, on 29-05-2008

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16640)



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\Archivos de programa\Eset\nod32kui.exe

C:\Archivos de programa\Analog Devices\SoundMAX\SMax4PNP.exe

C:\WINDOWS\AGRSMMSG.exe

C:\WINDOWS\system32\igfxtray.exe

C:\WINDOWS\system32\hkcmd.exe

C:\WINDOWS\system32\igfxpers.exe

C:\Archivos de programa\TaskSwitchXP\TaskSwitchXP.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Archivos de programa\Eset\nod32krn.exe

C:\WINDOWS\system32\HPZipm12.exe

C:\Archivos de programa\Analog Devices\SoundMAX\SMAgent.exe

C:\WINDOWS\system32\svchost.exe

C:\Archivos de programa\Windows Live\Messenger\usnsvc.exe

C:\Archivos de programa\Mozilla Firefox\firefox.exe

C:\Archivos de programa\Windows Live\Messenger\msnmsgr.exe

C:\WINDOWS\system32\msnstartup.exe

C:\hijackthis\HijackThis.exe



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.cl

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: Aplicación auxiliar de vínculos de Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Archivos comunes\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.6.0_02\bin\ssv.dll

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O2 - BHO: Windows Live Aplicación auxiliar de inicio de sesión - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O4 - HKLM\..\Run: [nod32kui] "C:\Archivos de programa\Eset\nod32kui.exe" /WAITSERVICE

O4 - HKLM\..\Run: [SoundMAXPnP] C:\Archivos de programa\Analog Devices\SoundMAX\SMax4PNP.exe

O4 - HKLM\..\Run: [SoundMAX] C:\Archivos de programa\Analog Devices\SoundMAX\Smax4.exe /tray

O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe

O4 - HKLM\..\Run: [igfxtray] C:\WINDOWS\system32\igfxtray.exe

O4 - HKLM\..\Run: [igfxhkcmd] C:\WINDOWS\system32\hkcmd.exe

O4 - HKLM\..\Run: [igfxpers] C:\WINDOWS\system32\igfxpers.exe

O4 - HKLM\..\Run: [BigDog305] C:\WINDOWS\VM305_STI.EXE VIMICRO USB PC Camera (ZC0305)

[b]O4 - HKLM\..\Run: [MSN Messenger Mutex] msnstartup.exe[/b]

O4 - HKCU\..\Run: [TaskSwitchXP] C:\Archivos de programa\TaskSwitchXP\TaskSwitchXP.exe

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - Startup: Spida 5 - Check for updates.lnk = C:\Archivos de programa\Micro Medical\Spida5\WiseUpdt.exe

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~1\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_02\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_02\bin\ssv.dll

O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~1\OFFICE11\REFIEBAR.DLL

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O11 - Options group: [INTERNATIONAL] International*

O17 - HKLM\System\CCS\Services\Tcpip\..\{9A3DC5FF-B608-470F-B1F7-E5BBCDBFFD36}: NameServer = 200.54.0.10,200.54.144.227

O17 - HKLM\System\CCS\Services\Tcpip\..\{CEFF2877-7BB1-472B-8629-6AE9E6DDBC50}: NameServer = 200.54.0.10,200.54.144.227

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\WINDOW~4\MESSEN~1\MSGRAP~1.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\WINDOW~4\MESSEN~1\MSGRAP~1.DLL

O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxdev.dll

O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll

O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll

O23 - Service: Ares Chatroom server (AresChatServer) - Ares Development Group - C:\Archivos de programa\Ares\chatServer.exe

O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Archivos de programa\Eset\nod32krn.exe

O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Archivos de programa\Analog Devices\SoundMAX\SMAgent.exe





Me quedo dando vueltas de todas formas la entrada que creo la primera ves que lo ejecute y ahora al ejecutarlo no aparece:

O4 - HKLM\..\Run: [hjayb] C:\WINDOWS\system32\hjayb.exe \u



Lastima que no guarde ese log de HJT.





Pero bueno ya me contaran, saludos!

[msc hotline sat]

Efectivamente, en el segundom log aparece



O4 - HKLM\..\Run: [MSN Messenger Mutex] msnstartup.exe



lo cual a nostros no se nos genera ni con la nueva muestra, que una vez desempaquetada es igual que la primera.



A VER SI LA COMPRESION CON PASSWORD LO AFECTA?



Igual han introducido algun codigo que no se comprime-descomprime correctamente ... y asi evitan el envio de muestras para ser detectados.



Por si es el caso, enviame un privado adjuntandome el fichero sin empaquetar, que hayas comprobado fenera dichas claves...



saludos



ms, 29-05-2008

[koga]

Ok hecho ya lo que se pidio, seguimos aca en el tema ahora.

En estos momentos estoy en la universidad pero cuando salga y me vaya al trabajo pasare a buscar el notebook en caso de que haya cualquier problema nuevamente con la muestra para proceder segun sea lo necesario.







Saludos.

[msc hotline sat]

Pues la muestra que me anexaste ha resultado inocua, no ha creado ninguna clave ni fichero...



Compruebalo.



Posiblemente tiene algun antidebuguer que está impidiendo ser monitorizado...



Va a ser dificil el maldito...



saludos



ms, 29-05-2008

[koga]

Demnios como que se nos resiste... saliendo de la universidad hago lo acordado, voy hacer una liempieza manual y volver a ejecutar tal cual lo resivi la primera ves, pues es bastante extraño el comportamiento como ya dije, la primera ves me genero estas 2 claves:

O4 - HKLM\..\Run: [MSN Messenger Mutex] msnstartup.exe



O4 - HKLM\..\Run: [hjayb] C:\WINDOWS\system32\hjayb.exe \u



Y a pesar de que cada ves que borro con HJT la primera vuelve aparecer al ejecutar el archivo, pero la segunda nada, la elimine la primera ves con el HJT y ya no vuelve a crearse, buscare el archivo creado hjayb.exe a ver si lo encuentro y vemos como seguimos con el tema.



Por razones de seguridad no me atrevo a ejecutarlo en mi otro pc para comprobar pues tengo mucha informacion importante en el.





Parece que tendremos que tener un poco mas de paciencia con este.



Saludos.





NOTA: La primera ves que ejecute el archivo de hecho NOD32 me informo de una posible variable de un virus que enviara el archivo a eset para su analisis, copiare tb llegando el mesaje de NOD32 que la primera ves se me olvido desactivar para el envio pense que habia sido ese el problema.

[koga]

Llegandio al trabajo necesitas que envie muestras de los ficheros que crea? tal vez tengo problemas con los envios, si es necesario que envie el msnstartup.exe y hjayb.exe (en caso de encontrarlo) hazmelo saber.







Saludos.

[msc hotline sat]

Pues sí, mira de enviarnos los ficheros que te ha creado.



Realmente no es el clasico IRCBOT del mensenger, actua de otra manera, quizas descarga estos ficheros que dices de otra parte ???



Tras recibirlos los analizaremos e informaremos



saludos



ms, 29-05-2008

[koga]

Pues parece que no, he llegado al trabajo, aca tengo el notebook al encenderlo me doy cuenta de algo, ejecuto el "virus" y ahora nuevamente me crea 2 entradas nuevas en el HJT pero ahora la segunda tiene otro nombre, son:



O4 - HKLM\..\Run: [MSN Messenger Mutex] msnstartup.exe



O4 - HKLM\..\Run: [lhdiul] C:\WINDOWS\system32\lhdiul.exe



la anterior [b]O4 - HKLM\..\Run: [hjayb] C:\WINDOWS\system32\hjayb.exe \u[/b] fue reemplazada por [b]O4 - HKLM\..\Run: [lhdiul] C:\WINDOWS\system32\lhdiul.exe[/b]



El mensaje que me dio el nod32 la primera ves que lo ejecute fue el que adjunto en la imagen por si sirve de algo...

inmediatamente procedo a mandar las muestras de los otros archivos,





Saludos.

[msc hotline sat]

Pues envianos muestra de los ficheros que te genere...



saludos



ms, 29-05-2008





NOTA : Es una variante totalmente diferente respecto a las demas.

[koga]

Acabo de enviarlas, ademas volvi a enviar la que los genera que no nos ha funcionado estuve haciendo unos arreglos a ver si esta ves si resulta, si no al menos llegaran las muestras de los archivos generados,













Saludos.

[msc hotline sat]

Pues mañana las vemos, que aqui ya es tarde y ya hemos cerrado ! (Son casi las 8 de la tarde/noche)



saludos koga.



ms, 29-05-2008

[koga]

Pues hasta mañana sera, como dicen, mañana sera otro día, esperemos que nos vaya mejor que hoy :lol:







Saludos.

[msc hotline sat]

sEGURO QUE SÍ, ES FIN DE SEMANA ! :lol: :lol: :lol:



saludos



ms, 29-05-2008

[koga]

Como va el analisis de los archivos?

Sirvieron las ultimas muestras enviadas para borralas definitivamente del pc?







Saludos.

[msc hotline sat]

Como te indiqué el jueves pasado, el viernes ya se controlaron con el ELITRIIP



He copiado tus ficheros a un disquete y explorandolo con el ELITRIIP, este es el resultado:




[quote] Tue Jun 03 19:22:13 2008

EliTriIP v4.76 (c)2008 S.G.H. / Satinfo S.L. (Modificado el 30 de Mayo del 2008)

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad A:\

A:\foto_003.JPEG-www.myspace.com --> Eliminado, SdBot(msn)

A:\msnstartup.exe --> Eliminado, SdBot(msn)

A:\hjayb.exe --> Eliminado, BackDoor.DPF

A:\lhdiul.exe --> Eliminado, BackDoor.DPF[/quote]

de lo cual se informó el mismo viernes en:



https://foros.zonavirus.com/viewtopic.php?f=11&t=24989



Al ser fin de semana quizás pasó por alto, revisalo y pruebalo, para nosotros está solucionado, dinos algo, gracias.



saludos



ms, 3-06-2008

[koga]

:lol: :lol: :lol:

Pues como quedo el tema abierto quede con la duda y la verdad no me fije en que se habian subido las nuevas versiones, como dices "efecto fin de semana" :lol:







Bueno ya se puede cerrar el tema entonces :wink:



Si me encuentro con alguna otra cosa por ahi se las envio como siempre,







Saludos.

[msc hotline sat]

Pues lo celebramos, y dando por solucionado el Tema, procedemos a cerrarlo



No hace falta decirte donde quedamos , verdad ??? -aunque yo no esté---*



saludos



ms, 4-06-2008





*NOTA: particularmente te aviso que estaré ausente unos días, no te extrañe. Marcho el viernes a Moscou y volveré, si Dios quiere el proximo 16 de Junio. ms.

[koga]

Pues espero que no sea por nada grave el viaje, y mientras te ausentas hare lo posible para ayudar, aunque claro seguro los moderadores lo haran tan bien como siempre,







Saludos y suerte en tu viaje.

[msc hotline sat]

No, aunque la causa duele :mrgreen: (cosa del tiempo, pero no del cambio climatico ! )



saludos koga y hasta la vuelta si Dios quiere



saludos



ms, 5-6-2008