Hola amigos:
Ayer mientras chateaba con una amiga fotógrafa, en un momento de la conversación me aparece un mensaje de ella que decía algo así como "te envío estas fotos, te van a gustar mucho", acompañadas de un zip. Sin imaginarme que era un troyano, cliqueo en el zip para abrirlo, sin éxito. A partir de ese momento se me empezó a enloquecer el Messenger y me dí cuenta de que había caído en la trampa. Tengo instalado el ESET NOD 32 como residente, que siempre anda muy bien pero este virus lo pasó por alto olímpicamente.
Desde ese momento pasé el Kaspersky On Line, Ad Aware, Mc Affee y todo lo que encontré, sin éxito... Incluso me bajé el ELITRIIP de este foro, al cual llegué buceando desesperadamente en Google por una solución. El punto es que todos los antivirus se "vuelan" o cuelgan cuando llegan a la carpeta donde aparentemente se instaló el virus: c:/documents and settings/sergio/configuracion local/datos de programa/microsoft/messenger
Obviamente ya eliminé el zip manualmente y desinstalé el Messenger, pero cuando quiero "llegar" a esta carpeta desaparecen las ventanas del XP, quedando solo el wallpaper, y al cabo de un segundo vuelve todo a la "normalidad". Incluso creé una carpeta "messenger" sin contenido, para intentar pegarla encima de la carpeta problemática, pero sucede lo mismo. Otro efecto secundario que noté es que me "voló" el Outlook Express sin dejar rastros...
Ahora estoy haciendo backup de todos mis archivos y si no encuentro ninguna solución voy a formatear el C: para cargar todo de nuevo, cosa que obviamente quiero tratar de evitar.
Alguna idea al respecto? Cómo puedo hacer para deshacerme del bicharraco este?
Desde ya, muchas gracias y saludos, el foro me parece excelente, sigan así!
Sergio Piccioli
Buenos Aires - Argentina
BACKDOOR TOFSEE - COMO LO MATO?
-
msc hotline sat
- Mensajes: 93500
- Registrado: 09 Mar 2004, 20:39
- Ubicación: BARCELONA (ESPAÑA)
- Contactar:
Re: BACKDOOR TOFSEE - COMO LO MATO?
Arranca en modo seguro y si asi no lo detectan las utilidades ELISTARA y ELITRIIP, empaquetalo con password VIRUS y luego arrancando en modo normal nos lo envias para analizar:
[b]¿Como enviar las muestras a zonavirus? - Para ello recordar[/b]
https://foros.zonavirus.com/viewtopic.php?f=5&t=14253
saludos
ms, 5-6-2008
saludos
ms, 5-6-2008
msc hotline sat Virus Research Engineer Antes de preguntar - Normas Basicas - Mensajes Privados - Repetir Temas - Continuar Temas - Titulos del Tema - Antivirus Online
BACKDOOR TOFSEE - COMO LO MATO?
bajate estos archivos, deshabilitas restaurar sistemas, los ejecutas y despues nos pegas el resultado de C:infosat.txt
[url=http://www.zonavirus.com/descargas/elistara.asp]Descargar Elistara[/url]
[url=http://www.zonavirus.com/descargas/elinotif.asp]Descargar Elinotiff[/url]
ya que pasastes el[url=http://www.zonavirus.com/descargas/elitriip.asp]ElitriIP[/url] te suguiero que los ejecutes en reiniciando tu compu en modo seguro....
no se te olvide el informe C.infosat.txt para ver que se hizo y si te manda a pedir unas muestras mandalas azonavirus@infosat.es comprimidas con la contraseña virus con referencia en el asunto tu nick del foro....
ya que pasastes el
no se te olvide el informe C.infosat.txt para ver que se hizo y si te manda a pedir unas muestras mandalas a
La vida es hermosa....para que complicarnosla Re: BACKDOOR TOFSEE - COMO LO MATO?
Bueno gente... A partir de hoy son mis ídolos! Seguí las instrucciones que gentilmente proveyeran flacoroo y ms online sat y hasta ahora el maldito troyano se dejó de molestar!
A continuación les pego el resultado de C:infosat.txt
Wed Jun 04 17:05:54 2008
EliTriIP v4.77 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 4 de Junio del 2008)
---------------------------------------------
Lista de Acciones (por Acción Directa):
No detectado SP3 de Windows XP
Restaurado FTP.EXE de la Carpeta de Sistema.
Restaurado FTP.EXE de la Carpeta DllCache.
Restaurado TFTP.EXE de la Carpeta de Sistema.
Restaurado TFTP.EXE de la Carpeta DllCache.
Wed Jun 04 17:06:04 2008
EliTriIP v4.77 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 4 de Junio del 2008)
---------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\
C:\Archivos de programa\Macromedia\Dreamweaver 8\Configuration\JSExtensions\SSITranslator.dll --> Eliminado, BackDoor.CMQ (dropper)
Wed Jun 04 17:11:04 2008
EliTriIP v4.77 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 4 de Junio del 2008)
---------------------------------------------
Lista de Acciones (por Acción Directa):
No detectado SP3 de Windows XP
Wed Jun 04 17:12:37 2008
EliTriIP v4.77 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 4 de Junio del 2008)
---------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\
Wed Jun 04 17:15:50 2008
EliTriIP v4.77 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 4 de Junio del 2008)
---------------------------------------------
Lista de Acciones (por Acción Directa):
No detectado SP3 de Windows XP
Wed Jun 04 17:15:57 2008
EliTriIP v4.77 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 4 de Junio del 2008)
---------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\
Wed Jun 04 17:44:44 2008
EliTriIP v4.77 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 4 de Junio del 2008)
---------------------------------------------
Lista de Acciones (por Acción Directa):
No detectado SP3 de Windows XP
Wed Jun 04 17:44:55 2008
EliTriIP v4.77 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 4 de Junio del 2008)
---------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\
Thu Jun 05 12:22:36 2008
EliStartPage v16.43 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 4 de Junio del 2008)
--------------------------------------------------
Lista de Acciones (por Acción Directa):
No detectado SP3 de Windows XP
Sistema Infectado por el Flush o DNSChanger
Thu Jun 05 12:58:13 2008
EliTriIP v4.77 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 4 de Junio del 2008)
---------------------------------------------
Lista de Acciones (por Acción Directa):
Entrada Eliminada [HKLM\...\Run] "MsConfig"="C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto"
Linea Eliminada del HOSTS --> 127.0.0.1 Merijn.org
Linea Eliminada del HOSTS --> 127.0.0.1http://www.Merijn.org
Linea Eliminada del HOSTS --> 127.0.0.1http://www.spywareinfo.com
Linea Eliminada del HOSTS --> 127.0.0.1 spywareinfo.com
Linea Eliminada del HOSTS --> 127.0.0.1http://www.spybot.info
Linea Eliminada del HOSTS --> 127.0.0.1 spybot.info
Linea Eliminada del HOSTS --> 127.0.0.1http://www.viruslist.com
Linea Eliminada del HOSTS --> 127.0.0.1 viruslist.com
Linea Eliminada del HOSTS --> 127.0.0.1http://www.hijackthis.de
Linea Eliminada del HOSTS --> 127.0.0.1 hijackthis.de
Linea Eliminada del HOSTS --> 127.0.0.1http://www.majorgeeks.com
Linea Eliminada del HOSTS --> 127.0.0.1 majorgeeks.com
Linea Eliminada del HOSTS --> 127.0.0.1http://www.virustotal.com
Linea Eliminada del HOSTS --> 127.0.0.1 virustotal.com
Linea Eliminada del HOSTS --> 127.0.0.1 kaspersky.com
Linea Eliminada del HOSTS --> 127.0.0.1 kaspersky-labs.com
Linea Eliminada del HOSTS --> 127.0.0.1http://www.kaspersky.com
Linea Eliminada del HOSTS --> 127.0.0.1http://www.sophos.com
Linea Eliminada del HOSTS --> 127.0.0.1 sophos
Linea Eliminada del HOSTS --> 127.0.0.1 securityresponse.symantec.com
Linea Eliminada del HOSTS --> 127.0.0.1 symantec.com
Linea Eliminada del HOSTS --> 127.0.0.1http://www.symantec.com
Linea Eliminada del HOSTS --> 127.0.0.1 updates.symantec.com
Linea Eliminada del HOSTS --> 127.0.0.1 liveupdate.symantecliveupdate.com
Linea Eliminada del HOSTS --> 127.0.0.1 liveupdate.symantec.com
Linea Eliminada del HOSTS --> 127.0.0.1 customer.symantec.com
Linea Eliminada del HOSTS --> 127.0.0.1 update.symantec.com
Linea Eliminada del HOSTS --> 127.0.0.1http://www.mcafee.com
Linea Eliminada del HOSTS --> 127.0.0.1 mcafee.com
Linea Eliminada del HOSTS --> 127.0.0.1 rads.mcafee.com
Linea Eliminada del HOSTS --> 127.0.0.1 mast.mcafee.com
Linea Eliminada del HOSTS --> 127.0.0.1 download.mcafee.com
Linea Eliminada del HOSTS --> 127.0.0.1 dispatch.mcafee.com
Linea Eliminada del HOSTS --> 127.0.0.1 us.mcafee.com
Linea Eliminada del HOSTS --> 127.0.0.1http://www.trendsecure.com
Linea Eliminada del HOSTS --> 127.0.0.1 trendsecure.com
Linea Eliminada del HOSTS --> 127.0.0.1http://www.avp.com
Linea Eliminada del HOSTS --> 127.0.0.1 avp.com
Linea Eliminada del HOSTS --> 127.0.0.1 analysis.seclab.tuwien.ac.at
Linea Eliminada del HOSTS --> 127.0.0.1http://www.bleepingcomputer.com
Linea Eliminada del HOSTS --> 127.0.0.1 bleepingcomputer.com
Linea Eliminada del HOSTS --> 127.0.0.1 guru0.grisoft.cz
Linea Eliminada del HOSTS --> 127.0.0.1 guru1.grisoft.cz
Linea Eliminada del HOSTS --> 127.0.0.1 guru2.grisoft.cz
Linea Eliminada del HOSTS --> 127.0.0.1 guru3.grisoft.cz
Linea Eliminada del HOSTS --> 127.0.0.1 guru4.grisoft.cz
Linea Eliminada del HOSTS --> 127.0.0.1 guru5.grisoft.cz
Linea Eliminada del HOSTS --> 127.0.0.1 download.f-secure.com
Linea Eliminada del HOSTS --> 127.0.0.1http://www.download.f-secure.com
Linea Eliminada del HOSTS --> 127.0.0.1 avg-antivirus.net
Linea Eliminada del HOSTS --> 127.0.0.1http://www.avg-antivirus.net
Linea Eliminada del HOSTS --> 127.0.0.1 f-secure.com
Linea Eliminada del HOSTS --> 127.0.0.1http://www.f-secure.com
Linea Eliminada del HOSTS --> 127.0.0.1 free.grisoft.com
Linea Eliminada del HOSTS --> 127.0.0.1http://www.free.grisoft.com
Linea Eliminada del HOSTS --> 127.0.0.1 free.avg.com
Linea Eliminada del HOSTS --> 127.0.0.1http://www.free.avg.com
Linea Eliminada del HOSTS --> 127.0.0.1 avast.com
Linea Eliminada del HOSTS --> 127.0.0.1http://www.avast.com
Linea Eliminada del HOSTS --> 127.0.0.1 onlinescan.avast.com
Linea Eliminada del HOSTS --> 127.0.0.1http://www.onlinescan.avast.com
Linea Eliminada del HOSTS --> 127.0.0.1 housecall.trendmicro.com
Linea Eliminada del HOSTS --> 127.0.0.1http://www.housecall.trendmicro.com
Linea Eliminada del HOSTS --> 127.0.0.1 free.avg.com
Linea Eliminada del HOSTS --> 127.0.0.1http://www.free.avg.com
Linea Eliminada del HOSTS --> 127.0.0.1 bitdefender.com
Linea Eliminada del HOSTS --> 127.0.0.1http://www.bitdefender.com
Linea Eliminada del HOSTS --> 127.0.0.1 trendsecure.com
Linea Eliminada del HOSTS --> 127.0.0.1http://www.trendsecure.com
Linea Eliminada del HOSTS --> 127.0.0.1 futurenow.bitdefender.com
Linea Eliminada del HOSTS --> 127.0.0.1http://www.futurenow.bitdefender.com
Linea Eliminada del HOSTS --> 127.0.0.1 f-prot.com
Linea Eliminada del HOSTS --> 127.0.0.1http://www.f-prot.com
Linea Eliminada del HOSTS --> 127.0.0.1 eset.com
Linea Eliminada del HOSTS --> 127.0.0.1http://www.eset.com
Linea Eliminada del HOSTS --> 127.0.0.1 free-av.com
Linea Eliminada del HOSTS --> 127.0.0.1http://www.free-av.com
Linea Eliminada del HOSTS --> 127.0.0.1 avira.com
Linea Eliminada del HOSTS --> 127.0.0.1http://www.avira.com
Linea Eliminada del HOSTS --> 127.0.0.1 free.avg.com
Linea Eliminada del HOSTS --> 127.0.0.1http://www.free.avg.com
Linea Eliminada del HOSTS --> 127.0.0.1 antivir.es
Linea Eliminada del HOSTS --> 127.0.0.1http://www.antivir.es
Linea Eliminada del HOSTS --> 127.0.0.1 ikarus.net
Linea Eliminada del HOSTS --> 127.0.0.1http://www.ikarus.net
Linea Eliminada del HOSTS --> 127.0.0.1 prevx.com
Linea Eliminada del HOSTS --> 127.0.0.1http://www.prevx.com
Linea Eliminada del HOSTS --> 127.0.0.1 2-spyware.com
Linea Eliminada del HOSTS --> 127.0.0.1http://www.2-spyware.com
Linea Eliminada del HOSTS --> 127.0.0.1 castlecops.com
Linea Eliminada del HOSTS --> 127.0.0.1http://www.castlecops.com
Linea Eliminada del HOSTS --> 127.0.0.1 virusinfo.prevx.com
Linea Eliminada del HOSTS --> 127.0.0.1http://www.virusinfo.prevx.com
Linea Eliminada del HOSTS --> 127.0.0.1 forums.majorgeeks.com
Linea Eliminada del HOSTS --> 127.0.0.1http://www.forums.majorgeeks.com
Linea Eliminada del HOSTS --> 127.0.0.1 eradicatespyware.net
Linea Eliminada del HOSTS --> 127.0.0.1http://www.eradicatespyware.net
Linea Eliminada del HOSTS --> 127.0.0.1 fortinet.com
Linea Eliminada del HOSTS --> 127.0.0.1http://www.fortinet.com
Linea Eliminada del HOSTS --> 127.0.0.1 fortiguardcenter.com
Linea Eliminada del HOSTS --> 127.0.0.1http://www.fortiguardcenter.com
Linea Eliminada del HOSTS --> 127.0.0.1 trendmicro.com
Linea Eliminada del HOSTS --> 127.0.0.1http://www.trendmicro.com
Linea Eliminada del HOSTS --> 127.0.0.1http://www.safer-networking.org
Linea Eliminada del HOSTS --> 127.0.0.1 safer-networking.org
Linea Eliminada del HOSTS --> 127.0.0.1 auditmypc.com
Linea Eliminada del HOSTS --> 127.0.0.1http://www.auditmypc.com
Linea Eliminada del HOSTS --> 127.0.0.1 pctools.com
Linea Eliminada del HOSTS --> 127.0.0.1http://www.pctools.com
Linea Eliminada del HOSTS --> 127.0.0.1 firewallguide.com
Linea Eliminada del HOSTS --> 127.0.0.1http://www.firewallguide.com
Linea Eliminada del HOSTS --> 127.0.0.1 spywaredb.com
Linea Eliminada del HOSTS --> 127.0.0.1http://www.spywaredb.com
Linea Eliminada del HOSTS --> 127.0.0.1 virusspy.com
Linea Eliminada del HOSTS --> 127.0.0.1http://www.virusspy.com
Linea Eliminada del HOSTS --> 127.0.0.1 eradicatespyware.net
Linea Eliminada del HOSTS --> 127.0.0.1http://www.eradicatespyware.net
Linea Eliminada del HOSTS --> 127.0.0.1 spywareterminator.com
Linea Eliminada del HOSTS --> 127.0.0.1http://www.spywareterminator.com
Linea Eliminada del HOSTS --> 127.0.0.1 freespywareremoval.info
Linea Eliminada del HOSTS --> 127.0.0.1http://www.freespywareremoval.info
Linea Eliminada del HOSTS --> 127.0.0.1 antivirus.about.com
Linea Eliminada del HOSTS --> 127.0.0.1http://www.antivirus.about.com
Linea Eliminada del HOSTS --> 127.0.0.1 antivirus.comodo.com
Linea Eliminada del HOSTS --> 127.0.0.1http://www.antivirus.comodo.com
Linea Eliminada del HOSTS --> 127.0.0.1 clamav.net
Linea Eliminada del HOSTS --> 127.0.0.1http://www.clamav.net
Linea Eliminada del HOSTS --> 127.0.0.1 pandasecurity.com
Linea Eliminada del HOSTS --> 127.0.0.1http://www.pandasecurity.com
Linea Eliminada del HOSTS --> 127.0.0.1 clamwin.com
Linea Eliminada del HOSTS --> 127.0.0.1http://www.clamwin.com
Linea Eliminada del HOSTS --> 127.0.0.1 shop.symantecstore.com
Linea Eliminada del HOSTS --> 127.0.0.1http://www.shop.symantecstore.com
Linea Eliminada del HOSTS --> 127.0.0.1 shop.ca.com
Linea Eliminada del HOSTS --> 127.0.0.1http://www.shop.ca.com
Linea Eliminada del HOSTS --> 127.0.0.1 ca.com
Linea Eliminada del HOSTS --> 127.0.0.1http://www.ca.com
Linea Eliminada del HOSTS --> 127.0.0.1 networkworld.com
Linea Eliminada del HOSTS --> 127.0.0.1http://www.networkworld.com
Linea Eliminada del HOSTS --> 127.0.0.1 norman.com
Linea Eliminada del HOSTS --> 127.0.0.1http://www.norman.com
Linea Eliminada del HOSTS --> 127.0.0.1 grisoft.com
Linea Eliminada del HOSTS --> 127.0.0.1http://www.grisoft.com
No detectado SP3 de Windows XP
Thu Jun 05 12:58:19 2008
EliTriIP v4.77 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 4 de Junio del 2008)
---------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\
Thu Jun 05 13:03:31 2008
EliStartPage v16.43 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 4 de Junio del 2008)
--------------------------------------------------
Lista de Acciones (por Acción Directa):
No detectado SP3 de Windows XP
Eliminadas las Paginas de Inicio y de Busqueda del IE
Eliminados Ficheros Temporales del IE
Thu Jun 05 13:05:59 2008
EliStartPage v16.43 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 4 de Junio del 2008)
--------------------------------------------------
Lista de Acciones (por Acción Directa):
No detectado SP3 de Windows XP
Eliminadas las Paginas de Inicio y de Busqueda del IE
Eliminados Ficheros Temporales del IE
Thu Jun 05 13:06:04 2008
EliStartPage v16.43 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 4 de Junio del 2008)
--------------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\
Sistema Infectado por el Flush o DNSChanger
Instalada Utilidad "ELINOTIF.DLL" (Reinicie de Nuevo para Completar la Limpieza)
EliNotify v1.8.02.21 (c)2008 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones:
Detectado Flush o DNSChanger
Desinstalado EliNotif.dll
Thu Jun 05 13:55:44 2008
EliStartPage v16.43 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 4 de Junio del 2008)
--------------------------------------------------
Lista de Acciones (por Acción Directa):
Por favor, envienos una muestra del fichero
C:\Muestras\KDGGF.EXE.Muestra EliStartPage v16.43
a "virus@satinfo.es ". Gracias.
C:\WINDOWS\SYSTEM32\KDGGF.EXE --> Eliminado
No detectado SP3 de Windows XP
Eliminadas las Paginas de Inicio y de Busqueda del IE
Eliminados Ficheros Temporales del IE
Thu Jun 05 13:56:02 2008
EliStartPage v16.43 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 4 de Junio del 2008)
--------------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\
Nº Total de Directorios: 7422
Nº Total de Ficheros: 90695
Nº de Ficheros Analizados: 24791
Nº de Ficheros Infectados: 0
Nº de Ficheros Limpiados: 0
Thu Jun 05 14:11:22 2008
EliStartPage v16.43 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 4 de Junio del 2008)
--------------------------------------------------
Lista de Acciones (por Acción Directa):
No detectado SP3 de Windows XP
Eliminadas las Paginas de Inicio y de Busqueda del IE
Eliminados Ficheros Temporales del IE
Asimismo les envío la muestra del fichero.
Muchas gracias de nuevo y sigan con sus buenos consejos!
Sergio Piccioli
Buenos Aires - Argentina
A continuación les pego el resultado de C:infosat.txt
Wed Jun 04 17:05:54 2008
EliTriIP v4.77 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 4 de Junio del 2008)
---------------------------------------------
Lista de Acciones (por Acción Directa):
No detectado SP3 de Windows XP
Restaurado FTP.EXE de la Carpeta de Sistema.
Restaurado FTP.EXE de la Carpeta DllCache.
Restaurado TFTP.EXE de la Carpeta de Sistema.
Restaurado TFTP.EXE de la Carpeta DllCache.
Wed Jun 04 17:06:04 2008
EliTriIP v4.77 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 4 de Junio del 2008)
---------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\
C:\Archivos de programa\Macromedia\Dreamweaver 8\Configuration\JSExtensions\SSITranslator.dll --> Eliminado, BackDoor.CMQ (dropper)
Wed Jun 04 17:11:04 2008
EliTriIP v4.77 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 4 de Junio del 2008)
---------------------------------------------
Lista de Acciones (por Acción Directa):
No detectado SP3 de Windows XP
Wed Jun 04 17:12:37 2008
EliTriIP v4.77 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 4 de Junio del 2008)
---------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\
Wed Jun 04 17:15:50 2008
EliTriIP v4.77 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 4 de Junio del 2008)
---------------------------------------------
Lista de Acciones (por Acción Directa):
No detectado SP3 de Windows XP
Wed Jun 04 17:15:57 2008
EliTriIP v4.77 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 4 de Junio del 2008)
---------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\
Wed Jun 04 17:44:44 2008
EliTriIP v4.77 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 4 de Junio del 2008)
---------------------------------------------
Lista de Acciones (por Acción Directa):
No detectado SP3 de Windows XP
Wed Jun 04 17:44:55 2008
EliTriIP v4.77 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 4 de Junio del 2008)
---------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\
Thu Jun 05 12:22:36 2008
EliStartPage v16.43 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 4 de Junio del 2008)
--------------------------------------------------
Lista de Acciones (por Acción Directa):
No detectado SP3 de Windows XP
Sistema Infectado por el Flush o DNSChanger
Thu Jun 05 12:58:13 2008
EliTriIP v4.77 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 4 de Junio del 2008)
---------------------------------------------
Lista de Acciones (por Acción Directa):
Entrada Eliminada [HKLM\...\Run] "MsConfig"="C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto"
Linea Eliminada del HOSTS --> 127.0.0.1 Merijn.org
Linea Eliminada del HOSTS --> 127.0.0.1
Linea Eliminada del HOSTS --> 127.0.0.1
Linea Eliminada del HOSTS --> 127.0.0.1 spywareinfo.com
Linea Eliminada del HOSTS --> 127.0.0.1
Linea Eliminada del HOSTS --> 127.0.0.1 spybot.info
Linea Eliminada del HOSTS --> 127.0.0.1
Linea Eliminada del HOSTS --> 127.0.0.1 viruslist.com
Linea Eliminada del HOSTS --> 127.0.0.1
Linea Eliminada del HOSTS --> 127.0.0.1 hijackthis.de
Linea Eliminada del HOSTS --> 127.0.0.1
Linea Eliminada del HOSTS --> 127.0.0.1 majorgeeks.com
Linea Eliminada del HOSTS --> 127.0.0.1
Linea Eliminada del HOSTS --> 127.0.0.1 virustotal.com
Linea Eliminada del HOSTS --> 127.0.0.1 kaspersky.com
Linea Eliminada del HOSTS --> 127.0.0.1 kaspersky-labs.com
Linea Eliminada del HOSTS --> 127.0.0.1
Linea Eliminada del HOSTS --> 127.0.0.1
Linea Eliminada del HOSTS --> 127.0.0.1 sophos
Linea Eliminada del HOSTS --> 127.0.0.1 securityresponse.symantec.com
Linea Eliminada del HOSTS --> 127.0.0.1 symantec.com
Linea Eliminada del HOSTS --> 127.0.0.1
Linea Eliminada del HOSTS --> 127.0.0.1 updates.symantec.com
Linea Eliminada del HOSTS --> 127.0.0.1 liveupdate.symantecliveupdate.com
Linea Eliminada del HOSTS --> 127.0.0.1 liveupdate.symantec.com
Linea Eliminada del HOSTS --> 127.0.0.1 customer.symantec.com
Linea Eliminada del HOSTS --> 127.0.0.1 update.symantec.com
Linea Eliminada del HOSTS --> 127.0.0.1
Linea Eliminada del HOSTS --> 127.0.0.1 mcafee.com
Linea Eliminada del HOSTS --> 127.0.0.1 rads.mcafee.com
Linea Eliminada del HOSTS --> 127.0.0.1 mast.mcafee.com
Linea Eliminada del HOSTS --> 127.0.0.1 download.mcafee.com
Linea Eliminada del HOSTS --> 127.0.0.1 dispatch.mcafee.com
Linea Eliminada del HOSTS --> 127.0.0.1 us.mcafee.com
Linea Eliminada del HOSTS --> 127.0.0.1
Linea Eliminada del HOSTS --> 127.0.0.1 trendsecure.com
Linea Eliminada del HOSTS --> 127.0.0.1
Linea Eliminada del HOSTS --> 127.0.0.1 avp.com
Linea Eliminada del HOSTS --> 127.0.0.1 analysis.seclab.tuwien.ac.at
Linea Eliminada del HOSTS --> 127.0.0.1
Linea Eliminada del HOSTS --> 127.0.0.1 bleepingcomputer.com
Linea Eliminada del HOSTS --> 127.0.0.1 guru0.grisoft.cz
Linea Eliminada del HOSTS --> 127.0.0.1 guru1.grisoft.cz
Linea Eliminada del HOSTS --> 127.0.0.1 guru2.grisoft.cz
Linea Eliminada del HOSTS --> 127.0.0.1 guru3.grisoft.cz
Linea Eliminada del HOSTS --> 127.0.0.1 guru4.grisoft.cz
Linea Eliminada del HOSTS --> 127.0.0.1 guru5.grisoft.cz
Linea Eliminada del HOSTS --> 127.0.0.1 download.f-secure.com
Linea Eliminada del HOSTS --> 127.0.0.1
Linea Eliminada del HOSTS --> 127.0.0.1 avg-antivirus.net
Linea Eliminada del HOSTS --> 127.0.0.1
Linea Eliminada del HOSTS --> 127.0.0.1 f-secure.com
Linea Eliminada del HOSTS --> 127.0.0.1
Linea Eliminada del HOSTS --> 127.0.0.1 free.grisoft.com
Linea Eliminada del HOSTS --> 127.0.0.1
Linea Eliminada del HOSTS --> 127.0.0.1 free.avg.com
Linea Eliminada del HOSTS --> 127.0.0.1
Linea Eliminada del HOSTS --> 127.0.0.1 avast.com
Linea Eliminada del HOSTS --> 127.0.0.1
Linea Eliminada del HOSTS --> 127.0.0.1 onlinescan.avast.com
Linea Eliminada del HOSTS --> 127.0.0.1
Linea Eliminada del HOSTS --> 127.0.0.1 housecall.trendmicro.com
Linea Eliminada del HOSTS --> 127.0.0.1
Linea Eliminada del HOSTS --> 127.0.0.1 free.avg.com
Linea Eliminada del HOSTS --> 127.0.0.1
Linea Eliminada del HOSTS --> 127.0.0.1 bitdefender.com
Linea Eliminada del HOSTS --> 127.0.0.1
Linea Eliminada del HOSTS --> 127.0.0.1 trendsecure.com
Linea Eliminada del HOSTS --> 127.0.0.1
Linea Eliminada del HOSTS --> 127.0.0.1 futurenow.bitdefender.com
Linea Eliminada del HOSTS --> 127.0.0.1
Linea Eliminada del HOSTS --> 127.0.0.1 f-prot.com
Linea Eliminada del HOSTS --> 127.0.0.1
Linea Eliminada del HOSTS --> 127.0.0.1 eset.com
Linea Eliminada del HOSTS --> 127.0.0.1
Linea Eliminada del HOSTS --> 127.0.0.1 free-av.com
Linea Eliminada del HOSTS --> 127.0.0.1
Linea Eliminada del HOSTS --> 127.0.0.1 avira.com
Linea Eliminada del HOSTS --> 127.0.0.1
Linea Eliminada del HOSTS --> 127.0.0.1 free.avg.com
Linea Eliminada del HOSTS --> 127.0.0.1
Linea Eliminada del HOSTS --> 127.0.0.1 antivir.es
Linea Eliminada del HOSTS --> 127.0.0.1
Linea Eliminada del HOSTS --> 127.0.0.1 ikarus.net
Linea Eliminada del HOSTS --> 127.0.0.1
Linea Eliminada del HOSTS --> 127.0.0.1 prevx.com
Linea Eliminada del HOSTS --> 127.0.0.1
Linea Eliminada del HOSTS --> 127.0.0.1 2-spyware.com
Linea Eliminada del HOSTS --> 127.0.0.1
Linea Eliminada del HOSTS --> 127.0.0.1 castlecops.com
Linea Eliminada del HOSTS --> 127.0.0.1
Linea Eliminada del HOSTS --> 127.0.0.1 virusinfo.prevx.com
Linea Eliminada del HOSTS --> 127.0.0.1
Linea Eliminada del HOSTS --> 127.0.0.1 forums.majorgeeks.com
Linea Eliminada del HOSTS --> 127.0.0.1
Linea Eliminada del HOSTS --> 127.0.0.1 eradicatespyware.net
Linea Eliminada del HOSTS --> 127.0.0.1
Linea Eliminada del HOSTS --> 127.0.0.1 fortinet.com
Linea Eliminada del HOSTS --> 127.0.0.1
Linea Eliminada del HOSTS --> 127.0.0.1 fortiguardcenter.com
Linea Eliminada del HOSTS --> 127.0.0.1
Linea Eliminada del HOSTS --> 127.0.0.1 trendmicro.com
Linea Eliminada del HOSTS --> 127.0.0.1
Linea Eliminada del HOSTS --> 127.0.0.1
Linea Eliminada del HOSTS --> 127.0.0.1 safer-networking.org
Linea Eliminada del HOSTS --> 127.0.0.1 auditmypc.com
Linea Eliminada del HOSTS --> 127.0.0.1
Linea Eliminada del HOSTS --> 127.0.0.1 pctools.com
Linea Eliminada del HOSTS --> 127.0.0.1
Linea Eliminada del HOSTS --> 127.0.0.1 firewallguide.com
Linea Eliminada del HOSTS --> 127.0.0.1
Linea Eliminada del HOSTS --> 127.0.0.1 spywaredb.com
Linea Eliminada del HOSTS --> 127.0.0.1
Linea Eliminada del HOSTS --> 127.0.0.1 virusspy.com
Linea Eliminada del HOSTS --> 127.0.0.1
Linea Eliminada del HOSTS --> 127.0.0.1 eradicatespyware.net
Linea Eliminada del HOSTS --> 127.0.0.1
Linea Eliminada del HOSTS --> 127.0.0.1 spywareterminator.com
Linea Eliminada del HOSTS --> 127.0.0.1
Linea Eliminada del HOSTS --> 127.0.0.1 freespywareremoval.info
Linea Eliminada del HOSTS --> 127.0.0.1
Linea Eliminada del HOSTS --> 127.0.0.1 antivirus.about.com
Linea Eliminada del HOSTS --> 127.0.0.1
Linea Eliminada del HOSTS --> 127.0.0.1 antivirus.comodo.com
Linea Eliminada del HOSTS --> 127.0.0.1
Linea Eliminada del HOSTS --> 127.0.0.1 clamav.net
Linea Eliminada del HOSTS --> 127.0.0.1
Linea Eliminada del HOSTS --> 127.0.0.1 pandasecurity.com
Linea Eliminada del HOSTS --> 127.0.0.1
Linea Eliminada del HOSTS --> 127.0.0.1 clamwin.com
Linea Eliminada del HOSTS --> 127.0.0.1
Linea Eliminada del HOSTS --> 127.0.0.1 shop.symantecstore.com
Linea Eliminada del HOSTS --> 127.0.0.1
Linea Eliminada del HOSTS --> 127.0.0.1 shop.ca.com
Linea Eliminada del HOSTS --> 127.0.0.1
Linea Eliminada del HOSTS --> 127.0.0.1 ca.com
Linea Eliminada del HOSTS --> 127.0.0.1
Linea Eliminada del HOSTS --> 127.0.0.1 networkworld.com
Linea Eliminada del HOSTS --> 127.0.0.1
Linea Eliminada del HOSTS --> 127.0.0.1 norman.com
Linea Eliminada del HOSTS --> 127.0.0.1
Linea Eliminada del HOSTS --> 127.0.0.1 grisoft.com
Linea Eliminada del HOSTS --> 127.0.0.1
No detectado SP3 de Windows XP
Thu Jun 05 12:58:19 2008
EliTriIP v4.77 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 4 de Junio del 2008)
---------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\
Thu Jun 05 13:03:31 2008
EliStartPage v16.43 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 4 de Junio del 2008)
--------------------------------------------------
Lista de Acciones (por Acción Directa):
No detectado SP3 de Windows XP
Eliminadas las Paginas de Inicio y de Busqueda del IE
Eliminados Ficheros Temporales del IE
Thu Jun 05 13:05:59 2008
EliStartPage v16.43 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 4 de Junio del 2008)
--------------------------------------------------
Lista de Acciones (por Acción Directa):
No detectado SP3 de Windows XP
Eliminadas las Paginas de Inicio y de Busqueda del IE
Eliminados Ficheros Temporales del IE
Thu Jun 05 13:06:04 2008
EliStartPage v16.43 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 4 de Junio del 2008)
--------------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\
Sistema Infectado por el Flush o DNSChanger
Instalada Utilidad "ELINOTIF.DLL" (Reinicie de Nuevo para Completar la Limpieza)
EliNotify v1.8.02.21 (c)2008 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones:
Detectado Flush o DNSChanger
Desinstalado EliNotif.dll
Thu Jun 05 13:55:44 2008
EliStartPage v16.43 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 4 de Junio del 2008)
--------------------------------------------------
Lista de Acciones (por Acción Directa):
Por favor, envienos una muestra del fichero
C:\Muestras\KDGGF.EXE.Muestra EliStartPage v16.43
a "
C:\WINDOWS\SYSTEM32\KDGGF.EXE --> Eliminado
No detectado SP3 de Windows XP
Eliminadas las Paginas de Inicio y de Busqueda del IE
Eliminados Ficheros Temporales del IE
Thu Jun 05 13:56:02 2008
EliStartPage v16.43 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 4 de Junio del 2008)
--------------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\
Nº Total de Directorios: 7422
Nº Total de Ficheros: 90695
Nº de Ficheros Analizados: 24791
Nº de Ficheros Infectados: 0
Nº de Ficheros Limpiados: 0
Thu Jun 05 14:11:22 2008
EliStartPage v16.43 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 4 de Junio del 2008)
--------------------------------------------------
Lista de Acciones (por Acción Directa):
No detectado SP3 de Windows XP
Eliminadas las Paginas de Inicio y de Busqueda del IE
Eliminados Ficheros Temporales del IE
Asimismo les envío la muestra del fichero.
Muchas gracias de nuevo y sigan con sus buenos consejos!
Sergio Piccioli
Buenos Aires - Argentina
Re: BACKDOOR TOFSEE - COMO LO MATO?
Muy bien pues ya solo te falta enviarnos la muestra en cuestion y mañana te daremos la herramienta actualizada, sigue las indicaciones del link para el envio gracias, saludos
https://foros.zonavirus.com/viewtopic.php?f=2&t=45334
Re: BACKDOOR TOFSEE - COMO LO MATO?
Ya les envié la muestra según instrucciones hace unos minutos, espero la herramienta actualizada.
Muchas gracias nuevamente!
Sergio Piccioli
Buenos Aires - Argentina
Muchas gracias nuevamente!
Sergio Piccioli
Buenos Aires - Argentina
Re: BACKDOOR TOFSEE - COMO LO MATO?
Mañana por la tarde pondre un mensaje cuando ya se haya subido la nueva version. Salvo que haya habido error en tu envio, que no tiene porque, si el envio llega bien se analiza mañana y se implementa su control en el elistara , saludos.