Carpeta %WinDir% y cierre de elistara...

[Claudia34]

Hola a todos, hoy estaba escaneando como siempre lo hago regularmente cada semana, y me encontre que cuando estaba escaneando con elistara se cerro solo en los ultimos momentos del escaneo sin que yo lo cerrara, con el elitrip no sucedio lo mismo por suerte, y cuando reviso el log del elistara me dice que elimino una carpeta llamada %windir% que tampoco se de que se trata (agradeceria si alguien me lo puede explicar), a continuacion os dejo el informe incompleto de infosat ademas de los logs de hijackthis en modo normal y en modo a prueba de fallos:





Tue Jul 15 09:38:16 2008

EliStartPage v16.70 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 14 de Julio del 2008)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminada Carpeta "%WinDir%\PeerNet"

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Tue Jul 15 09:38:49 2008

EliTriIP v4.95 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 14 de Julio del 2008)

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\



Tue Jul 15 09:38:50 2008

EliStartPage v16.70 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 14 de Julio del 2008)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\



Nº Total de Directorios: 3505

Nº Total de Ficheros: 54314

Nº de Ficheros Analizados: 13915

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0





Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 11:41:23 a.m., on 15/07/2008

Platform: Windows XP SP3 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16674)

Boot mode: Safe mode



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\ctfmon.exe

C:\Archivos de programa\a-squared Free\a2free.exe

C:\Archivos de programa\Trend Micro\HijackThis\HijackThis.exe



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: (no name) - {089FD14D-132B-48FC-8861-0048AE113215} - C:\Archivos de programa\SiteAdvisor\6261\SiteAdv.dll

O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O2 - BHO: Windows Live Aplicación auxiliar de inicio de sesión - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O3 - Toolbar: McAfee SiteAdvisor - {0BF43445-2F28-4351-9252-17FE6E806AA0} - C:\Archivos de programa\SiteAdvisor\6261\SiteAdv.dll

O4 - HKLM\..\Run: [nod32kui] "C:\Archivos de programa\Eset\nod32kui.exe" /WAITSERVICE

O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Archivos de programa\Zone Labs\ZoneAlarm\zlclient.exe"

O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Archivos de programa\Spybot - Search & Destroy\TeaTimer.exe

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Servicio de red')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office12\EXCEL.EXE/3000

O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe

O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe

O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\Office12\REFIEBAR.DLL

O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll

O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/eng/partner/us/kavwebscan_unicode.cab

O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab

O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scan8/oscan8.cab

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1211994242304

O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab

O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1211994467687

O16 - DPF: {BDBDE413-7B1C-4C68-A8FF-C5B2B4090876} (F-Secure Online Scanner 3.3) - http://support.f-secure.com/ols/fscax.cab

O16 - DPF: {E1E73B44-2D20-47A9-9CA2-B534CEBBF856} (F-Secure Health Check 1.0) - http://support.f-secure.com/enu/home/onlineservices/fshc/fscax.cab

O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - http://download.mcafee.com/molbin/iss-loc/mcfscan/2,2,0,5316/mcfscan.cab

O20 - Winlogon Notify: !SASWinLogon - C:\Archivos de programa\SUPERAntiSpyware\SASWINLO.dll

O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Archivos de programa\Eset\nod32krn.exe

O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe



--

End of file - 4824 bytes





Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 11:47:53 a.m., on 15/07/2008

Platform: Windows XP SP3 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16674)

Boot mode: Normal



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\ZoneLabs\vsmon.exe

C:\Archivos de programa\Eset\nod32krn.exe

C:\WINDOWS\Explorer.EXE

C:\Archivos de programa\Eset\nod32kui.exe

C:\Archivos de programa\Zone Labs\ZoneAlarm\zlclient.exe

C:\Archivos de programa\Spybot - Search & Destroy\TeaTimer.exe

C:\Archivos de programa\Trend Micro\HijackThis\HijackThis.exe



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: (no name) - {089FD14D-132B-48FC-8861-0048AE113215} - C:\Archivos de programa\SiteAdvisor\6261\SiteAdv.dll

O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O2 - BHO: Windows Live Aplicación auxiliar de inicio de sesión - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O3 - Toolbar: McAfee SiteAdvisor - {0BF43445-2F28-4351-9252-17FE6E806AA0} - C:\Archivos de programa\SiteAdvisor\6261\SiteAdv.dll

O4 - HKLM\..\Run: [nod32kui] "C:\Archivos de programa\Eset\nod32kui.exe" /WAITSERVICE

O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Archivos de programa\Zone Labs\ZoneAlarm\zlclient.exe"

O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Archivos de programa\Spybot - Search & Destroy\TeaTimer.exe

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Servicio de red')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office12\EXCEL.EXE/3000

O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe

O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe

O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\Office12\REFIEBAR.DLL

O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll

O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/eng/partner/us/kavwebscan_unicode.cab

O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab

O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scan8/oscan8.cab

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1211994242304

O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab

O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1211994467687

O16 - DPF: {BDBDE413-7B1C-4C68-A8FF-C5B2B4090876} (F-Secure Online Scanner 3.3) - http://support.f-secure.com/ols/fscax.cab

O16 - DPF: {E1E73B44-2D20-47A9-9CA2-B534CEBBF856} (F-Secure Health Check 1.0) - http://support.f-secure.com/enu/home/onlineservices/fshc/fscax.cab

O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - http://download.mcafee.com/molbin/iss-loc/mcfscan/2,2,0,5316/mcfscan.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{DB00375D-CA49-41E9-BA31-B97B2C8E0A9B}: NameServer = 200.40.220.245 200.40.30.245

O20 - Winlogon Notify: !SASWinLogon - C:\Archivos de programa\SUPERAntiSpyware\SASWINLO.dll

O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Archivos de programa\Eset\nod32krn.exe

O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe



--

End of file - 5109 bytes



Saludos y agradesco el o los aportes que se puedan dar a este tema.

[flacoroo]

Elimina esta entradas con el Fix de HijackThis



O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe

O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe

[msc hotline sat]

Sí, las dos son del Bit Defender y si usas NOD32 ...



Y la carpeta %WinDir% es la de C:\Windows en XP o C:\WinNt en W2k



al igual que la de %SystemDir% es la de sistema, C:\windows\system32 en XP



y se cerró el Elistara cuando estaba escaneando... mira la temperatura de la CPU !



saludos



ms, 15-07-2008

[Claudia34]

Bien para empezar el bitdefender es un antivirus online que utlice hace un buen tiempo, aunque como no lo uso muy seguido eliminare esas claves, con respecto a la temperatura de la cpu no creo que haya sido la temperatura porque lo controlo con un ventilador aparte ademas del everest que me indica cual es la temperatura, ademas al mismo tiempo que escaneaba con el elistara lo hacia con elitrip y este ultimo no se cerro.

Con respecto a esa carpeta si es del sistema operativo lo raro es que el elistara lo haya eliminado, aunque intentare escanear de nuevo a ver que sucede y eliminare las 2 claves atraves del hijackthis, y les seguire informando del resultado, desde ya agradesco la ayuda que me estan ofreciendo.



Saludos.

[Claudia34]

Hola escribo de vuelta para decir que la situacion empeoro si se puede decir de alguna manera, fui en modo a prueba de fallos a realizar de nuevo el escaneo del elistara, y me encuentro con que no lo puedo abrir, me aparece una ventana diciendo que:

windows no tiene acceso al dispositivo, ruta de acceso o archivo especificado incorrecto. Puede que no tenga permisos apropiados para tener acceso al elemento.

Lo que hice entonces fue eliminar dicho archivo elistara y descargarme de nuevo el elitara y me encuentro que no se descarga de forma apropiada, el supuesto archivo (elistara que parece que estuviera dañado) al abrirlo me aparece la siguiente ventana: elistara no es un aplicacion Win32 valida.

Creo segun mi humilde opinion de que cuando habia eliminado dicha carpeta (ver informe) el supuesto virus se defendio si se puede decir asi destruyendo el elistara y no permitiendo descargar el elistara en forma apropiada.

Aclaro que se descarga el archivo solo que no de forma apropiada en la pc, como que algo de ella esta incompleto o destruido, voy a ver si descargandolo desde otra pc (un ciber) al diskette e introduciendolo en mi pc pueda seguir escaneando.

Nota: he intentado tambien descargar otras herramientas como elitrip, elipen y se descargan de forma erronea igual que el elistara.

Desde ya gracias por los aportes que me puedan brindar desde ya, y saludos ( lo de formatear lo dejare como ultima opcion si no hay solucion).

[msc hotline sat]

Lo que tú digas, Claudia, pero recuerda que no todos los problemas son por virus...



De todas formas, si quieres, lanza el ONLINE que decimos siempre:



[url=https://www.kaspersky.es/downloads/thank-you/free-antivirus-download][color=darknesred][b] SOLO TESTEO AV ONLINE[/b][/color][/url]



NOTA: Y de las opciones a escanear, escoger MIPC, para examinarlo todo. Dicho AV ONLINE no limpia, solo testea, asi que lo que pretendemos con ello es solo el informe, ya obraremos en consecuencia, pidiendo muestras para analizar, si hace falta,indicando la utilidad a probar para solucionarlo.



Igual nos llevamos una sorpresa...



saludos



ms, 16-07-2008

[Claudia34]

Bueno ire diciendo los resultados e itinerarios que se fueron dando hasta ahora. Escanee con kapersky online y no encontro nada al igual que con doctor web, spybot search and destroy, antivir, avg antispyware, adware 2008, superantispyware, etc. y ningun detecto nada, descargue atraves de otra pc (un ciber) el elistara y elitrip en un diskette y los guarde en mi pc y no hubo problema con el escaneo ( ver informe a continuacion), eso si intente de nuevo descargar desde mi pc y sigo igual, parece que el problema es desde mi pc que no me permite descargar via internet la familia de los elis, pero bueno por lo menos lo puedo hacer desde otra pc con un diskette.

Y tambien envie una muestra a satinfo para ser analizada del archivo elitrip dañado en mi pc, ademas de dejarles el informe con el analisis de virus total.



File ELITRIIP.BD_GB__H.EXE received on 07.16.2008 13:51:32 (CET)

Current status: Loading ... queued waiting scanning finished NOT FOUND STOPPED

Result: 5/33 (15.16%)

Loading server information...

Your file is queued in position: ___.

Estimated start time is between ___ and ___ .

Do not close the window until scan is complete.

The scanner that was processing your file is stopped at this moment, we are going to wait a few seconds to try to recover your result.

If you are waiting for more than five minutes you have to resend your file.

Your file is being scanned by VirusTotal in this moment,

results will be shown as they're generated.

Compact Compact

Print results Print results

Your file has expired or does not exists.

Service is stopped in this moments, your file is waiting to be scanned (position: ) for an undefined time.



You can wait for web response (automatic reload) or type your email in the form below and click "request" so the system sends you a notification when the scan is finished.

Email:



Antivirus Version Last Update Result

AhnLab-V3 2008.7.16.0 2008.07.16 -

AntiVir 7.8.0.68 2008.07.16 -

Authentium 5.1.0.4 2008.07.15 -

Avast 4.8.1195.0 2008.07.15 -

AVG 7.5.0.516 2008.07.16 -

BitDefender 7.2 2008.07.16 -

CAT-QuickHeal 9.50 2008.07.15 -

ClamAV 0.93.1 2008.07.16 -

DrWeb 4.44.0.09170 2008.07.16 -

eSafe 7.0.17.0 2008.07.15 Suspicious File

eTrust-Vet 31.6.5958 2008.07.16 -

Ewido 4.0 2008.07.16 -

F-Prot 4.4.4.56 2008.07.15 -

F-Secure 7.60.13501.0 2008.07.16 -

Fortinet 3.14.0.0 2008.07.16 -

GData 2.0.7306.1023 2008.07.16 -

Ikarus T3.1.1.26.0 2008.07.16 -

Kaspersky 7.0.0.125 2008.07.16 -

McAfee 5339 2008.07.15 -

Microsoft 1.3704 2008.07.16 -

NOD32v2 3271 2008.07.16 -

Norman 5.80.02 2008.07.16 -

Panda 9.0.0.4 2008.07.15 Suspicious file

Prevx1 V2 2008.07.16 Malicious Software

Rising 20.53.22.00 2008.07.16 -

Sophos 4.31.0 2008.07.16 Mal/Behav-236

Sunbelt 3.1.1536.1 2008.07.15 -

Symantec 10 2008.07.16 -

TheHacker 6.2.96.381 2008.07.16 -

TrendMicro 8.700.0.1004 2008.07.16 -

VBA32 3.12.8.0 2008.07.15 -

VirusBuster 4.5.11.0 2008.07.15 -

Webwasher-Gateway 6.6.2 2008.07.16 Win32.ModifiedUPX.gen!82 (suspicious)

Additional information

File size: 111627 bytes

MD5...: b4dcc2ae03d05a3219c0af3968563d62

SHA1..: ffccd0c48a13dc2d450d77b63f9eb095d7d50662

SHA256: 5707a43d9db698df19e955655d257e3c86dacd0ba0ed464cb037eae6dd3af131

SHA512: 628fcd044c96c3259b23d2d20ca1f95cb2aadf259fceea0a31108897146199a2

a171ed9d42694b61dd6a3282009389bedfbbc2d481f719b2f4527a907deda2fa

PEiD..: UPX 2.90 [LZMA] -> Markus Oberhumer, Laszlo Molnar & John Reiser

PEInfo: PE Structure information



( base data )

entrypointaddress.: 0x48c3a0

timedatestamp.....: 0x487b1895 (Mon Jul 14 09:12:53 2008)

machinetype.......: 0x14c (I386)



( 3 sections )

name viradd virsiz rawdsiz ntrpy md5

UPX0 0x1000 0x71000 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e

UPX1 0x72000 0x1b000 0x1a600 7.85 d8dba58fab15265344432c0f48506284

.rsrc 0x8d000 0x1000 0xa00 3.38 dfcf98c109ed313b7ccd770803df3b26



( 5 imports )

> KERNEL32.DLL: LoadLibraryA, GetProcAddress, ExitProcess

> ADVAPI32.dll: RegEnumKeyA

> MFC42.DLL: -

> MSVCRT.dll: exit

> USER32.dll: IsIconic



( 0 exports )

Prevx info: http://info.prevx.com/aboutprogramtext.asp?PX5=4C8EDFFC0BBE4880B4CE0196AA57BD00884F0008

packers (Kaspersky): UPX

packers (F-Prot): UPX





KASPERSKY ONLINE SCANNER 7 REPORT

Wednesday, July 16, 2008

Operating System: Microsoft Windows XP Professional Service Pack 3 (build 2600)

Kaspersky Online Scanner 7 version: 7.0.25.0

Program database last update: Wednesday, July 16, 2008 12:48:16

Records in database: 959271

Scan settings

Scan using the following database extended

Scan archives yes

Scan mail databases yes

Scan area My Computer

A:\

C:\

D:\

E:\

Scan statistics

Files scanned 55973

Threat name 0

Infected objects 0

Suspicious objects 0

Duration of the scan 01:58:30



No malware has been detected. The scan area is clean.

The selected area was scanned.





Wed Jul 16 10:36:05 2008

EliStartPage v16.72 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 16 de Julio del 2008)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\



Wed Jul 16 10:36:10 2008

EliTriIP v4.98 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 16 de Julio del 2008)

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\



Nº Total de Directorios: 3576

Nº Total de Ficheros: 54986

Nº de Ficheros Analizados: 14656

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



Nº Total de Directorios: 3574

Nº Total de Ficheros: 54980

Nº de Ficheros Analizados: 13999

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0





Saludos y muchas gracias por los aportes que son y seran bien recibidos.

[flacoroo]

bajate esta herramienta y en modo normal ejecutala....despues en modo seguro, deshabiltando restaurar sistema y nos pegas el resultado.....



[url=http://www.zonavirus.com/descargas/elibagla.asp]Descargar Elibagla[/url]

[msc hotline sat]

Mucha confianza le tienes al ELIBAGLA , flacoroo, de acuerdo que su RootKit puede ocultar procesos, pero no veo ningun rastro...



Lo que dice Claudia es que nos ha enviado muestra del ELITRIIP modificado, pues mañana cuando lo recibamos, lo analizaremos, a ver si vemos algo...



saludos



ms, 16-07-2008

[flacoroo]

[quote="Claudia34"]parece que el problema es desde mi pc que no me permite descargar via internet la familia de los elis[/quote].....y casi estoy seguro de que tiene un bagle oculto....

[msc hotline sat]

Bueno, bueno ... es que los haces asi ??? :lol: :lol: :lol:



saludos



ms, 16-07-2008