YA PROBE DE TODO CON ESTE VIRUS Y NADAA... (SOLUCIONADO)

[sembrar]

Cada 10 o 15 minutos me aparece un cartelito que dice

NVMEDIACENTER
RUN-TIME ERROR 75
PATH/FILE ACCES ERROR

El NOD32 no encuentra nada, el SpyBot no encuentra nada, los antivurs online solo el Panda pero al desinfectarlos no cambio nada.

Tambien tengo ese malidto virus de Msn, lo habia logrado borrar con el msn cleanner pero volvio... no se como! porque yo no acepto nada que no conosca...

El NOD32 lo tengo configurado siguiendo los pasos de un tutotial no entiendo como entre este y el SpyBot no encuntrannada....
Lo que si cuando paso el NOD32 hay un montooon de arrchivos que los pone en azul y los marca como bloqueados, como que no los puede revisar...

No entiendo porque los antivirus me dicen que esta todo bien!!

gracias!! saludos!!! alguna idea me vendría bárbaro

[msc hotline sat]

Y a qué viene considerarlo virus ???

Los mensajes

RUN-TIME ERROR 75

PATH/FILE ACCES ERROR

solo indican que no hay acceso a algun fichero del mismo o que está dañado y da dá error y que el tiempo empleado en ello excede el adecuadio, pero nada mas...

NVMEDIACENTER es una aplicación que permite acceder a los controles de configuración de las tarjetas graficas Nvidia. Es necesario para que algunas aplicaciones 3D puedan reconocer su tarjeta adecuadamente.

Podría ser que hubieras borrado la DLL que carga en el arranque,

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

Puedes probar copiandola de nuevo o reinstala de nuevo los drivers de tu tarjeta de vídeo, que posiblemente tengas éste o algún otro dañado o borrado.

Y nos comentas el resultado, gracias

saludos
ms, 2-12-2008

[julibaga]

Por lo visto, puede ser un malware o spyware. Lanza el Hijackthis y pon el resultado.
Creo que hay un proceso que se debe cerrar (O4 - HKLM\..\Run: [csrss] c:\windows\SSMS.EXE) y pasarle algún anti-spyware, pero verifícalo y confirma con msc hotline sat y sigue sus instrucciones.

Pero para ello, va a necesitar el log del HijackThis

Salu2

[msc hotline sat]

Realmente una clave asi sería muy sospechosa "O4 - HKLM\..\Run: [csrss] c:\windows\SSMS.EXE" !

con valor csrss y dato ssms.exe y ademas en carpeta de windir... vamos, tendría todos los números ! aunque no conozco dicha clave ni le veo la relacion con el caso, pero ...

Veamos el log del HJT y saldremos de dudas.

saludos
ms, 2-12-2008

[sembrar]

bueno pongo el log, no se si hace falta ponerlo todo... nunca habia hecho esto asi que por las dudas lo pongo todo!

Logfile of HijackThis v1.99.1
Scan saved at 03:39:15 p.m., on 02/12/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16735)

Running processes:

Código: Seleccionar todo

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.exe
C:\Archivos de programa\ANTIVIRUS Y OTROS\AD Ware\aawservice.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\csrcs.exe
C:\Archivos de programa\Symantec\Norton Ghost 2003\GhostStartTrayApp.exe
C:\Archivos de programa\thomson(modem driver)\Dragdiag.exe
C:\Archivos de programa\Java\jre1.6.0_07\bin\jusched.exe
C:\Archivos de programa\WinPoET\winpppoverethernet.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Archivos de programa\Symantec\Norton Ghost 2003\GhostStartService.exe
C:\WINDOWS\System32\svchost.exe
C:\Archivos de programa\WinPoET\WrOS.EXE
C:\WINDOWS\system32\wuauclt.exe
C:\Archivos de programa\Windows Live\Messenger\msnmsgr.exe
C:\Archivos de programa\Windows Live\Messenger\usnsvc.exe
C:\Archivos de programa\Internet Explorer\iexplore.exe
C:\Archivos de programa\ANTIVIRUS Y OTROS\hijackthis\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
F2 - REG:system.ini: Shell=Explorer.exe csrcs.exe
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\ANTIVI~1\SPYBOT~1.30_\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.6.0_07\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O4 - HKLM\..\Run: [GhostStartTrayApp] C:\Archivos de programa\Symantec\Norton Ghost 2003\GhostStartTrayApp.exe
O4 - HKLM\..\Run: [nod32kui] "C:\Archivos de programa\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Archivos de programa\thomson(modem driver)\Dragdiag.exe" /icon
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Archivos de programa\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [a-winpoet-service] "C:\Archivos de programa\WinPoET\winpppoverethernet.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [IMSCMIG40W] C:\ARCHIV~1\ARCHIV~1\MICROS~1\IME\IMSC40W\IMSCMIG.EXE /SetPreload /Log
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Archivos de programa\SpyBot+Search+Destroy+1.6.0.30+Fina\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [microsoft corporation] C:\RECYCLER\S-1-5-21-5922115811-4377976080-405230045-0115\gpl.exe
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: Agregar entrada - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Archivos de programa\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra 'Tools' menuitem: &Agregar entrada en Windows Live Writer - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Archivos de programa\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\ARCHIV~1\ANTIVI~1\SPYBOT~1.30_\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\ARCHIV~1\ANTIVI~1\SPYBOT~1.30_\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://appldnld.apple.com.edgesuite.net/content.info.apple.com/QuickTime/qtactivex/qtplugin.cab
O16 - DPF: {0A5FD7C5-A45C-49FC-ADB5-9952547D5715} (Creative Software AutoUpdate) - http://www.creative.com/su/ocx/15015/CTSUEng.cab
O16 - DPF: {1239CC52-59EF-4DFA-8C61-90FFA846DF7E} (Musicnotes Viewer) - http://www.musicnotes.com/download/mnviewer.cab
O16 - DPF: {215B8138-A3CF-44C5-803F-8226143CFC0A} (Trend Micro ActiveX Scan Agent 6.6) - http://housecall65.trendmicro.com/housecall/applet/html/native/x86/win32/activex/hcImpl.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {2D8ED06D-3C30-438B-96AE-4D110FDC1FB8} (ActiveScan 2.0 Installer Class) - http://www.pandasecurity.com/activescan/cabs/as2stubie.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://sembrar.spaces.live.com//PhotoUpload/MsnPUpld.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {7B297BFD-85E4-4092-B2AF-16A91B2EA103} (WScanCtl Class) - http://www.ca.com/us/securityadvisor/virusinfo/webscan.cab
O16 - DPF: {7FC1B346-83E6-4774-8D20-1A6B09B0E737} (Windows Live Photo Upload Control) - http://sembrar.spaces.live.com/PhotoUpload/MsnPUpld.cab
O16 - DPF: {97E71027-0BA2-44F2-97DB-F84D808ED0B6} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab55762.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (MSN Games - Installer) - http://messenger.zone.msn.com/binary/ZIntro.cab55579.cab
O16 - DPF: {BD393C14-72AD-4790-A095-76522973D6B8} (CBreakshotControl Class) - http://messenger.zone.msn.com/binary/Bankshot.cab55668.cab
O16 - DPF: {F6ACF75C-C32C-447B-9BEF-46B766368D29} (Creative Software AutoUpdate Support Package) - http://www.creative.com/su/ocx/15021/CTPID.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{CEB241F5-8BBD-4956-8218-6C44B9A22544}: NameServer = 200.63.155.184 200.63.155.56
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Archivos de programa\ANTIVIRUS Y OTROS\AD Ware\aawservice.exe
O23 - Service: GhostStartService - Symantec Corporation - C:\Archivos de programa\Symantec\Norton Ghost 2003\GhostStartService.exe
O23 - Service: MSSQL$SONY_MEDIAMGR - Unknown owner - C:\Mis Programas\SONY Sound Forge v9.0e(NEW-with fix)\Media Manager\MSSQL$SONY_MEDIAMGR\Binn\sqlservr.exe (file missing)
O23 - Service: NBService - Nero AG - C:\Archivos de programa\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Unknown owner - C:\Archivos de programa\Eset\nod32krn.exe (file missing)
O23 - Service: SQLAgent$SONY_MEDIAMGR - Unknown owner - C:\Mis Programas\SONY Sound Forge v9.0e(NEW-with fix)\Media Manager\MSSQL$SONY_MEDIAMGR\Binn\sqlagent.EXE (file missing)
O23 - Service: WinPPPoverEthernet - iVasion, a Routerware Company - C:\Archivos de programa\WinPoET\WrOS.EXE
O23 - Service: Windows Live Setup Service (WLSetupSvc) - Unknown owner - C:\Archivos de programa\Windows Live\installer\WLSetupSvc.exe[/c

[msc hotline sat]

Envianos estos dos ficheros para analizar:
C:\WINDOWS\system32\csrcs.exe
C:\RECYCLER\S-1-5-21-5922115811-4377976080-405230045-0115\gpl.exe

y el ultimo te será maa facil copiarlo con el ELIMOVER a C:\muestras (y marca la casilla de renombrar el original a extension .VIR)

Luego prueba el ELISHELL para restaurar la c lave modificada por el virus

luego sigo con los links, ahora no puedo

[julibaga]

jejeje... como que se te pegó algo que repites los mensajes.... (broma)

[sembrar]

disculpen la ignorancia pero no tengo idea como para hacer para mandarles esos dos ficheros

Si me quieren explicar voy a necesitar mas detalle y si no los analizo yo de alguna manera...

disculpen

gracias!!!

[julibaga]

cómo enviar: viewtopic.php?f=2&t=45334

[sembrar]

ok gracias... ya vi como mandar las muestras eso lo se hacer sin problemas....pero al administrador mme dijo:

y el ultimo te será mas fácil copiarlo con el ELIMOVER a C:\muestras (y marca la casilla de renombrar el original a extension .VIR)
Luego prueba el ELISHELL para restaurar la c lave modificada por el virus y eso es lo que no entendi!! o sea que este fichero no lo puedo encontrar y comprimir asi nomas¿?

[julibaga]

Pues entonces espera a que te pueda responder msc, porque yo no he tenido la oportunidad de usar el elimover, de todas formas supongo que por algo te diría que lo hicieras así, y porque probablemente si está en uso no podrás hacerlo. Pero es una suposición.

Salu2

[msc hotline sat]

Lo posteé cuando ya estaba la alarma de la empresa activada y con la cuenta atrás !!!

Era cosa de segundos para que saltaran las sirenas, y no podía alargarme

Pues veras, el csrcs.exe es un sospechoso que quiere parecer ser el csrss.exe, del sistema , por esto te pido que envies muestra para analizar, ya que muchos hacen lo mismo, disimular adoptando nombres parecidos a los legales del sistema.

Y el otro gpl.exe está copiado (que no borrado) en la carpeta de la papelera, la cual normalmente solo se pueden colocar los fichros borrados para recuperarlos o vaciarla, pero en este caso el fichero indicado ha sido copiado, no borrado, por lo que su renombre y copia a c:\muestra para enviarnoslo te sería dificil desde windows (por no decir imposible) y lo facilitamos con el ELIMOVER y recuerda lo que te he dicho de marcar la casilla inferior izquierda de su ventana, donde dice renombrar el fichero original a .VIR

y como sea que la clave que lanza el csrcs.exe es la del EXPLORER:
F2 - REG:system.ini: Shell=Explorer.exe csrcs.exe

no se puede eliminar dicha clave, sino que se ha de restaurar para que siga cargando dicho EXPLORER pero no el troyano csrcs.exe, por lo cual conviene que pruebes el ELISHELL:

ELISHELL.EXE: http://www.zonavirus.com/descargas/elishell.asp

tras ello reinicias y nos envias las muestras, para que podamos analizarlos e implementar su control y eliminacion en nuestras utilidades, y mañana ya podremos ofrecer su control automatizado.

Mientras ya estarán "aparcados" sin incordiuar, espero

saludos
ms, 2-12-2008

[sembrar]

bien... este fichero C:\WINDOWS\system32\csrcs.exe no lo encuentro, lo mas parecido que encontre es esto C:\WINDOWS\Prefetch\CSRCS.EXE-17976F63.pf

Este C:\RECYCLER\S-1-5-21-5922115811-4377976080-405230045-0115\gpl.exe ya lo copie con el elimover y lo mando en la brevedad....

solo faltaría ver que hacer con el 1º.... tal vez no lo se buscar... pero en esa carpeta no esta

saludos!

[lucl]

El que encuentras es un prefetch y no nos sirve prueba esto que te indicamos en el link siguiente por si estuviera oculto y nos comentas saludos

viewtopic.php?f=5&t=13245

[sembrar]

buenísimo ya encontré los 2....

ahi los mando.. el csrcs lo zipeo,. pero no lo borro, no?¿

el icono es una carita gritando jejej
------------------------------------------------------------------------------
LISTO! YA MANDE LOS DOS ARCHIVOS RAREADOS...

SALUTEEE

[sembrar]

ayudaaa

al desocultar los archivos encontre en mi pen drive un archivo (ukhpua) con el mismo icono del srcs (el fichero que pensamos que puedo ser un virus) el icono es una cara gritando!!!

que hago?¿ lo borro., se los mando?¿¡

le pase el nod32 al pen pero nada....

ayudaa!! jejej

saludos!

[julibaga]

si puedes, bórralo, bájate el Elipen y vacuna el pendrive y tu computadora.

[sembrar]

muy bien ya aplique el elipen...

el virus q estaba en el pen me lo renombro .old y me abrió una carpeta nueva y metió unas cosas ahi...

borro todo eso¿?

saludos!!

[julibaga]

No. La carpeta que te creó es la que te va a proteger el pendrive. El archivo .old sí lo borraría

Salu2

[msc hotline sat]

Veras julibaga, como que estas ayudando interesa que conozcas dos puntos de nuestras politicas:

Los ficheros sospechosos no los borramos, sino que renombramos su extensión a .VIR para dejarlos inactivos y pedimos que nos envien muestra para analizar, luego ya los borraran (incluso con extensiuon .VIR) nuestras utilidades que hagamos al respecto

Y la extension .OLD con la que renombramos los AUTORUN.INF son para poder deshacer lo hecho ovolviendo a poner el AUTORUN en orden si no resulta ser virus (algunas llaves usan pendrives), y en cualquier caso debe verse su contenido para ver lo que lanza dicho AUTORUN, y pedir muestras de lo que sea, para analizar.

Por ello, si todavia llegamos a tiempo, este fichero ukhpua que dice haber visto, "encontre en mi pen drive un archivo (ukhpua) con el mismo icono del srcs " renombrelo a extension .VIR y envienoslo igualmente para ana,lizar, puede ser igual o diferente al otro aunque tenga el mismo icono... Y con el bloc de notas, abra el AUTORUN.OLD y posteenos, con un copiar y pegar, su contenido, gracias

saludos
ms, 3-12-2008

[julibaga]

Entendido.

Di por hecho de que ya lo había enviado por ser el mismo (eso entendí) que tenía en el disco duro.

Mis disculpas.

[msc hotline sat]

Ningun problema, cuanto mas conozcas nuestras políticas, mas nos podrás ayudar

saludos
ms, 3-12-2008

[esteryangel]

me podeis ayudar cada vez que enciendo el ordenador me aparece un video porno

ayudarme xfvoe

[msc hotline sat]

Pues "esteryangel " abre un Tema nuevo para el caso, este es de otro autor y no tiene nada que ver !!!
Y para "sembrar" , como isuponiamos los dos ficheros son malwates, y el SCRCS.EXE ya lo controlamos con el actual ELISTARA:

ELISTARA: http://www.zonavirus.com/descargas/elistara.asp

Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso

el otro es una nueva variante que pasaremos a controlar con la version de hoy del ELISTARA 17.55

A partir de las 19 h GMT, estará disponible en esta web, para pruebas de evaluacion en el foro de zonavirus

SALUDOS
MS, 3-12-2008

[sembrar]

Bueno,,, el virus del pen ya se los mando, lo renombre .vir y lo mando si bien le habia aplicado el elipen, antes lo zipie y lo guarde en la carpetsa de muestras por si me lo pedian,,, espero no correr ningun riegos zipeando y guardando virus ahi.,jejej

El bloc de notas del .old dice esto:

;OykQgvaTuMfAZbb
[AutoRun]
;ZQpjoFliSYZWRAj
open=ukhpua.exe
;zvfgsLKAsjHvxVZA
shell\open\Command=ukhpua.exe
;RgfVWCTCmKbPCvGfRZSIxmRQM
shell\open\Default=1
;45F27A231FB5BAE1D81E00270B32BDAE8F820FEEB727D2C7BFC81571
;iRKwXukBLXESUjqgQGOekgBbibwMqZtVeGhPGZdREyALgAkTYafalyHNBKtBABHNEXMFWHeOLgw
shell\explore\Command=ukhpua.exe
;YkRdQqlftxtCEvPeCuqfowFaNbrSCGFDwFQtyszCbNJe

ENTONCES:
el scrsc lo trato con el Elistara,,, el otro si mal no entendi debo esperar para tratarlo¿?

saludos y gracias por las mil ayudas

[msc hotline sat]

Si, cada día vamos haciendo nuevas versiones de nuestras utilidades, y al final del día, a eso de las 19 h, las compilamos y subimos a las web, en particular a esta para pruebas de evaluacion en el foro.



Tras descargar la 17.55 y probarla, nos posteas el resultado, gracias



saludos



ms, 3-12-2008

[sembrar]

aca va lo que dice el infosat.

Wed Dec 03 13:41:53 2008
EliStartPage v17.54 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 2 de Diciembre del 2008)
--------------------------------------------------

Código: Seleccionar todo

Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\CSRCS.EXE --> Autoit.FQ Renombrado a .VIR
Por favor, envienos una muestra del fichero
C:\Muestras\RS32NET.EXE.Muestra EliStartPage v17.54
 a "virus@satinfo.es".  Gracias.
C:\WINDOWS\SYSTEM32\RS32NET.EXE --> Eliminado 
No detectado SP3 de Windows XP
Eliminadas las Paginas de Inicio y de Busqueda del IE
Eliminados Ficheros Temporales del IE
Reinicie para Completar la Limpieza.

	  Wed Dec 03 13:43:15 2008
EliStartPage v17.54  (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 2 de Diciembre del 2008)
--------------------------------------------------
Lista de Acciones (por Exploración):
Explorando "C:\WINDOWS\system32"
C:\WINDOWS\system32\CSRCS.EXE.VIR --> Eliminado, Autoit.FQ

Nº Total de Directorios:   200
Nº Total de Ficheros:      5060
Nº de Ficheros Analizados: 3656
Nº de Ficheros Infectados: 1
Nº de Ficheros Limpiados:  1

	  Wed Dec 03 13:52:38 2008
EliStartPage v17.54  (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 2 de Diciembre del 2008)
--------------------------------------------------
Lista de Acciones (por Acción Directa):
No detectado SP3 de Windows XP
Eliminados Ficheros Temporales del IE

Una vez que ya se los halla mandado a uds,,, ¿es recomendable que borre todos los .vir y virus zipeados que me hallan quedado en la pc??

gracias!

[sembrar]

aca va lo que dice el infosat.

Wed Dec 03 13:41:53 2008
EliStartPage v17.54 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 2 de Diciembre del 2008)
--------------------------------------------------

Código: Seleccionar todo

Lista de Acciones (por Acción Directa):
C:\WINDOWS\SYSTEM32\CSRCS.EXE --> Autoit.FQ Renombrado a .VIR
Por favor, envienos una muestra del fichero
C:\Muestras\RS32NET.EXE.Muestra EliStartPage v17.54
 a "virus@satinfo.es".  Gracias.
C:\WINDOWS\SYSTEM32\RS32NET.EXE --> Eliminado 
No detectado SP3 de Windows XP
Eliminadas las Paginas de Inicio y de Busqueda del IE
Eliminados Ficheros Temporales del IE
Reinicie para Completar la Limpieza.

	  Wed Dec 03 13:43:15 2008
EliStartPage v17.54  (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 2 de Diciembre del 2008)
--------------------------------------------------
Lista de Acciones (por Exploración):
Explorando "C:\WINDOWS\system32"
C:\WINDOWS\system32\CSRCS.EXE.VIR --> Eliminado, Autoit.FQ

Nº Total de Directorios:   200
Nº Total de Ficheros:      5060
Nº de Ficheros Analizados: 3656
Nº de Ficheros Infectados: 1
Nº de Ficheros Limpiados:  1

	  Wed Dec 03 13:52:38 2008
EliStartPage v17.54  (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 2 de Diciembre del 2008)
--------------------------------------------------
Lista de Acciones (por Acción Directa):
No detectado SP3 de Windows XP
Eliminados Ficheros Temporales del IE

Una vez que ya se los halla mandado a uds,,, ¿es recomendable que borre todos los .vir y virus zipeados que me hallan quedado en la pc??

PD: en el directorio C: me aparecioron 2 archivitos que antes no estaban ipkc y qthqdso.. son aplicaciones... alguna idea?¿ y en la carpeta de muestras elistara puso el siguiente archivos: RS32NET.EXE.Muestra EliStartPage v17.54

asi se que borrar y que no.,, perdon por tantas dudas

gracias!

[msc hotline sat]

No, los .VIR no se han de borrar, dejalos que los eliminen las utilidades , sino señal de que no los controlan !

Y este es nuevo, envíanoslo: C:\Muestras\RS32NET.EXE.Muestra EliStartPage v17.54

en cambio este otro como ves ya estaba controlado y se ha eliminado.


SALUDOS
MS, 3-12-2008

[msc hotline sat]

Creo que te has equivocado, pediamos:

Por favor, envienos una muestra del fichero
C:\Muestras\RS32NET.EXE.Muestra EliStartPage v17.54

y nos has vuelto a enviar el CSRCS.EXE....

Este otro no tiene nada que ver, pues seguramente será una variante de la familia KOBCKA... pero ya veremos cuando lo recibamos

saludos
ms, 3-12-2008