YA PROBE DE TODO CON ESTE VIRUS Y NADAA... (SOLUCIONADO)

[sembrar]

[quote="msc hotline sat"]Creo que te has equivocado, pediamos:


[quote]Por favor, envienos una muestra del fichero

C:\Muestras\RS32NET.EXE.Muestra EliStartPage v17.54[/quote]
y nos has vuelto a enviar el CSRCS.EXE....



Este otro no tiene nada que ver, pues seguramente será una variante de la familia KOBCKA... pero ya veremos cuando lo recibamos



saludos



ms, 3-12-2008[/quote]



NO,, lo que yo envie a lo ultimo es una muestra del virus que tenia en mi pen (ukhpua) y tenia el mismo iconito de una cara gritando que el CSRCS.EXE el que ya habia mandado antes... el [color=#0000BF]C:\Muestras\RS32NET.EXE.Muestra EliStartPage v17.54[/color] todabia no lo mande porque recien ahora leo el mensaje... ahi se los mando



ah., y ya estoy actualizando windows



saludos!!

[msc hotline sat]

Acabamos de subir las versiones de hoy, pruebalas y comentanos el resultado, aunque la que aun no hemos recibico, no estará controlada, claro ! :wink:



Y mañana mas ....



saludos



ms, 3-12-2008

[sembrar]

miren que ya mande la ultima muestra que me habian pedido!!



ya estoy pasando el elistara 17.55



todabia no termino de escanear, por el momento encontro 3 archivos infectados los 3 GPL.EXE elimino 2



salio un cartelito diciendo que uno no lo podia eliminar si no hasta el proximo reinicio... :?:



listo,, este es el infosat



Wed Dec 03 16:36:25 2008

EliStartPage v17.55 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 3 de Diciembre del 2008)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminados Ficheros Temporales del IE



Wed Dec 03 16:37:32 2008

EliStartPage v17.55 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 3 de Diciembre del 2008)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"

C:\Muestras\GPL.EXE.MUESTRA ELIMOVER V1.0 --> Eliminado, AutoRun(Recycle)

C:\RECYCLER\S-1-5-21-4742849926-3271998478-353700016-8208\GPL.EXE --> Eliminado, AutoRun(Recycle)

C:\RECYCLER\S-1-5-21-5922115811-4377976080-405230045-0115\GPL.EXE --> Acceso Denegado, AutoRun(Recycle) (Reiniciar para Completar la Limpieza)



Nº Total de Directorios: 6904

Nº Total de Ficheros: 63721

Nº de Ficheros Analizados: 22328

Nº de Ficheros Infectados: 3

Nº de Ficheros Limpiados: 2

[lucl]

Confirma que reiniciaste para ver si te elimino el que faltaba aunque parece que no verdad? Saludos

[sembrar]

reinicie, pero no se si lo habra eliminado....



OTRA COSA., VIRUS DE MSN.,.,



talvez deba abrir un nuevo tema o ya halla temas al respecto.,., pero mis contactos me dicen que les llegan los tipicos mensajes con un link...



le pase el msn cleanner y pense que lo habia borrado, por un tiempo no mandaba los links., pero despues mis contactos me volvieron a decir que si!! que les llegaban :evil: :evil:



estoy re enojado con ese virus!!! no lo puedo eliminar!!

[msc hotline sat]

Eso del MSN CLEAN no es nuestro....



Prueba el ELISTARA y el ELITRIIP y si no lo detectan, envianos muestra del fichero que te dicen els envias y pasaremos a controlarlo



[b] ELITRIIP: [/b]

http://www.zonavirus.com/descargas/elitriip.asp



[b] ELISTARA: [/b]

http://www.zonavirus.com/descargas/elistara.asp



Tras probarlos, reiniciar y postearnos el contenido de C:\infosat.txt para



ver el resultado del proceso



saludos



ms, 4-12-2008

[msc hotline sat]

Analizada la muestra que recibimos del RS32NET.EXE , ha resultado ser una nueva variante de KOPCKAT que pasamos a controlar con el ELISTARA de hoy 17.56



A partir de las 19 h GMT, estará disponible en esta web, para pruebas de evaluacion en el foro de zonavirus



Tras descargarlo y probarlo, postearnos el contenido de c:\infosat.txt resultante



saludos



ms, 4-12-2008

[sembrar]

Thu Dec 04 16:45:20 2008

EliStartPage v17.56 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 4 de Diciembre del 2008)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminados Ficheros Temporales del IE



Thu Dec 04 16:45:23 2008

EliStartPage v17.56 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 4 de Diciembre del 2008)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"



Thu Dec 04 16:45:44 2008

EliTriIP v5.35 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 4 de Diciembre del 2008)

---------------------------------------------

Lista de Acciones (por Acción Directa):



Thu Dec 04 16:45:47 2008

EliTriIP v5.35 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 4 de Diciembre del 2008)

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"

C:\Muestras\RS32NET.EXE.MUESTRA ELISTARTPAGE V17.54 --> Eliminado, Dropper.Kobcka



Nº Total de Directorios: 6934

Nº Total de Ficheros: 63885

Nº de Ficheros Analizados: 20422

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

C:\RECYCLER\S-1-5-21-5922115811-4377976080-405230045-0115\GPL.EXE --> Acceso Denegado, AutoRun(Recycle) (Reiniciar para Completar la Limpieza)



Nº Total de Directorios: 6934

Nº Total de Ficheros: 63888

Nº de Ficheros Analizados: 22416

Nº de Ficheros Infectados: 2

Nº de Ficheros Limpiados: 1





[color=#0000BF]ACA MANDO EL INFOSAT DE HOY... LUEGO DE APLICAR LOS 2 PROGRAMITAS,..,[/color]



EL CARTELITO DE NVMEDIACENTER EL CUAL HIZO QUE YO POSTEARA POR PRIMERA VEZ VOLVIO A APARECE :?

PERO DISTINTO ESTA VEZ



[color=#00BF00]nvmediacenter



run-time error 70



permission denied[/color]



ANTES EL ERROR ERA 55



QUE LIO!!!

[msc hotline sat]

Vaya, pues ha resultado no ser troyano sino gusano y se controla con el ELITRRIP. Muy bien por probarlo :wink:



Y para el resto de los efectos, prueba el SPROCES y posteanos el informe resultante, a ver siaparecen allí los causante...


[quote="msc escribió"]
[b]SPROCES.EXE[/b] (herramienta de investigación)

http://www.zonavirus.com/descargas/sproces.asp



Y tras pulsar en SALIR, posteanos el contenido del C:\SPROCLOG.TXT [/quote]
lo analizaremos e informaremos al respecto.



saludos



ms, 4-11-2008

[sembrar]

Thu Dec 04 18:47:27 2008

SProces v3.1 (c)2008 S.G.H. / Satinfo S.L.

-------------------------------------------

Sistema Operativo: Microsoft Windows XP (v5.1.2600) Service Pack 3

Internet Explorer: (v7.0.5730.11) 0



Procesos Activos:

C:\WINDOWS\SYSTEM32\SMSS.EXE

C:\WINDOWS\SYSTEM32\WINLOGON.EXE

C:\WINDOWS\SYSTEM32\SERVICES.EXE

C:\WINDOWS\SYSTEM32\LSASS.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\EXPLORER.EXE

C:\WINDOWS\SYSTEM32\CTFMON.EXE

C:\ARCHIVOS DE PROGRAMA\ANTIVIRUS Y OTROS\AD WARE\AAWSERVICE.EXE

C:\WINDOWS\SYSTEM32\SPOOLSV.EXE

C:\ARCHIVOS DE PROGRAMA\ESET\ESET SMART SECURITY\EKRN.EXE

C:\ARCHIVOS DE PROGRAMA\SYMANTEC\NORTON GHOST 2003\GHOSTSTARTSERVICE.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\ARCHIVOS DE PROGRAMA\WINPOET\WROS.EXE

C:\ARCHIVOS DE PROGRAMA\SYMANTEC\NORTON GHOST 2003\GHOSTSTARTTRAYAPP.EXE

C:\ARCHIVOS DE PROGRAMA\THOMSON(MODEM DRIVER)\DRAGDIAG.EXE

C:\ARCHIVOS DE PROGRAMA\JAVA\JRE1.6.0_07\BIN\JUSCHED.EXE

C:\ARCHIVOS DE PROGRAMA\WINPOET\WINPPPOVERETHERNET.EXE

C:\WINDOWS\SYSTEM32\STACVS.EXE

C:\ARCHIVOS DE PROGRAMA\ESET\ESET SMART SECURITY\EGUI.EXE

C:\ARCHIVOS DE PROGRAMA\ANTIVIRUS Y OTROS\SPYBOT+SEARCH+DESTROY+1.6.0.30+FINA\SPYBOT - SEARCH & DESTROY\TEATIMER.EXE

C:\ARCHIVOS DE PROGRAMA\WINDOWS LIVE\MESSENGER\MSNMSGR.EXE

C:\ARCHIVOS DE PROGRAMA\WINDOWS LIVE\MESSENGER\USNSVC.EXE

C:\ARCHIVOS DE PROGRAMA\INTERNET EXPLORER\IEXPLORE.EXE

C:\WINDOWS\SYSTEM32\NOTEPAD.EXE

C:\WINDOWS\SYSTEM32\NTVDM.EXE

C:\DOCUME~1\PC1\CONFIG~1\TEMP\828.EXE

C:\ARCHIVOS DE PROGRAMA\ANTIVIRUS Y OTROS\SPROCES.EXE



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.com.ar/

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/en/us/default.aspxisapi/redir.dll?prd=ie&ar=iesearch

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/en/us/default.aspxisapi/redir.dll?prd=ie&ar=iesearch

R3 - URLSearchHook: Microsoft Url Search Hook - {CFBFAE00-17A6-11D0-99CB-00C04FD64497} - C:\WINDOWS\system32\ieframe.dll

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,

O1 - Hosts:

O1 - Hosts: 127.0.0.1 localhost

O1 - Hosts:

O1 - Hosts:

O1 - Hosts:

O1 - Hosts:

O1 - Hosts:

O1 - Hosts:

O1 - Hosts:

O1 - Hosts:

O1 - Hosts:

O1 - Hosts:

O1 - Hosts:

O1 - Hosts:

O1 - Hosts:

O1 - Hosts:

O1 - Hosts:

O1 - Hosts:

O1 - Hosts:

O1 - Hosts:

O1 - Hosts:

O1 - Hosts:

O1 - Hosts:

O1 - Hosts:

O1 - Hosts:

O1 - Hosts:

O1 - Hosts:

O1 - Hosts:

O1 - Hosts:

O1 - Hosts:

O1 - Hosts:

O1 - Hosts:

O1 - Hosts:

O1 - Hosts:

O1 - Hosts:

O1 - Hosts:

O1 - Hosts:

O1 - Hosts:

O1 - Hosts:

O1 - Hosts:

O1 - Hosts:

O1 - Hosts:

O1 - Hosts:

O1 - Hosts:

O1 - Hosts:

O1 - Hosts:

O1 - Hosts:

O1 - Hosts:

O1 - Hosts:

O1 - Hosts:

O1 - Hosts:

O1 - Hosts:

O1 - Hosts:

O1 - Hosts:

O1 - Hosts:

O1 - Hosts:

O1 - Hosts:

O1 - Hosts:

O1 - Hosts:

O1 - Hosts: 207.83.222.96 www.bancomer.com.mx

O1 - Hosts: 207.83.222.96 www.bancomer.com

O1 - Hosts: 207.83.222.96 bancomer.com

O1 - Hosts: 207.83.222.96 bancomer.com.mx

O1 - Hosts: 192.193.230.100 banamex.com

O1 - Hosts: 192.193.230.100 www.banamex.com

O1 - Hosts: 192.193.230.100 banamex.com.mx

O1 - Hosts: 192.193.230.100 bancanetempresarial.banamex.com.mx

O1 - Hosts: 192.193.230.100 boveda.banamex.com

O1 - Hosts: 192.193.230.100 www.banamex.com.mx

O1 - Hosts: 192.193.230.100 www.bancanetempresarial.banamex.com.mx

O1 - Hosts: 192.193.230.100 www.boveda.banamex.com

O1 - Hosts: 200.1.175.105 bancolombia.com

O1 - Hosts: 200.1.175.105 grupobancolombia.com

O1 - Hosts: 200.1.175.105 www.bancolombia.com

O1 - Hosts: 200.1.175.105 www.grupobancolombia.com

O1 - Hosts: 190.66.6.26 colmena.com.co

O1 - Hosts: 190.66.6.26 www.colmena.com.co

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\ANTIVI~1\SPYBOT~1.30_\SPYBOT~1\SDHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.6.0_07\bin\ssv.dll

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [microsoft corporation] C:\RECYCLER\S-1-5-21-5922115811-4377976080-405230045-0115\gpl.exe

O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Archivos de programa\ANTIVIRUS Y OTROS\SpyBot+Search+Destroy+1.6.0.30+Fina\Spybot - Search & Destroy\TeaTimer.exe

O4 - HKLM\..\Run: [GhostStartTrayApp] C:\Archivos de programa\Symantec\Norton Ghost 2003\GhostStartTrayApp.exe

O4 - HKLM\..\Run: [nod32kui] "C:\Archivos de programa\Eset\nod32kui.exe" /WAITSERVICE

O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Archivos de programa\thomson(modem driver)\Dragdiag.exe" /icon

O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Archivos de programa\Java\jre1.6.0_07\bin\jusched.exe"

O4 - HKLM\..\Run: [a-winpoet-service] "C:\Archivos de programa\WinPoET\winpppoverethernet.exe"

O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [IMSCMIG40W] C:\ARCHIV~1\ARCHIV~1\MICROS~1\IME\IMSC40W\IMSCMIG.EXE /SetPreload /Log

O4 - HKLM\..\Run: [NvMediaCenter2] C:\WINDOWS\system32\stacvs.exe

O4 - HKLM\..\Run: [egui] "C:\Archivos de programa\ESET\ESET Smart Security\egui.exe" /hide /waitservice

O4 - Startup: desktop.ini

O4 - Global Startup: desktop.ini

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~3\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_07\bin\ssv.dll

O9 - Extra button: Agregar entrada - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Archivos de programa\Windows Live\Writer\WriterBrowserExtension.dll

O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~3\OFFICE11\REFIEBAR.DLL

O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\ARCHIV~1\ANTIVI~1\SPYBOT~1.30_\SPYBOT~1\SDHelper.dll

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O16 - DPF: DirectAnimation Java Classes - file://C:\WINDOWS\Java\classes\dajava.cab

O16 - DPF: Microsoft XML Parser for Java - file://C:\WINDOWS\Java\classes\xmldso.cab

O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://appldnld.apple.com.edgesuite.net/content.info.apple.com/QuickTime/qtactivex/qtplugin.cab

O16 - DPF: {0A5FD7C5-A45C-49FC-ADB5-9952547D5715} (Creative Software AutoUpdate) - http://www.creative.com/su/ocx/15015/CTSUEng.cab

O16 - DPF: {1239CC52-59EF-4DFA-8C61-90FFA846DF7E} (Musicnotes Viewer) - http://www.musicnotes.com/download/mnviewer.cab

O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab

O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://download.microsoft.com/download/9/b/d/9bdc68ef-6a9f-4505-8fb8-d0d2d160e512/LegitCheckControl.cab

O16 - DPF: {215B8138-A3CF-44C5-803F-8226143CFC0A} (Trend Micro ActiveX Scan Agent 6.6) - http://housecall65.trendmicro.com/housecall/applet/html/native/x86/win32/activex/hcImpl.cab

O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab

O16 - DPF: {2D8ED06D-3C30-438B-96AE-4D110FDC1FB8} (ActiveScan 2.0 Installer Class) - http://www.pandasecurity.com/activescan/cabs/as2stubie.cab

O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://sembrar.spaces.live.com//PhotoUpload/MsnPUpld.cab

O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab

O16 - DPF: {7B297BFD-85E4-4092-B2AF-16A91B2EA103} (WScanCtl Class) - http://www.ca.com/us/securityadvisor/virusinfo/webscan.cab

O16 - DPF: {7FC1B346-83E6-4774-8D20-1A6B09B0E737} (Windows Live Photo Upload Control) - http://sembrar.spaces.live.com/PhotoUpload/MsnPUpld.cab

O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Plug-in 1.6.0_07) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_07-windows-i586.cab

O16 - DPF: {8FFBE65D-2C9C-4669-84BD-5829DC0B603C} - http://fpdownload.macromedia.com/get/flashplayer/current/polarbear/ultrashim.cab

O16 - DPF: {97E71027-0BA2-44F2-97DB-F84D808ED0B6} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab55762.cab

O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (MSN Games - Installer) - http://messenger.zone.msn.com/binary/ZIntro.cab55579.cab

O16 - DPF: {BD393C14-72AD-4790-A095-76522973D6B8} (CBreakshotControl Class) - http://messenger.zone.msn.com/binary/Bankshot.cab55668.cab

O16 - DPF: {CAFEEFAC-0015-0000-0006-ABCDEFFEDCBA} (Java Plug-in 1.5.0_06) - http://java.sun.com/update/1.5.0/jinstall-1_5_0_06-windows-i586.cab

O16 - DPF: {CAFEEFAC-0015-0000-0009-ABCDEFFEDCBA} (Java Plug-in 1.5.0_09) - http://java.sun.com/update/1.5.0/jinstall-1_5_0_09-windows-i586.cab

O16 - DPF: {CAFEEFAC-0015-0000-0010-ABCDEFFEDCBA} (Java Plug-in 1.5.0_10) - http://java.sun.com/update/1.5.0/jinstall-1_5_0_10-windows-i586.cab

O16 - DPF: {CAFEEFAC-0015-0000-0011-ABCDEFFEDCBA} (Java Plug-in 1.5.0_11) - http://java.sun.com/update/1.5.0/jinstall-1_5_0_11-windows-i586.cab

O16 - DPF: {CAFEEFAC-0016-0000-0001-ABCDEFFEDCBA} (Java Plug-in 1.6.0_01) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_01-windows-i586.cab

O16 - DPF: {CAFEEFAC-0016-0000-0002-ABCDEFFEDCBA} (Java Plug-in 1.6.0_02) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_02-windows-i586.cab

O16 - DPF: {CAFEEFAC-0016-0000-0003-ABCDEFFEDCBA} (Java Plug-in 1.6.0_03) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_03-windows-i586.cab

O16 - DPF: {CAFEEFAC-0016-0000-0005-ABCDEFFEDCBA} (Java Plug-in 1.6.0_05) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_05-windows-i586.cab

O16 - DPF: {CAFEEFAC-0016-0000-0007-ABCDEFFEDCBA} (Java Plug-in 1.6.0_07) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_07-windows-i586.cab

O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} (Java Plug-in 1.6.0_07) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_07-windows-i586.cab

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

O16 - DPF: {F6ACF75C-C32C-447B-9BEF-46B766368D29} (Creative Software AutoUpdate Support Package) - http://www.creative.com/su/ocx/15021/CTPID.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{CEB241F5-8BBD-4956-8218-6C44B9A22544}: NameServer = 200.63.155.184 200.63.155.56

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\WI1F86~1\MESSEN~1\MSGRAP~1.DLL

O18 - Protocol: mso-offdap - {3D9F03FA-7A94-11D3-BE81-0050048385D1} - C:\ARCHIV~1\ARCHIV~1\MICROS~1\WEBCOM~1\10\OWC10.DLL

O18 - Protocol: mso-offdap11 - {32505114-5902-49B2-880A-1F7738E5A384} - C:\ARCHIV~1\ARCHIV~1\MICROS~1\WEBCOM~1\11\OWC11.DLL

O20 - Winlogon Notify: DIMSNTFY - %SYSTEMROOT%\SYSTEM32\DIMSNTFY.DLL

O20 - Winlogon Notify: WGALOGON - WGALOGON.DLL

O21 - SSODL: PostBootReminder - {7849596a-48ea-486e-8937-a2a3009f31a9} - %SystemRoot%\system32\SHELL32.dll

O21 - SSODL: CDBurn - {fbeb8a05-beee-4442-804e-409d6c4515e9} - %SystemRoot%\system32\SHELL32.dll

O21 - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - C:\WINDOWS\system32\webcheck.dll

O21 - SSODL: SysTray - {35CEC8A3-2BE6-11D2-8773-92E220524153} - C:\WINDOWS\System32\stobject.dll

O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll

O22 - SharedTaskScheduler: {438755C2-A8BA-11D1-B96B-00A0C90312E1} - Precargador Browseui - %SystemRoot%\System32\browseui.dll

O22 - SharedTaskScheduler: {8C7461EF-2B13-11d2-BE35-3078302C2030} - Demonio de caché de las categorías de componente - %SystemRoot%\System32\browseui.dll



Información Adicional:

----------------------



Listado de Servicios (Carga Automatica):

----------------------------------------

**O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Archivos de programa\ANTIVIRUS Y OTROS\AD Ware\aawservice.exe

O23 - Service: AMON - Eset - C:\WINDOWS\system32\drivers\amon.sys

**O23 - Service: Iniciador de procesos de servidor DCOM (DcomLaunch) - Unknown owner - C:\WINDOWS\system32\svchost -k DcomLaunch (file missing)

O23 - Service: EAMON (eamon) - ESET - C:\WINDOWS\SYSTEM32\DRIVERS\eamon.sys

O23 - Service: Eset Service (ekrn) - ESET - C:\Archivos de programa\ESET\ESET Smart Security\ekrn.exe

O23 - Service: epfw - ESET - C:\WINDOWS\SYSTEM32\DRIVERS\epfw.sys

O23 - Service: GhostStartService - Symantec Corporation - C:\Archivos de programa\Symantec\Norton Ghost 2003\GhostStartService.exe

O23 - Service: NOD32 Kernel Service (NOD32krn) - Unknown owner - C:\Archivos de programa\Eset\nod32krn.exe (file missing)

**O23 - Service: Llamada a procedimiento remoto(RPC) (RpcSs) - Unknown owner - C:\WINDOWS\system32\svchost -k rpcss (file missing)

O23 - Service: Secdrv - Macrovision Corporation, Macrovision Europe Limited, and Macrovision Japan and Asia K.K. - C:\WINDOWS\SYSTEM32\DRIVERS\secdrv.sys

O23 - Service: WinPoET PPPoE Optimized Driver (TopWinPoETDriver) - Unknown owner - C:\WINDOWS\SYSTEM32\DRIVERS\WrKPoET2000.sys

O23 - Service: WinPPPoverEthernet - iVasion, a Routerware Company - C:\Archivos de programa\WinPoET\WrOS.EXE



Listado de Servicios (Carga Manual):

------------------------------------

O23 - Service: SpeedTouch(tm) USB ADSL RFC1483 Networking Driver (NDIS) (alcan5ln) - THOMSON - C:\WINDOWS\SYSTEM32\DRIVERS\alcan5ln.sys

O23 - Service: SpeedTouch ADSL Modem ATM Transport (alcaudsl) - THOMSON - C:\WINDOWS\SYSTEM32\DRIVERS\alcaudsl.sys

O23 - Service: Team H2O CLEDX service (CLEDX) - Team H2O - C:\WINDOWS\SYSTEM32\DRIVERS\cledx.sys

O23 - Service: C-Media WDM Audio Interface (cmuda) - C-Media Inc - C:\WINDOWS\SYSTEM32\drivers\cmuda.sys

O23 - Service: Video Blaster WebCam 3/WebCam Plus (WDM) (CTL511Plus) - Creative Technology Ltd. - C:\WINDOWS\SYSTEM32\DRIVERS\webc3vid.sys

**O23 - Service: Servicio del administrador de discos lógicos (dmadmin) - Microsoft Corp., VERITAS Software - C:\WINDOWS\System32\dmadmin.exe

O23 - Service: dtscsi - DT Soft Ltd. - C:\WINDOWS\System32\Drivers\dtscsi.sys

O23 - Service: Eset HTTP Server (EhttpSrv) - ESET - C:\Archivos de programa\ESET\ESET Smart Security\EHttpSrv.exe

O23 - Service: Eset Personal Firewall (Epfwndis) - ESET - C:\WINDOWS\SYSTEM32\DRIVERS\Epfwndis.sys

O23 - Service: Controlador para NT del adaptador Fast Ethernet VIA PCI 10/100Mb (FETNDIS) - VIA Technologies, Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\fetnd5.sys

O23 - Service: GEARAspiWDM (GearAspiWDM) - GEAR Software Inc. - C:\WINDOWS\SYSTEM32\drivers\gearaspiwdm.sys

O23 - Service: MSSQL$SONY_MEDIAMGR - Unknown owner - C:\Mis Programas\SONY Sound Forge v9.0e(NEW-with fix)\Media Manager\MSSQL$SONY_MEDIAMGR\Binn\sqlservr.exe (file missing)

O23 - Service: NBService - Nero AG - C:\Archivos de programa\Nero\Nero 7\Nero BackItUp\NBService.exe

O23 - Service: PalmUSBD - Unknown owner - C:\WINDOWS\SYSTEM32\drivers\PalmUSBD.sys (file missing)

O23 - Service: Controlador de vínculo paralelo directo (Ptilink) - Parallel Technologies, Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\ptilink.sys

O23 - Service: Controlador de filtro USB de Sony (SONYPVU1) (SONYPVU1) - Sony Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\SONYPVU1.SYS

O23 - Service: SQLAgent$SONY_MEDIAMGR - Unknown owner - C:\Mis Programas\SONY Sound Forge v9.0e(NEW-with fix)\Media Manager\MSSQL$SONY_MEDIAMGR\Binn\sqlagent.EXE (file missing)

*O23 - Service: Servicios de Terminal Server (TermService) - Unknown owner - C:\WINDOWS\System32\svchost -k DComLaunch (file missing)

O23 - Service: LGE Mobile Composite USB Device (usbbus) - LG Electronics Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\lgusbbus.sys

O23 - Service: LGE Mobile USB Modem (USBModem) - LG Electronics Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\lgusbmodem.sys

O23 - Service: viagfx - Copyright (C) VIA/S3 Graphics Co, Ltd. - C:\WINDOWS\SYSTEM32\DRIVERS\vtmini.sys

O23 - Service: Windows Live Setup Service (WLSetupSvc) - Unknown owner - C:\Archivos de programa\Windows Live\installer\WLSetupSvc.exe

O23 - Service: WrKPoET2000 - Unknown owner - C:\Archivos de programa\WinPoET\WrKPoET2000.sys

O23 - Service: iVasion PoET Adapter (WRSWanDD) - Unknown owner - C:\WINDOWS\SYSTEM32\DRIVERS\WrKPoETNic2000.sys



Listado de Servicios (Deshabilitados):

--------------------------------------

**O23 - Service: dmboot - Microsoft Corp., Veritas Software - C:\WINDOWS\SYSTEM32\drivers\dmboot.sys



37 Servicios.

12 de Carga Automatica.

24 de Carga Manual.

1 Deshabilitados.

[flacoroo]

cambiale la extension a este troyano....

C:\WINDOWS\SYSTEM32\[color=#FF0000]STACVS.EXE[/color] a STACVS.vir

C:\DOCUME~1\PC1\CONFIG~1\TEMP\[color=#FF0000]828.EXE[/color]

O4 - HKCU\..\Run: [microsoft corporation] C:\RECYCLER\S-1-5-21-5922115811-4377976080-405230045-0115\[color=#FF0000]gpl.exe[/color]



para que no se cargue al inicio de windows...y nos lo mandas a zonavirus@satinfo.es comprimido y con la contraseña virus.....



y elimina todos estos, siempre y cuando no hagas transferencias a banamex, bancomer y colombia

O1 - Hosts:

O1 - Hosts:

O1 - Hosts:

O1 - Hosts:

O1 - Hosts:

O1 - Hosts:

O1 - Hosts:

O1 - Hosts:

O1 - Hosts:

O1 - Hosts:

O1 - Hosts:

O1 - Hosts:

O1 - Hosts:

O1 - Hosts:

O1 - Hosts:

O1 - Hosts:

O1 - Hosts:

O1 - Hosts:

O1 - Hosts:

O1 - Hosts:

O1 - Hosts:

O1 - Hosts:

O1 - Hosts:

O1 - Hosts:

O1 - Hosts:

O1 - Hosts:

O1 - Hosts:

O1 - Hosts:

O1 - Hosts:

O1 - Hosts:

O1 - Hosts:

O1 - Hosts:

O1 - Hosts:

O1 - Hosts:

O1 - Hosts:

O1 - Hosts:

O1 - Hosts:

O1 - Hosts:

O1 - Hosts:

O1 - Hosts:

O1 - Hosts:

O1 - Hosts:

O1 - Hosts:

O1 - Hosts:

O1 - Hosts:

O1 - Hosts:

O1 - Hosts:

O1 - Hosts:

O1 - Hosts:

O1 - Hosts:

O1 - Hosts:

O1 - Hosts:

O1 - Hosts:

O1 - Hosts:

O1 - Hosts:

O1 - Hosts:

O1 - Hosts:

O1 - Hosts:

O1 - Hosts: 207.83.222.96 www.bancomer.com.mx

O1 - Hosts: 207.83.222.96 www.bancomer.com

O1 - Hosts: 207.83.222.96 bancomer.com

O1 - Hosts: 207.83.222.96 bancomer.com.mx

O1 - Hosts: 192.193.230.100 banamex.com

O1 - Hosts: 192.193.230.100 www.banamex.com

O1 - Hosts: 192.193.230.100 banamex.com.mx

O1 - Hosts: 192.193.230.100 bancanetempresarial.banamex.com.mx

O1 - Hosts: 192.193.230.100 boveda.banamex.com

O1 - Hosts: 192.193.230.100 www.banamex.com.mx

O1 - Hosts: 192.193.230.100 www.bancanetempresarial.banamex.com.mx

O1 - Hosts: 192.193.230.100 www.boveda.banamex.com

O1 - Hosts: 200.1.175.105 bancolombia.com

O1 - Hosts: 200.1.175.105 grupobancolombia.com

O1 - Hosts: 200.1.175.105 www.bancolombia.com

O1 - Hosts: 200.1.175.105 www.grupobancolombia.com

O1 - Hosts: 190.66.6.26 colmena.com.co

O1 - Hosts: 190.66.6.26 www.colmena.com.co



y bajate bajate estos archivos, deshabilitas restaurar sistemas, los ejecutas y cuando diga explorar le das click; hasta que termine; despues nos pegas el resultado de C:infosat.txt (si no puedes ejecutarlos en forma normal hazlo reiniciando tu compu en modo seguro)



[url=http://www.zonavirus.com/descargas/elistara.asp]Descargar Elistara[/url]

[url=http://www.zonavirus.com/descargas/elitriip.asp]Descargar ElitriIP[/url]

[url=http://www.zonavirus.com/descargas/elinotif.asp]Descargar Elinotiff[/url] (complemento del elistara, no se ejecuta pero deben estar en la misma carpeta)

[sembrar]

solo al 1º archivo le pude cambiar el nombre...



al 2º no lo encontre y el 3º no me dejo cambiar el nombre



NO SE COMO BORRAR ESOS QUE DICEN HOSTS!!!



LOS 2 PROGRMAS ESOS YA LOS PASE,, Y LES PEGUE EL INFOSAT!!



LO HAGO NUEVAMENTE¿?,,, NO ENTENDI BIEN ESO DE REATAURAR SISTEMA Q DECIA EL POST....





SALUTEEE

[msc hotline sat]

Pues complemento lo indicado pro flacoroo:



Visto el sproclog, envianos los siguientes ficheros para analizar:



C:\WINDOWS\SYSTEM32\STACVS.EXE



C:\DOCUME~1\PC1\CONFIG~1\TEMP\828.EXE



C:\RECYCLER\S-1-5-21-5922115811-4377976080-405230045-0115\gpl.exe



C:\WINDOWS\system32\stacvs.exe



[b]¿Como enviar las muestras a zonavirus? - Para ello recordar[/b]:

https://foros.zonavirus.com/viewtopic.php?f=5&t=14253



y renombra su extension a .VIR para que no puedan activarse a partir del proximo reinicio.







Para encontrar este, prueba el ELIMOVER y le entras la ruta en cuestion:



C:\RECYCLER\S-1-5-21-5922115811-4377976080-405230045-0115\gpl.exe





ELIMOVER

http://www.zonavirus.com/descargas/elimover.asp



asi lo tendrás en c:\muestras y podras acceder a él y proceder a enviarlo sin problemas de acceso







y tras ello, con el bloc de notas, abre este fichero



C:\windows\system32\drivers\hosts



(que no tiene extension- escoge "todos los ficheros" en el bloc de notas)



y elimina estas lineas:





O1 - Hosts:

O1 - Hosts:

O1 - Hosts:

O1 - Hosts:

O1 - Hosts:

O1 - Hosts:

O1 - Hosts:

O1 - Hosts:

O1 - Hosts:

O1 - Hosts:

O1 - Hosts:

O1 - Hosts:

O1 - Hosts:

O1 - Hosts:

O1 - Hosts:

O1 - Hosts:

O1 - Hosts:

O1 - Hosts:

O1 - Hosts:

O1 - Hosts:

O1 - Hosts:

O1 - Hosts:

O1 - Hosts:

O1 - Hosts:

O1 - Hosts:

O1 - Hosts:

O1 - Hosts:

O1 - Hosts:

O1 - Hosts:

O1 - Hosts:

O1 - Hosts:

O1 - Hosts:

O1 - Hosts:

O1 - Hosts:

O1 - Hosts:

O1 - Hosts:

O1 - Hosts:

O1 - Hosts:

O1 - Hosts:

O1 - Hosts:

O1 - Hosts:

O1 - Hosts:

O1 - Hosts:

O1 - Hosts:

O1 - Hosts:

O1 - Hosts:

O1 - Hosts:

O1 - Hosts:

O1 - Hosts:

O1 - Hosts:

O1 - Hosts:

O1 - Hosts:

O1 - Hosts:

O1 - Hosts:

O1 - Hosts:

O1 - Hosts:

O1 - Hosts:

O1 - Hosts:

O1 - Hosts: 207.83.222.96 www.bancomer.com.mx

O1 - Hosts: 207.83.222.96 www.bancomer.com

O1 - Hosts: 207.83.222.96 bancomer.com

O1 - Hosts: 207.83.222.96 bancomer.com.mx

O1 - Hosts: 192.193.230.100 banamex.com

O1 - Hosts: 192.193.230.100 www.banamex.com

O1 - Hosts: 192.193.230.100 banamex.com.mx

O1 - Hosts: 192.193.230.100 bancanetempresarial.banamex.com.mx

O1 - Hosts: 192.193.230.100 boveda.banamex.com

O1 - Hosts: 192.193.230.100 www.banamex.com.mx

O1 - Hosts: 192.193.230.100 www.bancanetempresarial.banamex.com.mx

O1 - Hosts: 192.193.230.100 www.boveda.banamex.com

O1 - Hosts: 200.1.175.105 bancolombia.com

O1 - Hosts: 200.1.175.105 grupobancolombia.com

O1 - Hosts: 200.1.175.105 www.bancolombia.com

O1 - Hosts: 200.1.175.105 www.grupobancolombia.com

O1 - Hosts: 190.66.6.26 colmena.com.co

O1 - Hosts: 190.66.6.26 www.colmena.com.co





y cuando recibamos las muestras, las analizaremos e informaremos



saludos



ms, 5-12-2008

[sembrar]

[quote="msc hotline sat"]Pues complemento lo indicado pro flacoroo:



Visto el sproclog, envianos los siguientes ficheros para analizar:



C:\WINDOWS\SYSTEM32\STACVS.EXE



C:\DOCUME~1\PC1\CONFIG~1\TEMP\828.EXE



C:\RECYCLER\S-1-5-21-5922115811-4377976080-405230045-0115\gpl.exe



C:\WINDOWS\system32\stacvs.exe



[b]¿Como enviar las muestras a zonavirus? - Para ello recordar[/b]:

https://foros.zonavirus.com/viewtopic.php?f=5&t=14253



y renombra su extension a .VIR para que no puedan activarse a partir del proximo reinicio.







Para encontrar este, prueba el ELIMOVER y le entras la ruta en cuestion:



C:\RECYCLER\S-1-5-21-5922115811-4377976080-405230045-0115\gpl.exe





ELIMOVER

http://www.zonavirus.com/descargas/elimover.asp



asi lo tendrás en c:\muestras y podras acceder a él y proceder a enviarlo sin problemas de acceso





ms, 5-12-2008[/quote]



1º El stacvs lo renombre .vir y se los mando



2º el 828.exe no lo encuentro, hay otros con otros numeros pero ese no esta.



3º el gpl.exe lo fui a buscar con el elimover pero me di cuenta que ya lo habia buscado y se los habia mandando

?¿LO VUELVO A MANDAR¿?



4º buen el stacv en mayusculas no se si es el mismo que el que esta en minuscula.,., si son cosas diferentes hay uno q no encuentro....



saludos!!!

[flacoroo]

C:\DOCUME~1\PC1\CONFIG~1\TEMP\828.EXE

C:\RECYCLER\S-1-5-21-5922115811-4377976080-405230045-0115\gpl.exe

C:\WINDOWS\system32\stacvs.exe



en el programita elimover debes poner toda la ruta completa que te estamos dando, para que te lo encuentre y el mismo programita pondra el archiv en C:muestras, tu solo tendras que entrar ahi, comprimirlo, ponerle la contraseña virus y enviarnoslo y si no lo encuentra en modo normal lo puedes hacer en modo seguro....

[sembrar]

[quote="flacoroo"]C:\DOCUME~1\PC1\CONFIG~1\TEMP\828.EXE

C:\RECYCLER\S-1-5-21-5922115811-4377976080-405230045-0115\gpl.exe

C:\WINDOWS\system32\stacvs.exe



en el programita elimover debes poner toda la ruta completa que te estamos dando, para que te lo encuentre y el mismo programita pondra el archiv en C:muestras, tu solo tendras que entrar ahi, comprimirlo, ponerle la contraseña virus y enviarnoslo y si no lo encuentra en modo normal lo puedes hacer en modo seguro....[/quote]



ESO LO HICE TAMBIEN, PERO EL ELIMOVER ME DICE FICHERO NO ENCONTRADO,. ALGO ASI.,.,. , NO LO ENCUENTRA!!

[msc hotline sat]

Ya se indicó en :



https://foros.zonavirus.com/post149001.html?hilit=gpl.exe#p149001



que el GPL.EXE pasaba a ser controlado con el ELISTARA a partir de la version

17.55:



ELISTARA



---v17.55-( 3 de Diciembre del 2008) (Muestras de Vundo5, DownLoader.ConHook, [b][i](3)AutoRun(Recycle) "LASASS.EXE, [u]GPL.EXE[/u] y SVCHOST.EXE"[/i][/b] y Malware.WaitService "LOGMAN.EXE")



Probaste el ELISTSRA indicado ??? pues posteanos el infosat.txt:


[quote="para DESCARGAR el ELISTARA, msc"] http://www.zonavirus.com/descargas/elistara.asp



Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso [/quote]

saludos



ms, 7-12-2008

[sembrar]

ahi vuelvo a pasr elistara y les mandio el infosat.,,.



yo creo q el gpl.exe ya lo elimine pero no estoy seguro.,.,



el 828 no lo puedo encontrar.,.



saludos...

[msc hotline sat]

Pues tras volver a probar el ELISTARA, posteenos el informe resultante y veremos el resultaod del proceso.



saludos



ms, 7-12-2008

[sembrar]

algunas aplicaciones, como el msn o el firefox, me estan tardando muchisimo en abrir, y siempre abria de una.... Sera ocacionado por los virus esto¿?



infosat



Sun Dec 07 17:07:51 2008

EliStartPage v17.56 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 4 de Diciembre del 2008)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\SYSTEM32\CKVO.EXE --> Eliminado PWS-OnLineGames.CKVO

C:\WINDOWS\SYSTEM32\CKVO0.DLL --> Eliminado PWS-OnLineGames.CKVO

Por favor, envienos una muestra del fichero

C:\Muestras\KAMSOFT.EXE.Muestra EliStartPage v17.56

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\KAMSOFT.EXE --> Eliminado

Por favor, envienos una muestra del fichero

C:\Muestras\GASRETYW0.DLL.Muestra EliStartPage v17.56

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\GASRETYW0.DLL --> Renombrado a .VIR

Entrada Eliminada [HKCU\...\Run] "kamsoft"="C:\WINDOWS\system32\kamsoft.exe"

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Reinicie para Completar la Limpieza.



Sun Dec 07 20:43:30 2008

EliStartPage v17.56 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 4 de Diciembre del 2008)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"

C:\K.COM --> Eliminado, PWS-OnLineGames.CKVO



Nº Total de Directorios: 6977

Nº Total de Ficheros: 64150

Nº de Ficheros Analizados: 22454

Nº de Ficheros Infectados: 1

Nº de Ficheros Limpiados: 1

[lucl]

Probablemente , mira lo que te dice elistara





Por favor, envienos una muestra del fichero

C:\Muestras\KAMSOFT.EXE.Muestra EliStartPage v17.56



Por favor, envienos una muestra del fichero

C:\Muestras\GASRETYW0.DLL.Muestra EliStartPage v17.56



procede a ello, y siempre se ha de pasar el ultimo elistara que en este caso es del dia 5 y tu has pasado el del 4, saludos

[msc hotline sat]

Serán variantes del ONLINE GAMES, que si aun no lo controla el ELISTARA, lo controlará tan pronto se reciban las muestras solicitadas.



Pero por cierto... No está usando la ultima version !!!



Descargue la actual 17.57 por si ya lo detectara..., y tras probarlo, si aun no lo controla, envienos dichas muestras:


[quote="para DESCARGAR el ELISTARA, msc"] http://www.zonavirus.com/descargas/elistara.asp



Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso [/quote]

saludos



ms, 8-12-2008

[msc hotline sat]

Recibidas muestras para analizar cuyo control y eliminacion se eimplementan en el ELISTARA de hoy 17.58



A partir de las 19 h GMT, estará disponible en esta web, para pruebas de evaluacion en el foro de zonavirus






[quote]
[b] ELISTARA: [/b]

http://www.zonavirus.com/descargas/elistara.asp



Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso
[/quote]

saludos



ms, 8-12-2008

[sembrar]

Tue Dec 09 23:20:29 2008

EliStartPage v17.58 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 9 de Diciembre del 2008)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\SYSTEM32\GASRETYW0.DLL.VIR --> Eliminado.



Tue Dec 09 23:21:05 2008

EliStartPage v17.58 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 9 de Diciembre del 2008)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"

C:\Muestras\STACVS.VIR --> Eliminado, Trojan.Agent.ASUF

C:\Muestras\STACVS1.VIR --> Eliminado, Trojan.Agent.ASUF

C:\WINDOWS\system32\STACVS.VIR --> Eliminado, Trojan.Agent.ASUF



Nº Total de Directorios: 7002

Nº Total de Ficheros: 66991

Nº de Ficheros Analizados: 22763

Nº de Ficheros Infectados: 3

Nº de Ficheros Limpiados: 3

[msc hotline sat]

Pues felicidades ! :



C:\WINDOWS\SYSTEM32\GASRETYW0.DLL.VIR --> Eliminado.

C:\Muestras\STACVS.VIR --> Eliminado, Trojan.Agent.ASUF

C:\Muestras\STACVS1.VIR --> Eliminado, Trojan.Agent.ASUF

C:\WINDOWS\system32\STACVS.VIR --> Eliminado, Trojan.Agent.ASUF





Se resistió, pero al final lo logramos ! :mrgreen:





Lo celebramos, y dando el Tema por solucionado, procedemos a cerrarlo



Si nos necesita de nuevo, ya sabe donde estamos



saludos



ms, 10-12-2008

[msc hotline sat]

Nota postcierre:



Recibida muestra para analizar, ha resultado ser variante del ONLINE GAMES que pasamos a controlar y eliminar a partir de la version de hoy del ELISTARA 17.60



A partir de las 19 h GMT, estará disponible en esta web, para pruebas de evaluacion en el foro de zonavirus




[quote]
[b] ELISTARA: [/b]

http://www.zonavirus.com/descargas/elistara.asp



Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso
[/quote]

saludos



ms, 11-12-2008