Infectada con Spy.zbot.GWQ (SOLUCIONADO)

[jm_mai]

Hola muy buena de nuevo!!!!el otro dia os mande las muestras sin habr creado el tema , por lo tanto lo siento ysigo los pasos correspondientes, porque siempre me solucionais todo...Bueno pues eso pase el Elisytara el otro dia pero m sigue saliendo que sigo infectado por este spyware y ademas cada vez son mas ficheos.dll infectados, que puedo hacer??Mil gracias chicos soislois majores!!!!

[msc hotline sat]

Se reciben cada día muchas muestras y las que no vienen identificadas de zonavirus a traves del circuito de ENVIO MUESTRAS, van por otra vía que, si es de clientes asociados a SATINFO, e indican su numero de registro, se les contesta y se mantiene correspondiencia, pero los que no son de zonavirus ni de SATINFO, tienen respuesta automatica de acuse de recepcion y, cuando les llegue el turno, indicacion de la version y utilidad que las controla, pero sin participación personal, claro.

Vuelve a enviarla desde este Tema, pulsando en el boton de ENVIO MUESTRA de la parte superior derecha de este post, y recuerda que la muestra ha de ir empaquetada en ZIP o RAR con password virus.

Tras recibirlos, los analizaremos e implementaremos su control y eliminacion, si procede, en nuestras utilidades, de lo cual informaremos

saludos

ms, 24-5-2009

[msc hotline sat]

De todas formas, con el buscador del foro, se encuentra la deteccion de un ZBOT.GWQ hace poco mas de un mes, por mails de falso remitente DHL, lo cual quedó controlado el mismo dia 23 de Abril.

Si dice que con el ELISTARA (Copie tambien el ELINOTIF.DLL en la misma carpeta, como se indica al final del Tema del link) no lo controla, puede tratarse de una nueva variante no conocida, y en cuanto recibamos la muestra implementaremos su control y eliminacion, pero por si acaso pruebe lo indicado , Y POSTEENOS EL INFOSAT.TXT RESULTANTE !!!

http://www.zonavirus.com/descargas/elistara.asp

Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso

Y si pide el ELINOTIF.DLL, copiar dicho fichero en la misma carpeta que el ELISTARA.EXE, el cual la utilizará si la necesita:

ELINOTIF.DLL
http://www.zonavirus.com/descargas/elinotif.asp

saludos

ms, 24-5-2009

[jm_mai]

(25-5-2009 16:08:18)

EliStartPage v18.67 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 22 de Mayo del 2009)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Entrada Eliminada [HKLM\...\Run] "gupakumezo"="Rundll32.exe "C:\WINDOWS\system32\zuginoda.dll",s" (Vundo)

Entrada Eliminada [HKLM\...\Run] "d02a8ffe"="rundll32.exe "C:\WINDOWS\system32\yobuwiji.dll",b" (Vundo)

Key Eliminada [SharedTaskScheduler "{EC43E3FD-5C60-46a6-97D7-E0B85DBDD6C4}"] -> C:\WINDOWS\SYSTEM32\REFEYEKA.DLL

C:\WINDOWS\SYSTEM32\SDRA64.EXE --> Acceso Denegado.

C:\WINDOWS\SYSTEM32\YOBUWIJI.DLL --> Vundo5 Renombrado a .VIR

C:\WINDOWS\SYSTEM32\REFEYEKA.DLL --> Vundo(STS) Renombrado a .VIR

Eliminada Class, "{EC43E3FD-5C60-46A6-97D7-E0B85DBDD6C4}" -> c:\windows\system32\refeyeka.dll

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Reinicie para Completar la Limpieza.



(25-5-2009 16:08:52)

EliStartPage v18.67 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 22 de Mayo del 2009)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"

C:\Muestras\GEWEFUHO.DLL.MUESTRA ELISTARTPAGE V18.64 --> Eliminado, Vundo5.1

C:\Muestras\GOBAGAJU.DLL.MUESTRA ELISTARTPAGE V18.64 --> Eliminado, Vundo5

C:\Muestras\NORIPIPI.DLL --> Eliminado, Vundo(STS)

C:\Muestras\NORIPIPI.DLL.MUESTRA ELISTARTPAGE V18.64 --> Eliminado, Vundo(STS)

C:\Muestras\YILADULE.DLL.MUESTRA ELISTARTPAGE V18.64 --> Eliminado, Vundo5

C:\Muestras\YUTOSUKE.DLL --> Eliminado, Vundo(STS)

C:\Muestras\YUTOSUKE.DLL.MUESTRA ELISTARTPAGE V18.64 --> Eliminado, Vundo(STS)

C:\Muestras\ZANARUMA.DLL.MUESTRA ELISTARTPAGE V18.64 --> Eliminado, Vundo(STS)

C:\Muestras\ZUGINODA.DLL.MUESTRA ELISTARTPAGE V18.64 --> Eliminado, Vundo5.1

C:\WINDOWS\system32\FAFAVIBO.DLL --> Acceso Denegado, Vundo5.1 (Reiniciar para Completar la Limpieza)

C:\WINDOWS\system32\FOJAWUKA.DLL --> Eliminado, Vundo5

C:\WINDOWS\system32\GEWEFUHO.DLL.VIR --> Eliminado, Vundo5.1

C:\WINDOWS\system32\HENAJAFU.DLL --> Eliminado, Vundo(STS)

C:\WINDOWS\system32\KUTANEKE.DLL --> Eliminado, Vundo5.1

C:\WINDOWS\system32\REFEYEKA.DLL.VIR --> Acceso Denegado, Vundo(STS) (Reiniciar para Completar la Limpieza)

C:\WINDOWS\system32\TEROTOJA.DLL --> Eliminado, Vundo5

C:\WINDOWS\system32\YILADULE.DLL.VIR --> Eliminado, Vundo5

C:\WINDOWS\system32\YOBUWIJI.DLL.VIR --> Acceso Denegado, Vundo5 (Reiniciar para Completar la Limpieza)

C:\WINDOWS\system32\YUTOSUKE.DLL.VIR --> Eliminado, Vundo(STS)



Nº Total de Directorios: 8958

Nº Total de Ficheros: 89873

Nº de Ficheros Analizados: 27187

Nº de Ficheros Infectados: 19

Nº de Ficheros Limpiados: 16

Sistema Infectado por el Spy.ZBot.GWQ

Sistema Infectado por Troyano de AppInit

c:\windows\system32\refeyeka.dll

Puede Requerir Arrancar en Consola de Reparación para Eliminalo.

Instalada Utilidad "ELINOTIF.DLL" (Reinicie de Nuevo para Completar la Limpieza)



EliNotify v1.9.05.04 (c)2009 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones:

Detectado Troyano de AppInit

c:\windows\system32\refeyeka.dll -> Acceso Denegado.

Detectado Spy.Zbot.GWQ

Restaurado Valor "UserInit"

Desinstalado EliNotif.dll



(25-5-2009 16:26:27)

EliStartPage v18.67 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 22 de Mayo del 2009)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Entrada Eliminada [HKLM\...\Run] "d02a8ffe"="rundll32.exe "C:\WINDOWS\system32\yobuwiji.dll",b" (Vundo)

Entrada Eliminada [HKLM\...\Run] "gupakumezo"="Rundll32.exe "C:\WINDOWS\system32\zuginoda.dll",s" (Vundo)

Por favor, envienos una muestra del fichero

C:\Muestras\SDRA64.EXE.Muestra EliStartPage v18.67

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\SDRA64.EXE --> Eliminado

Eliminada Class, "{EC43E3FD-5C60-46A6-97D7-E0B85DBDD6C4}" -> c:\windows\system32\refeyeka.dll

Eliminada Carpeta "%WinSys%\Lowsec"

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



(25-5-2009 16:27:13)

EliStartPage v18.67 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 22 de Mayo del 2009)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"

C:\WINDOWS\system32\FAFAVIBO.DLL.VIR --> Eliminado, Vundo5.1

C:\WINDOWS\system32\REFEYEKA.DLL.VIR.VIR --> Eliminado, Vundo(STS)

C:\WINDOWS\system32\YOBUWIJI.DLL.VIR.VIR --> Eliminado, Vundo5



Nº Total de Directorios: 8967

Nº Total de Ficheros: 89867

Nº de Ficheros Analizados: 27179

Nº de Ficheros Infectados: 3

Nº de Ficheros Limpiados: 3

[msc hotline sat]

Pues el informe se lee:





[b][i]Por favor, envienos una muestra del fichero

C:\Muestras\SDRA64.EXE.Muestra EliStartPage v18.67[/i][/b]





Ya hablamos de un SDRA64, peligroso ZBOT, en:



https://foros.zonavirus.com/viewtopic.php?f=12&t=28347&hilit=sdra64



Y el inicial ya está controlado por el ELISTARA, pero este del que pedimos que nos envie muestra, debe ser otra variante, y desde luego dificililla, como la primera, pero, tras enviarnos el fichero pedido, lo monitorizaremos y añadiremos su control en la próxima versionndel ELISTARA.





Para enviarnos dicho fichero, recuerde:



[b]¿Como enviar las muestras a zonavirus? - Para ello recordar[/b]:

https://foros.zonavirus.com/viewtopic.php?f=5&t=14253



Tras recibir los ficheros, los analizaremos e implementaremos su control y eliminacion, si procede, en nuestras utilidades, de lo cual informaremos



saludos



ms, 26-5-2009

[jm_mai]

Muchas gracias por la ayuda!!!ya os he enviado el fichero solicitado..deciros que se me ha instalado un programa llamado Malware Doctor al lado del relojito, por si os vale de ayuda...Por favor decirme que deberia hacer para quitarmelo de encima??Mil Millones de gracias, de verdad, sois los mejors...

[msc hotline sat]

Bajate la nueva version del ELISTARA 18.68 y pruebala:


[quote="para DESCARGAR el ELISTARA, msc"] http://www.zonavirus.com/descargas/elistara.asp



Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso [/quote]



y dinos si persiste el problema del FAKE ALERT indicado (MALWARE DOCTOR), y si es asi, prueba el SPROCES y nos posteas el informe resultante:


[quote="msc escribió"]
[b]SPROCES.EXE[/b] (herramienta de investigación)

http://www.zonavirus.com/descargas/sproces.asp



Y tras pulsar en SALIR, posteanos el contenido del C:\SPROCLOG.TXT [/quote]
lo analizaremos e informaremos al respecto.



saludos



ms, 26-5-2009

[jm_mai]

Muchas gracias!!Todavia me sale el FAKE ALERT!!!aqui te dejo el infosat.txt y el Sproclog.txt....gracias!!





(25-5-2009 16:08:18)

EliStartPage v18.67 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 22 de Mayo del 2009)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Entrada Eliminada [HKLM\...\Run] "gupakumezo"="Rundll32.exe "C:\WINDOWS\system32\zuginoda.dll",s" (Vundo)

Entrada Eliminada [HKLM\...\Run] "d02a8ffe"="rundll32.exe "C:\WINDOWS\system32\yobuwiji.dll",b" (Vundo)

Key Eliminada [SharedTaskScheduler "{EC43E3FD-5C60-46a6-97D7-E0B85DBDD6C4}"] -> C:\WINDOWS\SYSTEM32\REFEYEKA.DLL

C:\WINDOWS\SYSTEM32\SDRA64.EXE --> Acceso Denegado.

C:\WINDOWS\SYSTEM32\YOBUWIJI.DLL --> Vundo5 Renombrado a .VIR

C:\WINDOWS\SYSTEM32\REFEYEKA.DLL --> Vundo(STS) Renombrado a .VIR

Eliminada Class, "{EC43E3FD-5C60-46A6-97D7-E0B85DBDD6C4}" -> c:\windows\system32\refeyeka.dll

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Reinicie para Completar la Limpieza.



(25-5-2009 16:08:52)

EliStartPage v18.67 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 22 de Mayo del 2009)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"

C:\Muestras\GEWEFUHO.DLL.MUESTRA ELISTARTPAGE V18.64 --> Eliminado, Vundo5.1

C:\Muestras\GOBAGAJU.DLL.MUESTRA ELISTARTPAGE V18.64 --> Eliminado, Vundo5

C:\Muestras\NORIPIPI.DLL --> Eliminado, Vundo(STS)

C:\Muestras\NORIPIPI.DLL.MUESTRA ELISTARTPAGE V18.64 --> Eliminado, Vundo(STS)

C:\Muestras\YILADULE.DLL.MUESTRA ELISTARTPAGE V18.64 --> Eliminado, Vundo5

C:\Muestras\YUTOSUKE.DLL --> Eliminado, Vundo(STS)

C:\Muestras\YUTOSUKE.DLL.MUESTRA ELISTARTPAGE V18.64 --> Eliminado, Vundo(STS)

C:\Muestras\ZANARUMA.DLL.MUESTRA ELISTARTPAGE V18.64 --> Eliminado, Vundo(STS)

C:\Muestras\ZUGINODA.DLL.MUESTRA ELISTARTPAGE V18.64 --> Eliminado, Vundo5.1

C:\WINDOWS\system32\FAFAVIBO.DLL --> Acceso Denegado, Vundo5.1 (Reiniciar para Completar la Limpieza)

C:\WINDOWS\system32\FOJAWUKA.DLL --> Eliminado, Vundo5

C:\WINDOWS\system32\GEWEFUHO.DLL.VIR --> Eliminado, Vundo5.1

C:\WINDOWS\system32\HENAJAFU.DLL --> Eliminado, Vundo(STS)

C:\WINDOWS\system32\KUTANEKE.DLL --> Eliminado, Vundo5.1

C:\WINDOWS\system32\REFEYEKA.DLL.VIR --> Acceso Denegado, Vundo(STS) (Reiniciar para Completar la Limpieza)

C:\WINDOWS\system32\TEROTOJA.DLL --> Eliminado, Vundo5

C:\WINDOWS\system32\YILADULE.DLL.VIR --> Eliminado, Vundo5

C:\WINDOWS\system32\YOBUWIJI.DLL.VIR --> Acceso Denegado, Vundo5 (Reiniciar para Completar la Limpieza)

C:\WINDOWS\system32\YUTOSUKE.DLL.VIR --> Eliminado, Vundo(STS)



Nº Total de Directorios: 8958

Nº Total de Ficheros: 89873

Nº de Ficheros Analizados: 27187

Nº de Ficheros Infectados: 19

Nº de Ficheros Limpiados: 16

Sistema Infectado por el Spy.ZBot.GWQ

Sistema Infectado por Troyano de AppInit

c:\windows\system32\refeyeka.dll

Puede Requerir Arrancar en Consola de Reparación para Eliminalo.

Instalada Utilidad "ELINOTIF.DLL" (Reinicie de Nuevo para Completar la Limpieza)



EliNotify v1.9.05.04 (c)2009 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones:

Detectado Troyano de AppInit

c:\windows\system32\refeyeka.dll -> Acceso Denegado.

Detectado Spy.Zbot.GWQ

Restaurado Valor "UserInit"

Desinstalado EliNotif.dll



(25-5-2009 16:26:27)

EliStartPage v18.67 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 22 de Mayo del 2009)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Entrada Eliminada [HKLM\...\Run] "d02a8ffe"="rundll32.exe "C:\WINDOWS\system32\yobuwiji.dll",b" (Vundo)

Entrada Eliminada [HKLM\...\Run] "gupakumezo"="Rundll32.exe "C:\WINDOWS\system32\zuginoda.dll",s" (Vundo)

Por favor, envienos una muestra del fichero

C:\Muestras\SDRA64.EXE.Muestra EliStartPage v18.67

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\SDRA64.EXE --> Eliminado

Eliminada Class, "{EC43E3FD-5C60-46A6-97D7-E0B85DBDD6C4}" -> c:\windows\system32\refeyeka.dll

Eliminada Carpeta "%WinSys%\Lowsec"

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



(25-5-2009 16:27:13)

EliStartPage v18.67 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 22 de Mayo del 2009)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"

C:\WINDOWS\system32\FAFAVIBO.DLL.VIR --> Eliminado, Vundo5.1

C:\WINDOWS\system32\REFEYEKA.DLL.VIR.VIR --> Eliminado, Vundo(STS)

C:\WINDOWS\system32\YOBUWIJI.DLL.VIR.VIR --> Eliminado, Vundo5



Nº Total de Directorios: 8967

Nº Total de Ficheros: 89867

Nº de Ficheros Analizados: 27179

Nº de Ficheros Infectados: 3

Nº de Ficheros Limpiados: 3



(26-5-2009 20:02:03)

EliStartPage v18.69 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 26 de Mayo del 2009)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Por favor, envienos una muestra del fichero

C:\Muestras\LD08.EXE.Muestra EliStartPage v18.69

a "virus@satinfo.es". Gracias.

C:\WINDOWS\LD08.EXE --> Eliminado

Por favor, envienos una muestra del fichero

C:\Muestras\TESTABD.DLL.Muestra EliStartPage v18.69

a "virus@satinfo.es". Gracias.

C:\PROGRAM FILES\THUNMAIL\TESTABD.DLL --> Renombrado a .VIR

C:\WINDOWS\SYSTEM32\DRIVERS\GAOPDXXXORSCBT.SYS --> Eliminado

Por favor, envienos una muestra del fichero

C:\Muestras\GAOPDXDUSBBPOG.DLL.Muestra EliStartPage v18.69

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\GAOPDXDUSBBPOG.DLL --> Eliminado

Entrada Eliminada [HKLM\...\Run] "pp"="c:\windows\pp10.exe"

Entrada Eliminada [HKLM\...\Run] "sysldtray"="C:\windows\ld08.exe"

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Reinicie para Completar la Limpieza.



(26-5-2009 20:02:25)

EliStartPage v18.69 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 26 de Mayo del 2009)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"

C:\Muestras\SDRA64.EXE.MUESTRA ELISTARTPAGE V18.67 --> Eliminado, Spy.ZBot.GWQ



Nº Total de Directorios: 8969

Nº Total de Ficheros: 90007

Nº de Ficheros Analizados: 27199

Nº de Ficheros Infectados: 1

Nº de Ficheros Limpiados: 1



(26-5-2009 22:01:55)

EliStartPage v18.69 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 26 de Mayo del 2009)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

C:\Program Files\ThunMail\TESTABD.DLL.VIR --> Eliminado.

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE





--------------------------------------------------------------------------------------------------------------------------------------------------

(26-5-2009 22:5:24)

SProces v3.5 (c)2009 S.G.H. / Satinfo S.L.

-------------------------------------------

Sistema Operativo: Microsoft Windows XP (v5.1.2600) Service Pack 3

Parche MS08-067 (Servicio Servidor) Instalado.

Internet Explorer: (v7.0.5730.13) 0

Nombre Equipo: BAJO

Nombre Usuario: MAI



Procesos Activos:

C:\WINDOWS\SYSTEM32\SMSS.EXE

C:\WINDOWS\SYSTEM32\WINLOGON.EXE

C:\WINDOWS\SYSTEM32\SERVICES.EXE

C:\WINDOWS\SYSTEM32\LSASS.EXE

C:\WINDOWS\SYSTEM32\ATI2EVXX.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\ATI2EVXX.EXE

C:\WINDOWS\SYSTEM32\SPOOLSV.EXE

C:\ARCHIVOS DE PROGRAMA\ARCHIVOS COMUNES\APPLE\MOBILE DEVICE SUPPORT\BIN\APPLEMOBILEDEVICESERVICE.EXE

C:\WINDOWS\SYSTEM32\ASHEVTSVC.EXE

C:\WINDOWS\SYSTEM32\AVAST!ANTIVIRUS.EXE

C:\APPS\POWERCINEMA\KERNEL\TV\CLCAPSVC.EXE

C:\APPS\POWERCINEMA\KERNEL\CLML_NTSERVICE\CLMLSERVER.EXE

C:\ARCHIVOS DE PROGRAMA\CA\ETRUST ANTIVIRUS\INORPC.EXE

C:\ARCHIVOS DE PROGRAMA\CA\ETRUST ANTIVIRUS\INORT.EXE

C:\ARCHIVOS DE PROGRAMA\CA\ETRUST ANTIVIRUS\INOTASK.EXE

C:\ARCHIVOS DE PROGRAMA\JAVA\JRE6\BIN\JQS.EXE

C:\ARCHIVOS DE PROGRAMA\ARCHIVOS COMUNES\NERO\NERO BACKITUP 4\NBSERVICE.EXE

C:\APPS\SOFTEX\OMNIPASS\OMNISERV.EXE

C:\WINDOWS\SYSTEM32\HPZIPM12.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\ARCHIVOS DE PROGRAMA\ARCHIVOS COMUNES\ULEAD SYSTEMS\DVD\ULCDRSVR.EXE

C:\ARCHIVOS DE PROGRAMA\SONIC\DIGITALMEDIA LE V7\MYDVD LE\USBDEVICESERVICE.EXE

C:\APPS\POWERCINEMA\KERNEL\TV\CLSCHED.EXE

C:\APPS\SOFTEX\OMNIPASS\OPXPAPP.EXE

C:\WINDOWS\SYSTEM32\WBEM\WMIAPSRV.EXE

C:\WINDOWS\SYSTEM32\WSCNTFY.EXE

C:\WINDOWS\SYSTEM32\WGATRAY.EXE

C:\WINDOWS\EXPLORER.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\CTFMON.EXE

C:\ARCHIVOS DE PROGRAMA\GOOGLE\GOOGLETOOLBARNOTIFIER\GOOGLETOOLBARNOTIFIER.EXE

C:\WINDOWS\RTHDCPL.EXE

C:\WINDOWS\SYSTEM32\RUNDLL32.EXE

C:\ARCHIVOS DE PROGRAMA\ATI TECHNOLOGIES\ATI.ACE\CLI.EXE

C:\ARCHIV~1\GOTOSO~1\VADERE~1\VADERETRO_OE.EXE

C:\ARCHIVOS DE PROGRAMA\SONIC\DIGITALMEDIA LE V7\MYDVD LE\DETECTORAPP.EXE

C:\APPS\SOFTEX\OMNIPASS\SCUREAPP.EXE

C:\APPS\POWERCINEMA\PCMSERVICE.EXE

C:\ARCHIVOS DE PROGRAMA\DAEMON TOOLS\DAEMON.EXE

C:\ARCHIVOS DE PROGRAMA\QUICKTIME\QTTASK.EXE

C:\ARCHIVOS DE PROGRAMA\GOOGLE\QUICK SEARCH BOX\QSB.EXE

C:\ARCHIVOS DE PROGRAMA\JAVA\JRE6\BIN\JUSCHED.EXE

D:\DOCUMENTS AND SETTINGS\LOCALSERVICE\DATOS DE PROGRAMA\691447002.EXE

C:\ARCHIVOS DE PROGRAMA\MSN MESSENGER\MSNMSGR.EXE

C:\WINDOWS\SYSTEM32\SYSDLL.EXE

C:\ARCHIVOS DE PROGRAMA\INTERNET EXPLORER\IEXPLORE.EXE

C:\ARCHIVOS DE PROGRAMA\ATI TECHNOLOGIES\ATI.ACE\CLI.EXE

C:\ARCHIVOS DE PROGRAMA\ATI TECHNOLOGIES\ATI.ACE\CLI.EXE

D:\DOCUMENTS AND SETTINGS\MAI\MIS DOCUMENTOS\MAI\ELISTARA\SPROCES.EXE



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = www.google.es

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=localhost:7171

R3 - URLSearchHook: Microsoft Url Search Hook - {CFBFAE00-17A6-11D0-99CB-00C04FD64497} - C:\WINDOWS\system32\ieframe.dll

F2 - REG:system.ini: UserInit=C:\WINDOWS\SYSTEM32\Userinit.exe,

O1 - Hosts: 127.0.0.1 localhost

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: AskBar BHO - {201f27d4-3704-41d6-89c1-aa35e39143ed} - C:\Archivos de programa\AskBarDis\bar\bin\askBar.dll

O2 - BHO: (no name) - {5dcb45c7-8c34-457e-b610-a5c6d624f41f} - C:\WINDOWS\system32\fafavibo.dll (file missing)

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O2 - BHO: enlaces.110mb Toolbar - {a3524025-a9e4-4283-9e75-ff3980ba181c} - C:\Archivos de programa\enlaces.110mb\tbenl1.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Archivos de programa\Google\Google Toolbar\GoogleToolbar.dll

O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Archivos de programa\Google\GoogleToolbarNotifier\5.1.1309.3572\swg.dll

O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Archivos de programa\Windows Live Toolbar\msntb.dll

O2 - BHO: Google Dictionary Compression sdch - {C84D72FE-E17D-4195-BB24-76C02E2E7C4E} - C:\Archivos de programa\Google\Google Toolbar\Component\fastsearch_9993303B90FE6C1D.dll

O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Archivos de programa\Java\jre6\bin\jp2ssv.dll

O2 - BHO: JQSIEStartDetectorImpl Class - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Archivos de programa\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll

O2 - BHO: Microsoft copyright - {F30B5E7E-CFBB-44fb-A947-226E5A7A4290} - lklf32.dll

O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Archivos de programa\Windows Live Toolbar\msntb.dll

O3 - Toolbar: enlaces.110mb Toolbar - {a3524025-a9e4-4283-9e75-ff3980ba181c} - C:\Archivos de programa\enlaces.110mb\tbenl1.dll

O3 - Toolbar: Ask Toolbar - {3041d03e-fd4b-44e0-b742-2d9b88305f98} - C:\Archivos de programa\AskBarDis\bar\bin\askBar.dll

O3 - Toolbar: &Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Archivos de programa\Google\Google Toolbar\GoogleToolbar.dll

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [MsnMsgr] "C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe" /background

O4 - HKCU\..\Run: [swg] C:\Archivos de programa\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

O4 - HKCU\..\Run: [prnet] "C:\WINDOWS\system32\prnet.tmp"

O4 - HKCU\..\Run: [net] "C:\WINDOWS\system32\net.net"

O4 - HKCU\..\Run: [Malware Doctor] D:\Documents and Settings\LocalService\Datos de programa\691447002.exe

O4 - HKCU\..\Run: [SYSDLL] SYSDLL

O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC

O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName

O4 - HKLM\..\Run: [High Definition Audio Property Page Shortcut] HDAShCut.exe

O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE

O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE /Spoil /RemAdvDef /Migration32"

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent

O4 - HKLM\..\Run: [ATICCC] "c:\Archivos de programa\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay

O4 - HKLM\..\Run: [Vade Retro Outlook Express] "C:\ARCHIV~1\GOTOSO~1\VADERE~1\Vaderetro_oe.exe"

O4 - HKLM\..\Run: [DetectorApp] C:\Archivos de programa\Sonic\DigitalMedia LE v7\MyDVD LE\DetectorApp.exe

O4 - HKLM\..\Run: [ISUSPM Startup] C:\ARCHIV~1\ARCHIV~1\INSTAL~1\UPDATE~1\ISUSPM.exe -startup

O4 - HKLM\..\Run: [ISUSScheduler] "C:\Archivos de programa\Archivos comunes\InstallShield\UpdateService\issch.exe" -start

O4 - HKLM\..\Run: [ccApp] "C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe"

O4 - HKLM\..\Run: [OmniPass] C:\Apps\Softex\OmniPass\scureapp.exe

O4 - HKLM\..\Run: [PCMService] "c:\APPS\Powercinema\PCMService.exe"

O4 - HKLM\..\Run: [DAEMON Tools] "C:\Archivos de programa\DAEMON Tools\daemon.exe" -lang 1033

O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [Google Quick Search Box] "C:\Archivos de programa\Google\Quick Search Box\qsb.exe" /autorun

O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Archivos de programa\Java\jre6\bin\jusched.exe"

O4 - HKLM\..\Run: [prnet] "C:\WINDOWS\system32\prnet.tmp"

O4 - HKLM\..\Run: [net] "C:\WINDOWS\system32\net.net"

O4 - HKLM\..\Run: [Malware Doctor] D:\Documents and Settings\LocalService\Datos de programa\691447002.exe

O4 - Startup: desktop.ini

O4 - Startup: Ubisoft register.lnk

O4 - Global Startup: desktop.ini

O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1

O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O16 - DPF: {1F2F4C9E-6F09-47BC-970D-3C54734667FE} (LSSupCtl Class) - https://www-secure.symantec.com/techsupp/asa/LSSupCtl.cab

O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab31267.cab

O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab

O16 - DPF: {2D8ED06D-3C30-438B-96AE-4D110FDC1FB8} (ActiveScan 2.0 Installer Class) - http://acs.pandasoftware.com/activescan/cabs/as2stubie.cab

O16 - DPF: {3451DEDE-631F-421C-8127-FD793AFC6CC8} (ActiveDataInfo Class) - https://www-secure.symantec.com/techsupp/asa/ctrl/SymAData.cab

O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/ES-ES/a-UNO1/GAME_UNO1.cab

O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scan8/oscan8.cab

O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab

O16 - DPF: {67DABFBF-D0AB-41FA-9C46-CC0F21721616} (DivXBrowserPlugin Object) - http://download.divx.com/player/DivXBrowserPlugin.cab

O16 - DPF: {83AFB5CA-ED35-11D4-A452-0080C8D85045} (GameDesire Poker Games) - http://67.15.101.33/g_bin/eng/poker_2_0_0_49.cab

O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Plug-in 1.6.0_13) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_13-windows-i586.cab

O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab

O16 - DPF: {B785FA3C-1DE9-4D20-8396-613C486FE95E} (AeatCtl Class) - https://www5.aeat.es/ES13/D/cactivex.cab

O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab

O16 - DPF: {CAFEEFAC-0015-0000-0004-ABCDEFFEDCBA} (Java Plug-in 1.5.0_04) - http://java.sun.com/update/1.5.0/jinstall-1_5_0_04-windows-i586.cab

O16 - DPF: {CAFEEFAC-0015-0000-0009-ABCDEFFEDCBA} (Java Plug-in 1.5.0_09) - http://java.sun.com/update/1.5.0/jinstall-1_5_0_09-windows-i586.cab

O16 - DPF: {CAFEEFAC-0015-0000-0010-ABCDEFFEDCBA} (Java Plug-in 1.5.0_10) - http://java.sun.com/update/1.5.0/jinstall-1_5_0_10-windows-i586.cab

O16 - DPF: {CAFEEFAC-0015-0000-0011-ABCDEFFEDCBA} (Java Plug-in 1.5.0_11) - http://java.sun.com/update/1.5.0/jinstall-1_5_0_11-windows-i586.cab

O16 - DPF: {CAFEEFAC-0016-0000-0001-ABCDEFFEDCBA} (Java Plug-in 1.6.0_01) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_01-windows-i586.cab

O16 - DPF: {CAFEEFAC-0016-0000-0003-ABCDEFFEDCBA} (Java Plug-in 1.6.0_03) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_03-windows-i586.cab

O16 - DPF: {CAFEEFAC-0016-0000-0007-ABCDEFFEDCBA} (Java Plug-in 1.6.0_07) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_07-windows-i586.cab

O16 - DPF: {CAFEEFAC-0016-0000-0013-ABCDEFFEDCBA} (Java Plug-in 1.6.0_13) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_13-windows-i586.cab

O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} (Java Plug-in 1.6.0_13) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_13-windows-i586.cab

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab

O16 - DPF: {F5A7706B-B9C0-4C89-A715-7A0C6B05DD48} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab56986.cab

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: mso-offdap - {3D9F03FA-7A94-11D3-BE81-0050048385D1} - C:\ARCHIV~1\ARCHIV~1\MICROS~1\WEBCOM~1\10\OWC10.DLL

O18 - Protocol: mso-offdap11 - {32505114-5902-49B2-880A-1F7738E5A384} - C:\ARCHIV~1\ARCHIV~1\MICROS~1\WEBCOM~1\11\OWC11.DLL

O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\ARCHIV~1\ARCHIV~1\Skype\SKYPE4~1.DLL

O20 - Winlogon Notify: ATIEXTEVENT - ATI2EVXX.DLL

O20 - Winlogon Notify: DIMSNTFY - %SYSTEMROOT%\SYSTEM32\DIMSNTFY.DLL

O20 - Winlogon Notify: OPXPGINA - C:\APPS\SOFTEX\OMNIPASS\OPXPGINA.DLL

O20 - Winlogon Notify: WGALOGON - WGALOGON.DLL

O21 - SSODL: PostBootReminder - {7849596a-48ea-486e-8937-a2a3009f31a9} - %SystemRoot%\system32\SHELL32.dll

O21 - SSODL: CDBurn - {fbeb8a05-beee-4442-804e-409d6c4515e9} - %SystemRoot%\system32\SHELL32.dll

O21 - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - C:\WINDOWS\system32\webcheck.dll

O21 - SSODL: SysTray - {35CEC8A3-2BE6-11D2-8773-92E220524153} - C:\WINDOWS\system32\stobject.dll

O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll

O22 - SharedTaskScheduler: {438755C2-A8BA-11D1-B96B-00A0C90312E1} - Precargador Browseui - %SystemRoot%\system32\browseui.dll

O22 - SharedTaskScheduler: {8C7461EF-2B13-11d2-BE35-3078302C2030} - Demonio de caché de las categorías de componente - %SystemRoot%\system32\browseui.dll



Información Adicional:

----------------------

Activada Restricción del Administador de Tareas.(DisableTaskMgr)



Listado de Servicios (Carga Automatica):

----------------------------------------

O23 - Service: General Purpose USB Driver (adildr.sys) (ADILOADER) - Analog Deivces - C:\WINDOWS\SYSTEM32\Drivers\adildr.sys

O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Archivos de programa\Archivos comunes\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe

O23 - Service: AshEvtSvc - Unknown owner - C:\WINDOWS\System32\AshEvtSvc.exe

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

O23 - Service: atksgt - Unknown owner - C:\WINDOWS\SYSTEM32\DRIVERS\atksgt.sys

O23 - Service: avast!Antivirus - Unknown owner - C:\WINDOWS\System32\avast!Antivirus.exe

O23 - Service: CyberLink Background Capture Service (CBCS) (CLCapSvc) - Unknown owner - c:\APPS\Powercinema\Kernel\TV\CLCapSvc.exe

O23 - Service: CyberLink Task Scheduler (CTS) (CLSched) - Unknown owner - c:\APPS\Powercinema\Kernel\TV\CLSched.exe

O23 - Service: CyberLink Media Library Service - Cyberlink - c:\APPS\Powercinema\Kernel\CLML_NTService\CLMLServer.exe

**O23 - Service: Iniciador de procesos de servidor DCOM (DcomLaunch) - Unknown owner - C:\WINDOWS\system32\svchost -k DcomLaunch (file missing)

O23 - Service: hppecp00 (HPPECP00) - Hewlett-Packard Co. - C:\WINDOWS\system32\drivers\hppecp00.sys

O23 - Service: eTrust Antivirus RPC Server (InoRPC) - Computer Associates International, Inc. - C:\Archivos de programa\CA\eTrust Antivirus\InoRpc.exe

O23 - Service: eTrust Antivirus Realtime Server (InoRT) - Computer Associates International, Inc. - C:\Archivos de programa\CA\eTrust Antivirus\InoRT.exe

O23 - Service: eTrust Antivirus Job Server (InoTask) - Computer Associates International, Inc. - C:\Archivos de programa\CA\eTrust Antivirus\InoTask.exe

O23 - Service: INO_FLTR - Computer Associates - C:\WINDOWS\system32\Drivers\ino_fltr.sys

O23 - Service: Java Quick Starter (JavaQuickStarterService) - Unknown owner - C:\Archivos de programa\Java\jre6\bin\jqs.exe" -service -config "C:\Archivos de programa\Java\jre6\lib\deploy\jqs\jqs.con (file missing)

O23 - Service: lirsgt - Unknown owner - C:\WINDOWS\SYSTEM32\DRIVERS\lirsgt.sys

O23 - Service: Nero BackItUp Scheduler 4.0 - Nero AG - C:\Archivos de programa\Archivos comunes\Nero\Nero BackItUp 4\NBService.exe

O23 - Service: Nero MediaHome 4 Service (NeroMediaHomeService.4) - Nero AG - C:\Archivos de programa\Nero\Nero MediaHome 4\NMMediaServerService.exe

O23 - Service: Softex OmniPass Service (omniserv) - Softex Inc. - C:\Apps\Softex\OmniPass\Omniserv.exe

O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

**O23 - Service: Llamada a procedimiento remoto (RPC) (RpcSs) - Unknown owner - C:\WINDOWS\system32\svchost -k rpcss (file missing)

O23 - Service: Secdrv - Macrovision Corporation, Macrovision Europe Limited, and Macrovision Japan and Asia K.K. - C:\WINDOWS\SYSTEM32\DRIVERS\secdrv.sys

O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Archivos de programa\Archivos comunes\Ulead Systems\DVD\ULCDRSvr.exe

O23 - Service: USBDeviceService - Unknown owner - C:\Archivos de programa\Sonic\DigitalMedia LE v7\MyDVD LE\USBDeviceService.exe



Listado de Servicios (Carga Manual):

------------------------------------

O23 - Service: USB ADSL WAN Adapter (adiusbaw) - Analog Devices Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\adiusbaw.sys

O23 - Service: ati2mtag - ATI Technologies Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\ati2mtag.sys

O23 - Service: CO_Mon - Unknown owner - C:\WINDOWS\system32\Drivers\CO_Mon.sys

O23 - Service: Cristie Storage Engine - Unknown owner - C:\Archivos de programa\Cristie\Cristie Storage Manager 4.30.1\CSE.EXE

**O23 - Service: Servicio del administrador de discos lógicos (dmadmin) - Microsoft Corp., VERITAS Software - C:\WINDOWS\System32\dmadmin.exe

O23 - Service: GEARAspiWDM - GEAR Software Inc. - C:\WINDOWS\SYSTEM32\Drivers\GEARAspiWDM.sys

O23 - Service: SEMC USB Flash Driver (ggsemc) - Sony Ericsson Mobile Communications - C:\WINDOWS\SYSTEM32\DRIVERS\ggsemc.sys

O23 - Service: Google Updater Service (gusvc) - Google - C:\Archivos de programa\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: Hamachi Network Interface (hamachi) - Applied Networking Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\hamachi.sys

O23 - Service: Microsoft UAA Function Driver for High Definition Audio Service (HdAudAddService) - Windows (R) Server 2003 DDK provider - C:\WINDOWS\SYSTEM32\drivers\HdAudio.sys

O23 - Service: Controlador de bus de Microsoft UAA para High Definition Audio (HDAudBus) - Windows (R) Server 2003 DDK provider - C:\WINDOWS\SYSTEM32\DRIVERS\HDAudBus.sys

O23 - Service: IEEE-1284.4 Driver HPZid412 (HPZid412) - HP - C:\WINDOWS\SYSTEM32\DRIVERS\HPZid412.sys

O23 - Service: Print Class Driver for IEEE-1284.4 HPZipr12 (HPZipr12) - HP - C:\WINDOWS\SYSTEM32\DRIVERS\HPZipr12.sys

O23 - Service: USB to IEEE-1284.4 Translation Driver HPZius12 (HPZius12) - HP - C:\WINDOWS\SYSTEM32\DRIVERS\HPZius12.sys

O23 - Service: Service for Realtek HD Audio (WDM) (IntcAzAudAddService) - Realtek Semiconductor Corp. - C:\WINDOWS\SYSTEM32\drivers\RtkHDAud.sys

O23 - Service: Servicio del iPod (iPod Service) - Apple Inc. - C:\Archivos de programa\iPod\bin\iPodService.exe

O23 - Service: Dual Mode USB Camera Plus (OVT511Plus) - OmniVision Technologies, Inc. - C:\WINDOWS\SYSTEM32\Drivers\omcamvid.sys

O23 - Service: Dual Mode USB Camera Plus (OVT511Plus) - OmniVision Technologies, Inc. - C:\WINDOWS\SYSTEM32\Drivers\omcamvid.sys

O23 - Service: Filter driver for OX16PCI95x ports (Oxmfuf) - OEM - C:\WINDOWS\SYSTEM32\DRIVERS\oxmfuf.sys

O23 - Service: VSO Software pcouffin (pcouffin) - VSO Software - C:\WINDOWS\SYSTEM32\Drivers\pcouffin.sys

O23 - Service: Controlador de vínculo paralelo directo (Ptilink) - Parallel Technologies, Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\ptilink.sys

O23 - Service: Realtek 10/100/1000 NIC Family all in one NDIS XP Driver (RTL8023xp) - Realtek Semiconductor Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\Rtnicxp.sys

O23 - Service: Controlador de Windows NT del adaptador Fast Ethernet PCI basado en Realtek RTL8139(A/B/C) (rtl8139) - Realtek Semiconductor Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\RTL8139.SYS

O23 - Service: ServiceLayer - Nokia. - C:\Archivos de programa\PC Connectivity Solution\ServiceLayer.exe

*O23 - Service: Servicios de Terminal Server (TermService) - Unknown owner - C:\WINDOWS\System32\svchost -k DComLaunch (file missing)

O23 - Service: Apple Mobile USB Driver (USBAAPL) - Apple, Inc. - C:\WINDOWS\SYSTEM32\Drivers\usbaapl.sys



Listado de Servicios (Deshabilitados):

--------------------------------------

**O23 - Service: dmboot - Microsoft Corp., Veritas Software - C:\WINDOWS\SYSTEM32\drivers\dmboot.sys

**O23 - Service: dmio - Microsoft Corp., Veritas Software - C:\WINDOWS\SYSTEM32\drivers\dmio.sys

**O23 - Service: dmload - Microsoft Corp., Veritas Software. - C:\WINDOWS\SYSTEM32\drivers\dmload.sys



55 Servicios.

26 de Carga Automatica.

26 de Carga Manual.

3 Deshabilitados.

[msc hotline sat]

Pues en el log vemos algunos ficheros sospechosos que le pedimos nos envie para analizar:



C:\WINDOWS\SYSTEM32\ASHEVTSVC.EXE



C:\WINDOWS\SYSTEM32\AVAST!ANTIVIRUS.EXE



D:\DOCUMENTS AND SETTINGS\LOCALSERVICE\DATOS DE PROGRAMA\691447002.EXE



C:\WINDOWS\SYSTEM32\SYSDLL.EXE



lklf32.dll (se supone que está en c:\windows\system32\ aunque no se indica)



C:\WINDOWS\system32\prnet.tmp



C:\WINDOWS\system32\net.net



D:\Documents and Settings\LocalService\Datos de programa\691447002.exe



C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe



C:\WINDOWS\system32\prnet.tmp"



D:\Documents and Settings\LocalService\Datos de programa\691447002.exe



C:\WINDOWS\System32\AshEvtSvc.exe



C:\WINDOWS\system32\drivers\hppecp00.sys



C:\Archivos de programa\Cristie\Cristie Storage Manager 4.30.1\CSE.EXE





y tambien envienos estos que le pide el ELISTARA:



Por favor, envienos una muestra del fichero

C:\Muestras\LD08.EXE.Muestra EliStartPage v18.69



Por favor, envienos una muestra del fichero

C:\Muestras\TESTABD.DLL.Muestra EliStartPage v18.69



Por favor, envienos una muestra del fichero

C:\Muestras\GAOPDXDUSBBPOG.DLL.Muestra EliStartPage v18.69







y elimine estas claves:



R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=localhost:7171



O2 - BHO: AskBar BHO - {201f27d4-3704-41d6-89c1-aa35e39143ed} - C:\Archivos de programa\AskBarDis\bar\bin\askBar.dll



O2 - BHO: (no name) - {5dcb45c7-8c34-457e-b610-a5c6d624f41f} - C:\WINDOWS\system32\fafavibo.dll (file missing)



O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

Safe



O2 - BHO: enlaces.110mb Toolbar - {a3524025-a9e4-4283-9e75-ff3980ba181c} - C:\Archivos de programa\enlaces.110mb\tbenl1.dll



O2 - BHO: Microsoft copyright - {F30B5E7E-CFBB-44fb-A947-226E5A7A4290} - lklf32.dll



O4 - HKCU\..\Run: [prnet] "C:\WINDOWS\system32\prnet.tmp"



O4 - HKCU\..\Run: [Malware Doctor] D:\Documents and Settings\LocalService\Datos de programa\691447002.exe



O4 - HKCU\..\Run: [SYSDLL] SYSDLL



O4 - HKLM\..\Run: [prnet] "C:\WINDOWS\system32\prnet.tmp"



O4 - HKLM\..\Run: [Malware Doctor] D:\Documents and Settings\LocalService\Datos de programa\691447002.exe



O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1





>[b]ENVIO DE MUESTRAS Y



ELIMINACION DE CLAVES - Para ello recordar[/b]:

https://foros.zonavirus.com/viewtopic.php?f=5&t=14253







Tras recibirlos, los analizaremos e implementaremos su control y eliminacion,



si procede, en nuestras utilidades, de lo cual informaremos



saludos



ms, 27-5-2009

[jm_mai]

Gracias por la respuesta, estoy viendo que es grave, verdad???bueno a ver si lo curamos..ejeje...por cierto donde puedo descargarme el HJT???mil gracias!!!en cuanto pueda os mando todo....

[msc hotline sat]

Sí, con el HJT podrás eliminar facilmente las claves, y sobre lo de si es grace... digamos que no tienes un troyano, tiene todo el caballo de Troya ! por esto te pedimos que nos envies estos 17 ficheros, para analizar, aunque a simple vista ya beo que tienes un KOOBFACE, asi que si usas facebook habrás infectado a través de él a todos tus conocidos... (Es por el fichero ld08.exe)



Justamente estoy editando una noticia al respecto, te pongo link cuando la acabe.



saludos



ms, 27-5-2009

[jm_mai]

Puff..madre mia!!!!!menos mal que no tengo Facebook...n se que haria sin vosotros...cuando me pongas el Link sobre esa noticia, me puedes poner tambien si no te importa el del HJT???gracias!

[msc hotline sat]

Pues aun calentito, mira este articulo:



https://foros.zonavirus.com/viewtopic.php?f=12&t=28683



y este es uno de los 17 que tiene...



Tras recibir los ficheros pedidos, los analizaremos e informaremos



saludos



ms, 27-5-2009



y el link del HJT te lo busco

[jm_mai]

Hola de nuevo!!siento ser tan pesada, pero es que cuando pincho en los links que hacen referencia algun topic, me dice que no estoy autorizada a ver este for..porque puede ser??gracias!!!

[msc hotline sat]

Ahí tienes el link de descarga del HJT y donde lo he encontrado ...



descarga:

http://www.zonavirus.com/descargas/trendmicro-hijackthis.asp



inmfo:

https://foros.zonavirus.com/viewtopic.php?f=13&t=11007&start=0



saludos



ms, 27-5-2009







NOTA: Con todo lo que tienes, todo lo que te pasa es poco ! Tras eliminar las claves, provisionalmente añade .VIR a los ficheros que te pedimos para analizar y reinicia, así estarán fuera de circulacion y no se probdrán en marcha. ms.

[jm_mai]

hola, ya os he enviado lo que me habeis pedidod, he pasado el HJT y he eliminado esas claves q me dijisties, tambien he renombrado loa muestras a .vir y he reiniciado, ya al menos no me sale el Malware Docotr, parece buena señal, que mas quieres que haga, mil gracias!!!

[lucl]

Pues ahora de momento te toca esperar un poco a que analicen mañana las muestras y te den la herramienta necesaria para su eliminacion, saludos

[msc hotline sat]

Efectivamente, es una buena señal, :wink: , y como bien indica, lucl hoy analizaremos las muestras que recibamos e implementaremos su control y eliminación, si procede, en nuestras utilidades, de lo cual informaremos.



saludos



ms, 28-5-2009

[msc hotline sat]

Pues menos este fichero : hppecp00.sys, en el preanalisis los demás han dado virus positivo en el preanalisis, por lo que puedes cambiarles la extension añadiendoles .VIR para que no se pongan en marcha a partir del proximo reinicio.



A este, dejale el .SYS, pues ha resultado ser un driver de una impresora HP.



Monitorizaremos los demas e implementaremos su control y eliminacion en las proximas versiones de nuestras utilidades, de lo cual informaremos.



saludos



ms, 28-5-2009

[jm_mai]

Bueno, entonces esperare a la nueva version del Elistara, de todas formas el Malware ha desaparecido , pero me sigun saltando muchas paginas de Pop-up, haciendo que me escanean el ordenador, eso fue solo ayer porque hoy no me ha pasado...Bueno si vosotrso veis que se puede cerrar el tema por mi me vale, otra vez millones de gracias, de verdad..siempre estais ahi para ayudar, da gusto!!!

[jm_mai]

Hola perdonar que vuelva, pero me he dado cuenta de que cuando pincho en cualquier enlace del google, me redirige a paginas "raras", asique creo que todavia hay un caballito de troya por aqui suelto, verdad???gracias!

[msc hotline sat]

Dices : [b][i]"asique creo que todavia hay un caballito de troya por aqui suelto, verdad???gracias!"[/i][/b]... UNO NO , MUCHOS !



Descarga las nuevas versiones del ELISTARA y del ELITRIIP que acabamos de subir a esta web y pruebalas, luego reinicias y nos posteas el contenido de c:\infosat.txt



y mañana seguiremos, que vamos intercalando tus ficheros entre la tarea normal de los clientes asociados, y uno o dos de cada usuario se puede, pero 15 ó 16 ... tomorrow :mrgreen:



saludos



ms, 28-5-2009





NOTA:


[quote="msc"]


[b] ELITRIIP: [/b]

http://www.zonavirus.com/descargas/elitriip.asp



[b] ELISTARA: [/b]

http://www.zonavirus.com/descargas/elistara.asp





Tras probarlos, reiniciar y postearnos el contenido de C:\infosat.txt para ver



el resultado de los procesos


[/quote]

[msc hotline sat]

Hoy se han acabado de procesar tus muestras, implementando su control y eliminacion en el ELISTARA 18.72, aparte de lo indicado ayer en el ELITRIIP.


[quote]
[b] ELISTARA: [/b]

http://www.zonavirus.com/descargas/elistara.asp



Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso
[/quote]

A partir de las 19 h GMT, estará disponible en esta web, para pruebas de evaluacion en el foro de zonavirus



saludos



ms, 29-5-2009

[jm_mai]

(29-5-2009 18:04:45)

EliStartPage v18.72 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 29 de Mayo del 2009)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\SYSTEM32\NET.NET.VIR --> Eliminado.

C:\WINDOWS\SYSTEM32\PRNET.TMP.VIR --> Eliminado.

Por favor, envienos una muestra del fichero

C:\Muestras\PP10.EXE.Muestra EliStartPage v18.72

a "virus@satinfo.es". Gracias.

C:\WINDOWS\PP10.EXE --> Eliminado

Por favor, envienos una muestra del fichero

C:\Muestras\TESTABD.EXE.Muestra EliStartPage v18.72

a "virus@satinfo.es". Gracias.

C:\PROGRAM FILES\THUNMAIL\TESTABD.EXE --> Renombrado a .VIR

Por favor, envienos una muestra del fichero

C:\Muestras\TESTABD.DLL.Muestra EliStartPage v18.72

a "virus@satinfo.es". Gracias.

C:\PROGRAM FILES\THUNMAIL\TESTABD.DLL --> Renombrado a .VIR

Entrada Eliminada [HKCU\...\Run] "Malware Doctor"="D:\Documents and Settings\LocalService\Datos de programa\691447002.exe"

Entrada Eliminada [HKLM\...\Run] "Malware Doctor"="D:\Documents and Settings\LocalService\Datos de programa\691447002.exe"

Entrada Eliminada [HKCU\...\Run] "net"=""C:\WINDOWS\system32\net.net""

Entrada Eliminada [HKLM\...\Run] "net"=""C:\WINDOWS\system32\net.net""

Entrada Eliminada [HKLM\...\Run] "prnet"=""C:\WINDOWS\system32\prnet.tmp""

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Reinicie para Completar la Limpieza.

Sistema Infectado por Troyano de AppInit

c:\progra~1\ThunMail\testabd.dll

Puede Requerir Arrancar en Consola de Reparación para Eliminalo.

Instalada Utilidad "ELINOTIF.DLL" (Reinicie de Nuevo para Completar la Limpieza)



EliNotify v1.9.05.04 (c)2009 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones:

Detectado Troyano de AppInit

c:\progra~1\ThunMail\testabd.dll -> Acceso Denegado.

Desinstalado EliNotif.dll



(29-5-2009 18:13:14)

EliStartPage v18.72 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 29 de Mayo del 2009)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

C:\Program Files\ThunMail\TESTABD.EXE.VIR --> Eliminado.

C:\Program Files\ThunMail\TESTABD.DLL.VIR --> Eliminado.

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



(29-5-2009 18:13:29)

EliStartPage v18.72 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 29 de Mayo del 2009)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"

C:\Muestras\GAOPDXDUSBBPOG.DLL.MUESTRA ELISTARTPAGE V18.69 --> Eliminado, Trojan.TDSServ

C:\Muestras\LD08.EXE.MUESTRA ELISTARTPAGE V18.69 --> Eliminado, Net-Worm.Koobface

C:\Muestras\TESTABD.DLL.MUESTRA ELISTARTPAGE V18.69 --> Eliminado, PWS-Wowpa(dll)

C:\WINDOWS\system32\ASHEVTSVC.VIR.EXE --> Eliminado, DownLoader.Agent.BZLG

C:\WINDOWS\system32\AVAST!ANTIVIRUS.VIR.EXE --> Eliminado, DownLoader.Agent.CADY

C:\WINDOWS\system32\JHXM32.DLL --> Eliminado, Trojan.Agent.CIMN

C:\WINDOWS\system32\LKLF32.DLL --> Eliminado, Trojan.Agent.CIMN

C:\WINDOWS\system32\LKLF32.DLL.VIR --> Eliminado, Trojan.Agent.CIMN

C:\WINDOWS\system32\SERVICE-466.EXE --> Eliminado, DownLoader.Agent.CADY

C:\WINDOWS\system32\SYSDLL.VIR.EXE --> Eliminado, Net-Worm.Koobface



Nº Total de Directorios: 8990

Nº Total de Ficheros: 90109

Nº de Ficheros Analizados: 27227

Nº de Ficheros Infectados: 10

Nº de Ficheros Limpiados: 10



(29-5-2009 18:20:40)

EliStartPage v18.72 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 29 de Mayo del 2009)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "D:\"

D:\Documents and Settings\LocalService\Configuración local\Archivos temporales de Internet\Content.IE5\3BSZSSS8\MLW[1].EXE --> Eliminado, FraudTool.MalwareDoctor

D:\Documents and Settings\LocalService\Configuración local\Archivos temporales de Internet\Content.IE5\420SEU4Q\MLW[1].EXE --> Eliminado, FraudTool.MalwareDoctor

D:\Documents and Settings\LocalService\Datos de programa\691447002.VIR.EXE --> Eliminado, FraudTool.MalwareDoctor

D:\Documents and Settings\LocalService\Datos de programa\916653139.VIR.EXE --> Eliminado, FraudTool.MalwareDoctor



Nº Total de Directorios: 3916

Nº Total de Ficheros: 56665

Nº de Ficheros Analizados: 3541

Nº de Ficheros Infectados: 4

Nº de Ficheros Limpiados: 4



(29-5-2009 18:24:30)

EliTriIP v5.85 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 28 de Mayo del 2009)

---------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminado Servicio, "SCardSvr"



(29-5-2009 18:24:43)

EliTriIP v5.85 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 28 de Mayo del 2009)

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"



Nº Total de Directorios: 8989

Nº Total de Ficheros: 90101

Nº de Ficheros Analizados: 25081

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



(29-5-2009 18:31:08)

EliTriIP v5.85 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 28 de Mayo del 2009)

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"



Nº Total de Directorios: 211

Nº Total de Ficheros: 689

Nº de Ficheros Analizados: 285

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

Exploración Detenida por el Usuario.



(29-5-2009 18:31:18)

EliTriIP v5.85 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 28 de Mayo del 2009)

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando "D:\"

D:\Documents and Settings\LocalService\Configuración local\Archivos temporales de Internet\Content.IE5\W5EN4P2J\install_10[1].exe --> Eliminado, BackDoor.Rustock(dr)

D:\Documents and Settings\LocalService\Datos de programa\1005001059.vir.exe --> Eliminado, BackDoor.Rustock(dr)



Nº Total de Directorios: 3919

Nº Total de Ficheros: 56731

Nº de Ficheros Analizados: 2992

Nº de Ficheros Infectados: 2

Nº de Ficheros Limpiados: 2



(29-5-2009 18:33:24)

EliTriIP v5.85 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 28 de Mayo del 2009)

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando "D:\Documents and Settings\All Users\Documentos"



Nº Total de Directorios: 15

Nº Total de Ficheros: 131

Nº de Ficheros Analizados: 8

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0





Aqui os lo dejo..muchas gracias!

[lucl]

Supongo que ya va mejor tu pc, nos lo confirmas pero aun asi se te piden dos muestras que debes enviarnos te copio





C:\Muestras\PP10.EXE.Muestra EliStartPage v18.72

a "virus@satinfo.es". Gracias.



Por favor, envienos una muestra del fichero

C:\Muestras\TESTABD.EXE.Muestra EliStartPage v18.72



Nos los envias porfa, y tranqui que ya casi esta solucionado :) saludos

[jm_mai]

Si va mejor...ya os envie ayer las muestras esa que me dices, si quieres las envio otra vea. Muchas gracias!

[lucl]

No no, si ya las enviaste de momento no hace falta que las envies de nuevo, estate atenta el lunes al post que te diran algo sobre ellos gracias saludos

[msc hotline sat]

... Habrá de ser el martes, ya que el lunes es festivo en Barcelona (2ª Pascua)



saludos



ms, 31-5-2009

[jm_mai]

Hola de nuevo!!!como van las muestras que os envie???mi ordenador ya no hace cosas raras creo que nuestro Caballo(o caballeria en nuestro caso)de troya ya se fue...bueno ya me direis algo para poder cerrar el tema. Mil Gracias!

[msc hotline sat]

Sí, las hemos recibido y estan en cola de monitorizacion, pero de entrada el preanalisis confirma nuestras sospechas, como por ejemplo:



File PP10.EXE.Muestra_EliStartPage_v18 received on 2009.06.02 11:15:30 (UTC)

Current status: Loading ... queued waiting scanning finished NOT FOUND STOPPED





Result: 35/40 (87.5%)





Antivirus Version Last Update Result

a-squared 4.0.0.101 2009.06.02 Net-Worm.Win32.Koobface!IK

AhnLab-V3 5.0.0.2 2009.06.02 Win32/Koobface.worm.13824.AC

AntiVir 7.9.0.180 2009.06.02 TR/Downloader.Gen

Antiy-AVL 2.0.3.1 2009.06.02 Worm/Win32.Koobface

Authentium 5.1.2.4 2009.06.02 W32/Trojan-Sml-IWW!Eldorado

Avast 4.8.1335.0 2009.06.01 Win32:Trojan-gen {Other}

AVG 8.5.0.339 2009.06.02 SHeur2.AIEI

BitDefender 7.2 2009.06.02 Trojan.Generic.CJ.ED

CAT-QuickHeal 10.00 2009.06.02 Win32.Backdoor.Phdet.gen!A.3

ClamAV 0.94.1 2009.06.02 -

Comodo 1232 2009.06.02 TrojWare.Win32.Trojan.Agent.Gen

DrWeb 5.0.0.12182 2009.06.02 Win32.HLLW.Facebook.73

eSafe 7.0.17.0 2009.06.01 Win32.TRDownloader

eTrust-Vet 31.6.6535 2009.06.02 Win32/Koobface!generic

F-Prot 4.4.4.56 2009.06.02 W32/Trojan-Sml-IWW!Eldorado

F-Secure 8.0.14470.0 2009.06.02 Net-Worm:W32/Koobface.gen!A

Fortinet 3.117.0.0 2009.06.02 W32/Koobfa

GData 19 2009.06.02 Trojan.Generic.CJ.ED

Ikarus T3.1.1.57.0 2009.06.02 -

K7AntiVirus 7.10.749 2009.05.29 Net-Worm.Win32.Koobface.kp

Kaspersky 7.0.0.125 2009.06.02 Net-Worm.Win32.Koobface.kp

McAfee 5633 2009.06.01 Generic.dx!di

McAfee+Artemis 5633 2009.06.01 Generic.dx!di

McAfee-GW-Edition 6.7.6 2009.05.29 Trojan.Downloader.Gen

Microsoft 1.4701 2009.06.02 Worm:Win32/Koobface.gen!D

NOD32 4122 2009.06.02 a variant of Win32/Koobface.NBH

Norman 6.01.05 2009.06.01 W32/Koobface.CS

nProtect 2009.1.8.0 2009.06.02 -

Panda 10.0.0.14 2009.06.01 W32/Koobface.BV.worm

PCTools 4.4.2.0 2009.06.01 -

Prevx 3.0 2009.06.02 High Risk Cloaked Malware

Rising 21.32.12.00 2009.06.02 Trojan.DL.Win32.Undef.epo

Sophos 4.42.0 2009.06.02 W32/Koobfa-Gen

Sunbelt 3.2.1858.2 2009.06.02 Net-Worm.Win32.Koobface.kp

Symantec 1.4.4.12 2009.06.02 Downloader

TheHacker 6.3.4.3.335 2009.06.01 -

TrendMicro 8.950.0.1092 2009.06.02 WORM_KOOBFACE.GP

VBA32 3.12.10.6 2009.06.02 Net-Worm.Win32.Koobface.kp

ViRobot 2009.6.2.1765 2009.06.02 Worm.Win32.Net-Koobface.13824.D

VirusBuster 4.6.5.0 2009.06.01 Worm.Koobface.NR

Additional information

File size: 13824 bytes

MD5...: e0a1170fcd3a9b67f0c6358263ae41b2

SHA1..: 67bdff89d72238d6dc5ba19a16620482453c52f7





Tras la monitorizacion, implementaremos su control en nuestras utilidades, de lo cual informaremos como siempre



saludos



ms, 2-6-2009