TROYAN WIN32

[AKIRA]

Hola ante todo y gracias de ante mano!! resulta que pasando el examen de seguridad de windows (http://onecare.live.com/site/es-US/default.htm)

me detecta una y otra ves el maldito TOYAN WIN32, le pasado una y otra vez el ASHAMPOO ANTISPYWARE205, pero sin éxito, no consigue eliminarlo o ponerlo en cuarentena, la cosa es que una vez navegando se me abren paginas sin mas.....y en favoritos se me agrega un VINCULO que por mucho que elimino vuelve a salir, ahora estoy pasando el AD-AWARE2007 a ver si con este tengo mas suerte y me lo saco de encima



algún consejo??

gracias

[msc hotline sat]

Bueno, "TROYAN WIN32" es un prefijo de cientos de miles de virus..., seguido a ello va el nombre del virus propamente dicho, pero ya que nos lo dice, probaremos primero con el ELISTARA, a ver si es de los que conocemos y controlamos con esta utilidad:


[quote="para DESCARGAR el ELISTARA, msc"] http://www.zonavirus.com/descargas/elistara.asp



Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso [/quote]

Y con ello no se solucionara, puedes enviarnos el fichero donde lo detecta para que lo analicemos e implementemos su control y eliminacion en nuestras utilidades, de lo cual informaremos:





>[b]ENVIO DE MUESTRAS Y



ELIMINACION DE CLAVES - Para ello recordar[/b]:

https://foros.zonavirus.com/viewtopic.php?f=5&t=14253







Tras recibirlos, los analizaremos e implementaremos su control y eliminacion,



si procede, en nuestras utilidades, de lo cual informaremos



saludos



ms, 5-6-2009

[AKIRA]

ok gracias, mirare de hacerlo

[AKIRA]

en concreto es toyan win32/Skintrim.GE!D

[msc hotline sat]

Con este nombre debe tratarse de un Navipromo.



Tal como le decíamos, pruebe el ELISTARA y posteenos el informe resultante, y si no detectara nada, envienos dicho fichero para controlar y eliminar, si procede, de lo cual informaremos



saludos



ms, 8-6-2009

[AKIRA]

bueno parece que a funcionado....la verdad es que no me ha dado ni tiempo de ver lo que era ni donde estaba

pero muy bien muchas gracis ahora despues de pasar el windows live todo ok



el tema del fichero o la información es la carpeta que se a creado INFOSAT?? es esta la que tengo que enviaros



saludos y muy agradecidos

[lucl]

A ver vete a C, y alli tendras un log de texto que se llama infosat. Abrelo y seleccionalo todo y nos lo copias integro y en funcion de eso ya seguimos saludos

[AKIRA]

pues allí va to el tema..... el caso es que aun que ya no tengo el spyware, no me deja de salir en favoritos una carpeta llamada VINCULOS, por mas que la elimino vuelve a salir





(8-6-2009 19:15:40)

EliStartPage v18.76 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 5 de Junio del 2009)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Por favor, envienos una muestra del fichero

C:\Muestras\ESEUM.EXE.Muestra EliStartPage v18.76

a "virus@satinfo.es". Gracias.

C:\DOCUMENTS AND SETTINGS\MEDIAMARKT\CONFIGURACIóN LOCAL\DATOS DE PROGRAMA\ESEUM.EXE --> Eliminado

C:\DOCUMENTS AND SETTINGS\MEDIAMARKT\CONFIGURACIóN LOCAL\DATOS DE PROGRAMA\ESEUM_NAVPS.DAT --> Eliminado

C:\DOCUMENTS AND SETTINGS\MEDIAMARKT\CONFIGURACIóN LOCAL\DATOS DE PROGRAMA\ESEUM.DAT --> Eliminado

C:\WINDOWS\ALCMTR.EXE --> Eliminado SpyRealtek

Entrada Eliminada [HKCU\...\Run] "ESEUM"=""c:\documents and settings\mediamarkt\configuración local\datos de programa\eseum.exe" eseum"

Entrada Eliminada [HKLM\...\Run] "Alcmtr"="ALCMTR.EXE"

Linea Eliminada del HOSTS --> 127.0.0.1 ieupdate.

Linea Eliminada del HOSTS --> 127.0.0.1 ieupdate6

Linea Eliminada del HOSTS --> 127.0.0.1 ieupdate5

Linea Eliminada del HOSTS --> 127.0.0.1 ieupdate4

Linea Eliminada del HOSTS --> 127.0.0.1 ieupdate3

Linea Eliminada del HOSTS --> 127.0.0.1 ieupdate2

Linea Eliminada del HOSTS --> 127.0.0.1 ieupdate1

Linea Eliminada del HOSTS --> 127.0.0.1 download7

Linea Eliminada del HOSTS --> 127.0.0.1 download6

Linea Eliminada del HOSTS --> 127.0.0.1 download5

Linea Eliminada del HOSTS --> 127.0.0.1 download4

Linea Eliminada del HOSTS --> 127.0.0.1 download3

Linea Eliminada del HOSTS --> 127.0.0.1 download2

Linea Eliminada del HOSTS --> 127.0.0.1 download1

Linea Eliminada del HOSTS --> 127.0.0.1 dl1.antiv

Linea Eliminada del HOSTS --> 127.0.0.1 dl2.antiv

Linea Eliminada del HOSTS --> 127.0.0.1 dl3.antiv

Linea Eliminada del HOSTS --> 127.0.0.1 dl4.antiv

Linea Eliminada del HOSTS --> 127.0.0.1 dl1.avgat

Linea Eliminada del HOSTS --> 127.0.0.1 dl2.avgat

Linea Eliminada del HOSTS --> 127.0.0.1 dl4.avgat

Linea Eliminada del HOSTS --> 127.0.0.1 dl5.avgat

Linea Eliminada del HOSTS --> 127.0.0.1 dl6.avgat

Linea Eliminada del HOSTS --> 127.0.0.1 dl7.avgat

Linea Eliminada del HOSTS --> 127.0.0.1 dl8.avgat

Linea Eliminada del HOSTS --> 127.0.0.1 dl9.avgat

Linea Eliminada del HOSTS --> 127.0.0.1 dl2.avgat

Linea Eliminada del HOSTS --> 127.0.0.1 u20.eset.

Linea Eliminada del HOSTS --> 127.0.0.1 u21.eset.

Linea Eliminada del HOSTS --> 127.0.0.1 u22.eset.

Linea Eliminada del HOSTS --> 127.0.0.1 u23.eset.

Linea Eliminada del HOSTS --> 127.0.0.1 u24.eset.

Linea Eliminada del HOSTS --> 127.0.0.1 u30.eset.

Linea Eliminada del HOSTS --> 127.0.0.1 u31.eset.

Linea Eliminada del HOSTS --> 127.0.0.1 u32.eset.

Linea Eliminada del HOSTS --> 127.0.0.1 u33.eset.

Linea Eliminada del HOSTS --> 127.0.0.1 u34.eset.

Linea Eliminada del HOSTS --> 127.0.0.1 u35.eset.

Linea Eliminada del HOSTS --> 127.0.0.1 u36eset.c

Linea Eliminada del HOSTS --> 127.0.0.1 u37eset.c

Linea Eliminada del HOSTS --> 127.0.0.1 u38.eset.

Linea Eliminada del HOSTS --> 127.0.0.1 u39.eset.

Linea Eliminada del HOSTS --> 127.0.0.1 microsoft

Eliminada Carpeta "%WinSys%\Skype32"

Eliminada Carpeta "%WinSys%\Winoffice"

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



(8-6-2009 19:20:24)

EliStartPage v18.76 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 5 de Junio del 2009)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"

C:\Archivos de programa\Realtek\InstallShield\ALCMTR.EXE --> Eliminado, SpyRealtek



Nº Total de Directorios: 4225

Nº Total de Ficheros: 49096

Nº de Ficheros Analizados: 19502

Nº de Ficheros Infectados: 1

Nº de Ficheros Limpiados: 1



(8-6-2009 19:31:08)

EliStartPage v18.76 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 5 de Junio del 2009)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"



Nº Total de Directorios: 4225

Nº Total de Ficheros: 49095

Nº de Ficheros Analizados: 19501

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



(8-6-2009 19:49:51)

EliStartPage v18.76 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 5 de Junio del 2009)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



(8-6-2009 19:50:05)

EliStartPage v18.76 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 5 de Junio del 2009)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"



Nº Total de Directorios: 4224

Nº Total de Ficheros: 49097

Nº de Ficheros Analizados: 19500

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

[msc hotline sat]

Pues envianos esta muestra que te pedimos en el infosat:



Por favor, envienos una muestra del fichero

C:\Muestras\ESEUM.EXE.Muestra EliStartPage v18.76







[b]¿Como enviar las muestras a zonavirus? - Para ello recordar[/b]:

https://foros.zonavirus.com/viewtopic.php?f=5&t=14253





Tras recibir los ficheros, los analizaremos e implementaremos su control y eliminacion, si procede, en nuestras utilidades, de lo cual informaremos



saludos



ms, 9-6-2009

[AKIRA]

muestra enviada!!!

[msc hotline sat]

Pues mañana, en cuanto volvamos al trabajo en SATINFO, la analizaremos y controlaremos, si procede, con nuestras utilidades, de lo cual informaremos



saludos



ms, 9-6-2009

[AKIRA]

tened en cuenta lo que os comento mas arriba, que todavía en favoritos me sale una carpeta llamada VINCULO y esta vacia, por mas que la elimino sale de nuevo



saludos

[lucl]

No te preocupes que lo tendran en cuenta una vez se analize la muestra y te demos la herramienta necesaria veremos si desaparece o sigue. Saludos

[msc hotline sat]

Analizada la muestra ha resultado ser una nueva variante de NAVIPROMO que hemos pasado a controlar con la nueva version del ELISTARA 18.79 que ya está disponible en esta web para evaluar.





Tras descargarla y probarla, posteanos, con un copiar y pegar, el contenido del informe resultante c:\infosat.txt, gracias



saludos



ms, 10-6-1009