No tengo Bloc de notas ni administrador de tareas y me faltan archivos :(

[0230021]

Hola que tal, de nuevo con unos problemillas!!



Sucede que al iniciar Windows me aparece el siguiente mensaje:

Windows no puede encontrar el archivo C:\RECYCLER\NTDETECT.EXE



Se me ha bloqueado el administrador de tareas y el bloc de notas ya que al intentar abrirlo me aparece un mensaje que dice algo asi: PUDRETE EN EL INFIERNO UN RATO O INTENTA MAS TARDE y la pantalla se pone en color negro.



Pasé ELISTARA y ELITRIIP y me pide enviar algunas muestras, ¿las envío????

aunque no me detectaron ningun virus........

tmb. me he dado cuenta que no me deja entrar a algunas paginas de internet



Pido su ayuda por favor!!!!

[msc hotline sat]

Vaya por Dios, debe ser un demonio ... :)



Pues sí, envianos los ficheros que se te piden en el infosat.txt, como indicamos en



[b]¿Como enviar las muestras a zonavirus? - Para ello recordar[/b]:

https://foros.zonavirus.com/viewtopic.php?f=5&t=14253



Tras recibir el/los fichero/s, lo/s analizaremos e implementaremos su control y eliminacion, si procede, en nuestras utilidades, de lo cual informaremos





y además descarga el SPROCES y tras probarlo. nos posteas el informe resultante:



[b]SPROCES[/b] (herramienta de investigación)

http://www.zonavirus.com/descargas/sproces.asp





Y tras pulsar en SALIR, posteanos el contenido del C:\SPROCLOG.TXT con un copiar y pegar



saludos



ms, 15-10-2009

[0230021]

Gracias!!



Ya envie la muestra, espero haber podido, probé el SPROCES pero no me daja abrir el Bloc de notas para ver el resultado

[msc hotline sat]

Bueno, puedes anexar el fichero c:\sproclog.txt a tu proximo post de respuesta a este Tema, ya lo abriremos nosotros y excepcionalmente lo postearemos en el siguiemnte post, mientras no puedes abrir el bloc de notas, y quizas veremos en él, el motivo de ello...



Y a la recepcion de las muestras enviadas, las analizaremos e informaremos



saludos



ms, 16-10-2009







NOTA: Por cierto, aunque no pueda usar el bloc de notas (NOTEPAD), los informes C:\infosat.txt del ELISTARA y del ELITRIIP, asi como C:\SPROCLOG.TXT del SPROCES, los puede ver abriendo una ventana de MSDOS, con el CMD.EXE, y entrando



type c:\infosat.txt |more <enter>



type c:\sproclog.txt |more <enter>



ms.

[0230021]

Hola!!



Aqui envio adjuntos los archivos de InfoSat y SProcLog

[msc hotline sat]

Supomngo que nos ha enviado estos ficheros:



Por favor, envienos una muestra del fichero

C:\Muestras\SVCHOST.EXE.Muestra EliStartPage v19.45



Por favor, envienos una muestra del fichero

C:\Muestras\SYSTEM32.EXE.Muestra EliStartPage v19.45



Por favor, envienos una muestra del fichero

C:\Muestras\WINDOWS.EXE.Muestra EliStartPage v19.45



y que lo habrá hecho segun indicamos:





>[b]ENVIO DE MUESTRAS Y ELIMINACION DE



CLAVES - Para ello recordar[/b]:

https://foros.zonavirus.com/viewtopic.php?f=5&t=14253



Tras recibirlos, los analizaremos e implementaremos su control y eliminacion, si procede, en



nuestras utilidades, de lo cual informaremos



saludos



ms, 16-10-2009

[msc hotline sat]

y posteo los dos informes:



infosat.txt:





(15-10-2009 4:44:07 (GMT))

EliStartPage v19.45 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 14 de Octubre del 2009)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Por favor, envienos una muestra del fichero

C:\Muestras\SVCHOST.EXE.Muestra EliStartPage v19.45

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SVCHOST.EXE --> Eliminado

Por favor, envienos una muestra del fichero

C:\Muestras\SYSTEM32.EXE.Muestra EliStartPage v19.45

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32.EXE --> Eliminado

Por favor, envienos una muestra del fichero

C:\Muestras\WINDOWS.EXE.Muestra EliStartPage v19.45

a "virus@satinfo.es". Gracias.

C:\WINDOWS.EXE --> Eliminado

C:\DOCUMENTS AND SETTINGS\WILFREDOGT\PLANTILLAS\LEVIATHAN.HTA --> Eliminado

Eliminado , Installed Components "{08B0E5C0-4FCB-11CF-AAA5-00401C608500}"

Eliminado , Installed Components "{CC2A9BA0-3BDD-11D0-821E-444553540000}"

Linea Eliminada del HOSTS --> 127.0.0.1 www.metroflog.com

Linea Eliminada del HOSTS --> 127.0.0.1 www.hotmail.com

Linea Eliminada del HOSTS --> 127.0.0.1 www.google.com

Eliminada Carpeta "%Application Data%\Micro$oft"

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



(15-10-2009 4:46:54) (GMT)

EliTriIP v6.18 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 14 de Octubre del 2009)

---------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminado Servicio, "SCardSvr"



(15-10-2009 4:47:06) (GMT)

EliTriIP v6.18 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 14 de Octubre del 2009)

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"



Nº Total de Directorios: 2587

Nº Total de Ficheros: 27000

Nº de Ficheros Analizados: 8380

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0







sproclog.txt:



(16-10-2009 02:13:21 GMT)

SProces v4.1 (c)2009 S.G.H. / Satinfo S.L.

-------------------------------------------

Sistema Operativo: Microsoft Windows XP (v5.1.2600) Service Pack 3

Parche MS08-067 (Servicio Servidor) Instalado.

Internet Explorer: (v6.0.2900.5512) ;SP3;

Nombre Equipo: WILFREDO

Nombre Usuario: WILFREDOGT



Procesos Activos:

C:\WINDOWS\SYSTEM32\SMSS.EXE

C:\WINDOWS\SYSTEM32\WINLOGON.EXE

C:\WINDOWS\SYSTEM32\SERVICES.EXE

C:\WINDOWS\SYSTEM32\LSASS.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\EXPLORER.EXE

C:\WINDOWS\SYSTEM32\SPOOLSV.EXE

C:\ARCHIVOS DE PROGRAMA\JAVA\JRE6\BIN\JUSCHED.EXE

C:\ARCHIVOS DE PROGRAMA\ARCHIVOS COMUNES\AHEAD\LIB\NMBGMONITOR.EXE

C:\WINDOWS\SYSTEM32\CTFMON.EXE

C:\ARCHIVOS DE PROGRAMA\JAVA\JRE6\BIN\JQS.EXE

C:\WINDOWS\SYSTEM32\IOCTLSVC.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\ARCHIVOS DE PROGRAMA\ARCHIVOS COMUNES\AHEAD\LIB\NMINDEXINGSERVICE.EXE

C:\ARCHIVOS DE PROGRAMA\ARCHIVOS COMUNES\AHEAD\LIB\NMINDEXSTORESVR.EXE

C:\ARCHIVOS DE PROGRAMA\WINDOWS LIVE\MESSENGER\MSNMSGR.EXE

C:\ARCHIVOS DE PROGRAMA\INTERNET EXPLORER\IEXPLORE.EXE

C:\DOCUMENTS AND SETTINGS\WILFREDOGT\CONFIGURACIóN LOCAL\ARCHIVOS TEMPORALES DE INTERNET\CONTENT.IE5\UJM321IF\SPROCES[1].EXE



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.com.mx/

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch

R3 - URLSearchHook: Hook de búsqueda de direcciones URL de Microsoft - {CFBFAE00-17A6-11D0-99CB-00C04FD64497} - %SystemRoot%\system32\shdocvw.dll

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,

O1 - Hosts: 127.0.0.1 localhost

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Archivos de programa\Java\jre6\bin\jp2ssv.dll

O2 - BHO: JQSIEStartDetectorImpl Class - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Archivos de programa\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll

O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Archivos de programa\Archivos comunes\Ahead\Lib\NMBgMonitor.exe"

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKLM\..\Run: [NeroFilterCheck] C:\Archivos de programa\Archivos comunes\Ahead\Lib\NeroCheck.exe

O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Archivos de programa\Java\jre6\bin\jusched.exe"

O4 - Startup: desktop.ini

O4 - Global Startup: desktop.ini

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204

O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx2.hotmail.com/mail/w3/resources/MSNPUpld.cab

O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Plug-in 1.6.0_15) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_15-windows-i586.cab

O16 - DPF: {8FFBE65D-2C9C-4669-84BD-5829DC0B603C} - http://fpdownload.macromedia.com/get/flashplayer/current/polarbear/ultrashim.cab

O16 - DPF: {CAFEEFAC-0016-0000-0015-ABCDEFFEDCBA} (Java Plug-in 1.6.0_15) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_15-windows-i586.cab

O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} (Java Plug-in 1.6.0_15) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_15-windows-i586.cab

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\WINDOW~4\MESSEN~1\MSGRAP~1.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\WINDOW~4\MESSEN~1\MSGRAP~1.DLL

O20 - Winlogon Notify: DIMSNTFY - %SYSTEMROOT%\SYSTEM32\DIMSNTFY.DLL

O21 - SSODL: PostBootReminder - {7849596a-48ea-486e-8937-a2a3009f31a9} - %SystemRoot%\system32\SHELL32.dll

O21 - SSODL: CDBurn - {fbeb8a05-beee-4442-804e-409d6c4515e9} - %SystemRoot%\system32\SHELL32.dll

O21 - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - %SystemRoot%\system32\webcheck.dll

O21 - SSODL: SysTray - {35CEC8A3-2BE6-11D2-8773-92E220524153} - C:\WINDOWS\system32\stobject.dll

O22 - SharedTaskScheduler: {438755C2-A8BA-11D1-B96B-00A0C90312E1} - Precargador Browseui - %SystemRoot%\system32\browseui.dll

O22 - SharedTaskScheduler: {8C7461EF-2B13-11d2-BE35-3078302C2030} - Demonio de caché de las categorías de componente - %SystemRoot%\system32\browseui.dll



Información Adicional:

----------------------



Listado de Servicios (Carga Automatica):

----------------------------------------

**O23 - Service: Iniciador de procesos de servidor DCOM (DcomLaunch) - Unknown owner - C:\WINDOWS\system32\svchost -k DcomLaunch (file missing)

O23 - Service: Java Quick Starter (JavaQuickStarterService) - Unknown owner - C:\Archivos de programa\Java\jre6\bin\jqs.exe" -service -config "C:\Archivos de programa\Java\jre6\lib\deploy\jqs\jqs.con (file missing)

O23 - Service: PLFlash DeviceIoControl Service - Prolific Technology Inc. - C:\WINDOWS\system32\IoctlSvc.exe

**O23 - Service: Llamada a procedimiento remoto (RPC) (RpcSs) - Unknown owner - C:\WINDOWS\system32\svchost -k rpcss (file missing)



Listado de Servicios (Carga Manual):

------------------------------------

O23 - Service: Adobe LM Service - Adobe Systems - C:\Archivos de programa\Archivos comunes\Adobe Systems Shared\Service\Adobelmsvc.exe

O23 - Service: Controlador basado en NT para adaptador Fast Ethernet PCI DAVICOM 9102(A) (DM9102) - CNet Technology, Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\DM9PCI5.SYS

**O23 - Service: Servicio del administrador de discos lógicos (dmadmin) - Microsoft Corp., VERITAS Software - C:\WINDOWS\System32\dmadmin.exe

O23 - Service: NBService - Nero AG - C:\Archivos de programa\Nero\Nero 7\Nero BackItUp\NBService.exe

O23 - Service: NMIndexingService - Nero AG - C:\Archivos de programa\Archivos comunes\Ahead\Lib\NMIndexingService.exe

O23 - Service: nv - NVIDIA Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\nv4_mini.sys

O23 - Service: Controlador de vínculo paralelo directo (Ptilink) - Parallel Technologies, Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\ptilink.sys

O23 - Service: Secdrv - Macrovision Corporation, Macrovision Europe Limited, and Macrovision Japan and Asia K.K. - C:\WINDOWS\SYSTEM32\DRIVERS\secdrv.sys

O23 - Service: Controlador del dispositivo de recuperación del reproductor (StMp3Rec) - Generic - C:\WINDOWS\SYSTEM32\Drivers\StMp3Rec.sys

*O23 - Service: Servicios de Terminal Server (TermService) - Unknown owner - C:\WINDOWS\System32\svchost -k DComLaunch (file missing)

O23 - Service: Controlador de audio (WDM) VIA AC'97 (VIAudio) - VIA Technologies, Inc. - C:\WINDOWS\SYSTEM32\drivers\ac97via.sys



Listado de Servicios (Deshabilitados):

--------------------------------------

**O23 - Service: dmboot - Microsoft Corp., Veritas Software - C:\WINDOWS\SYSTEM32\drivers\dmboot.sys



16 Servicios.

4 de Carga Automatica.

11 de Carga Manual.

1 Deshabilitados.





Ahora me he de ir al trabajo, luego sigo



saludos



ms, 16-10-2009

[msc hotline sat]

Sigo...



Pues está claro que los ficheros sospechosos ya estaban aparcados cuando probó el SPROCES, ya que no vemos nada significativamente vírico en el log.



En cambio los ficheros indicados estaban ubicados en carpetas tipicamente propias de malwares que usan nombres de ficheros de sistema pero fuera de la ubicacion normal:



C:\WINDOWS\SVCHOST.EXE



C:\WINDOWS\SYSTEM32.EXE



C:\WINDOWS.EXE





ya que el SVCHOST.EXE del sistema está normalmente en C:\windows\system32, no en la de windows.



y los otros son nombres picarescos...





En cuanto se analicen las muestras en cuestión, veremos de qué se trata e informaremos



saludos



ms, 16-10-2009

[msc hotline sat]

Y fijese que en el HOSTS tenía estas lineas:



Linea Eliminada del HOSTS --> 127.0.0.1 www.metroflog.com

Linea Eliminada del HOSTS --> 127.0.0.1 www.hotmail.com

Linea Eliminada del HOSTS --> 127.0.0.1 www.google.com



que el ELISTARA ha eliminado, pues sino, no podía acceder a las URL en cuestión, ya que eran redirigidas al Local HOST, 127.0.0.1 y no salía de la puerta de enlace.



Y como que ahora ya tiene los ficheros maliciosos en cuarentena, pruebe si le funciona el Bloc de Notas, y sino, mire si encuentra el fichero NOTEPAD.EXE, y si no lo encuentra, copie a su ordenador el de otro equipo del mismo sistema operativo, ya que puede ser que el malware lo haya eliminado.



Y cuentenos el resultado, gracias



saludos



ms, 16-10-2009

[msc hotline sat]

Recibidos los tres ficheros sospechosos han resultado ser iguales y detectados ya por la mayoria de sntivirus, segun ha indicado el virusTotal en el preanalisis:



File SVCHOST.EXE.Muestra_EliStartPage_ received on 2009.10.16 07:52:22 (UTC)



Result: 36/41 (87.81%)



Antivirus Version Last Update Result

a-squared 4.5.0.41 2009.10.16 Trojan.BAT.Agent!IK

AhnLab-V3 5.0.0.2 2009.10.15 Win-Trojan/Xema.variant

AntiVir 7.9.1.35 2009.10.15 DR/Agent.FO.1

Antiy-AVL 2.0.3.7 2009.10.16 -

Authentium 5.1.2.4 2009.10.16 W32/Trojan2.EIWF

Avast 4.8.1351.0 2009.10.14 Win32:Trojan-gen

AVG 8.5.0.420 2009.10.16 Worm/Delf.IAO

BitDefender 7.2 2009.10.16 Worm.Generic.52609

CAT-QuickHeal 10.00 2009.10.16 Trojan.Agent.WD

ClamAV 0.94.1 2009.10.16 Trojan.Delf-6976

Comodo 2617 2009.10.16 Heur.Packed.Unknown

DrWeb 5.0.0.12182 2009.10.16 Trojan.Lucifer.4

eSafe 7.0.17.0 2009.10.15 Suspicious File

eTrust-Vet 35.1.7070 2009.10.15 Win32/SillyAutorun.SZ

F-Prot 4.5.1.85 2009.10.15 W32/Trojan2.EIWF

F-Secure 8.0.14470.0 2009.10.16 Worm:W32/Venluci.A

Fortinet 3.120.0.0 2009.10.15 -

GData 19 2009.10.16 Worm.Generic.52609

Ikarus T3.1.1.72.0 2009.10.16 Trojan.BAT.Agent

Jiangmin 11.0.800 2009.10.16 Worm/AutoRun.beh

K7AntiVirus 7.10.871 2009.10.15 Worm.Win32.AutoRun.eke

Kaspersky 7.0.0.125 2009.10.16 Trojan.BAT.Agent.fo

McAfee 5772 2009.10.15 W32/YahLover.worm.gen

McAfee+Artemis 5772 2009.10.15 W32/YahLover.worm.gen

McAfee-GW-Edition 6.8.5 2009.10.15 Heuristic.LooksLike.Win32.Suspicious.H!80

Microsoft 1.5101 2009.10.16 Worm:Win32/Mevon.A

NOD32 4512 2009.10.15 BAT/Autorun.B

Norman 6.03.02 2009.10.16 W32/Obfuscated.H3!genr

nProtect 2009.1.8.0 2009.10.15 Trojan/W32.Agent.55296.CF

Panda 10.0.2.2 2009.10.15 W32/VenoMLucifer.A

PCTools 4.4.2.0 2009.10.15 -

Prevx 3.0 2009.10.16 -

Rising 21.51.41.00 2009.10.16 Trojan.Win32.StartPage.mpo

Sophos 4.46.0 2009.10.16 Mal/Behav-043

Sunbelt 3.2.1858.2 2009.10.15 Trojan.Win32.Generic!BT

Symantec 1.4.4.12 2009.10.16 Trojan Horse

TheHacker 6.5.0.2.043 2009.10.15 -

TrendMicro 8.950.0.1094 2009.10.16 WORM_ZROE.A

VBA32 3.12.10.11 2009.10.15 Trojan.BAT.Agent.fo

ViRobot 2009.10.16.1987 2009.10.16 Trojan.Win32.Agent.55296.E

VirusBuster 4.6.5.0 2009.10.15 Trojan.Malagent.BQQ

Additional information

File size: 55296 bytes

MD5...: 9789963f37433d1d599bc201bbd8a07a

SHA1..: 52b144c7332a41a3f819bc849911e92f63a00d1b



Pero es que no tiene ningun antivirus residente ???



Hoy implementaremos el control y eliminación de dichas muestras en el ELISTARA 19.47, pero recuerde que nuestras utilidades son para complementar los antivirus, no para sustituirlos !!!


[quote]
[b] ELISTARA: [/b]

http://www.zonavirus.com/descargas/elistara.asp



Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso
[/quote]

A partir de las 15 h GMT, (hoy es viernes), estará disponible en esta web, para pruebas de evaluacion en el foro de zonavirus



saludos



ms, 16-10-2009

[msc hotline sat]

Monitorizada la muestra, vemos que muestra un mensaje en una ventana que dice:



[b][i]La fuente de voltaje no es suficiente para el correcto funcionamiento , QUEMATE EN EL INFIERNO UN RATO e intentalo mas tarde [/i][/b]



mostrando tres botones que no funcionan, y luego aparece debajo en "letras gordas" VenoM?



Se trata de una variante del troyano que ya controlamos con el ELISTARA con el nombre de SpyOutLaw, o VenoM, que es como seguiremos identificando a este, a partir de la V19.47 del ELISTARA de hoy.



Con su ejecución lanza el Leviathan.hta que reza:




[quote]La fuente de voltaje no es suficiente para el correcto funcionamiento , QUEMATE EN EL INFIERNO UN RATO e intentalo mas tarde [/quote]
y muestra tres botones que no funcionan...



y toquetea el windows deshabilitando regedit, el administrador de tareas, el administrador de servicios, el acceso a opciones de carpeta, al simbolo de sistema y ya hemos visto que modifica el HOSTS para impedir el acceso a Google y demás



Aparte propaga el virus en un fichero de nombre Lucifer.exe a todas unidades locales y unidades USB.





Asi mismo oculta la carpeta de windows y en su lugar pone el malware con el nombre de windows.exe, con icono de carpeta, como lo hace con otras muchas con cada nombre, pero que en realidad es el ejecutable malware, para que, al pulsar en dicho icono para entrar en la carpeta, lo que hace es ejecutar el virus.



y muchas mas cosas que miraremos de detallar mas tarde. Es bastante lioso !





saludos



ms, 16-10-2009







NOTA: Pero ¿¿¿ es que no tenias ningun antivirus residente ??? porque lo controlan casi todos! ... ms.

[msc hotline sat]

Otras caracteristicas relevantes del troyano en cuestión:



Queda residente

___



Crea estos ficheros con codigo vírico y con icono de carpeta:



C:\ WINDOWS.EXE

%WinDir%\ SVCHOST.EXE

%WinDir%\ SYSTEM32.EXE

%WinDir%\ NOTEPAD.EXE

%WinSyS%\ NOTEPAD.EXE

%WinSyS%\ TASKMGR.EXE

%WinSyS%\ Drivers\ ETC.EXE

%WinSyS%\ Drivers\ etc\ PROCESO INACTIVO DEL SISTEMA.COM

%Archivos de Programa%\ Windows NT\ Accesorios\ WORDPAD.EXE

%UserProfile%\ DATOS DE PROGRAMA.EXE

%Datos de Programa%\ SERVICES.EXE

%Datos de Programa%\ WINLOGON.EXE

%Datos de Programa%\ Micro$oft\ .EXE

%Datos de Programa%\ Micro$oft\ desktop.inf

%Datos de Programa%\ Micro$oft\ desktop.log

%Datos de Programa%\ Micro$oft\ SatanaS****

%Datos de Programa%\ Microsoft\ WINLOGON.SCR

%Datos de Programa%\ Microsoft\ Internet Explorer\ Quick Launch\ MIS DOCUMENTOS.EXE

%Mis Documentos%\ MI MÚSICA.EXE

%Mis Documentos%\ MIS IMÁGENES.EXE

%WinIni% (DefaulyUser)\ WIN.SCR

%Papelera%\ NTDETECT.EXE



C:\ AutoruN.inf (+s+h)

C:\ System Volume Information\ LucifeR.exe



%Plantillas%\ Leviathan.hta



___



Con Fondo negro y con el caracter O, dibuja la palabra "VenoM?" y

visualiza el mensaje:



"La fuente de voltaje no es suficiente para el correcto

funcionamiento , QUEMATE EN EL INFIERNO UN RATO e intentalo

mas tarde."

[Anular] [Reintentar] [Omitir]



___



Otras Claves:



[HKEY_CURRENT_USER\VenoM.LucifeR.10948109481094810948] (número variable)

[HKEY_CURRENT_USER\VenoM.LucifeR.10948109481094810948\suriV]

"Tu has sido derrotado de nuevo por VenoM"="Burn in Hell"



[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]

"Start Page"="www.google.com.mx"



Añade al HOSTS:



127.0.0.1 http://www.metroflog.com

127.0.0.1 http://www.hotmail.com

127.0.0.1 http://www.google.com



INTERCEPTA LA EJECUCION DE LOS SIGUIENTES FICHEROS:



"1"="notepad.exe"

"2"="HijackThis.exe"

"3"="wordpad.exe"

"4"="rstrui.exe"

"5"="msconfig.exe"

"6"="regedit.exe"

"7"="HiJackThis_v2.exe"

"10"="cmd.exe"

"11"="ibprocman.exe"

"12"="explorer.exe"

"13"="integrator.exe.exe"



intercepta ejecucion de archivos con las siguientes extensiones:



bat

cmd

html

inf

ini

JS

MSC

pif

reg

txt

VBE

VBS



___



Probablemente es un troyano hecho en Mexico por la pagina del Google que pone como pagina de inicio : www.google.com.mx



Lo mas problemático de este malware es la cantidad de parámetros que modifica, y que pueden molestar e incordiar en el normal funcionamiento del ordenador.



Se trata de una variante de otro anterior con parecidos mensajes y efectos.



Se controla a partir del ELISTARA 19.47



saludos



ms, 16-10-2009

[julibaga]

Vaya desmadre!!! :roll:

[msc hotline sat]

Sí, hay que verlo para creerlo ! ya hablaremos, julibaga, parece que es de tu tierra ! :roll:



saludos



ms, 16-10-2009

[julibaga]

Pues ya ves que los Gallegos no hacemos las cosas tan mal... :mrgreen:

Por que hay que reconocer que este canijo lo hizo a conciencia.

[msc hotline sat]

Parece estar hecho en México ... asi que algun paisano tuyo :lol: :lol: :lol:



saludos



ms, 16-10-2009

[0230021]

He vuelto a pasar elistara y tmb elitriip perosigo sin poder abrir bloc de notas y me aparece el mensaje de "quemate en el infierno", les dejo adjunto el bloc de notas de la ultima vez que los ejecuté.

Me he dado cuenta que todas las carpetas que hay en mi computadora se han duplicado con el mismo nombre pero sin nada dentro de ellas, al tratar de abrirlas no se puede...
Tmb. de repente me sale en la pantalla el siguiente mensaje:

Los archivos necesarios para que Windows se ejecute correctamente se han reemplazado por versiones desconocidas. Windows debe restaurar las versiones originales de estos archivos para mantener la estabilidad del sistema. Inserte su CD de Windows XP Professional Service Pack 3 ahora.

Reintentar Mas información Cancelar

Aaaah y me salió esto tmb.

[msc hotline sat]

Bueno, veamos el infosat.txt:



(15-10-2009 4:44:07 (GMT))

EliStartPage v19.45 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 14 de Octubre del 2009)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Por favor, envienos una muestra del fichero

C:\Muestras\SVCHOST.EXE.Muestra EliStartPage v19.45

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SVCHOST.EXE --> Eliminado

Por favor, envienos una muestra del fichero

C:\Muestras\SYSTEM32.EXE.Muestra EliStartPage v19.45

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32.EXE --> Eliminado

Por favor, envienos una muestra del fichero

C:\Muestras\WINDOWS.EXE.Muestra EliStartPage v19.45

a "virus@satinfo.es". Gracias.

C:\WINDOWS.EXE --> Eliminado

C:\DOCUMENTS AND SETTINGS\WILFREDOGT\PLANTILLAS\LEVIATHAN.HTA --> Eliminado

Eliminado , Installed Components "{08B0E5C0-4FCB-11CF-AAA5-00401C608500}"

Eliminado , Installed Components "{CC2A9BA0-3BDD-11D0-821E-444553540000}"

Linea Eliminada del HOSTS --> 127.0.0.1 www.metroflog.com

Linea Eliminada del HOSTS --> 127.0.0.1 www.hotmail.com

Linea Eliminada del HOSTS --> 127.0.0.1 www.google.com

Eliminada Carpeta "%Application Data%\Micro$oft"

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



(15-10-2009 4:46:54) (GMT)

EliTriIP v6.18 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 14 de Octubre del 2009)

---------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminado Servicio, "SCardSvr"



(15-10-2009 4:47:06) (GMT)

EliTriIP v6.18 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 14 de Octubre del 2009)

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"



Nº Total de Directorios: 2587

Nº Total de Ficheros: 27000

Nº de Ficheros Analizados: 8380

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



(17-10-2009 0:14:41 (GMT))

EliStartPage v19.47 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 16 de Octubre del 2009)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\SVCHOST.EXE --> Eliminado Spy.OutLaw o VenoM

C:\WINDOWS\SYSTEM32.EXE --> Eliminado Spy.OutLaw o VenoM

C:\WINDOWS.EXE --> Eliminado Spy.OutLaw o VenoM

C:\DOCUMENTS AND SETTINGS\WILFREDOGT\PLANTILLAS\LEVIATHAN.HTA --> Eliminado

Eliminado , Installed Components "{08B0E5C0-4FCB-11CF-AAA5-00401C608500}"

Linea Eliminada del HOSTS --> 127.0.0.1 www.metroflog.com

Linea Eliminada del HOSTS --> 127.0.0.1 www.hotmail.com

Linea Eliminada del HOSTS --> 127.0.0.1 www.google.com

Eliminada Carpeta "%Application Data%\Micro$oft"

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



(17-10-2009 0:16:15) (GMT)

EliTriIP v6.18 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 14 de Octubre del 2009)

---------------------------------------------

Lista de Acciones (por Acción Directa):

Por favor, envienos una muestra del fichero

C:\Muestras\TASKMGR.EXE.Muestra EliTriIP v6.18

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\TASKMGR.EXE --> Eliminado



(17-10-2009 0:16:23) (GMT)

EliTriIP v6.18 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 14 de Octubre del 2009)

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"



Nº Total de Directorios: 2608

Nº Total de Ficheros: 27035

Nº de Ficheros Analizados: 8393

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



Voy a editar la continuacion a la vista de lo que indicabamos anteriormente:

[msc hotline sat]

Vemos que en el último ELITRIIP pide una muestra:

Por favor, envienos una muestra del fichero
C:\Muestras\TASKMGR.EXE.Muestra EliTriIP v6.18

Envianosla, para analizarla y controlarla.


Y ahora tratemos de entender el porqué de lo que dices:

ya el ELISTARA actual ha eliminadolos ficheros con el Venom y el htma del mensaje:

(17-10-2009 0:14:41 (GMT))
EliStartPage v19.47 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 16 de Octubre del 2009)
--------------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\SVCHOST.EXE --> Eliminado Spy.OutLaw o VenoM
C:\WINDOWS\SYSTEM32.EXE --> Eliminado Spy.OutLaw o VenoM
C:\WINDOWS.EXE --> Eliminado Spy.OutLaw o VenoM
C:\DOCUMENTS AND SETTINGS\WILFREDOGT\PLANTILLAS\LEVIATHAN.HTA --> Eliminado
Eliminado , Installed Components "{08B0E5C0-4FCB-11CF-AAA5-00401C608500}"
Linea Eliminada del HOSTS --> 127.0.0.1 http://www.metroflog.com
Linea Eliminada del HOSTS --> 127.0.0.1 http://www.hotmail.com
Linea Eliminada del HOSTS --> 127.0.0.1 http://www.google.com
Eliminada Carpeta "%Application Data%\Micro$oft"
Eliminadas las Paginas de Inicio y de Busqueda del IE
Eliminados Ficheros Temporales del IE


y ha eliminado las lineas del HOSTS que impedian acceder a las tres URL, aparte de eliminar la carpeta Micro$oft que crea el malware, todo ello explicado en las caracteristicas del mismo:


deciamos: "Asi mismo oculta la carpeta de windows y en su lugar pone el malware con el nombre de windows.exe, con icono de carpeta, como lo hace con otras muchas con cada nombre, pero que en realidad es el ejecutable malware, para que, al pulsar en dicho icono para entrar en la carpeta, lo que hace es ejecutar el virus."

O sea, estas dobles carpetas no lo son, lo que pasa es que no tienes configurado windows para ver las extensiones de los ficheros, lo cuial te aconsejo hagas, y asi veras que algunas "carpetas" son los ficheros malware, con extension .EXE, pero con icono de carpeta, como ya decimos que hace

Ante todo ve a MIPC -> Herramientas -> opciones de carpeta -> Ver -> y alli marca la casilla de Ver y configuralo para ver los ficheros y carpetas ocultas, incluidas las de sistema, y Ver las extensiones de los ficheros, y para ello:

En ARCHIVOS Y CARPETAS -> ARCHIVOS Y CARPETAS OCULTOS -> Marca la casilla Mostrar Todos los Archivos y Carpetas Ocultos (Con ello se desmarcará automáticamente la de "No mostrarlos") -así verás los que tienes atributo H-

y mas abajo, desmarca la casilla que dice Ocultar archivos protegidos del sistema operativo(recomendado) -así verás los que tengan atributo S-

y debajo de esta línea, desmarca la casilla de "Ocultar las extensiones de archivo para tipos de archivo conocido" -con ello veras las extensiones de los ficheros, y aunque tengan icono de carpeta (lo cual hacen algunos virus como este) podrás diferenciarlos porque verás que los nombres de algunas "carpetas" tienen extension .EXE, lo cual no es normal...

y tras configurar lo indicado, pulsar en Aplicar y Aceptar

Bueno, ahora ya veras ficheros ocultos (con H y/o S) y las extensiones

No quieras "entrar" en las carpetas que tienen dicha extension .EXE, ya que son realmente ficheros, y al pulsar en dicho icono, lo que haces es ejecutar el malware !!!

Fijate que puedes tener muchas "carpetas" falsas con extension .EXE, por lo que deciamos que hace este virus:


Crea estos ficheros con codigo vírico y con icono de carpeta:

C:\ WINDOWS.EXE
%WinDir%\ SVCHOST.EXE
%WinDir%\ SYSTEM32.EXE
%WinDir%\ NOTEPAD.EXE
%WinSyS%\ NOTEPAD.EXE
%WinSyS%\ TASKMGR.EXE
%WinSyS%\ Drivers\ ETC.EXE
%WinSyS%\ Drivers\ etc\ PROCESO INACTIVO DEL SISTEMA.COM
%Archivos de Programa%\ Windows NT\ Accesorios\ WORDPAD.EXE
%UserProfile%\ DATOS DE PROGRAMA.EXE
%Datos de Programa%\ SERVICES.EXE
%Datos de Programa%\ WINLOGON.EXE
%Datos de Programa%\ Micro$oft\ .EXE
%Datos de Programa%\ Micro$oft\ desktop.inf
%Datos de Programa%\ Micro$oft\ desktop.log
%Datos de Programa%\ Micro$oft\ SatanaS****
%Datos de Programa%\ Microsoft\ WINLOGON.SCR
%Datos de Programa%\ Microsoft\ Internet Explorer\ Quick Launch\ MIS DOCUMENTOS.EXE
%Mis Documentos%\ MI MÚSICA.EXE
%Mis Documentos%\ MIS IMÁGENES.EXE
%WinIni% (DefaulyUser)\ WIN.SCR
%Papelera%\ NTDETECT.EXE


Posiblemente nos falte conocer este fichero que pedimos para analizar, (C:\Muestras\TASKMGR.EXE.Muestra EliTriIP v6.18), para detectar y eliminarlo con los demas similares que no vemos que se hayan eliminado con el actual ELISTARA...

Asi que como decimos al principio, envianoslo para analizar :

or favor, envienos una muestra del fichero
C:\Muestras\TASKMGR.EXE.Muestra EliTriIP v6.18



Lo de que no puedes ejecutar el NOTEPAD, ya lo restablecemos al mismo tiempo que estos otros que intercepta, segun decimos:


INTERCEPTA LA EJECUCION DE LOS SIGUIENTES FICHEROS:

"1"="notepad.exe"
"2"="HijackThis.exe"
"3"="wordpad.exe"
"4"="rstrui.exe"
"5"="msconfig.exe"
"6"="regedit.exe"
"7"="HiJackThis_v2.exe"
"10"="cmd.exe"
"11"="ibprocman.exe"
"12"="explorer.exe"
"13"="integrator.exe.exe"



pero claro, todo lo que hemos hecho, si este TASKMGR.EXE y sus copias, no los conocemos, habrán regenerado todo lo que hemos restaurado ... y vuelta de nuevo con el mensajito y el virus campando de por libre !

Cuando veamos dicho fichero que te pedimos, implementaremos su control y eliminacion en el proximo ELISTARA...

Y la pregunta del millón ¿QUÉ ANTIVIRUS ESTAS USANDO, MARCA Y VERSIÓN ???

saludos

ms, 17-10-2009

[0230021]

Y a envio la muestra!!



Y respondiendo a la pregunta del antivirus, por ahora no tengo ninguno

[0230021]

No puedo entrar aqui:
MIPC -> Herramientas -> opciones de carpeta -> Ver
No tengo esas opciones:

[msc hotline sat]

Pues a lo que dices de

"Y respondiendo a la pregunta del antivirus, por ahora no tengo ninguno"

recuerda que conviene seguir el dicho tan conocido de MAS VALE PREVENIR QUE CURAR

Y especialmente en este caso, ya que este virus está controlado por la mayoría de los antivirus, como puede verse en el preanalisis de la muestra pedida por el ELISTARA, posteado anteriormente : Result: 36/41 (87.81%)

y de haber tenido instalado y residente uno de ellos, ya no habría podido entrar...

Y seguimos con lo otro que indica: No tiene acceso a OPCIONES DE CARPETA

Esto también lo hacen otros virus, para impedir que se lleguen a los ficheros ocultos o se pueda configurar ver las extensiones, para evitar facilitar lo que proponemos, pero ya el ELISTARA lo restaura, si bien en su caso el problema es que tras ello ha vuelto a cargar el virus porque no lo había eliminado totalmente, (ahora, con la nueva muestra que nos ha enviado, esperamos que podremos controlar estos ficheros malware con icono de carpeta y poder rematarlo)

De todas formas trata de probar el ELISTARA y acto seguido reiniciar en MODO SEGURO, asi no estará activo el bicho, y sin pulsar en ninguna "carpeta" sospechosa (la de MIPC no parece estar afectada) , mira de acceder a OPCIONES DE CARPETA, que igual tras ello sí que puedes.

Si es asi, configura lo de ver extensiones, ver ficheros ocultos y NO ocultar ficheros de sistema , para poder seguir con lo que decíamos, pero sigue en MODO SEGURO y ve haciendo lo que decíamos en dicho modo.

De todas maneras, mañana, cuando volvamos al trabajo en SATINFO, veremos la muestra enviada y pasaremos a analizarla y controlarla en la siguiente versión del ELISTARA, 19.48, tras lo cual , la pruebas y nos posteas el informe resultante

Por lo menos que te sirva de experiencia para que sigas nuestros consejos!

saludos

ms, 18-10-2009

[msc hotline sat]

No hemos recibido la muestra que le pedíamos del

Por favor, envienos una muestra del fichero
C:\Muestras\TASKMGR.EXE.Muestra EliTriIP v6.18

recuerde que debe empaquetarla con password virus y seguir las indicaciones



Tras recibir el/los fichero/s, lo/s analizaremos e implementaremos su control y eliminacion, si procede, en nuestras utilidades, de lo cual informaremos

saludos

ms, 19-10-2009

[msc hotline sat]

Bueno, pues nos ha despistado un poco este fichero, hasta ver que ya lo controlaba el ELISTARA en la exploracion, al igual que todos los demas que crea este bicho con icono de carpeta...



Pero no hizo la exploracion en el ELISTARA !!! se limití al analisis por acción directa y como que hizo ademas testeo con el ELITRIIP y se pidió muestra del TASKMGR.EXE por encontrarlo fuerav de lugar, se considerí que en dichos ficheros no lo detectabamos... Y sí, la versión actual 19.47 ya lo detecta, pero en este caso al explorar todo el disco duro, pues son muchos los ficheros malware que crea con icono de carpeta, y los controlamos por cadenas, independiente de su nombre !



Pues ya puede, con la versión que tiene del ELISTARA 19.47, lanzar, tras el analisis por accion directa, el analisis por exploracion, y verá como los detectamos y eliminamos.



Y nos postea el informe resultante, gracias



saludos



ms, 19-10-2009

[0230021]

Perdón por no poner pass en el envio de muestras, es que no se como hacerlo y leí su tutorial pero es con .ZIP y yo utilizo .RAR

Ya he podido entrar a las paginas que me bloquearon....... pero sigo sin poder abrir Administrador de tareas y la opción de Restaurar sistema........hasta ahora son los unicos que me he dado cuenta
He pasado una vez mas ELISTARA y ELITRIIP y ya no me pide enviar muestras, ya puedo abrir Bloc de notas pero ahora con WordPad, me pregunto si ya no se podra con el Bloc de notas.........

Me ha bajado un antivirus free de aqui y me detecto varios y ya trabajé en eso, espero ya no tener mas problemas, solo les pregunto como hago para eliminar todas estas carpetas y cosas que me quedaron en MI PC, Mi Musica, Mis Documentos y varias carpetas del sistema?, se vale ir eliminandolas con la tecla SUPR???



Aqui el resultado del InfoSat.txt

(20-10-2009 0:10:58 (GMT))
EliStartPage v19.48 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 19 de Octubre del 2009)
--------------------------------------------------
Lista de Acciones (por Acción Directa):
Eliminado , Installed Components "{08B0E5C0-4FCB-11CF-AAA5-00401C608500}"
Eliminadas las Paginas de Inicio y de Busqueda del IE
Eliminados Ficheros Temporales del IE

(20-10-2009 0:17:50) (GMT)
EliTriIP v6.18 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 14 de Octubre del 2009)
---------------------------------------------
Lista de Acciones (por Acción Directa):

(20-10-2009 0:17:55) (GMT)
EliTriIP v6.18 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 14 de Octubre del 2009)
---------------------------------------------
Lista de Acciones (por Exploración):
Explorando "C:\"

Nº Total de Directorios: 2656
Nº Total de Ficheros: 27641
Nº de Ficheros Analizados: 8465
Nº de Ficheros Infectados: 0
Nº de Ficheros Limpiados: 0

[msc hotline sat]

Ha vuelto a probar el ELISTARA sin llegar al final !



Tras el analisis por accion directa, debe aparecerle la pantalla de SATINFO con el botón de EXPLORAR, que es lo que debe escoger y tras el escaneo de todo el disco duro, le encontrará los malwares y creará el informe del ANALISIS POR EXPLORACION relativo al ELISTARA, como puede ver que ha hecho con el ELITRIIP. Para cada uno dbee aparecer dos apartados, primero el de Accion Directa y luego el de Exploracion, si bien en su infosat.txt no aparece el del ELISTARA porque seguramente no lo ha heho. Proceda con ello.



saludos



ms, 20-10-2009

[0230021]

es que con elistara no me sale eso, solo con elitriip

[0230021]

aah ok ya se como hacerle para que me salga la exploracion en elistara..............



aqui el informe:



(20-10-2009 7:44:04 (GMT))

EliStartPage v19.48 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 19 de Octubre del 2009)

--------------------------------------------------

Lista de Acciones (por Acción Directa):



(20-10-2009 7:44:08 (GMT))

EliStartPage v19.48 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 19 de Octubre del 2009)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"

C:\Archivos de programa\SGPSA\BHO.DLL --> Eliminado, AdWare.BHO.IFR

C:\Muestras\SVCHOST.EXE.MUESTRA ELISTARTPAGE V19.45 --> Eliminado, Spy.OutLaw o VenoM

C:\Muestras\SYSTEM32.EXE.MUESTRA ELISTARTPAGE V19.45 --> Eliminado, Spy.OutLaw o VenoM

C:\Muestras\WINDOWS.EXE.MUESTRA ELISTARTPAGE V19.45 --> Eliminado, Spy.OutLaw o VenoM

C:\Muestras\TASKMGR.EXE.MUESTRA ELITRIIP V6.18 --> Eliminado, Spy.OutLaw o VenoM



Nº Total de Directorios: 2679

Nº Total de Ficheros: 27781

Nº de Ficheros Analizados: 9399

Nº de Ficheros Infectados: 5

Nº de Ficheros Limpiados: 5



(20-10-2009 7:50:10) (GMT)

EliTriIP v6.18 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 14 de Octubre del 2009)

---------------------------------------------

Lista de Acciones (por Acción Directa):



(20-10-2009 7:50:11) (GMT)

EliTriIP v6.18 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 14 de Octubre del 2009)

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"



Nº Total de Directorios: 2679

Nº Total de Ficheros: 27794

Nº de Ficheros Analizados: 8479

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

[msc hotline sat]

MUY BIEN !!!



(20-10-2009 7:44:08 (GMT))

EliStartPage v19.48 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 19 de Octubre del 2009)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"

C:\Archivos de programa\SGPSA\BHO.DLL --> Eliminado, AdWare.BHO.IFR

C:\Muestras\SVCHOST.EXE.MUESTRA ELISTARTPAGE V19.45 --> Eliminado, Spy.OutLaw o VenoM

C:\Muestras\SYSTEM32.EXE.MUESTRA ELISTARTPAGE V19.45 --> Eliminado, Spy.OutLaw o VenoM

C:\Muestras\WINDOWS.EXE.MUESTRA ELISTARTPAGE V19.45 --> Eliminado, Spy.OutLaw o VenoM

C:\Muestras\TASKMGR.EXE.MUESTRA ELITRIIP V6.18 --> Eliminado, Spy.OutLaw o VenoM





Venos que ya estaban aparcados por un analisis que no posteó, hecho con la 19.45, pero la cuestion es que ahora, con la 19.48, ya los ha detectado y eliminado.



Pues tras reiniciar diganos si persiste alguna anomalia o podemos dar por solucionado el Tema, gracias



saludos



ms, 20-10-2009

[0230021]

Pues si ya no hay problemas con los mensajes que aparecian pero sigo con esto:
Ya he podido entrar a las paginas que me bloquearon....... pero sigo sin poder abrir Administrador de tareas y la opción de Restaurar sistema........hasta ahora son los unicos que me he dado cuenta

He pasado una vez mas ELISTARA y ELITRIIP y ya no me pide enviar muestras, ya puedo abrir Bloc de notas pero ahora con WordPad, me pregunto si ya no se podra con el Bloc de notas.........

Me ha bajado un antivirus free de aqui y me detecto varios y ya trabajé en eso, espero ya no tener mas problemas, solo les pregunto como hago para eliminar todas estas carpetas y cosas que me quedaron en MI PC, Mi Musica, Mis Documentos y varias carpetas del sistema?, se vale ir eliminandolas con la tecla SUPR???