PROBLEMAS CON ACENTOS (SOLUCIONADO)

inottoni · Mensaje por **inottoni** » 03 Abr 2009, 18:24

HOLA:

TENGO UNA DUDA: AL IR A PONER ACENTOS A LAS PALABRAS ME DA PROBLEMAS, PUES ME APARECEN DOS ACENTOS SIN NINGUNA VOCAL DEBAJO (AL ESCRIBIR CORREOS ELECTRÓNICOS) O NO APARECEN PESE A ESCRIBIRLOS; ESTO PUEDE SER CUESTIÓN DE ALGÚN VIRUS O SPYWARE?.

SALUDOS

Mensaje por **msc hotline sat** » 03 Abr 2009, 18:32

En repetidas ocasiones ya hemos indicado que ello se debe a aplicaciones que no han usado un compilador configurado para nuestro idioma, y tanto puede ser con aplicaciones maliciosas como hechas "caseras" en en extranjero, donde no emplean carácteres acentuados.

Pero por si se tratara de un malware, pruebas estas utilidades e informanos del resultado:

~~[b]~~ ELITRIIP: [/b]

http://www.zonavirus.com/descargas/elitriip.asp

~~[b]~~ ELISTARA: [/b]

http://www.zonavirus.com/descargas/elistara.asp

Tras probarlos, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso

saludos

ms, 3-4-2009

inottoni · Mensaje por **inottoni** » 03 Abr 2009, 20:09

HOLA AHÍ VA EL RESULTADO DE PASAR AMBOS PROGRAMAS:

(27-3-2009 18:49:22)

EliTriIP v5.67 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 20 de Marzo del 2009)

---------------------------------------------

Lista de Acciones (por Acción Directa):

(Valor Run y RunServices "UPDATEWIN")

Por favor, envienos una muestra del fichero

C:\WINDOWS\system32\advpackl.exe

a "virus@satinfo.es". Gracias.

(Valor Run y RunServices "UPDATEWIN")

Por favor, envienos una muestra del fichero

C:\WINDOWS\system32\advpackl.exe

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\ADVPACKL.EXE --> Acceso Denegado.

Entrada Eliminada [HKCU\...\Run] "UpdateWin"="C:\WINDOWS\system32\advpackl.exe"

Entrada Eliminada [HKCU\...\RunServices] "UpdateWin"="C:\WINDOWS\system32\advpackl.exe"

Entrada Eliminada [HKLM\...\Run] "UpdateWin"="C:\WINDOWS\system32\advpackl.exe"

Entrada Eliminada [HKLM\...\RunServices] "UpdateWin"="C:\WINDOWS\system32\advpackl.exe"

No detectado SP3 de Windows XP

Reinicie para Completar la Limpieza.

(27-3-2009 18:51:49)

EliTriIP v5.67 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 20 de Marzo del 2009)

---------------------------------------------

Lista de Acciones (por Acción Directa):

(Valor Run y RunServices "UPDATEWIN")

Por favor, envienos una muestra del fichero

C:\WINDOWS\system32\advpackl.exe

a "virus@satinfo.es". Gracias.

(Valor Run y RunServices "UPDATEWIN")

Por favor, envienos una muestra del fichero

C:\WINDOWS\system32\advpackl.exe

a "virus@satinfo.es". Gracias.

Por favor, envienos una muestra del fichero

C:\Muestras\ADVPACKL.EXE.Muestra EliTriIP v5.67

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\ADVPACKL.EXE --> Eliminado

Entrada Eliminada [HKCU\...\Run] "UpdateWin"="C:\WINDOWS\system32\advpackl.exe"

Entrada Eliminada [HKCU\...\RunServices] "UpdateWin"="C:\WINDOWS\system32\advpackl.exe"

Entrada Eliminada [HKLM\...\Run] "UpdateWin"="C:\WINDOWS\system32\advpackl.exe"

Entrada Eliminada [HKLM\...\RunServices] "UpdateWin"="C:\WINDOWS\system32\advpackl.exe"

No detectado SP3 de Windows XP

(27-3-2009 18:52:02)

EliTriIP v5.67 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 20 de Marzo del 2009)

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"

Nº Total de Directorios: 3974

Nº Total de Ficheros: 43478

Nº de Ficheros Analizados: 13356

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

(3-4-2009 17:48:51)

EliTriIP v5.70 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 3 de Abril del 2009)

---------------------------------------------

Lista de Acciones (por Acción Directa):

No detectado SP3 de Windows XP

(3-4-2009 17:49:06)

EliTriIP v5.70 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 3 de Abril del 2009)

---------------------------------------------

Lista de Acciones (por Acción Directa):

No detectado SP3 de Windows XP

(3-4-2009 17:49:11)

EliTriIP v5.70 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 3 de Abril del 2009)

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"

Nº Total de Directorios: 4010

Nº Total de Ficheros: 45990

Nº de Ficheros Analizados: 13404

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

(3-4-2009 17:53:18)

EliStartPage v18.36 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 3 de Abril del 2009)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Por favor, envienos una muestra del fichero

C:\Muestras\YGOJU.DLL.Muestra EliStartPage v18.36

a "virus@satinfo.es". Gracias.

C:\WINDOWS\YGOJU.DLL --> Eliminado

C:\WINDOWS\SYSTEM32\NTOS.EXE --> Acceso Denegado.

Entrada Eliminada [HKLM\...\Run] "APETOQEZIW"="rundll32.exe "C:\WINDOWS\Ygoju.dll",e"

Entrada Eliminada [HKCU\...\Run] "userinit"="C:\WINDOWS\system32\ntos.exe"

No detectado SP3 de Windows XP

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Reinicie para Completar la Limpieza.

(3-4-2009 17:53:36)

EliStartPage v18.36 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 3 de Abril del 2009)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"

Nº Total de Directorios: 4009

Nº Total de Ficheros: 45796

Nº de Ficheros Analizados: 14417

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

Sistema Infectado por el PWS-NTOS

No Detectada Utilidad "ELINOTIF.DLL" (Necesaria para la Limpieza)

(3-4-2009 17:55:13)

EliStartPage v18.36 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 3 de Abril del 2009)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\SYSTEM32\NTOS.EXE --> Acceso Denegado.

No detectado SP3 de Windows XP

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Reinicie para Completar la Limpieza.

(3-4-2009 17:55:27)

EliStartPage v18.36 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 3 de Abril del 2009)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"

Nº Total de Directorios: 4009

Nº Total de Ficheros: 45796

Nº de Ficheros Analizados: 14417

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

Sistema Infectado por el PWS-NTOS

Instalada Utilidad "ELINOTIF.DLL" (Reinicie de Nuevo para Completar la Limpieza)

EliNotify v1.9.03.30 (c)2009 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones:

Detectado PWS-NTOS

Restaurado Valor "UserInit"

Desinstalado EliNotif.dll

(3-4-2009 17:58:53)

EliStartPage v18.36 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 3 de Abril del 2009)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Por favor, envienos una muestra del fichero

C:\Muestras\NTOS.EXE.Muestra EliStartPage v18.36

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\NTOS.EXE --> Eliminado

Eliminada Carpeta "%WinSys%\Wsnpoem"

No detectado SP3 de Windows XP

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

(3-4-2009 17:59:04)

EliStartPage v18.36 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 3 de Abril del 2009)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"

Nº Total de Directorios: 4006

Nº Total de Ficheros: 45790

Nº de Ficheros Analizados: 14417

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

SALUDOS Y BUEN FIN DE SEMANA

inottoni · Mensaje por **inottoni** » 03 Abr 2009, 20:11

HOLA DE NUEVO:

Acabo de probar a escribir acentos en word y en el outlook express y me va bien, supongo que se habrá eliminado el problema que debía haber, no?.

Gracias

julibaga · Mensaje por **julibaga** » 03 Abr 2009, 20:22

Pues si te funciona bien, es que debe estar resuelto ya que se eliminó lo que te lo provocaba
[quote="inottoni"]Entrada Eliminada [HKCU\...\Run] "userinit"="C:\WINDOWS\system32\ntos.exe"[/quote]
de todas formas, envía estos archivos para analizar
[quote="inottoni"]Por favor, envienos una muestra del fichero

C:\Muestras\YGOJU.DLL.Muestra EliStartPage v18.36

a "virus@satinfo.es". Gracias.[/quote]
Para ello recuerda:

https://foros.zonavirus.com/viewtopic.php?f=5&t=14253

Mensaje por **msc hotline sat** » 03 Abr 2009, 20:49

Y envianos tambien este otro:

Por favor, envienos una muestra del fichero

C:\Muestras\NTOS.EXE.Muestra EliStartPage v18.36

Pues aunque lo hayamos eliminado, es una variante no controlada que necesitamos analizar para implementar su control y eliminacion total en nuestras utilidades, lo cual ahora solo "aparcamos", aunque con ello hayamos solucionado el problema temporalmente.

Para el envio de muestras:

~~[b]~~¿Como enviar las muestras a zonavirus? - Para ello recordar[/b]:

https://foros.zonavirus.com/viewtopic.php?f=5&t=14253

Tras recibirlos, los analizaremos e implementaremos su control y eliminacion, si procede, en nuestras utilidades, de lo cual informaremos

saludos

ms, 3-4-2009

____

inottoni · Mensaje por **inottoni** » 04 Abr 2009, 13:47

MUESTRAS ENVIADAS, GRACIAS.

Mensaje por **msc hotline sat** » 04 Abr 2009, 20:15

Bien, pues de momento trabaja sin problemas, ya que lo tenemos "aparcado" y el lunes, tras analizar y monitorizar las muestras, implementaremos su control y eliminacion en nuestras utilidades, de lo cul informaremos.

No olvides probar las nuevas versiones hasta que detecten y eliminen todos los restos de esta variante.

saludos

ms, 4-4-2009

Mensaje por **msc hotline sat** » 06 Abr 2009, 17:07

Pues tras analizar y monitorizar la muestra, pasamos a implementar su control y eliminacion con el ELISTARA+ ELINOTIF de hoy, como variante del NTOS conocido.

[quote]
~~[b]~~ ELISTARA.EXE: [/b]

http://www.zonavirus.com/descargas/elistara.asp

~~[b]~~ ELINOTIF.DLL:[/b]

http://www.zonavirus.com/descargas/elinotif.asp

Descargue las dos en una misma carpeta y pruebe el ELISTARA, y tras reiniciar y posteenos el contenido de C:\infosat.txt para ver el resultado del proceso
[/quote]

A partir de las 19 h GMT, estará disponible en esta web, para pruebas de evaluacion en el foro de zonavirus

saludos

ms, 6-4-2009

inottoni · Mensaje por **inottoni** » 02 Nov 2009, 21:21

Hola de nuevo:

Utilizo este mensaje porque veo que no esta cerrado y porque el problema que tengo es el mismo que tenia cuando colgue este mensaje. Al escribir palabras con acentos (p.ej: atenci´´on), me pone 2 acentos pero ninguno encima de la vocal a la cual corresponden. He pasado el elistara y el elitrip y no se ha solucionado el problema. Ademas desde que ocurre este problema el ordenador va mas lento, le cuesta tirar para adelante. A continuacion copia el resultado del archivo infosat:

(27-3-2009 18:49:22)

EliTriIP v5.67 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 20 de Marzo del 2009)

---------------------------------------------

Lista de Acciones (por Acción Directa):

(Valor Run y RunServices "UPDATEWIN")

Por favor, envienos una muestra del fichero

C:\WINDOWS\system32\advpackl.exe

a "virus@satinfo.es". Gracias.

(Valor Run y RunServices "UPDATEWIN")

Por favor, envienos una muestra del fichero

C:\WINDOWS\system32\advpackl.exe

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\ADVPACKL.EXE --> Acceso Denegado.

Entrada Eliminada [HKCU\...\Run] "UpdateWin"="C:\WINDOWS\system32\advpackl.exe"

Entrada Eliminada [HKCU\...\RunServices] "UpdateWin"="C:\WINDOWS\system32\advpackl.exe"

Entrada Eliminada [HKLM\...\Run] "UpdateWin"="C:\WINDOWS\system32\advpackl.exe"

Entrada Eliminada [HKLM\...\RunServices] "UpdateWin"="C:\WINDOWS\system32\advpackl.exe"

No detectado SP3 de Windows XP

Reinicie para Completar la Limpieza.

(27-3-2009 18:51:49)

EliTriIP v5.67 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 20 de Marzo del 2009)

---------------------------------------------

Lista de Acciones (por Acción Directa):

(Valor Run y RunServices "UPDATEWIN")

Por favor, envienos una muestra del fichero

C:\WINDOWS\system32\advpackl.exe

a "virus@satinfo.es". Gracias.

(Valor Run y RunServices "UPDATEWIN")

Por favor, envienos una muestra del fichero

C:\WINDOWS\system32\advpackl.exe

a "virus@satinfo.es". Gracias.

Por favor, envienos una muestra del fichero

C:\Muestras\ADVPACKL.EXE.Muestra EliTriIP v5.67

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\ADVPACKL.EXE --> Eliminado

Entrada Eliminada [HKCU\...\Run] "UpdateWin"="C:\WINDOWS\system32\advpackl.exe"

Entrada Eliminada [HKCU\...\RunServices] "UpdateWin"="C:\WINDOWS\system32\advpackl.exe"

Entrada Eliminada [HKLM\...\Run] "UpdateWin"="C:\WINDOWS\system32\advpackl.exe"

Entrada Eliminada [HKLM\...\RunServices] "UpdateWin"="C:\WINDOWS\system32\advpackl.exe"

No detectado SP3 de Windows XP

(27-3-2009 18:52:02)

EliTriIP v5.67 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 20 de Marzo del 2009)

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"

Nº Total de Directorios: 3974

Nº Total de Ficheros: 43478

Nº de Ficheros Analizados: 13356

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

(3-4-2009 17:48:51)

EliTriIP v5.70 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 3 de Abril del 2009)

---------------------------------------------

Lista de Acciones (por Acción Directa):

No detectado SP3 de Windows XP

(3-4-2009 17:49:06)

EliTriIP v5.70 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 3 de Abril del 2009)

---------------------------------------------

Lista de Acciones (por Acción Directa):

No detectado SP3 de Windows XP

(3-4-2009 17:49:11)

EliTriIP v5.70 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 3 de Abril del 2009)

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"

Nº Total de Directorios: 4010

Nº Total de Ficheros: 45990

Nº de Ficheros Analizados: 13404

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

(3-4-2009 17:53:18)

EliStartPage v18.36 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 3 de Abril del 2009)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Por favor, envienos una muestra del fichero

C:\Muestras\YGOJU.DLL.Muestra EliStartPage v18.36

a "virus@satinfo.es". Gracias.

C:\WINDOWS\YGOJU.DLL --> Eliminado

C:\WINDOWS\SYSTEM32\NTOS.EXE --> Acceso Denegado.

Entrada Eliminada [HKLM\...\Run] "APETOQEZIW"="rundll32.exe "C:\WINDOWS\Ygoju.dll",e"

Entrada Eliminada [HKCU\...\Run] "userinit"="C:\WINDOWS\system32\ntos.exe"

No detectado SP3 de Windows XP

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Reinicie para Completar la Limpieza.

(3-4-2009 17:53:36)

EliStartPage v18.36 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 3 de Abril del 2009)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"

Nº Total de Directorios: 4009

Nº Total de Ficheros: 45796

Nº de Ficheros Analizados: 14417

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

Sistema Infectado por el PWS-NTOS

No Detectada Utilidad "ELINOTIF.DLL" (Necesaria para la Limpieza)

(3-4-2009 17:55:13)

EliStartPage v18.36 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 3 de Abril del 2009)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\SYSTEM32\NTOS.EXE --> Acceso Denegado.

No detectado SP3 de Windows XP

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Reinicie para Completar la Limpieza.

(3-4-2009 17:55:27)

EliStartPage v18.36 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 3 de Abril del 2009)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"

Nº Total de Directorios: 4009

Nº Total de Ficheros: 45796

Nº de Ficheros Analizados: 14417

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

Sistema Infectado por el PWS-NTOS

Instalada Utilidad "ELINOTIF.DLL" (Reinicie de Nuevo para Completar la Limpieza)

EliNotify v1.9.03.30 (c)2009 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones:

Detectado PWS-NTOS

Restaurado Valor "UserInit"

Desinstalado EliNotif.dll

(3-4-2009 17:58:53)

EliStartPage v18.36 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 3 de Abril del 2009)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Por favor, envienos una muestra del fichero

C:\Muestras\NTOS.EXE.Muestra EliStartPage v18.36

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\NTOS.EXE --> Eliminado

Eliminada Carpeta "%WinSys%\Wsnpoem"

No detectado SP3 de Windows XP

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

(3-4-2009 17:59:04)

EliStartPage v18.36 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 3 de Abril del 2009)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"

Nº Total de Directorios: 4006

Nº Total de Ficheros: 45790

Nº de Ficheros Analizados: 14417

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

(9-4-2009 09:16:30)

EliStartPage v18.39 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 8 de Abril del 2009)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

No detectado SP3 de Windows XP

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

(9-4-2009 09:16:44)

EliStartPage v18.39 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 8 de Abril del 2009)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"

C:\Muestras\Muestras\YGOJU.DLL.MUESTRA ELISTARTPAGE V18.36 --> Eliminado, Hiloti

Nº Total de Directorios: 4376

Nº Total de Ficheros: 46508

Nº de Ficheros Analizados: 14452

Nº de Ficheros Infectados: 1

Nº de Ficheros Limpiados: 1

(26-6-2009 18:11:16 (GMT))

EliStartPage v18.90 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 26 de Junio del 2009)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

(Valor Run y RunServices "UPDATEWIN")

Por favor, envienos una muestra del fichero

C:\WINDOWS\system32\aaclientp.exe

a "virus@satinfo.es". Gracias.

(Valor Run y RunServices "UPDATEWIN")

Por favor, envienos una muestra del fichero

C:\WINDOWS\system32\aaclientp.exe

a "virus@satinfo.es". Gracias.

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

(26-6-2009 18:13:49 (GMT))

EliStartPage v18.90 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 26 de Junio del 2009)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"

Nº Total de Directorios: 7697

Nº Total de Ficheros: 91573

Nº de Ficheros Analizados: 35584

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

Sistema Infectado por el Spy.ZBot.GWQ

Instalada Utilidad "ELINOTIF.DLL" (Reinicie de Nuevo para Completar la Limpieza)

EliNotify v1.9.06.26 (c)2009 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones:

Detectado Spy.Zbot.GWQ

Restaurado Valor "UserInit"

Desinstalado EliNotif.dll

(26-6-2009 18:35:16 (GMT))

EliStartPage v18.90 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 26 de Junio del 2009)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

(Valor Run y RunServices "UPDATEWIN")

Por favor, envienos una muestra del fichero

C:\WINDOWS\system32\aaclientp.exe

a "virus@satinfo.es". Gracias.

(Valor Run y RunServices "UPDATEWIN")

Por favor, envienos una muestra del fichero

C:\WINDOWS\system32\aaclientp.exe

a "virus@satinfo.es". Gracias.

Por favor, envienos una muestra del fichero

C:\Muestras\SDRA64.EXE.Muestra EliStartPage v18.90

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\SDRA64.EXE --> Eliminado

Eliminada Carpeta "%WinSys%\Lowsec"

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

(11-8-2009 16:50:48 (GMT))

EliStartPage v19.10 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 24 de Julio del 2009)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

(11-8-2009 16:51:26 (GMT))

EliStartPage v19.10 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 24 de Julio del 2009)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"

Nº Total de Directorios: 8270

Nº Total de Ficheros: 105895

Nº de Ficheros Analizados: 37026

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

(2-11-2009 18:59:52 (GMT))

EliStartPage v19.59 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 30 de Octubre del 2009)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\SYSTEM32\WBEM\PROQUOTA.EXE --> Eliminado Malware.Proquota

Por favor, envienos una muestra del fichero

C:\Muestras\A795606219.EXE.Muestra EliStartPage v19.59

a "virus@satinfo.es". Gracias.

C:\DOCUMENTS AND SETTINGS\USER\DATOS DE PROGRAMA\MACROMEDIA\COMMON\A795606219.EXE --> Eliminado

Por favor, envienos una muestra del fichero

C:\Muestras\A79560621.DLL.Muestra EliStartPage v19.59

a "virus@satinfo.es". Gracias.

C:\DOCUMENTS AND SETTINGS\USER\DATOS DE PROGRAMA\MACROMEDIA\COMMON\A79560621.DLL --> Eliminado

Por favor, envienos una muestra del fichero

C:\Muestras\NVCPL.EXE.Muestra EliStartPage v19.59

a "virus@satinfo.es". Gracias.

C:\WINDOWS\FONTS\NVCPL.EXE --> Eliminado

C:\Documents and Settings\USER\Datos de programa\WIASERVA.LOG --> Eliminado (Fichero Complementario).

Entrada Eliminada [HKCU\...\Run] "rundll32.exe"=""

Entrada Eliminada [HKCU\...\Run] "WAB"="C:\Documents and Settings\USER\Datos de programa\Macromedia\Common\a795606219.exe"

Restaurada Clave: "SafeBoot\Minimal y Network"

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

(2-11-2009 19:07:00 (GMT))

EliStartPage v19.59 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 30 de Octubre del 2009)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"

Nº Total de Directorios: 8519

Nº Total de Ficheros: 107725

Nº de Ficheros Analizados: 37290

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

(2-11-2009 19:37:11) (GMT)

EliTriIP v6.22 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 2 de Noviembre del 2009)

---------------------------------------------

Lista de Acciones (por Acción Directa):

Entrada Eliminada [HKCU\...\Run] "UpdateWin"="C:\WINDOWS\system32\aaclientp.exe"

Entrada Eliminada [HKCU\...\RunServices] "UpdateWin"="C:\WINDOWS\system32\aaclientp.exe"

Entrada Eliminada [HKLM\...\RunServices] "UpdateWin"="C:\WINDOWS\system32\aaclientp.exe"

(2-11-2009 19:37:18) (GMT)

EliTriIP v6.22 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 2 de Noviembre del 2009)

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"

Nº Total de Directorios: 8519

Nº Total de Ficheros: 107717

Nº de Ficheros Analizados: 26191

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

Espero que podais ayudarme de nuevo.

Saludos

Mensaje por **lucl** » 02 Nov 2009, 22:35

Lo intentaremos pero no es acosejable escribir en temas antiguos aunque dejare que lo decida Msc, en cualquier caso elistara te pide que nos envies muestras

Por favor, envienos una muestra del fichero

C:\Muestras\A795606219.EXE.Muestra EliStartPage v19.59

Por favor, envienos una muestra del fichero

C:\Muestras\A79560621.DLL.Muestra EliStartPage v19.59

Por favor, envienos una muestra del fichero

C:\Muestras\NVCPL.EXE.Muestra EliStartPage v19.59

Asi que procede al envio y te las analizamos, tambien te aconsejo que nos pongas el log de sprocess para ver que claves tienes saludos

http://www.zonavirus.com/descargas/sproces.asp

Mensaje por **msc hotline sat** » 03 Nov 2009, 09:10

Parece que hubo un Bredolab por aquí que descargó proquota, trojan scar, y demas que igual no vemos...

En cuanto se analicen las muestras que dices habernos enviado, pasaremos a implementar su control y eliminacion, si procede, en nuestras utilidades, de lo cual informaremos

Pero como que muchos veces el Bredolab descarga y ejecuta malwares que modifican el MBR con malware de tecnicas stealth, te informo que no estaría de mas que arrancaras con el CD de instalacion y pulsaras R para acceder a la Consola de Recuperacion, desde la cual ejecutars un FIXMBR.

saludos

ms, 3-11-2009

Mensaje por **msc hotline sat** » 03 Nov 2009, 13:04

A las 13 horas aun no se han recibido tus muestras !

Seguro que fueron interceptadas por el camino.

Envialas de nuevo, y sigue laas instrucciones:

~~[b]~~¿Como enviar las muestras a zonavirus? - Para ello recordar[/b]:

https://foros.zonavirus.com/viewtopic.php?f=5&t=14253

Tras recibir el/los fichero/s, lo/s analizaremos e implementaremos su control y eliminacion, si procede, en nuestras utilidades, de lo cual informaremos

saludos

ms, 3-11-2009

inottoni · Mensaje por **inottoni** » 03 Nov 2009, 20:00

Hola, disculpad que no haya contestado hasta ahora pero no he podido estar delante del ordenador hasta ahora. A continuación pego el resultado del log del sprocess y envío también las muestras solicitadas.

(3-11-2009 18:57:45 GMT)

SProces v4.1 (c)2009 S.G.H. / Satinfo S.L.

-------------------------------------------

Sistema Operativo: Microsoft Windows XP (v5.1.2600) Service Pack 3

Parche MS08-067 (Servicio Servidor) Instalado.

Internet Explorer: (v8.0.6001.18702) 0

Nombre Equipo: ESBRIBIOSCA

Nombre Usuario: USER

Procesos Activos:

C:\WINDOWS\SYSTEM32\SMSS.EXE

C:\WINDOWS\SYSTEM32\WINLOGON.EXE

C:\WINDOWS\SYSTEM32\SERVICES.EXE

C:\WINDOWS\SYSTEM32\LSASS.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\SPOOLSV.EXE

C:\WINDOWS\SYSTEM32\WGATRAY.EXE

C:\WINDOWS\EXPLORER.EXE

C:\ARCHIVOS DE PROGRAMA\INTEL\INTEL MATRIX STORAGE MANAGER\IAANOTIF.EXE

C:\ARCHIV~1\AVG\AVG8\AVGWDSVC.EXE

C:\WINDOWS\RTHDCPL.EXE

C:\WINDOWS\SYSTEM32\RUNDLL32.EXE

C:\ARCHIVOS DE PROGRAMA\CYBERLINK\POWERDVD\PDVDSERV.EXE

C:\WINDOWS\SYSTEM32\BGSVCGEN.EXE

C:\ARCHIVOS DE PROGRAMA\HP\HP SOFTWARE UPDATE\HPWUSCHD2.EXE

C:\ARCHIVOS DE PROGRAMA\BONJOUR\MDNSRESPONDER.EXE

C:\ARCHIVOS DE PROGRAMA\SCANSOFT\OMNIPAGESE4\OPWARESE4.EXE

C:\WINDOWS\SYSTEM32\SPOOL\DRIVERS\W32X86\3\WRTMON.EXE

C:\ARCHIVOS DE PROGRAMA\CYBERLINK\PCM4EVERIO\EVERIOSERVICE.EXE

C:\ARCHIVOS DE PROGRAMA\INTEL\INTEL MATRIX STORAGE MANAGER\IAANTMON.EXE

C:\ARCHIV~1\AVG\AVG8\AVGTRAY.EXE

C:\WINDOWS\SYSTEM32\CTFMON.EXE

C:\WINDOWS\SYSTEM32\NVSVC32.EXE

C:\ARCHIVOS DE PROGRAMA\MESSENGER\MSMSGS.EXE

C:\WINDOWS\SYSTEM32\HPZIPM12.EXE

C:\WINDOWS\SYSTEM32\SPOOL\DRIVERS\W32X86\3\WRTPROC.EXE

C:\ARCHIVOS DE PROGRAMA\CYBERLINK\SHARED FILES\RICHVIDEO.EXE

C:\ARCHIVOS DE PROGRAMA\HP\DIGITAL IMAGING\BIN\HPQTRA08.EXE

C:\ARCHIVOS DE PROGRAMA\MICROSOFT OFFICE\OFFICE\FINDFAST.EXE

C:\ARCHIVOS DE PROGRAMA\MICROSOFT OFFICE\OFFICE\OSA.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\ARCHIV~1\AVG\AVG8\AVGRSX.EXE

C:\ARCHIV~1\AVG\AVG8\AVGNSX.EXE

C:\WINDOWS\SYSTEM32\WUAUCLT.EXE

C:\ARCHIVOS DE PROGRAMA\HP\DIGITAL IMAGING\BIN\HPQSTE08.EXE

C:\DOCUMENTS AND SETTINGS\USER\MIS DOCUMENTOS\GRABAR A CD\SPROCES.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = www.google.es

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local (0)

R3 - URLSearchHook: Microsoft Url Search Hook - {CFBFAE00-17A6-11D0-99CB-00C04FD64497} - C:\WINDOWS\system32\ieframe.dll

F2 - REG:system.ini: UserInit=C:\WINDOWS\SYSTEM32\Userinit.exe,C:\WINDOWS\system32\win32hoot.exe,

O1 - Hosts: 127.0.0.1 localhost

O2 - BHO: AVG Safe Search - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Archivos de programa\AVG\AVG8\avgssie.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.6.0_06\bin\ssv.dll

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [MSMSGS] "C:\Archivos de programa\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [rundll32.exe]

O4 - HKCU\..\Run: [WAB] C:\Documents and Settings\USER\Datos de programa\Macromedia\Common\a795606219.exe

O4 - HKLM\..\Run: [IAAnotif] C:\Archivos De Programa\Intel\Intel Matrix Storage Manager\Iaanotif.exe

O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE

O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE

O4 - Startup: Búsqueda rápida de Microsoft.lnk

O4 - Startup: desktop.ini

O4 - Startup: Inicio de Office.lnk

O4 - Global Startup: desktop.ini

O4 - Global Startup: HP Digital Imaging Monitor.lnk

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office12\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_06\bin\ssv.dll

O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe

O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\Office12\REFIEBAR.DLL

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O16 - DPF: {02BCC737-B171-4746-94C9-0D8A0B2C0089} (Microsoft Office Template and Media Control) - http://office.microsoft.com/templates/ieawsdc.cab

O16 - DPF: {05CA9FB0-3E3E-4B36-BF41-0E3A5CAA8CD8} (Office Genuine Advantage Validation Tool) - http://download.microsoft.com/download/C/B/F/CBF23A2C-3E55-4664-BC5C-762780D79BA0/OGAControl.cab

O16 - DPF: {0742B9EF-8C83-41CA-BFBA-830A59E23533} (Microsoft Data Collection Control) - https://support.microsoft.com/OAS/ActiveX/MSDcode.cab

O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://download.microsoft.com/download/C/0/C/C0CBBA88-A6F2-48D9-9B0E-1719D1177202/LegitCheckControl.cab

O16 - DPF: {54D53429-945C-4188-B460-C81356541882} (SaveImageFiles Class) - http://photosmart.hpphoto.com/Download/HPeServicesLocalPrint.CAB

O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scan8/oscan8.cab

O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Plug-in 1.6.0_06) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_06-windows-i586.cab

O16 - DPF: {CAFEEFAC-0016-0000-0006-ABCDEFFEDCBA} (Java Plug-in 1.6.0_06) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_06-windows-i586.cab

O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} (Java Plug-in 1.6.0_06) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_06-windows-i586.cab

O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Archivos de programa\AVG\AVG8\avgpp.dll

O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Help\hxds.dll

O20 - Winlogon Notify: AVGRSSTARTER - AVGRSSTX.DLL

O20 - Winlogon Notify: DIMSNTFY - %SYSTEMROOT%\SYSTEM32\DIMSNTFY.DLL

O20 - Winlogon Notify: WGALOGON - WGALOGON.DLL

O21 - SSODL: PostBootReminder - {7849596a-48ea-486e-8937-a2a3009f31a9} - %SystemRoot%\system32\SHELL32.dll

O21 - SSODL: CDBurn - {fbeb8a05-beee-4442-804e-409d6c4515e9} - %SystemRoot%\system32\SHELL32.dll

O21 - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - C:\WINDOWS\system32\webcheck.dll

O21 - SSODL: SysTray - {35CEC8A3-2BE6-11D2-8773-92E220524153} - C:\WINDOWS\system32\stobject.dll

O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll

O22 - SharedTaskScheduler: {438755C2-A8BA-11D1-B96B-00A0C90312E1} - Precargador Browseui - %SystemRoot%\system32\browseui.dll

O22 - SharedTaskScheduler: {8C7461EF-2B13-11d2-BE35-3078302C2030} - Demonio de caché de las categorías de componente - %SystemRoot%\system32\browseui.dll

O22 - SharedTaskScheduler: IPC Configuration Utility - IPC Configuration Utility - (no file)

Información Adicional:

----------------------

Listado de Servicios (Carga Automatica):

----------------------------------------

O23 - Service: AVG Free8 WatchDog (avg8wd) - AVG Technologies CZ, s.r.o. - C:\ARCHIV~1\AVG\AVG8\avgwdsvc.exe

O23 - Service: B's Recorder GOLD Library General Service (bgsvcgen) - B.H.A Corporation - C:\WINDOWS\system32\bgsvcgen.exe

O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Archivos de programa\Bonjour\mDNSResponder.exe

**O23 - Service: Iniciador de procesos de servidor DCOM (DcomLaunch) - Unknown owner - C:\WINDOWS\system32\svchost -k DcomLaunch (file missing)

O23 - Service: Intel(R) Matrix Storage Event Monitor (IAANTMON) - Intel Corporation - C:\Archivos De Programa\Intel\Intel Matrix Storage Manager\Iaantmon.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Archivos de programa\CyberLink\Shared Files\RichVideo.exe

**O23 - Service: Llamada a procedimiento remoto (RPC) (RpcSs) - Unknown owner - C:\WINDOWS\system32\svchost -k rpcss (file missing)

Listado de Servicios (Carga Manual):

------------------------------------

**O23 - Service: Servicio del administrador de discos lógicos (dmadmin) - Microsoft Corp., VERITAS Software - C:\WINDOWS\System32\dmadmin.exe

O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Archivos de programa\Archivos comunes\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe

O23 - Service: Controlador de bus de Microsoft UAA para High Definition Audio (HDAudBus) - Windows (R) Server 2003 DDK provider - C:\WINDOWS\SYSTEM32\DRIVERS\HDAudBus.sys

O23 - Service: HP Port Resolver - Hewlett-Packard Company - C:\WINDOWS\system32\spool\drivers\w32x86\3\HPBPRO.EXE

O23 - Service: HP Status Server - Hewlett-Packard Company - C:\WINDOWS\system32\spool\drivers\w32x86\3\HPBOID.EXE

O23 - Service: IEEE-1284.4 Driver HPZid412 (HPZid412) - HP - C:\WINDOWS\SYSTEM32\DRIVERS\HPZid412.sys

O23 - Service: Print Class Driver for IEEE-1284.4 HPZipr12 (HPZipr12) - HP - C:\WINDOWS\SYSTEM32\DRIVERS\HPZipr12.sys

O23 - Service: USB to IEEE-1284.4 Translation Driver HPZius12 (HPZius12) - HP - C:\WINDOWS\SYSTEM32\DRIVERS\HPZius12.sys

O23 - Service: Service for Realtek HD Audio (WDM) (IntcAzAudAddService) - Realtek Semiconductor Corp. - C:\WINDOWS\SYSTEM32\drivers\RtkHDAud.sys

O23 - Service: nv - NVIDIA Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\nv4_mini.sys

O23 - Service: Controlador de vínculo paralelo directo (Ptilink) - Parallel Technologies, Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\ptilink.sys

O23 - Service: Realtek 10/100/1000 NIC Family all in one NDIS XP Driver (RTL8023xp) - Realtek Semiconductor Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\Rtenicxp.sys

O23 - Service: Secdrv - Macrovision Corporation, Macrovision Europe Limited, and Macrovision Japan and Asia K.K. - C:\WINDOWS\SYSTEM32\DRIVERS\secdrv.sys

*O23 - Service: Servicios de Terminal Server (TermService) - Unknown owner - C:\WINDOWS\System32\svchost -k DComLaunch (file missing)

Listado de Servicios (Deshabilitados):

--------------------------------------

**O23 - Service: dmboot - Microsoft Corp., Veritas Software - C:\WINDOWS\SYSTEM32\drivers\dmboot.sys

24 Servicios.

9 de Carga Automatica.

14 de Carga Manual.

1 Deshabilitados.

Mensaje por **msc hotline sat** » 03 Nov 2009, 21:23

Aquí tienes un sospechoso:

C:\Documents and Settings\USER\Datos de programa\Macromedia\Common\a795606219.exe

Envianoslo tambien para analizar, como ya sabes.

saludos

ms, 3-11-2009

ANEXO: Veo que ya te lo habíamos pedido, pues mira si no tienes, y si es así, elimina esta clave:

O4 - HKCU\..\Run: [WAB] C:\Documents and Settings\USER\Datos de programa\Macromedia\Common\a795606219.exe

Para ello, recuerda:

~~[b]~~¿Como enviar las muestras a zonavirus? - Para ello recordar[/b]:

https://foros.zonavirus.com/viewtopic.php?f=5&t=14253

saludos

ms, 3-11-2009

inottoni · Mensaje por **inottoni** » 03 Nov 2009, 22:57

Buenas noches:

He eliminado la clave que me pedíais y he borrado también el archivo en cuestión y parece que el tema de los acentos está solucionado.

En cuanto a la velocidad creo que también si bien prefiero confirmarlo mañana.

Saludos y gracias

Mensaje por **msc hotline sat** » 04 Nov 2009, 06:03

Bien, y cuando recibamos los ficheros solicitados para analizar, implementaremos su control y eliminacion, si procede, en nuestras utilidades, de lo cual informaremos

Mientras, confirmanos que tras reiniciar ya no persista ninguna anomalia, gracias

saludos

ms, 4-11-2009

inottoni · Mensaje por **inottoni** » 04 Nov 2009, 17:08

Hola:

Los problemas se han solucionado, no aparecen los acentos y la velocidad del pc es normal. Las muestras las envié ayer, supongo que se recibieron correctamente.

Saludos y gracias

Mensaje por **msc hotline sat** » 04 Nov 2009, 17:25

Sí, esta tarde subiremos dos utilidades que conviene que pruebes para rematar todos "tus" troyanos, el ELITRIIP y el ELISTARA

[quote]

~~[b]~~ ELITRIIP: [/b]

http://www.zonavirus.com/descargas/elitriip.asp

~~[b]~~ ELISTARA: [/b]

http://www.zonavirus.com/descargas/elistara.asp

Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso
[/quote]

A partir de las 19 h GMT, estarán disponibles en esta web, para pruebas de evaluacion en el foro de zonavirus

saludos

ms, 4-11-2009

inottoni · Mensaje por **inottoni** » 04 Nov 2009, 21:09

Buenas noches:

Pasados los dos programas y resultado:

(27-3-2009 18:49:22)

EliTriIP v5.67 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 20 de Marzo del 2009)

---------------------------------------------

Lista de Acciones (por Acción Directa):

(Valor Run y RunServices "UPDATEWIN")

Por favor, envienos una muestra del fichero

C:\WINDOWS\system32\advpackl.exe

a "virus@satinfo.es". Gracias.

(Valor Run y RunServices "UPDATEWIN")

Por favor, envienos una muestra del fichero

C:\WINDOWS\system32\advpackl.exe

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\ADVPACKL.EXE --> Acceso Denegado.

Entrada Eliminada [HKCU\...\Run] "UpdateWin"="C:\WINDOWS\system32\advpackl.exe"

Entrada Eliminada [HKCU\...\RunServices] "UpdateWin"="C:\WINDOWS\system32\advpackl.exe"

Entrada Eliminada [HKLM\...\Run] "UpdateWin"="C:\WINDOWS\system32\advpackl.exe"

Entrada Eliminada [HKLM\...\RunServices] "UpdateWin"="C:\WINDOWS\system32\advpackl.exe"

No detectado SP3 de Windows XP

Reinicie para Completar la Limpieza.

(27-3-2009 18:51:49)

EliTriIP v5.67 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 20 de Marzo del 2009)

---------------------------------------------

Lista de Acciones (por Acción Directa):

(Valor Run y RunServices "UPDATEWIN")

Por favor, envienos una muestra del fichero

C:\WINDOWS\system32\advpackl.exe

a "virus@satinfo.es". Gracias.

(Valor Run y RunServices "UPDATEWIN")

Por favor, envienos una muestra del fichero

C:\WINDOWS\system32\advpackl.exe

a "virus@satinfo.es". Gracias.

Por favor, envienos una muestra del fichero

C:\Muestras\ADVPACKL.EXE.Muestra EliTriIP v5.67

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\ADVPACKL.EXE --> Eliminado

Entrada Eliminada [HKCU\...\Run] "UpdateWin"="C:\WINDOWS\system32\advpackl.exe"

Entrada Eliminada [HKCU\...\RunServices] "UpdateWin"="C:\WINDOWS\system32\advpackl.exe"

Entrada Eliminada [HKLM\...\Run] "UpdateWin"="C:\WINDOWS\system32\advpackl.exe"

Entrada Eliminada [HKLM\...\RunServices] "UpdateWin"="C:\WINDOWS\system32\advpackl.exe"

No detectado SP3 de Windows XP

(27-3-2009 18:52:02)

EliTriIP v5.67 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 20 de Marzo del 2009)

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"

Nº Total de Directorios: 3974

Nº Total de Ficheros: 43478

Nº de Ficheros Analizados: 13356

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

(3-4-2009 17:48:51)

EliTriIP v5.70 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 3 de Abril del 2009)

---------------------------------------------

Lista de Acciones (por Acción Directa):

No detectado SP3 de Windows XP

(3-4-2009 17:49:06)

EliTriIP v5.70 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 3 de Abril del 2009)

---------------------------------------------

Lista de Acciones (por Acción Directa):

No detectado SP3 de Windows XP

(3-4-2009 17:49:11)

EliTriIP v5.70 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 3 de Abril del 2009)

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"

Nº Total de Directorios: 4010

Nº Total de Ficheros: 45990

Nº de Ficheros Analizados: 13404

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

(3-4-2009 17:53:18)

EliStartPage v18.36 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 3 de Abril del 2009)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Por favor, envienos una muestra del fichero

C:\Muestras\YGOJU.DLL.Muestra EliStartPage v18.36

a "virus@satinfo.es". Gracias.

C:\WINDOWS\YGOJU.DLL --> Eliminado

C:\WINDOWS\SYSTEM32\NTOS.EXE --> Acceso Denegado.

Entrada Eliminada [HKLM\...\Run] "APETOQEZIW"="rundll32.exe "C:\WINDOWS\Ygoju.dll",e"

Entrada Eliminada [HKCU\...\Run] "userinit"="C:\WINDOWS\system32\ntos.exe"

No detectado SP3 de Windows XP

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Reinicie para Completar la Limpieza.

(3-4-2009 17:53:36)

EliStartPage v18.36 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 3 de Abril del 2009)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"

Nº Total de Directorios: 4009

Nº Total de Ficheros: 45796

Nº de Ficheros Analizados: 14417

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

Sistema Infectado por el PWS-NTOS

No Detectada Utilidad "ELINOTIF.DLL" (Necesaria para la Limpieza)

(3-4-2009 17:55:13)

EliStartPage v18.36 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 3 de Abril del 2009)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\SYSTEM32\NTOS.EXE --> Acceso Denegado.

No detectado SP3 de Windows XP

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Reinicie para Completar la Limpieza.

(3-4-2009 17:55:27)

EliStartPage v18.36 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 3 de Abril del 2009)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"

Nº Total de Directorios: 4009

Nº Total de Ficheros: 45796

Nº de Ficheros Analizados: 14417

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

Sistema Infectado por el PWS-NTOS

Instalada Utilidad "ELINOTIF.DLL" (Reinicie de Nuevo para Completar la Limpieza)

EliNotify v1.9.03.30 (c)2009 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones:

Detectado PWS-NTOS

Restaurado Valor "UserInit"

Desinstalado EliNotif.dll

(3-4-2009 17:58:53)

EliStartPage v18.36 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 3 de Abril del 2009)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Por favor, envienos una muestra del fichero

C:\Muestras\NTOS.EXE.Muestra EliStartPage v18.36

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\NTOS.EXE --> Eliminado

Eliminada Carpeta "%WinSys%\Wsnpoem"

No detectado SP3 de Windows XP

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

(3-4-2009 17:59:04)

EliStartPage v18.36 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 3 de Abril del 2009)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"

Nº Total de Directorios: 4006

Nº Total de Ficheros: 45790

Nº de Ficheros Analizados: 14417

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

(9-4-2009 09:16:30)

EliStartPage v18.39 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 8 de Abril del 2009)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

No detectado SP3 de Windows XP

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

(9-4-2009 09:16:44)

EliStartPage v18.39 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 8 de Abril del 2009)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"

C:\Muestras\Muestras\YGOJU.DLL.MUESTRA ELISTARTPAGE V18.36 --> Eliminado, Hiloti

Nº Total de Directorios: 4376

Nº Total de Ficheros: 46508

Nº de Ficheros Analizados: 14452

Nº de Ficheros Infectados: 1

Nº de Ficheros Limpiados: 1

(26-6-2009 18:11:16 (GMT))

EliStartPage v18.90 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 26 de Junio del 2009)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

(Valor Run y RunServices "UPDATEWIN")

Por favor, envienos una muestra del fichero

C:\WINDOWS\system32\aaclientp.exe

a "virus@satinfo.es". Gracias.

(Valor Run y RunServices "UPDATEWIN")

Por favor, envienos una muestra del fichero

C:\WINDOWS\system32\aaclientp.exe

a "virus@satinfo.es". Gracias.

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

(26-6-2009 18:13:49 (GMT))

EliStartPage v18.90 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 26 de Junio del 2009)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"

Nº Total de Directorios: 7697

Nº Total de Ficheros: 91573

Nº de Ficheros Analizados: 35584

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

Sistema Infectado por el Spy.ZBot.GWQ

Instalada Utilidad "ELINOTIF.DLL" (Reinicie de Nuevo para Completar la Limpieza)

EliNotify v1.9.06.26 (c)2009 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones:

Detectado Spy.Zbot.GWQ

Restaurado Valor "UserInit"

Desinstalado EliNotif.dll

(26-6-2009 18:35:16 (GMT))

EliStartPage v18.90 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 26 de Junio del 2009)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

(Valor Run y RunServices "UPDATEWIN")

Por favor, envienos una muestra del fichero

C:\WINDOWS\system32\aaclientp.exe

a "virus@satinfo.es". Gracias.

(Valor Run y RunServices "UPDATEWIN")

Por favor, envienos una muestra del fichero

C:\WINDOWS\system32\aaclientp.exe

a "virus@satinfo.es". Gracias.

Por favor, envienos una muestra del fichero

C:\Muestras\SDRA64.EXE.Muestra EliStartPage v18.90

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\SDRA64.EXE --> Eliminado

Eliminada Carpeta "%WinSys%\Lowsec"

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

(11-8-2009 16:50:48 (GMT))

EliStartPage v19.10 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 24 de Julio del 2009)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

(11-8-2009 16:51:26 (GMT))

EliStartPage v19.10 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 24 de Julio del 2009)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"

Nº Total de Directorios: 8270

Nº Total de Ficheros: 105895

Nº de Ficheros Analizados: 37026

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

(2-11-2009 18:59:52 (GMT))

EliStartPage v19.59 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 30 de Octubre del 2009)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\SYSTEM32\WBEM\PROQUOTA.EXE --> Eliminado Malware.Proquota

Por favor, envienos una muestra del fichero

C:\Muestras\A795606219.EXE.Muestra EliStartPage v19.59

a "virus@satinfo.es". Gracias.

C:\DOCUMENTS AND SETTINGS\USER\DATOS DE PROGRAMA\MACROMEDIA\COMMON\A795606219.EXE --> Eliminado

Por favor, envienos una muestra del fichero

C:\Muestras\A79560621.DLL.Muestra EliStartPage v19.59

a "virus@satinfo.es". Gracias.

C:\DOCUMENTS AND SETTINGS\USER\DATOS DE PROGRAMA\MACROMEDIA\COMMON\A79560621.DLL --> Eliminado

Por favor, envienos una muestra del fichero

C:\Muestras\NVCPL.EXE.Muestra EliStartPage v19.59

a "virus@satinfo.es". Gracias.

C:\WINDOWS\FONTS\NVCPL.EXE --> Eliminado

C:\Documents and Settings\USER\Datos de programa\WIASERVA.LOG --> Eliminado (Fichero Complementario).

Entrada Eliminada [HKCU\...\Run] "rundll32.exe"=""

Entrada Eliminada [HKCU\...\Run] "WAB"="C:\Documents and Settings\USER\Datos de programa\Macromedia\Common\a795606219.exe"

Restaurada Clave: "SafeBoot\Minimal y Network"

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

(2-11-2009 19:07:00 (GMT))

EliStartPage v19.59 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 30 de Octubre del 2009)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"

Nº Total de Directorios: 8519

Nº Total de Ficheros: 107725

Nº de Ficheros Analizados: 37290

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

(2-11-2009 19:37:11) (GMT)

EliTriIP v6.22 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 2 de Noviembre del 2009)

---------------------------------------------

Lista de Acciones (por Acción Directa):

Entrada Eliminada [HKCU\...\Run] "UpdateWin"="C:\WINDOWS\system32\aaclientp.exe"

Entrada Eliminada [HKCU\...\RunServices] "UpdateWin"="C:\WINDOWS\system32\aaclientp.exe"

Entrada Eliminada [HKLM\...\RunServices] "UpdateWin"="C:\WINDOWS\system32\aaclientp.exe"

(2-11-2009 19:37:18) (GMT)

EliTriIP v6.22 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 2 de Noviembre del 2009)

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"

Nº Total de Directorios: 8519

Nº Total de Ficheros: 107717

Nº de Ficheros Analizados: 26191

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

(4-11-2009 19:32:25 (GMT))

EliStartPage v19.62 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 4 de Noviembre del 2009)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Entrada Eliminada [HKCU\...\Run] "rundll32.exe"=""

Entrada Eliminada [HKCU\...\Run] "WAB"="C:\Documents and Settings\USER\Datos de programa\Macromedia\Common\a795606219.exe"

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

(4-11-2009 19:32:42 (GMT))

EliStartPage v19.62 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 4 de Noviembre del 2009)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"

C:\Documents and Settings\Administrador\Datos de programa\Macromedia\Common\A795606219.EXE --> Eliminado, Trojan.Riern.A

C:\Documents and Settings\LocalService\Datos de programa\Macromedia\Common\A795606219.EXE --> Eliminado, Trojan.Riern.A

C:\Documents and Settings\NetworkService\Datos de programa\Macromedia\Common\A795606219.EXE --> Eliminado, Trojan.Riern.A

C:\Muestras\A79560621.DLL.MUESTRA ELISTARTPAGE V19.59 --> Eliminado, Trojan.Riern.A(dll)

C:\Muestras\A795606219.EXE.MUESTRA ELISTARTPAGE V19.59 --> Eliminado, Trojan.Riern.A

C:\Muestras\NVCPL.EXE.MUESTRA ELISTARTPAGE V19.59 --> Eliminado, Trojan.Scar.AFGD

Nº Total de Directorios: 8526

Nº Total de Ficheros: 107664

Nº de Ficheros Analizados: 37312

Nº de Ficheros Infectados: 6

Nº de Ficheros Limpiados: 6

(4-11-2009 19:53:54) (GMT)

EliTriIP v6.24 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 4 de Noviembre del 2009)

---------------------------------------------

Lista de Acciones (por Acción Directa):

(4-11-2009 19:53:55) (GMT)

EliTriIP v6.24 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 4 de Noviembre del 2009)

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"

C:\Muestras\ADVPACKL.EXE.Muestra EliTriIP v5.67 --> Eliminado, IRCBot.ARB

Nº Total de Directorios: 8526

Nº Total de Ficheros: 107650

Nº de Ficheros Analizados: 26219

Nº de Ficheros Infectados: 1

Nº de Ficheros Limpiados: 1

Saludos y gracias por ayudarme

Mensaje por **lucl** » 04 Nov 2009, 22:52

Pues hubo suerte y se soluciono rapido :) , y asi cerramos el tema dandolo por solucionado si nos necesitas de nuevo ya sabes donde estamos saludos.

Mensaje por **msc hotline sat** » 05 Nov 2009, 07:26

Bueno lucl, rápido... es un decir :) ! Hicieron falta 20 post para detectar , controlar y eliminar una serie de nuevas variantes de malwares, Riern, Scar, ZBOT, Proquota, PWS-NTOS, etc, posiblemente descargados por algún Bredolab, que están de moda...

Costó lo suyo, pero la cuestión es que lo logramos ! [url=http://forum.telecharger.01net.com]

[img]http://forum.telecharger.01net.com/data/units/microhebdo/smilies/65.gif[/img][/url]

saludos y hasta otra, inottoni

ms, 5-11-2009

PROBLEMAS CON ACENTOS (SOLUCIONADO)

PROBLEMAS CON ACENTOS (SOLUCIONADO)

Re: PROBLEMAS CON ACENTOS

Re: PROBLEMAS CON ACENTOS

Re: PROBLEMAS CON ACENTOS

Re: PROBLEMAS CON ACENTOS

Re: PROBLEMAS CON ACENTOS

Re: PROBLEMAS CON ACENTOS

Re: PROBLEMAS CON ACENTOS

Re: PROBLEMAS CON ACENTOS

Re: PROBLEMAS CON ACENTOS

Re: PROBLEMAS CON ACENTOS

Re: PROBLEMAS CON ACENTOS

Re: PROBLEMAS CON ACENTOS

Re: PROBLEMAS CON ACENTOS

Re: PROBLEMAS CON ACENTOS

Re: PROBLEMAS CON ACENTOS

Re: PROBLEMAS CON ACENTOS

Re: PROBLEMAS CON ACENTOS

Re: PROBLEMAS CON ACENTOS

Re: PROBLEMAS CON ACENTOS

Re: PROBLEMAS CON ACENTOS

Re: PROBLEMAS CON ACENTOS (SOLUCIONADO)