posteo infosat

[gepam]

A continuacion os posteo el resultado del analisis (infosat.txt). Comentaros que segun se me indico intente enviar, de la carpeta generada con el nombre muestras, el archivo SDR64.exe pero el correo me indico que contenia un virus y que podía infectar a otros no permitiendo que lo adjuntara. Al acabar de pasar el ElistarA no habia descargado el Elinotif.dll y tuve que hacer despues de una segunda pasada. Indicaros que al reiniciar me aparecio un pantallazo azul notificando de un error grave que no apunte y despues intentaba encender el ordenador, pero este hacia el amago de encender pero al segundo se apagaba. Al cabo de cuatro intentos logre encenderlo. Como decia al principio pego el infosat y ya me direis que hago con el archivo SDR64.

(1-12-2005 23:44:42 (GMT))

EliStartPage v19.78 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 26 de Noviembre del 2009)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

C:\DOCUMENTS AND SETTINGS\ADMINISTRADOR\CONFIGURACIóN LOCAL\DATOS DE PROGRAMA\PRUWF.EXE --> Eliminado NaviPromo(dr)

C:\DOCUMENTS AND SETTINGS\ADMINISTRADOR\CONFIGURACIóN LOCAL\DATOS DE PROGRAMA\PRUWF_NAVPS.DAT --> Eliminado

C:\DOCUMENTS AND SETTINGS\ADMINISTRADOR\CONFIGURACIóN LOCAL\DATOS DE PROGRAMA\PRUWF.DAT --> Eliminado

C:\WINDOWS\SYSTEM32\SDRA64.EXE --> Acceso Denegado.

C:\WINDOWS\ALCMTR.EXE --> Eliminado SpyRealtek

C:\WINDOWS\Tasks\At1.job --> Eliminado (Fichero Complementario).

C:\WINDOWS\Tasks\At2.job --> Eliminado (Fichero Complementario).

C:\WINDOWS\Tasks\At3.job --> Eliminado (Fichero Complementario).

C:\WINDOWS\Tasks\At4.job --> Eliminado (Fichero Complementario).

C:\WINDOWS\Tasks\At5.job --> Eliminado (Fichero Complementario).

C:\WINDOWS\Tasks\At6.job --> Eliminado (Fichero Complementario).

C:\WINDOWS\Tasks\At7.job --> Eliminado (Fichero Complementario).

C:\WINDOWS\Tasks\At8.job --> Eliminado (Fichero Complementario).

C:\WINDOWS\Tasks\At9.job --> Eliminado (Fichero Complementario).

C:\WINDOWS\Tasks\At10.job --> Eliminado (Fichero Complementario).

C:\WINDOWS\Tasks\At11.job --> Eliminado (Fichero Complementario).

C:\WINDOWS\Tasks\At12.job --> Eliminado (Fichero Complementario).

C:\WINDOWS\Tasks\At13.job --> Eliminado (Fichero Complementario).

C:\WINDOWS\Tasks\At14.job --> Eliminado (Fichero Complementario).

C:\WINDOWS\Tasks\At15.job --> Eliminado (Fichero Complementario).

C:\WINDOWS\Tasks\At16.job --> Eliminado (Fichero Complementario).

C:\WINDOWS\Tasks\At17.job --> Eliminado (Fichero Complementario).

C:\WINDOWS\Tasks\At18.job --> Eliminado (Fichero Complementario).

C:\WINDOWS\Tasks\At19.job --> Eliminado (Fichero Complementario).

C:\WINDOWS\Tasks\At20.job --> Eliminado (Fichero Complementario).

C:\WINDOWS\Tasks\At21.job --> Eliminado (Fichero Complementario).

C:\WINDOWS\Tasks\At22.job --> Eliminado (Fichero Complementario).

C:\WINDOWS\Tasks\At23.job --> Eliminado (Fichero Complementario).

C:\WINDOWS\Tasks\At24.job --> Eliminado (Fichero Complementario).

Entrada Eliminada [HKCU\...\Run] "PRUWF"=""c:\documents and settings\administrador\configuración local\datos de programa\pruwf.exe" pruwf"

Entrada Eliminada [HKLM\...\Run] "Alcmtr"="ALCMTR.EXE"

Eliminada Carpeta "%Archivos de Programa%\Antivirus 2009"

Eliminada Carpeta "%MenuInicio%\Antivirus 2009"

No detectado Parche MS08-067 de Microsoft instalado. (SServidor)

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Reinicie para Completar la Limpieza.



(1-12-2005 23:47:59 (GMT))

EliStartPage v19.78 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 26 de Noviembre del 2009)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"

C:\Archivos de programa\Realtek\InstallShield\ALCMTR.EXE --> Eliminado, SpyRealtek

C:\Documents and Settings\Administrador\Datos de programa\WINDOW STOP LIVE\TOOLVIEW.EXE --> Eliminado, Swizzor(lop)

C:\Documents and Settings\Administrador\Escritorio\DRIVERS\FSC_ALC885AudioDeviceDriver_51005307_1007789\5307_PG219_ExceptALC882_UAAV10a-5013\WDM\ALCMTR.EXE --> Eliminado, SpyRealtek

C:\Documents and Settings\All Users\Datos de programa\Move Bore Curb Tool\TICK GLOBAL.EXE --> Eliminado, Swizzor(lop)



Nº Total de Directorios: 6108

Nº Total de Ficheros: 57777

Nº de Ficheros Analizados: 16713

Nº de Ficheros Infectados: 4

Nº de Ficheros Limpiados: 4

Sistema Infectado por el Spy.ZBot.GWQ

Sistema Infectado por el Spy.ZBot.MSxx32

No Detectada Utilidad "ELINOTIF.DLL" (Necesaria para la Limpieza)



(2-12-2005 0:18:44 (GMT))

EliStartPage v19.78 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 26 de Noviembre del 2009)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\SYSTEM32\SDRA64.EXE --> Acceso Denegado.

C:\WINDOWS\SYSTEM32\SDRA64.EXE --> Acceso Denegado.

No detectado Parche MS08-067 de Microsoft instalado. (SServidor)

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Reinicie para Completar la Limpieza.



(2-12-2005 0:20:57 (GMT))

EliStartPage v19.78 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 26 de Noviembre del 2009)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"



Nº Total de Directorios: 6149

Nº Total de Ficheros: 57749

Nº de Ficheros Analizados: 16709

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

Sistema Infectado por el Spy.ZBot.GWQ

Sistema Infectado por el Spy.ZBot.MSxx32

Instalada Utilidad "ELINOTIF.DLL" (Reinicie de Nuevo para Completar la Limpieza)



EliNotify v1.9.11.12 (c)2009 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones:

Detectado Spy.Zbot.GWQ

Restaurado Valor "UserInit"

Detectado Spy.ZBot.MSxx32

Restaurado Valor "UserInit"

Desinstalado EliNotif.dll



(1-12-2005 23:07:04 (GMT))

EliStartPage v19.78 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 26 de Noviembre del 2009)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Por favor, envienos una muestra del fichero

C:\Muestras\SDRA64.EXE.Muestra EliStartPage v19.78

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\SDRA64.EXE --> Eliminado

Eliminada Carpeta "%WinSys%\Lowsec"

No detectado Parche MS08-067 de Microsoft instalado. (SServidor)

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



(1-12-2005 23:07:28 (GMT))

EliStartPage v19.78 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 26 de Noviembre del 2009)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"



Nº Total de Directorios: 6150

Nº Total de Ficheros: 57763

Nº de Ficheros Analizados: 16710

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

[msc hotline sat]

Arranca en modo seguroy empaqueta con el WINZIP o WINRAR, en modo avanzado, el fichero indicado y ponle password virus



Por favor, envienos una muestra del fichero

C:\Muestras\SDRA64.EXE.Muestra EliStartPage v19.78



Asi luego podrás enviar dicho RAR por el método convencional de ENVIO DE MUESTRAS





Y ya has visto que el NAVIPROMO, los SWIZZORS y un FAKE ALERT han sido eliminados por el actual ELISTARA



Ahora solo queda este que es un ROOTKITde la familia ZBOT, si nos lo envias, mañana lo analizaremos y entre el ELISTARA de mañana 19.79 y el ELINOTIF lo podrás eliminar.



saludos



ms, 26-11-2009







NOTA: Y parece que te faltan parches:



[b][i]No detectado Parche MS08-067 de Microsoft instalado. (SServidor)[/i][/b]



Lanza un windowsupdate e instala los quye encuentre a faltar. ms.

[msc hotline sat]

Recibida muestra del SDRA64.EXE (nueva variante del ZBOT)



Hoy mismo subiremos nueva version del ELISTARA que ya lo controlará , para lo cual deberás copiar el ELISTARA descargado a partir de las 15 horas de hoy y el ELINOTIF en una misma carpeta, lanzar desde alli el ELISTARA y tras acabar, pulsar en SALIR y reiniciar, con lo cual será eliminado este virus.




[quote]
[b] ELISTARA: [/b]

http://www.zonavirus.com/descargas/elistara.asp



[b] ELINOTIF.DLL:[/b]

http://www.zonavirus.com/descargas/elinotif.asp



Descargue las dos en una misma carpeta y pruebe el ELISTARA, y tras reiniciar y posteenos el contenido de C:\infosat.txt para ver el resultado del proceso
[/quote]



A partir de las 15 h GMT, estará disponible en esta web, para pruebas de evaluacion en el foro de zonavirus



saludos



ms, 27-11-2009

[gepam]

copio resultados infosat para que comprobeis que todo esta bien. Antes comentaros que cuando me pedisteis que enviara muestras de archivos sospechosos hubo un temporal que no encontre, posiblemente fue borrado y un tal gotigf.dll que en la ruta que me especificastis no lo encontre aunque si en el registro de windows: clave HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows Valor appinit_dll "gotigf.dll"

segun prevx lo reportan relacionado a un programa fraudulento de seguridad. ¿Me recomendais que elimine el valor o lo deje en blanco ""?

Comentaros tambien que con el avg no ha detectado nada, con el nod32 ha detectado lo siguiente:C:\WINDOWS\system32\brtdifun.ini - Win32/Adware.Virtumonde.NEO aplicación - no se ha podido desinfectar - archivo eliminado - puesto en Cuarentena [1]

C:\WINDOWS\system32\enkqiqnu.ini - Win32/Adware.Virtumonde.NEO aplicación - no se ha podido desinfectar - archivo eliminado - puesto en Cuarentena [1]

C:\WINDOWS\system32\enmnpbxw.ini - Win32/Adware.Virtumonde.NEO aplicación - no se ha podido desinfectar - archivo eliminado - puesto en Cuarentena [1]

C:\WINDOWS\system32\okogjnre.ini - Win32/Adware.Virtumonde.NEO aplicación - no se ha podido desinfectar - archivo eliminado - puesto en Cuarentena [1]

C:\WINDOWS\system32\wDgNWvut.ini - Win32/Adware.Virtumonde.NEO aplicación - no se ha podido desinfectar - archivo eliminado - puesto en Cuarentena [1]

C:\WINDOWS\system32\wDgNWvut.ini2 - Win32/Adware.Virtumonde.NEO aplicación - no se ha podido desinfectar - archivo eliminado - puesto en Cuarentena [1]

C:\WINDOWS\system32\wrjxeyfv.ini - Win32/Adware.Virtumonde.NEO aplicación - no se ha podido desinfectar - archivo eliminado - puesto en Cuarentena [1]

C:\Archivos de programa\Unlocker\eBay_shortcuts_1016.exe » NSIS » eBayShortcuts.exe - una variante de Win32/Adware.ADON aplicación potencialmente indeseable - era parte de un objeto eliminado

y con el prevx ha detectado 2 high risk worm. dspdsblr.exe y dspfnshr.exe en c: y 2 medium risk malware mealslowhide.exe en Windows stop live y el ultimo elistarA que me descargue el 19.79 os envio muestra de ello. A continuacion copio infosat:



(1-12-2005 23:44:42 (GMT))

EliStartPage v19.78 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 26 de Noviembre del 2009)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

C:\DOCUMENTS AND SETTINGS\ADMINISTRADOR\CONFIGURACIóN LOCAL\DATOS DE PROGRAMA\PRUWF.EXE --> Eliminado NaviPromo(dr)

C:\DOCUMENTS AND SETTINGS\ADMINISTRADOR\CONFIGURACIóN LOCAL\DATOS DE PROGRAMA\PRUWF_NAVPS.DAT --> Eliminado

C:\DOCUMENTS AND SETTINGS\ADMINISTRADOR\CONFIGURACIóN LOCAL\DATOS DE PROGRAMA\PRUWF.DAT --> Eliminado

C:\WINDOWS\SYSTEM32\SDRA64.EXE --> Acceso Denegado.

C:\WINDOWS\ALCMTR.EXE --> Eliminado SpyRealtek

C:\WINDOWS\Tasks\At1.job --> Eliminado (Fichero Complementario).

C:\WINDOWS\Tasks\At2.job --> Eliminado (Fichero Complementario).

C:\WINDOWS\Tasks\At3.job --> Eliminado (Fichero Complementario).

C:\WINDOWS\Tasks\At4.job --> Eliminado (Fichero Complementario).

C:\WINDOWS\Tasks\At5.job --> Eliminado (Fichero Complementario).

C:\WINDOWS\Tasks\At6.job --> Eliminado (Fichero Complementario).

C:\WINDOWS\Tasks\At7.job --> Eliminado (Fichero Complementario).

C:\WINDOWS\Tasks\At8.job --> Eliminado (Fichero Complementario).

C:\WINDOWS\Tasks\At9.job --> Eliminado (Fichero Complementario).

C:\WINDOWS\Tasks\At10.job --> Eliminado (Fichero Complementario).

C:\WINDOWS\Tasks\At11.job --> Eliminado (Fichero Complementario).

C:\WINDOWS\Tasks\At12.job --> Eliminado (Fichero Complementario).

C:\WINDOWS\Tasks\At13.job --> Eliminado (Fichero Complementario).

C:\WINDOWS\Tasks\At14.job --> Eliminado (Fichero Complementario).

C:\WINDOWS\Tasks\At15.job --> Eliminado (Fichero Complementario).

C:\WINDOWS\Tasks\At16.job --> Eliminado (Fichero Complementario).

C:\WINDOWS\Tasks\At17.job --> Eliminado (Fichero Complementario).

C:\WINDOWS\Tasks\At18.job --> Eliminado (Fichero Complementario).

C:\WINDOWS\Tasks\At19.job --> Eliminado (Fichero Complementario).

C:\WINDOWS\Tasks\At20.job --> Eliminado (Fichero Complementario).

C:\WINDOWS\Tasks\At21.job --> Eliminado (Fichero Complementario).

C:\WINDOWS\Tasks\At22.job --> Eliminado (Fichero Complementario).

C:\WINDOWS\Tasks\At23.job --> Eliminado (Fichero Complementario).

C:\WINDOWS\Tasks\At24.job --> Eliminado (Fichero Complementario).

Entrada Eliminada [HKCU\...\Run] "PRUWF"=""c:\documents and settings\administrador\configuración local\datos de programa\pruwf.exe" pruwf"

Entrada Eliminada [HKLM\...\Run] "Alcmtr"="ALCMTR.EXE"

Eliminada Carpeta "%Archivos de Programa%\Antivirus 2009"

Eliminada Carpeta "%MenuInicio%\Antivirus 2009"

No detectado Parche MS08-067 de Microsoft instalado. (SServidor)

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Reinicie para Completar la Limpieza.



(1-12-2005 23:47:59 (GMT))

EliStartPage v19.78 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 26 de Noviembre del 2009)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"

C:\Archivos de programa\Realtek\InstallShield\ALCMTR.EXE --> Eliminado, SpyRealtek

C:\Documents and Settings\Administrador\Datos de programa\WINDOW STOP LIVE\TOOLVIEW.EXE --> Eliminado, Swizzor(lop)

C:\Documents and Settings\Administrador\Escritorio\DRIVERS\FSC_ALC885AudioDeviceDriver_51005307_1007789\5307_PG219_ExceptALC882_UAAV10a-5013\WDM\ALCMTR.EXE --> Eliminado, SpyRealtek

C:\Documents and Settings\All Users\Datos de programa\Move Bore Curb Tool\TICK GLOBAL.EXE --> Eliminado, Swizzor(lop)



Nº Total de Directorios: 6108

Nº Total de Ficheros: 57777

Nº de Ficheros Analizados: 16713

Nº de Ficheros Infectados: 4

Nº de Ficheros Limpiados: 4

Sistema Infectado por el Spy.ZBot.GWQ

Sistema Infectado por el Spy.ZBot.MSxx32

No Detectada Utilidad "ELINOTIF.DLL" (Necesaria para la Limpieza)



(2-12-2005 0:18:44 (GMT))

EliStartPage v19.78 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 26 de Noviembre del 2009)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\SYSTEM32\SDRA64.EXE --> Acceso Denegado.

C:\WINDOWS\SYSTEM32\SDRA64.EXE --> Acceso Denegado.

No detectado Parche MS08-067 de Microsoft instalado. (SServidor)

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Reinicie para Completar la Limpieza.



(2-12-2005 0:20:57 (GMT))

EliStartPage v19.78 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 26 de Noviembre del 2009)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"



Nº Total de Directorios: 6149

Nº Total de Ficheros: 57749

Nº de Ficheros Analizados: 16709

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

Sistema Infectado por el Spy.ZBot.GWQ

Sistema Infectado por el Spy.ZBot.MSxx32

Instalada Utilidad "ELINOTIF.DLL" (Reinicie de Nuevo para Completar la Limpieza)



EliNotify v1.9.11.12 (c)2009 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones:

Detectado Spy.Zbot.GWQ

Restaurado Valor "UserInit"

Detectado Spy.ZBot.MSxx32

Restaurado Valor "UserInit"

Desinstalado EliNotif.dll



(1-12-2005 23:07:04 (GMT))

EliStartPage v19.78 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 26 de Noviembre del 2009)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Por favor, envienos una muestra del fichero

C:\Muestras\SDRA64.EXE.Muestra EliStartPage v19.78

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\SDRA64.EXE --> Eliminado

Eliminada Carpeta "%WinSys%\Lowsec"

No detectado Parche MS08-067 de Microsoft instalado. (SServidor)

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



(1-12-2005 23:07:28 (GMT))

EliStartPage v19.78 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 26 de Noviembre del 2009)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"



Nº Total de Directorios: 6150

Nº Total de Ficheros: 57763

Nº de Ficheros Analizados: 16710

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



(28-11-2009 17:38:46 (GMT))

EliStartPage v19.79 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 27 de Noviembre del 2009)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



(28-11-2009 17:39:07 (GMT))

EliStartPage v19.79 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 27 de Noviembre del 2009)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"

C:\Muestras\SDRA64.EXE.MUESTRA ELISTARTPAGE V19.78 --> Eliminado, Spy.ZBot.GWQ



Nº Total de Directorios: 6194

Nº Total de Ficheros: 58082

Nº de Ficheros Analizados: 16826

Nº de Ficheros Infectados: 1

Nº de Ficheros Limpiados: 1



(28-11-2009 21:07:47 (GMT))

EliStartPage v19.79 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 27 de Noviembre del 2009)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

[lucl]

En el log de infosat vemos que el analisis del dia 27 no esta terminado, te falta la exploracion por favor pasalo de nuevo y copianos el infosat o si te lo dejaste sin copiar peganoslo gracias saludos

[msc hotline sat]

Bueno, vemos que en el post anterior hay un infosat posterior en elí que hizo la exploración y además con buen resultado:


[quote]28-11-2009 17:39:07 (GMT))

EliStartPage v19.79 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 27 de Noviembre del 2009)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"

C:\Muestras\SDRA64.EXE.MUESTRA ELISTARTPAGE V19.78 --> Eliminado, Spy.ZBot.GWQ



Nº Total de Directorios: 6194

Nº Total de Ficheros: 58082

Nº de Ficheros Analizados: 16826

Nº de Ficheros Infectados: 1

Nº de Ficheros Limpiados: 1[/quote]

Así que ya detectamos y eliminamos totalmente el RootKit en cuestion, gracias a que anteriormente ya se usó el ELISTARA con el ELINOTIF y solo quedaba controlar por cadenas la nueva variante, lo cual hemos comprobado con su post de la version 19.79



Esperamos que ya se haya resuelto, pero tras reiniciar rogamos nos confirmes que no persiste ninguna anomalía y podemos dar por solucionado el Tema, gracias



saludos



ms, 29-11-2009

[gepam]

De momento parece ir todo bien. Unicamente unas dudas que inclui en el anterior mensaje y de las que no me habeis comentado nada. Lo copio acontinuación pues, por lo largo del anteior mensaje, quizas se os paso por alto.:



Comentaros que cuando me pedisteis que enviara muestras de archivos sospechosos hubo un temporal que no encontre, posiblemente fue borrado y un tal gotigf.dll que en la ruta que me especificastis no lo encontre aunque si en el registro de windows: clave HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows Valor appinit_dll "gotigf.dll"

segun prevx lo reportan relacionado a un programa fraudulento de seguridad. ¿Me recomendais que elimine el valor o lo deje en blanco ""?

Comentaros tambien que con el avg no ha detectado nada, con el nod32 ha detectado lo siguiente:C:\WINDOWS\system32\brtdifun.ini - Win32/Adware.Virtumonde.NEO aplicación - no se ha podido desinfectar - archivo eliminado - puesto en Cuarentena [1]

C:\WINDOWS\system32\enkqiqnu.ini - Win32/Adware.Virtumonde.NEO aplicación - no se ha podido desinfectar - archivo eliminado - puesto en Cuarentena [1]

C:\WINDOWS\system32\enmnpbxw.ini - Win32/Adware.Virtumonde.NEO aplicación - no se ha podido desinfectar - archivo eliminado - puesto en Cuarentena [1]

C:\WINDOWS\system32\okogjnre.ini - Win32/Adware.Virtumonde.NEO aplicación - no se ha podido desinfectar - archivo eliminado - puesto en Cuarentena [1]

C:\WINDOWS\system32\wDgNWvut.ini - Win32/Adware.Virtumonde.NEO aplicación - no se ha podido desinfectar - archivo eliminado - puesto en Cuarentena [1]

C:\WINDOWS\system32\wDgNWvut.ini2 - Win32/Adware.Virtumonde.NEO aplicación - no se ha podido desinfectar - archivo eliminado - puesto en Cuarentena [1]

C:\WINDOWS\system32\wrjxeyfv.ini - Win32/Adware.Virtumonde.NEO aplicación - no se ha podido desinfectar - archivo eliminado - puesto en Cuarentena [1]

C:\Archivos de programa\Unlocker\eBay_shortcuts_1016.exe » NSIS » eBayShortcuts.exe - una variante de Win32/Adware.ADON aplicación potencialmente indeseable - era parte de un objeto eliminado

y con el prevx ha detectado 2 high risk worm. dspdsblr.exe y dspfnshr.exe en c: y 2 medium risk malware mealslowhide.exe en Windows stop live y el ultimo elistarA que me descargue el 19.79 os envio muestra de ello.



Gracias por todo.

[msc hotline sat]

Si ya no está el fichero, no es problema, pero elimina la clave que dices, ya que además el PrevX lo considera malicioso:



http://www.prevx.com/filenames/X339814391325480314-X1/GOTIGF.DLL.html





y lo demas pueden ser restos que si ya estan en cuarentena, puedes olvidarlos



solo estos que indicas al final, si has enviado muestras, tras analizarlas informaremos



saludos



ms, 30-11-2009