el antivirus me dice que tengo un troyano infostealer. banker. (SOLUCIONADO)

[GINEBRA]

hola, mi antivirus dice que tengo un troyano , concretamente el infostealer.Banker, no tengo ni idea de cómo eliminarlo, me podeis ayudar? gracias

[julibaga]

Bájate el [b][url=http://www.zonavirus.com/descargas/elistara.asp]Elistara[/url][/b]. Lo ejecutas y cuando termine abres el archivo [b]c:\infosat.txt[/b], copias el contenido y lo pegas en tu siguiente post para ver los resultados y nos comentas si quedaron solucionados los problemas.



Y para ver los procesos bájate el [b][url=http://www.zonavirus.com/descargas/sproces.asp]SProcess[/url][/b] (herramienta de investigación) y lo ejecutas. Tras pulsar en SALIR, postea el contenido del [b]c:\sproclog.txt[/b] con un copiar y pegar.

[msc hotline sat]

Y como que puede tratarse de una variante de ZBOT, ver si en el infosat.txt pide el ELINOTIF.DLL, en cuyo caso descargarlo y guardarlo en la misma carpeta que el ELISTARA.EXE y volver a probar este último y al final reiniciar para completar la limpieza.



ELINOTIF.DLL

http://www.zonavirus.com/descargas/elinotif.asp



Ver este informe al respecto: http://www.threatexpert.com/threats/infostealer-banker-c.html



saludos



ms, 6-2-2010

RES

[GINEBRA]

imposible descargar el elistara.. no me deja, me sale una pantallita diciendo que es un virus.

[GINEBRA]

además me sale directamente la opción de descargarlo, de forma gratuita, sin tener que mandar ningun sms...no me deja ejecutarlo me aparece una pantalla de norton que dice q es un troyano y que no se puede ejecutar el archivo..

[GINEBRA]

tendría que tener mi antivirus de norton desactivado??? no entiendo qué pasa, me ha dejado descargar el programa pero no me deja ejecutarlo,sigue saliendo la pantallita que me informa de que es un troyano.......q desesperación!! :(

[GINEBRA]

y se me olvidò deciros que cuando encendí mi ordenador esta mañana restaure el sistema a una fecha anterior a la que se supone que me entro el virus...

[GINEBRA]

esta vez he descargado el elistara despues de recibir mi código via sms y sigo en la misma situación, no me deja ejecutarlo y aparece la pantallita diciendo que es un virus.......... :(

[msc hotline sat]

Seguramente tienes residente un antivirus con falsos positivos, como indicamos en :



https://foros.zonavirus.com/viewtopic.php?f=5&t=26228



Desactiva tu antivirus o simplemente arranca en modo seguro y asi estarás libre de virus y de antivirus, y podrás probar el ELISTARA sin incordios



No te olvides de postearnos el contenido de c:\infosat.txt



Y aunque restaurases a un punto anterior, ello te restablece el sistema a dicha fecha, incluyendo los virus que pudieras tener entonces, asi que veamos el infome...



saludos





ms, 6-2-2010

[GINEBRA]

esto es lo que me sale





(7-2-2010 9:27:02 (GMT))

EliStartPage v20.27 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 5 de Febrero del 2010)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Por favor, envienos una muestra del fichero

C:\Muestras\LAEURHF.EXE.Muestra EliStartPage v20.27

a "virus@satinfo.es". Gracias.

C:\DOCUMENTS AND SETTINGS\USER\CONFIGURACIóN LOCAL\DATOS DE PROGRAMA\LAEURHF.EXE --> Eliminado

C:\DOCUMENTS AND SETTINGS\USER\CONFIGURACIóN LOCAL\DATOS DE PROGRAMA\LAEURHF_NAVPS.DAT --> Eliminado

C:\DOCUMENTS AND SETTINGS\USER\CONFIGURACIóN LOCAL\DATOS DE PROGRAMA\LAEURHF.DAT --> Eliminado

D:\DESKTOP.INI --> Eliminado (Fichero Complementario).

Entrada Eliminada [HKCU\...\Run] "LAEURHF"=""c:\documents and settings\user\configuración local\datos de programa\laeurhf.exe" laeurhf"

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



(7-2-2010 9:28:06 (GMT))

EliStartPage v20.27 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 5 de Febrero del 2010)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"



Nº Total de Directorios: 5969

Nº Total de Ficheros: 69429

Nº de Ficheros Analizados: 21591

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



(7-2-2010 9:37:33 (GMT))

EliStartPage v20.27 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 5 de Febrero del 2010)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"



Nº Total de Directorios: 5969

Nº Total de Ficheros: 69429

Nº de Ficheros Analizados: 21591

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

[GINEBRA]

y esto es ek SProcLog





(7-2-2010 10:05:09 GMT)

SProces v4.3 (c)2009 S.G.H. / Satinfo S.L.

-------------------------------------------

Sistema Operativo: Microsoft Windows XP (v5.1.2600) Service Pack 3

Parche MS08-067 (Servicio Servidor) Instalado.

Internet Explorer: (v8.0.6001.18702) 0

Nombre Equipo: YOUR-8B25165182

Nombre Usuario: user



Procesos Activos:

C:\WINDOWS\SYSTEM32\SMSS.EXE

C:\WINDOWS\SYSTEM32\WINLOGON.EXE

C:\WINDOWS\SYSTEM32\SERVICES.EXE

C:\WINDOWS\SYSTEM32\LSASS.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\EXPLORER.EXE

C:\WINDOWS\SYSTEM32\CTFMON.EXE

C:\ARCHIVOS DE PROGRAMA\INTERNET EXPLORER\IEXPLORE.EXE

C:\ARCHIVOS DE PROGRAMA\INTERNET EXPLORER\IEXPLORE.EXE

C:\DOCUMENTS AND SETTINGS\USER\ESCRITORIO\SPROCES.EXE



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch

R3 - URLSearchHook: Microsoft Url Search Hook - {CFBFAE00-17A6-11D0-99CB-00C04FD64497} - C:\WINDOWS\system32\ieframe.dll

F2 - REG:system.ini: UserInit=C:\WINDOWS\SYSTEM32\Userinit.exe,

O1 - Hosts: 127.0.0.1 localhost

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll

O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Archivos de programa\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll

O2 - BHO: Windows Live Family Safety Browser Helper Class - {4f3ed5cd-0726-42a9-87f5-d13f3d2976ac} - C:\Archivos de programa\Windows Live\Family Safety\fssbho.dll

O2 - BHO: Click-to-Call BHO - {5C255C8A-E604-49b4-9D64-90988571CECB} - C:\Archivos de programa\Windows Live\Messenger\wlchtc.dll

O2 - BHO: Search Helper - {6EBF7485-159F-4bff-A14F-B9E3AAC4465B} - C:\Archivos de programa\Microsoft\Search Enhancement Pack\Search Helper\SEPsearchhelperie.dll

O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: CNavExtBho Class - {A8F38D8D-E480-4D52-B7A2-731BB6995FDD} - C:\Archivos de programa\Norton Internet Security\Norton AntiVirus\NavShExt.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Archivos de programa\Google\Google Toolbar\GoogleToolbar.dll

O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Archivos de programa\Google\GoogleToolbarNotifier\5.4.4525.1752\swg.dll

O2 - BHO: Google Dictionary Compression sdch - {C84D72FE-E17D-4195-BB24-76C02E2E7C4E} - C:\Archivos de programa\Google\Google Toolbar\Component\fastsearch_219B3E1547538286.dll

O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Archivos de programa\Java\jre6\bin\jp2ssv.dll

O2 - BHO: Windows Live Toolbar Helper - {E15A8DC0-8516-42A1-81EA-DC94EC1ACF10} - C:\Archivos de programa\Windows Live\Toolbar\wltcore.dll

O2 - BHO: JQSIEStartDetectorImpl Class - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Archivos de programa\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll

O3 - Toolbar: Norton AntiVirus - {C4069E3A-68F1-403E-B40E-20066696354B} - C:\Archivos de programa\Norton Internet Security\Norton AntiVirus\NavShExt.dll

O3 - Toolbar: &Windows Live Toolbar - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - C:\Archivos de programa\Windows Live\Toolbar\wltcore.dll

O3 - Toolbar: &Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Archivos de programa\Google\Google Toolbar\GoogleToolbar.dll

O3 - Toolbar: ScriptInocUI Class - - (no file)

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [swg] "C:\Archivos de programa\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe"

O4 - HKCU\..\Run: [MsnMsgr] "C:\Archivos de programa\Windows Live\Messenger\MsnMsgr.Exe" /background

O4 - HKCU\..\Run: [Skype] "C:\Archivos de programa\Skype\Phone\Skype.exe" /nosplash /minimized

O4 - HKLM\..\Run: [igfxtray] C:\WINDOWS\system32\igfxtray.exe

O4 - HKLM\..\Run: [igfxhkcmd] C:\WINDOWS\system32\hkcmd.exe

O4 - HKLM\..\Run: [igfxpers] C:\WINDOWS\system32\igfxpers.exe

O4 - HKLM\..\Run: [High Definition Audio Property Page Shortcut] CHDAudPropShortcut.exe

O4 - HKLM\..\Run: [HP Software Update] C:\Archivos de programa\Hp\HP Software Update\HPWuSchd2.exe

O4 - HKLM\..\Run: [SynTPEnh] C:\Archivos de programa\Synaptics\SynTP\SynTPEnh.exe

O4 - HKLM\..\Run: [hpWirelessAssistant] C:\Archivos de programa\hpq\HP Wireless Assistant\HP Wireless Assistant.exe

O4 - HKLM\..\Run: [ccApp] "C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe"

O4 - HKLM\..\Run: [QPService] "C:\Archivos de programa\HP\QuickPlay\QPService.exe"

O4 - HKLM\..\Run: [eabconfg.cpl] C:\Archivos de programa\HPQ\Quick Launch Buttons\EabServr.exe /Start

O4 - HKLM\..\Run: [Cpqset] C:\Archivos de programa\HPQ\Default Settings\cpqset.exe

O4 - HKLM\..\Run: [RecGuard] C:\Windows\SMINST\RecGuard.exe

O4 - HKLM\..\Run: [Symantec PIF AlertEng] "C:\Archivos de programa\Archivos comunes\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe" /a /m "C:\Archivos de programa\Archivos comunes\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\AlertEng.dll"

O4 - HKLM\..\Run: [fssui] "C:\Archivos de programa\Windows Live\Family Safety\fsui.exe" -autorun

O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Archivos de programa\Java\jre6\bin\jusched.exe"

O4 - HKLM\..\RunOnce: [ReEXEc] C:\Documents and Settings\user\Escritorio\EliStarA.exe

O4 - Global Startup: Inicio rápido de HP Photosmart Premier.lnk

O9 - Extra button: Blog This - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Archivos de programa\Windows Live\Writer\WriterBrowserExtension.dll

O9 - Extra button: (no name) - {5067A26B-1337-4436-8AFE-EE169C2DA79F} - C:\Archivos de programa\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll

O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Archivos de programa\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Plug-in 1.6.0_15) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_15-windows-i586.cab

O16 - DPF: {CAFEEFAC-0015-0000-0006-ABCDEFFEDCBA} (Java Plug-in 1.5.0_06) - http://java.sun.com/update/1.5.0/jinstall-1_5_0_06-windows-i586.cab

O16 - DPF: {CAFEEFAC-0016-0000-0015-ABCDEFFEDCBA} (Java Plug-in 1.6.0_15) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_15-windows-i586.cab

O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} (Java Plug-in 1.6.0_15) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_15-windows-i586.cab

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{9FD7B2F7-83A9-4E5C-8F5A-042F86510901}: NameServer = 212.145.4.137,212.145.12.4

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\WINDOW~4\MESSEN~1\MSGRAP~1.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\WINDOW~4\MESSEN~1\MSGRAP~1.DLL

O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\ARCHIV~1\ARCHIV~1\Skype\SKYPE4~1.DLL

O18 - Protocol: wlmailhtml - {03C514A3-1EFB-4856-9F99-10D7BE1653C0} - C:\Archivos de programa\Windows Live\Mail\mailcomm.dll

O20 - Winlogon Notify: DIMSNTFY - %SYSTEMROOT%\SYSTEM32\DIMSNTFY.DLL

O20 - Winlogon Notify: IGFXCUI - IGFXDEV.DLL

O21 - SSODL: PostBootReminder - {7849596a-48ea-486e-8937-a2a3009f31a9} - %SystemRoot%\system32\SHELL32.dll

O21 - SSODL: CDBurn - {fbeb8a05-beee-4442-804e-409d6c4515e9} - %SystemRoot%\system32\SHELL32.dll

O21 - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - C:\WINDOWS\system32\webcheck.dll

O21 - SSODL: SysTray - {35CEC8A3-2BE6-11D2-8773-92E220524153} - C:\WINDOWS\system32\stobject.dll

O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll

O22 - SharedTaskScheduler: {438755C2-A8BA-11D1-B96B-00A0C90312E1} - Precargador Browseui - %SystemRoot%\system32\browseui.dll

O22 - SharedTaskScheduler: {8C7461EF-2B13-11d2-BE35-3078302C2030} - Demonio de caché de las categorías de componente - %SystemRoot%\system32\browseui.dll



Información Adicional:

----------------------



Listado de Servicios (Carga Automatica):

----------------------------------------

O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccEvtMgr.exe

O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccProxy.exe

O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSetMgr.exe

**O23 - Service: Iniciador de procesos de servidor DCOM (DcomLaunch) - Unknown owner - C:\WINDOWS\system32\svchost -k DcomLaunch (file missing)

O23 - Service: Servicio Google Update (gupdate1ca1a9683fd4c74) (gupdate1ca1a9683fd4c74) - Google Inc. - C:\Archivos de programa\Google\Update\GoogleUpdate.exe

O23 - Service: hpqwmiex - Hewlett-Packard Development Company, L.P. - C:\Archivos de programa\Hewlett-Packard\Shared\hpqwmiex.exe

O23 - Service: Java Quick Starter (JavaQuickStarterService) - Unknown owner - C:\Archivos de programa\Java\jre6\bin\jqs.exe" -service -config "C:\Archivos de programa\Java\jre6\lib\deploy\jqs\jqs.con (file missing)

O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Archivos de programa\Archivos comunes\LightScribe\LSSrvc.exe

O23 - Service: LiveUpdate Notice Service - Unknown owner - C:\Archivos de programa\Archivos comunes\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe" /m "C:\Archivos de programa\Archivos comunes\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PifEng.dll (file missing)

O23 - Service: mdmxsdk - Conexant - C:\WINDOWS\SYSTEM32\DRIVERS\mdmxsdk.sys

O23 - Service: Servicio Auto-Protect de Norton AntiVirus (navapsvc) - Symantec Corporation - C:\Archivos de programa\Norton Internet Security\Norton AntiVirus\navapsvc.exe

O23 - Service: Servicio de Norton Protection Center (NSCService) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\Security Console\NSCSRVCE.EXE

O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

O23 - Service: Programador de LiveUpdate automático - Symantec Corporation - C:\Archivos de programa\Symantec\LiveUpdate\ALUSchedulerSvc.exe

**O23 - Service: Llamada a procedimiento remoto (RPC) (RpcSs) - Unknown owner - C:\WINDOWS\system32\svchost -k rpcss (file missing)

O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\SNDSrvc.exe

O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\SPBBC\SPBBCSvc.exe

O23 - Service: Symantec Core LC - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\CCPD-LC\symlcsvc.exe

O23 - Service: symlcbrd - Symantec Corporation - C:\WINDOWS\system32\drivers\symlcbrd.sys



Listado de Servicios (Carga Manual):

------------------------------------

O23 - Service: WIDCOMM USB Bluetooth Driver (BTWUSB) - Broadcom Corporation. - C:\WINDOWS\SYSTEM32\Drivers\btwusb.sys

O23 - Service: Symantec Internet Security Password Validation (ccISPwdSvc) - Symantec Corporation - C:\Archivos de programa\Norton Internet Security\ccPwdSvc.exe

O23 - Service: COM Host (comHost) - Symantec Corporation - C:\Archivos de programa\Norton Internet Security\comHost.exe

**O23 - Service: Servicio del administrador de discos lógicos (dmadmin) - Microsoft Corp., VERITAS Software - C:\WINDOWS\System32\dmadmin.exe

O23 - Service: Intel(R) PRO Network Connection Driver (E100B) - Intel Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\e100b325.sys

O23 - Service: eabusb - Hewlett-Packard Development Company, L.P. - C:\WINDOWS\system32\drivers\eabusb.sys

O23 - Service: EraserUtilRebootDrv - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\EENGINE\EraserUtilRebootDrv.sys

O23 - Service: Google Updater Service (gusvc) - Google - C:\Archivos de programa\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: Microsoft UAA Function Driver for High Definition Audio Service (HdAudAddService) - Conexant Systems Inc. - C:\WINDOWS\SYSTEM32\drivers\CHDAud.sys

O23 - Service: Controlador de bus de Microsoft UAA para High Definition Audio (HDAudBus) - Windows (R) Server 2003 DDK provider - C:\WINDOWS\SYSTEM32\DRIVERS\HDAudBus.sys

O23 - Service: IEEE-1284.4 Driver HPZid412 (HPZid412) - HP - C:\WINDOWS\SYSTEM32\DRIVERS\HPZid412.sys

O23 - Service: Print Class Driver for IEEE-1284.4 HPZipr12 (HPZipr12) - HP - C:\WINDOWS\SYSTEM32\DRIVERS\HPZipr12.sys

O23 - Service: USB to IEEE-1284.4 Translation Driver HPZius12 (HPZius12) - HP - C:\WINDOWS\SYSTEM32\DRIVERS\HPZius12.sys

O23 - Service: HSFHWAZL - Conexant Systems, Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\HSFHWAZL.sys

O23 - Service: HSF_DPV - Conexant Systems, Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\HSF_DPV.sys

O23 - Service: ialm - Intel Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\ialmnt5.sys

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Archivos de programa\Archivos comunes\InstallShield\Driver\1050\Intel 32\IDriverT.exe

O23 - Service: LiveUpdate - Symantec Corporation - C:\ARCHIV~1\Symantec\LIVEUP~1\LUCOMS~1.EXE

O23 - Service: NAVENG - Symantec Corporation - C:\ARCHIV~1\ARCHIV~1\SYMANT~1\VIRUSD~1\20100205.002\NAVENG.Sys

O23 - Service: NAVEX15 - Symantec Corporation - C:\ARCHIV~1\ARCHIV~1\SYMANT~1\VIRUSD~1\20100205.002\NavEx15.Sys

O23 - Service: Controlador de vínculo paralelo directo (Ptilink) - Parallel Technologies, Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\ptilink.sys

O23 - Service: Symantec AVScan (SAVScan) - Symantec Corporation - C:\Archivos de programa\Norton Internet Security\Norton AntiVirus\SAVScan.exe

O23 - Service: Secdrv - Macrovision Corporation, Macrovision Europe Limited, and Macrovision Japan and Asia K.K. - C:\WINDOWS\SYSTEM32\DRIVERS\secdrv.sys

O23 - Service: Controlador de dispositivo de minipuerto SMC IrCC (SMCIRDA) - SMC - C:\WINDOWS\SYSTEM32\DRIVERS\smcirda.sys

O23 - Service: SYMDNS - Symantec Corporation - C:\WINDOWS\System32\Drivers\SYMDNS.SYS

O23 - Service: SymEvent - Symantec Corporation - C:\WINDOWS\system32\Drivers\SYMEVENT.SYS

O23 - Service: SYMFW - Symantec Corporation - C:\WINDOWS\System32\Drivers\SYMFW.SYS

O23 - Service: SYMIDS - Symantec Corporation - C:\WINDOWS\System32\Drivers\SYMIDS.SYS

O23 - Service: SYMIDSCO - Symantec Corporation - C:\ARCHIV~1\ARCHIV~1\SYMANT~1\SymcData\idsdefs\20100128.002\symidsco.sys

O23 - Service: SYMNDIS - Symantec Corporation - C:\WINDOWS\System32\Drivers\SYMNDIS.SYS

O23 - Service: SYMREDRV - Symantec Corporation - C:\WINDOWS\System32\Drivers\SYMREDRV.SYS

O23 - Service: Synaptics TouchPad Driver (SynTP) - Synaptics, Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\SynTP.sys

*O23 - Service: Servicios de Terminal Server (TermService) - Unknown owner - C:\WINDOWS\System32\svchost -k DComLaunch (file missing)

O23 - Service: tifm21 - Texas Instruments - C:\WINDOWS\SYSTEM32\drivers\tifm21.sys

O23 - Service: LGE Mobile Composite USB Device (usbbus) - LG Electronics Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\lgusbbus.sys

O23 - Service: LGE Mobile USB Serial Port (UsbDiag) - LG Electronics Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\lgusbdiag.sys

O23 - Service: LGE Mobile USB Modem (USBModem) - LG Electronics Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\lgusbmodem.sys

O23 - Service: Intel(R) PRO/Wireless 3945ABG Adapter Driver (w39n51) - Intel® Corporation - C:\WINDOWS\SYSTEM32\DRIVERS\w39n51.sys

O23 - Service: winachsf - Conexant Systems, Inc. - C:\WINDOWS\SYSTEM32\DRIVERS\HSF_CNXT.sys



Listado de Servicios (Deshabilitados):

--------------------------------------

**O23 - Service: dmboot - Microsoft Corp., Veritas Software - C:\WINDOWS\SYSTEM32\drivers\dmboot.sys

**O23 - Service: dmio - Microsoft Corp., Veritas Software - C:\WINDOWS\SYSTEM32\drivers\dmio.sys

**O23 - Service: dmload - Microsoft Corp., Veritas Software. - C:\WINDOWS\SYSTEM32\drivers\dmload.sys



61 Servicios.

19 de Carga Automatica.

39 de Carga Manual.

3 Deshabilitados.

[msc hotline sat]

Pues ya ves lo que se te pide:



Por favor, envienos una muestra del fichero

C:\Muestras\LAEURHF.EXE.Muestra EliStartPage v20.27





[b]¿Como enviar las muestras a zonavirus? - Para ello recordar[/b]:

https://foros.zonavirus.com/viewtopic.php?f=5&t=14253



Tras recibirlos, los analizaremos e implementaremos su control y eliminacion, si procede, en nuestras utilidades, de lo cual informaremos





y paso a analizar el log del SPROCES e informo luego.



saludos



ms, 7-2-2010

[msc hotline sat]

Pues como que, muy correctamente, se había probado el ESLISTARA antes de pasar el SPROCES, las claves eliminadas por el primero ya no aparecen en el segundo, por lo que si bien esperamos recibir la muestra pedida para controlar esta nueva variante en el proximo ELISTARA del lunes, ya tras reiniciar esperamos que no se cargará este malware por haber sido eliminadas las claves y el fichero, dejando tan solo el recuerdo en C:\muestras para que nos puedas enviar el fichero a analizar y luego poder ver que en el proximo ELISTARA 20.28 del lunes, ya lo detecta, controla y elimina, y asi en las futuras versiones:



C:\DOCUMENTS AND SETTINGS\USER\CONFIGURACIóN LOCAL\DATOS DE PROGRAMA\LAEURHF.EXE --> Eliminado

C:\DOCUMENTS AND SETTINGS\USER\CONFIGURACIóN LOCAL\DATOS DE PROGRAMA\LAEURHF_NAVPS.DAT --> Eliminado

C:\DOCUMENTS AND SETTINGS\USER\CONFIGURACIóN LOCAL\DATOS DE PROGRAMA\LAEURHF.DAT --> Eliminado



Entrada Eliminada [HKCU\...\Run] "LAEURHF"=""c:\documents and settings\user\configuración local\datos de programa\laeurhf.exe" laeurhf"



Reinicia y envianos la muestra pedida para analizar, gracias



De momento esparemos que ya no tengas dicho malbicho, puede haber enviado informacion bancaria al autor del malware, por lo que si en este ordenador hay o ha habido acceso a cuentas bancarias, conviene cambiar cuentas y passwords para evitar transferencias o accesos desfavorables... comentelo con su banco.



Pendientes de recibir dicha muestra, reciba saludos



ms, 7-2-2010





NOTA: Y si ahora, tras reiniciar, persistiera alguna anomalia, comentenoslo como respuesta a este Tema, gracias. ms.

[GINEBRA]

he pasado mi antivirus y me sigue apareciendo que tengo el troyano, ayer me aparecio q tenia 3, ahora me aparece que tengo uno.... :(

[msc hotline sat]

Entiendo que es en el fichero muestra para analizar, que espero nos hayas enviado.



Tras ello implementaremos en el ELISTARA su control y eliminacion y espero que tras probarlo detecte y elimine dicho malware especificamente, cosa que ahora solo podemos hacer heuristicamente.



Mañana, tras analizar la muestra que nos hayas enviado, informaremos



saludos



ms, 7-2-2010

[GINEBRA]

ok. sí os he enviado la muestra, aunque si hace falta vuelvo a enviarla

[msc hotline sat]

No, si lo ha hecho siguiendo las indicaciones, mañana de vuelta al trabajo en SATINFO, la encontraremos y procederemos en consecuencia



saludos



ms, 7-2-2010

[msc hotline sat]

La muestra recibida era de otro troyano, una variante del NAVIPROMO, que tambien pasamos a controlar y eliminar con el ELISTARA de hoy, 20.28


[quote]
[b] ELISTARA: [/b]

http://www.zonavirus.com/descargas/elistara.asp



Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso
[/quote]

A partir de las 19 h GMT, estará disponible en esta web, para pruebas de evaluacion en el foro de zonavirus



ms, 8-2-2010

[GINEBRA]

me pasa lo mismo que ayer, he intentado descargarlo con el código y me sale el aviso de virus, asi q supongo que tendre que iniciar en modo seguro para poder descargarlo... lo que espero es que me sirva el mismo código de sms pq si no me voy a arruinar :(

[GINEBRA]

bueno,esto es lo que me sale, informar tb de que hoy y las otras veces que he pasado el elistara me ha salido un archivo que dice acceso denegado.. esto es lo que me sale hoy:





(7-2-2010 9:27:02 (GMT))

EliStartPage v20.27 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 5 de Febrero del 2010)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Por favor, envienos una muestra del fichero

C:\Muestras\LAEURHF.EXE.Muestra EliStartPage v20.27

a "virus@satinfo.es". Gracias.

C:\DOCUMENTS AND SETTINGS\USER\CONFIGURACIóN LOCAL\DATOS DE PROGRAMA\LAEURHF.EXE --> Eliminado

C:\DOCUMENTS AND SETTINGS\USER\CONFIGURACIóN LOCAL\DATOS DE PROGRAMA\LAEURHF_NAVPS.DAT --> Eliminado

C:\DOCUMENTS AND SETTINGS\USER\CONFIGURACIóN LOCAL\DATOS DE PROGRAMA\LAEURHF.DAT --> Eliminado

D:\DESKTOP.INI --> Eliminado (Fichero Complementario).

Entrada Eliminada [HKCU\...\Run] "LAEURHF"=""c:\documents and settings\user\configuración local\datos de programa\laeurhf.exe" laeurhf"

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



(7-2-2010 9:28:06 (GMT))

EliStartPage v20.27 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 5 de Febrero del 2010)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"



Nº Total de Directorios: 5969

Nº Total de Ficheros: 69429

Nº de Ficheros Analizados: 21591

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



(7-2-2010 9:37:33 (GMT))

EliStartPage v20.27 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 5 de Febrero del 2010)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"



Nº Total de Directorios: 5969

Nº Total de Ficheros: 69429

Nº de Ficheros Analizados: 21591

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



(8-2-2010 12:05:17 (GMT))

EliStartPage v20.27 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 5 de Febrero del 2010)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



(8-2-2010 12:05:24 (GMT))

EliStartPage v20.27 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 5 de Febrero del 2010)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"



Nº Total de Directorios: 223

Nº Total de Ficheros: 1002

Nº de Ficheros Analizados: 466

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

Exploración Detenida por el Usuario.



(8-2-2010 12:05:42 (GMT))

EliStartPage v20.27 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 5 de Febrero del 2010)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"



Nº Total de Directorios: 5967

Nº Total de Ficheros: 69450

Nº de Ficheros Analizados: 21593

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

[GINEBRA]

se me olvidó reiniciar, asi reinicio y vuelvo a postear , sorry

[GINEBRA]

lo que dice cuando estoy pasando el elistara( me lo ha dicho todas las veces que lo he pasado ) es acceso denegado a la carpeta C/archivos de programa/windows live/family safety/historyStore(18)



y esto es lo que me sale despues de reiniciar





(7-2-2010 9:27:02 (GMT))

EliStartPage v20.27 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 5 de Febrero del 2010)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Por favor, envienos una muestra del fichero

C:\Muestras\LAEURHF.EXE.Muestra EliStartPage v20.27

a "virus@satinfo.es". Gracias.

C:\DOCUMENTS AND SETTINGS\USER\CONFIGURACIóN LOCAL\DATOS DE PROGRAMA\LAEURHF.EXE --> Eliminado

C:\DOCUMENTS AND SETTINGS\USER\CONFIGURACIóN LOCAL\DATOS DE PROGRAMA\LAEURHF_NAVPS.DAT --> Eliminado

C:\DOCUMENTS AND SETTINGS\USER\CONFIGURACIóN LOCAL\DATOS DE PROGRAMA\LAEURHF.DAT --> Eliminado

D:\DESKTOP.INI --> Eliminado (Fichero Complementario).

Entrada Eliminada [HKCU\...\Run] "LAEURHF"=""c:\documents and settings\user\configuración local\datos de programa\laeurhf.exe" laeurhf"

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



(7-2-2010 9:28:06 (GMT))

EliStartPage v20.27 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 5 de Febrero del 2010)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"



Nº Total de Directorios: 5969

Nº Total de Ficheros: 69429

Nº de Ficheros Analizados: 21591

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



(7-2-2010 9:37:33 (GMT))

EliStartPage v20.27 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 5 de Febrero del 2010)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"



Nº Total de Directorios: 5969

Nº Total de Ficheros: 69429

Nº de Ficheros Analizados: 21591

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



(8-2-2010 12:05:17 (GMT))

EliStartPage v20.27 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 5 de Febrero del 2010)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



(8-2-2010 12:05:24 (GMT))

EliStartPage v20.27 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 5 de Febrero del 2010)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"



Nº Total de Directorios: 223

Nº Total de Ficheros: 1002

Nº de Ficheros Analizados: 466

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

Exploración Detenida por el Usuario.



(8-2-2010 12:05:42 (GMT))

EliStartPage v20.27 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 5 de Febrero del 2010)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"



Nº Total de Directorios: 5967

Nº Total de Ficheros: 69450

Nº de Ficheros Analizados: 21593

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



(8-2-2010 12:24:19 (GMT))

EliStartPage v20.27 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 5 de Febrero del 2010)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



(8-2-2010 12:24:38 (GMT))

EliStartPage v20.27 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 5 de Febrero del 2010)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"



Nº Total de Directorios: 5970

Nº Total de Ficheros: 69517

Nº de Ficheros Analizados: 21611

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

[msc hotline sat]

La muestra que nos ha enviado se controlará con el ELISTARA de hoy 20.28, como ya hemos indicado:



A partir de las 19 h GMT, estará disponible en esta web, para pruebas de evaluacion en el foro de zonavirus





saludos



ms, 8-2-2010

[GINEBRA]

esto es lo q me sale tras pasar la nueva version del elistara









(7-2-2010 9:27:02 (GMT))

EliStartPage v20.27 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 5 de Febrero del 2010)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Por favor, envienos una muestra del fichero

C:\Muestras\LAEURHF.EXE.Muestra EliStartPage v20.27

a "virus@satinfo.es". Gracias.

C:\DOCUMENTS AND SETTINGS\USER\CONFIGURACIóN LOCAL\DATOS DE PROGRAMA\LAEURHF.EXE --> Eliminado

C:\DOCUMENTS AND SETTINGS\USER\CONFIGURACIóN LOCAL\DATOS DE PROGRAMA\LAEURHF_NAVPS.DAT --> Eliminado

C:\DOCUMENTS AND SETTINGS\USER\CONFIGURACIóN LOCAL\DATOS DE PROGRAMA\LAEURHF.DAT --> Eliminado

D:\DESKTOP.INI --> Eliminado (Fichero Complementario).

Entrada Eliminada [HKCU\...\Run] "LAEURHF"=""c:\documents and settings\user\configuración local\datos de programa\laeurhf.exe" laeurhf"

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



(7-2-2010 9:28:06 (GMT))

EliStartPage v20.27 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 5 de Febrero del 2010)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"



Nº Total de Directorios: 5969

Nº Total de Ficheros: 69429

Nº de Ficheros Analizados: 21591

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



(7-2-2010 9:37:33 (GMT))

EliStartPage v20.27 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 5 de Febrero del 2010)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"



Nº Total de Directorios: 5969

Nº Total de Ficheros: 69429

Nº de Ficheros Analizados: 21591

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



(8-2-2010 12:05:17 (GMT))

EliStartPage v20.27 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 5 de Febrero del 2010)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



(8-2-2010 12:05:24 (GMT))

EliStartPage v20.27 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 5 de Febrero del 2010)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"



Nº Total de Directorios: 223

Nº Total de Ficheros: 1002

Nº de Ficheros Analizados: 466

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

Exploración Detenida por el Usuario.



(8-2-2010 12:05:42 (GMT))

EliStartPage v20.27 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 5 de Febrero del 2010)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"



Nº Total de Directorios: 5967

Nº Total de Ficheros: 69450

Nº de Ficheros Analizados: 21593

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



(8-2-2010 12:24:19 (GMT))

EliStartPage v20.27 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 5 de Febrero del 2010)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



(8-2-2010 12:24:38 (GMT))

EliStartPage v20.27 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 5 de Febrero del 2010)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"



Nº Total de Directorios: 5970

Nº Total de Ficheros: 69517

Nº de Ficheros Analizados: 21611

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



(8-2-2010 23:19:45 (GMT))

EliStartPage v20.28 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 8 de Febrero del 2010)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



(8-2-2010 23:20:05 (GMT))

EliStartPage v20.28 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 8 de Febrero del 2010)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"

C:\Muestras\LAEURHF.EXE.MUESTRA ELISTARTPAGE V20.27 --> Eliminado, NaviPromo(dr)



Nº Total de Directorios: 5988

Nº Total de Ficheros: 69647

Nº de Ficheros Analizados: 21628

Nº de Ficheros Infectados: 1

Nº de Ficheros Limpiados: 1

[GINEBRA]

he vuelto a pasar mi antivirus y sigue saliendo que tengo un troyano... :(

[msc hotline sat]

Pues el nuevo ELISTARA ha detectado y eliminado hasta la muestra !



EliStartPage v20.28 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 8 de Febrero del 2010)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"

C:\Muestras\LAEURHF.EXE.MUESTRA ELISTARTPAGE V20.27 --> Eliminado, NaviPromo(dr)



igual hay además alguna dropper o downloader desconocido que lo regenera ???



Dinos el virus que detecta dicho antivirus y su ubicacion, y si es posible envianoslo para analizar.



saludos



ms, 9-2-2010

[GINEBRA]

pues dice que un programa o código que se duplica en otros archivos con los que se pone en contacto

áreas afectadas: un archivo

detalles: C/windows/system32/msjgqr32.exe



nombre del troyano



http://securityresponse.symantec.com/security_response/writeup.jsp?docid=2004-021914-2822-99





también me aparece en el escritorio esto:



fatalerr-bloc de notas

Message at 01/08/2010 05:41:41:765 pm ThreadID='1b4' : LogFile was created.

Error at 01/08/2010 05:41:41:765 pm ThreadID='1b4' : Unknown exception occurred, app terminated

Message at 01/08/2010 05:41:41:765 pm ThreadID='1b4' : LogFile was closed

[msc hotline sat]

Pues este que dices:



msjgqr32.exe



no figura en ningun log de los que nos has posteado..., envianoslo para analizar:







[b]¿Como enviar las muestras a zonavirus? - Para ello recordar[/b]:

https://foros.zonavirus.com/viewtopic.php?f=5&t=14253





Tras recibir el/los fichero/s, lo/s analizaremos e implementaremos su control y eliminacion, si procede, en nuestras utilidades, de lo cual informaremos



saludos



ms, 9-2-2010







NOTA: De todas formas puede que sea un falso positivo de Norton... ppr lo indicado en: http://www.processlibrary.com/es/directory/files/msqry32/ , pero con la muestra lo veremos. ms.

[GINEBRA]

lo he buscado en la carpeta muestras, pero creo q eso no es lo que me pedís.. tengo q irme, hasta esta tarde no podre hacerlo de nuevo. gracias

[msc hotline sat]

No, este no estará en C:\muestras al no haber sido detectada por nuestras utilidades.



La tienes, segun nos indicas, en C/windows/system32/msjgqr32.exe



Repito que puede que sea un falso positivo de Norton, no hagas nada con él hasta que nos lo hayas enviado y lo analicemos.



Y dinos si aparte de la deteccion, notas alguna anomalia, gracias



saludos



ms, 9-2-2010