Pues bien, ejecute el elihomea para probar a ver si no tenia algun rastro de ese espia, y me detecto dos archivos, que coloco y renombro en temp, con extension muestra. Sin embargo a la hora de quererlos pasar a diskette, le puse busqueda de windows y me encuentra otro lvcoms.exe en archivos de programa/logitech del mismo tamaño, asi que pienso que es una falsa alarma, pero como que dice que se envie muestra de esos ficheros, pues se los envio para su analisis. El lvcoms.exe estaba en la carpeta windows/system32 y el hpfsched.exe en la carpeta windows.
Aqui les pongo el reporte del Infosat del elihomea:
Sat Jan 29 01:49:49 2005
EliHomeSearchAssistant v1.4 (c)2004 S.G.H. / Satinfo S.L.
----------------------------------------------------------
Lista de Acciones:
Por favor, envienos una muestra del fichero
C:\DOCUME~1\EQUIPO\CONFIG~1\TEMP\LVCOMS.EXE.Muestra
a "
C:\WINDOWS\SYSTEM32\LVCOMS.EXE --> Eliminado
Por favor, envienos una muestra del fichero
C:\DOCUME~1\EQUIPO\CONFIG~1\TEMP\HPFSCHED.EXE.Muestra
a "
C:\WINDOWS\HPFSCHED.EXE --> Eliminado
Eliminadas las Paginas de Inicio y de Busqueda del IE
Eliminados Ficheros Temporales del IE
Por otro lado, con un antivirus llamado clam me decia problema de DCOM en un archivo de nombre mssw32.exe, lo localice y vi que estaba con propiedades de oculto en la carpeta de windows/system32, asi que copie el archivo al diskette y lo limpie con una pc con mcafee y me detecto el virus w32/sdbot.worm.gen.i, asi que baje el elirpca y el elisluta pero ninguno de los dos me detecta nada, es probable que no lo detecte porque no esta registrado en la utileria, y como que el antivirus lo limpia pues no hay mucho problema (aunque la pc de donde lo copie no tiene antivirus, asi que lo elimine a mano, eliminando del registro las claves que vincularan al archivo mssw32, no encontre nada sobre el msedit.exe, y primero borrandolos a la papelera, para luego ver que no habia problemas, borrandolos completamente del sistema), pero si quieren mejorar la utileria, les mando muestra del archivo infectado, espero poder enviarlo, porque luego lo detecta como virus y no me dejara subirlo. Por cierto que el archivo mssw32.exe tiene fecha de 28/01/05 y tambien creo un archivo en la raiz (c: ) con esa misma fecha y hora con nombre msedit.exe pero no lo detecta el antivirus, asi que probablemente es algun enlace para enviarse o no se, pero tambien lo quite de c: y lo meti en el zip donde meti el mssw32.exe.
Gracias y si estoy mal en la ubicacion de este post, coloquenlo donde crean conveniente.
---------
Texto editado con el siguiente Anexo:
Como parte de un complemento o aviso al texto, el zip de mssw32.exe se copio en un area dañada del diskette (este zip marca 137Kb de tamaño entre el mssw32.exe y el msedit.exe), asi que no puede ser enviado, ni lo puedo copiar al hdd para enviarlo. Sin embargo les dejo el dato por si les sirve de ayuda, aunque queria saber que era ese msedit, si era peligroso o no. Tambien intente ir a ver si localizaba los archivos en la pc, pero como los borre ya no estan disponibles.
---------
Efrain
msc hotline sat Virus Research Engineer