Internet explorer deja de funcionar a los 3 min de conectar

[javier_almeria]

Hola.



Me llamó mi amigo manolo para arreglarle su pc. Despues de eliminar 3 gusanos con elitrip, le pasé el elistara y detectó 28 archivos infectados. Además pasé el av actualizado y spybot a prueba de errores. Cuando todo parecía eliminado actualicé a SP2.



Despues, al conectar a internet, el explorador y todo deja de funcionar a los 3 minutos de conectar. Por más que miro y busco no encuentro el fichero infectado que crea el problema. El elistara no me detecta nada. Y cuando conecto a windows update automáticamente se bloquea.



Supongo que será un star page que no ha eliminado bien. Pero como no lo detecta, no sé que fichero es para mandaros una muestra.



Estoy un poco perdido y no encuentro la solución. Teneis alguna sugerencia?



Como información, es un XP y os dejo el log del hijackthis por si veis algo que yo no veo.



Logfile of HijackThis v1.99.0

Scan saved at 22:16:15, on 10/06/2005

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\Archivos de programa\Alwil Software\Avast4\aswUpdSv.exe

C:\Archivos de programa\Alwil Software\Avast4\ashServ.exe

C:\Archivos de programa\Conceptronic\Software Bluetooth\bin\btwdins.exe

C:\WINDOWS\System32\nvsvc32.exe

C:\WINDOWS\System32\cfmon.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\secctr.exe

C:\WINDOWS\SOUNDMAN.EXE

C:\ARCHIV~1\ALWILS~1\Avast4\ashDisp.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Archivos de programa\Alwil Software\Avast4\ashMaiSv.exe

C:\Archivos de programa\Alwil Software\Avast4\ashWebSv.exe

C:\WINDOWS\system32\wuauclt.exe

D:\HijackThis.exe



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.es

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll

O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [avast!] C:\ARCHIV~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKLM\..\Run: [*Security Center] secctr.exe

O4 - HKLM\..\RunServices: [*Security Center] secctr.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [*Security Center] secctr.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office10\OSA.EXE

O8 - Extra context menu item: Enviar a &Bluetooth - C:\Archivos de programa\Conceptronic\Software Bluetooth\btsendto_ie_ctx.htm

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O17 - HKLM\System\CCS\Services\Tcpip\..\{914A02B5-3DD0-4537-AD89-76D0EEDA9930}: NameServer = 80.58.61.250 80.58.61.254

O23 - Service: avast! iAVS4 Control Service - Unknown - C:\Archivos de programa\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: avast! Antivirus - Unknown - C:\Archivos de programa\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Archivos de programa\Alwil Software\Avast4\ashMaiSv.exe

O23 - Service: avast! Web Scanner - ALWIL Software - C:\Archivos de programa\Alwil Software\Avast4\ashWebSv.exe

O23 - Service: Bluetooth Service - WIDCOMM, Inc. - C:\Archivos de programa\Conceptronic\Software Bluetooth\bin\btwdins.exe

O23 - Service: Servicio del administrador de discos lógicos - Unknown - C:\WINDOWS\System32\dmadmin.exe

O23 - Service: Registro de sucesos - Unknown - C:\WINDOWS\system32\services.exe

O23 - Service: Servicio COM de grabación de CD de IMAPI - Unknown - C:\WINDOWS\System32\imapi.exe

O23 - Service: Escritorio remoto compartido de NetMeeting - Unknown - C:\WINDOWS\System32\mnmsrvc.exe

O23 - Service: NVIDIA Driver Helper Service - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

O23 - Service: Plug and Play - Unknown - C:\WINDOWS\system32\services.exe

O23 - Service: Administrador de sesión de Ayuda de escritorio remoto - Unknown - C:\WINDOWS\system32\sessmgr.exe

O23 - Service: Sound Sservice Driver - Unknown - C:\WINDOWS\System32\cfmon.exe

O23 - Service: Registros y alertas de rendimiento - Unknown - C:\WINDOWS\system32\smlogsvc.exe

O23 - Service: Instantáneas de volumen - Unknown - C:\WINDOWS\System32\vssvc.exe

O23 - Service: Adaptador de rendimiento de WMI - Unknown - C:\WINDOWS\System32\wbem\wmiapsrv.exe



Un saludo.

[javier_almeria]

Hola otra vez.



Sospecho que el infectado es el archivo secctr.exe. que se ejecuta desde 3 registros. Aunque haga fix en el hijackthis, aunque borre fisicamente los registros se sigue ejecutando.



Pensaba que este archivo era el ejecutable del centro de seguridad de SP2. Sin embargo, en mi pc que es XP SP2, no encuentro ese archivo en la carpeta system 32. Y el centro de seguridad funciona perfectamente.



Puedo borrar este archivo y los 3 registros sin que afecte al centro de seguridad de windows xp? Os mando una muestra de este archivo?



Un saludo.

[msc hotline sat]

Efectivamente,



Se trata de un SDBOT:



http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=WORM_SDBOT.BRO



Envianos este fichero y pasaremos a controlarlo con el ELITRIIP.EXE; pues no es cuestion de eliminarlo simplemente desde el HJT, ya que puede haber claves viricas que no aparecen en el HJT, y que restauraremos con nuestras utilidades, aparte de detener el proceso virico y eliminar el gusano



Ya sabes como enviarnos la muestra del secctr.exe , anexado a un mail cuyo texto sea un copiar y pegar de este post, y te contestaremos como respueata a este Tema



saludos



ms, 11-06-2005



PD: y el CFMON:EXE tambien envianoslo, por lo mismo, pues podría ser esto:



http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=WORM_RBOT.BIC



ms.

[javier_almeria]

Hola msc.



Perdona que no haya contestado antes, pero hasta ayer por la tarde no volví a casa de mi amigo Manolo.



Cuando fuí a hacer una copia del arcivo vírico secctr.exe para enviaroslo, me encontré que habia mutado. :shock:



Ahora se ejecuta como senter.exe y no existe ningún archivo en system32 con ese nombre. Miré muchas veces detalladamente. Por lo que no te puedo enviar una muestra.



Al encender el pc se ejecuta el archivo. El uso de cpu se pone al 100% y el procesador se calienta. El svchost de servicio de red se dispara. Si detengo el proceso de senter.exe el uso de cpu se normaliza y el pc funciona perfectamente. Ya no deja de funcionar internet a los 3 mins.



Le hice un escaneo detallado con avast home y mcafee online a la carpeta system32, y no encuentra archivos infectados. No consigo eliminar la ejecución del archivo senter.exe :(



Te pego el nuevo hijackthis para que lo veas:



Logfile of HijackThis v1.99.0

Scan saved at 20:02:16, on 14/06/2005

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\Archivos de programa\Alwil Software\Avast4\aswUpdSv.exe

C:\Archivos de programa\Alwil Software\Avast4\ashServ.exe

C:\Archivos de programa\Conceptronic\Software Bluetooth\bin\btwdins.exe

C:\WINDOWS\System32\nvsvc32.exe

C:\WINDOWS\system32\svchost.exe

C:\Archivos de programa\Alwil Software\Avast4\ashMaiSv.exe

C:\WINDOWS\system32\senter.exe

C:\WINDOWS\SOUNDMAN.EXE

C:\Archivos de programa\Alwil Software\Avast4\ashWebSv.exe

C:\ARCHIV~1\ALWILS~1\Avast4\ashDisp.exe

C:\Program Files\Media Access\MediaAccK.exe

C:\Archivos de programa\Java\jre1.5.0_02\bin\jusched.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\Media Access\MediaAccess.exe

C:\WINDOWS\system32\wuauclt.exe

E:\HijackThis.exe



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.es/

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll

O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [avast!] C:\ARCHIV~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKLM\..\Run: [Media Access] C:\Program Files\Media Access\MediaAccK.exe

O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Archivos de programa\Java\jre1.5.0_02\bin\jusched.exe

O4 - HKLM\..\Run: [*Security Center] senter.exe

O4 - HKLM\..\RunServices: [*Security Center] senter.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [*Security Center] senter.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office10\OSA.EXE

O8 - Extra context menu item: Enviar a &Bluetooth - C:\Archivos de programa\Conceptronic\Software Bluetooth\btsendto_ie_ctx.htm

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_02\bin\npjpi150_02.dll

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_02\bin\npjpi150_02.dll

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O23 - Service: avast! iAVS4 Control Service - Unknown - C:\Archivos de programa\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: avast! Antivirus - Unknown - C:\Archivos de programa\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Archivos de programa\Alwil Software\Avast4\ashMaiSv.exe

O23 - Service: avast! Web Scanner - ALWIL Software - C:\Archivos de programa\Alwil Software\Avast4\ashWebSv.exe

O23 - Service: Bluetooth Service - WIDCOMM, Inc. - C:\Archivos de programa\Conceptronic\Software Bluetooth\bin\btwdins.exe

O23 - Service: Servicio del administrador de discos lógicos - Unknown - C:\WINDOWS\System32\dmadmin.exe

O23 - Service: Registro de sucesos - Unknown - C:\WINDOWS\system32\services.exe

O23 - Service: Servicio COM de grabación de CD de IMAPI - Unknown - C:\WINDOWS\System32\imapi.exe

O23 - Service: Escritorio remoto compartido de NetMeeting - Unknown - C:\WINDOWS\System32\mnmsrvc.exe

O23 - Service: NVIDIA Driver Helper Service - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

O23 - Service: Plug and Play - Unknown - C:\WINDOWS\system32\services.exe

O23 - Service: Administrador de sesión de Ayuda de escritorio remoto - Unknown - C:\WINDOWS\system32\sessmgr.exe

O23 - Service: Registros y alertas de rendimiento - Unknown - C:\WINDOWS\system32\smlogsvc.exe

O23 - Service: Instantáneas de volumen - Unknown - C:\WINDOWS\System32\vssvc.exe

O23 - Service: Adaptador de rendimiento de WMI - Unknown - C:\WINDOWS\System32\wbem\wmiapsrv.exe





Ahora que puedo hacer?



Un saludo.

[maura63]

Tienes varios adwares



C:\WINDOWS\system32\senter.exe -

C:\Program Files\Media Access\MediaAccK.exe -

C:\Program Files\Media Access\MediaAccess.exe -

O4 - HKLM\..\Run: [Media Access] C:\Program Files\Media Access\MediaAccK.exe -

O4 - HKLM\..\Run: [*Security Center] senter.exe -

O4 - HKLM\..\RunServices: [*Security Center] senter.exe -

O4 - HKCU\..\Run: [*Security Center] senter.exe -





Salaudos

maura63

[javier_almeria]

Pues le he pasado el spybot actualizado a prueba de errores varias veces y no detecta nada. Me pone lo de felicidades.



Un saludo.

[javier_almeria]

Puede estar relaccionado el media access con el senter.exe?



Un saludo.

[maura63]

Por ejemplo



(MediaAccK.exe)

AdWare.ToolBar.Azesearch



Pasaste elistara :?:



Prueba tambien con



Bajar Microsoft Antispyware:



http://microsoft-antispyware.uptodown.com/



Saludos

maura63

[msc hotline sat]

De todas formas, empieza por la clave:



O4 - HKLM\..\Run: [Media Access] C:\Program Files\Media Access\MediaAccK.exe -



y tras ello, reinicie y elimine el fichero



C:\Program Files\Media Access\MediaAccK.exe



Si con esto lo normaliza, deje lo otro, pues solo es sospechoso, pero del SENTER.EXE no hay informacion maliciosa.



Si con eliminar solo una clave y luego el fichero, no se soluciona, siga con lo indicado por Maura63





saludos



ms, 15-06-2005

[javier_almeria]

Le pasé elistara un par de veces a prueba de errores. Mira lo primero del post.



Probaré esta tarde con el antispyware de microsoft.



Ya os contaré.



Un saludo.

[msc hotline sat]

Mejor primero haz lo de eliminar la clave y luego el fichero que te he indicado, segun descripcion adjunta:


[quote]
Process File: MediaAccK or MediaAccK.exe

Process Name: Windupdate Media Access Adware



Description:

MediaAccK.exe is an advertising program by Windupdate. This process monitors your browsing habits and distributes the data back to the author's servers for analysis. This also prompts advertising popups. This program is a registered security risk and should be removed immediately.[/quote]

Si con ello no se normaliza, nos lo dices, y asi aprendemos...



saludos



ms, 15-06-2005

[javier_almeria]

Gracias msc.



Eso haré. Esta noche os pongo una respuesta como resultado.



Saludos.

[msc hotline sat]

Añado, que gracias a ver en el log del HJT donde residía dicho fichero adware, hemos visto porqué no lo habñia eliminado el ELISTARA:



La carpeta PROGRAM FILES es, para sistemas en castellano, ARCHIVOS DE PROGRAMA , y cuando se indica %PROGRAM FILES% , WINDOWS entiende en funcion del idioma del sistema la carpeta traducida segun idioma, pero este adware lo instala fijo en FILE PROGRAM, aunque el sistema esté en cstellano:


[quote]
C:\Archivos de programa\Java\jre1.5.0_02\bin\jusched.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\Media Access\MediaAccess.exe
[/quote]

fijarse que coexisten en esta máquina FILE PROGRAMS y ARCHIVOS DE PROGRAMA.



Pasamos a cambiar en el ELISTARA el nombre de la ruta en cuestion, pues lo teníamos como %FILE PROGRAMS% y al detectar sistema castellano, lo iba a buscar a ARCHIBOS DE PROGRAMA y no lo encontraba.



En la nueva version de hoy del ELISTARA ya mejoraremos esta deteccion.



saludos



ms, 15-06-2005

[javier_almeria]

Hola.



Si la nueva versión de elistara está antes de las 7 de la tarde (hora peninsular) la bajaré y la probaré. En caso contrario seguiré tus instrucciones anteriores.



Gracias msc.

[msc hotline sat]

Y el otro fichero:



C:\Program Files\Media Access\MediaAccK.exe



aunque no lo carga en ninguna clave, tambien conviene eliminarlo, pues podría ser el instalador, y algun día, por error, se podría ejecutar si se dejara vivo.



Todo eso ya lo haremos con el nuevo ELISTARA-.EXE



y como que del SENTER.EXE no hemos encontrado informacion y nos parece muy sospechoso.te pedimos nos envies una muestra para analizarlo y salir de dudas-



Como ya sabes, envianoslo a zonavirus@satinfo.es anexado a un mail cuyo texto sea un copiar y pegar de este post, para poder cintestar como respuesta de este Tema, con el resultado del analisis y en su caso, herramienta de eliminacion



saludos



ms, 15-06-2005

[javier_almeria]

Hola.



Ese es el problema. No existe fichero senter.exe en la carpeta system32, sin embargo se ejecuta. He mirado y remirado varias veces y no lo encuentro. Si existiese ya os hubiese enviado una muerstra. Como es esto posible?



Un saludo.

[msc hotline sat]

Pues es muy raro.

Estas seguro que ves todos los ficheros ? no sea que esté oculto...


Bueno, conocemos las tretas de algunos virus que con los privilegios del NTFS (mira cacls.exe /? que es del sistema operativo), logran que no se vean algunos ficheros e impiden su eliminacion, por lo que hicimos el ELITOTAL yel ELIBDCFB

Por si fuera el caso, este SENTER buscalo configurando ver todos los fichros y arrancando en modo seguro, para que no se cargue residente, y lo puedas ver.

De estar, está, por que lo tienes en proceso en el HJT, pero puede dificultar su localizacion. pero está en C:\windows\system32

A ver si lo encuentras y nos lo envias.

Con el ELITOTAL.EXE puedes restablever sus permisos, si hubiera dificultad de localizarlo:

ELITOTAL C:\WINDOWS\SYSTEM32\SENTER.EXE

ELITOTAL
http://www.zonavirus.com/descargas/elitotal.asp


SALUDOS

ms 15-06-2005

[javier_almeria]

Hola.



He ejecutado elitotal y sigo sin ver el fichero senter.exe y lo peor es que se sigue ejecutantdo aunque borre los registros.



Por supuesto que en opciones de carpeta está ver archivos ocultos y de sistema.



Ya no se que hacer. Ahora mismo estoy en el pc de manolo.



saludos.

[javier_almeria]

hola otra vez



Os envio copia de resumen de elitrip y elistara:



Fri Jun 10 18:10:57 2005

EliTriIP v1.37 (c)2005 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones:

Por favor, envienos una muestra del fichero

C:\DOCUME~1\MANOLO\CONFIG~1\TEMP\WINSYS32.EXE.Muestra EliTriIP v1.37

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\WINSYS32.EXE --> Eliminado

Por favor, envienos una muestra del fichero

C:\DOCUME~1\MANOLO\CONFIG~1\TEMP\SVCHOSTT.EXE.Muestra EliTriIP v1.37

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\SVCHOSTT.EXE --> Eliminado

C:\EMINEM VS 2PAC.SCR --> Eliminado

C:\FUNNY PIC.SCR --> Eliminado

C:\HELLMSN.EXE --> Eliminado

C:\PHOTO ALBUM.SCR --> Eliminado

C:\WINDOWS\SYSTEM32\TESTTTS.EXE --> Eliminado

C:\WINDOWS\SYSTEM32\WF32B.EXE --> Eliminado

C:\WINDOWS\SYSTEM32\WF32VBC.EXE --> Eliminado

Entrada Eliminada [HKCU\...\Run] "Compaq32 Service Drivers"="ms32.exe"

Entrada Eliminada [HKCU\...\RunServices] "Compaq32 Service Drivers"="ms32.exe"

Entrada Eliminada [HKLM\...\Run] "Compaq32 Service Drivers"="ms32.exe"

Entrada Eliminada [HKLM\...\RunServices] "Compaq32 Service Drivers"="ms32.exe"

Entrada Eliminada [HKCU\...\Run] "CT Control Settings"="CTSVCCD.EXE"

Entrada Eliminada [HKLM\...\Run] "CT Control Settings"="CTSVCCD.EXE"

Entrada Eliminada [HKLM\...\RunServices] "CT Control Settings"="CTSVCCD.EXE"

Entrada Eliminada [HKLM\...\Run] "RDLL"="RunDll16.exe"

Entrada Eliminada [HKLM\...\RunServices] "RDLL"="RunDll16.exe"

Entrada Eliminada [HKCU\...\Run] "RNDc Test"="wf32b.exe"

Entrada Eliminada [HKLM\...\Run] "RNDc Test"="wf32b.exe"

Entrada Eliminada [HKLM\...\RunServices] "RNDc Test"="wf32b.exe"

Entrada Eliminada [HKCU\...\Run] "RNBz Test"="wf32vbc.exe"

Entrada Eliminada [HKLM\...\Run] "RNBz Test"="wf32vbc.exe"

Entrada Eliminada [HKLM\...\RunServices] "RNBz Test"="wf32vbc.exe"

No detectado Parche MS04-011 de Microsoft instalado.

No detectado Parche MS04-012 de Microsoft instalado.



Fri Jun 10 18:12:56 2005

EliTriIP v1.37 (c)2005 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones:

C:\Documents and Settings\MANOLO\Configuración local\Temp\addowot.exe --> Eliminado, SdBot.worm.gen.L

C:\Documents and Settings\MANOLO\Configuración local\Temp\aeqtluoz.exe --> Eliminado, SdBot.worm.gen.L

C:\Documents and Settings\MANOLO\Configuración local\Temp\ajsxnaw.exe --> Eliminado, SdBot.worm.gen.L

C:\Documents and Settings\MANOLO\Configuración local\Temp\ajteydt.exe --> Eliminado, SdBot.worm.gen.L

C:\Documents and Settings\MANOLO\Configuración local\Temp\aumfshlf.exe --> Eliminado, SdBot.worm.gen.L

C:\Documents and Settings\MANOLO\Configuración local\Temp\avusqozu.exe --> Eliminado, SdBot.worm.gen.L

C:\Documents and Settings\MANOLO\Configuración local\Temp\bgfqcjw.exe --> Eliminado, SdBot.worm.gen.L

C:\Documents and Settings\MANOLO\Configuración local\Temp\briupau.exe --> Eliminado, SdBot.worm.gen.L

C:\Documents and Settings\MANOLO\Configuración local\Temp\ccgwtoph.exe --> Eliminado, SdBot.worm.gen.L

C:\Documents and Settings\MANOLO\Configuración local\Temp\cdsvxz.exe --> Eliminado, SdBot.worm.gen.L

C:\Documents and Settings\MANOLO\Configuración local\Temp\cmzlfw.exe --> Eliminado, SdBot.worm.gen.L

C:\Documents and Settings\MANOLO\Configuración local\Temp\detsukah.exe --> Eliminado, SdBot.worm.gen.L

C:\Documents and Settings\MANOLO\Configuración local\Temp\fmyccqj.exe --> Eliminado, SdBot.worm.gen.L

C:\Documents and Settings\MANOLO\Configuración local\Temp\fntyxvk.exe --> Eliminado, SdBot.worm.gen.L

C:\Documents and Settings\MANOLO\Configuración local\Temp\fpsjbda.exe --> Eliminado, SdBot.worm.gen.L

C:\Documents and Settings\MANOLO\Configuración local\Temp\fxqbbaje.exe --> Eliminado, SdBot.worm.gen.L

C:\Documents and Settings\MANOLO\Configuración local\Temp\gapjjjkq.exe --> Eliminado, SdBot.worm.gen.L

C:\Documents and Settings\MANOLO\Configuración local\Temp\gwrobyb.exe --> Eliminado, SdBot.worm.gen.L

C:\Documents and Settings\MANOLO\Configuración local\Temp\hrbujtpz.exe --> Eliminado, SdBot.worm.gen.L

C:\Documents and Settings\MANOLO\Configuración local\Temp\hzaewp.exe --> Eliminado, SdBot.worm.gen.L

C:\Documents and Settings\MANOLO\Configuración local\Temp\ilrmijm.exe --> Eliminado, SdBot.worm.gen.L

C:\Documents and Settings\MANOLO\Configuración local\Temp\iqyadq.exe --> Eliminado, SdBot.worm.gen.L

C:\Documents and Settings\MANOLO\Configuración local\Temp\isrunx.exe --> Eliminado, SdBot.worm.gen.L

C:\Documents and Settings\MANOLO\Configuración local\Temp\japxqhz.exe --> Eliminado, SdBot.worm.gen.L

C:\Documents and Settings\MANOLO\Configuración local\Temp\jciqgtm.exe --> Eliminado, SdBot.worm.gen.L

C:\Documents and Settings\MANOLO\Configuración local\Temp\jqhgqzlb.exe --> Eliminado, SdBot.worm.gen.L

C:\Documents and Settings\MANOLO\Configuración local\Temp\kjzbyvp.exe --> Eliminado, SdBot.worm.gen.L

C:\Documents and Settings\MANOLO\Configuración local\Temp\knhxnzhr.exe --> Eliminado, SdBot.worm.gen.L

C:\Documents and Settings\MANOLO\Configuración local\Temp\lmdasapp.exe --> Eliminado, SdBot.worm.gen.L

C:\Documents and Settings\MANOLO\Configuración local\Temp\ltcghs.exe --> Eliminado, SdBot.worm.gen.L

C:\Documents and Settings\MANOLO\Configuración local\Temp\lwusikz.exe --> Eliminado, SdBot.worm.gen.L

C:\Documents and Settings\MANOLO\Configuración local\Temp\meoubkfj.exe --> Eliminado, SdBot.worm.gen.L

C:\Documents and Settings\MANOLO\Configuración local\Temp\mkbdsaf.exe --> Eliminado, SdBot.worm.gen.L

C:\Documents and Settings\MANOLO\Configuración local\Temp\mlliiw.exe --> Eliminado, SdBot.worm.gen.L

C:\Documents and Settings\MANOLO\Configuración local\Temp\nomhvr.exe --> Eliminado, SdBot.worm.gen.L

C:\Documents and Settings\MANOLO\Configuración local\Temp\nwndnp.exe --> Eliminado, SdBot.worm.gen.L

C:\Documents and Settings\MANOLO\Configuración local\Temp\ojbamlt.exe --> Eliminado, SdBot.worm.gen.L

C:\Documents and Settings\MANOLO\Configuración local\Temp\onvyrxxp.exe --> Eliminado, SdBot.worm.gen.L

C:\Documents and Settings\MANOLO\Configuración local\Temp\ovubcpvp.exe --> Eliminado, SdBot.worm.gen.L

C:\Documents and Settings\MANOLO\Configuración local\Temp\rayntxn.exe --> Eliminado, SdBot.worm.gen.L

C:\Documents and Settings\MANOLO\Configuración local\Temp\rqoezae.exe --> Eliminado, SdBot.worm.gen.L

C:\Documents and Settings\MANOLO\Configuración local\Temp\sgcxzfza.exe --> Eliminado, SdBot.worm.gen.L

C:\Documents and Settings\MANOLO\Configuración local\Temp\shnszyba.exe --> Eliminado, SdBot.worm.gen.L

C:\Documents and Settings\MANOLO\Configuración local\Temp\skfdchrt.exe --> Eliminado, SdBot.worm.gen.L

C:\Documents and Settings\MANOLO\Configuración local\Temp\slmhllav.exe --> Eliminado, SdBot.worm.gen.L

C:\Documents and Settings\MANOLO\Configuración local\Temp\sucixwa.exe --> Eliminado, SdBot.worm.gen.L

C:\Documents and Settings\MANOLO\Configuración local\Temp\sunjux.exe --> Eliminado, SdBot.worm.gen.L

C:\Documents and Settings\MANOLO\Configuración local\Temp\tbdyjptv.exe --> Eliminado, SdBot.worm.gen.L

C:\Documents and Settings\MANOLO\Configuración local\Temp\tfcmzgk.exe --> Eliminado, SdBot.worm.gen.L

C:\Documents and Settings\MANOLO\Configuración local\Temp\thtknhod.exe --> Eliminado, SdBot.worm.gen.L

C:\Documents and Settings\MANOLO\Configuración local\Temp\tighcuib.exe --> Eliminado, SdBot.worm.gen.L

C:\Documents and Settings\MANOLO\Configuración local\Temp\tssjmn.exe --> Eliminado, SdBot.worm.gen.L

C:\Documents and Settings\MANOLO\Configuración local\Temp\ujqirsfp.exe --> Eliminado, SdBot.worm.gen.L

C:\Documents and Settings\MANOLO\Configuración local\Temp\uqgpcssn.exe --> Eliminado, SdBot.worm.gen.L

C:\Documents and Settings\MANOLO\Configuración local\Temp\vcgzplfa.exe --> Eliminado, SdBot.worm.gen.L

C:\Documents and Settings\MANOLO\Configuración local\Temp\vjzkgfyb.exe --> Eliminado, SdBot.worm.gen.L

C:\Documents and Settings\MANOLO\Configuración local\Temp\vnxvfeq.exe --> Eliminado, SdBot.worm.gen.L

C:\Documents and Settings\MANOLO\Configuración local\Temp\wedbplvh.exe --> Eliminado, SdBot.worm.gen.L

C:\Documents and Settings\MANOLO\Configuración local\Temp\wepjlzhg.exe --> Eliminado, SdBot.worm.gen.L

C:\Documents and Settings\MANOLO\Configuración local\Temp\wfohvvk.exe --> Eliminado, SdBot.worm.gen.L

C:\Documents and Settings\MANOLO\Configuración local\Temp\wjpvtehd.exe --> Eliminado, SdBot.worm.gen.L

C:\Documents and Settings\MANOLO\Configuración local\Temp\xeeocv.exe --> Eliminado, SdBot.worm.gen.L

C:\Documents and Settings\MANOLO\Configuración local\Temp\xuuqntyn.exe --> Eliminado, SdBot.worm.gen.L

C:\Documents and Settings\MANOLO\Configuración local\Temp\xyvjhay.exe --> Eliminado, SdBot.worm.gen.L

C:\Documents and Settings\MANOLO\Configuración local\Temp\ykynhn.exe --> Eliminado, SdBot.worm.gen.L

C:\Documents and Settings\MANOLO\Configuración local\Temp\ypljdt.exe --> Eliminado, SdBot.worm.gen.L

C:\Documents and Settings\MANOLO\Configuración local\Temp\ytnumdo.exe --> Eliminado, SdBot.worm.gen.L

C:\Documents and Settings\MANOLO\Configuración local\Temp\yynctee.exe --> Eliminado, SdBot.worm.gen.L

C:\Documents and Settings\MANOLO\Configuración local\Temp\zknxdy.exe --> Eliminado, SdBot.worm.gen.L

C:\Documents and Settings\MANOLO\Configuración local\Temp\zoymopjm.exe --> Eliminado, SdBot.worm.gen.L

C:\WINDOWS\system32\TFTP4112 --> Eliminado, SdBot.worm.gen

C:\WINDOWS\system32\TFTP908 --> Eliminado, SdBot.worm.gen.W



Fri Jun 10 18:25:51 2005

EliTriIP v1.37 (c)2005 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones:

Entrada Eliminada [HKCU\...\Run] "Compaq32 Service Drivers"="ms32.exe"

Entrada Eliminada [HKCU\...\RunServices] "Compaq32 Service Drivers"="ms32.exe"

Entrada Eliminada [HKLM\...\Run] "Compaq32 Service Drivers"="ms32.exe"

Entrada Eliminada [HKLM\...\RunServices] "Compaq32 Service Drivers"="ms32.exe"

Entrada Eliminada [HKLM\...\Run] "CT Control Settings"="CTSVCCD.EXE"

Entrada Eliminada [HKLM\...\RunServices] "CT Control Settings"="CTSVCCD.EXE"

Entrada Eliminada [HKLM\...\Run] "RDLL"="RunDll16.exe"

Entrada Eliminada [HKLM\...\RunServices] "RDLL"="RunDll16.exe"

Entrada Eliminada [HKLM\...\Run] "RNDc Test"="wf32b.exe"

Entrada Eliminada [HKLM\...\RunServices] "RNDc Test"="wf32b.exe"

Entrada Eliminada [HKLM\...\Run] "RNBz Test"="wf32vbc.exe"

Entrada Eliminada [HKLM\...\RunServices] "RNBz Test"="wf32vbc.exe"

No detectado Parche MS04-011 de Microsoft instalado.

No detectado Parche MS04-012 de Microsoft instalado.



Fri Jun 10 18:26:24 2005

EliTriIP v1.37 (c)2005 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones:

C:\Documents and Settings\MANOLO\msdirectx.sys --> Eliminado, FURootKit



Fri Jun 10 18:41:59 2005

EliTriIP v1.37 (c)2005 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones:

No detectado Parche MS04-011 de Microsoft instalado.

No detectado Parche MS04-012 de Microsoft instalado.



Fri Jun 10 19:13:38 2005

EliStartPage v8.6 (c)2005 S.G.H. / Satinfo S.L.

------------------------------------------------

Lista de Acciones:

C:\WINDOWS\P.BAT --> Eliminado

C:\WINDOWS\UPDATE-SP1.HTML --> Eliminado

C:\WINDOWS\UPDATE-SP2.HTML --> Eliminado

C:\WINDOWS\UPDATE-SP3.HTML --> Eliminado

C:\WINDOWS\UPDATE-SP4.HTML --> Eliminado

C:\WINDOWS\UPDATE-SP5.HTML --> Eliminado

C:\WINDOWS\KANSY.REG --> Eliminado

C:\WINDOWS\KANY.REG --> Eliminado

Por favor, envienos una muestra del fichero

C:\DOCUME~1\MANOLO\CONFIG~1\TEMP\SYSREG.EXE.Muestra EliStartPage v8.6

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\SYSREG.EXE --> Eliminado

Por favor, envienos una muestra del fichero

C:\DOCUME~1\MANOLO\CONFIG~1\TEMP\ELITETOOLBAR VERSION 60.DLL.Muestra EliStartPage v8.6

a "virus@satinfo.es". Gracias.

C:\WINDOWS\ELITETOOLBAR\ELITETOOLBAR VERSION 60.DLL --> Eliminado

C:\WINDOWS\protect_new_55x55.gif --> Eliminado.

C:\WINDOWS\windowsXP_masthead_ltr.gif --> Eliminado.

Eliminada Class, BHO y ToolBar "{28CAEFF3-0F18-4036-B504-51D73BD81ABC}"

Eliminada Class, BHO y ToolBar "{825CF5BD-8862-4430-B771-0C15C5CA8DEF}"

Eliminada Class, BHO y ToolBar "{E0CE16CB-741C-4B24-8D04-A817856E07F4}"

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Fri Jun 10 19:14:12 2005

EliStartPage v8.6 (c)2005 S.G.H. / Satinfo S.L.

------------------------------------------------

Lista de Acciones:

C:\\configure32.exe --> Eliminado, LowZones (Dropper)

C:\\gc.exe --> Eliminado, DownLoader.PS

C:\\lc.exe --> Eliminado, DownLoader.PS

C:\Archivos de programa\DVD Decrypter\uninstall.exe --> AutoExtraible

C:\Archivos de programa\Kazaa Lite Resurrection\ksig.exe --> Eliminado, Affilred (BHO)

C:\Archivos de programa\Spybot - Search & Destroy\TeaTimer.exe --> Eliminado, Affilred (BHO)

C:\Archivos de programa\Spybot - Search & Destroy\Tools.dll --> Eliminado, Affilred (BHO)

C:\Documents and Settings\MANOLO\blup.exe --> Eliminado, LowZones (Dropper)

C:\Documents and Settings\MANOLO\sw.exe --> Eliminado, LowZones (Dropper)

C:\Documents and Settings\MANOLO\up.exe --> Eliminado, LowZones (Dropper)

C:\Documents and Settings\MANOLO\us.exe --> Eliminado, LowZones (Dropper)

C:\Documents and Settings\MANOLO\%SYSROOT%\kansy.reg --> Eliminado, LowZones REG

C:\Documents and Settings\MANOLO\%SYSROOT%\kany.reg --> Eliminado, LowZones REG

C:\Documents and Settings\MANOLO\%SYSROOT%\p.bat --> Eliminado, LowZones BAT

C:\Documents and Settings\MANOLO\%SYSROOT%\update-sp1.html --> Eliminado, RBlast.dldr

C:\Documents and Settings\MANOLO\%SYSROOT%\update-sp2.html --> Eliminado, RBlast.dldr

C:\Documents and Settings\MANOLO\%SYSROOT%\update-sp3.html --> Eliminado, RBlast.dldr

C:\Documents and Settings\MANOLO\%SYSROOT%\update-sp4.html --> Eliminado, RBlast.dldr

C:\Documents and Settings\MANOLO\%SYSROOT%\update-sp5.html --> Eliminado, RBlast.dldr

C:\Documents and Settings\MANOLO\Mis documentos\descargas\SetupDVDDecrypter_3.5.2.0.exe --> AutoExtraible



Fri Jun 10 20:20:07 2005

EliStartPage v8.6 (c)2005 S.G.H. / Satinfo S.L.

------------------------------------------------

Lista de Acciones:

Eliminada Carpeta "%WinDir%\EliteToolBar"

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Fri Jun 10 20:20:36 2005

EliStartPage v8.6 (c)2005 S.G.H. / Satinfo S.L.

------------------------------------------------

Lista de Acciones:

C:\Archivos de programa\DVD Decrypter\uninstall.exe --> AutoExtraible

C:\Documents and Settings\MANOLO\Mis documentos\descargas\SetupDVDDecrypter_3.5.2.0.exe --> AutoExtraible



Fri Jun 10 21:41:30 2005

EliStartPage v8.6 (c)2005 S.G.H. / Satinfo S.L.

------------------------------------------------

Lista de Acciones:

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Fri Jun 10 21:41:46 2005

EliStartPage v8.6 (c)2005 S.G.H. / Satinfo S.L.

------------------------------------------------

Lista de Acciones:

C:\Archivos de programa\DVD Decrypter\uninstall.exe --> AutoExtraible

C:\Documents and Settings\MANOLO\Mis documentos\descargas\SetupDVDDecrypter_3.5.2.0.exe --> AutoExtraible



Wed Jun 15 19:30:44 2005

EliStartPage v8.9 (c)2005 S.G.H. / Satinfo S.L.

------------------------------------------------

Lista de Acciones:

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Wed Jun 15 19:31:04 2005

EliStartPage v8.9 (c)2005 S.G.H. / Satinfo S.L.

------------------------------------------------

Lista de Acciones:

C:\Archivos de programa\DVD Decrypter\uninstall.exe --> AutoExtraible

C:\Archivos de programa\eMule\Uninstall.exe --> AutoExtraible

C:\Archivos de programa\Spybot - Search & Destroy\blindman.exe --> Eliminado, StartPage-GU (Pag.Ini)

C:\Archivos de programa\Spybot - Search & Destroy\borlndmm.dll --> Eliminado, StartPage-GU (Pag.Ini)

C:\Archivos de programa\Spybot - Search & Destroy\delphimm.dll --> Eliminado, StartPage-GU (Pag.Ini)

C:\Documents and Settings\MANOLO\Mis documentos\descargas\SetupDVDDecrypter_3.5.2.0.exe --> AutoExtraible

C:\WINDOWS\system32\wuaueng1.dll --> Eliminado, QHosts-16



Wed Jun 15 19:43:52 2005

EliStartPage v8.9 (c)2005 S.G.H. / Satinfo S.L.

------------------------------------------------

Lista de Acciones:

Eliminados Ficheros Temporales del IE



Wed Jun 15 19:44:52 2005

EliStartPage v8.9 (c)2005 S.G.H. / Satinfo S.L.

------------------------------------------------

Lista de Acciones:

C:\Archivos de programa\DVD Decrypter\uninstall.exe --> AutoExtraible

C:\Archivos de programa\eMule\Uninstall.exe --> AutoExtraible

C:\Documents and Settings\MANOLO\Mis documentos\descargas\SetupDVDDecrypter_3.5.2.0.exe --> AutoExtraible

C:\RECYCLER\S-1-5-21-1957994488-1336601894-839522115-1004\Dc1503.exe --> AutoExtraible



Un saludo

[msc hotline sat]

Estas usando unas versiones antiguas.

las actuales son:

elitriip 1.42
http://www.zonavirus.com/descargas/elitriip.asp

elistara 9.0
http://www.zonavirus.com/descargas/elistara.asp

Descargarlas y lánzalas, a ver si controlas algo nuevo, como MyTobs, SDBOT con el ELITRIIP o bichejos adwares, spywares y startpahes con el ELISTARA:EXE

Realmente el fichero SENTER.EXE es un misterio de expediente X, pero hay que encontrarlo.

Reportanos lo que detectes nuevo

saludos

ms, 15-06-2005

[msc hotline sat]

Aunque nos interesa que nos envies una muestra del SENTER.EXE para su analisis, interesa ante todo solucionar el problema de tu amigo, por lo que vamos a hacer una prueba, crear una carpeta SENTER.EXE dentro de la carpeta C:\WINDOWS\SYSTEM32\ y así, si una aplicacion crea el fichero en cuestion al arrancar, lo pone residente y luego lo borra, que me lo huelo, no podrá crearla por estar ocupado el nombre, y no lo podrá poner residente.



Haz la prueba y ns comentas el resultado, gracias



saludos



ms, 15-06-2005

[javier_almeria]

No me deja crear una carpeta en system32 que se llame senter.exe Me dice que ya existe otro archivo con ese nombre.



saludos.

[maura63]

Ya que se muestran los archivos y carpetas ocultas.....



Comprueba que se muestren tambien los archivos del sistema y archivos con extensiones conocidos y vuelve a buscar el famoso.



A ver si aparece el bicho.



Esto es posible :?: , en tu analisis da como resultado



No detectado Parche MS04-011 de Microsoft instalado.

No detectado Parche MS04-012 de Microsoft instalado.



Y creo que tienes el SP2



Saludos

maura63

[javier_almeria]

Hola.



No lo veia porque no se mostraban los archivos de sistema y con extensiones conocidas.



Ya tengo la muestra en diskette. Dentro de unos minutos, en mi casa, te lo mando.



Gracias msc.



Saludos.

[javier_almeria]

Hola.



Ya he enviado muestra del fichero senter.exe



Además he eliminado el fichero, borrado las entradas y reiniciado. Ya todo funciona perfectamente. Ya me contarás si el archivo enviado es vírico.



Muchísimas gracias msc. :wink:



Un saludo.

[maura63]

Bueno... por lo menos dimos con su escondite, en los archivos de sistema :wink: .



Ya te avisara Msc del resultado.



Saludos

maura63

[msc hotline sat]

Recibido el fichero SENTER.EXE, empezamos proceso de monitorizacion y debugger.



Al respecto debo decir que hemos descubierto que en el primer HJT que posteó, no tenía en proceso dicho fichero ni en las claves hacían referencia a él, sino con el mismo valor llamavan a un secctr.exe en la siguiente clave:



O4 - HKLM\..\Run: [*Security Center] secctr.exe



que sin duda está relacionado y será objeto tambien de control y eliminacion con la nueva version de la utilidad ELITRIIP que haremos hoy.



Seguiremos informando



saludos



ms, 16-06-2005

[msc hotline sat]

De entrada indicar que se trata de un virus ta controlado por muchos antivirus.

El residente de McAfee ha saltado cuando lo hemos ido a procesar, detectandolo como SDBOT:

Este es el resultado de analizar el archivo "senter.exe" que VirusTotal ha procesado el dia 16/06/2005 a las 10:21:02 (CET).

Antivirus Version Actualización Resultado
AntiVir 6.31.0.5 16.06.2005 no ha encontrado virus
AVG 718 14.06.2005 no ha encontrado virus
Avira 6.31.0.5 16.06.2005 no ha encontrado virus
BitDefender 7.0 16.06.2005 BehavesLike:Win32.IRC-Backdoor
ClamAV devel-20050501 15.06.2005 no ha encontrado virus
DrWeb 4.32b 16.06.2005 no ha encontrado virus
eTrust-Iris 7.1.194.0 16.06.2005 no ha encontrado virus
eTrust-Vet 11.9.1.0 16.06.2005 no ha encontrado virus
Fortinet 2.35.0.0 16.06.2005 no ha encontrado virus
Ikarus 2.32 15.06.2005 no ha encontrado virus
Kaspersky 4.0.2.24 16.06.2005 Backdoor.Win32.SdBot.xr
McAfee 4514 15.06.2005 W32/Sdbot.worm.gen.i
NOD32v2 1.1141 15.06.2005 probably unknown NewHeur_PE virus
Norman 5.70.10 15.06.2005 W32/Malware
Panda 8.02.00 14.06.2005 no ha encontrado virus
Sybari 7.5.1314 16.06.2005 W32/Rbot-Fam
Symantec 8.0 14.06.2005 no ha encontrado virus
TheHacker 5.8-3.0 16.06.2005 no ha encontrado virus
VBA32 3.10.3 15.06.2005 no ha encontrado virus

Mirad de tener instalado residente un antivirus profesional bien actualizado !!!

Hoy subiremos a esta web nuevo ELITRIIP que controle esta variante, y que, aunque ya no encontrara el fichero gusano, restaurará las claves de registro que este gaya podido modificar.

saludos

ms, 16-06-2005

[javier_almeria]

Hola.



Le pasé el mcafee online y no lo detectó. Eso fué antes de ayer. De todas formas, eliminado el archivo vírico y las entradas, el pc funciona perfectamente.



Como antivirus residente, tiene instalado el avast home.



Ya podemos dar el tema por solucionado. :)



Un saludo.

[msc hotline sat]

Claro, el McAfee de hace dos días hoy es el pasado !!!



Estamos en la 4514 de DATS, y como habrás visto en el report del testeo con 19 antivirus, McAfee y otros lo detectan.



El Avast no está considerado como antivirus profesional, y no está entre los 19 del VirusTotal, a pesar de que por ser gratuito, es una opcion para algunos usuarios particulares.



En media hora subiremos la nueva version del ELITRIIP, Ya avisaremos



saludos



ms, 16-06-2005