Problem persisitente con spyaxe y mensaje (SOLUCIONADO)

Esteban garcia · Mensaje por **Esteban garcia** » 17 Dic 2005, 21:50

hola, tengo problemas con el spyware y los mensajes de infeccion de la barra de tareas de windos, me lei en vuestra pag un tutorial y me lance de cabeza a intetar solucionar mis problemas. Tras desactivar la restauracion de windows, pase EliStartPage v10.76, mientras paso el programa sigen los mensajes de la barra de tareas, luego instalo spybot y tambien lo paso y tras eso paso el antivirus Norton Internet security.

Pero ... el maldito spyaxe reaparece y como no tambien los malditos mensajito.

sin mas os mando una copia de infosat.txt

Wed Dec 14 22:00:27 2005

EliStartPage v10.75 (c)2005 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones:

Por favor, envienos una muestra del fichero

C:\DOCUME~1\ADMINI~1\CONFIG~1\TEMP\NVCTRL.EXE.Muestra EliStartPage v10.75

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\NVCTRL.EXE --> Renombrado a .VIR

C:\WINDOWS\SYSTEM32\MSVOL.TLB --> Eliminado

C:\WINDOWS\SYSTEM32\NCOMPAT.TLB --> Renombrado a .VIR

C:\WINDOWS\SYSTEM32\MSSEARCHNET.EXE --> Eliminado Puper (dldr)

C:\ARCHIVOS DE PROGRAMA\SPYAXE\SPYAXE.EXE --> Eliminado WinAd (Dropper)

Por favor, envienos una muestra del fichero

C:\DOCUME~1\ADMINI~1\CONFIG~1\TEMP\HPCFF5.TMP.Muestra EliStartPage v10.75

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\HPCFF5.TMP --> Renombrado a .VIR

C:\WINDOWS\SYSTEM32\OT.ICO --> Eliminado (Fichero Complementario).

Entrada Eliminada [HKLM\...\Run] "SpyAxe"="C:\Archivos de programa\SpyAxe\spyaxe.exe /h"

Eliminada Class, "{1CA480CD-C0E5-4548-874E-B85B17905B3A}"

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Thu Dec 15 22:20:23 2005

EliStartPage v10.76 (c)2005 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones:

Por favor, envienos una muestra del fichero

C:\DOCUME~1\ADMINI~1\CONFIG~1\TEMP\NVCTRL.EXE.Muestra EliStartPage v10.76

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\NVCTRL.EXE --> Eliminado

C:\WINDOWS\SYSTEM32\MSVOL.TLB --> Eliminado

C:\WINDOWS\SYSTEM32\NCOMPAT.TLB --> Eliminado

Por favor, envienos una muestra del fichero

C:\DOCUME~1\ADMINI~1\CONFIG~1\TEMP\HP532C.TMP.Muestra EliStartPage v10.76

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\HP532C.TMP --> Eliminado

Eliminada Class, "{1CA480CD-C0E5-4548-874E-B85B17905B3A}"

Eliminada Carpeta "%Archivos de Programa%\SpyAxe"

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Thu Dec 15 22:23:02 2005

EliStartPage v10.76 (c)2005 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones:

C:\ARCHIVOS DE PROGRAMA\NORTON INTERNET SECURITY\PPROFILE.DLL --> Sospechoso

Por favor, envienos una muestra del fichero a "virus@satinfo.es". Gracias.

Thu Dec 15 22:42:52 2005

EliStartPage v10.76 (c)2005 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones:

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Thu Dec 15 22:48:18 2005

EliStartPage v10.76 (c)2005 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones:

C:\ARCHIVOS DE PROGRAMA\NORTON INTERNET SECURITY\PPROFILE.DLL --> Sospechoso

Por favor, envienos una muestra del fichero a "virus@satinfo.es". Gracias.

Fri Dec 16 18:04:36 2005

EliStartPage v10.76 (c)2005 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones:

C:\ARCHIVOS DE PROGRAMA\SPYAXE\SPYAXE.EXE --> Eliminado WinAd (Dropper)

Entrada Eliminada [HKLM\...\Run] "SpyAxe"="C:\Archivos de programa\SpyAxe\spyaxe.exe /h"

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Fri Dec 16 18:07:17 2005

EliStartPage v10.76 (c)2005 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones:

Eliminada Carpeta "%Archivos de Programa%\SpyAxe"

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Fri Dec 16 18:08:30 2005

EliStartPage v10.76 (c)2005 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones:

C:\ARCHIVOS DE PROGRAMA\NORTON INTERNET SECURITY\PPROFILE.DLL --> Sospechoso

Por favor, envienos una muestra del fichero a "virus@satinfo.es". Gracias.

Fri Dec 16 18:15:55 2005

EliStartPage v10.76 (c)2005 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones:

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Fri Dec 16 18:17:32 2005

EliStartPage v10.76 (c)2005 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones:

C:\ARCHIVOS DE PROGRAMA\NORTON INTERNET SECURITY\PPROFILE.DLL --> Sospechoso

Por favor, envienos una muestra del fichero a "virus@satinfo.es". Gracias.

Sat Dec 17 04:33:59 2005

EliStartPage v10.76 (c)2005 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones:

C:\ARCHIVOS DE PROGRAMA\SPYAXE\SPYAXE.EXE --> Eliminado WinAd (Dropper)

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Sat Dec 17 04:35:04 2005

EliStartPage v10.76 (c)2005 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones:

C:\ARCHIVOS DE PROGRAMA\NORTON INTERNET SECURITY\PPROFILE.DLL --> Sospechoso

Por favor, envienos una muestra del fichero a "virus@satinfo.es". Gracias.

Sat Dec 17 14:46:25 2005

EliStartPage v10.76 (c)2005 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones:

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Sat Dec 17 14:48:05 2005

EliStartPage v10.76 (c)2005 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones:

C:\ARCHIVOS DE PROGRAMA\NORTON INTERNET SECURITY\PPROFILE.DLL --> Sospechoso

Por favor, envienos una muestra del fichero a "virus@satinfo.es". Gracias.

Sat Dec 17 21:16:03 2005

EliStartPage v10.76 (c)2005 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones:

C:\ARCHIVOS DE PROGRAMA\SPYAXE\SPYAXE.EXE --> Eliminado WinAd (Dropper)

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Sat Dec 17 21:18:08 2005

EliStartPage v10.76 (c)2005 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones:

C:\ARCHIVOS DE PROGRAMA\NORTON INTERNET SECURITY\PPROFILE.DLL --> Sospechoso

Por favor, envienos una muestra del fichero a "virus@satinfo.es". Gracias.

Atentamente un saludo, hacéis una labor cojonuda.

Mensaje por **msc hotline sat** » 18 Dic 2005, 07:19

EL ELISTARA te ha pedido que nos enviaras muchas muestras. Lo has ido haciendo ????

Todos los ficheros sospechosos que detecta han de ser analizados para proceder a implementar su control y eliminacion en proximas versiones, pero para ello deben enviarse...

Aparte, ya hay la version 10.77 en esta web

saludos

ms, 18-12-2005

Esteban garcia · Mensaje por **Esteban garcia** » 18 Dic 2005, 14:47

Hola envié los archivos antes de inscribirme en el foro, de todas formas os los reenvió.

Un saludo y gracias

Mensaje por **msc hotline sat** » 19 Dic 2005, 11:50

Pues como que estamos al día de miestras aplicadas al ELISTARA, bajate la v.10.77 actual y lanzalo a ver lo que te encientra, controla, elimina o en su caso pide otras muestras..., y nos informas como respuesta de este Tema, gracias

saludos

ms, 19-12-2005

Esteban garcia · Mensaje por **Esteban garcia** » 20 Dic 2005, 01:07

e pasado el ELISTARA 10.77, al terminar me dice q a eliminado el spyaxe pero quedan los accesos directos q elimino a mano y también me deja eliminar el programa desde el desinstalados de Windows, aunque durante todo este proceso (incluso cuando estoy pasando el elisastra) continúan saliendo los malditos mensajes de la barra de tareas, tras esto paso el espy bot y elimina algunos espiwares entre ellos de nuevo el spyaxe,(cuando ejecuto el spybot me dice q tengo instalado el adware, programa q no encuentro en ningún sitio, en el registro se mantiene entradas del nospy y del spyfigter y otros programas) al finalizar el programa parece q todo a desaparecido pero .... al de un rato tengo de nuevo al maldito dúo spyaxe y mensajitos actuando de nuevo. Esto es una pesadilla.

os mando un copia del infosat.

Wed Dec 14 22:00:27 2005

EliStartPage v10.75 (c)2005 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones:

Por favor, envienos una muestra del fichero

C:\DOCUME~1\ADMINI~1\CONFIG~1\TEMP\NVCTRL.EXE.Muestra EliStartPage v10.75

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\NVCTRL.EXE --> Renombrado a .VIR

C:\WINDOWS\SYSTEM32\MSVOL.TLB --> Eliminado

C:\WINDOWS\SYSTEM32\NCOMPAT.TLB --> Renombrado a .VIR

C:\WINDOWS\SYSTEM32\MSSEARCHNET.EXE --> Eliminado Puper (dldr)

C:\ARCHIVOS DE PROGRAMA\SPYAXE\SPYAXE.EXE --> Eliminado WinAd (Dropper)

Por favor, envienos una muestra del fichero

C:\DOCUME~1\ADMINI~1\CONFIG~1\TEMP\HPCFF5.TMP.Muestra EliStartPage v10.75

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\HPCFF5.TMP --> Renombrado a .VIR

C:\WINDOWS\SYSTEM32\OT.ICO --> Eliminado (Fichero Complementario).

Entrada Eliminada [HKLM\...\Run] "SpyAxe"="C:\Archivos de programa\SpyAxe\spyaxe.exe /h"

Eliminada Class, "{1CA480CD-C0E5-4548-874E-B85B17905B3A}"

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Thu Dec 15 22:20:23 2005

EliStartPage v10.76 (c)2005 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones:

Por favor, envienos una muestra del fichero

C:\DOCUME~1\ADMINI~1\CONFIG~1\TEMP\NVCTRL.EXE.Muestra EliStartPage v10.76

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\NVCTRL.EXE --> Eliminado

C:\WINDOWS\SYSTEM32\MSVOL.TLB --> Eliminado

C:\WINDOWS\SYSTEM32\NCOMPAT.TLB --> Eliminado

Por favor, envienos una muestra del fichero

C:\DOCUME~1\ADMINI~1\CONFIG~1\TEMP\HP532C.TMP.Muestra EliStartPage v10.76

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\HP532C.TMP --> Eliminado

Eliminada Class, "{1CA480CD-C0E5-4548-874E-B85B17905B3A}"

Eliminada Carpeta "%Archivos de Programa%\SpyAxe"

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Thu Dec 15 22:23:02 2005

EliStartPage v10.76 (c)2005 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones:

C:\ARCHIVOS DE PROGRAMA\NORTON INTERNET SECURITY\PPROFILE.DLL --> Sospechoso

Por favor, envienos una muestra del fichero a "virus@satinfo.es". Gracias.

Thu Dec 15 22:42:52 2005

EliStartPage v10.76 (c)2005 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones:

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Thu Dec 15 22:48:18 2005

EliStartPage v10.76 (c)2005 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones:

C:\ARCHIVOS DE PROGRAMA\NORTON INTERNET SECURITY\PPROFILE.DLL --> Sospechoso

Por favor, envienos una muestra del fichero a "virus@satinfo.es". Gracias.

Fri Dec 16 18:04:36 2005

EliStartPage v10.76 (c)2005 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones:

C:\ARCHIVOS DE PROGRAMA\SPYAXE\SPYAXE.EXE --> Eliminado WinAd (Dropper)

Entrada Eliminada [HKLM\...\Run] "SpyAxe"="C:\Archivos de programa\SpyAxe\spyaxe.exe /h"

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Fri Dec 16 18:07:17 2005

EliStartPage v10.76 (c)2005 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones:

Eliminada Carpeta "%Archivos de Programa%\SpyAxe"

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Fri Dec 16 18:08:30 2005

EliStartPage v10.76 (c)2005 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones:

C:\ARCHIVOS DE PROGRAMA\NORTON INTERNET SECURITY\PPROFILE.DLL --> Sospechoso

Por favor, envienos una muestra del fichero a "virus@satinfo.es". Gracias.

Fri Dec 16 18:15:55 2005

EliStartPage v10.76 (c)2005 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones:

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Fri Dec 16 18:17:32 2005

EliStartPage v10.76 (c)2005 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones:

C:\ARCHIVOS DE PROGRAMA\NORTON INTERNET SECURITY\PPROFILE.DLL --> Sospechoso

Por favor, envienos una muestra del fichero a "virus@satinfo.es". Gracias.

Sat Dec 17 04:33:59 2005

EliStartPage v10.76 (c)2005 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones:

C:\ARCHIVOS DE PROGRAMA\SPYAXE\SPYAXE.EXE --> Eliminado WinAd (Dropper)

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Sat Dec 17 04:35:04 2005

EliStartPage v10.76 (c)2005 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones:

C:\ARCHIVOS DE PROGRAMA\NORTON INTERNET SECURITY\PPROFILE.DLL --> Sospechoso

Por favor, envienos una muestra del fichero a "virus@satinfo.es". Gracias.

Sat Dec 17 14:46:25 2005

EliStartPage v10.76 (c)2005 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones:

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Sat Dec 17 14:48:05 2005

EliStartPage v10.76 (c)2005 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones:

C:\ARCHIVOS DE PROGRAMA\NORTON INTERNET SECURITY\PPROFILE.DLL --> Sospechoso

Por favor, envienos una muestra del fichero a "virus@satinfo.es". Gracias.

Sat Dec 17 21:16:03 2005

EliStartPage v10.76 (c)2005 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones:

C:\ARCHIVOS DE PROGRAMA\SPYAXE\SPYAXE.EXE --> Eliminado WinAd (Dropper)

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Sat Dec 17 21:18:08 2005

EliStartPage v10.76 (c)2005 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones:

C:\ARCHIVOS DE PROGRAMA\NORTON INTERNET SECURITY\PPROFILE.DLL --> Sospechoso

Por favor, envienos una muestra del fichero a "virus@satinfo.es". Gracias.

Sun Dec 18 14:51:33 2005

EliStartPage v10.77 (c)2005 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones:

C:\ARCHIVOS DE PROGRAMA\SPYAXE\SPYAXE.EXE --> Eliminado WinAd (Dropper)

Entrada Eliminada [HKLM\...\Run] "SpyAxe"="C:\Archivos de programa\SpyAxe\spyaxe.exe /h"

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Sun Dec 18 14:53:15 2005

EliStartPage v10.77 (c)2005 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones:

C:\ARCHIVOS DE PROGRAMA\NORTON INTERNET SECURITY\PPROFILE.DLL --> Sospechoso

Por favor, envienos una muestra del fichero a "virus@satinfo.es". Gracias.

C:\DOCUMENTS AND SETTINGS\ADMINISTRADOR\CONFIGURACIóN LOCAL\TEMP\HP532C.TMP.MUESTRA ELISTARTPAGE V10.76 --> Eliminado, Puper (BHO)

C:\DOCUMENTS AND SETTINGS\ADMINISTRADOR\CONFIGURACIóN LOCAL\TEMP\HPCFF5.TMP.MUESTRA ELISTARTPAGE V10.75 --> Eliminado, Puper (BHO)

C:\WINDOWS\SYSTEM32\HPCFF5.TMP --> Eliminado, Puper (BHO)

C:\WINDOWS\SYSTEM32\HPDC35.TMP --> Eliminado, Puper (BHO)

Muchas gracias. Aora mismo os mando un correo con los archivos q me pide el infosat . Muchas gracias de nuevo. Un saludo

Mensaje por **msc hotline sat** » 20 Dic 2005, 07:04

Mientras analizaremos la muestra, lanza nuestra utilidad en desarrollo SPROCES.EXE que "ve" claves ocultas para el HJT, y nos posteas su log (C:\SPROCLOG.TXT) como respuesta de este Tema. Jau unas claves de policies (politicas) donde posiblemente se lance el SPYAXE:

http://www.zonavirus.com/descargas/sproces.asp

Con ello te ionformaremos de como proceder o implementaremos lo procedente en un nuevo ELISTARA

saludos

ms, 20-12-2005

Esteban garcia · Mensaje por **Esteban garcia** » 21 Dic 2005, 19:29

hola y gracias este es el log (C:\SPROCLOG.TXT), un saludo y gracias.

Wed Dec 21 19:22:38 2005

SProces v1.8 (c)2005 S.G.H. / Satinfo S.L.

-------------------------------------------

Sistema Operativo: Microsoft Windows XP (v5.1.2600) Service Pack 2

Internet Explorer: (v6.0.2900.2180) ;SP2;

Procesos Activos:

------------------

C:\WINDOWS\SYSTEM32\SMSS.EXE -> smss.exe, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158), Administrador de sesión de Windows NT, Microsoft Corporation

C:\WINDOWS\SYSTEM32\WINLOGON.EXE -> WINLOGON.EXE, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158), Aplicación de inicio de sesión de Windows NT, Microsoft Corporation

C:\WINDOWS\SYSTEM32\SERVICES.EXE -> services.exe, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158), Aplicación de servicios y controlador, Microsoft Corporation

C:\WINDOWS\SYSTEM32\LSASS.EXE -> lsass.exe, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158), LSA Shell (Export Version), Microsoft Corporation

C:\WINDOWS\SYSTEM32\ATI2EVXX.EXE -> ATI2EVXX.EXE, 6.14.10.4113, ATI External Event Utility EXE Module, ATI Technologies Inc.

C:\WINDOWS\SYSTEM32\SVCHOST.EXE -> svchost.exe, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158), Generic Host Process for Win32 Services, Microsoft Corporation

C:\WINDOWS\SYSTEM32\SVCHOST.EXE -> svchost.exe, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158), Generic Host Process for Win32 Services, Microsoft Corporation

C:\ARCHIVOS DE PROGRAMA\ARCHIVOS COMUNES\SYMANTEC SHARED\CCSETMGR.EXE -> ccSetMgr.exe, 2.1.6.3, Common Client Settings Manager Service, Symantec Corporation

C:\ARCHIVOS DE PROGRAMA\ARCHIVOS COMUNES\SYMANTEC SHARED\SNDSRVC.EXE -> SndSrvc.exe, 5.5.1.6, Network Driver Service, Symantec Corporation

C:\ARCHIVOS DE PROGRAMA\ARCHIVOS COMUNES\SYMANTEC SHARED\CCEVTMGR.EXE -> ccEvtMgr.exe, 2.1.6.3, Common Client Event Manager Service, Symantec Corporation

C:\WINDOWS\SYSTEM32\ATI2EVXX.EXE -> ATI2EVXX.EXE, 6.14.10.4113, ATI External Event Utility EXE Module, ATI Technologies Inc.

C:\WINDOWS\EXPLORER.EXE -> EXPLORER.EXE, 6.00.2900.2180 (xpsp_sp2_rtm.040803-2158), Explorador de Windows, Microsoft Corporation

C:\WINDOWS\SYSTEM32\SPOOLSV.EXE -> spoolsv.exe, 5.1.2600.2696 (xpsp_sp2_gdr.050610-1519), Spooler SubSystem App, Microsoft Corporation

C:\ARCHIVOS DE PROGRAMA\ATI TECHNOLOGIES\ATI CONTROL PANEL\ATIPTAXX.EXE -> Atiptaxx.exe, 6.14.10.5142, ATI Desktop Control Panel, ATI Technologies, Inc.

C:\WINDOWS\SYSTEM32\SPOOL\DRIVERS\W32X86\3\HPZTSB06.EXE -> , 2,133,0,0, , HP

C:\ARCHIVOS DE PROGRAMA\ARCHIVOS COMUNES\SYMANTEC SHARED\CCAPP.EXE -> ccApp.exe, 2.1.6.3, Common Client User Session, Symantec Corporation

C:\ARCHIVOS DE PROGRAMA\ARCHIVOS COMUNES\ACD SYSTEMS\ES\DEVDETECT.EXE -> DevDetect.exe, 2, 0, 1, 6, Device Detector, ACD Systems, Ltd.

C:\ARCHIVOS DE PROGRAMA\SPYAXE\SPYAXE.EXE -> spyaxe.exe, 3.0.0.0, Anti-spyware software, SpyAxe.com

C:\ARCHIVOS DE PROGRAMA\MESSENGER\MSMSGS.EXE -> msmsgs.exe, 4.7.3001, Windows Messenger, Microsoft Corporation

C:\ARCHIVOS DE PROGRAMA\SPYAXE\SPYAXE.EXE -> spyaxe.exe, 3.0.0.0, Anti-spyware software, SpyAxe.com

C:\ARCHIVOS DE PROGRAMA\INTERVIDEO\COMMON\BIN\WINCINEMAMGR.EXE -> WinCinemaMgr.EXE, 1.8.2, WinCinema Manager, InterVideo Inc.

C:\ARCHIVOS DE PROGRAMA\ARCHIVOS COMUNES\SYMANTEC SHARED\CCPROXY.EXE -> ccProxy.exe, 2.1.6.3, Common Client Network Proxy Service, Symantec Corporation

C:\ARCHIVOS DE PROGRAMA\NORTON INTERNET SECURITY\NORTON ANTIVIRUS\NAVAPSVC.EXE -> NAVAPSVC.EXE, 10.00.13, Norton AntiVirus Auto-Protect Service, Symantec Corporation

C:\ARCHIVOS DE PROGRAMA\ARCHIVOS COMUNES\SYMANTEC SHARED\SECURITY CENTER\SYMWSC.EXE -> SymWSC.exe, 2005.1.2.20, Norton Security Center Service, Symantec Corporation

C:\WINDOWS\SYSTEM32\SVCHOST.EXE -> svchost.exe, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158), Generic Host Process for Win32 Services, Microsoft Corporation

C:\ARCHIVOS DE PROGRAMA\NORTON INTERNET SECURITY\NORTON ANTIVIRUS\SAVSCAN.EXE -> SAVSCAN.EXE, , Symantec AntiVirus Scanner, Symantec Corporation

I:\MULA\EMULE\EMULE.EXE -> emule.exe, 0.46.2 Unicode, eMule, http://www.emule-project.net

C:\ARCHIVOS DE PROGRAMA\INTERNET EXPLORER\IEXPLORE.EXE -> IEXPLORE.EXE, 6.00.2600.0000, Internet Explorer, Microsoft Corporation

C:\WINDOWS\MSAGENT\AGENTSVR.EXE -> AgentSvr.exe, 2.00.0.3422, Microsoft Agent Server, Microsoft Corporation

C:\SPROCES.EXE -> SProces.EXE, 1, 0, 0, 0, Visualizador de Modulos y Procesos activos, Satinfo S.L.

Llamadas en el Registro de Sistema:

-----------------------------------

[HKCU\...\Windows] "Load"=""

[HKLM\...\Winlogon] "Shell"="Explorer.exe"

[HKLM\...\Winlogon] "UserInit"="C:\WINDOWS\system32\userinit.exe,"

[HKLM\...\Windows] "AppInit_DLLs"=""

[HKCR\exefile] ""%1" %*"

[HKCR\comfile] ""%1" %*"

[HKCR\cmdfile] ""%1" %*"

[HKCR\batfile] ""%1" %*"

[HKCR\piffile] ""%1" %*"

[HKCR\scrfile] ""%1" /S"

[HKCU\...\Run] "MSMSGS"=""C:\Archivos de programa\Messenger\msmsgs.exe" /background"

[HKLM\...\Run] "ATIPTA"="C:\Archivos de programa\ATI Technologies\ATI Control Panel\atiptaxx.exe"

[HKLM\...\Run] "NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe"

[HKLM\...\Run] "Acceso directo a la página de propiedades de High Definition Audio"="HDAudPropShortcut.exe"

[HKLM\...\Run] "HPDJ Taskbar Utility"="C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb06.exe"

[HKLM\...\Run] "ccApp"=""C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe""

[HKLM\...\Run] "URLLSTCK.exe"="C:\Archivos de programa\Norton Internet Security\UrlLstCk.exe"

[HKLM\...\Run] "Device Detector"=""C:\Archivos de programa\Archivos comunes\ACD Systems\ES\DevDetect.exe" -autorun"

[HKLM\...\Run] "Symantec NetDriver Monitor"="C:\ARCHIV~1\SYMNET~1\SNDMon.exe /Consumer"

[HKLM\...\Run] "SSC_UserPrompt"="C:\Archivos de programa\Archivos comunes\Symantec Shared\Security Center\UsrPrmpt.exe"

[HKLM\...\Run] "NI.UWFX5Y_0001_N56M1811"=""C:\Documents and Settings\Administrador\Configuración local\Archivos temporales de Internet\Content.IE5\01WB0NW3\WinFixer2005ScannerInstall_es[1].exe" -nag "

[HKLM\...\Run] "SpyFighterMonitor"=""C:\Archivos de programa\SpyFighter\SpyFighter.exe" monitor"

[HKLM\...\Run] "SpyFighterUpdate"=""C:\Archivos de programa\SpyFighter\AutoUpdate.exe" silent"

[HKLM\...\Run] "Sin Espias"="C:\Archivos de programa\SinEspias\No-Spy.exe /autorun"

[HKLM\...\Run] "stnospy"="C:\Archivos de programa\SinEspias\no-spy.exe /autorun"

[HKLM\...\Run] "SpyAxe"="C:\Archivos de programa\SpyAxe\spyaxe.exe /h"

[HKLM\...\Winlogon\Notify\ATIEXTEVENT] -> ATI2EVXX.DLL

[ShellServiceObjectDelayLoad] "PostBootReminder" {7849596a-48ea-486e-8937-a2a3009f31a9} -> %SystemRoot%\system32\SHELL32.dll

[ShellServiceObjectDelayLoad] "CDBurn" {fbeb8a05-beee-4442-804e-409d6c4515e9} -> %SystemRoot%\system32\SHELL32.dll

[ShellServiceObjectDelayLoad] "WebCheck" {E6FB5E20-DE35-11CF-9C87-00AA005127ED} -> %SystemRoot%\system32\webcheck.dll

[ShellServiceObjectDelayLoad] "SysTray" {35CEC8A3-2BE6-11D2-8773-92E220524153} -> C:\WINDOWS\system32\stobject.dll

Internet Explorer:

------------------

[HKCU] "Start Page"="http://www.google.com/"

[HKLM] "Start Page"="about:blank"

[HKCU] "Search Page"="http://www.microsoft.com/en/us/default.aspxisapi/redir.dll?prd=ie&ar=iesearch"

[HKLM] "Search Page"="http://www.microsoft.com/en/us/default.aspxisapi/redir.dll?prd=ie&ar=iesearch"

BHO: "" {53707962-6F74-2D53-2644-206D7942484F} -> C:\ARCHIV~1\SPYBOT~1\SDHelper.dll

URLSearchHooks (HKCU): "Hook de búsqueda de direcciones URL de Microsoft" {CFBFAE00-17A6-11D0-99CB-00C04FD64497} -> %SystemRoot%\system32\shdocvw.dll

ToolBar: "Web assistant" {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} -> C:\Archivos de programa\Archivos comunes\Symantec Shared\AdBlocking\NISShExt.dll

ToolBar: "Norton AntiVirus" {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} -> C:\Archivos de programa\Norton Internet Security\Norton AntiVirus\NavShExt.dll

Servidores DNS:

Ficheros en la Carpeta de Inicio de Windows:

--------------------------------------------

C:\Documents and Settings\All Users\Menú Inicio\Programas\Inicio\Adobe Gamma Loader.lnk

C:\Documents and Settings\All Users\Menú Inicio\Programas\Inicio\desktop.ini

C:\Documents and Settings\All Users\Menú Inicio\Programas\Inicio\Inicio rápido de Adobe Reader.lnk

C:\Documents and Settings\All Users\Menú Inicio\Programas\Inicio\InterVideo WinCinema Manager.lnk

C:\Documents and Settings\Administrador\Menú Inicio\Programas\Inicio\desktop.ini

Llamadas en el WIN.INI y SYSTEM.INI:

------------------------------------

Contenido del CONFIG.SYS:

-------------------------

Contenido del AUTOEXEC.BAT:

---------------------------

Contenido del WINSTART.BAT:

---------------------------

Contenido del HOSTS:

--------------------

# Copyright (c) 1993-1999 Microsoft Corp.

#

# Éste es un ejemplo de archivo HOSTS usado por Microsoft TCP/IP para Windows.

#

# Este archivo contiene las asignaciones de las direcciones IP a los nombres de

# host. Cada entrada debe permanecer en una línea individual. La dirección IP

# debe ponerse en la primera columna, seguida del nombre de host correspondiente.

# La dirección IP y el nombre de host deben separarse con al menos un espacio.

#

#

# También pueden insertarse comentarios (como éste) en líneas individuales

# o a continuación del nombre de equipo indicándolos con el símbolo "#"

#

# Por ejemplo:

#

# 102.54.94.97 rhino.acme.com # servidor origen

# 38.25.63.10 x.acme.com # host cliente x

127.0.0.1 localhost

Mensaje por **msc hotline sat** » 21 Dic 2005, 20:29

No hay nada en policies...

Como que hay una novedad con el SPYAXEm que es una DLL controlada con el ELISTARA 10.79 de hoym bajalo y pruebalo, a ver si hay suerte u detectas un SVCHOSTS.DLL que hemos recibido hoy...

y nos informas, gracias

saludos

ms, 21-12-2005

Mensaje por **msc hotline sat** » 22 Dic 2005, 10:34

A la espera de sus noticias, como que vemos que aun no habiendo clave de policies tiene muchos residentes /(creemos que demasiados) de antivirus y de antispywares, de los cuales entre estos ulimos podría estar camuflado el dichos SPYAXE, aun con otro nombre, ya que tiene winfixer, spyfighter, NoSPY, etc, aparte del SPYAXE que se ha regenerado tras haber borrado previamente el ELISTARA las llamadas y la carpeta entera, nos interesa que nos postee un log del HiJackThis de la siguiente forma:

[i]¿Como utilizar el Hijackthis ?[/i]

Lo primero que debemos hacer es descargarlo en nuestro ordenador y lócalo en una carpeta propia C:\HijackThis\

Ejecútalo y presiona el botón "~~[b]~~Do a system scan and save a logfile[/b]"; el programa realizará el escaneo e inmediatamente generará el Log, sólo te pedira el nombre del archivo y su ubicación, puedes simplemente guardarlo así como está.

Se abrirá el Bloc de Notas, copia todo el contenido y pégalo como respuesta de este Tema

· [url=http://www.zonavirus.com/descargas/trendmicro-hijackthis.asp]~~[b]~~Descargar Hijackthis[/b][/url]

y asi poder borrar facilmente determinadas claves que le diremos, lanzando de nuevo el HJTm marcandolas y dandoles FIX, y asi ver si alguna de ellas es la causante.

esperamos su post

saludos

ms, 22-12.2005

Esteban garcia · Mensaje por **Esteban garcia** » 22 Dic 2005, 21:40

gracias por su preocupacion y perdon por tardar tanto en responder.

Os pego el log del hijackthis.

Logfile of HijackThis v1.99.1

Scan saved at 21:34:53, on 22/12/2005

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSetMgr.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\SNDSrvc.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\ccEvtMgr.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\ccProxy.exe

C:\Archivos de programa\Norton Internet Security\Norton AntiVirus\navapsvc.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\Security Center\SymWSC.exe

C:\Archivos de programa\Norton Internet Security\Norton AntiVirus\SAVScan.exe

C:\Archivos de programa\ATI Technologies\ATI Control Panel\atiptaxx.exe

C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb06.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe

C:\Archivos de programa\Archivos comunes\ACD Systems\ES\DevDetect.exe

C:\Archivos de programa\Messenger\msmsgs.exe

C:\WINDOWS\system32\svchost.exe

C:\Archivos de programa\InterVideo\Common\Bin\WinCinemaMgr.exe

C:\Archivos de programa\Internet Explorer\IEXPLORE.EXE

C:\WINDOWS\msagent\AgentSvr.exe

C:\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.es

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll

O3 - Toolbar: Web assistant - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Archivos de programa\Archivos comunes\Symantec Shared\AdBlocking\NISShExt.dll (file missing)

O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Archivos de programa\Norton Internet Security\Norton AntiVirus\NavShExt.dll (file missing)

O4 - HKLM\..\Run: [ATIPTA] C:\Archivos de programa\ATI Technologies\ATI Control Panel\atiptaxx.exe

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [Acceso directo a la página de propiedades de High Definition Audio] HDAudPropShortcut.exe

O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb06.exe

O4 - HKLM\..\Run: [ccApp] "C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe"

O4 - HKLM\..\Run: [URLLSTCK.exe] C:\Archivos de programa\Norton Internet Security\UrlLstCk.exe

O4 - HKLM\..\Run: [Device Detector] "C:\Archivos de programa\Archivos comunes\ACD Systems\ES\DevDetect.exe" -autorun

O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\ARCHIV~1\SYMNET~1\SNDMon.exe /Consumer

O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Archivos de programa\Archivos comunes\Symantec Shared\Security Center\UsrPrmpt.exe

O4 - HKLM\..\Run: [NI.UWFX5Y_0001_N56M1811] "C:\Documents and Settings\Administrador\Configuración local\Archivos temporales de Internet\Content.IE5\01WB0NW3\WinFixer2005ScannerInstall_es[1].exe" -nag

O4 - HKLM\..\Run: [SpyFighterMonitor] "C:\Archivos de programa\SpyFighter\SpyFighter.exe" monitor

O4 - HKLM\..\Run: [SpyFighterUpdate] "C:\Archivos de programa\SpyFighter\AutoUpdate.exe" silent

O4 - HKLM\..\Run: [Sin Espias] C:\Archivos de programa\SinEspias\No-Spy.exe /autorun

O4 - HKLM\..\Run: [stnospy] C:\Archivos de programa\SinEspias\no-spy.exe /autorun

O4 - HKCU\..\Run: [MSMSGS] "C:\Archivos de programa\Messenger\msmsgs.exe" /background

O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Archivos de programa\Archivos comunes\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: Inicio rápido de Adobe Reader.lnk = C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Archivos de programa\InterVideo\Common\Bin\WinCinemaMgr.exe

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: Spyware Doctor - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - C:\WINDOWS\system32\shdocvw.dll

O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccEvtMgr.exe

O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccProxy.exe

O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccPwdSvc.exe

O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSetMgr.exe

O23 - Service: Servicio Auto-Protect de Norton AntiVirus (navapsvc) - Symantec Corporation - C:\Archivos de programa\Norton Internet Security\Norton AntiVirus\navapsvc.exe

O23 - Service: SAVScan - Symantec Corporation - C:\Archivos de programa\Norton Internet Security\Norton AntiVirus\SAVScan.exe

O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\ARCHIV~1\ARCHIV~1\SYMANT~1\SCRIPT~1\SBServ.exe

O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\SNDSrvc.exe

O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\Security Center\SymWSC.exe

gracias en un momento les mando otro mensaje con resultados de elistar

Esteban garcia · Mensaje por **Esteban garcia** » 22 Dic 2005, 21:46

Gracias por todo.

Copia de infosat de elistar.

Wed Dec 14 22:00:27 2005

EliStartPage v10.75 (c)2005 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones:

Por favor, envienos una muestra del fichero

C:\DOCUME~1\ADMINI~1\CONFIG~1\TEMP\NVCTRL.EXE.Muestra EliStartPage v10.75

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\NVCTRL.EXE --> Renombrado a .VIR

C:\WINDOWS\SYSTEM32\MSVOL.TLB --> Eliminado

C:\WINDOWS\SYSTEM32\NCOMPAT.TLB --> Renombrado a .VIR

C:\WINDOWS\SYSTEM32\MSSEARCHNET.EXE --> Eliminado Puper (dldr)

C:\ARCHIVOS DE PROGRAMA\SPYAXE\SPYAXE.EXE --> Eliminado WinAd (Dropper)

Por favor, envienos una muestra del fichero

C:\DOCUME~1\ADMINI~1\CONFIG~1\TEMP\HPCFF5.TMP.Muestra EliStartPage v10.75

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\HPCFF5.TMP --> Renombrado a .VIR

C:\WINDOWS\SYSTEM32\OT.ICO --> Eliminado (Fichero Complementario).

Entrada Eliminada [HKLM\...\Run] "SpyAxe"="C:\Archivos de programa\SpyAxe\spyaxe.exe /h"

Eliminada Class, "{1CA480CD-C0E5-4548-874E-B85B17905B3A}"

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Thu Dec 15 22:20:23 2005

EliStartPage v10.76 (c)2005 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones:

Por favor, envienos una muestra del fichero

C:\DOCUME~1\ADMINI~1\CONFIG~1\TEMP\NVCTRL.EXE.Muestra EliStartPage v10.76

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\NVCTRL.EXE --> Eliminado

C:\WINDOWS\SYSTEM32\MSVOL.TLB --> Eliminado

C:\WINDOWS\SYSTEM32\NCOMPAT.TLB --> Eliminado

Por favor, envienos una muestra del fichero

C:\DOCUME~1\ADMINI~1\CONFIG~1\TEMP\HP532C.TMP.Muestra EliStartPage v10.76

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\HP532C.TMP --> Eliminado

Eliminada Class, "{1CA480CD-C0E5-4548-874E-B85B17905B3A}"

Eliminada Carpeta "%Archivos de Programa%\SpyAxe"

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Thu Dec 15 22:23:02 2005

EliStartPage v10.76 (c)2005 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones:

C:\ARCHIVOS DE PROGRAMA\NORTON INTERNET SECURITY\PPROFILE.DLL --> Sospechoso

Por favor, envienos una muestra del fichero a "virus@satinfo.es". Gracias.

Thu Dec 15 22:42:52 2005

EliStartPage v10.76 (c)2005 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones:

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Thu Dec 15 22:48:18 2005

EliStartPage v10.76 (c)2005 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones:

C:\ARCHIVOS DE PROGRAMA\NORTON INTERNET SECURITY\PPROFILE.DLL --> Sospechoso

Por favor, envienos una muestra del fichero a "virus@satinfo.es". Gracias.

Fri Dec 16 18:04:36 2005

EliStartPage v10.76 (c)2005 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones:

C:\ARCHIVOS DE PROGRAMA\SPYAXE\SPYAXE.EXE --> Eliminado WinAd (Dropper)

Entrada Eliminada [HKLM\...\Run] "SpyAxe"="C:\Archivos de programa\SpyAxe\spyaxe.exe /h"

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Fri Dec 16 18:07:17 2005

EliStartPage v10.76 (c)2005 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones:

Eliminada Carpeta "%Archivos de Programa%\SpyAxe"

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Fri Dec 16 18:08:30 2005

EliStartPage v10.76 (c)2005 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones:

C:\ARCHIVOS DE PROGRAMA\NORTON INTERNET SECURITY\PPROFILE.DLL --> Sospechoso

Por favor, envienos una muestra del fichero a "virus@satinfo.es". Gracias.

Fri Dec 16 18:15:55 2005

EliStartPage v10.76 (c)2005 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones:

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Fri Dec 16 18:17:32 2005

EliStartPage v10.76 (c)2005 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones:

C:\ARCHIVOS DE PROGRAMA\NORTON INTERNET SECURITY\PPROFILE.DLL --> Sospechoso

Por favor, envienos una muestra del fichero a "virus@satinfo.es". Gracias.

Sat Dec 17 04:33:59 2005

EliStartPage v10.76 (c)2005 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones:

C:\ARCHIVOS DE PROGRAMA\SPYAXE\SPYAXE.EXE --> Eliminado WinAd (Dropper)

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Sat Dec 17 04:35:04 2005

EliStartPage v10.76 (c)2005 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones:

C:\ARCHIVOS DE PROGRAMA\NORTON INTERNET SECURITY\PPROFILE.DLL --> Sospechoso

Por favor, envienos una muestra del fichero a "virus@satinfo.es". Gracias.

Sat Dec 17 14:46:25 2005

EliStartPage v10.76 (c)2005 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones:

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Sat Dec 17 14:48:05 2005

EliStartPage v10.76 (c)2005 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones:

C:\ARCHIVOS DE PROGRAMA\NORTON INTERNET SECURITY\PPROFILE.DLL --> Sospechoso

Por favor, envienos una muestra del fichero a "virus@satinfo.es". Gracias.

Sat Dec 17 21:16:03 2005

EliStartPage v10.76 (c)2005 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones:

C:\ARCHIVOS DE PROGRAMA\SPYAXE\SPYAXE.EXE --> Eliminado WinAd (Dropper)

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Sat Dec 17 21:18:08 2005

EliStartPage v10.76 (c)2005 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones:

C:\ARCHIVOS DE PROGRAMA\NORTON INTERNET SECURITY\PPROFILE.DLL --> Sospechoso

Por favor, envienos una muestra del fichero a "virus@satinfo.es". Gracias.

Sun Dec 18 14:51:33 2005

EliStartPage v10.77 (c)2005 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones:

C:\ARCHIVOS DE PROGRAMA\SPYAXE\SPYAXE.EXE --> Eliminado WinAd (Dropper)

Entrada Eliminada [HKLM\...\Run] "SpyAxe"="C:\Archivos de programa\SpyAxe\spyaxe.exe /h"

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Sun Dec 18 14:53:15 2005

EliStartPage v10.77 (c)2005 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones:

C:\ARCHIVOS DE PROGRAMA\NORTON INTERNET SECURITY\PPROFILE.DLL --> Sospechoso

Por favor, envienos una muestra del fichero a "virus@satinfo.es". Gracias.

C:\DOCUMENTS AND SETTINGS\ADMINISTRADOR\CONFIGURACIóN LOCAL\TEMP\HP532C.TMP.MUESTRA ELISTARTPAGE V10.76 --> Eliminado, Puper (BHO)

C:\DOCUMENTS AND SETTINGS\ADMINISTRADOR\CONFIGURACIóN LOCAL\TEMP\HPCFF5.TMP.MUESTRA ELISTARTPAGE V10.75 --> Eliminado, Puper (BHO)

C:\WINDOWS\SYSTEM32\HPCFF5.TMP --> Eliminado, Puper (BHO)

C:\WINDOWS\SYSTEM32\HPDC35.TMP --> Eliminado, Puper (BHO)

Mon Dec 19 22:33:35 2005

EliStartPage v10.77 (c)2005 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones:

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Mon Dec 19 22:34:56 2005

EliStartPage v10.77 (c)2005 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones:

C:\ARCHIVOS DE PROGRAMA\NORTON INTERNET SECURITY\PPROFILE.DLL --> Sospechoso

Por favor, envienos una muestra del fichero a "virus@satinfo.es". Gracias.

Thu Dec 22 21:05:41 2005

EliStartPage v10.77 (c)2005 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones:

C:\ARCHIVOS DE PROGRAMA\SPYAXE\SPYAXE.EXE --> Eliminado WinAd (Dropper)

Entrada Eliminada [HKLM\...\Run] "SpyAxe"="C:\Archivos de programa\SpyAxe\spyaxe.exe /h"

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Thu Dec 22 21:14:45 2005

EliStartPage v10.79 (c)2005 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones:

C:\WINDOWS\SYSTEM32\SVCHOSTS.DLL --> SpyAxe Renombrado a .VIR

Eliminada Carpeta "%Archivos de Programa%\SpyAxe"

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Thu Dec 22 21:17:02 2005

EliStartPage v10.79 (c)2005 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones:

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Thu Dec 22 21:18:25 2005

EliStartPage v10.79 (c)2005 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones:

C:\ARCHIVOS DE PROGRAMA\NORTON INTERNET SECURITY\PPROFILE.DLL --> Sospechoso

Por favor, envienos una muestra del fichero a "virus@satinfo.es". Gracias.

Thu Dec 22 21:24:59 2005

EliStartPage v10.79 (c)2005 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones:

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Thu Dec 22 21:26:31 2005

EliStartPage v10.79 (c)2005 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones:

C:\ARCHIVOS DE PROGRAMA\NORTON INTERNET SECURITY\PPROFILE.DLL --> Sospechoso

Por favor, envienos una muestra del fichero a "virus@satinfo.es". Gracias.

en un momento les mando un mail con la copia de los archivos solicitados.

Un saludo.

Mensaje por **msc hotline sat** » 23 Dic 2005, 13:49

Prueba la version nieva del ELISTARA de hym cuando la subamos, que habrá de ser mas tarde... pero intentaremos que hoy.

saludos

ms, 23-12-2005

victorm · Mensaje por **victorm** » 27 Dic 2005, 11:35

Hola amigos.

Acabo de solucionar el problema del Spyaxe, después de más de dos semanas insoportables.

He pasado el último Elistara, y a continuación he actualizado el Spybot y el Ad-aware. Los he ejecutado en este orden y me han localizado al Spyaxe (como en ocasiones anteriores) y a otros "bichos" que no encontraba anteriormente. Tras eliminar los encontrados por el Spybot, he pasado el Ad-aware y ha localizado muchísimas entradas con el Spyaxe. Cuando le he ordenado limpiarlas, ha desaparecido el famoso mensajito de golpe.

Y... ni rastro del Spyaxe ni del insoportable mensajito!!

Espero que os sea de ayuda.

Sin embargo, quería comentar algo que no me ha gustado, y no sé bien como proceder. Al ejecutar el Ad-aware, en mitad del proceso de escaneado, me ha aparecido un mensaje diciendo que existe una aplicación no válida en win32. Esta aplicación se encuentra en la carpeta Temp, y se denomina sa6.exe. Ha sido creada hoy. No sé si eliminarla o dejarla por si tiene alguna utilidad, aunque no me gusta nada. Si a alguien le ha pasado lo mismo o sabe algo sobre esto, por favor que informe del tema.

PD: Mi tema "Spyaxe y Smitfraud-C" fue cerrado al informar otro compañero cómo había eliminado el Spyaxe (con otro procedimiento que a mí no me dio resultado). Como no he podido agradecer la ayuda prestada desde allí, quiero dar las gracias a todos los que me habéis ayudado desde el foro. Un abrazo, y Felices fiestas.

víctorm.

Mensaje por **msc hotline sat** » 27 Dic 2005, 12:11

Pues celebramos que entre todas las aplicaciones se haya podido eliminar, pues tras probarlas todas y varias veces, entre las actualizaciones de las mismas y un poco de cada una, es dificil saber so alguna es autosuficiente.

Nosotros en el ELISTARA hemos ido acumulando las novedades que se han ido sabiendo, y cin la actual 10.80 entendemos que ya lo conseguimos, pero si hace falta mas, lo añadiremos em proximas versiones.

Sobre el fichero indicado no nos consta que sea malware, pero puede probar de moverlo a una carpeta de cuarentena, y si alguna aplicacion lo encientra a faltar, volverlo a copiar en su sitio, y sino, al cabo de un tiempo, eliminarlo.

Y ya solucionado el problema, procedemos a cerrar el Tema, agradeciendole sus comentarios y felicitaciones, aprovechando este post para desearle tambien una felices fiestas.

saludos

ms, 27-12-2005

Mensaje por **msc hotline sat** » 30 Dic 2005, 13:28

Al recibir muestra del PPROFILE.DLL y ser este Tema el unico en el que se indica enviarlo, si bien puede ser de otro que no posteara el INFOSAT.TXT, comentamos lo que tambien se ha añadido a un Tema paralelo de este, por ser el que se ha encontrado con el Google. Se aneza contestacion al respecto, para quiem pueda interesar al respecto de dicha deteccion, aunque este Tema ya esté cerrado

[quote]
Recibida muestra del PPROFILE.DLL resulta ser un actualizador de algunos productos de NORTON. Se excluye por cadenas su deteccion.

Se implementarña en la proxima versio n del ELISTARA 10.84 dicha mejora
[/quote]

saludos

ms, 30-12-2005

Problem persisitente con spyaxe y mensaje (SOLUCIONADO)

Problem persisitente con spyaxe y mensaje (SOLUCIONADO)

sigo con problemas spy axe y avisos de infecccion