Ayuda urgente. Imposible desinfectar browsela

[tordo]

A ver. El Norton me dice que tengo el virus download.trojan en el archivo browsela.dll. He buscado por internet y los que tienen el mismo problema, son de habla no hispana. Le he pasado un monton de antivirus on-line, anti troyanos, y no lo desinfecta ni Dios. Alguien me puede echar una mano, por favor?

[tordo]

el caso es que no me deja cambiar el fondo de escritorio, solo me deja tener una ventana del navegador, y mil cosas mas. como veo que la gente manda logs del hijack, pos aqui va el mio ( aunque no controlo mucho el programa, ni su funcionalidad).



Logfile of HijackThis v1.99.1

Scan saved at 13:44:33, on 02/01/2006

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSetMgr.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\SNDSrvc.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\SPBBC\SPBBCSvc.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\ccEvtMgr.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Archivos de programa\Norton AntiVirus\navapsvc.exe

C:\Archivos de programa\Norton AntiVirus\IWP\NPFMntor.exe

C:\Archivos de programa\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe

C:\WINDOWS\System32\svchost.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\CCPD-LC\symlcsvc.exe

C:\WINDOWS\Explorer.EXE

C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe

C:\Archivos de programa\Microsoft AntiSpyware\gcasServ.exe

C:\Archivos de programa\Messenger\msmsgs.exe

C:\Archivos de programa\Microsoft AntiSpyware\gcasDtServ.exe

C:\Archivos de programa\MSN Messenger\msnmsgr.exe

C:\Archivos de programa\Internet Explorer\iexplore.exe

C:\Documents and Settings\isaac\Escritorio\HijackThis.exe



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.es/

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.es

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =

O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Archivos de programa\Yahoo!\Companion\Installs\cpn\yt.dll

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Archivos de programa\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\archivos de programa\google\googletoolbar2.dll

O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Archivos de programa\MSN Apps\MSN Toolbar\01.02.4000.1001\es\msntb.dll

O2 - BHO: CNavExtBho Class - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Archivos de programa\Norton AntiVirus\NavShExt.dll

O3 - Toolbar: (no name) - {a19ef336-01d4-48e6-926a-fe7e1c747aed} - (no file)

O3 - Toolbar: (no name) - {A6790AA5-C6C7-4BCF-A46D-0FDAC4EA90EB} - (no file)

O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Archivos de programa\Archivos comunes\Symantec Shared\Security Center\UsrPrmpt.exe

O4 - HKLM\..\Run: [ccApp] "C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe"

O4 - HKLM\..\Run: [gcasServ] "C:\Archivos de programa\Microsoft AntiSpyware\gcasServ.exe"

O4 - HKLM\..\RunServices: [Run Service Vxdrun] vxddirectx32.exe

O4 - HKLM\..\RunServices: [MS Windows System Alert] MSWSA32.exe

O4 - HKLM\..\RunServices: [Norton Antivirus] nortonav.exe

O4 - HKCU\..\Run: [MSMSGS] "C:\Archivos de programa\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [msnmsgr] "C:\Archivos de programa\MSN Messenger\msnmsgr.exe" /background

O4 - HKCU\..\RunServices: [Run Service Vxdrun] vxddirectx32.exe

O8 - Extra context menu item: &Búsqueda en Google - res://c:\archivos de programa\google\GoogleToolbar2.dll/cmsearch.html

O8 - Extra context menu item: &Traducir palabra inglesa - res://c:\archivos de programa\google\GoogleToolbar2.dll/cmwordtrans.html

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office10\EXCEL.EXE/3000

O8 - Extra context menu item: Instantánea de caché de la página - res://c:\archivos de programa\google\GoogleToolbar2.dll/cmcache.html

O8 - Extra context menu item: Páginas similares - res://c:\archivos de programa\google\GoogleToolbar2.dll/cmsimilar.html

O8 - Extra context menu item: Páginas vinculadas - res://c:\archivos de programa\google\GoogleToolbar2.dll/cmbacklinks.html

O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)

O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)

O9 - Extra button: ShopperReports - Compare product prices - {946B3E9E-E21A-49c8-9F63-900533FAFE15} - C:\WINDOWS\System32\shdocvw.dll

O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\MSMSGS.EXE

O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\MSMSGS.EXE

O15 - ProtocolDefaults: 'http' protocol is in My Computer Zone, should be Internet Zone

O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/0950b353847764826715/netzip/RdxIE601_es.cab

O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender-es.com/scan8/oscan8.cab

O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab

O16 - DPF: {A1426AC5-8CE5-4A00-B71E-011D35709AC6} (Progetto1.int_ver34) - http://advnt01.com/dialer/int_ver34.CAB

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\ARCHIV~1\MSNMES~1\msgrapp.dll" (file missing)

O20 - Winlogon Notify: browsela - C:\WINDOWS\system32\browsela.dll

O20 - Winlogon Notify: msupdate - C:\WINDOWS\SYSTEM32\msupdate32.dll

O20 - Winlogon Notify: tcpGDC - C:\WINDOWS\SYSTEM32\tcpGDC.dll

O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccEvtMgr.exe

O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccPwdSvc.exe

O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSetMgr.exe

O23 - Service: Servicio Auto-Protect de Norton AntiVirus (navapsvc) - Symantec Corporation - C:\Archivos de programa\Norton AntiVirus\navapsvc.exe

O23 - Service: Norton AntiVirus Firewall Monitor Service (NPFMntor) - Symantec Corporation - C:\Archivos de programa\Norton AntiVirus\IWP\NPFMntor.exe

O23 - Service: SAVScan - Symantec Corporation - C:\Archivos de programa\Norton AntiVirus\SAVScan.exe

O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\ARCHIV~1\ARCHIV~1\SYMANT~1\SCRIPT~1\SBServ.exe

O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\SNDSrvc.exe

O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\SPBBC\SPBBCSvc.exe

O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Archivos de programa\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe

O23 - Service: Symantec Core LC - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\CCPD-LC\symlcsvc.exe



La historia esta en que creo que utiliza inyeccion dll, o algo similar en el winlogon. Y resulta que los problemas que he visto con este Monstruo, solo lo tienen ingleses y asi. En fin, estoy al borde del suicidio, ya que llevo tres dias luchando con este monstruo.

[msc hotline sat]

Dios seguro que sí, y Norton, si arranca en modo seguro y deshabilita la restauracion de sistema (si usa XP), probablemente tambien.



En caso contrario envnienos este fichero browsela.dll a zonavirus@satinfo.es anexado a un mail en cuyo texto nos indique REF TORDO y lo analizaremos y en u caso lo implementaremos a nuyestra utilidad ELISTARA, de lo cual informariamos.



saludos



ms, 2-1-2006

[msc hotline sat]

Como que has posteado el log del HJT mientras editaba mi anterior respuesta, mientras nos envias el gichero indicado, lanza el ELISTARA, pues las tres entradas en el WinLogon Notify son sospechosas, no solo la de Browsela.dll, y si no son conocidas por cadenas como viricas, el ELISTARA pedira que nos envies muestras, ya que los nombre pueden ser aleatorios y no significativos.





ELISTARA:

http://www.zonavirus.com/descargas/elistara.asp







Además, envianos este nortonav.exe que puede ser un Gaobot... escondido detras de este nombre.



Y tras examinarlos te informaremos



Y por cierto, lanza un windowsupdate que te faltan muchos parches: todos los del SP2 y posteriores !!!



saludos



ms, 2-1-2006



NOTA: Habiendo claves que eliminar del HJT, lo dejamos para lo ultimo, hasta haber eliminado los virus y troyanos que pudiera haber, como siempre debe hacerse y se indica en:



https://foros.zonavirus.com/viewtopic.php?t=5148

[tordo]

Buaaa tio. Bufff.



no me deja enviar el archivo por mail. Y parece ser que hay mas de un archivo infectado, ya que ahora mismo estoy ejecutando el elistara, y de primeras me ha dicho que envie 3 o 4 archivos a un correo. Y el nortonnav, como que no hay. creo que lo borre por que no es el ejecutable del norton. y no me deja hacer el windows update, por que tengo no se que servicios ejecutandose.



Lo de restaurar el sistema estaba desactivado en cuanto vi que habia virus, pero ni a modo prueba de fallos ni en modo consola consigo eliminarlo ya que esta ejecutandose.



No me lo envia por mail, por que me dice que esta infectado con virus ( eso el servidor de correo yahoo ).



buff, todavia esta ejecutandose el elistara ( ha detectado otro y lo ha eliminado ). Ya te comentare cuando acabe. :(

[tordo]

Mando el log de elistara





Sun Jan 02 21:39:04 2005

EliStartPage v5.2 (c)2005 S.G.H. / Satinfo S.L.

------------------------------------------------

Lista de Acciones:

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Mon Jan 02 21:45:28 2006

EliStartPage v10.86 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones:

[WinLogon\Notify\BROWSELA]

Por favor, envienos una muestra del fichero

C:\WINDOWS\SYSTEM32\BROWSELA.DLL

a "virus@satinfo.es". Gracias.

[WinLogon\Notify\MSUPDATE]

Por favor, envienos una muestra del fichero

C:\WINDOWS\SYSTEM32\MSUPDATE32.DLL

a "virus@satinfo.es". Gracias.

[WinLogon\Notify\TCPGDC]

Por favor, envienos una muestra del fichero

C:\WINDOWS\SYSTEM32\TCPGDC.DLL

a "virus@satinfo.es". Gracias.

C:\WINDOWS\WEB\RELATED.HTM --> Eliminado

Por favor, envienos una muestra del fichero

C:\DOCUME~1\ISAAC\CONFIG~1\TEMP\MSUPDATE32.DLL.Muestra EliStartPage v10.86

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\MSUPDATE32.DLL --> Renombrado a .VIR

C:\WINDOWS\DESKTOP.HTML --> Eliminado

C:\WINSTALL.EXE --> Eliminado DownLoader.AFH

Por favor, envienos una muestra del fichero

C:\DOCUME~1\ISAAC\CONFIG~1\TEMP\SPYSHERIFF.EXE.Muestra EliStartPage v10.86

a "virus@satinfo.es". Gracias.

C:\PROGRAM FILES\SPYSHERIFF\SPYSHERIFF.EXE --> Eliminado

Eliminada Carpeta "%Archivos de Programa%\HbTools"

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

[msc hotline sat]

Pues no esta mal el panorama !!!



Coge todos estos ficheros y los empaquetas en un ZIP con password, el cual sea VIRUS, y asi se encriptan los ficheros de forma que no son detectados por los antivirus de los servidores. Asi es como enviamos las muestras a McAfee y al WildList para conocimiento general.



Espero que puedas enviarnoslas, para proceder en consecuencia



saludos



ms, 3-1-2006

[tordo]

Ya esta el archivo mandado. Saludos.

[msc hotline sat]

Recibidas las muestras, el browsella y el MSUPDATE son downloaders, y hay otro que son SpySheriff y demas que pasamos a implementar en el ELISTARA



saludos



ms,3-1-2006



No dará tiempo a integrarlo tras el examen y monitorizacion, por lo que se prevé acabarlo mañana por la mañana, que se compilará y subirña a esta web, aparte de la version propia de mañana con las nuevas muestras que se reciban. que se analizaran y procesaran independientemente, tras haber acabado este que hemos empezado hoy.



Las muestras que no se reciban antes del mediodia es dificil que se puedan implementar el mismo día...



De todas formas ya estan vistos para sentencia :wink:



saludos



ms, 3-1-2006

[tordo]

Ok, Y que hago para limpiar mi ordenador?

[msc hotline sat]

Espera a mañana por la mañana que subirtemos la nueva version del ELISTARA que hoy no ha sido posible acabar. Antes del mediodia estará subida a esta web.



saludos



ms, 3-1-2006

[msc hotline sat]

Subida la nieva version del ELISTARA para la eliminacion del Browsela y demas muestras que enviaste.



Para este hace falta además la nueva DLL que tambien hemos subido, realizada espcialmente para el browsella. Descarga los dos ficheros en una misma carpeta y el ELISTARA implantará la DLL en el registro para que haga la funcion contraria al browsella, tras lo cual en el siguiente reinicio lanzará de nuevo el ELISTARA automaticamente para terminar el trabajo.



elinotif.dll



---v1.6.01.04---( 4 de Enero del 2006) (para el Browsela)







elistara.exe



---v10.87-( 4 de Enero del 2006) (Muestras de BackDoor-AWQ, SpySheriff, Browsela, DownLoader "MSUPDATE32.DLL" y para el MalwareWipe y WinHound de McAfee)





Tras reiniciar, cientanos el resultado, gracias



saludos



ms, 4-1-2006

[tordo]

Ok, el elistara me dice que ya esta desinfectado, pero no puedo cambiar el fondo de escritorio ( esta como en gris, que no se puede clickar ), y al ejecutar otra vez el explorer, se quita la ventana del explorer y sale una nueva. no se si esto se puede solucionar manualmente.



muchas no, muchisimas gracias por la ayuda, y si no fuera mucho pedir, ayuda para el fondo del escritorio, y lo del explorer.



muchas gracias otra vez, y un saludo.

[msc hotline sat]

No te entendemos


[quote="tordo"]al ejecutar otra vez el explorer, se quita la ventana del explorer y sale una nueva[/quote]

Dinos si hablas del Explorer de windows o del navegador IExplore, y amplia detalles.



Lo del fondo de pantalla en gris, ¿te pasaba antes de eliminar el browsela? Justamente el ELISTARA restablece las propiedades de acceso a cambiar el fondo de pantalla que deshabilitan el SpySheriff y derivados, pèro nada en relacion a este browsella si es que hace algo.



Se puede hacer todo ñp que haga falta, pero sabiendo lo que lo ha causado y como.



Informanos y potenciaremos el ELISTARA al respecto.



saludos



ms, 4-1-2006

[tordo]

Elistara ha eliminado el browsela, pero en el log me dice que envie el archivo "TCPGDC.DLL", que ya envie en el zip, y respecto a lo del explorer, me refería al Internet Explorer : que si ejecuto otro, se cierra la otra ventana del iexplorer, y se ejecuta otra nueva.



Lo del escritorio, al detectarse virus, puso lo de "spyware infection" de fondo de pantalla, solo que despues de ejecutar el elistara, lo quito, pero queda fondo negro ( pongas el color que le pongas ), y no permite ponerle un fondo de pantalla.





si eso, aqui va el nuevo log del elistara:





Wed Jan 04 12:52:32 2006

EliStartPage v10.87 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones:

[WinLogon\Notify\BROWSELA]

Por favor, envienos una muestra del fichero

C:\WINDOWS\SYSTEM32\BROWSELA.DLL

a "virus@satinfo.es". Gracias.

[WinLogon\Notify\TCPGDC]

Por favor, envienos una muestra del fichero

C:\WINDOWS\SYSTEM32\TCPGDC.DLL

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\BROWSELA.DLL --> Renombrado a .VIR

Por favor, envienos una muestra del fichero

C:\DOCUME~1\ISAAC\CONFIG~1\TEMP\NEWDOTNET7_14.DLL.Muestra EliStartPage v10.87

a "virus@satinfo.es". Gracias.

C:\ARCHIVOS DE PROGRAMA\NEWDOTNET\NEWDOTNET7_14.DLL --> Renombrado a .VIR

Por favor, envienos una muestra del fichero

C:\DOCUME~1\ISAAC\CONFIG~1\TEMP\NDNUNINSTALL7_14.EXE.Muestra EliStartPage v10.87

a "virus@satinfo.es". Gracias.

C:\WINDOWS\NDNUNINSTALL7_14.EXE --> Eliminado

C:\WINDOWS\SYSTEM32\BROWSELA.DLL --> Renombrado a .VIR

Entrada Eliminada [HKLM\...\Run] "New.net Startup"="rundll32 C:\ARCHIV~1\NEWDOT~1\NEWDOT~2.DLL,ClientStartup -s"

Eliminada Class, "{31EE3286-D785-4E3F-95FC-51D00FDABC01}"

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Wed Jan 04 12:57:28 2006

EliStartPage v10.87 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones:

[WinLogon\Notify\TCPGDC]

Por favor, envienos una muestra del fichero

C:\WINDOWS\SYSTEM32\TCPGDC.DLL

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\BROWSELA.DLL --> Eliminado

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE





Saludos.

[msc hotline sat]

Veras, los ficheros aunque se llamen igual pueden ser diferentes, mutaciones que sirven para que los antivirus no los detecten. Envianloslos igualmente y veremos si vemos el método que emplean para controlarlos.



Y si lo que aparecio fue un fondo de pantalla, ello es igual que el Smitfraud y similares, y el ELISTARA habilita la clave que dehabilita el acceso a las propiedades de pantalla. Pulsa con el boton derecho el fondo y mira de acceder a PROPIEDADES.



De todas formas envianos las muestras porque puede ser que todavía quede algo mutante



saludos



ms, 4-1-2006

[msc hotline sat]

Esto es nuevo: Envianos estas muestras urgentemente:



Por favor, envienos una muestra del fichero

C:\DOCUME~1\ISAAC\CONFIG~1\TEMP\NEWDOTNET7_14.DLL.Muestra EliStartPage v10.87

a "virus@satinfo.es". Gracias.

C:\ARCHIVOS DE PROGRAMA\NEWDOTNET\NEWDOTNET7_14.DLL --> Renombrado a .VIR

Por favor, envienos una muestra del fichero

C:\DOCUME~1\ISAAC\CONFIG~1\TEMP\NDNUNINSTALL7_14.EXE.Muestra EliStartPage v10.87

a "virus@satinfo.es". Gracias



Lo del Nrowsella ya está eliminado y lo del TCPGDC.DLL es un Banker que ya controlamos con el ELIBANKA:





ELIBANKA

http://www.zonavirus.com/datos/descargas/67/Elibanka.asp





pero que ademas añadiremos a la version de hoy del ELISTARA



Lo que no podremos hacer nada es con el NEWDOTMET hasta que nos envies las muestras solicitadas.. Mira de enviarnoslas lo mas pronto posible, a ver si logramos incluirlo su control en la version de hoy...



saludos



ms. 4-1-2006

[tordo]

ya estan los archivos enviados. El Elibanka no me detecta nada. Y no se si el newdonet lo quito el Microsoft antispyware.



haciendo click derecho con el raton en el escritorio, y entrando en propiedades, los fondos y demas no se pueden clickar, estan en gris ; "grayed".

[msc hotline sat]

Se ha implementado en el ELISTARA actual la deteccion de este BANKER, descarga la nueva version y pruebala



elistara.exe



---v10.88-( 4 de Enero del 2006) (Muestras de Banker "TCPGDC.DLL" y CWS.Cheap "MSOLE.DLL")



y la nueva variante del NewDotNet se implementará en cuanto recibamos las muestras- Me informarán de ello cuando llegue a la oficina (ahora estoy en casa)



saludos



ms, 5-1-2006