win32.Chisyne.AB (SOLUCIONADO)

[msc hotline sat]

Comprobada la descarga, ahora baja bien.



saludos



ms, 3-2-2006

[mindtram]

¡por fin! ya me sale limpio pero ahora cuando estoy navegando de repente me sale un mensaje de "messenger service" mensaje de system alert y entonces elordenador se bloquea

[mindtram]

ahora el antivirus avg free me detecta dos trojan que son dr32.exe y ca32.exe si los elimino aparecen de nuevo ¿los mando?

[msc hotline sat]

Sí, sigue con la referencia VUNDO, para que contestemos como respuesta a este Tema, aunque no sea dicho troyano



Mañana implementaremos su deteccion y control en un nuevo ELISTARA





y para los mensajes del MSN:



______________



Eliminar mensajes de publicidad del messenger:



La solución más sencilla es utilizar la herramienta ShootTheMessenger que proporciona gratuitamente en su web Steve Gibson.



http://grc.com/files/shootthemessenger.exe





ejecutarla y pulsar en el botón donde pone "Disable de Messenger" y problema solucionado.



____________



saludos



ms, 4-2-2006

[mindtram]

he mandado mas

[msc hotline sat]

Pues los analizaremos, informaremos y procederemos a implementar su control en nuestras utilidades, si procede



saludos



ms, 5-2-2006

[mindtram]

con el ewido me sale un mensaje que estoy infectado con adware.virtumonde es de este mismo?

[msc hotline sat]

El VUNDO, Virtumonde, y Virtualmundo son nombre de esta familia de troyanos de la que hay varyantes variantes, como ya está viendo



Es importante que nos envie los ficheros en los que lo detecte, antes de eliminarlos, gracias



saludos



ms, 5-2-2006

[mindtram]

cada dia tengo un monten de archivos nuevos con virus ¿es normal? tengo el ewido y avg free

[msc hotline sat]

El primero para spywares y el segundo para virus, bien actualizados, le irán protegiendo, pero es que cada día salen un promedio de 50 nuevos...



Además, los downloaders van bajando troyanos, que van siendo controlados, pero hasta que no se identifica el downloader, que este nopresebta pop ups, ni historias, va haciendo su faena , por ello es importante analizar y en su caso eliminar todo fichero o aplicaciojn desconocida.



saludos



ms, 5-2-2006

[msc hotline sat]

A medio analizar las muestras enviadas, podemos anunciar una buena nueva !!!



Dentro de un autoextraible aparentemente inocente se encuentra el generador del descargador de los VUNDO en cuestion, y que afortunadamente nos ha enviado sin pedirselo y lo hemos podido constatar !!!



Con la version 11.10 ya controlaremos y eliminaremos este creador/instalador, y lo eliminaremos entre el ELISTARA y el ELINOTIF, si bien en su caso solo hará falta renovar el ELISTARA ya que el ELINOTIF no varía, al ser la deteccion del generador lo que pasamos a controlar, los downloaders y troyanos descargados siguen siendo los mismos.



Sobre las 15 horas de hoy tendremos esta version, a medio camino de todas las demas muestras que hemos recibido este fion de semana, y que serán implemenmtadas en la 11.11 siguiente.



Felicidades que su esfuerzo y buena intuicion al enviarnos este autoextraible ha sido decisivo, sino el generador hubiera ido generando downloaders y estos descargando, a medida que los fueramos eliminando...



saludos



ms, 6-2-2006

[msc hotline sat]

A pesar de apagones y cortes de luz que estamos teniendo en Barcelona esta tarde, hemos conseguido terminar y subir a esta web

la version 11.10 del ELISTARA.EXE



Pruebala que ya controla el dropper creador de los instaladores del downloader del VUNDO



y nos comentas el resultado, gracias



saludos



ms, 6-2-2006

[mindtram]

ya no me sale el vundo pero me dice que tengo el look2me ¿es otro?

[msc hotline sat]

Quien lo dice ??? Posteanos el log en cuestion o dinos quien lo detecta y el fichero donde lo encuentra, y podremos saber si es lo mismo, si es una variante o si es otra cosa



Los dos son BHO, se instalan en el WinLogon Notify pero son distintos, el Look2Me acostumbra a instalar lo del Guard, lo del Gold, etc



El Elistara debiera haber detectado tambien el Look2Me, por tanto puede tratarse de una variante no controlada, que conviene nos envies antes de eliminarla.



saludos



ms, 7-2-2006

[mindtram]

mando unos archivos

[mindtram]

ahi va el

Fri Jan 27 19:45:59 2006

EliTriIP v1.84 (c)2006 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones:

(Valor "SYSTEM MANAGEMENT")

Por favor, envienos una muestra del fichero

C:\WINDOWS\SYSTEM32\rundIl.exe

a "virus@satinfo.es". Gracias.

(Valor "MICROSOFT STPNLG")

Por favor, envienos una muestra del fichero

C:\WINDOWS\SYSTEM32\stuffnplug.exe

a "virus@satinfo.es". Gracias.

Por favor, envienos una muestra del fichero

C:\DOCUME~1\YOLANDA\CONFIG~1\TEMP\SYSHOST.EXE.Muestra EliTriIP v1.84

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\SYSHOST.EXE --> Renombrado a .VIR

Entrada Eliminada [HKLM\...\Run] "Microsoft IIS"="C:\WINDOWS\system32\syshost.exe"

No detectado Parche MS04-011 de Microsoft instalado.

No detectado Parche MS04-012 de Microsoft instalado.



Fri Jan 27 19:47:49 2006

EliTriIP v1.84 (c)2006 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones:

C:\WINDOWS\system32\TFTP2888 --> Eliminado, SdBot.worm.gen.H



Fri Jan 27 20:03:34 2006

EliTriIP v1.84 (c)2006 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones:

(Valor "SYSTEM MANAGEMENT")

Por favor, envienos una muestra del fichero

C:\WINDOWS\SYSTEM32\rundIl.exe

a "virus@satinfo.es". Gracias.

(Valor "MICROSOFT STPNLG")

Por favor, envienos una muestra del fichero

C:\WINDOWS\SYSTEM32\stuffnplug.exe

a "virus@satinfo.es". Gracias.

No detectado Parche MS04-011 de Microsoft instalado.

No detectado Parche MS04-012 de Microsoft instalado.



Fri Jan 27 20:06:40 2006

EliStartPage v11.04 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

[WinLogon\Notify\BYXUV]

Por favor, envienos una muestra del fichero

C:\WINDOWS\SYSTEM32\BYXUV.DLL

a "virus@satinfo.es". Gracias.

Key Eliminada [WinLogon\Notify\TUVUV] -> C:\WINDOWS\SYSTEM32\TUVUV.DLL

Key Eliminada [WinLogon\Notify\URL] -> C:\WINDOWS\SYSTEM32\WZWEB.DLL

[WinLogon\Notify\WINBFU32]

Por favor, envienos una muestra del fichero

C:\WINDOWS\SYSTEM32\WINBFU32.DLL

a "virus@satinfo.es". Gracias.

C:\ARCHIVOS DE PROGRAMA\NAVISEARCH\BIN\NLS.EXE --> Eliminado ExactSearch (NaviSearch)

C:\WINDOWS\WEB\RELATED.HTM --> Eliminado

C:\ARCHIVOS DE PROGRAMA\BULLSEYE NETWORK\UNINSTALL.EXE --> Eliminado BB Bargains uninst

Por favor, envienos una muestra del fichero

C:\DOCUME~1\YOLANDA\CONFIG~1\TEMP\BARGAINS.EXE.Muestra EliStartPage v11.04

a "virus@satinfo.es". Gracias.

C:\ARCHIVOS DE PROGRAMA\BULLSEYE NETWORK\BIN\BARGAINS.EXE --> Eliminado

Por favor, envienos una muestra del fichero

C:\DOCUME~1\YOLANDA\CONFIG~1\TEMP\ADV.EXE.Muestra EliStartPage v11.04

a "virus@satinfo.es". Gracias.

C:\ARCHIVOS DE PROGRAMA\BULLSEYE NETWORK\BIN\ADV.EXE --> Eliminado

C:\ARCHIVOS DE PROGRAMA\BULLSEYE NETWORK\BIN\ADX.EXE --> Eliminado BB Bargains

C:\WINDOWS\SYSTEM32\MSBE.DLL --> Eliminado ExactSearch

Por favor, envienos una muestra del fichero

C:\DOCUME~1\YOLANDA\CONFIG~1\TEMP\NVMS.DLL.Muestra EliStartPage v11.04

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\NVMS.DLL --> Eliminado

C:\WINDOWS\SYSTEM32\EXDL.EXE --> Eliminado ExactSearch

C:\WINDOWS\SYSTEM32\MQEXDLM.SRG --> Eliminado

C:\WINDOWS\SYSTEM32\EXUL.EXE --> Eliminado ExactSearch

C:\WINDOWS\SYSTEM32\JAVEXULM.VXD --> Eliminado

C:\ARCHIVOS DE PROGRAMA\NAVISEARCH\UNINSTALL.EXE --> Eliminado BB Bargains uninst

Por favor, envienos una muestra del fichero

C:\DOCUME~1\YOLANDA\CONFIG~1\TEMP\FREEPROD.DLL.Muestra EliStartPage v11.04

a "virus@satinfo.es". Gracias.

C:\ARCHIVOS DE PROGRAMA\FREEPROD TOOLBAR\FREEPROD.DLL --> Eliminado

Por favor, envienos una muestra del fichero

C:\DOCUME~1\YOLANDA\CONFIG~1\TEMP\MC-110-12-0000247.EXE.Muestra EliStartPage v11.04

a "virus@satinfo.es". Gracias.

C:\ARCHIVOS DE PROGRAMA\ARCHIVOS COMUNES\WINDOWS\MC-110-12-0000247.EXE --> Eliminado

C:\WINDOWS\ICONU.EXE --> Eliminado Zestyfind

Por favor, envienos una muestra del fichero

C:\DOCUME~1\YOLANDA\CONFIG~1\TEMP\ATMTD.DLL.Muestra EliStartPage v11.04

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\ATMTD.DLL --> Eliminado

C:\WINDOWS\SYSTEM32\TUVUV.DLL --> Eliminado VirtualMundo o Vundo

C:\WINDOWS\SYSTEM32\WZWEB.DLL --> Eliminado Look2Me

Entrada Eliminada [HKLM\...\Run] "NAVISEARCH"="C:\Archivos de programa\NaviSearch\bin\nls.exe"

Entrada Eliminada [HKLM\...\Run] "BullsEye Network"="C:\Archivos de programa\BullsEye Network\bin\bargains.exe"

Entrada Eliminada [HKCU\...\Run] "Services32"="C:\Archivos de programa\Archivos comunes\Windows\mc-110-12-0000247.exe"

Eliminada Class, "{2296428D-C133-4928-B76A-A200FF409572}" -> C:\ARCHIV~1\FREEPR~1\freeprod.dll

Eliminada Class, "{AEECBFDA-12FA-4881-BDCE-8C3E1CE4B344}" -> C:\WINDOWS\System32\nvms.dll

Eliminada Class, "{F4E04583-354E-4076-BE7D-ED6A80FD66DA}" -> C:\WINDOWS\System32\msbe.dll

No detectado Parche MS06-001 de Microsoft instalado.

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Fri Jan 27 20:06:55 2006

EliStartPage v11.04 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

C:\drsmartload46a.exe --> Eliminado, Oleloa

C:\Archivos de programa\Codec Pack de ELISOFT\divx511\fsg_4104.exe --> Eliminado, Gator Gain

C:\Documents and Settings\yolanda\ca32.exe --> AutoExtraible

C:\Documents and Settings\yolanda\dr32.exe --> Eliminado, Oleloa

C:\Documents and Settings\yolanda\sadf.exe --> Eliminado, Oleloa

C:\WINDOWS\exdl.exe --> Eliminado, ExactSearch

C:\WINDOWS\system32\afledit.dll --> Eliminado, Look2Me

C:\WINDOWS\system32\ahmlib.dll --> Eliminado, Look2Me

C:\WINDOWS\system32\antodisc.dll --> Eliminado, Look2Me

C:\WINDOWS\system32\api2dvaa.dll --> Eliminado, Look2Me

C:\WINDOWS\system32\atvapi32.dll --> Eliminado, Look2Me

C:\WINDOWS\system32\aumlib.dll --> Eliminado, Look2Me

C:\WINDOWS\system32\awmpvcno.dll --> Eliminado, Look2Me

C:\WINDOWS\system32\ayi2dvaa.dll --> Eliminado, Look2Me

C:\WINDOWS\system32\dnl4013qe.dll --> Eliminado, Look2Me

C:\WINDOWS\system32\dukquota.dll --> Eliminado, Look2Me

C:\WINDOWS\system32\dwlay.dll --> Eliminado, Look2Me

C:\WINDOWS\system32\enjsl1171.dll --> Eliminado, Look2Me

C:\WINDOWS\system32\exclean.exe --> AutoExtraible

C:\WINDOWS\system32\exdl2.exe --> Eliminado, ExactSearch

C:\WINDOWS\system32\h60qlgd5160.dll --> Eliminado, Look2Me

C:\WINDOWS\system32\HDZidr12.dll --> Eliminado, Look2Me

C:\WINDOWS\system32\hL0qlgd5160.dll --> Eliminado, Look2Me

C:\WINDOWS\system32\hrju0519e.dll --> Eliminado, Look2Me

C:\WINDOWS\system32\i4lole331h.dll --> Eliminado, Look2Me

C:\WINDOWS\system32\ileshare.dll --> Eliminado, Look2Me

C:\WINDOWS\system32\ir0ol5d31.dll --> Eliminado, Look2Me

C:\WINDOWS\system32\ir62l5jo1.dll --> Eliminado, Look2Me

C:\WINDOWS\system32\ir6ml5j11.dll --> Eliminado, Look2Me

C:\WINDOWS\system32\irj0l51m1.dll --> Eliminado, Look2Me

C:\WINDOWS\system32\irn0l55m1.dll --> Eliminado, Look2Me

C:\WINDOWS\system32\irr2l59o1.dll --> Eliminado, Look2Me

C:\WINDOWS\system32\j46m0ej1eho.dll --> Eliminado, Look2Me

C:\WINDOWS\system32\k2620cjoefoc0.dll --> Eliminado, Look2Me

C:\WINDOWS\system32\kmdhela2.dll --> Eliminado, Look2Me

C:\WINDOWS\system32\l00ulad91d0.dll --> Eliminado, Look2Me

C:\WINDOWS\system32\l6j8lg1u16.dll --> Eliminado, Look2Me

C:\WINDOWS\system32\LGSCR12n.DLL --> Eliminado, Look2Me

C:\WINDOWS\system32\llpcd12n.dll --> Eliminado, Look2Me

C:\WINDOWS\system32\lvp4097qe.dll --> Eliminado, Look2Me

C:\WINDOWS\system32\lvp8097ue.dll --> Eliminado, Look2Me

C:\WINDOWS\system32\lvr4099qe.dll --> Eliminado, Look2Me

C:\WINDOWS\system32\maxml3r.dll --> Eliminado, Look2Me

C:\WINDOWS\system32\meftedit.dll --> Eliminado, Look2Me

C:\WINDOWS\system32\mgtask.dll --> Eliminado, Look2Me

C:\WINDOWS\system32\MHIJG32.dll --> Eliminado, Look2Me

C:\WINDOWS\system32\mujava.dll --> Eliminado, Look2Me

C:\WINDOWS\system32\mvjul9191.dll --> Eliminado, Look2Me

C:\WINDOWS\system32\MWCTFP.dll --> Eliminado, Look2Me

C:\WINDOWS\system32\n6p4lg7q16.dll --> Eliminado, Look2Me

C:\WINDOWS\system32\nuprovau.dll --> Eliminado, Look2Me

C:\WINDOWS\system32\nwptools.dll --> Eliminado, Look2Me

C:\WINDOWS\system32\ofesvr32.dll --> Eliminado, Look2Me

C:\WINDOWS\system32\onecli.dll --> Eliminado, Look2Me

C:\WINDOWS\system32\oydbse32.dll --> Eliminado, Look2Me

C:\WINDOWS\system32\q6rqlg9516.dll --> Eliminado, Look2Me

C:\WINDOWS\system32\r66ulgj916o.dll --> Eliminado, Look2Me

C:\WINDOWS\system32\vmdex.dll --> Eliminado, Look2Me

C:\WINDOWS\system32\wghatm.dll --> Eliminado, Look2Me

C:\WINDOWS\system32\wjsapi32.dll --> Eliminado, Look2Me

C:\WINDOWS\system32\xVctsrv.dll --> Eliminado, Look2Me

C:\WINDOWS\system32\znpfldr.dll --> Eliminado, Look2Me

C:\WINDOWS\system32\config\systemprofile\Configuración local\Archivos temporales de Internet\Content.IE5\ZSPVXHDH\AppWrap[2].exe --> Eliminado, Zestyfind



Fri Jan 27 20:12:38 2006

EliTriIP v1.84 (c)2006 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones:

(Valor "SYSTEM MANAGEMENT")

Por favor, envienos una muestra del fichero

C:\WINDOWS\SYSTEM32\rundIl.exe

a "virus@satinfo.es". Gracias.

(Valor "MICROSOFT STPNLG")

Por favor, envienos una muestra del fichero

C:\WINDOWS\SYSTEM32\stuffnplug.exe

a "virus@satinfo.es". Gracias.

No detectado Parche MS04-011 de Microsoft instalado.

No detectado Parche MS04-012 de Microsoft instalado.



Fri Jan 27 20:13:59 2006

EliStartPage v11.04 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

[WinLogon\Notify\BYXUV]

Por favor, envienos una muestra del fichero

C:\WINDOWS\SYSTEM32\BYXUV.DLL

a "virus@satinfo.es". Gracias.

[WinLogon\Notify\WINBFU32]

Por favor, envienos una muestra del fichero

C:\WINDOWS\SYSTEM32\WINBFU32.DLL

a "virus@satinfo.es". Gracias.

Entrada Eliminada [HKLM\...\Run] "BullsEye Network"="C:\Archivos de programa\BullsEye Network\bin\bargains.exe"

Entrada Eliminada [HKLM\...\Run] "navisearch"="C:\Archivos de programa\NaviSearch\bin\nls.exe"

Entrada Eliminada [HKCU\...\Run] "Services32"="C:\Archivos de programa\Archivos comunes\Windows\mc-110-12-0000247.exe"

Eliminada Class, "{2296428D-C133-4928-B76A-A200FF409572}" -> C:\ARCHIV~1\FREEPR~1\freeprod.dll

Eliminada Class, "{AEECBFDA-12FA-4881-BDCE-8C3E1CE4B344}" -> C:\WINDOWS\System32\nvms.dll

Eliminada Class, "{F4E04583-354E-4076-BE7D-ED6A80FD66DA}" -> C:\WINDOWS\System32\msbe.dll



Fri Jan 27 20:15:06 2006

EliTriIP v1.84 (c)2006 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones:

(Valor "SYSTEM MANAGEMENT")

Por favor, envienos una muestra del fichero

C:\WINDOWS\SYSTEM32\rundIl.exe

a "virus@satinfo.es". Gracias.

(Valor "MICROSOFT STPNLG")

Por favor, envienos una muestra del fichero

C:\WINDOWS\SYSTEM32\stuffnplug.exe

a "virus@satinfo.es". Gracias.

No detectado Parche MS04-011 de Microsoft instalado.

No detectado Parche MS04-012 de Microsoft instalado.



Fri Jan 27 20:15:27 2006

EliStartPage v11.04 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

[WinLogon\Notify\BYXUV]

Por favor, envienos una muestra del fichero

C:\WINDOWS\SYSTEM32\BYXUV.DLL

a "virus@satinfo.es". Gracias.

[WinLogon\Notify\WINBFU32]

Por favor, envienos una muestra del fichero

C:\WINDOWS\SYSTEM32\WINBFU32.DLL

a "virus@satinfo.es". Gracias.



Sat Jan 28 11:29:21 2006

EliTriIP v1.84 (c)2006 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones:

(Valor "SYSTEM MANAGEMENT")

Por favor, envienos una muestra del fichero

C:\WINDOWS\SYSTEM32\rundIl.exe

a "virus@satinfo.es". Gracias.

(Valor "MICROSOFT STPNLG")

Por favor, envienos una muestra del fichero

C:\WINDOWS\SYSTEM32\stuffnplug.exe

a "virus@satinfo.es". Gracias.

Entrada Eliminada [HKLM\...\Run] "Client Server Runtime Process"="C:\WINDOWS\System32\csrs.exe"

No detectado Parche MS04-011 de Microsoft instalado.

No detectado Parche MS04-012 de Microsoft instalado.



Sat Jan 28 11:30:51 2006

EliStartPage v11.04 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

[WinLogon\Notify\BYXUV]

Por favor, envienos una muestra del fichero

C:\WINDOWS\SYSTEM32\BYXUV.DLL

a "virus@satinfo.es". Gracias.

[WinLogon\Notify\WINBFU32]

Por favor, envienos una muestra del fichero

C:\WINDOWS\SYSTEM32\WINBFU32.DLL

a "virus@satinfo.es". Gracias.

Eliminada Carpeta "%Archivos de Programa%\BullsEye Network"

Eliminada Carpeta "%Archivos de Programa%\Freeprod Toolbar"

No detectado Parche MS06-001 de Microsoft instalado.

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Sat Jan 28 11:31:07 2006

EliStartPage v11.04 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

C:\efsd.exe --> Eliminado, Oleloa

C:\Documents and Settings\yolanda\ca32.exe --> AutoExtraible

C:\WINDOWS\eW9sYW5kYQ\asappsrv.dll --> Eliminado, CommAd

C:\WINDOWS\eW9sYW5kYQ\command.exe --> Eliminado, CommAd

C:\WINDOWS\system32\exclean.exe --> AutoExtraible



Sat Jan 28 11:36:11 2006

EliTriIP v1.84 (c)2006 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones:

(Valor "SYSTEM MANAGEMENT")

Por favor, envienos una muestra del fichero

C:\WINDOWS\SYSTEM32\rundIl.exe

a "virus@satinfo.es". Gracias.

(Valor "MICROSOFT STPNLG")

Por favor, envienos una muestra del fichero

C:\WINDOWS\SYSTEM32\stuffnplug.exe

a "virus@satinfo.es". Gracias.

No detectado Parche MS04-011 de Microsoft instalado.

No detectado Parche MS04-012 de Microsoft instalado.



Sat Jan 28 11:51:06 2006

EliStartPage v11.04 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

[WinLogon\Notify\BYXUV]

Por favor, envienos una muestra del fichero

C:\WINDOWS\SYSTEM32\BYXUV.DLL

a "virus@satinfo.es". Gracias.

[WinLogon\Notify\WINBFU32]

Por favor, envienos una muestra del fichero

C:\WINDOWS\SYSTEM32\WINBFU32.DLL

a "virus@satinfo.es". Gracias.

No detectado Parche MS06-001 de Microsoft instalado.

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Sat Jan 28 11:51:21 2006

EliStartPage v11.04 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

C:\drsmartload46a.exe --> Eliminado, Oleloa

C:\efsd.exe --> Eliminado, Oleloa

C:\Documents and Settings\yolanda\ca32.exe --> AutoExtraible

C:\WINDOWS\system32\exclean.exe --> AutoExtraible



Sat Jan 28 11:56:12 2006

EliTriIP v1.84 (c)2006 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones:

(Valor "SYSTEM MANAGEMENT")

Por favor, envienos una muestra del fichero

C:\WINDOWS\SYSTEM32\rundIl.exe

a "virus@satinfo.es". Gracias.

(Valor "MICROSOFT STPNLG")

Por favor, envienos una muestra del fichero

C:\WINDOWS\SYSTEM32\stuffnplug.exe

a "virus@satinfo.es". Gracias.

No detectado Parche MS04-011 de Microsoft instalado.

No detectado Parche MS04-012 de Microsoft instalado.



Sat Jan 28 12:19:06 2006

EliStartPage v11.04 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

[WinLogon\Notify\BYXUV]

Por favor, envienos una muestra del fichero

C:\WINDOWS\SYSTEM32\BYXUV.DLL

a "virus@satinfo.es". Gracias.

[WinLogon\Notify\WINBFU32]

Por favor, envienos una muestra del fichero

C:\WINDOWS\SYSTEM32\WINBFU32.DLL

a "virus@satinfo.es". Gracias.

No detectado Parche MS06-001 de Microsoft instalado.

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Sat Jan 28 12:22:47 2006

EliStartPage v11.04 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

C:\Documents and Settings\yolanda\ca32.exe --> AutoExtraible

C:\Documents and Settings\yolanda\rm32.dll --> Eliminado, VirtualMundo o Vundo

C:\WINDOWS\system32\exclean.exe --> AutoExtraible



Mon Jan 30 11:43:00 2006

EliTriIP v1.84 (c)2006 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones:

(Valor "SYSTEM MANAGEMENT")

Por favor, envienos una muestra del fichero

C:\WINDOWS\SYSTEM32\rundIl.exe

a "virus@satinfo.es". Gracias.

(Valor "MICROSOFT SECURE MODULE")

Por favor, envienos una muestra del fichero

C:\WINDOWS\SYSTEM32\msmd.exe

a "virus@satinfo.es". Gracias.

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.symantec.com

Linea Eliminada del HOSTS --> 127.0.0.1 securityresponse.symantec.com

Linea Eliminada del HOSTS --> 127.0.0.1 symantec.com

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.sophos.com

Linea Eliminada del HOSTS --> 127.0.0.1 sophos.com

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.mcafee.com

Linea Eliminada del HOSTS --> 127.0.0.1 mcafee.com

Linea Eliminada del HOSTS --> 127.0.0.1 liveupdate.symantecliveupdate.com

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.viruslist.com

Linea Eliminada del HOSTS --> 127.0.0.1 viruslist.com

Linea Eliminada del HOSTS --> 127.0.0.1 viruslist.com

Linea Eliminada del HOSTS --> 127.0.0.1 f-secure.com

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.f-secure.com

Linea Eliminada del HOSTS --> 127.0.0.1 kaspersky.com

Linea Eliminada del HOSTS --> 127.0.0.1 kaspersky-labs.com

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.avp.com

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.kaspersky.com

Linea Eliminada del HOSTS --> 127.0.0.1 avp.com

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.networkassociates.com

Linea Eliminada del HOSTS --> 127.0.0.1 networkassociates.com

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.ca.com

Linea Eliminada del HOSTS --> 127.0.0.1 ca.com

Linea Eliminada del HOSTS --> 127.0.0.1 mast.mcafee.com

Linea Eliminada del HOSTS --> 127.0.0.1 my-etrust.com

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.my-etrust.com

Linea Eliminada del HOSTS --> 127.0.0.1 download.mcafee.com

Linea Eliminada del HOSTS --> 127.0.0.1 dispatch.mcafee.com

Linea Eliminada del HOSTS --> 127.0.0.1 secure.nai.com

Linea Eliminada del HOSTS --> 127.0.0.1 nai.com

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.nai.com

Linea Eliminada del HOSTS --> 127.0.0.1 update.symantec.com

Linea Eliminada del HOSTS --> 127.0.0.1 updates.symantec.com

Linea Eliminada del HOSTS --> 127.0.0.1 us.mcafee.com

Linea Eliminada del HOSTS --> 127.0.0.1 liveupdate.symantec.com

Linea Eliminada del HOSTS --> 127.0.0.1 customer.symantec.com

Linea Eliminada del HOSTS --> 127.0.0.1 rads.mcafee.com

Linea Eliminada del HOSTS --> 127.0.0.1 trendmicro.com

Linea Eliminada del HOSTS --> 127.0.0.1 pandasoftware.com

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.pandasoftware.com

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.trendmicro.com

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.grisoft.com

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.microsoft.com

Linea Eliminada del HOSTS --> 127.0.0.1 microsoft.com

Linea Eliminada del HOSTS --> 127.0.0.1 update.microsoft.com

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.virustotal.com

Linea Eliminada del HOSTS --> 127.0.0.1 virustotal.com

No detectado Parche MS04-011 de Microsoft instalado.

No detectado Parche MS04-012 de Microsoft instalado.



Mon Jan 30 11:45:02 2006

EliTriIP v1.84 (c)2006 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones:

(Valor "SYSTEM MANAGEMENT")

Por favor, envienos una muestra del fichero

C:\WINDOWS\SYSTEM32\rundIl.exe

a "virus@satinfo.es". Gracias.

(Valor "MICROSOFT SECURE MODULE")

Por favor, envienos una muestra del fichero

C:\WINDOWS\SYSTEM32\msmd.exe

a "virus@satinfo.es". Gracias.

No detectado Parche MS04-011 de Microsoft instalado.

No detectado Parche MS04-012 de Microsoft instalado.



Mon Jan 30 11:46:37 2006

EliStartPage v11.04 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

[WinLogon\Notify\BYXUV]

Por favor, envienos una muestra del fichero

C:\WINDOWS\SYSTEM32\BYXUV.DLL

a "virus@satinfo.es". Gracias.

[WinLogon\Notify\DDAAB]

Por favor, envienos una muestra del fichero

C:\WINDOWS\SYSTEM32\DDAAB.DLL

a "virus@satinfo.es". Gracias.

[WinLogon\Notify\WINBFU32]

Por favor, envienos una muestra del fichero

C:\WINDOWS\SYSTEM32\WINBFU32.DLL

a "virus@satinfo.es". Gracias.

Por favor, envienos una muestra del fichero

C:\DOCUME~1\YOLANDA\CONFIG~1\TEMP\FREEPROD.DLL.Muestra EliStartPage v11.04

a "virus@satinfo.es". Gracias.

C:\ARCHIVOS DE PROGRAMA\FREEPROD TOOLBAR\FREEPROD.DLL --> Eliminado

Por favor, envienos una muestra del fichero

C:\DOCUME~1\YOLANDA\CONFIG~1\TEMP\MC-110-12-0000247.EXE.Muestra EliStartPage v11.04

a "virus@satinfo.es". Gracias.

C:\ARCHIVOS DE PROGRAMA\ARCHIVOS COMUNES\WINDOWS\MC-110-12-0000247.EXE --> Eliminado

Entrada Eliminada [HKCU\...\Run] "Services32"="C:\Archivos de programa\Archivos comunes\Windows\mc-110-12-0000247.exe"

Eliminada Class, "{2296428D-C133-4928-B76A-A200FF409572}" -> C:\ARCHIV~1\FREEPR~1\freeprod.dll

Eliminada Class, "{77FBF9B8-1D37-4FF2-9CED-192D8E3ABA6F}" -> C:\Archivos de programa\Freeprod Toolbar\freeprod.dll

No detectado Parche MS06-001 de Microsoft instalado.

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Mon Jan 30 11:49:23 2006

EliStartPage v11.04 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

C:\WINDOWS\system32\exclean.exe --> AutoExtraible



Mon Jan 30 12:12:13 2006

EliTriIP v1.84 (c)2006 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones:

No detectado Parche MS04-011 de Microsoft instalado.

No detectado Parche MS04-012 de Microsoft instalado.



Mon Jan 30 12:13:50 2006

EliStartPage v11.04 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

[WinLogon\Notify\BYXUV]

Por favor, envienos una muestra del fichero

C:\WINDOWS\SYSTEM32\BYXUV.DLL

a "virus@satinfo.es". Gracias.

Key Eliminada [WinLogon\Notify\DDAAB] -> C:\WINDOWS\SYSTEM32\DDAAB.DLL

[WinLogon\Notify\WINBFU32]

Por favor, envienos una muestra del fichero

C:\WINDOWS\SYSTEM32\WINBFU32.DLL

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\DDAAB.DLL --> VirtualMundo o Vundo Renombrado a .VIR

Eliminada Carpeta "%Archivos de Programa%\Freeprod Toolbar"

No detectado Parche MS06-001 de Microsoft instalado.

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Mon Jan 30 12:14:49 2006

EliStartPage v11.04 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

[WinLogon\Notify\BYXUV]

Por favor, envienos una muestra del fichero

C:\WINDOWS\SYSTEM32\BYXUV.DLL

a "virus@satinfo.es". Gracias.

Key Eliminada [WinLogon\Notify\DDAAB] -> C:\WINDOWS\SYSTEM32\DDAAB.DLL

[WinLogon\Notify\WINBFU32]

Por favor, envienos una muestra del fichero

C:\WINDOWS\SYSTEM32\WINBFU32.DLL

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\DDAAB.DLL --> VirtualMundo o Vundo Renombrado a .VIR

No detectado Parche MS06-001 de Microsoft instalado.

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Mon Jan 30 12:16:52 2006

EliStartPage v11.04 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

C:\WINDOWS\system32\exclean.exe --> AutoExtraible



Mon Jan 30 12:19:21 2006

EliTriIP v1.84 (c)2006 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones:

No detectado Parche MS04-011 de Microsoft instalado.

No detectado Parche MS04-012 de Microsoft instalado.



Mon Jan 30 12:21:54 2006

EliStartPage v11.04 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

[WinLogon\Notify\BYXUV]

Por favor, envienos una muestra del fichero

C:\WINDOWS\SYSTEM32\BYXUV.DLL

a "virus@satinfo.es". Gracias.

[WinLogon\Notify\DDAAB]

Por favor, envienos una muestra del fichero

C:\WINDOWS\SYSTEM32\DDAAB.DLL

a "virus@satinfo.es". Gracias.

[WinLogon\Notify\WINBFU32]

Por favor, envienos una muestra del fichero

C:\WINDOWS\SYSTEM32\WINBFU32.DLL

a "virus@satinfo.es". Gracias.

No detectado Parche MS06-001 de Microsoft instalado.

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Mon Jan 30 12:24:31 2006

EliStartPage v11.04 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

C:\WINDOWS\system32\exclean.exe --> AutoExtraible



Mon Jan 30 16:41:27 2006

EliTriIP v1.84 (c)2006 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones:

No detectado Parche MS04-011 de Microsoft instalado.

No detectado Parche MS04-012 de Microsoft instalado.



Mon Jan 30 16:43:31 2006

EliTriIP v1.84 (c)2006 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones:

C:\WINDOWS\system32\TFTP3636 --> Eliminado, SdBot.worm.gen.H



Mon Jan 30 16:50:52 2006

EliStartPage v11.04 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

[WinLogon\Notify\BYXUV]

Por favor, envienos una muestra del fichero

C:\WINDOWS\SYSTEM32\BYXUV.DLL

a "virus@satinfo.es". Gracias.

[WinLogon\Notify\DDAAB]

Por favor, envienos una muestra del fichero

C:\WINDOWS\SYSTEM32\DDAAB.DLL

a "virus@satinfo.es". Gracias.

[WinLogon\Notify\WINBFU32]

Por favor, envienos una muestra del fichero

C:\WINDOWS\SYSTEM32\WINBFU32.DLL

a "virus@satinfo.es". Gracias.

Por favor, envienos una muestra del fichero

C:\DOCUME~1\YOLANDA\CONFIG~1\TEMP\FREEPROD.DLL.Muestra EliStartPage v11.04

a "virus@satinfo.es". Gracias.

C:\ARCHIVOS DE PROGRAMA\FREEPROD TOOLBAR\FREEPROD.DLL --> Eliminado

Por favor, envienos una muestra del fichero

C:\DOCUME~1\YOLANDA\CONFIG~1\TEMP\MC-110-12-0000247.EXE.Muestra EliStartPage v11.04

a "virus@satinfo.es". Gracias.

C:\ARCHIVOS DE PROGRAMA\ARCHIVOS COMUNES\WINDOWS\MC-110-12-0000247.EXE --> Eliminado

Entrada Eliminada [HKCU\...\Run] "Services32"="C:\Archivos de programa\Archivos comunes\Windows\mc-110-12-0000247.exe"

Eliminada Class, "{2296428D-C133-4928-B76A-A200FF409572}" -> C:\ARCHIV~1\FREEPR~1\freeprod.dll

No detectado Parche MS06-001 de Microsoft instalado.

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Mon Jan 30 16:58:21 2006

EliStartPage v11.04 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

C:\WINDOWS\system32\exclean.exe --> AutoExtraible



Mon Jan 30 18:29:33 2006

EliTriIP v1.84 (c)2006 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones:

(Valor "SERVICESLOG2")

Por favor, envienos una muestra del fichero

C:\WINDOWS\SYSTEM32\MScdDriverLK872.exe

a "virus@satinfo.es". Gracias.

No detectado Parche MS04-011 de Microsoft instalado.

No detectado Parche MS04-012 de Microsoft instalado.



Mon Jan 30 18:30:38 2006

EliTriIP v1.84 (c)2006 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones:

C:\WINDOWS\system32\TFTP4020 --> Eliminado, SdBot.worm.gen.H



Mon Jan 30 19:59:54 2006

EliTriIP v1.84 (c)2006 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones:

(Valor "SERVICESLOG2")

Por favor, envienos una muestra del fichero

C:\WINDOWS\SYSTEM32\MScdDriverLK872.exe

a "virus@satinfo.es". Gracias.

No detectado Parche MS04-011 de Microsoft instalado.

No detectado Parche MS04-012 de Microsoft instalado.



Mon Jan 30 20:01:33 2006

EliTriIP v1.84 (c)2006 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones:

C:\WINDOWS\system32\TFTP580 --> Eliminado, SdBot.worm.gen.H



Mon Jan 30 20:09:23 2006

EliStartPage v11.04 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

[WinLogon\Notify\BYXUV]

Por favor, envienos una muestra del fichero

C:\WINDOWS\SYSTEM32\BYXUV.DLL

a "virus@satinfo.es". Gracias.

Key Eliminada [WinLogon\Notify\DDAAB] -> C:\WINDOWS\SYSTEM32\DDAAB.DLL

[WinLogon\Notify\WINBFU32]

Por favor, envienos una muestra del fichero

C:\WINDOWS\SYSTEM32\WINBFU32.DLL

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\DDAAB.DLL --> VirtualMundo o Vundo Renombrado a .VIR

Eliminada Carpeta "%Archivos de Programa%\Freeprod Toolbar"

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Mon Jan 30 20:14:41 2006

EliStartPage v11.04 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

[WinLogon\Notify\BYXUV]

Por favor, envienos una muestra del fichero

C:\WINDOWS\SYSTEM32\BYXUV.DLL

a "virus@satinfo.es". Gracias.

Key Eliminada [WinLogon\Notify\DDAAB] -> C:\WINDOWS\SYSTEM32\DDAAB.DLL

[WinLogon\Notify\WINBFU32]

Por favor, envienos una muestra del fichero

C:\WINDOWS\SYSTEM32\WINBFU32.DLL

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\DDAAB.DLL --> VirtualMundo o Vundo Renombrado a .VIR

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Mon Jan 30 20:16:48 2006

EliStartPage v11.04 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

C:\WINDOWS\system32\exclean.exe --> AutoExtraible



Tue Jan 31 10:15:35 2006

EliStartPage v11.04 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

[WinLogon\Notify\BYXUV]

Por favor, envienos una muestra del fichero

C:\WINDOWS\SYSTEM32\BYXUV.DLL

a "virus@satinfo.es". Gracias.

Key Eliminada [WinLogon\Notify\DDAAB] -> C:\WINDOWS\SYSTEM32\DDAAB.DLL

[WinLogon\Notify\WINBFU32]

Por favor, envienos una muestra del fichero

C:\WINDOWS\SYSTEM32\WINBFU32.DLL

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\DDAAB.DLL --> VirtualMundo o Vundo Renombrado a .VIR

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Tue Jan 31 10:18:25 2006

EliStartPage v11.04 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

C:\WINDOWS\system32\exclean.exe --> AutoExtraible



Tue Jan 31 10:36:56 2006

EliStartPage v11.04 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

[WinLogon\Notify\BYXUV]

Por favor, envienos una muestra del fichero

C:\WINDOWS\SYSTEM32\BYXUV.DLL

a "virus@satinfo.es". Gracias.

Key Eliminada [WinLogon\Notify\DDAAB] -> C:\WINDOWS\SYSTEM32\DDAAB.DLL

[WinLogon\Notify\WINBFU32]

Por favor, envienos una muestra del fichero

C:\WINDOWS\SYSTEM32\WINBFU32.DLL

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\DDAAB.DLL --> VirtualMundo o Vundo Renombrado a .VIR

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Tue Jan 31 10:38:31 2006

EliStartPage v11.04 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

C:\Documents and Settings\yolanda\ca32.exe --> AutoExtraible

C:\WINDOWS\system32\efcyv.dll --> Eliminado, VirtualMundo o Vundo

C:\WINDOWS\system32\exclean.exe --> AutoExtraible



Thu Feb 02 10:16:20 2006

EliStartPage v11.04 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

[WinLogon\Notify\BYXUV]

Por favor, envienos una muestra del fichero

C:\WINDOWS\SYSTEM32\BYXUV.DLL

a "virus@satinfo.es". Gracias.

Key Eliminada [WinLogon\Notify\DDAAB] -> C:\WINDOWS\SYSTEM32\DDAAB.DLL

[WinLogon\Notify\WINBFU32]

Por favor, envienos una muestra del fichero

C:\WINDOWS\SYSTEM32\WINBFU32.DLL

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\DDAAB.DLL --> VirtualMundo o Vundo Renombrado a .VIR

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Thu Feb 02 10:18:30 2006

EliStartPage v11.04 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

[WinLogon\Notify\BYXUV]

Por favor, envienos una muestra del fichero

C:\WINDOWS\SYSTEM32\BYXUV.DLL

a "virus@satinfo.es". Gracias.

Key Eliminada [WinLogon\Notify\DDAAB] -> C:\WINDOWS\SYSTEM32\DDAAB.DLL

[WinLogon\Notify\WINBFU32]

Por favor, envienos una muestra del fichero

C:\WINDOWS\SYSTEM32\WINBFU32.DLL

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\DDAAB.DLL --> VirtualMundo o Vundo Renombrado a .VIR

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Thu Feb 02 10:19:52 2006

EliStartPage v11.04 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

C:\Documents and Settings\yolanda\ca32.exe --> AutoExtraible

C:\WINDOWS\system32\byxyx.dll --> Eliminado, VirtualMundo o Vundo

C:\WINDOWS\system32\exclean.exe --> AutoExtraible



Thu Feb 02 10:40:32 2006

EliTriIP v1.84 (c)2006 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones:

(Valor "SERVICESLOG2")

Por favor, envienos una muestra del fichero

C:\WINDOWS\SYSTEM32\MScdDriverLK872.exe

a "virus@satinfo.es". Gracias.

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.symantec.com

Linea Eliminada del HOSTS --> 127.0.0.1 securityresponse.symantec.com

Linea Eliminada del HOSTS --> 127.0.0.1 symantec.com

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.sophos.com

Linea Eliminada del HOSTS --> 127.0.0.1 sophos.com

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.mcafee.com

Linea Eliminada del HOSTS --> 127.0.0.1 mcafee.com

Linea Eliminada del HOSTS --> 127.0.0.1 liveupdate.symantecliveupdate.com

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.viruslist.com

Linea Eliminada del HOSTS --> 127.0.0.1 viruslist.com

Linea Eliminada del HOSTS --> 127.0.0.1 viruslist.com

Linea Eliminada del HOSTS --> 127.0.0.1 f-secure.com

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.f-secure.com

Linea Eliminada del HOSTS --> 127.0.0.1 kaspersky.com

Linea Eliminada del HOSTS --> 127.0.0.1 kaspersky-labs.com

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.avp.com

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.kaspersky.com

Linea Eliminada del HOSTS --> 127.0.0.1 avp.com

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.networkassociates.com

Linea Eliminada del HOSTS --> 127.0.0.1 networkassociates.com

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.ca.com

Linea Eliminada del HOSTS --> 127.0.0.1 ca.com

Linea Eliminada del HOSTS --> 127.0.0.1 mast.mcafee.com

Linea Eliminada del HOSTS --> 127.0.0.1 my-etrust.com

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.my-etrust.com

Linea Eliminada del HOSTS --> 127.0.0.1 download.mcafee.com

Linea Eliminada del HOSTS --> 127.0.0.1 dispatch.mcafee.com

Linea Eliminada del HOSTS --> 127.0.0.1 secure.nai.com

Linea Eliminada del HOSTS --> 127.0.0.1 nai.com

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.nai.com

Linea Eliminada del HOSTS --> 127.0.0.1 update.symantec.com

Linea Eliminada del HOSTS --> 127.0.0.1 updates.symantec.com

Linea Eliminada del HOSTS --> 127.0.0.1 us.mcafee.com

Linea Eliminada del HOSTS --> 127.0.0.1 liveupdate.symantec.com

Linea Eliminada del HOSTS --> 127.0.0.1 customer.symantec.com

Linea Eliminada del HOSTS --> 127.0.0.1 rads.mcafee.com

Linea Eliminada del HOSTS --> 127.0.0.1 trendmicro.com

Linea Eliminada del HOSTS --> 127.0.0.1 pandasoftware.com

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.pandasoftware.com

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.trendmicro.com

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.grisoft.com

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.microsoft.com

Linea Eliminada del HOSTS --> 127.0.0.1 microsoft.com

Linea Eliminada del HOSTS --> 127.0.0.1 update.microsoft.com

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.virustotal.com

Linea Eliminada del HOSTS --> 127.0.0.1 virustotal.com

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.ahnlab.com

Linea Eliminada del HOSTS --> 127.0.0.1 suc.ahnlab.com

Linea Eliminada del HOSTS --> 127.0.0.1 auth.ahnlab.com

Linea Eliminada del HOSTS --> 127.0.0.1 ahnlab.com

No detectado Parche MS04-012 de Microsoft instalado.



Thu Feb 02 10:50:20 2006

EliStartPage v11.04 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

[WinLogon\Notify\BYXUV]

Por favor, envienos una muestra del fichero

C:\WINDOWS\SYSTEM32\BYXUV.DLL

a "virus@satinfo.es". Gracias.

Key Eliminada [WinLogon\Notify\DDAAB] -> C:\WINDOWS\SYSTEM32\DDAAB.DLL

[WinLogon\Notify\WINBFU32]

Por favor, envienos una muestra del fichero

C:\WINDOWS\SYSTEM32\WINBFU32.DLL

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\DDAAB.DLL --> VirtualMundo o Vundo Renombrado a .VIR

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Thu Feb 02 10:50:35 2006

EliStartPage v11.04 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

C:\\ca32.exe --> AutoExtraible



Thu Feb 02 10:51:00 2006

EliStartPage v11.04 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

[WinLogon\Notify\BYXUV]

Por favor, envienos una muestra del fichero

C:\WINDOWS\SYSTEM32\BYXUV.DLL

a "virus@satinfo.es". Gracias.

Key Eliminada [WinLogon\Notify\DDAAB] -> C:\WINDOWS\SYSTEM32\DDAAB.DLL

[WinLogon\Notify\WINBFU32]

Por favor, envienos una muestra del fichero

C:\WINDOWS\SYSTEM32\WINBFU32.DLL

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\DDAAB.DLL --> VirtualMundo o Vundo Renombrado a .VIR

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Thu Feb 02 10:51:16 2006

EliStartPage v11.04 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

C:\\ca32.exe --> AutoExtraible

C:\Documents and Settings\yolanda\ca32.exe --> AutoExtraible

C:\Documents and Settings\yolanda\ca32.exe --> AutoExtraible

C:\WINDOWS\system32\cbaxu.dll --> Eliminado, VirtualMundo o Vundo

C:\WINDOWS\system32\exclean.exe --> AutoExtraible

C:\WINDOWS\system32\exclean.exe --> AutoExtraible

C:\WINDOWS\system32\jkhef.dll --> Eliminado, VirtualMundo o Vundo



Thu Feb 02 11:01:06 2006

EliStartPage v11.04 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

[WinLogon\Notify\BYXUV]

Por favor, envienos una muestra del fichero

C:\WINDOWS\SYSTEM32\BYXUV.DLL

a "virus@satinfo.es". Gracias.

Key Eliminada [WinLogon\Notify\DDAAB] -> C:\WINDOWS\SYSTEM32\DDAAB.DLL

[WinLogon\Notify\WINBFU32]

Por favor, envienos una muestra del fichero

C:\WINDOWS\SYSTEM32\WINBFU32.DLL

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\DDAAB.DLL --> VirtualMundo o Vundo Renombrado a .VIR

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Thu Feb 02 11:05:31 2006

EliStartPage v11.07 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Key Eliminada [WinLogon\Notify\BYXUV] -> C:\WINDOWS\SYSTEM32\BYXUV.DLL

Key Eliminada [WinLogon\Notify\DDAAB] -> C:\WINDOWS\SYSTEM32\DDAAB.DLL

Key Eliminada [WinLogon\Notify\WINBFU32] -> C:\WINDOWS\SYSTEM32\WINBFU32.DLL

C:\WINDOWS\SYSTEM32\BYXUV.DLL --> Vundo (notify) Renombrado a .VIR

C:\WINDOWS\SYSTEM32\BYXUV.DLL --> Vundo (notify) Renombrado a .VIR

C:\WINDOWS\SYSTEM32\BYXUV.DLL --> Vundo (notify) Renombrado a .VIR

C:\WINDOWS\SYSTEM32\DDAAB.DLL --> Vundo Renombrado a .VIR

C:\WINDOWS\SYSTEM32\WINBFU32.DLL --> Agent.OG Renombrado a .VIR

C:\WINDOWS\System32\vuxyb.ini --> Eliminado (Fichero Complementario).

C:\WINDOWS\System32\vuxyb.ini2 --> Eliminado (Fichero Complementario).

C:\WINDOWS\System32\vuxyb.tmp --> Eliminado (Fichero Complementario).

Entrada Eliminada [HKLM\...\Run] "Winsysupd"="C:\windows\winsysupd2.exe"

Eliminada Class, "{83A5F7B7-DC75-44CE-9195-264F41709FA9}" -> C:\WINDOWS\System32\byxuv.dll

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Thu Feb 02 11:41:31 2006

EliStartPage v11.07 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Key Eliminada [WinLogon\Notify\BYXUV] -> C:\WINDOWS\SYSTEM32\BYXUV.DLL

Key Eliminada [WinLogon\Notify\DDAAB] -> C:\WINDOWS\SYSTEM32\DDAAB.DLL

Por favor, envienos una muestra del fichero

C:\DOCUME~1\YOLANDA\CONFIG~1\TEMP\SYSTEM32.EXE.Muestra EliStartPage v11.07

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\SYSTEM32.EXE --> Eliminado

C:\WINDOWS\SYSTEM32\BYXUV.DLL --> Vundo (notify) Renombrado a .VIR

C:\WINDOWS\SYSTEM32\BYXUV.DLL --> Vundo (notify) Renombrado a .VIR

C:\WINDOWS\SYSTEM32\BYXUV.DLL --> Vundo (notify) Renombrado a .VIR

C:\WINDOWS\SYSTEM32\DDAAB.DLL --> Vundo Renombrado a .VIR

C:\WINDOWS\System32\vuxyb.ini --> Eliminado (Fichero Complementario).

Eliminada Class, "{83A5F7B7-DC75-44CE-9195-264F41709FA9}" -> C:\WINDOWS\System32\byxuv.dll

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Thu Feb 02 11:41:52 2006

EliStartPage v11.07 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

C:\\ca32.exe --> AutoExtraible

C:\Archivos de programa\Telefonica\KitAIM\Restore1.5\restore.exe --> Eliminado, UpLoader-R

C:\Documents and Settings\yolanda\ca32.exe --> AutoExtraible

C:\Documents and Settings\yolanda\Mis documentos\aaw6.exe --> Eliminado, UpLoader-R

C:\WINDOWS\system32\AdService.dll --> Eliminado, Agent.OG

C:\WINDOWS\system32\exclean.exe --> AutoExtraible

C:\WINDOWS\system32\ssqnl.dll --> Eliminado, Vundo

C:\WINDOWS\system32\WINBFU32.DLL.VIR --> Eliminado, Agent.OG



Thu Feb 02 11:50:16 2006

EliStartPage v11.07 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Key Eliminada [WinLogon\Notify\BYXUV] -> C:\WINDOWS\SYSTEM32\BYXUV.DLL

Key Eliminada [WinLogon\Notify\DDAAB] -> C:\WINDOWS\SYSTEM32\DDAAB.DLL

C:\WINDOWS\SYSTEM32\BYXUV.DLL --> Vundo (notify) Renombrado a .VIR

C:\WINDOWS\SYSTEM32\BYXUV.DLL --> Vundo (notify) Renombrado a .VIR

C:\WINDOWS\SYSTEM32\BYXUV.DLL --> Vundo (notify) Renombrado a .VIR

C:\WINDOWS\SYSTEM32\DDAAB.DLL --> Vundo Renombrado a .VIR

C:\WINDOWS\System32\vuxyb.ini --> Eliminado (Fichero Complementario).

Eliminada Class, "{83A5F7B7-DC75-44CE-9195-264F41709FA9}" -> C:\WINDOWS\System32\byxuv.dll

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Thu Feb 02 11:50:25 2006

EliStartPage v11.07 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

C:\\ca32.exe --> AutoExtraible

C:\Documents and Settings\yolanda\ca32.exe --> AutoExtraible

C:\WINDOWS\system32\exclean.exe --> AutoExtraible



Thu Feb 02 16:58:24 2006

EliStartPage v11.07 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Key Eliminada [WinLogon\Notify\DDAAB] -> C:\WINDOWS\SYSTEM32\DDAAB.DLL

C:\WINDOWS\SYSTEM32\DDAAB.DLL --> Vundo Renombrado a .VIR

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Thu Feb 02 16:59:30 2006

EliStartPage v11.07 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

C:\\ca32.exe --> AutoExtraible

C:\Documents and Settings\yolanda\ca32.exe --> AutoExtraible

C:\WINDOWS\system32\byxuv.dll --> Eliminado, Vundo (notify)

C:\WINDOWS\system32\exclean.exe --> AutoExtraible



Thu Feb 02 17:11:08 2006

EliStartPage v11.07 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Key Eliminada [WinLogon\Notify\DDAAB] -> C:\WINDOWS\SYSTEM32\DDAAB.DLL

C:\WINDOWS\SYSTEM32\DDAAB.DLL --> Vundo Renombrado a .VIR

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Thu Feb 02 17:11:48 2006

EliStartPage v11.07 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

C:\\ca32.exe --> AutoExtraible

C:\Documents and Settings\yolanda\ca32.exe --> AutoExtraible

C:\WINDOWS\system32\exclean.exe --> AutoExtraible



Thu Feb 02 17:21:47 2006

EliStartPage v11.07 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Key Eliminada [WinLogon\Notify\DDAAB] -> C:\WINDOWS\SYSTEM32\DDAAB.DLL

C:\WINDOWS\SYSTEM32\DDAAB.DLL --> Vundo Renombrado a .VIR

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Thu Feb 02 17:27:50 2006

EliStartPage v11.07 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Key Eliminada [WinLogon\Notify\DDAAB] -> C:\WINDOWS\SYSTEM32\DDAAB.DLL

C:\WINDOWS\SYSTEM32\DDAAB.DLL --> Vundo Renombrado a .VIR

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Thu Feb 02 17:28:18 2006

EliStartPage v11.07 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

C:\\ca32.exe --> AutoExtraible

C:\Documents and Settings\yolanda\ca32.exe --> AutoExtraible

C:\WINDOWS\system32\exclean.exe --> AutoExtraible

C:\WINDOWS\system32\iifcd.dll --> Eliminado, Vundo



Thu Feb 02 17:40:16 2006

EliStartPage v11.07 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Key Eliminada [WinLogon\Notify\DDAAB] -> C:\WINDOWS\SYSTEM32\DDAAB.DLL

C:\WINDOWS\SYSTEM32\DDAAB.DLL --> Vundo Renombrado a .VIR

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Thu Feb 02 17:40:24 2006

EliStartPage v11.07 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

C:\\ca32.exe --> AutoExtraible

C:\Documents and Settings\yolanda\ca32.exe --> AutoExtraible

C:\WINDOWS\system32\exclean.exe --> AutoExtraible



Thu Feb 02 17:47:14 2006

EliStartPage v11.07 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Key Eliminada [WinLogon\Notify\DDAAB] -> C:\WINDOWS\SYSTEM32\DDAAB.DLL

C:\WINDOWS\SYSTEM32\DDAAB.DLL --> Vundo Renombrado a .VIR

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Thu Feb 02 17:47:20 2006

EliStartPage v11.07 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

C:\\ca32.exe --> AutoExtraible

C:\Documents and Settings\yolanda\ca32.exe --> AutoExtraible

C:\WINDOWS\system32\exclean.exe --> AutoExtraible



Thu Feb 02 19:33:14 2006

EliStartPage v11.07 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Key Eliminada [WinLogon\Notify\DDAAB] -> C:\WINDOWS\SYSTEM32\DDAAB.DLL

C:\WINDOWS\SYSTEM32\DDAAB.DLL --> Vundo Renombrado a .VIR

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Thu Feb 02 19:33:33 2006

EliStartPage v11.07 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

C:\\ca32.exe --> AutoExtraible

C:\Documents and Settings\yolanda\ca32.exe --> AutoExtraible



Thu Feb 02 19:34:40 2006

EliTriIP v1.84 (c)2006 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones:

(Valor "SERVICESLOG2")

Por favor, envienos una muestra del fichero

C:\WINDOWS\SYSTEM32\MScdDriverLK872.exe

a "virus@satinfo.es". Gracias.

No detectado Parche MS04-012 de Microsoft instalado.

C:\WINDOWS\system32\exclean.exe --> AutoExtraible



Thu Feb 02 19:39:53 2006

EliStartPage v11.07 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

C:\\ca32.exe --> AutoExtraible

C:\Documents and Settings\yolanda\ca32.exe --> AutoExtraible

C:\WINDOWS\system32\exclean.exe --> AutoExtraible



Thu Feb 02 19:42:01 2006

EliStartPage v11.07 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Key Eliminada [WinLogon\Notify\DDAAB] -> C:\WINDOWS\SYSTEM32\DDAAB.DLL

C:\WINDOWS\SYSTEM32\DDAAB.DLL --> Vundo Renombrado a .VIR

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Thu Feb 02 19:42:52 2006

EliStartPage v11.07 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

C:\\ca32.exe --> AutoExtraible

C:\Documents and Settings\yolanda\ca32.exe --> AutoExtraible

C:\WINDOWS\system32\exclean.exe --> AutoExtraible



Thu Feb 02 20:06:48 2006

EliStartPage v11.07 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Key Eliminada [WinLogon\Notify\DDAAB] -> C:\WINDOWS\SYSTEM32\DDAAB.DLL

C:\WINDOWS\SYSTEM32\DDAAB.DLL --> Vundo Renombrado a .VIR

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Fri Feb 03 11:13:17 2006

EliStartPage v11.07 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Key Eliminada [WinLogon\Notify\DDAAB] -> C:\WINDOWS\SYSTEM32\DDAAB.DLL

C:\WINDOWS\SYSTEM32\DDAAB.DLL --> Vundo Renombrado a .VIR

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Fri Feb 03 11:14:20 2006

EliStartPage v11.07 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

C:\\ca32.exe --> AutoExtraible

C:\Documents and Settings\yolanda\ca32.exe --> AutoExtraible

C:\WINDOWS\system32\exclean.exe --> AutoExtraible

C:\WINDOWS\system32\tuvus.dll --> Eliminado, Vundo



Fri Feb 03 11:29:57 2006

EliStartPage v11.07 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Fri Feb 03 16:33:12 2006

EliStartPage v11.07 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Key Eliminada [WinLogon\Notify\AWTTU] -> C:\WINDOWS\SYSTEM32\AWTTU.DLL

C:\WINDOWS\SYSTEM32\AWTTU.DLL --> Vundo Renombrado a .VIR

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Fri Feb 03 16:33:47 2006

EliStartPage v11.07 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

C:\\ca32.exe --> AutoExtraible

C:\Documents and Settings\yolanda\ca32.exe --> AutoExtraible

C:\WINDOWS\system32\ddaab.dll --> Eliminado, Vundo

C:\WINDOWS\system32\efcby.dll --> Eliminado, Vundo (notify)

C:\WINDOWS\system32\exclean.exe --> AutoExtraible

C:\WINDOWS\system32\fcccy.dll --> Eliminado, Vundo

C:\WINDOWS\system32\rqomk.dll --> Eliminado, Vundo



Fri Feb 03 16:42:15 2006

EliStartPage v11.07 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Key Eliminada [WinLogon\Notify\AWTTU] -> C:\WINDOWS\SYSTEM32\AWTTU.DLL

C:\WINDOWS\SYSTEM32\AWTTU.DLL --> Vundo Renombrado a .VIR

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Fri Feb 03 16:42:28 2006

EliStartPage v11.07 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

C:\\ca32.exe --> AutoExtraible

C:\Documents and Settings\yolanda\ca32.exe --> AutoExtraible

C:\WINDOWS\system32\exclean.exe --> AutoExtraible



Fri Feb 03 16:48:50 2006

EliStartPage v11.07 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Key Eliminada [WinLogon\Notify\AWTTU] -> C:\WINDOWS\SYSTEM32\AWTTU.DLL

C:\WINDOWS\SYSTEM32\AWTTU.DLL --> Vundo Renombrado a .VIR

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Fri Feb 03 16:52:03 2006

EliStartPage v11.07 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Key Eliminada [WinLogon\Notify\AWTTU] -> C:\WINDOWS\SYSTEM32\AWTTU.DLL

C:\WINDOWS\SYSTEM32\AWTTU.DLL --> Vundo Renombrado a .VIR

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Fri Feb 03 16:52:12 2006

EliStartPage v11.07 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

C:\\ca32.exe --> AutoExtraible

C:\Documents and Settings\yolanda\ca32.exe --> AutoExtraible

C:\WINDOWS\system32\exclean.exe --> AutoExtraible



Fri Feb 03 16:55:30 2006

EliStartPage v11.07 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Key Eliminada [WinLogon\Notify\AWTTU] -> C:\WINDOWS\SYSTEM32\AWTTU.DLL

C:\WINDOWS\SYSTEM32\AWTTU.DLL --> Vundo Renombrado a .VIR

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Fri Feb 03 17:17:00 2006

EliStartPage v11.07 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Key Eliminada [WinLogon\Notify\AWTTU] -> C:\WINDOWS\SYSTEM32\AWTTU.DLL

C:\WINDOWS\SYSTEM32\AWTTU.DLL --> Vundo Renombrado a .VIR

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Fri Feb 03 17:17:50 2006

EliStartPage v11.07 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

C:\\ca32.exe --> AutoExtraible

C:\Documents and Settings\yolanda\ca32.exe --> AutoExtraible

C:\WINDOWS\system32\ddcya.dll --> Eliminado, Vundo

C:\WINDOWS\system32\exclean.exe --> AutoExtraible



Fri Feb 03 18:46:57 2006

EliStartPage v11.07 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Key Eliminada [WinLogon\Notify\AWTTU] -> C:\WINDOWS\SYSTEM32\AWTTU.DLL

C:\WINDOWS\SYSTEM32\AWTTU.DLL --> Vundo Renombrado a .VIR

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Fri Feb 03 20:19:07 2006

EliStartPage v11.09 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Key Eliminada [WinLogon\Notify\AWTTU] -> C:\WINDOWS\SYSTEM32\AWTTU.DLL

C:\WINDOWS\SYSTEM32\AWTTU.DLL --> Vundo Renombrado a .VIR

C:\WINDOWS\SYSTEM32\AWTTU.DLL --> Vundo Renombrado a .VIR

Eliminada Class, "{EA32FB3B-21C9-42CC-B8EF-01A9B28EDB0D}" -> C:\WINDOWS\System32\awttu.dll

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Fri Feb 03 20:19:19 2006

EliStartPage v11.09 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

C:\\ca32.exe --> AutoExtraible

C:\Documents and Settings\yolanda\ca32.exe --> AutoExtraible

C:\WINDOWS\system32\byvus.dll --> Eliminado, Vundo

C:\WINDOWS\system32\ddaxv.dll --> Eliminado, Vundo

C:\WINDOWS\system32\dr32.exe --> Eliminado, Oleloa

C:\WINDOWS\system32\exclean.exe --> AutoExtraible

C:\WINDOWS\system32\urqpp.dll --> Eliminado, Vundo



Fri Feb 03 20:27:41 2006

EliStartPage v11.09 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Fri Feb 03 20:27:44 2006

EliStartPage v11.09 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

C:\\ca32.exe --> AutoExtraible

C:\Documents and Settings\yolanda\ca32.exe --> AutoExtraible

C:\WINDOWS\system32\exclean.exe --> AutoExtraible



Sat Feb 04 12:39:59 2006

EliStartPage v11.09 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Sat Feb 04 12:40:02 2006

EliStartPage v11.09 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

C:\\ca32.exe --> AutoExtraible

C:\Documents and Settings\yolanda\ca32.exe --> AutoExtraible

C:\WINDOWS\system32\exclean.exe --> AutoExtraible



Sat Feb 04 18:42:15 2006

EliStartPage v11.09 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Sat Feb 04 18:43:25 2006

EliStartPage v11.09 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

C:\Documents and Settings\yolanda\Escritorio\archivos\ca32.exe --> AutoExtraible

C:\WINDOWS\system32\exclean.exe --> AutoExtraible



Sun Feb 05 11:48:12 2006

EliStartPage v11.09 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

[WinLogon\Notify\FONTS]

Por favor, envienos una muestra del fichero

C:\WINDOWS\SYSTEM32\ADYCFILT.DLL

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\TUSSR.DLL --> Vundo Renombrado a .VIR

Entrada Eliminada [HKLM\...\Run] "Winsysupd"="C:\windows\winsysupd5.exe"

Eliminada Class, "{83A5F7B7-DC75-44CE-9195-264F41709FA9}" -> C:\WINDOWS\System32\nnlih.dll

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Sun Feb 05 11:48:23 2006

EliStartPage v11.09 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

C:\Installer.exe --> Eliminado, DollarRevenue

C:\Documents and Settings\yolanda\ca32.exe --> AutoExtraible

C:\Documents and Settings\yolanda\Escritorio\archivos\ca32.exe --> AutoExtraible

C:\WINDOWS\system32\byxya.dll --> Eliminado, Vundo

C:\WINDOWS\system32\exclean.exe --> AutoExtraible

C:\WINDOWS\system32\hgged.dll --> Eliminado, Vundo (notify)



Sun Feb 05 12:23:46 2006

EliStartPage v11.09 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

[WinLogon\Notify\FONTS]

Por favor, envienos una muestra del fichero

C:\WINDOWS\SYSTEM32\ADYCFILT.DLL

a "virus@satinfo.es". Gracias.

Key Eliminada [WinLogon\Notify\NNLIH] -> C:\WINDOWS\SYSTEM32\NNLIH.DLL

Por favor, envienos una muestra del fichero

C:\DOCUME~1\YOLANDA\CONFIG~1\TEMP\FREEPROD.DLL.Muestra EliStartPage v11.09

a "virus@satinfo.es". Gracias.

C:\ARCHIVOS DE PROGRAMA\FREEPROD TOOLBAR\FREEPROD.DLL --> Eliminado

Por favor, envienos una muestra del fichero

C:\DOCUME~1\YOLANDA\CONFIG~1\TEMP\MC-110-12-0000230.EXE.Muestra EliStartPage v11.09

a "virus@satinfo.es". Gracias.

C:\ARCHIVOS DE PROGRAMA\ARCHIVOS COMUNES\WINDOWS\MC-110-12-0000230.EXE --> Eliminado

C:\WINDOWS\SYSTEM32\NNLIH.DLL --> Vundo (notify) Renombrado a .VIR

C:\WINDOWS\ICONU.EXE --> Eliminado Zestyfind

C:\WINDOWS\SYSTEM32\NNLIH.DLL --> Vundo (notify) Renombrado a .VIR

C:\WINDOWS\SYSTEM32\NNLIH.DLL --> Vundo (notify) Renombrado a .VIR

C:\WINDOWS\System32\hilnn.ini --> Eliminado (Fichero Complementario).

Entrada Eliminada [HKCU\...\Run] "Services32"="C:\Archivos de programa\Archivos comunes\Windows\mc-110-12-0000230.exe"

Eliminada Class, "{2296428D-C133-4928-B76A-A200FF409572}" -> C:\ARCHIV~1\FREEPR~1\freeprod.dll

Eliminada Class, "{83A5F7B7-DC75-44CE-9195-264F41709FA9}" -> C:\WINDOWS\System32\nnlih.dll

Linea Eliminada del HOSTS --> 127.0.0.1 sds-qckads.com

Linea Eliminada del HOSTS --> 127.0.0.1 status.qckads.com

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.qoolaid.com

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.qoologic.com

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.CLKPrecision.com

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.urllogic.com

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.clkoptimizer.com

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.isearch.com

Linea Eliminada del HOSTS --> 127.0.0.1 isearch.com

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.idownload.com

Linea Eliminada del HOSTS --> 127.0.0.1 idownload.com

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.mytotalsearch.com

Linea Eliminada del HOSTS --> 127.0.0.1 mytotalsearch.com

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.lop.com

Linea Eliminada del HOSTS --> 127.0.0.1 lop.com

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.websearch.com

Linea Eliminada del HOSTS --> 127.0.0.1 websearch.com

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.page-not-found.net

Linea Eliminada del HOSTS --> 127.0.0.1 page-not-found.net

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.isearchhere.com

Linea Eliminada del HOSTS --> 127.0.0.1 isearchhere.com

Linea Eliminada del HOSTS --> 127.0.0.1 as.adwave.com

Linea Eliminada del HOSTS --> 127.0.0.1 sr.adwave.com

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.adwave.com

Linea Eliminada del HOSTS --> 127.0.0.1 adwave.com EVENT:HOST:127.0.0.1

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.pacimedia.com

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.exactsearch.net

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.contextplus.net

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Sun Feb 05 15:45:27 2006

EliStartPage v11.09 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

[WinLogon\Notify\MS-DOS EMULATION]

Por favor, envienos una muestra del fichero

C:\WINDOWS\SYSTEM32\P4R40E9QEH.DLL

a "virus@satinfo.es". Gracias.

Key Eliminada [WinLogon\Notify\NNLIH] -> C:\WINDOWS\SYSTEM32\NNLIH.DLL

C:\WINDOWS\SYSTEM32\NNLIH.DLL --> Vundo (notify) Renombrado a .VIR

C:\WINDOWS\SYSTEM32\NNLIH.DLL --> Vundo (notify) Renombrado a .VIR

C:\WINDOWS\SYSTEM32\NNLIH.DLL --> Vundo (notify) Renombrado a .VIR

C:\WINDOWS\System32\hilnn.ini --> Eliminado (Fichero Complementario).

Entrada Eliminada [HKCU\...\Run] "Services32"="C:\Archivos de programa\Archivos comunes\Windows\mc-110-12-0000230.exe"

Eliminada Class, "{83A5F7B7-DC75-44CE-9195-264F41709FA9}" -> C:\WINDOWS\System32\nnlih.dll

Linea Eliminada del HO

[msc hotline sat]

Como que este log ya no es manejable, renombra el fichero de INFOSAT.TXT a INFOSAT.OLD y partiremos de cero



Entonces primero pones el parche MS04-'12 que te faltaba la ultoma vez que pasaste el ELITRIIP:


[quote]
No detectado Parche MS04-012 de Microsoft instalado.

C:\WINDOWS\system32\exclean.exe --> AutoExtraible
[/quote]

Y nos envias el fichero EXCLEAN.EXE que al ser autoextraible pue ser que contenga algun dropper.



Luego lanzas el ELITRIIP y tras él el ELISTARA bajandote la ultima version de aqui a media hora, cuando ya hayamos subido la 11.11, y tras ello posteas el C:\INFOSAT.TXT, que será solo de estos dos procesos.



Hemos recibido muestras pero no sabemos qué te lo pide, mientras que las muestras que se te piden en el INFOSAT mas recientes no las envias ???



Mira lo que se te pide y envianoslo, y antes que nada, parchea el sistema operativo pues sino no acabaremos nunca !!!



saludos



ms, 7-2-2006

[mindtram]

¿como renombro infosat?

[msc hotline sat]

Botón derecho sobre el icono del fichero y CAMBIAR NOMBRE, o desde DOS con REN



saludos



ms, 7-2-2006

[mindtram]

mandado.gracias

[mindtram]

aqui esta en infosat



Tue Feb 07 18:21:10 2006

EliTriIP v1.86 (c)2006 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Acción Directa):

(Valor "MICROSOFT SERVICE PACK UPDATE")

Por favor, envienos una muestra del fichero

C:\WINDOWS\SYSTEM32\msspupd.exe

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\SYSHOST.EXE --> Eliminado

Por favor, envienos una muestra del fichero

C:\DOCUME~1\YOLANDA\CONFIG~1\TEMP\SERVICES.EXE.Muestra EliTriIP v1.86

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SERVICES.EXE --> Renombrado a .VIR

Linea Eliminada del HOSTS --> 127.0.0.1 sds-qckads.com

Linea Eliminada del HOSTS --> 127.0.0.1 status.qckads.com

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.qoolaid.com

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.qoologic.com

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.CLKPrecision.com

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.urllogic.com

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.clkoptimizer.com

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.isearch.com

Linea Eliminada del HOSTS --> 127.0.0.1 isearch.com

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.idownload.com

Linea Eliminada del HOSTS --> 127.0.0.1 idownload.com

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.mytotalsearch.com

Linea Eliminada del HOSTS --> 127.0.0.1 mytotalsearch.com

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.lop.com

Linea Eliminada del HOSTS --> 127.0.0.1 lop.com

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.websearch.com

Linea Eliminada del HOSTS --> 127.0.0.1 websearch.com

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.page-not-found.net

Linea Eliminada del HOSTS --> 127.0.0.1 page-not-found.net

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.isearchhere.com

Linea Eliminada del HOSTS --> 127.0.0.1 isearchhere.com

Linea Eliminada del HOSTS --> 127.0.0.1 as.adwave.com

Linea Eliminada del HOSTS --> 127.0.0.1 sr.adwave.com

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.adwave.com

Linea Eliminada del HOSTS --> 127.0.0.1 adwave.com EVENT:HOST:127.0.0.1

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.pacimedia.com

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.exactsearch.net

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.contextplus.net



Tue Feb 07 18:24:22 2006

EliTriIP v1.86 (c)2006 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Acción Directa):

(Valor "MICROSOFT SERVICE PACK UPDATE")

Por favor, envienos una muestra del fichero

C:\WINDOWS\SYSTEM32\msspupd.exe

a "virus@satinfo.es". Gracias.

Linea Eliminada del HOSTS --> 127.0.0.1 sds-qckads.com

Linea Eliminada del HOSTS --> 127.0.0.1 status.qckads.com

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.qoolaid.com

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.qoologic.com

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.CLKPrecision.com

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.urllogic.com

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.clkoptimizer.com

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.isearch.com

Linea Eliminada del HOSTS --> 127.0.0.1 isearch.com

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.idownload.com

Linea Eliminada del HOSTS --> 127.0.0.1 idownload.com

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.mytotalsearch.com

Linea Eliminada del HOSTS --> 127.0.0.1 mytotalsearch.com

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.lop.com

Linea Eliminada del HOSTS --> 127.0.0.1 lop.com

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.websearch.com

Linea Eliminada del HOSTS --> 127.0.0.1 websearch.com

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.page-not-found.net

Linea Eliminada del HOSTS --> 127.0.0.1 page-not-found.net

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.isearchhere.com

Linea Eliminada del HOSTS --> 127.0.0.1 isearchhere.com

Linea Eliminada del HOSTS --> 127.0.0.1 as.adwave.com

Linea Eliminada del HOSTS --> 127.0.0.1 sr.adwave.com

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.adwave.com

Linea Eliminada del HOSTS --> 127.0.0.1 adwave.com EVENT:HOST:127.0.0.1

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.pacimedia.com

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.exactsearch.net

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.contextplus.net



Tue Feb 07 19:04:09 2006

EliStartPage v11.11 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Key Eliminada [WinLogon\Notify\CONTROL PANEL] -> C:\WINDOWS\SYSTEM32\LVLM0931E.DLL

C:\WINDOWS\SYSTEM32\GUARD.TMP --> Eliminado Look2Me

C:\WINDOWS\SYSTEM32\LVLM0931E.DLL --> Eliminado Look2Me

Linea Eliminada del HOSTS --> 127.0.0.1 sds-qckads.com

Linea Eliminada del HOSTS --> 127.0.0.1 status.qckads.com

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.qoolaid.com

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.qoologic.com

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.CLKPrecision.com

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.urllogic.com

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.clkoptimizer.com

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.isearch.com

Linea Eliminada del HOSTS --> 127.0.0.1 isearch.com

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.idownload.com

Linea Eliminada del HOSTS --> 127.0.0.1 idownload.com

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.mytotalsearch.com

Linea Eliminada del HOSTS --> 127.0.0.1 mytotalsearch.com

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.lop.com

Linea Eliminada del HOSTS --> 127.0.0.1 lop.com

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.websearch.com

Linea Eliminada del HOSTS --> 127.0.0.1 websearch.com

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.page-not-found.net

Linea Eliminada del HOSTS --> 127.0.0.1 page-not-found.net

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.isearchhere.com

Linea Eliminada del HOSTS --> 127.0.0.1 isearchhere.com

Linea Eliminada del HOSTS --> 127.0.0.1 as.adwave.com

Linea Eliminada del HOSTS --> 127.0.0.1 sr.adwave.com

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.adwave.com

Linea Eliminada del HOSTS --> 127.0.0.1 adwave.com EVENT:HOST:127.0.0.1

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.pacimedia.com

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.exactsearch.net

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.contextplus.net

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Tue Feb 07 19:07:29 2006

EliStartPage v11.11 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

C:\WINDOWS\system32\m0pola731d.dll --> Eliminado, Look2Me

C:\WINDOWS\system32\__delete_on_reboot__kadgr1.dll --> Eliminado, Look2Me

[msc hotline sat]

Acabamos de subir a esta web nuevas bersiones de ELITRIIP, ELISTARA y ELINOTIF



https://foros.zonavirus.com/viewtopic.php?p=50620#50620



Es importante que las descargue, y ejecute el ELITRIIP Y EL ELISTARA, y postee el C:\INFOSAT.txt resultante



Aparte, me han indicado que ha llegado el fichero solicitado, si bien en un primer examen no parece tratarse de un dropper como esperabamos al ser una aitoextraible en la carpeta de sistema ???



Mañana se monitorizará y en su caso aplicará ci control y eliminacion a las utilidades, pero me parece que va a ser que no :lol:



Sobre otras muestras. Hay muchas muestras solicitadas en los informes y procesos de nuestras utilidades que no hemos recibido, aunque se indica no solo al escanear sino que queda plamado en el INFOSAT, "Por favor..."



Mira el Infosat.old y el nuevo Infosat.txt los parrafos que empiezan por "Por favor" y las muestras que se piden, envialas, pues tienes algo mas que si no lo sacamos nos va a freir de descargas de malwares...



Por ejemplo, lo que genera estas entradas del HOSTS, que con el ELITRIIP eliminarás, es algo que se te carga una y otra vez, y se regenera hasta que eliminemos la madre del cordero !



O es que este ordenador tiene muchas "madres" :lol: :lol: :lol:



saludos



ms, 7-2-2006

[msc hotline sat]

Monitorizado el fichero que nos enviastes EXCLEAN.EXE , no se aprecian cambios en registro ni en ficheros, ni queda residente, por lo que podemos olvidarnos de él



Nos ha enviado hoy otro fichero el VIRUS.IZE que no sabemos quñe utilidad se lo pide ??? ni con quñe utilidad lo ha empaquetado y con qué password lo ha encriptado ??



Aclarenoslo, y en cualquier caso,. lo que interesa nos envie son las muestras que le solicitan nuestras utilidades, que resumiendo sus anteriores informes son:


[quote="infosat"]
C:\WINDOWS\SYSTEM32\

rundIl.exe

stuffnplug.exe

msmd.exe

MScdDriverLK872.exe

ADYCFILT.DLL

P4R40E9QEH.DLL



C:\Documents and Settings\YOLANDA\Configuracion Local\TEMP\

SYSHOST.EXE.Muestra EliTriIP v1.84

BARGAINS.EXE.Muestra EliStartPage v11.04

ADV.EXE.Muestra EliStartPage v11.04

NVMS.DLL.Muestra EliStartPage v11.04

FREEPROD.DLL.Muestra EliStartPage v11.04

MC-110-12-0000247.EXE.Muestra EliStartPage v11.04

ATMTD.DLL.Muestra EliStartPage v11.04


[/quote]

Vea si tiene alguno de ellos en las carpetas indicadas y nos los envia, gracias



saludos



ms, 8-2-2006

[mindtram]

es un compresos izarck y la clave es virus

[mindtram]

he mandado uno que me lo pide el elitrip se llama msspupd y clave de acceso virus

[mindtram]

tambien mando elatmtd.dll que me pedias de la lista anterior.Es el unico que tengo

[msc hotline sat]

Recibidos, pero te has complocado un poco la vida !!!



Has empaquietado con ZIP y luego el ZIP lo has encriptado con el IZARC, y es mas facil encriptar al empaquetar, con el mismo WINZIP, sencillamente indicandole que empaquete con password...



Bueno, para la proxima vez ya lo sabrás. Así el ZIP se hace encriptado y cuela el fichero por todos los servidores antivirus sin ser interceptado, y logra llegar a su destino.



Tambien de la forma que lo has hecho, pero con doble faena :lol:



Para tu conocimiento, en el MSSPUPD.EXE hemos encontrado una variante de SDBOT, que pasaremos a implementar en el ELITRIIP



Y el en ELATMTD.DLL parece ser una variante del adware CMDSERVICE, lo implememntaremos en el ELISTARA



Tras monitorizarlos los implementaremos para detectarlos por cademas y ya informaremos



saludos



ms, 8-2-2006

[msc hotline sat]

Pues cuando ya parecía que habñiamos conseguido todas las muestras a contrilar de este ordenador, resulta que el fichero elatmtd.dll no es una DLL operativa. No se puede monitorizar y parece no tener estructura correcta.



Mira de abrirka con el bloc de notas y dinos si el fichero que tienes con dicho nombre contiene el codigo MZ entre los primeros bytes, y sino, es un resto, posiblemente de dicho malware, pero no operativo y en consecuencia piede borrarse, pero si lo hay, señal que no se ha recibido correctamente, en cuyo caso debes volver a enviarlo...



Resulta mas duro que una calcenada, pero con esto acabamos. Si no nos envias nada mas, esta tarde acabamos el ELITRIIP y el ELISTARA correspondiente a todas las muestras y cerramos el Tema.



Informanos sobre lo del MZ (miralo en otras DLL, EXES, etc) posteando respuesta a este Tema, gracias



saludos



ms, 8-2-2006

[msc hotline sat]

Y si acabas la paciencia, bajate este ZIP, lo desempaquetas y ejecutas el EXE resultante, y aunque nos perdamos la muestra, y consecuentemente su control en futuros casos, ya la conseguiremos de otro usuario, a no ser que la que tengas guardada contenga MZ e intentes enviarnosla de nuevo:



http://files3.majorgeeks.com/files/6bc7d9c600d61c08316607cde0dbb8a4/spyware/kill2me.zip



Eso lo descargas cuando tires la toalla, pero sabiendo que tienes el recurso, a lo mejor resistes un poco mas... :lol: :lol: :lol:



Si lo aplicas te deshabilitará el antivirus, reinicia lo antes pposible para que se vuelva a activar.



Y en cualquier caso nos cuentas el resultado, gracias



saludos



ms, 8-2-2006

[msc hotline sat]

Subidas nuevas versiones de ELISTARA y ELITRIIP para las nuevas muestras operativas recibidas



https://foros.zonavirus.com/viewtopic.php?p=50684#50684



saludos



ms, 8-2-2006