me endiñaron un spyware (SOLUCIONADO)

socorroo · Mensaje por **socorroo** » 10 Oct 2006, 01:33

Hola. pues resulta que se me metio un spyware de esos en la barra de tareas despues de aver intentado bajar unos codecs que resultaron ser esta m***da con iconos de seguridad con links a paginas pa vender antivirus y toda esa m***da. borre lo que pude pero sigo con el icono en la barra de tareas y los pop ups de m***da y la pagina de inicio jodida y toda esa porqueria.

a ver si me podeis ayudar. os lo agradeceria mucho.

aqui pego el log del hijackthis ( no entiendo yo nada de nada. borre un nombre de estos y consegui quitar una barra de tareas pero hay otros que los borro y aparecen. el 02 (noname)blablabla... por ejemplo. bueno ya me direis cual borro y eso.

2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSetMgr.exe

C:\WINDOWS\Explorer.EXE

C:\Archivos de programa\Archivos comunes\Symantec Shared\SNDSrvc.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\SPBBC\SPBBCSvc.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\ccEvtMgr.exe

C:\WINDOWS\system32\LEXBCES.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\system32\LEXPPS.EXE

C:\Archivos de programa\SoftCodec\isamonitor.exe

C:\Archivos de programa\SoftCodec\pmsngr.exe

C:\Archivos de programa\Java\jre1.5.0_01\bin\jusched.exe

C:\Archivos de programa\Winamp\winampa.exe

C:\Archivos de programa\Logitech\Video\LogiTray.exe

C:\Archivos de programa\MessengerPlus! 3\MsgPlus.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe

C:\Archivos de programa\Lexmark 2200 Series\lxbvbmgr.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Archivos de programa\Archivos comunes\Ahead\lib\NMBgMonitor.exe

C:\Archivos de programa\Lavasoft\Ad-Aware SE Professional\Ad-Watch.exe

C:\Archivos de programa\SoftCodec\pmmon.exe

C:\Archivos de programa\Lexmark 2200 Series\lxbvbmon.exe

C:\Archivos de programa\SoftCodec\isamini.exe

C:\WINDOWS\system32\LVComS.exe

C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7Debug\mdm.exe

C:\Archivos de programa\Norton AntiVirus\navapsvc.exe

C:\Archivos de programa\Norton AntiVirus\IWP\NPFMntor.exe

C:\Archivos de programa\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe

C:\WINDOWS\system32\svchost.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\CCPD-LC\symlcsvc.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\wuauclt.exe

C:\DOCUME~1\Miguel\CONFIG~1\Temp\Rar$EX07.406\HijackThis.exe

C:\Archivos de programa\Internet Explorer\iexplore.exe

C:\Archivos de programa\Messenger\msmsgs.exe

C:\DOCUME~1\Miguel\CONFIG~1\Temp\Rar$EX00.250\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.es/

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: (no name) - {202a961f-23ae-42b1-9505-ffe3c818d717} - C:\Archivos de programa\SoftCodec\isaddon.dll

O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Archivos de programa\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll

O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Archivos de programa\MSN Apps\MSN Toolbar\01.02.5000.1021\es\msntb.dll

O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Archivos de programa\Norton AntiVirus\NavShExt.dll

O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Archivos de programa\MSN Apps\MSN Toolbar\01.02.5000.1021\es\msntb.dll

O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Archivos de programa\Norton AntiVirus\NavShExt.dll

O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Archivos de programa\Java\jre1.5.0_01\bin\jusched.exe

O4 - HKLM\..\Run: [WinampAgent] C:\Archivos de programa\Winamp\winampa.exe

O4 - HKLM\..\Run: [CorelDRAW Graphics Suite 11b] C:\Archivos de programa\Corel\Corel Graphics 12\Languages\ES\Programs\Registration.exe /title="CorelDRAW Graphics Suite 12" /date=030806 serial=dr12cnc-8301292-wbn lang=ES

O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Archivos de programa\Logitech\Video\ISStart.exe

O4 - HKLM\..\Run: [LogitechVideoTray] C:\Archivos de programa\Logitech\Video\LogiTray.exe

O4 - HKLM\..\Run: [NeroFilterCheck] C:\Archivos de programa\Archivos comunes\Ahead\Lib\NeroCheck.exe

O4 - HKLM\..\Run: [MessengerPlus3] "C:\Archivos de programa\MessengerPlus! 3\MsgPlus.exe"

O4 - HKLM\..\Run: [ccApp] "C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe"

O4 - HKLM\..\Run: [Lexmark 2200 Series] "C:\Archivos de programa\Lexmark 2200 Series\lxbvbmgr.exe"

O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Archivos de programa\Archivos comunes\Symantec Shared\Security Center\UsrPrmpt.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [Explorer] C:\WINDOWS\system32\shellexp.exe en

O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Archivos de programa\Archivos comunes\Ahead\lib\NMBgMonitor.exe"

O4 - HKCU\..\Run: [msnmsgr] "C:\Archivos de programa\MSN Messenger\msnmsgr.exe" /background

O4 - HKCU\..\Run: [AWMON] "C:\Archivos de programa\Lavasoft\Ad-Aware SE Professional\Ad-Watch.exe"

O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Archivos de programa\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office10\OSA.EXE

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?LinkID=39204

O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1160361184843

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\ARCHIV~1\MSNMES~1\msgrapp.dll" (file missing)

O20 - AppInit_DLLs: MsgPlusLoader.dll

O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccEvtMgr.exe

O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccPwdSvc.exe

O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSetMgr.exe

O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE

O23 - Service: Servicio Auto-Protect de Norton AntiVirus (navapsvc) - Symantec Corporation - C:\Archivos de programa\Norton AntiVirus\navapsvc.exe

O23 - Service: Norton AntiVirus Firewall Monitor Service (NPFMntor) - Symantec Corporation - C:\Archivos de programa\Norton AntiVirus\IWP\NPFMntor.exe

O23 - Service: SAVScan - Symantec Corporation - C:\Archivos de programa\Norton AntiVirus\SAVScan.exe

O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\ARCHIV~1\ARCHIV~1\SYMANT~1\SCRIPT~1\SBServ.exe

O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\SNDSrvc.exe

O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\SPBBC\SPBBCSvc.exe

O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Archivos de programa\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe

O23 - Service: Symantec Core LC - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\CCPD-LC\symlcsvc.exe

bueno pues seguire sufriendo un poco a ver si alguien me ayuda . asta pronto

koga · Mensaje por **koga** » 10 Oct 2006, 02:02

Bienvenido al foro, mientras analizamos su log le recomiendo pruebe con:

ELISTARA:

http://www.zonavirus.com/descargas/elistara.asp

ELITRIIP:

http://www.zonavirus.com/descargas/elitriip.asp

Desactive la restauracion del sistema e inicie en modo seguro, lanze las utilidades ya mencionadas, luego reinicie el ordenador y nos postea el contenido de C:/Infosat.txt y postea un nuevo log de HJT,

Nos comenta como le fue.

Saludos.

socorroo · Mensaje por **socorroo** » 10 Oct 2006, 02:32

a ver si lo habre hecho medianamente bien. quite la restauracion de sistema (aun la tengo quitada...) e inicie en modo seguro. entonces abri el programa ese que habia guardado del enlace, y lo ejecute. y no encontro nada. aunque ahora busque eso de C:/Infosat.tx y me salio esto: Tue Oct 10 02:13:36 2006

EliTriIP v2.59 (c)2006 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Acción Directa):

Entrada Eliminada [HKCU\...\Run] "Explorer"="C:\WINDOWS\system32\shellexp.exe en"

y probe a borrar la porqueria que habia intentado borrar antes con el hijackthis y luego ya reinicie normal y vine aqui. sigo teniendo los mensajes del spyware y la pagina de inicio y eso.

pego el log de ahora por si acaso. pero lo que borre sigue ahi. ¿el programa vuelve a generar eso si no borro lo principal o es que no lo borre bien o que? yo le di a lo de fix chequed y le di a que si y luego en config.. y busco esas cosas, las marco y le doy a delete. una de las entradas que borre y sigue ahi es la de: O2 - BHO: (no name) - {202a961f-23ae-42b1-9505-ffe3c818d717} - C:\Archivos de programa\SoftCodec\isaddon.dll

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSetMgr.exe

C:\WINDOWS\Explorer.EXE

C:\Archivos de programa\Archivos comunes\Symantec Shared\SNDSrvc.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\SPBBC\SPBBCSvc.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\ccEvtMgr.exe

C:\WINDOWS\system32\LEXBCES.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\system32\LEXPPS.EXE

C:\Archivos de programa\SoftCodec\isamonitor.exe

C:\Archivos de programa\SoftCodec\pmsngr.exe

C:\Archivos de programa\Java\jre1.5.0_01\bin\jusched.exe

C:\Archivos de programa\Winamp\winampa.exe

C:\Archivos de programa\Logitech\Video\LogiTray.exe

C:\Archivos de programa\MessengerPlus! 3\MsgPlus.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe

C:\Archivos de programa\SoftCodec\pmmon.exe

C:\Archivos de programa\SoftCodec\isamini.exe

C:\Archivos de programa\Lexmark 2200 Series\lxbvbmgr.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Archivos de programa\Archivos comunes\Ahead\lib\NMBgMonitor.exe

C:\Archivos de programa\MSN Messenger\msnmsgr.exe

C:\Archivos de programa\Lavasoft\Ad-Aware SE Professional\Ad-Watch.exe

C:\Archivos de programa\Lexmark 2200 Series\lxbvbmon.exe

C:\WINDOWS\system32\LVComS.exe

C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7Debug\mdm.exe

C:\Archivos de programa\Norton AntiVirus\navapsvc.exe

C:\Archivos de programa\Norton AntiVirus\IWP\NPFMntor.exe

C:\Archivos de programa\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe

C:\WINDOWS\system32\svchost.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\CCPD-LC\symlcsvc.exe

C:\Archivos de programa\Internet Explorer\iexplore.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\wuauclt.exe

C:\Archivos de programa\Messenger\msmsgs.exe

C:\Archivos de programa\WinRAR\WinRAR.exe

C:\DOCUME~1\Miguel\CONFIG~1\Temp\Rar$EX00.812\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.es/

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: (no name) - {202a961f-23ae-42b1-9505-ffe3c818d717} - C:\Archivos de programa\SoftCodec\isaddon.dll

O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Archivos de programa\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll

O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Archivos de programa\MSN Apps\MSN Toolbar\01.02.5000.1021\es\msntb.dll

O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Archivos de programa\Norton AntiVirus\NavShExt.dll

O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Archivos de programa\MSN Apps\MSN Toolbar\01.02.5000.1021\es\msntb.dll

O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Archivos de programa\Norton AntiVirus\NavShExt.dll

O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Archivos de programa\Java\jre1.5.0_01\bin\jusched.exe

O4 - HKLM\..\Run: [WinampAgent] C:\Archivos de programa\Winamp\winampa.exe

O4 - HKLM\..\Run: [CorelDRAW Graphics Suite 11b] C:\Archivos de programa\Corel\Corel Graphics 12\Languages\ES\Programs\Registration.exe /title="CorelDRAW Graphics Suite 12" /date=030806 serial=dr12cnc-8301292-wbn lang=ES

O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Archivos de programa\Logitech\Video\ISStart.exe

O4 - HKLM\..\Run: [LogitechVideoTray] C:\Archivos de programa\Logitech\Video\LogiTray.exe

O4 - HKLM\..\Run: [NeroFilterCheck] C:\Archivos de programa\Archivos comunes\Ahead\Lib\NeroCheck.exe

O4 - HKLM\..\Run: [MessengerPlus3] "C:\Archivos de programa\MessengerPlus! 3\MsgPlus.exe"

O4 - HKLM\..\Run: [ccApp] "C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe"

O4 - HKLM\..\Run: [Lexmark 2200 Series] "C:\Archivos de programa\Lexmark 2200 Series\lxbvbmgr.exe"

O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Archivos de programa\Archivos comunes\Symantec Shared\Security Center\UsrPrmpt.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Archivos de programa\Archivos comunes\Ahead\lib\NMBgMonitor.exe"

O4 - HKCU\..\Run: [msnmsgr] "C:\Archivos de programa\MSN Messenger\msnmsgr.exe" /background

O4 - HKCU\..\Run: [AWMON] "C:\Archivos de programa\Lavasoft\Ad-Aware SE Professional\Ad-Watch.exe"

O4 - HKCU\..\Run: [Explorer] C:\WINDOWS\system32\shellexp.exe en

O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Archivos de programa\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office10\OSA.EXE

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?LinkID=39204

O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1160361184843

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\ARCHIV~1\MSNMES~1\msgrapp.dll" (file missing)

O20 - AppInit_DLLs: MsgPlusLoader.dll

O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccEvtMgr.exe

O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccPwdSvc.exe

O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSetMgr.exe

O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE

O23 - Service: Servicio Auto-Protect de Norton AntiVirus (navapsvc) - Symantec Corporation - C:\Archivos de programa\Norton AntiVirus\navapsvc.exe

O23 - Service: Norton AntiVirus Firewall Monitor Service (NPFMntor) - Symantec Corporation - C:\Archivos de programa\Norton AntiVirus\IWP\NPFMntor.exe

O23 - Service: SAVScan - Symantec Corporation - C:\Archivos de programa\Norton AntiVirus\SAVScan.exe

O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\ARCHIV~1\ARCHIV~1\SYMANT~1\SCRIPT~1\SBServ.exe

O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\SNDSrvc.exe

O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\SPBBC\SPBBCSvc.exe

O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Archivos de programa\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe

O23 - Service: Symantec Core LC - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\CCPD-LC\symlcsvc.exe

que chungo esto.gracias por la ayuda.

a ver si lo consigo..

koga · Mensaje por **koga** » 10 Oct 2006, 03:44

[quote]EliTriIP v2.59 (c)2006 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Acción Directa):

Entrada Eliminada [HKCU\...\Run] "Explorer"="C:\WINDOWS\system32\shellexp.exe en"[/quote]

El Elitriip ya borro algo, pero corrio solo esa utilidad??? y el Elistara? tambien lo uso?

Si no lo hizo hagalo con el mismo procedimiento, ademas descargue instale y actualice estas utilidades,

Spybot:

http://www.zonavirus.com/descargas/spybot-sd.asp

Ad-aware:

http://www.zonavirus.com/datos/descargas/9/Ad-Aware_SE_Personal_Edition.asp

Mantenga desactivada la restauracion del sistema (ya que si se borra algun virus con ella activada podria dejar una copia de seguridad)

Inicie en modo seguro ejecute Ad-aware, spybot, y luego elistara si no lo hizo antes y vuelva a postear el contenido del archivo infosat, reinicie y vuelve a postear un nuevo log de HJT.

Y veamos como nos va,

Saludos.

Mensaje por **msc hotline sat** » 10 Oct 2006, 04:11

Se aprecian dos familias de troyanos en tu log actual, la de variantes del PUPER:

VIRUSBURST---PUPER---isamonitor--ELISTARA

(PSW.x-vir) - ficheros en carpeta *codec*

y la del Backdoor Sheldor:

http://www.symantec.nl/avcenter/venc/data/backdoor.sheldor.html

La primera se controla con el ELISTARA, como indica koga, por lo que pruebelo uy lo eliminara o pedira muestra para enviarnos y si es el caso, tras analizarla, implementaremos su control y eliminacion en la siguiente version (cada dia hacemos una)

Para la segunda necesitamos que nos envie muestra de:

C:\WINDOWS\system32\shellexp.exe

Todas las muestras que pedimos al respecto, nos las puede enviar a zonavirus@satinfo.es anexadas a un mail en cuyo texto indique como referencia "REF <nick que usa en el foro>" y asi podremos informarle si hay alguna incidencia sobre el particular, gracias.

Tras recibirlas, las analizaremos e implementaremos su control y eliminación, si procede, en nuestras utilidades, de lo cual informaremos en el foro, como siempre.

Todas las muestras que pedimos al respecto, nos las puede enviar a zonavirus@satinfo.es anexadas a un mail en cuyo texto indique como referencia "REF <nick que usa en el foro>" y asi podremos informarle si hay alguna incidencia sobre el particular, gracias.

Tras recibirlas, las analizaremos e implementaremos su control y eliminación, si procede, en nuestras utilidades, de lo cual informaremos en el foro, como siempre.

y ya puede eliminar esta clave:

O4 - HKCU\..\Run: [Explorer] C:\WINDOWS\system32\shellexp.exe en

Para ello arranque en modo seguro y lance el HJT, marque la casilla de la izquierda de estas claves y eliminelas con FIX CHECKED

Tras probar el ELISTARA, posteenos el C:\INFOSAT.TXT y lo revisaremos, gracias

saludos

ms. 10-10-2006

socorroo · Mensaje por **socorroo** » 10 Oct 2006, 15:29

hola de nuevo.

no he podido encontrar esto: C:\WINDOWS\system32\shellexp.exe

ya que lo busco en ejecutar y hay un mensaje de error que dice que no lo encuentra. asi que lo busque en las carpetas y es una carpeta que esta vacia ¿¿ :( ??

lo bueno es que pase todos los programas que me ofrecisteis y al menos ahora se me libero la pagina de inicio(menos mal, con lo molesto que era la otra) y me borro algunas cosas. copio la informacion (lo de mandarla por mail no se si es una sugerencia sin mas o si prefieren que lo haga asi. si lo prefieren la mando asi)

Tue Oct 10 14:12:51 2006

EliStartPage v12.50 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Por favor, envienos una muestra del fichero

C:\Muestras\PMSNGR.EXE.Muestra EliStartPage v12.50

a "virus@satinfo.es". Gracias.

C:\ARCHIVOS DE PROGRAMA\SOFTCODEC\PMSNGR.EXE --> Eliminado

Por favor, envienos una muestra del fichero

C:\Muestras\PMMON.EXE.Muestra EliStartPage v12.50

a "virus@satinfo.es". Gracias.

C:\ARCHIVOS DE PROGRAMA\SOFTCODEC\PMMON.EXE --> Eliminado

C:\ARCHIVOS DE PROGRAMA\SOFTCODEC\ISAMINI.EXE --> Eliminado Puper-Is

Por favor, envienos una muestra del fichero

C:\Muestras\ISADDON.DLL.Muestra EliStartPage v12.50

a "virus@satinfo.es". Gracias.

C:\ARCHIVOS DE PROGRAMA\SOFTCODEC\ISADDON.DLL --> Eliminado

C:\ARCHIVOS DE PROGRAMA\SOFTCODEC\IESPLUGIN.DLL --> Eliminado Puper-Isa

C:\ARCHIVOS DE PROGRAMA\SOFTCODEC\ISAMONITOR.EXE --> Eliminado Puper-Is

Eliminada Class, "{202A961F-23AE-42B1-9505-FFE3C818D717}" -> C:\Archivos de programa\SoftCodec\isaddon.dll

Eliminada Class, "{479FD0CF-5BE9-4C63-8CDA-B6D371C67BD5}" -> C:\Archivos de programa\SoftCodec\iesplugin.dll

Eliminada Carpeta "%WinSys%\LogFiles"

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Tue Oct 10 14:15:02 2006

EliStartPage v12.50 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

C:\Archivos de programa\Nero\Nero 7\Nero Vision\NVDV.DLL --> Eliminado, Hotbar

Tue Oct 10 14:58:26 2006

EliStartPage v12.50 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

y el de hijackthis

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSetMgr.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\SNDSrvc.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\SPBBC\SPBBCSvc.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\ccEvtMgr.exe

C:\WINDOWS\system32\LEXBCES.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\system32\LEXPPS.EXE

C:\Archivos de programa\Java\jre1.5.0_01\bin\jusched.exe

C:\Archivos de programa\Winamp\winampa.exe

C:\Archivos de programa\Logitech\Video\LogiTray.exe

C:\Archivos de programa\MessengerPlus! 3\MsgPlus.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe

C:\Archivos de programa\Lexmark 2200 Series\lxbvbmgr.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Archivos de programa\Archivos comunes\Ahead\lib\NMBgMonitor.exe

C:\Archivos de programa\MSN Messenger\msnmsgr.exe

C:\Archivos de programa\Lexmark 2200 Series\lxbvbmon.exe

C:\WINDOWS\system32\LVComS.exe

C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7Debug\mdm.exe

C:\Archivos de programa\Norton AntiVirus\navapsvc.exe

C:\Archivos de programa\Norton AntiVirus\IWP\NPFMntor.exe

C:\Archivos de programa\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe

C:\WINDOWS\system32\svchost.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\CCPD-LC\symlcsvc.exe

C:\Archivos de programa\Internet Explorer\iexplore.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\wuauclt.exe

C:\Archivos de programa\WinRAR\WinRAR.exe

C:\Archivos de programa\Messenger\msmsgs.exe

C:\DOCUME~1\Miguel\CONFIG~1\Temp\Rar$EX04.906\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.es/

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Archivos de programa\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll

O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Archivos de programa\MSN Apps\MSN Toolbar\01.02.5000.1021\es\msntb.dll

O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Archivos de programa\Norton AntiVirus\NavShExt.dll

O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Archivos de programa\MSN Apps\MSN Toolbar\01.02.5000.1021\es\msntb.dll

O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Archivos de programa\Norton AntiVirus\NavShExt.dll

O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Archivos de programa\Java\jre1.5.0_01\bin\jusched.exe

O4 - HKLM\..\Run: [WinampAgent] C:\Archivos de programa\Winamp\winampa.exe

O4 - HKLM\..\Run: [CorelDRAW Graphics Suite 11b] C:\Archivos de programa\Corel\Corel Graphics 12\Languages\ES\Programs\Registration.exe /title="CorelDRAW Graphics Suite 12" /date=030806 serial=dr12cnc-8301292-wbn lang=ES

O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Archivos de programa\Logitech\Video\ISStart.exe

O4 - HKLM\..\Run: [LogitechVideoTray] C:\Archivos de programa\Logitech\Video\LogiTray.exe

O4 - HKLM\..\Run: [NeroFilterCheck] C:\Archivos de programa\Archivos comunes\Ahead\Lib\NeroCheck.exe

O4 - HKLM\..\Run: [MessengerPlus3] "C:\Archivos de programa\MessengerPlus! 3\MsgPlus.exe"

O4 - HKLM\..\Run: [ccApp] "C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe"

O4 - HKLM\..\Run: [Lexmark 2200 Series] "C:\Archivos de programa\Lexmark 2200 Series\lxbvbmgr.exe"

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Archivos de programa\Archivos comunes\Ahead\lib\NMBgMonitor.exe"

O4 - HKCU\..\Run: [msnmsgr] "C:\Archivos de programa\MSN Messenger\msnmsgr.exe" /background

O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Archivos de programa\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office10\OSA.EXE

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?LinkID=39204

O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1160361184843

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\ARCHIV~1\MSNMES~1\msgrapp.dll" (file missing)

O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccEvtMgr.exe

O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccPwdSvc.exe

O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSetMgr.exe

O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE

O23 - Service: Servicio Auto-Protect de Norton AntiVirus (navapsvc) - Symantec Corporation - C:\Archivos de programa\Norton AntiVirus\navapsvc.exe

O23 - Service: Norton AntiVirus Firewall Monitor Service (NPFMntor) - Symantec Corporation - C:\Archivos de programa\Norton AntiVirus\IWP\NPFMntor.exe

O23 - Service: SAVScan - Symantec Corporation - C:\Archivos de programa\Norton AntiVirus\SAVScan.exe

O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\ARCHIV~1\ARCHIV~1\SYMANT~1\SCRIPT~1\SBServ.exe

O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\SNDSrvc.exe

O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\SPBBC\SPBBCSvc.exe

O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Archivos de programa\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe

O23 - Service: Symantec Core LC - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\CCPD-LC\symlcsvc.exe

ahora tengo el icono en la barra de tareas pero parece que llevo bastante tiempo sin ver las ventanitas de "informacion" fraudulenta de virus....y tengo la pagina liberada. menos mal. porlomenos esta el arreglo muy avanzado ya. MUCHISIMAS GRACIAS A TODOS por toda la ayuda (ademas muy rapida) :wink:

Mensaje por **msc hotline sat** » 10 Oct 2006, 17:34

A pesar de que ha eliminado los problemas, queda pendiente lo que indica el infosat para control y limpieza de los restos, para lo que necesitamos nos envies estas muestras:

Por favor, envienos una muestra del fichero

C:\Muestras\PMSNGR.EXE.Muestra EliStartPage v12.50

Por favor, envienos una muestra del fichero

C:\Muestras\PMMON.EXE.Muestra EliStartPage v12.50

Por favor, envienos una muestra del fichero

C:\Muestras\ISADDON.DLL.Muestra EliStartPage v12.50

Todas las muestras que pedimos al respecto, nos las puede enviar a zonavirus@satinfo.es anexadas a un mail en cuyo texto indique como referencia "REF <nick que usa en el foro>" y asi podremos informarle si hay alguna incidencia sobre el particular, gracias.

Tras recibirlas, las analizaremos e implementaremos su control y eliminación, si procede, en nuestras utilidades, de lo cual informaremos en el foro, como siempre.

saludos

ms, 10-10-2006

socorroo · Mensaje por **socorroo** » 10 Oct 2006, 18:02

hola. me pasa una cosa rara. esos tres archivos que me pide, rsulta que al abrirlos son simbolos, no letras. es que windows no podia abrirlo y me dijo que escogiera un programa para abrirlo y si uso el bloc de notas o el word salen simbolos raros a ver si puedo subirlo asi o si no a ver que hago.

socorroo · Mensaje por **socorroo** » 10 Oct 2006, 18:06

no puedo subirlo. la extension cincuenta no esta permitida. voy a copiarlo aqui a ver que sale:

MZ ÿÿ ¸ @ ø º ´ Í!¸LÍ!This program cannot be run in DOS mode.

$ ù;q½Zu"½Zu"½Zu"3Mz"¿Zu"3M*"¿Zu"G~5"¿Zu">R*"¹Zu"®R("¿Zu">R("ºZu"½Zt"‰Zu"3M"µZu"3M)"¼Zu"3M/"¼Zu"Rich½Zu" PE L »(E à !

0+ 0 ` 7 … h4 d P Ø 0 € .text Ú `.rdata ¥ 0 $ @ @.data D @ , @ À.reloc à P . @ B ‹D$‹T$SVW¹ ¿4 ‹ð3ÛÇ ó§t‹ð¹ ¿ø3 3Àó§u‹D$…À‰t‹PÿQ_^3À[Â _^¸@ €[Â ÌÌÌÌÌÌÌÌ‹D$‹HA‰H‹ÁÂ ‹D$…ÀSU‹l$»@ €ÇE t

]¸€[Â V‹t$WƒÆ¹ ¿€0 3Àó§u:j,è\ ƒÄ…Àt

‹Èè ‹ð…öu_^]¸ €[Â ‹T$‹URVÿ‹Ø‹VÿP_^]‹Ã[Â ¸@ €Â ÌÌÌÌÌÌÌÌ‹L$‹AH‰AuÇ0 ¡0@ HQ£0@ è ƒÄ3ÀÂ ÌÌÌÌ‹T$‹ÁH‰‹T$‰Q‹T$‰Q‹T$‰QÇ 0 Ç@ ÿ0@ Â ÌÌÌÌÌÌÌÌÌÌ‹

0@ 3À…É•ÀÃÌÌ‹D$S‹\$UVW¹ ¿€0 ‹ó3ÒÇ ó§t¸€_^][Â j j j j jÿÿ00 …À‹-40 ‹=80 tj j ÿ<0 ÿÕj ÿ×ÿÕ…Àj tÿ@0 j ÿ`0 ëÿ×jè ƒÄ…Àt(‹ƒì‹Ì‰‹S‰Q‹S‰Q‹S‰Q‹Èèÿÿÿ‹ð…öu¸ €_^][Â j j j j jÿÿ00 …Àtj j ÿ<0 ÿÕj ÿ×ÿÕ…Àj tÿ@0 j ÿ`0 ëÿ×‹L$‹T$‹QRVÿj j j j jÿ‹Øÿ00 …Àtj j ÿ<0 ÿÕj ÿ×ÿÕ…Àj tÿ@0 j ÿ`0 ‹VÿP‹Ã_^][Â ÿ×‹VÿP_^]‹Ã[Â ÌÌÌÌÌÌÌÌÌÌÌì ‹

4@ SUVh „$ PQÿ$0 ‹h1 ¡l1 f‹

p1 ‹500 j j j j jÿ‰T$ ‰D$$f‰L$(ÿÖ…À‹-40 ‹80 tj j ÿ<0 ÿÕj ÿÓÿÕ…Àj tÿ@0 j ÿ`0 ëÿÓW|$OŠGG„Àuø‹\1 ¡`1 Š

d1 ‰‰GˆO|$O› ŠGG„Àuø‹T1 f¡X1 Š

Z1 j j j ‰j f‰GjÿˆOÿÖ…Àtj j ÿ<0 ÿÕj ÿÓÿÕ…Àj tÿ@0 j ÿ`0 ëÿÓ¡@ ‹ÐŠ@„Éuù|$+ÂOŠOG„Éuø‹ÈÁé‹òó¥hP1 hP1 T$‹ÈRƒáh €ó¤èí |$ ƒÄOëI ŠGG„Àuø¡@1 ‹

D1 ‹H1 j ‰¡L1 j j ‰Oj ‰Wjÿ‰Gÿ00 …À_tj j ÿ<0 ÿÕj ÿÓÿÕ…Àj tÿ@0 j ÿ`0 ëÿÓŒ$ QhP1 T$Rh €è\ h41 h$1 D$$Ph €èC ƒÄ ^][Ä ÃÌÌÌÌÌÌì SU‹-00 VWj j j j ¹ ¾¤1 |$ jÿó¥ÿÕ…À‹40 tj j ÿ<0 ÿÓj ÿ80 ÿÓ…Àj tÿ@0 j ÿ`0 ëÿ80 ¡@ ¹ ¾t1 |$ó¥‹ÐŠ@„Éuù|$+ÂO‹ÿŠOG„Éuø‹ÈÁé‹òó¥j j j ‹Èj ƒájÿó¤ÿÕ…Àtj j ÿ<0 ÿÓj ÿ80 ÿÓ…À_^][j tÿ@0 j ÿ`0 ëÿ80 hP1 hP1 D$Ph €è) Ä ÃÌÌèËüÿÿèæþÿÿ3ÀÃÌÌÌVWj j j j jÿÇ @ ,2 ÿ00 …À‹=40 ‹580 tj j ÿ<0 ÿ×j ÿÖÿ×…Àj tÿ@0 j ÿ`0 ëÿÖh2 ¾8@ VÇ@ À1 ÿ 0 _‰5@ ‰5@ ^Ã‹D$ì …ÀSUVW„ †V ƒø‡M ‹„$ h L$Qj £4@ ÿ$0 ‹00 j j j j jÿÿÓ…À‹-<0 ‹540 ‹=80 tj j ÿÕÿÖj ÿ×ÿÖ…Àj tÿ@0 j ÿ`0 ëÿ×T$Rÿx0 D$h\2 Pèå ƒÄ…Àt_^]3À[Ä Â j j j j jÿÿÓ…Àtj j ÿÕÿÖj ÿ×ÿÖ…Àj tÿ@0 j ÿ`0 ëÿ×ƒ¼$ uqèzþÿÿ_^]¸ [Ä Â j j j j jÿÿ00 …À‹=40 ‹580 tj j ÿ<0 ÿ×j ÿÖÿ×…Àj t ÿ@0 j ÿ`0 _^]¸ [Ä Â ÿÖ_^]¸ [Ä Â ÌÌÌÌÌÌÌÌÌÌÌÌS‹40 U‹-00 V‹ñÇ€2 ÇFl2 ÿ

0@ ‹F…ÀW‹=80 „— j j j j jÿÿÕ…Àtj j ÿ<0 ÿÓj ÿ×ÿÓ…Àj tÿ@0 j ÿ`0 ëÿ×‹F…ÀtM‹V‹RPÿQj j j j jÿÿÕ…Àtj j ÿ<0 ÿÓj ÿ×ÿÓ…Àj tÿ@0 j ÿ`0 ëÿ×‹F‹PÿQ‹F‹PÿRj j j j jÿÿÕ…Àtj j ÿ<0 ÿÓj ÿ×ÿÓ…Àj tÿ@0 j ÿ`0 ëÿ×‹v…öt‹VÿP_^][ÃÌÌÌÌÌÌÌ‹D$‹HA‰H‹ÁÂ ‹D$SUV‹t$W¹ ¿4 3ÒÇ ó§u‹L$‰j j j j jÿÿ00 …À‹-40 ‹80 tj j ÿ<0 ÿÕj ÿÓÿÕ…Àj tÿ@0 j ÿ`0 ëÿÓ‹T$3À‹D$¹ ¿84 ‹òó§u‹L$‰‹ò¹ ¿4 3Òó§u…ÀtƒÀë3À‹L$‰‹500 j j j j jÿÿÖ…Àtj j ÿ<0 ÿÕj ÿÓÿÕ…Àj tÿ@0 j ÿ`0 ëÿÓ‹|$ƒ? tZj j j j jÿÿÖ…Àtj j ÿ<0 ÿÕj ÿÓÿÕ…Àj tÿ@0 j ÿ`0 ‹‹PÿR_^]3À[Â ÿÓ‹‹PÿR_^]3À[Â _^]¸@ €[Â ÌÌÌÌÌÌÌÌÌÌÌÌVWj j j j jÿÿ00 …À‹=40 ‹580 tj j ÿ<0 ÿ×j ÿÖÿ×…Àj tÿ@0 j ÿ`0 _¸@ €^Â ÿÖ_¸@ €^Â ÌÌ¸@ €Â ÌÌÌÌÌÌÌÌ¸@ €Â ÌÌÌÌÌÌÌÌƒì$‹D$(SUVWP‰L$ÿh0 ‹00 j j j j jÿ‰D$LÿÓ…À‹-<0 ‹=40 ‹580 tj j ÿÕÿ×j ÿÖÿ×…Àj tÿ@0 j ÿ`0 ëÿÖ3É‰L$‰L$‰L$QQQQjÿ‰L$4ÿÓ…Àtj j ÿÕÿ×j ÿÖÿ×…Àj tÿ@0 j ÿ`0 ëÿÖ‹T$8‹D$‹@fÇD$$ ‰T$,‹PÿQ8j j j j jÿÿÓ…Àtj j ÿÕÿ×j ÿÖÿ×…Àj tÿ@0 j ÿ`0 ëÿÖ‹T$‹B‹T$RRRRT$4RPÿ‘Ð ‹D$8Pÿl0 _^][ƒÄ$Â U‹ìƒäøì SVWjh¸2 ÿD0 ‹uPh¸2 VèÅ ƒÄ…À…¥ h¬2 Vè2 ƒÄj j j j jÿ‹Øÿ00 …Àtj j ÿ<0 ÿ40 ‹=80 j ÿ×ë‹=80 ÿ40 …Àj tÿ@0 j ÿ`0 ëÿ×hœ2 VèÎ ƒÄ…Û‹ð„) …ö„! j j j j jÿƒÃÿ00 …Àtj j ÿ<0 ÿ40 j ÿ×ÿ40 …Àj tÿ@0 j ÿ`0 ëÿ×3ÀPPPP¹ |$ jÿó«ÿ00 …Àtj j ÿ<0 ÿ40 ‹=80 j ÿ×ë‹=80 ÿ40 …Àj tÿ@0 j ÿ`0 ëÿ×+óÑþVD$SPèÆ

‹5@ ƒÄj j j j jÿÿ00 …Àtj j ÿ<0 ÿ40 j ÿ×ÿ40 …Àj tÿ@0 j ÿ`0 ëÿ×‹UL$QVRÿt0 ƒÄ°_^[‹å]Ã_^2À[‹å]ÃÌÌÌÌÌÌÌÌÌÌÌÌQS‹00 UVWj j j j jÿÿÓ…À‹-<0 ‹540 ‹=80 tj j ÿÕÿÖj ÿ×ÿÖ…Àj tÿ@0 j ÿ`0 ëÿ×D$Pjj h3 h €ÿ 0 …Àul‹T$L$QRPP‹D$ h3 Pÿ0 j j j j jÿÿÓ…Àtj j ÿÕÿÖj ÿ×ÿÖ…Àj tÿ@0 j ÿ`0 ‹L$Qÿ0 _^][YÃÿ×‹L$Qÿ0 _^][YÃÌÌÌÌÌÌÌÌÌÌÌÌÌÌì” VWj j j j jÿÇD$” ÿ00 …À‹=40 ‹580 tj j ÿ<0 ÿ×j ÿÖÿ×…Àj tÿ@0 j ÿ`0 ëÿÖD$Pÿ(0 ƒ|$_^u

‹L$¸ ;Èt3ÀÄ” ÃÌÌÌÌÌÌÌÌÌÌÌÌU‹ìjÿhH3 hL* d¡ Pd‰% ƒìSVW‰eèÇEü ‹E‹‹URPÿ‘ j j j j jÿÿ00 …Àtj j ÿ<0 ÿ40 j ÿ80 ÿ40 j …Àtÿ@0 j ÿ`0 °ˆEçëÿ80 °ˆEçë¸ Ã‹eè2ÀÇEüÿÿÿÿ‹Mðd‰

_^[‹å]ÃÌÌÌÌÌÌì

VWh D$Pÿ,0 j j j j jÿÿ00 …À‹=40 ‹580 tj j ÿ<0 ÿ×j ÿÖÿ×…Àj tÿ@0 j ÿ`0 ëÿÖh„3 L$Q”$ hT3 Rÿt0 ƒÄj„$ PÿD0 ‹Œ$

PQ”$ Rè

ƒÄ÷ØÀ_þÀ^Ä

ÃÌÌÌÌÌÌì

VWh D$Pÿ,0 j j j j jÿÿ00 …À‹=40 ‹580 tj j ÿ<0 ÿ×j ÿÖÿ×…Àj tÿ@0 j ÿ`0 ëÿÖhä3 hØ3 hÐ3 L$Q”$ h 3 Rÿt0 ƒÄj„$ PÿD0 ‹Œ$

PQ”$ RèN ƒÄ÷ØÀ_þÀ^Ä

ÃÌÌÌÌÌÌÌÌÌÌÌÌƒìV‹ñ‹FT$RÇD$ ‹PÿQH…À|x‹L$D$PQèýÿÿƒÄ„Àtb‹T$WRè/þÿÿ‹|$ƒÄ„Àt¡@ P‹Îè·øÿÿ‹‹QfÇÿÿ‹D$PèÃþÿÿƒÄ„Àt‹

@ Q‹ÎèŽøÿÿ‹‹BfÇ ÿÿ‹L$Qÿl0 _3À^ƒÄÂ ÌÌÌÌÌÌÌÌÌÌÌÌÌÌÌQV‹ñ‹F$WPÿD0 ‹øŠF„ÀuS‹F‹T$RPÿQx‹D$‹N$jWPQèI ƒÄ…Àt‹V$R‹Îèøÿÿ‹D$Pÿl0 _3À^YÂ ‹D$PÆFÿl0 _3À^YÂ ÌÌÌÌÌÌÌÌÌÌÌÌÌŠA„ÀuN‹D$Vº ˆQÇA ‹0‹v~ €u‰Q ‹‹R‹rþ” ^uÇA ‹Q …Òt

‹ ‹HfÇÿÿ3ÀÂ ÌÌÌÌÌÌU‹ìƒäøì ‹ESV‹ñ‹‹QX‹ZW3ÀfÇ„$ ¹ÿ ¼$" ó«Œ$ f«ÆF¡ @ QS‰F$è^øÿÿƒÄ„Àt'”$ R‹Îè÷ÿÿ‹E‹‹QfÇÿÿ3À_^[‹å]Â 3À¹A |$ó«D$h PèúÿÿƒÄh Œ$ Qh T$Rj jÿ0 jjÿ„$ SPèÎ ƒÄ…Àus‹}‹‹Ah…ÀÇD$ „ª ‹L$QhX4 Pÿ‹D$…À„ ;Fu&‹V$R‹ÎÆF è`öÿÿèkúÿÿ„Àu

‹‹HfÇÿÿ‹D$…Àt`‹PÿR3À_^[‹å]Â SèŽûÿÿƒÄ„Àt¡@ P‹Îèöÿÿ‹M‹‹BfÇ ÿÿSè'üÿÿƒÄ„Àt‹

@ Q‹Îèòõÿÿ‹U‹‹HfÇÿÿ_^3À[‹å]Â ÌÌÌÌÌÌÌÌÌÌV‹ñŠF„Àt)ƒ~ ÆF u¡@ Pè±õÿÿƒ~ u‹

@ Q‹Îèõÿÿ3À^Â ÌÌÌÌÌÌÌ‹D$=ü u‹D$‹L$PèýÿÿÂ$ = u‹L$Q‹L$èýÿÿÂ$ ƒøhu‹T$‹L$RèyÿÿÿÂ$ = u‹D$‹L$Pè!üÿÿÂ$ =ú u‹L$Q‹L$è™ýÿÿÂ$ 3ÀÂ$ ÌVW‹|$…ÿtÇ ‹T$‹D$‹@$‹WRPÿ‹ð…ö|‹?‹WÿP_‹Æ^Â ÌÌÌÌÌÌÌÌÌVW‹|$…ÿ¾@ €tk‹WÿP‹t$‹F$…Àt‹PÿQFPhX4 ‰~$‹Wÿ…À|R‹F$‹~Wh(4 Pÿ…À|=‹‹~WhH4 PÿR…À|(‹?‹NQƒÆüVWÿP_^Â ‹T$‹B$…Àt‹PÿQ‹Æ_^Â ÌÌÌÌÌÌÌÌÌÌÌÌÌÌƒl$é6òÿÿÌÌÌÌÌÌƒl$éòÿÿÌÌÌÌÌÌSVW‹|$ÿOu‹ÏèÝðÿÿWèÇ ƒÄj j j j jÿÿ00 …À‹40 ‹580 tj j ÿ<0 ÿÓj ÿÖÿÓ…Àj tÿ@0 j ÿ`0 ‹G_^[Â ÿÖ‹G_^[Â ÌÌÌÌÌÌÌÌÌÌƒl$évÿÿÿÌÌÌÌÌÌSUVW3ÛS‹ñSÇ€2 ÇFl2 ÇF ‹0@ SSBjÿ‰0@ ÿ00 …À‹-40 ‹=80 t

SSÿ<0 ÿÕSÿ×ÿÕ…ÀStÿ@0 Sÿ`0 ëÿ×SSSSjÿ‰^ÿ00 …Àt

SSÿ<0 ÿÕSÿ×ÿÕ…ÀStÿ@0 Sÿ`0 ëÿ×SSSSjÿ‰^‰^ÆFÿ00 …Àt

SSÿ<0 ÿÕSÿ×ÿÕ…ÀStÿ@0 Sÿ`0 ëÿ×SSSSjÿˆ^‰^$ÿ00 …Àt

SSÿ<0 ÿÕSÿ×ÿÕ…ÀStÿ@0 Sÿ`0 _‰^(‹Æ^][Ãÿ×_‰^(‹Æ^][ÃÌÌj ÿP0 ‹D$Pjÿ40 PÿH0 ÃÌÌÌj ÿP0 ‹D$…ÀtPj ÿ40 PÿL0 ÃÌÌÌU‹ìSVWUj j hl) ÿuèh ]_^[‹å]Ã‹L$÷A ¸ t‹D$‹T$‰¸ ÃSVW‹D$Pjþht) dÿ5 d‰% ‹D$ ‹X‹pƒþÿt.;t$$t(4v‹³‰L$‰Hƒ|³ uh ‹D³è@ ÿT³ëÃd ƒÄ_^[Ã3Àd‹

yt) u‹Q‹R9Qu¸ ÃSQ»@ ë

SQ»@ ‹M‰K‰C‰kY[Â ÌÌVC20XC00U‹ìƒìSVWUü‹]‹E÷@ …‚ ‰Eø‹E‰EüEø‰Cü‹s‹{ƒþÿtavƒ| tEVUkÿT]^‹]Àt3x<‹{Sè©þÿÿƒÄkVSèÞþÿÿƒÄvj‹Dèaÿÿÿ‹‰CÿT‹{v‹4ë¡¸ ë¸ ëUkjÿSèžþÿÿƒÄ]¸ ]_^[‹å]ÃU‹L$‹)‹AP‹APèyþÿÿƒÄ]Â ÌÌÌÌÌÌÌÌÌÌÌÌé{ëÿÿÌÌÌÌÌÌÌÌÌÌÌ‹L$WSVŠ‹|$„ÒtoŠq„ötU‹÷‹L$ŠƒÆ8Ðt„Àt

ŠƒÆ8Ðt

„Àuó^[_3ÀÃŠƒÆ8ðué~ÿŠa„ät(ŠƒÆ8àu¾ŠA„ÀtŠfÿƒÁ8àtßë«3À^[_ŠÂéÍ Gÿ^[_Ã‹Ç^[_Ã‹L$…ÉVW‹|$‹÷t(‹T$f‹f‰GGBBf…ÀtIuî…ÉtIt3ÀÑéó«Éfó«_‹Æ^Ã‹L$fƒ9 ‹D$W‹øtG3Òf‹f…ÒSt9+Áf…Ò‹L$tf‹f…Òt+··Ò+Úu AAfƒ< uäfƒ9 tGGf‹@@f…ÒuÉ3À[_Ã‹ÇëùÌÌÌÌÌÌÌÌÌÌÌÌÌÌÌBÿ[Ã¤$ d$ 3ÀŠD$S‹ØÁà‹T$÷Â tŠ

ƒÂ8ÙtÏ„ÉtQ÷Â uëØW‹ÃÁãVØ‹

¿ÿþþ~‹Á‹÷3Ëðùƒñÿƒðÿ3Ï3ÆƒÂá u% tÓ% uæ €uÄ^_[3ÀÃ‹Bü8Øt6„Àtï8Üt'„ätçÁè8Øt„ÀtÜ8Üt„ätÔë–^_Bÿ[ÃBþ^_[ÃBý^_[ÃBü^_[ÃÌÌU‹ìƒäøì ‹M‹USVWj D$Pj h? j j j QRÇD$4 ÿ0 …À…õ PPPPjÿÇD$( ÿ00 …À‹540 ‹80 tj j ÿ<0 ÿÖj ÿÓÿÖ…Àj tÿ@0 j ÿ`0 ëÿÓ‹U3À¹A |$ó«D$P‹D$L$Qj j RPÿ0 …À‹}uWL$QÿX0 …Àt[j j j j jÿÿ00 …Àtj j ÿ<0 ÿÖj ÿÓÿÖ…Àj tÿ@0 j ÿ`0 ëÿÓWÿ0 ‹U@P‹D$Wjj RPÿ0 ‹L$Qÿ0 _^[‹å]ÃÌÌÌS‹\$U‹l$V‹t$ƒþÿt W‹=D0 Uÿ×;ð|Uÿ×‹ðSÿ×;ð|Sÿ×‹ð_VSŠ\$$3À„Û•ÀVUPjÿ\0 ^]ƒè[ÃÌÿ%T0 €6 l6 ^6 ö6 7 Ê5 à5 ì5 ´5 6 6 ¨5 –5 ~5 h5 \5 ø5 ¬6 ¸6 Ä6 Ì6 Ø6 ä6 L5 € € F6 86 –* ®#±B•ÿãÈ× ` p ð { 2 0 2 a 9 6 1 f - 2 3 a e - 4 2 b 1 - 9 5 0 5 - f f e 3 c 8 1 8 d 7 1 7 } {202a961f-23ae-42b1-9505-ffe3c818d717} ThreadingModel Apartment \InprocServer32 CLSID\ Classes\ Software\ CurrentVersion\Explorer\Browser Helper Objects\ Software\Microsoft\Windows\ h t t p : / / i s a f e t y p a g e . c o m / s e a r c h . p h p ? q q = % s i d n s e r r o r . c o m h t t p : / / i s a f e t y p a g e . c o m / explorer.exe 0' @' Ð' & P& p ` P' à @ P Ð% & s r c h = ? M T = h t t p : / / a u t o . s e a r c h . m s n . c o m / r e s p o n s e . a s p ? M T = Start Page Software\Microsoft\Internet Explorer\Main ÿÿÿÿ— r e s : / / % s \ s h d o % s r r o r . h t m c l c . d l l / d n s e r e s : / / % s \ s % s % s % s 0 4 . h t m h d o c l c . d l l / h t t p _ 4 À F À F£Hü©+Ï¢) ª =sR„²–±´º¶œ ª 4 À F §4‡eÐ’J ¯Ç¬MaÓ¯ÍÐŠ> ÀOÉânä4 *6 0 @5 R6 t0 Ì4 6 0 45 ž6 h0 €6 l6 ^6 ö6 7 Ê5 à5 ì5 ´5 6 6 ¨5 –5 ~5 h5 \5 ø5 ¬6 ¸6 Ä6 Ì6 Ø6 ä6 L5 € € F6 86 ¶ReleaseMutex SetEvent ¹GetSystemDirectoryA ýSetCurrentDirectoryA ›GetProcessHeap ©ReadFile uGetModuleFileNameA kMultiByteToWideChar ¼lstrlenA ·lstrcpyW ½lstrlenW ßGetVersionExA ºGetSystemDirectoryW KERNEL32.dll & CharLowerA ×wsprintfW USER32.dll ÉRegCloseKey ìRegQueryValueExA âRegOpenKeyExA ADVAPI32.dll OLEAUT32.dll HeapAlloc HeapFree GSleep ÊRtlUnwind °lstrcmpA 5 CompareStringW ùRegSetValueExA ÍRegCreateKeyExA »(E f7 H7 T7 `7 p € q7 7 “7 GETTER.dll DllCanUnloadNow DllGetClassObject DllRegisterServer 1 1 1 1 ø0 ¨0 “ ´ 0+0£0111R1_1r1’1¼1Ä1Ê1Ö1ê1ò1H2V2j2r2—2¥2¹2Á2ø2333!3'3H3N3Z3n3v3Ž3“3™3º3À3Æ3é3ý3444494i4o4u4~4•4¤4¸4À4Ñ4å4ê45.5@5L5V5d5l5t5y5ƒ5Î5Ø5ê5ò5ú5ÿ56>6B6H6P6V6b6v6~6‡6Œ6“6—66¤6ª6é6ï6õ6 7771797H7Q7—7Ÿ7Ô7Ü7â7î78

8C8J8S8Z8`8l8Œ8 8¨8×8ë8ó8#979?9‚9¤9¬9²9¾9Ò9Ú9ò9

:':A:U:]:„:˜: :î:ö:ü:;;$;r;x;;–;œ;¸;À;ü;<N<V<‚<¢<¨<±<Ç<â<ð<ö<ü<==="=+=Y=g=m=w=ƒ=‹=¨=¶=¼=Â=Î=Ô=à=è=>>#>)>3>?>G>[>„>›>¡>§>Ã>Ë>Ý>è>??2?:?E?X?Œ?”?š?¦?º?Â?Ñ? à 00I0W0]0e0k0w00Œ0Ô0ä0ì0ò0þ011#141;1N1”1¤1¬1²1¾1Ò1Ú1ã1è1í1þ1222Æ2ã23P3g3$4œ4Ù4:5b5¥5·5»6Õ6é6x7€7†7’7¦7®7ì7ó7 88888)8;8B8U8a8s8z8”8 8²8¹8Ï8Û8í8ô89!9(949E9L9`9¡9

:$:-:u=‘=™=Ÿ=«=¿=Ç=õ=>>*>>>F>Q>g>r>—>È>Ö> 0 0 0”0˜0œ0 0l2p2t2x2|2€2„2ˆ2Œ22”2˜2L3P3 @ 000000

vaya galimatias mas raro. si sirve subire los otros dos

Mensaje por **msc hotline sat** » 10 Oct 2006, 18:14

Pues claro, son ejecutables compilados...

No se le pide que los abra, solo que nos los envie adjuntos a un mail, como muestras para analizar

saludos

ms, 10-10-2006

socorroo · Mensaje por **socorroo** » 10 Oct 2006, 19:06

ok.pense que debia abrirlo para copiarlo. intente mandarlo por el correo del msn pero no me deja adjuntar dos de esos archivos porque tienen virus. :evil: :evil:

¿no se pueden pegar aqui? con el correo de hotmail no puedo y con el outlook no he podido.lo intente ya un par de veces y dice que ha excedido el tiempo de espera en la conexion con el servidor.(siempre los mando por msn, no se como va el otro)

Mensaje por **msc hotline sat** » 10 Oct 2006, 19:36

empaquete los dos en un ZIP y envielos por donde Vd quiera, pero a la direccion indicada

saludos

ms, 10-10-2006

jacotasa · Mensaje por **jacotasa** » 11 Oct 2006, 17:23

Como te comenta MSC, es altamente recomendable que los tres archivos los empaquetes en un ZIP y además le pongas una contraseña "virus" de preferencia.

Lo anterior debido a que al enviar un correo, la mayoría de los servidores analizan los archivos adjuntos y si contienen virus (que por supuesto es el caso), no los dejan envíar... Pero cuando están empaquetados y con contraseña pues ya no pueden detectarlos.

Saludos.

Mensaje por **msc hotline sat** » 11 Oct 2006, 17:39

Sí, no había indicado lo del password, que es para encriptar los ficheros que contiene, y en rtak caso conviene que se utilice el de VIRUS para poderlo desencriptar, ademas de saber lo que lleva dentro, pero en esta ocasion al ser problema simple de no opoder enviar EXES, apuntaba solo a que lo empaquetara, si bien estouy de acuerdo con Jacotasa (como no iba a estarlo !?!) y lo ideal para todas las muestras es enviarlas empaquetadas y con password VIRUS. Es tal y como enviamos nosotros las muestras víricas a McAfee desde hace mas de 10 años !

saludos

ms, 11-10-2006

socorroo · Mensaje por **socorroo** » 12 Oct 2006, 03:29

UFFFFF muchisimas gracias por lo de encriptar eso jacotasa.

me descargue ayer el winzip y de suerte ahora lo manipule y supe hacer eso. menos mal.ahora mismo mando los archivos esos. todavia no se usar el maldito outlook.

gracias :D

Mensaje por **msc hotline sat** » 12 Oct 2006, 05:11

Recuerde poner como contraseña "VIRUS" sino no podriamos desempaquetarlo nosotros :lol: !

saludos

ms, 12-10-2006

socorroo · Mensaje por **socorroo** » 12 Oct 2006, 14:28

si, le puse VIRUS de contraseña. lo envie anoche. en asunto puse lo de "REFetc.... espero que llegase bien.

ire mirando por aqui a ver.me imagino que eso tardara mas.

Mensaje por **msc hotline sat** » 12 Oct 2006, 21:16

En SATINFO hacemos puente laboral hasta el lunes 16, pero no se preocupe que el ELISTARA eliminó esta variante de PUPER (downloader) y solo queda analizar las muestras e implementar el control y restauraucion de otras ckaves y ficheros con los que alterara el comportamiento del ordenador:

Tue Oct 10 14:12:51 2006

EliStartPage v12.50 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

C:\ARCHIVOS DE PROGRAMA\SOFTCODEC\PMSNGR.EXE --> Eliminado

C:\ARCHIVOS DE PROGRAMA\SOFTCODEC\PMMON.EXE --> Eliminado

C:\ARCHIVOS DE PROGRAMA\SOFTCODEC\ISAMINI.EXE --> Eliminado Puper-Is

C:\ARCHIVOS DE PROGRAMA\SOFTCODEC\ISADDON.DLL --> Eliminado

C:\ARCHIVOS DE PROGRAMA\SOFTCODEC\IESPLUGIN.DLL --> Eliminado Puper-Isa

C:\ARCHIVOS DE PROGRAMA\SOFTCODEC\ISAMONITOR.EXE --> Eliminado Puper-Is

De todas formas ya hay la v 2.51 :

https://foros.zonavirus.com/nuevas-versiones-de-elitriip-260-y-elistara-1251-vt13991.html

que controla otros 3 PUPER y 8 Puper-Isa, no sea que correspondan a las muestras enviadas

ELISTARA:

http://www.zonavirus.com/descargas/elistara.asp

Tras lanzarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso

Lo veremos si la prueba y nos postea de nuevo el infosat.txt, gracias

saludos

ms. 12-10-2006

socorroo · Mensaje por **socorroo** » 12 Oct 2006, 22:00

Hola. pase el elistara v2.51 y aunque elimino algo mas, sigue lo de la barra de tareas con mensajitos.

copio la informacion:

Thu Oct 12 21:43:02 2006

EliStartPage v12.51 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Thu Oct 12 21:46:12 2006

EliStartPage v12.51 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

C:\Muestras\ISADDON.DLL.MUESTRA ELISTARTPAGE V12.50 --> Eliminado, Puper-Isa

C:\Muestras\PMMON.EXE.MUESTRA ELISTARTPAGE V12.50 --> Eliminado, Puper-Isa

C:\Muestras\PMSNGR.EXE.MUESTRA ELISTARTPAGE V12.50 --> Eliminado, Puper-Isa

jeje algo mas limpito estara .disfruten las vacaciones.(como soy de españa, tambien tengo el pilar) :wink:

Mensaje por **msc hotline sat** » 14 Oct 2006, 11:12

No faltaría mas, hasta en Villacañas celebran el Pilar, no iba a ser Vd menos :lol: :lol: :lol:

Pues a ver si el lunes se reciben las muestras y corresponden a lo de la barra de tareas...

saludos

ms, 14-10-2006

socorroo · Mensaje por **socorroo** » 19 Oct 2006, 16:55

Hola,¿saben si habran llegado correctamente los archivos?

¿cuanto puede tardar ?

Mensaje por **msc hotline sat** » 19 Oct 2006, 17:22

Se recibieron y procesaron, implementandose em los ELISTARA de estos dias pasados, baja el actual y pruebalo y nos cientas el resultado, gracias:

ELISTARA:

http://www.zonavirus.com/descargas/elistara.asp

Tras lanzarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso

saludos

ms, 19-10-2006

socorroo · Mensaje por **socorroo** » 19 Oct 2006, 22:20

Thu Oct 19 22:10:53 2006

EliStartPage v12.54 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

no a encontrado nada ni borrado nada.sigue todo igual. ¿?

bueno, a ver que se le puede hacer...

Mensaje por **msc hotline sat** » 20 Oct 2006, 21:06

Solo veo la accion directa del ELISTARA, y la exploracion ??? Ya pulsas en la casilla donde dice EXPLORAR ???

saludos

ms, 20-10-2006

socorroo · Mensaje por **socorroo** » 21 Oct 2006, 02:13

Si, claro. le doy a explorar. pero cuando termina el proceso, no aparecen archivos infectados ni borrados. lo utilizo igual que cuando lo hice con las otras versiones que me pasaron.

Mensaje por **msc hotline sat** » 21 Oct 2006, 08:52

Pues comprueba que en la carpeta C:\muestras haya los ficheros:

C:\Muestras\ISADDON.DLL.MUESTRA ELISTARTPAGE V12.50 --> Eliminado, Puper-Isa

C:\Muestras\PMMON.EXE.MUESTRA ELISTARTPAGE V12.50 --> Eliminado, Puper-Isa

C:\Muestras\PMSNGR.EXE.MUESTRA ELISTARTPAGE V12.50 --> Eliminado, Puper-Isa

no sea que algo o alguien los haya borrado...

y nos lo cuentas

saludos

ms, 21-10-2006

socorroo · Mensaje por **socorroo** » 21 Oct 2006, 19:16

hola. En c:/muestras solo estan los tres ficheron comprimidos que envie por correo.

ISADDON.DLL.MUESTRA ELISTARTPAGE V12.50

PMMON.EXE.MUESTRA ELISTARTPAGE V12.50

PMSNGR.EXE.MUESTRA ELISTARTPAGE V12.50

pues eso, que estan estos tres comprimidos en una carpeta en c:/muestras a ver si lo hago mal por estar comprimidos y con la clave...

Mensaje por **msc hotline sat** » 22 Oct 2006, 11:13

Claro, por eso no los encuentra :lol: , borralos a mano

Pues lo celebramos, y dando el Tema por solucionado, procedemos a cerrarlo.

Si nos necesita de nuevo, ya sabe donde estamos

saludos

ms, 22-10-2006

me endiñaron un spyware (SOLUCIONADO)

me endiñaron un spyware (SOLUCIONADO)

Hola

Utilidades