virus w32/iroffer.AD en service.exe (SOLUCIONADO)

carmen2305 · Mensaje por **carmen2305** » 20 Oct 2006, 13:31

tengo dos virus que no puedo eliminar, el norton no me los detecta, el ewido si, y al analizarlo en virus total me da varios nombres para cada uno

el primero me infecta el archivo c\windows\system32\drivers\wingen\service.exe y virus total me da estos nombres:

w32/iroffer/BD@bd

BDS/iroffer.1228

w32/iroffer.AD

iroffer.A

backdoor. iroffer.7FBB

...

el segundo me infecta el archivo c\windows\system32\drivers\wingen\LSASS.exe y virus total me da estos nombres:

w32.hidestd.component

Virtool. hiddenrun.B

Win32/hide window

Backdoor. IRC.Flod. SDU8

...

que hago con ellos, como puedo desinfectar?

gracias

Mensaje por **msc hotline sat** » 20 Oct 2006, 13:36

Pues envianoslos y los analizaremos y controlaremos con nuestras utilidades:

Todas las muestras que pedimos al respecto, nos las puede enviar a zonavirus@satinfo.es anexadas a un mail en cuyo texto indique como referencia "REF <nick que usa en el foro>" y asi podremos informarle si hay alguna incidencia sobre el particular, gracias.

Tras recibirlas, las analizaremos e implementaremos su control y eliminación, si procede, en nuestras utilidades, de lo cual informaremos en el foro, como siempre.

saludos

ms, 20-10-2006

carmen2305 · Mensaje por **carmen2305** » 20 Oct 2006, 14:02

ok, he enviado los dos archivos para analisis.

estan en dos mails distintos, ya que enprimer lugar los he comprimido sin contraseña y solo he podido enviar el Lsass.

Luego con la contraseña virus he enviado el service.

quedo a la espera de que me digais algo

gracias gracias

Mensaje por **msc hotline sat** » 20 Oct 2006, 15:23

Ya que hablasdel LSASS, comprueba que tengas los parches al dia lanzando un windowsupdate y luego prueba el ELITRIIP:

ELITRIIP:

http://www.zonavirus.com/descargas/elitriip.asp

Tras lanzarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso

saludos

ms, 20-10-2006

carmen2305 · Mensaje por **carmen2305** » 21 Oct 2006, 17:26

windows lo tengo actualizado.

he reiniciado el ordenador en modo seguro y he lanzado el elistara. informe:

Fri Oct 20 20:42:39 2006

EliStartPage v12.54 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Fri Oct 20 20:43:40 2006

EliStartPage v12.54 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

C:\Archivos de programa\EA GAMES\Los Sims 2 Universitarios\CRACK_UNINST.EXE --> AutoExtraible

C:\Archivos de programa\EA GAMES\Los Sims 2 Universitarios\SIMS2EP1_LOADER.EXE --> AutoExtraible

C:\Archivos de programa\EA GAMES\Los Sims 2 Universitarios\SIMS2EP1_NOSOUND.EXE --> AutoExtraible

C:\Archivos de programa\EA GAMES\Los Sims 2 Universitarios\SIMS2EP1_R800X600.EXE --> AutoExtraible

C:\Archivos de programa\EA GAMES\Los Sims 2 Universitarios\SIMS2EP1_WINDOW.EXE --> AutoExtraible

C:\Archivos de programa\EA GAMES\Los Sims 2 Universitarios\TSBin\SIMS2EP1_CRACK.EXE --> AutoExtraible

C:\Documents and Settings\Compaq_Propietario\Mis documentos\juegos\sims\Los Sims 2 Universitarios\Crack y serial\SIMS2EP1_CRACK.EXE --> AutoExtraible

no me ha detectado nada

luego el elitrip, que tampoco me ha detectado nada, ni me ha hecho ningun informe. Lo unico que nada mas abrirlo me ha dado un mensaje: bloquear intento de intrusion por el TCP445?

por supuesto he dicho que si. Hay alguien conectandose a mi ordenador?

eso es todo lo que he hecho, no me ha detectado nada en cuanto a esos dos archivos.

Mensaje por **maura63** » 21 Oct 2006, 17:29

Lanza Hijackthis y peganos un log como respuesta a ese tema.

Saludos

maura63

carmen2305 · Mensaje por **carmen2305** » 21 Oct 2006, 21:11

ahi va el informe:

Logfile of HijackThis v1.99.1

Scan saved at 21:12:17, on 21/10/2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\ccProxy.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\Explorer.EXE

C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSetMgr.exe

C:\Archivos de programa\Norton Internet Security\ISSVC.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\SNDSrvc.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\SPBBC\SPBBCSvc.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\ccEvtMgr.exe

C:\WINDOWS\system32\brsvc01a.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\system32\brss01a.exe

C:\WINDOWS\system32\Brmfrmps.exe

C:\Archivos de programa\ewido anti-spyware 4.0\guard.exe

C:\Archivos de programa\Norton Internet Security\Norton AntiVirus\navapsvc.exe

C:\Archivos de programa\Symantec\LiveUpdate\ALUSchedulerSvc.exe

C:\WINDOWS\system32\svchost.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\CCPD-LC\symlcsvc.exe

c:\Archivos de programa\Archivos comunes\Symantec Shared\Security Center\SymWSC.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe

C:\Archivos de programa\Java\jre1.5.0\bin\jusched.exe

C:\Archivos de programa\SinEspias\No-Spy.exe

C:\HP\KBD\KBD.EXE

C:\windows\system\hpsysdrv.exe

C:\Archivos de programa\D-Tools\daemon.exe

C:\Archivos de programa\ATI Technologies\ATI Control Panel\atiptaxx.exe

C:\WINDOWS\AGRSMMSG.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Archivos de programa\Jazztel\Jazztel ADSL USB\dslmon.exe

C:\Archivos de programa\Internet Explorer\iexplore.exe

C:\Archivos de programa\Archivos comunes\Symantec Shared\AdBlocking\NSMdtr.exe

C:\Archivos de programa\WinRAR\WinRAR.exe

C:\DOCUME~1\COMPAQ~1\CONFIG~1\Temp\Rar$EX00.922\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.yahoo.es/

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.hp.com/go/mypcchoice

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: Norton Internet Security - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Archivos de programa\Archivos comunes\Symantec Shared\AdBlocking\NISShExt.dll

O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Archivos de programa\Norton Internet Security\Norton AntiVirus\NavShExt.dll

O3 - Toolbar: Norton Internet Security - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Archivos de programa\Archivos comunes\Symantec Shared\AdBlocking\NISShExt.dll

O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Archivos de programa\Norton Internet Security\Norton AntiVirus\NavShExt.dll

O4 - HKLM\..\Run: [ccApp] "C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe"

O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\ARCHIV~1\SYMNET~1\SNDMon.exe /Consumer

O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Archivos de programa\Java\jre1.5.0\bin\jusched.exe

O4 - HKLM\..\Run: [SSBkgdUpdate] "C:\Archivos de programa\Archivos comunes\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot

O4 - HKLM\..\Run: [Sin Espias] "C:\Archivos de programa\SinEspias\No-Spy.exe" /autorun

O4 - HKLM\..\Run: [SetDefPrt] C:\Archivos de programa\Brother\Brmfl04a\BrStDvPt.exe

O4 - HKLM\..\Run: [Recguard] C:\WINDOWS\SMINST\RECGUARD.EXE

O4 - HKLM\..\Run: [PS2] C:\WINDOWS\system32\ps2.exe

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [LSBWatcher] c:\hp\drivers\hplsbwatcher\lsburnwatcher.exe

O4 - HKLM\..\Run: [KBD] C:\HP\KBD\KBD.EXE

O4 - HKLM\..\Run: [hpsysdrv] c:\windows\system\hpsysdrv.exe

O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Archivos de programa\D-Tools\daemon.exe" -lang 1033

O4 - HKLM\..\Run: [ATIPTA] C:\Archivos de programa\ATI Technologies\ATI Control Panel\atiptaxx.exe

O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe

O4 - HKCU\..\Run: [NBJ] "C:\Archivos de programa\Ahead\Nero BackItUp\NBJ.exe"

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - Global Startup: DSLMON.lnk = ?

O4 - Global Startup: Inicio rápido de Adobe Reader.lnk = C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office10\OSA.EXE

O4 - Global Startup: Status Monitor.lnk = C:\Archivos de programa\Brother\Brmfcmon\BrMfcWnd.exe

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office10\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0\bin\npjpi150.dll

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0\bin\npjpi150.dll

O9 - Extra button: Investigador - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Reference 2001\EROProj.dll

O9 - Extra button: Ayuda para la conexión - {E2D4D26B-0180-43a4-B05F-462D6D54C789} - C:\WINDOWS\PCHEALTH\HELPCTR\Vendors\CN=Hewlett-Packard,L=Cupertino,S=Ca,C=US\IEButton\support.htm

O9 - Extra 'Tools' menuitem: Ayuda para la conexión - {E2D4D26B-0180-43a4-B05F-462D6D54C789} - C:\WINDOWS\PCHEALTH\HELPCTR\Vendors\CN=Hewlett-Packard,L=Cupertino,S=Ca,C=US\IEButton\support.htm

O9 - Extra button: Ayuda para la conexión - {E2D4D26B-0180-43a4-B05F-462D6D54C789} - C:\WINDOWS\PCHEALTH\HELPCTR\Vendors\CN=Hewlett-Packard,L=Cupertino,S=Ca,C=US\IEButton\support.htm (HKCU)

O9 - Extra 'Tools' menuitem: Ayuda para la conexión - {E2D4D26B-0180-43a4-B05F-462D6D54C789} - C:\WINDOWS\PCHEALTH\HELPCTR\Vendors\CN=Hewlett-Packard,L=Cupertino,S=Ca,C=US\IEButton\support.htm (HKCU)

O16 - DPF: {1F2F4C9E-6F09-47BC-970D-3C54734667FE} (LSSupCtl Class) - https://www-secure.symantec.com/techsupp/asa/LSSupCtl.cab

O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab

O16 - DPF: {3451DEDE-631F-421C-8127-FD793AFC6CC8} (ActiveDataInfo Class) - https://www-secure.symantec.com/techsupp/asa/ctrl/SymAData.cab

O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab

O16 - DPF: {6A868C04-B942-11D8-8D76-0008C7FF1716} (BanServidorFicherosBPP.DownloadBPP) - https://www.bancaja.es/arq_activex/particulares/BanServidorFicherosBPP.CAB

O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1158489701500

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{B84D3AD3-2698-46ED-9105-09434C8511E0}: NameServer = 62.14.63.145 62.14.2.1

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: Brother Popup Suspend service for Resource manager (brmfrmps) - Unknown owner - C:\WINDOWS\system32\Brmfrmps.exe" -service (file missing)

O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\system32\brsvc01a.exe

O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccEvtMgr.exe

O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccProxy.exe

O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccPwdSvc.exe

O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSetMgr.exe

O23 - Service: ewido anti-spyware 4.0 guard - Anti-Malware Development a.s. - C:\Archivos de programa\ewido anti-spyware 4.0\guard.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Archivos de programa\Archivos comunes\InstallShield\Driver\1050\Intel 32\IDriverT.exe

O23 - Service: ISSvc (ISSVC) - Symantec Corporation - C:\Archivos de programa\Norton Internet Security\ISSVC.exe

O23 - Service: LiveUpdate - Symantec Corporation - C:\ARCHIV~1\Symantec\LIVEUP~1\LUCOMS~1.EXE

O23 - Service: Servicio Auto-Protect de Norton AntiVirus (navapsvc) - Symantec Corporation - C:\Archivos de programa\Norton Internet Security\Norton AntiVirus\navapsvc.exe

O23 - Service: Programador de LiveUpdate automático - Symantec Corporation - C:\Archivos de programa\Symantec\LiveUpdate\ALUSchedulerSvc.exe

O23 - Service: SAVScan - Symantec Corporation - C:\Archivos de programa\Norton Internet Security\Norton AntiVirus\SAVScan.exe

O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\ARCHIV~1\ARCHIV~1\SYMANT~1\SCRIPT~1\SBServ.exe

O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\SNDSrvc.exe

O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\SPBBC\SPBBCSvc.exe

O23 - Service: Symantec Core LC - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\CCPD-LC\symlcsvc.exe

O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - c:\Archivos de programa\Archivos comunes\Symantec Shared\Security Center\SymWSC.exe

O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Archivos de programa\TuneUp Utilities 2006\WinStylerThemeSvc.exe

una cosa, los dos archivos los tengo en cuarentena con ewido. Para los informes de elistara y elitrip los deje sueltos un rato. debo quitarlos de la cuarentena tambien para este informe?

en el que he pegado los tengo en cuarentena

Mensaje por **msc hotline sat** » 22 Oct 2006, 21:16

El actual ELITRIIP ha de detectar y eliminar varios ficheros o pedir muestra de ellos

Baja la ultima version y lanzala y explora todo el disco duro:

ELITRIIP:

http://www.zonavirus.com/descargas/elitriip.asp

Tras lanzarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso

saludos

ms, 22-10-2006

carmen2305 · Mensaje por **carmen2305** » 22 Oct 2006, 21:57

he bajado el ultimo elitrip, pero ni me elimina ni detecta nada ni me hace ningún tipo de informe.

Mensaje por **msc hotline sat** » 23 Oct 2006, 07:22

De acuerdo, pues a la vista de las muestras te informaremos

saludos

ms. 23-10-2006

nota: Todos los autoextraibles pueden contener bicho, que sea liberado al ejecutar el empaquetado, pero no los examinamos a priori, solo avisamos de su existencia. ms,

Mensaje por **msc hotline sat** » 23 Oct 2006, 19:04

Disponible la nueva version del ELITRIIP:

https://foros.zonavirus.com/viewtopic.php?p=71289#71289

saludos

ms, 23-10-2006

carmen2305 · Mensaje por **carmen2305** » 23 Oct 2006, 21:30

aqui paso el informe del ultimo elitrip:

Fri Oct 20 20:42:39 2006

EliStartPage v12.54 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Fri Oct 20 20:43:40 2006

EliStartPage v12.54 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

C:\Archivos de programa\EA GAMES\Los Sims 2 Universitarios\CRACK_UNINST.EXE --> AutoExtraible

C:\Archivos de programa\EA GAMES\Los Sims 2 Universitarios\SIMS2EP1_LOADER.EXE --> AutoExtraible

C:\Archivos de programa\EA GAMES\Los Sims 2 Universitarios\SIMS2EP1_NOSOUND.EXE --> AutoExtraible

C:\Archivos de programa\EA GAMES\Los Sims 2 Universitarios\SIMS2EP1_R800X600.EXE --> AutoExtraible

C:\Archivos de programa\EA GAMES\Los Sims 2 Universitarios\SIMS2EP1_WINDOW.EXE --> AutoExtraible

C:\Archivos de programa\EA GAMES\Los Sims 2 Universitarios\TSBin\SIMS2EP1_CRACK.EXE --> AutoExtraible

C:\Documents and Settings\Compaq_Propietario\Mis documentos\juegos\sims\Los Sims 2 Universitarios\Crack y serial\SIMS2EP1_CRACK.EXE --> AutoExtraible

Mon Oct 23 21:21:26 2006

EliTriIP v2.64 (c)2006 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Exploración):

C:\WINDOWS\system32\drivers\Wingen\LSASS.exe --> Eliminado, HideExec

el archivo LSASS como se ve ya ha sido eliminado, aunque el service no.

Mensaje por **msc hotline sat** » 23 Oct 2006, 22:02

Posiblemente no haya dado tiempo, pues me consta que hay decenas de muestras en proceso

Mañana seguiremos, si Dios quiere...

saludos

ms, 23-10-2006

241006ET?

Mensaje por **msc hotline sat** » 24 Oct 2006, 11:18

En proceso la otra muestra enviada del SERVICE.EXE, su ejecucion pide una DLL, quie necesitariamos nos enviara, para la total eliminacion del bicho, pues no sabemos si es malware o no (la DLL, el SERVICE en cuestion sí y ya lo hemos implementado en el ELITRIIP de hoy)

FICHERO A ENVIAR : CYGCRYPT-0.DLL

y diganos carpeta donde lo encuentra, gracias

saludos

ms, 24-10-2006

carmen2305 · Mensaje por **carmen2305** » 24 Oct 2006, 18:26

he buscado ese nombre de archivo por todo el disco duro, incluyendo archivos ocultos y de sistema.

no lo ha encontrado por ningún sitio.

En cuanto al archivo service.exe, se supone que con el nuevo elitrip ya puedo eliminarlo?

Mensaje por **msc hotline sat** » 24 Oct 2006, 18:37

Sí, vamos a compilar y subir las tres nuevas de hoy para el foro

espero antes de las 19 h estaran subidas

saludos

ms, 24-10-2006

Mensaje por **msc hotline sat** » 24 Oct 2006, 18:57

Ya disponible nueva version del ELITRIIP:

https://foros.zonavirus.com/viewtopic.php?p=71436#71436

saludos

ms, 24-10-2006

carmen2305 · Mensaje por **carmen2305** » 24 Oct 2006, 21:28

ok!!!!!!!

aqui esta el informe del elitrip:

Fri Oct 20 20:42:39 2006

EliStartPage v12.54 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Fri Oct 20 20:43:40 2006

EliStartPage v12.54 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

C:\Archivos de programa\EA GAMES\Los Sims 2 Universitarios\CRACK_UNINST.EXE --> AutoExtraible

C:\Archivos de programa\EA GAMES\Los Sims 2 Universitarios\SIMS2EP1_LOADER.EXE --> AutoExtraible

C:\Archivos de programa\EA GAMES\Los Sims 2 Universitarios\SIMS2EP1_NOSOUND.EXE --> AutoExtraible

C:\Archivos de programa\EA GAMES\Los Sims 2 Universitarios\SIMS2EP1_R800X600.EXE --> AutoExtraible

C:\Archivos de programa\EA GAMES\Los Sims 2 Universitarios\SIMS2EP1_WINDOW.EXE --> AutoExtraible

C:\Archivos de programa\EA GAMES\Los Sims 2 Universitarios\TSBin\SIMS2EP1_CRACK.EXE --> AutoExtraible

C:\Documents and Settings\Compaq_Propietario\Mis documentos\juegos\sims\Los Sims 2 Universitarios\Crack y serial\SIMS2EP1_CRACK.EXE --> AutoExtraible

Mon Oct 23 21:21:26 2006

EliTriIP v2.64 (c)2006 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Exploración):

C:\WINDOWS\system32\drivers\Wingen\LSASS.exe --> Eliminado, HideExec

~~[b]~~ Tue Oct 24 21:21:18 2006

EliTriIP v2.65 (c)2006 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Exploración):

C:\WINDOWS\system32\drivers\Wingen\service.exe --> Eliminado, Iroffer (bdoor)[/b]

ya lo tengo eliminado.

el archivo que me pedis "cygcrypt", como os he dicho no lo encuentro por ningún sitio. ¿Se supone que ya tengo el problema solucionado o este archivo que se supone que esta en algun lado me va ha dar problemas?

Si no es así, muchas gracias por todo, sois los mas mejores del mundo mundial.

Mensaje por **msc hotline sat** » 25 Oct 2006, 10:49

Era para poder ejecutar el malware, ya que este lo pide, pero lo demas lo eliminamos, y si este ya no está...

No obstante puede que esté oculto o con atributos de sistema. Vea: https://foros.zonavirus.com/viewtopic.php?f=5&t=13245 y si lo encontrara nos lo envia para poder analizar a fondo el malware, sino no sabemos lo que hace y solo eliminamos lo que vemos.

Pues lo celebramos, y dando el Tema por solucionado, procedemos a cerrarlo.

Si nos necesita de nuevo, ya sabe donde estamos

saludos

ms, 25-10-2006

Mensaje por **msc hotline sat** » 26 Oct 2006, 17:05

Vemos que has localizado la DLL, lña hemos recibido y aplicado y ahora nos pide otra:

CYGWIN1.DLL

A ver si la puedes localizar y enviarenosla, gracias

saludos

ms, 26-10-2006