ErrorSafe

[AangeL]

hola! hace poco deje mi ordenador unos dias a un amigo y claro al no saber mucho esto, se le abrio la tipica ventanida de que debe de instalarse el progrmaa y ahora esta insytalado en mi pc y el nod32 me detecta un troyano a casua de eso...



por ahora bien, el problema que tengo es cuando voy a desinstalar ese progrma que no aparece en panel de control ni se cual es la carpeta de archivos de programas para desinstalarlo.... y continuamente me aparecen ventanas de internet explorer comentandome que debo bajarme mas veces dicho prograa y un triangulo amarillo parpadeando en la barra de inicio...



me podeis ayudar a desinstalarlo?



ya he pasado el adware, nod32 y spybot y sigo tniendolo en el pc...



graciass

[msc hotline sat]

Prueba el ELISTARA:





ELISTARA:

http://www.zonavirus.com/descargas/elistara.asp



Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso





saludos



ms, 19-01-2007

[AangeL]

ok, ya esta pasado y me detectó y limpió un troyano al reiniciar...



aun no me ha salido nada del errorsafe o doctor "nosequé".. espero que no me salga mas... aqui teneis mi rchivo infotsat





Tue May 30 17:26:38 2006

EliStartPage v11.78 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\NDNUNINSTALL7_22.EXE --> Eliminado NewDotNet Uninst

C:\WINDOWS\SYSTEM32\ZPQXL.DLL --> SBSoft o ToolBand Renombrado a .VIR

C:\Documents and Settings\Gonzalo\Datos de programa\WO.TMP --> Eliminado (Fichero Complementario).

Entrada Eliminada [HKLM\...\Run] "Alcmtr"="ALCMTR.EXE"

Entrada Eliminada [HKLM\...\Run] "sais"="c:\archivos de programa\180solutions\sais.exe"

Eliminada Class, "{08BEC6AA-49FC-4379-3587-4B21E286C19E}" -> C:\WINDOWS\system32\zpqxl.dll

Se ha detectado que el Servidor DNS no es el de su ISP.

IPs: 85.255.113.107 85.255.112.182

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Tue May 30 17:37:05 2006

EliStartPage v11.78 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

C:\Archivos de programa\eMule\UNINSTALL.EXE --> AutoExtraible

C:\Archivos de programa\Kaspersky Lab\Kaspersky Anti-Virus Personal\UNINSTALL.EXE --> AutoExtraible



Tue May 30 17:44:36 2006

EliStartPage v11.78 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

[HKLM\...\Run]

Por favor, envienos una muestra del fichero

C:\WINDOWS\SYSTEM32\DMFCL.EXE

a "virus@satinfo.es". Gracias.

Se ha detectado que el Servidor DNS no es el de su ISP.

IPs: 85.255.113.107,85.255.112.182

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Tue May 30 17:45:50 2006

EliStartPage v11.78 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

C:\Archivos de programa\eMule\UNINSTALL.EXE --> AutoExtraible

C:\Archivos de programa\Kaspersky Lab\Kaspersky Anti-Virus Personal\UNINSTALL.EXE --> AutoExtraible



Wed Jul 05 22:28:13 2006

EliStartPage v12.02 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\SYSTEM32\DCOMCFG.EXE --> Eliminado

C:\WINDOWS\SYSTEM32\SIMPOLE.TLB --> Eliminado

C:\WINDOWS\SYSTEM32\STDOLE3.TLB --> Eliminado

C:\WINDOWS\SYSTEM32\ATMCLK.EXE --> Eliminado Puper (dldr)

C:\WINDOWS\SYSTEM32\HP100.TMP --> Eliminado Puper (BHO)

C:\Documents and Settings\Gonzalo\Menú Inicio\MALWAREWIPE 4.1.LNK --> Eliminado (Fichero Complementario).

C:\Documents and Settings\Gonzalo\Escritorio\MALWAREWIPE.LNK --> Eliminado (Fichero Complementario).

C:\Documents and Settings\Gonzalo\Datos de programa\Microsoft\Internet Explorer\Quick Launch\MALWAREWIPE 4.1.LNK --> Eliminado (Fichero Complementario).

C:\WINDOWS\SYSTEM32\OT.ICO --> Eliminado (Fichero Complementario).

C:\Documents and Settings\Gonzalo\Favoritos\Antivirus Test Online.url --> Eliminado (Fichero Complementario).

C:\WINDOWS\SYSTEM32\ts.ico --> Eliminado (Fichero Complementario).

Eliminada Class, "{5F4C3D09-B3B9-4F88-AA82-31332FEE1C08}" -> C:\WINDOWS\system32\hp100.tmp

Se ha detectado que el Servidor DNS no es el de su ISP.

IPs: 85.255.113.107,85.255.112.182

Eliminada Carpeta "%WinSys%\1024"

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Wed Jul 05 22:33:17 2006

EliStartPage v12.02 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

C:\Archivos de programa\Kaspersky Lab\Kaspersky Anti-Virus Personal\UNINSTALL.EXE --> AutoExtraible

C:\unzipped\EMULE0-1.46A_INSTALLER.EXE --> AutoExtraible

C:\unzipped\EMULE0.46A_INSTALLER.EXE --> AutoExtraible

C:\unzipped\WINANTIVIRUSPRO2006FREEINSTALL_ES.EXE --> Eliminado, WinAntiVirus Pro 2006 (dldr)

C:\WINDOWS\system32\PPPCGM.EXE --> Eliminado, AdClicker.BW

C:\WINDOWS\system32\SPHLP32.EXE --> Eliminado, Spy-Agent.I

C:\WINDOWS\system32\ZPQXL.DLL.VIR --> Eliminado, SBSoft o ToolBand



Wed Jul 05 23:02:59 2006

EliStartPage v12.02 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Se ha detectado que el Servidor DNS no es el de su ISP.

IPs: 85.255.113.107,85.255.112.182

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Thu Jul 06 13:39:38 2006

EliStartPage v11.78 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Se ha detectado que el Servidor DNS no es el de su ISP.

IPs: 85.255.113.107,85.255.112.182



Thu Jul 06 13:40:02 2006

EliStartPage v11.78 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Se ha detectado que el Servidor DNS no es el de su ISP.

IPs: 85.255.113.107,85.255.112.182

Eliminados Ficheros Temporales del IE



Thu Jul 06 13:41:29 2006

EliStartPage v11.78 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

C:\Archivos de programa\Kaspersky Lab\Kaspersky Anti-Virus Personal\UNINSTALL.EXE --> AutoExtraible

C:\unzipped\EMULE0-1.46A_INSTALLER.EXE --> AutoExtraible

C:\unzipped\EMULE0.46A_INSTALLER.EXE --> AutoExtraible



Thu Jul 20 12:27:32 2006

EliStartPage v11.78 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Se ha detectado que el Servidor DNS no es el de su ISP.

IPs: 85.255.113.107,85.255.112.182

Eliminados Ficheros Temporales del IE



Thu Jul 20 12:30:26 2006

EliStartPage v11.78 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

C:\Archivos de programa\Kaspersky Lab\Kaspersky Anti-Virus Personal\UNINSTALL.EXE --> AutoExtraible

C:\unzipped\EMULE0-1.46A_INSTALLER.EXE --> AutoExtraible

C:\unzipped\EMULE0.46A_INSTALLER.EXE --> AutoExtraible

C:\unzipped\ITUNESSETUP.EXE --> Eliminado, Bifrose (dropper)



Wed Sep 06 12:56:26 2006

EliStartPage v12.02 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Se ha detectado que el Servidor DNS no es el de su ISP.

IPs: 85.255.113.107,85.255.112.182

Eliminada Carpeta "%Archivos de Programa%\Media-Codec"

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Wed Sep 06 12:57:54 2006

EliStartPage v12.02 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

C:\Archivos de programa\Kaspersky Lab\Kaspersky Anti-Virus Personal\UNINSTALL.EXE --> AutoExtraible

C:\unzipped\EMULE0-1.46A_INSTALLER.EXE --> AutoExtraible

C:\unzipped\EMULE0.46A_INSTALLER.EXE --> AutoExtraible



Fri Jan 19 19:30:45 2007

EliStartPage v13.14 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Por favor, envienos una muestra del fichero

C:\Muestras\PMSNGR.EXE.Muestra EliStartPage v13.14

a "virus@satinfo.es". Gracias.

C:\ARCHIVOS DE PROGRAMA\VIDEO ACTIVEX OBJECT\PMSNGR.EXE --> Eliminado

C:\ARCHIVOS DE PROGRAMA\VIDEO ACTIVEX OBJECT\PMMON.EXE --> Eliminado Puper-Isa

Por favor, envienos una muestra del fichero

C:\Muestras\ISAMONITOR.EXE.Muestra EliStartPage v13.14

a "virus@satinfo.es". Gracias.

C:\ARCHIVOS DE PROGRAMA\VIDEO ACTIVEX OBJECT\ISAMONITOR.EXE --> Renombrado a .VIR

Por favor, envienos una muestra del fichero

C:\Muestras\ISADDON.DLL.Muestra EliStartPage v13.14

a "virus@satinfo.es". Gracias.

C:\ARCHIVOS DE PROGRAMA\VIDEO ACTIVEX OBJECT\ISADDON.DLL --> Acceso Denegado.

Por favor, envienos una muestra del fichero

C:\Muestras\ISAMINI.EXE.Muestra EliStartPage v13.14

a "virus@satinfo.es". Gracias.

C:\ARCHIVOS DE PROGRAMA\VIDEO ACTIVEX OBJECT\ISAMINI.EXE --> Renombrado a .VIR

C:\ARCHIVOS DE PROGRAMA\VIDEO ACTIVEX OBJECT\IESPLUGIN.DLL --> Eliminado Puper-Isa

Por favor, envienos una muestra del fichero

C:\Muestras\ISADDON.DLL.Muestra EliStartPage v13.14

a "virus@satinfo.es". Gracias.

C:\ARCHIVOS DE PROGRAMA\VIDEO ACTIVEX OBJECT\ISADDON.DLL --> Acceso Denegado.

Entrada Eliminada [HKLM\...\Run] "Avg Antivirus"="C:\WINDOWS\system32\icpldrvx.exe"

Eliminada Class, "{0D045BAA-4BD3-4C94-BE8B-21536BD6BD9F}" -> C:\Archivos de programa\Video ActiveX Object\iesplugin.dll

Eliminada Class, "{67982BB7-0F95-44C5-92DC-E3AF3DC19D6D}" -> C:\Archivos de programa\Video ActiveX Object\isaddon.dll

Eliminada Class, "{5C4F2CBC-F32D-4A03-9812-86F39379811B}" -> C:\WINDOWS\system32\oksrqqu.dll

Se ha detectado que el Servidor DNS no es el de su ISP.

IPs: 85.255.113.107,85.255.112.182

Eliminada Carpeta "%WinSys%\LogFiles"

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Fri Jan 19 19:41:49 2007

EliStartPage v13.14 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

C:\WINDOWS\system32\spool\drivers\w32x86\3\HPZ3A054.DLL --> Eliminado, MoviePass

C:\WINDOWS\system32\spool\drivers\w32x86\hpphotosmart_c3100_s4080\HPZ3A054.DLL --> Eliminado, MoviePass



Fri Jan 19 22:41:09 2007

EliStartPage v13.14 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

C:\Archivos de programa\Video Activex Object\ISAMONITOR.EXE.VIR --> Eliminado.

Por favor, envienos una muestra del fichero

C:\Muestras\ISADDON.DLL.Muestra EliStartPage v13.14

a "virus@satinfo.es". Gracias.

C:\ARCHIVOS DE PROGRAMA\VIDEO ACTIVEX OBJECT\ISADDON.DLL --> Eliminado

C:\Archivos de programa\Video Activex Object\ISAMINI.EXE.VIR --> Eliminado.

Eliminada Class, "{67982BB7-0F95-44C5-92DC-E3AF3DC19D6D}" -> C:\Archivos de programa\Video ActiveX Object\isaddon.dll

Se ha detectado que el Servidor DNS no es el de su ISP.

IPs: 85.255.113.107,85.255.112.182

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

[Nuker]

Señal de que sirvio, ahora si es tan amable envienos los ficheros solicitados.



FICHEROS A ENVIAR:



C:\WINDOWS\SYSTEM32\[b]DMFCL.EXE [/b]<----OJO ESTE FICHERO ESTA EN SYSTEM 32

a "virus@satinfo.es". Gracias.



C:\Muestras\[b]PMSNGR.EXE[/b].Muestra EliStartPage v13.14

a "virus@satinfo.es". Gracias.



C:\Muestras\[b]ISAMONITOR.EXE[/b].Muestra EliStartPage v13.14

a "virus@satinfo.es". Gracias.



C:\Muestras\[b]ISADDON.DLL[/b].Muestra EliStartPage v13.14

a "virus@satinfo.es". Gracias.



C:\Muestras\[b]ISAMINI.EXE[/b].Muestra EliStartPage v13.14

a "virus@satinfo.es". Gracias.



COMO ENVIAR:



https://foros.zonavirus.com/viewtopic.php?f=2&t=45334



Saludos.

[AangeL]

lo siento, pero en el hotmail no me deja enviar ese tipo de archivos, me da error :(



y ahora otro problema que me da, no se si es a causa de este ultimo o que, esta es la pantalla que me sale SIEMPRE que apago mi ordenador:



[img]http://es.geocities.com/trabajo_weeb1/Dibujo.JPG[/img]



ayuda, por favor.



muchas gracias

[Nuker]

Verifique que su ordenador este bien conectado a las tomas de corriente.

[msc hotline sat]

Pues nada que hacer sin las muestras, asi que, empaquetelas en un ZIP o RAR com password VIRUS, y envienoslas como se indica en:





https://foros.zonavirus.com/viewtopic.php?f=2&t=45334



y por otra parte, se le ha dicho desde antaño que esta utilizando servidores DNS maliciosos de Ukraina:





"Se ha detectado que el Servidor DNS no es el de su ISP.

IPs: 85.255.113.107,85.255.112.182 "





85.255.113.107 UA Ukraine 07 Kharkivs'ka Oblast' Kharkiv 50.0000 36.2500 Inhoster hosting company Inhoster hosting company



85.255.112.182 UA Ukraine 07 Kharkivs'ka Oblast' Kharkiv 50.0000 36.2500 Inhoster hosting company Inhoster hosting company







Tras informarte con tu ISP de cuales te recomiendan, puedes probar cambiarlos con CONFGDNS.EXE



CONFGDNS.EXE

http://www.zonavirus.com/descargas/confgdns.asp







saludos



ms, 20-01-2007

[AangeL]

al hacer el archivo rar me sigue dando el problema de virun en hotmail, no es que no quiera hacerlo si no que no puedo.

[msc hotline sat]

Debes ir a opciones AVANZADAS y seleccionar empaquetar con password, y le pones VIRUS para que podamos desempaquetarlo



Es tal como lo hacemos desde hace muchos años con McAfee y en el foro para enviarnos muestras de virus



Evidentemente, ello lo haces con el antivirus desactivado o arrancando en modo seguro para que noi esté residente y no te impida empaquetarlo



saludos



ms, 20-01-2007



nota: y me consta que no es que no quieras, pues es en tu provecho... :wink:

[AangeL]

perdona me sigue saliendo lo mismo, yo se hacer archivos de rar o zip, pero en ambos me muestra el error en hotmail esta ventana



[img]http://es.geocities.com/trabajo_weeb1/DibujoI.JPG[/img]

[Nuker]

Dale aceptar

[msc hotline sat]

Gracias nuker.



Efectivamente, detecta que está encriptado y que no puede comprobar lo que contiene, que es lo que queremos, y le pide que pulse ACEPTAR si es lo que quiere... pues eso ! :lol:



saludos



ms, 21-01-2007

[AangeL]

ya esta enviado, miles de gracias por todo

[msc hotline sat]

Pues mañana , de vuelta al trabajo en SATINFO, lo veremos y analizaremos, son variantes del Downloader PUPER que pasaremos a controlar con la nueva version del ELISTARA que hagamos, de lo cual informaremos



saludos



ms, 21-01-2007

[msc hotline sat]

Recibidas muestras de nuevas variantes del Downloader PUPER que pasan a ser controladas con el ELISTARA de hoy



A partir de las 20 h de hoy, descargalo y tras probarlo nos cuentas el resultado, gracias



saludos



ms, 23-01-2007