auto-mensaje me aparece en hotmail messenger (SOLUCIONADO)

goldman · Mensaje por **goldman** » 14 Mar 2007, 19:19

saludos

alguien que me pueda ayudar con la siguiente siituacion

-cuando estoy en plena conversacion en hotmail messenger me aperece un auto-mensaje con la siguiente ruta http://www.koolpages/leticia/fotos000 en la conversacion y inmediatamente aparece me cierra la pantalla de la conversacion y no me deja abrirla nuevamente.

-tambien el puntero se me descontrola.

me gustaria que alguien que halla resuelto esta situacion me de una mano.

-gracias de antemano.

Nuker · Mensaje por **Nuker** » 14 Mar 2007, 19:22

El PWS es controlado con Elistara, paselo en Modo Seguro, al terminar le creara un log en Unidad C, con el nombre infosat.txt, copie contenido y peguelo aqui. Saludos.

Elistara:

http://www.zonavirus.com/descargas/elistara.asp

Modo Seguro:

http://www.zonavirus.com/articulos/como-arrancar-en-modo-seguro-o-a-prueba-de-fallos.asp

goldman · Mensaje por **goldman** » 15 Mar 2007, 02:38

Wed Mar 14 15:09:38 2007

EliStartPage v13.53 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Por favor, envienos una muestra del fichero

C:\Muestras\DLLVIRTUAL.EXE.Muestra EliStartPage v13.53

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\DLLVIRTUAL.EXE --> Eliminado

Entrada Eliminada [HKLM\...\Run] " "="C:\WINDOWS\system32\dllvirtual.exe"

Eliminada Carpeta "%WinSys%\LogFiles"

ALERTA. WindowsUpdate Incompleto.

Restaurado fichero de Configuración del IE, (IERESET.INF)

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Wed Mar 14 15:11:55 2007

EliStartPage v13.53 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\Documents and Settings\Richard\Desktop\oracle

8\stage\Components\oracle.omb.jdk\1.1.8\1\DataFiles\Expanded\jdk118_nt\bin\MATH_G.DLL

--> Eliminado, Malware.ASPI

C:\Documents and Settings\Richard\Desktop\oracle

8\stage\Components\oracle.omb.jdk\1.1.8\1\DataFiles\Expanded\jdk118_nt\bin\SYSRESOURCE_G.DLL

--> Eliminado, Puper-Is

C:\WINDOWS\system32\KWEBFARM.DLL --> Eliminado, DollarRevenue (dldr)

Wed Mar 14 15:34:10 2007

EliStartPage v13.53 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad E:\

Nuker · Mensaje por **Nuker** » 15 Mar 2007, 03:26

Y efectivamente ahi tienes el PWS (DLLVIRTUAL.EXE) envia la muestra que te creo Elistara para su analisis de dicho fichero y que puedas eliminar este por completo. Lo encuentras de esta manera:

C:\Muestras\DLLVIRTUAL.EXE

Una vez localizado procede con lo soguiente.

Como Enviar Un Fichero ?:

https://foros.zonavirus.com/viewtopic.php?f=2&t=45334

Saludos.

NOTA: No debe tener ya los sintomas, dado a que Elistara tiene en cuarentena el virus, pero es importante que envie la muestra para su eliminacion completa.

Mensaje por **msc hotline sat** » 15 Mar 2007, 08:18

Debe tratarse de una nueva variante de esta gama de cazapasswords bancarios, que utiliza igualmente el nombre de DLLVIRTUAL.EXE para su gusano, pues inicialmente ya se controla con :

ELISTARA

---v13.36-(19 de Febrero del 2007) (Muestras de (3)Vundo(notify), DownLoader.ConHook "*****.DLL", BackDoor-CVT "WIN***32.DLL", (3)Swizzor(lop), StartPage-CPE "CLICKME.EXE", MaxiFiles "IPWINS.EXE" y Spy.Banker.BYU "DLLVIRTUAL.EXE", DownLoader-Small "KERNELS88.EXE" y )

De hace casi un mes, pero al no reconocerlo por cadenas el ELISTARA y pedir muestra, es señal evidente que ha mutado para dificultar su deteccion.

Cuando recibamos la muestra la analizaremos e informaremos

saludos

ms, 15-03-2007

goldman · Mensaje por **goldman** » 15 Mar 2007, 19:20

espero sus respuestas

Mensaje por **msc hotline sat** » 15 Mar 2007, 20:23

Entiendo que quiere decir que ya nos ha enviado la muestra solicitada, pues mañana cuando volvamos al trabajo (SATINFO esta cerrado ahora) se analizará e informará en consecuencia

saludos

ms, 15-03-2007

(Es que aqui ya es de noche, aunque Vds tengan toda la tarde por delante ! :lol: )

Mensaje por **msc hotline sat** » 16 Mar 2007, 11:29

Recibida la muestra del DLLVIRTUAL.EXE se detecta una variante de menor tamaño que la ya conocida, y que pasamos a controlar con la version de hoy del ELISTARA

Esta tarde a partir de las 20 h GMT estará disponible en esta web para evaluacion en el foro de zonavirus

saludos

ms, 16.03.2007

goldman · Mensaje por **goldman** » 17 Mar 2007, 21:00

Que me pueden decir con relacion alnuevo logs que le he enviado aqui.

gracias de antemano.

Fri Mar 16 07:45:28 2007

EliStartPage v13.53 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

ALERTA. WindowsUpdate Incompleto.

Fri Mar 16 23:19:07 2007

EliStartPage v13.55 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

ALERTA. WindowsUpdate Incompleto.

Restaurado fichero de Configuración del IE, (IERESET.INF)

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Fri Mar 16 23:19:46 2007

EliStartPage v13.55 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\Muestras\DLLVIRTUAL.EXE.MUESTRA ELISTARTPAGE V13.53 --> Eliminado, Spy.Banker.BYU

Fri Mar 16 23:41:32 2007

EliStartPage v13.55 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad D:\

Fri Mar 16 23:41:38 2007

EliStartPage v13.55 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad E:\

Mensaje por **lucl** » 17 Mar 2007, 21:16

pues que te ha echo la limpieza del archivo que enviastes muestra

C:\Muestras\DLLVIRTUAL.EXE.MUESTRA ELISTARTPAGE V13.53 --> Eliminado, Spy.Banker.BYU

asi que lanza un windows update para terminar de actualizar el pc y dinos si te funciona bien ya, saludos

Mensaje por **msc hotline sat** » 20 Mar 2007, 07:50

Efectivamente, con la 13.55 del ELISTARA ya se ha controlado la muestra solicitada por el 13.53:

[quote]
Fri Mar 16 23:19:46 2007

EliStartPage v13.55 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\Muestras\DLLVIRTUAL.EXE.MUESTRA ELISTARTPAGE V13.53 --> Eliminado, Spy.Banker.BYU
[/quote]

Con ello y dando por descontado que lanzará un windowsupdate como indica lucl, damos por solucionado el Tema y procedemos a cerrarlo

saludos

ms, 20-03-2007

auto-mensaje me aparece en hotmail messenger (SOLUCIONADO)

auto-mensaje me aparece en hotmail messenger (SOLUCIONADO)

aqui te envio el log

ya les he enviado la muestra DLLVIRTUAL.EXE.Muestra EliStart

aqui esta el log de elistara.exe la nueva version