Ayudaaaaa!! * <foto_celular.zip> (SOLUCIONADO)

[masao]

hola como estan espero que me ayudentengo el virus que se conoce como foto_celular.zip vine a este foro por recomendacion de una web que me dijo que aca le ayudaron a borrar ese virus busque los post pero no lo encuentro ayudenme porfa!!

[msc hotline sat]

De entrada prueba el ELISTARA:

ELISTARA:
http://www.zonavirus.com/descargas/elistara.asp

Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso

SALUDOS

ms, 24-04-2007
nota: Como que segun hemos leido este malware integra RootKit, una vez haya descargado el ELISTARA, arranque en modo seguro para probarlo.

[el_don_salieri]

Bueno, por el messenger en mi casa aceptaron el archivo este Foto_celular.zip , lo descomprimieron y apareció un archivo tipo foto, el que abre el Visor de Imágenes de Windows, y dice que es un archivo ''Protector de Pantalla''. Ahora, en el Disco Rígido, constantemente me aparece el archivo comprimido Foto_celular y el archivo que parece una foto, que también dice Foto_celular, lo elimino completamente de la computadora, y vuelve aparecer y así continuamente... He buscado en Internet acerca de este virus y parece que es nuevo, y también he entrado en una página de Internet para buscar acerca de los procesos que están corriendo en Windows y me parece que más de uno son virus (por ejemplo csrss.exe y smss.exe, en algunas páginas dicen que son virus, en otras no, en otras dicen que son procesos normales que generalmente se infectan con virus, principalmente troyanos, en fin, acá hice lo que le han pedido al usuario anterior con el mismo problema que yo, el informe de ELISTARA, después de haber analizado el disco duro:


Wed Apr 25 17:57:50 2007
EliStartPage v13.83 (c)2007 S.G.H. / Satinfo S.L.
--------------------------------------------------

Código: Seleccionar todo

Lista de Acciones (por Acción Directa):
Eliminada Carpeta "%Application Data%\HbTools"

	  Wed Apr 25 19:15:26 2007
EliStartPage v13.83  (c)2007 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Acción Directa):
Entrada Eliminada [HKLM\...\Run] "Msconfig"="C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto"
Eliminados Ficheros Temporales del IE

	  Wed Apr 25 19:16:00 2007
EliStartPage v13.83  (c)2007 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\
C:\Archivos de programa\Motorola Phone Tools\MPT_TEST_INFO.EXE --> Eliminado, Shorty (dropper)
C:\RECYCLER\NPROTECT\00306428.CAB --> Eliminado, MyWebSearch (DPF)

--------------------------------------------------
También tengo un informe del HiJackThis que hice, que muestra los procesos activos de windows, en estado de ''Modo a prueba de errores'':

Logfile of HijackThis v1.99.1
Scan saved at 03:21:50, on 24/04/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

Código: Seleccionar todo

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Segurid\HijackThis.exe

Y un informe también del HiJackThis, pero sin el ''Modo a prueba de errores'':
Logfile of HijackThis v1.99.1
Scan saved at 03:52:57, on 24/04/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\asuskbservice.exe
C:\ARCHIV~1\Grisoft\AVG7\avgamsvr.exe
C:\ARCHIV~1\Grisoft\AVG7\avgupsvc.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\System32\snmp.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\WgaTray.exe
C:\WINDOWS\system32\VTTimer.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\ARCHIV~1\Grisoft\AVG7\avgcc.exe
C:\WINDOWS\system32\RunDLL32.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Archivos de programa\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
C:\WINDOWS\system32\rundll32.exe
C:\Archivos de programa\Internet Explorer\iexplore.exe
C:\Segurid\Lucas Things\HijackThis.exe
C:\Archivos de programa\Internet Explorer\iexplore.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\archivos de programa\google\googletoolbar3.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\archivos de programa\google\googletoolbar3.dll
O4 - HKLM\..\Run: [VTTimer] VTTimer.exe
O4 - HKLM\..\Run: [VTTrayp] VTtrayp.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [anvshell] anvshell.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [AVG7_CC] C:\ARCHIV~1\Grisoft\AVG7\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Spino] C:\Segurid\Jurassic Park III Dino defender\Dino Defender\DINO3.EXE
O4 - HKCU\..\Run: [swg] C:\Archivos de programa\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [ares] "C:\Archivos de programa\Ares\Ares.exe" -h
O4 - Startup: Registration .LNK = C:\Segurid\King Kong\RegistrationReminder.exe
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab31267.cab
O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} (Cult3D ActiveX Player) - http://www.cult3d.com/download/cult.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gatubelathefirst.spaces.msn.com//PhotoUpload/MsnPUpld.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scan8/oscan8.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: ASUSKeyboardService - ASUSTeK COMPUTER INC. - C:\WINDOWS\asuskbservice.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\ARCHIV~1\Grisoft\AVG7\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\ARCHIV~1\Grisoft\AVG7\avgupsvc.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Archivos de programa\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Archivos de programa\Archivos comunes\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

Si me pueden ayudar, desde ya, muchísimas gracias.

[LoCkEdNsEdAtEd]

Yo tengo el mismo problema y me sale esto





"Thu Apr 26 20:24:46 2007

EliStartPage v13.83 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Entrada Eliminada [HKLM\...\Run] "UpdReg"="C:\WINDOWS\UpdReg.EXE"

ALERTA. WindowsUpdate Incompleto.

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Por favor, envienos una muestra del fichero

"H:\Autorun.inf" a "virus@satinfo.es". Gracias.

Por favor, envienos una muestra del fichero

"I:\Autorun.inf" a "virus@satinfo.es". Gracias.



Thu Apr 26 20:26:39 2007

EliStartPage v13.83 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\Archivos de programa\Nero\Nero 7\Nero Vision\NVDV.DLL --> Eliminado, Hotbar"

[msc hotline sat]

Pues aparte de algun que otro troyano que ha detectado y eliminado el ELISTARA, este del "Foto_celular.zip " no aparece visible ni residente ni en las claves de registro que muestra, pero el registro es inmenso y el HJT solo muestra una minima parte, asi que hsbrán mirado de que no sea tan facilmente visible y detectable



Veamos si tuviera aun el fichero ZIP que recibió, Foto_celular.zip , y nos lo pudiera enviar, con lo que replicaríamos el problema, minitorizariamos su comportamiento e implementariamos su control y eliminacion en la siguiente verion del ELISTARA, o bien de los ficheros que este hubiera creado, pero eso ya es mas dificil que los conozca.



Lo que tenga al respecto, envienoslo para su analisis como indicamos en:



https://foros.zonavirus.com/viewtopic.php?f=2&t=45334



y tras recibirlo procederemos en consecuencia



saludos



ms, 266-04-2007

[msc hotline sat]

Por lo visto ya se detecta por algun antivirus como win/32rootkit.odys.Atrojan, por lo que es imperativo que arranques en modo seguro y nos vuelvas a postear el log del HJT generado en dicho modo, pero completo, que el anterior, el que hiciste en modo seguro, no estaba completo, y justamente la parte de las claves es lo que faltaba, y es lo que puede ser distinto arrancando en una u otra forma.



Asi que, ademas de enviarnos las muestras que encuentres, posteanos dicho log, gracias



AParte, aunque no llegue a eliminarlo segun dicen, para saber los ficheros que nos has de enviar, puedes lanzar este AntiRootKit que dicen lo detecta, aunque se regenere, pero si sabes los ficheros que son y nos envias las muestras, tras analizarlas, lo demas ya lo haremos nosotros...:

[msc hotline sat]

Por lo visto ya se detecta por algun antivirus como win/32rootkit.odys.Atrojan, por lo que es imperativo que arranques en modo seguro y nos vuelvas a postear el log del HJT generado en dicho modo, pero completo, que el anterior, el que hiciste en modo seguro, no estaba completo, y justamente la parte de las claves es lo que faltaba, y es lo que puede ser distinto arrancando en una u otra forma.



Asi que, ademas de enviarnos las muestras que encuentres, posteanos dicho log, gracias



AParte, aunque no llegue a eliminarlo segun dicen, para saber los ficheros que nos has de enviar, puedes lanzar este AntiRootKit que dicen lo detecta, aunque se regenere, pero si sabes los ficheros que son y nos envias las muestras, tras analizarlas, lo demas ya lo haremos nosotros...:



http://www.grisoft.com/doc/products-avg-anti-rootkit-free-edition/la-es/crp/0



saludos



ms, 26-04-2007

[LoCkEdNsEdAtEd]

Ok, voy a mandar el fotos_celular.zip a el mail que dice en el link que vi... Por cierto lo busque en google y solo salian respuestas relacionadas con brazil... asi que probablemente es un virus brazileño como el del album de fotos tambien... que dice algo como "da uma almhoada" o algo asi...

[msc hotline sat]

efectivamente, muchos cazapasswords bancarios que llegan por el messenger son brasileños, de ahí que te iba a pedir si tienes alguno de estos ficheros:



C:\Foto_Celular.zip/Foto_celular.scr



C:\Foto_Celular.zip/Foto_celular.scr



C:\Documents and Settings\Administrador\Configurações locais\Temp\svchost.exe



C:\WINDOWS\system32\haha.exe



C:\WINDOWS\system32\WinUpdate.exe





Pero si ya dices que has localizado el fotos_celular.zip, envianoslo como hemos indicado y lo demas será cosa nuestra. HOy mismo lo implementaremos en el ELISTARA 13.84, tras analizarlo y ver el RootKit que utiliza y demás.



saludos



ms, 26-04-2007

[LoCkEdNsEdAtEd]

Bootie mi SO en modo a prueba de errores y corri el Hj y este es el log de startup...



StartupList report, 26/04/2007, 09:38:56 p.m.
StartupList version: 1.52.2
Started from : G:\Carlos\programs\Spyware, AntiVirus\HijackThis.EXE
Detected: Windows XP SP2 (WinNT 5.01.2600)
Detected: Internet Explorer v6.00 SP2 (6.00.2900.2180)
* Using default options
==================================================

Running processes:

Código: Seleccionar todo

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Documents and Settings\Carlos\Escritorio\ELISTARA.5052007.EXE
G:\Carlos\programs\Spyware, AntiVirus\HijackThis.exe

--------------------------------------------------

Listing of startup folders:

Shell folders Startup:
[C:\Documents and Settings\Carlos\Menú Inicio\Programas\Inicio]
MagicDisc.lnk = C:\Archivos de programa\MagicDisc\MagicDisc.exe

--------------------------------------------------

Checking Windows NT UserInit:

[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
UserInit = C:\WINDOWS\system32\userinit.exe,

--------------------------------------------------

Autorun entries from Registry:
HKLM\Software\Microsoft\Windows\CurrentVersion\Run

Smapp = C:\Archivos de programa\Analog Devices\SoundMAX\Smtray.exe
CTSysVol = C:\Archivos de programa\Creative\SBAudigy2ZS\Surround Mixer\CTSysVol.exe /r
CTDVDDET = C:\Archivos de programa\Creative\SBAudigy2ZS\DVDAudio\CTDVDDet.EXE
CTHelper = CTHELPER.EXE
SBDrvDet = C:\Archivos de programa\Creative\SB Drive Det\SBDrvDet.exe /r
ATICCC = "C:\Archivos de programa\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay
avast! = C:\ARCHIV~1\ALWILS~1\Avast4\ashDisp.exe
Logitech Utility = Logi_MwX.Exe
SunJavaUpdateSched = "C:\Archivos de programa\Java\jre1.6.0_01\bin\jusched.exe"
HPDJ Taskbar Utility = C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb07.exe
iTunesHelper = "C:\Archivos de programa\iTunes\iTunesHelper.exe"
Share-to-Web Namespace Daemon = C:\Archivos de programa\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
Zune Launcher = "C:\Archivos de programa\Zune\ZuneLauncher.exe"
ProBNC.exe = C:\Documents and Settings\Carlos\Configuración local\Temp\wz968e\ProBNC.exe
AVG7_CC = C:\ARCHIV~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
WinampAgent = C:\Archivos de programa\Winamp\winampa.exe
NeroFilterCheck = C:\WINDOWS\system32\NeroCheck.exe

--------------------------------------------------

Autorun entries from Registry:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run

CTFMON.EXE = C:\WINDOWS\system32\ctfmon.exe
MsnMsgr = "C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe" /background
BitTorrent = "C:\Archivos de programa\BitTorrent\bittorrent.exe" --force_start_minimized

--------------------------------------------------

Autorun entries from Registry:
HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce

NeroHomeFirstStart = C:\Archivos de programa\Archivos comunes\Ahead\Lib\NMFirstStart.exe

--------------------------------------------------

File association entry for .TXT:
HKEY_CLASSES_ROOT\txtfile\shell\open\command

(Default) = Notepad.exe "%1"

--------------------------------------------------

Shell & screensaver key from C:\WINDOWS\SYSTEM.INI:

Shell=*INI section not found*
SCRNSAVE.EXE=*INI section not found*
drivers=*INI section not found*

Shell & screensaver key from Registry:

Shell=Explorer.exe
SCRNSAVE.EXE=*Registry value not found*
drivers=*Registry value not found*

Policies Shell key:

HKCU\..\Policies: Shell=*Registry key not found*
HKLM\..\Policies: Shell=*Registry value not found*

--------------------------------------------------


Enumerating Browser Helper Objects:

BitComet ClickCapture - C:\Archivos de programa\BitComet\tools\BitCometBHO_1.1.3.19.dll - {39F7E362-828A-4B5A-BCAF-5B79BFDFEA60}
(no name) - C:\Archivos de programa\Java\jre1.6.0_01\bin\ssv.dll - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43}
(no name) - (no file) - {7E853D72-626A-48EC-A868-BA8D5E23E045}
(no name) - C:\Archivos de programa\Starware349\bin\Starware349.dll - {CA356D79-679B-4b4c-8E49-5AF97014F4C1}

--------------------------------------------------

Enumerating Task Scheduler jobs:

AppleSoftwareUpdate.job

--------------------------------------------------

Enumerating Download Program Files:

[Checkers Class]
InProcServer32 = C:\WINDOWS\Downloaded Program Files\msgrchkr.dll
CODEBASE = http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab

[Minesweeper Flags Class]
InProcServer32 = C:\WINDOWS\Downloaded Program Files\minesweeper.dll
CODEBASE = http://messenger.zone.msn.com/binary/MineSweeper.cab31267.cab

[UnoCtrl Class]
InProcServer32 = C:\WINDOWS\Downloaded Program Files\GAME_UNO1.dll
CODEBASE = http://messenger.zone.msn.com/ES-ES/a-UNO1/GAME_UNO1.cab

[MessengerStatsClient Class]
InProcServer32 = C:\WINDOWS\Downloaded Program Files\messengerstatsclient.dll
CODEBASE = http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab

[MessengerStatsClient Class]
InProcServer32 = C:\WINDOWS\Downloaded Program Files\MessengerStatsPAClient.dll
CODEBASE = http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab

[Shockwave Flash Object]
InProcServer32 = C:\WINDOWS\system32\Macromed\Flash\Flash9b.ocx
CODEBASE = http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

[Solitaire Showdown Class]
InProcServer32 = C:\WINDOWS\Downloaded Program Files\solitaireshowdown.dll
CODEBASE = http://messenger.zone.msn.com/binary/SolitaireShowdown.cab31267.cab

--------------------------------------------------

Enumerating ShellServiceObjectDelayLoad items:

PostBootReminder: C:\WINDOWS\system32\SHELL32.dll
CDBurn: C:\WINDOWS\system32\SHELL32.dll
WebCheck: C:\WINDOWS\System32\webcheck.dll
SysTray: C:\WINDOWS\System32\stobject.dll
WPDShServiceObj: C:\WINDOWS\system32\WPDShServiceObj.dll

--------------------------------------------------
End of report, 6.718 bytes
Report generated in 0,016 seconds

Command line options:
   /verbose  - to add additional info on each section
   /complete - to include empty sections and unsuspicious data
   /full     - to include several rarely-important sections
   /force9x  - to include Win9x-only startups even if running on WinNT
   /forcent  - to include WinNT-only startups even if running on Win9x
   /forceall - to include all Win9x and WinNT startups, regardless of platform
   /history  - to list version history only

[LoCkEdNsEdAtEd]

Archivos que seria prudente eliminar...

C:\Archivos de programa\Internet Explorer\msimg32.dll
C:\Archivos de programa\Messenger\soufoda.exe
C:\Documents and Settings\hogar\Configuración local\Temp\bis2C.exe
C:\Documents and Settings\hogar\Datos de programa\memo bleh part\BARBDOESSEND.exe
C:\Foto_celular.scr
C:\Foto_celular.zip/Foto_celular.scr
C:\Foto_celular.zip ZIP:
C:\WINDOWS\system32\logunit.sys
C:\WINDOWS\system32\msnworm.exe

[msc hotline sat]

??? Esto no es el log de un HJT, por lo menos no de la version 1.99.1 que pedimos en:

¿Como utilizar el Hijackthis ?
Lo primero que debemos hacer es descargarlo en nuestro ordenador y lócalo en una carpeta propia C:\HijackThis\
Ejecútalo y presiona el botón "Do a system scan and save a logfile"; el programa realizará el escaneo e inmediatamente generará el Log, sólo te pedira el nombre del archivo y su ubicación, puedes simplemente guardarlo así como está.
Se abrirá el Bloc de Notas, copia todo el contenido y pégalo como respuesta de este Tema
· Descargar Hijackthis

Tras analizarlo, informaremos

Pero ya no se preocupe, con la muestra del fichero fotos_celular.zip que nos indicó había localizado, en cuanto entremos a trabajar en SATINFO, dentro de unas horas, lo analizaremos y procederemos en consecuencia.

Ya informaremos

saludos
ms, 26-04-2007

[LoCkEdNsEdAtEd]

muchisimas gracias... y disculpe la ignorancia :oops:

[msc hotline sat]

Todos somos ignorantes ! Seguro que en su especialidad nos podría dar clases

Pero en investigación de malwares y su control y eliminacion, está en buenas manos.

Creo que está Vd en Costa Rica, pues vayase a dormir que ya es hora, y deje que trabajemos nosotros que cuado despierte ya tendremos la utilidad de eliminacion a punto, suponiendo que nos haya enviado la muestra como indicamos

saludos
ms, 26-04-2007

[LoCkEdNsEdAtEd]

La envie hace horas y todavia no duermo, hoy estudio asi que espero hasta que este :wink:

[msc hotline sat]

Pues aqui ahora son las 6h 20' y a las 8:30 salgo cada dia para el trabajo, y nos pondremos manos a la obra en cuanto llegue, y en atencion a tu espera, tan pronto la terminemos la subiremos a esta web, para que la evalues, sin esperar a incluir las otras muestras que tambien controlemos hoy con dicha utilidad, como hacemos al final de cada día, a las 20 h UTC, pero probablemente a alguna hora de esta mañana ya podamos compilar la version que te interesa... si no hay urgencias prioritarias de clientes, o alguna emergencia atipica, pero vamos, que tan pronto como podamos atacaremos al fotos_celular de marras.



saludos, y duerme un poco, que sino te vas a dormir en el examen !



ms, 26-04-2007

[msc hotline sat]

Nota: Ya estamos en ello, solo comentar como informacion que este nuevo virus de messenger que parece ser de Brasil, ha llegado a este foro por foreros de Perú, Argentina y Costa Rica, asi que aunque Internet sea mundial y todos podamos recibirlo, especial atencion los foreros de dichas zonas de Sudamerica y Centroamerica, y por extension México, claro

Analizando el fichero con VirusTotal, reporta las siguientes detecciones:

ESTADO: FINALIZADOEste es el resultado completo de analizar el archivo "Foto_celular_scr" que VirusTotal ha recibido el día 26.04.2007 a las 10:17:50 (CET).

Antivirus Version Actualización Resultado
AhnLab-V3 2007.4.26.0 26.04.2007 no ha encontrado virus
AntiVir 7.4.0.15 26.04.2007 TR/Hijack.Explor.2741
Authentium 4.93.8 26.04.2007 W32/Downloader2.BUD
Avast 4.7.981.0 25.04.2007 no ha encontrado virus
AVG 7.5.0.464 25.04.2007 no ha encontrado virus
BitDefender 7.2 26.04.2007 BehavesLike:Win32.ExplorerHijack
CAT-QuickHeal 9.00 25.04.2007 no ha encontrado virus
ClamAV devel-20070416 26.04.2007 no ha encontrado virus
DrWeb 4.33 26.04.2007 no ha encontrado virus
eSafe 7.0.15.0 25.04.2007 suspicious Trojan/Worm
eTrust-Vet 30.7.3597 26.04.2007 no ha encontrado virus
Ewido 4.0 25.04.2007 Downloader.Delf.bjd
FileAdvisor 1 26.04.2007 Not analyzed yet
Fortinet 2.85.0.0 26.04.2007 no ha encontrado virus
F-Prot 4.3.2.48 25.04.2007 W32/Downloader2.BUD
F-Secure 6.70.13030.0 26.04.2007 Trojan-Downloader.Win32.Delf.bjd
Ikarus T3.1.1.5 26.04.2007 BehavesLikeWin32.ExplorerHijack
Kaspersky 4.0.2.24 26.04.2007 Trojan-Downloader.Win32.Delf.bjd
McAfee 5017 25.04.2007 no ha encontrado virus
Microsoft 1.2405 26.04.2007 no ha encontrado virus
NOD32v2 2219 25.04.2007 no ha encontrado virus
Norman 5.80.02 25.04.2007 no ha encontrado virus
Panda 9.0.0.4 25.04.2007 no ha encontrado virus
Prevx1 V2 26.04.2007 no ha encontrado virus
Sophos 4.16.0 23.04.2007 no ha encontrado virus
Sunbelt 2.2.907.0 19.04.2007 no ha encontrado virus
Symantec 10 26.04.2007 no ha encontrado virus
TheHacker 6.1.6.095 15.04.2007 no ha encontrado virus
VBA32 3.11.4 26.04.2007 no ha encontrado virus
VirusBuster 4.3.7:9 25.04.2007 no ha encontrado virus
Webwasher-Gateway 6.0.1 26.04.2007 Trojan.Hijack.Explor.2741


Información adicional
Tamaño archivo: 10240 bytes
MD5: 202e5a2057cd3a2c3ff8ba7153973b3d
SHA1: ed010bf032dfaefd9f34f6df0f629be0c9221cd1
packers: UPX

Lo de Delf viene de que está escrito en Delphi, lenguaje de programacion derivado de Pascal, y está claro que es un downloader que aun sollo es detectado por 8 o 9 antivirus, y que enviamos a McAfee para su control, aparte de implementar su deteccion y eliminacion en neustro ELISTARA de hoy 13.84 que subiremos a esta web tan pronto lo compilemos, que será esta mañana.

saludos
ms, 26-04-2007

[msc hotline sat]

Solo informaros al respecto que han habido urgencias que han frenado el desarrollo de dicha version, pero estamos en ello, y por la tarde seguiremos. Aparte, que es bastante complejo por lo que hemos visto, pues sus 10 kB no son mas que el descargador, que descarga el de verdad con mas de 100 KB y lo instala en el registro, en zona no visible por el HJT...



saludos



ms, 26-04-2007

[msc hotline sat]

Pues sorpresa, con los ficheros que descarga, autodescarga un nuevo fotos_celular.zip y .scr que copia en Root, y son diferentes del que nos enviaste, asi que lo primero que hace es que se actualiza con nuevas versiones, aparte de descargar otros ficheros.



Pero los vamos a controlar todos.



saludos



ms, 26-04-2007

[msc hotline sat]

Venga, ya está subida a esta web la version de prueba en cuestion...



https://foros.zonavirus.com/viewtopic.php?p=95194#95194



Cuentanos el resultado, gracias





ELISTARA:

http://www.zonavirus.com/descargas/elistara.asp



Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso



saludos



ms, 26-04-2007

[LoCkEdNsEdAtEd]

Muchisimas gracias, aqui esta el fichero



" Fri Apr 27 15:03:09 2007

EliStartPage v13.85 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\System Volume Information\_restore{3F775DB8-7AEB-4563-9BBA-E3FF50CFE1D6}\RP128\A0047256.EXE --> Eliminado, MalWare.Celular

C:\System Volume Information\_restore{3F775DB8-7AEB-4563-9BBA-E3FF50CFE1D6}\RP128\A0048254.EXE --> Eliminado, MalWare.Celular

C:\System Volume Information\_restore{3F775DB8-7AEB-4563-9BBA-E3FF50CFE1D6}\RP128\A0048322.EXE --> Eliminado, MalWare.Celular

C:\System Volume Information\_restore{3F775DB8-7AEB-4563-9BBA-E3FF50CFE1D6}\RP128\A0048332.EXE --> Eliminado, MalWare.Celular

C:\System Volume Information\_restore{3F775DB8-7AEB-4563-9BBA-E3FF50CFE1D6}\RP128\A0048354.EXE --> Eliminado, MalWare.Celular

C:\System Volume Information\_restore{3F775DB8-7AEB-4563-9BBA-E3FF50CFE1D6}\RP128\A0048414.EXE --> Eliminado, MalWare.Celular

C:\System Volume Information\_restore{3F775DB8-7AEB-4563-9BBA-E3FF50CFE1D6}\RP128\A0049378.EXE --> Eliminado, MalWare.Celular

C:\System Volume Information\_restore{3F775DB8-7AEB-4563-9BBA-E3FF50CFE1D6}\RP129\A0050382.EXE --> Eliminado, MalWare.Celular

C:\System Volume Information\_restore{3F775DB8-7AEB-4563-9BBA-E3FF50CFE1D6}\RP129\A0050407.EXE --> Eliminado, MalWare.Celular

C:\System Volume Information\_restore{3F775DB8-7AEB-4563-9BBA-E3FF50CFE1D6}\RP129\A0051413.EXE --> Eliminado, MalWare.Celular

C:\System Volume Information\_restore{3F775DB8-7AEB-4563-9BBA-E3FF50CFE1D6}\RP129\A0051492.EXE --> Eliminado, MalWare.Celular

"





Buen trabajo sigan asi

[LoCkEdNsEdAtEd]

Pasa lo siguiente... el elistar aparenta haberlo borrado... pero cuando estoy en msn manda el zumbido e intenta enviar el file, como no lo encuentra te dice que no existe y que no se puede enviar... :?

[msc hotline sat]

Falta la primera mitad del Infosat.txt , la parte de Lista de Acciones por Accion Directa , repite el envio, pero seleccionandolo todo, pues hemos de mirar lo que ha hecho inicialmente, o mejor dicho, lo que no ha hecho...



Con ello analizaremos el punto que no ha restaurado ??? para proceder a pulirlo.



Pero por lo menos el virus ya se ha eliminado y no se propaga, hoy miraremos este último resquicio.



saludos



ms, 27-04-2007

[pbr1111]

Tengo una respuesta fiable y rapida, si tienes este virus accedes al editor de registro (regedit.exe) y das a buscar en el registro foto_celular, te saldran dos arxchivos, eliminalos y elimina tambien los archivos del disco duro que ponen foto_celular. A mi me funciono, la gente es muy exegerada diciendo que se tiene que formatear la unidad. un informático celebre. Salu2 os lo aseguro que os saldra bien[/b]

[danxuy07]

me sigue enviando zumbidos.. AYUDA!! plz


Sat Apr 28 20:52:17 2007
EliStartPage v13.86 (c)2007 S.G.H. / Satinfo S.L.
--------------------------------------------------

Código: Seleccionar todo

Lista de Acciones (por Acción Directa):
C:\FOTO_CELULAR.SCR --> Eliminado 
C:\FOTO_CELULAR.ZIP --> Eliminado 
Por favor, envienos una muestra del fichero
C:\Muestras\HIDEKIT.EXE.Muestra EliStartPage v13.86
 a "virus@satinfo.es".  Gracias.
C:\WINDOWS\SYSTEM32\HIDEKIT.EXE --> Eliminado 
Linea Eliminada del HOSTS --> 127.0.0.1 bin.errorprotector.com ## added by CiD
Linea Eliminada del HOSTS --> 127.0.0.1 br.errorsafe.com ## added by CiD
Linea Eliminada del HOSTS --> 127.0.0.1 br.winantivirus.com ## added by CiD
Linea Eliminada del HOSTS --> 127.0.0.1 br.winfixer.com ## added by CiD
Linea Eliminada del HOSTS --> 127.0.0.1 cdn.drivecleaner.com ## added by CiD
Linea Eliminada del HOSTS --> 127.0.0.1 cdn.errorsafe.com ## added by CiD
Linea Eliminada del HOSTS --> 127.0.0.1 cdn.winsoftware.com ## added by CiD
Linea Eliminada del HOSTS --> 127.0.0.1 de.errorsafe.com ## added by CiD
Linea Eliminada del HOSTS --> 127.0.0.1 de.winantivirus.com ## added by CiD
Linea Eliminada del HOSTS --> 127.0.0.1 download.cdn.drivecleaner.com ## added by CiD
Linea Eliminada del HOSTS --> 127.0.0.1 download.cdn.errorsafe.com ## added by CiD
Linea Eliminada del HOSTS --> 127.0.0.1 download.cdn.winsoftware.com ## added by CiD
Linea Eliminada del HOSTS --> 127.0.0.1 download.errorsafe.com ## added by CiD
Linea Eliminada del HOSTS --> 127.0.0.1 download.systemdoctor.com ## added by CiD
Linea Eliminada del HOSTS --> 127.0.0.1 download.winantispyware.com ## added by CiD
Linea Eliminada del HOSTS --> 127.0.0.1 download.windrivecleaner.com ## added by CiD
Linea Eliminada del HOSTS --> 127.0.0.1 download.winfixer.com ## added by CiD
Linea Eliminada del HOSTS --> 127.0.0.1 drivecleaner.com ## added by CiD
Linea Eliminada del HOSTS --> 127.0.0.1 dynamique.drivecleaner.com ## added by CiD
Linea Eliminada del HOSTS --> 127.0.0.1 errorprotector.com ## added by CiD
Linea Eliminada del HOSTS --> 127.0.0.1 errorsafe.com ## added by CiD
Linea Eliminada del HOSTS --> 127.0.0.1 es.winantivirus.com ## added by CiD
Linea Eliminada del HOSTS --> 127.0.0.1 fr.winantivirus.com ## added by CiD
Linea Eliminada del HOSTS --> 127.0.0.1 fr.winfixer.com ## added by CiD
Linea Eliminada del HOSTS --> 127.0.0.1 go.drivecleaner.com ## added by CiD
Linea Eliminada del HOSTS --> 127.0.0.1 go.errorsafe.com ## added by CiD
Linea Eliminada del HOSTS --> 127.0.0.1 go.winantispyware.com ## added by CiD
Linea Eliminada del HOSTS --> 127.0.0.1 go.winantivirus.com ## added by CiD
Linea Eliminada del HOSTS --> 127.0.0.1 hk.winantivirus.com ## added by CiD
Linea Eliminada del HOSTS --> 127.0.0.1 instlog.errorsafe.com ## added by CiD
Linea Eliminada del HOSTS --> 127.0.0.1 instlog.winantivirus.com ## added by CiD
Linea Eliminada del HOSTS --> 127.0.0.1 instlog.winfixer.com ## added by CiD
Linea Eliminada del HOSTS --> 127.0.0.1 jsp.drivecleaner.com ## added by CiD
Linea Eliminada del HOSTS --> 127.0.0.1 kb.errorsafe.com ## added by CiD
Linea Eliminada del HOSTS --> 127.0.0.1 kb.winantivirus.com ## added by CiD
Linea Eliminada del HOSTS --> 127.0.0.1 nl.errorsafe.com ## added by CiD
Linea Eliminada del HOSTS --> 127.0.0.1 se.errorsafe.com ## added by CiD
Linea Eliminada del HOSTS --> 127.0.0.1 secure.drivecleaner.com ## added by CiD
Linea Eliminada del HOSTS --> 127.0.0.1 secure.errorsafe.com ## added by CiD
Linea Eliminada del HOSTS --> 127.0.0.1 secure.winantispam.com ## added by CiD
Linea Eliminada del HOSTS --> 127.0.0.1 secure.winantispy.com ## added by CiD
Linea Eliminada del HOSTS --> 127.0.0.1 secure.winantivirus.com ## added by CiD
Linea Eliminada del HOSTS --> 127.0.0.1 support.winantivirus.com ## added by CiD
Linea Eliminada del HOSTS --> 127.0.0.1 trial.updates.winsoftware.com ## added by CiD
Linea Eliminada del HOSTS --> 127.0.0.1 ulog.winantivirus.com ## added by CiD
Linea Eliminada del HOSTS --> 127.0.0.1 utils.errorsafe.com ## added by CiD
Linea Eliminada del HOSTS --> 127.0.0.1 utils.winantivirus.com ## added by CiD
Linea Eliminada del HOSTS --> 127.0.0.1 utils.winfixer.com ## added by CiD
Linea Eliminada del HOSTS --> 127.0.0.1 winantispyware.com ## added by CiD
Linea Eliminada del HOSTS --> 127.0.0.1 winantivirus.com ## added by CiD
Linea Eliminada del HOSTS --> 127.0.0.1 winfixer.com ## added by CiD
Linea Eliminada del HOSTS --> 127.0.0.1 winfixer2006.com ## added by CiD
Linea Eliminada del HOSTS --> 127.0.0.1 winsoftware.com ## added by CiD
Linea Eliminada del HOSTS --> 127.0.0.1 http://www.drivecleaner.com ## added by CiD
Linea Eliminada del HOSTS --> 127.0.0.1 http://www.errorprotector.com ## added by CiD
Linea Eliminada del HOSTS --> 127.0.0.1 http://www.errorsafe.com ## added by CiD
Linea Eliminada del HOSTS --> 127.0.0.1 http://www.systemdoctor.com ## added by CiD
Linea Eliminada del HOSTS --> 127.0.0.1 http://www.utils.winfixer.com ## added by CiD
Linea Eliminada del HOSTS --> 127.0.0.1 http://www.win-anti-virus-pro.com ## added by CiD
Linea Eliminada del HOSTS --> 127.0.0.1 http://www.win-virus-pro.com ## added by CiD
Linea Eliminada del HOSTS --> 127.0.0.1 http://www.winantispam.com ## added by CiD
Linea Eliminada del HOSTS --> 127.0.0.1 http://www.winantispy.com ## added by CiD
Linea Eliminada del HOSTS --> 127.0.0.1 http://www.winantispyware.com ## added by CiD
Linea Eliminada del HOSTS --> 127.0.0.1 http://www.winantivirus.com ## added by CiD
Linea Eliminada del HOSTS --> 127.0.0.1 http://www.winantiviruspro.com ## added by CiD
Linea Eliminada del HOSTS --> 127.0.0.1 http://www.windrivecleaner.com ## added by CiD
Linea Eliminada del HOSTS --> 127.0.0.1 http://www.windrivesafe.com ## added by CiD
Linea Eliminada del HOSTS --> 127.0.0.1 http://www.winfixer.com ## added by CiD
Linea Eliminada del HOSTS --> 127.0.0.1 http://www.winfixer2006.com ## added by CiD
Linea Eliminada del HOSTS --> 127.0.0.1 http://www.winsoftware.com ## added by CiD
Eliminadas las Paginas de Inicio y de Busqueda del IE
Eliminados Ficheros Temporales del IE

	  Sat Apr 28 20:57:45 2007
EliStartPage v13.86  (c)2007 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Acción Directa):
C:\FOTO_CELULAR.SCR --> Eliminado 
C:\FOTO_CELULAR.ZIP --> Eliminado 
Por favor, envienos una muestra del fichero
C:\Muestras\HIDEKIT.EXE.Muestra EliStartPage v13.86
 a "virus@satinfo.es".  Gracias.
C:\WINDOWS\SYSTEM32\HIDEKIT.EXE --> Eliminado 
C:\WINDOWS\SYSTEM32\LOGUNIT.SYS --> Eliminado 
Eliminadas las Paginas de Inicio y de Busqueda del IE
Eliminados Ficheros Temporales del IE

	  Sat Apr 28 20:58:30 2007
EliStartPage v13.86  (c)2007 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Acción Directa):
Eliminadas las Paginas de Inicio y de Busqueda del IE
Eliminados Ficheros Temporales del IE

	  Sat Apr 28 20:59:47 2007
EliStartPage v13.86  (c)2007 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Acción Directa):
Eliminadas las Paginas de Inicio y de Busqueda del IE
Eliminados Ficheros Temporales del IE

	  Sat Apr 28 21:00:32 2007
EliStartPage v13.86  (c)2007 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\
C:\Archivos de programa\Motorola Phone Tools\MPT_TEST_INFO.EXE --> Eliminado, Shorty (dropper)

	  Sat Apr 28 21:09:39 2007
EliStartPage v13.86  (c)2007 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Acción Directa):

	  Sat Apr 28 21:12:46 2007
EliStartPage v13.86  (c)2007 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Acción Directa):
Eliminadas las Paginas de Inicio y de Busqueda del IE
Eliminados Ficheros Temporales del IE

	  Sat Apr 28 21:29:29 2007
EliStartPage v13.86  (c)2007 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Acción Directa):
Eliminadas las Paginas de Inicio y de Busqueda del IE
Eliminados Ficheros Temporales del IE

[msc hotline sat]

pUES ENVIANOS MUESTRA DE ESTE FICHERO QUE SE TE PIDE:

"Por favor, envienos una muestra del fichero C:\Muestras\HIDEKIT.EXE.Muestra EliStartPage v13.86 "

PARA ELLO RECUERDA: viewtopic.php?f=2&t=45334

saludos
ms, 29-04-2007

Nota: y aparte, mira si encuentras estos ficheros:
C:\WINDOWS\system32\logunit.sys
C:\WINDOWS\system32\asrchk.exe
C:\WINDOWS\system32\upsystem.exe
C:\WINDOWS\system32\msnworm.exe
C:\WINDOWS\pss\msnmsg.exe
C:\WINDOWS\pss\SOUND.exe
C:\Arquivos de programas\SOUND.exe


Vemos que en parte este virus tiene un problema para los que no tenemos el sistema en portugues, que si no hay la carpeta "Arquivos de programa" - nosotros tenemos "Archivos de programa" - no copia algun que otro fichero y no corre completamente, pero a ver si encuentras algun otro de los indicados, y en tal caso nos lo envias para analizar como ya sabes.

gracias

saludos
ms, 29-04-2007

[wilferrendon]

AMIGOS TAMBIEN ME PASO LO MISMO

CORRI EL ELISTAR Y MANDO EL INFORME


Sat Apr 28 03:36:12 2007
EliStartPage v13.86 (c)2007 S.G.H. / Satinfo S.L.
--------------------------------------------------

Código: Seleccionar todo

Lista de Acciones (por Acción Directa):
C:\FOTO_CELULAR.SCR --> Eliminado 
C:\FOTO_CELULAR.ZIP --> Eliminado 
Por favor, envienos una muestra del fichero
C:\Muestras\MSNWORM.EXE.Muestra EliStartPage v13.86
 a "virus@satinfo.es".  Gracias.
C:\WINDOWS\SYSTEM32\MSNWORM.EXE --> Eliminado 
Por favor, envienos una muestra del fichero
C:\Muestras\HIDEKIT.EXE.Muestra EliStartPage v13.86
 a "virus@satinfo.es".  Gracias.
C:\WINDOWS\SYSTEM32\HIDEKIT.EXE --> Eliminado 
C:\WINDOWS\SYSTEM32\LOGUNIT.SYS --> Eliminado 
Entrada Eliminada [HKLM\...\Run] "Alcmtr"="ALCMTR.EXE"
Página de Inicio de IE, "about-blank.in" --> Eliminada
Eliminadas las Paginas de Inicio y de Busqueda del IE
Eliminados Ficheros Temporales del IE

	  Sat Apr 28 03:38:11 2007
EliStartPage v13.86  (c)2007 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\
C:\AUTORUN.BAT --> Eliminado, Autorun.A (bat)
C:\AUTORUN.INF --> Eliminado, Autorun.A (inf)
C:\Archivos de programa\MSN Messenger Guiños\INSTALAR GUIñOS.EXE --> Eliminado, Guiños(msn)
C:\WINDOWS\system32\AUTORUN.BAT --> Eliminado, Autorun.A (bat)
C:\WINDOWS\system32\AUTORUN.INF --> Eliminado, Autorun.A (inf)

Y LA MUESTRA ESTA VA ADJUNTA


PERO SIGUE ENVIANDO EL ZUMBIDO

POR FAVOR AYUDENME MUCHAS GRACIAS

[danxuy07]

ya te envie la muestra, no encontre ninguno de esos archivos q m pusiste antes



espero q puedas ayudarme, me esta volviendo loco esto, ademas de cadsa vez q sale el zumbido saltan mis 2 antivirus con ventanas, pero ninguno hace nada, y practicamente no m deja tranquilo, gracias

[msc hotline sat]

Pues ya ves, wilferrendon, que se te piden dos muestras en tu caso:

Por favor, envienos una muestra del fichero C:\Muestras\MSNWORM.EXE.Muestra EliStartPage v13.86
Por favor, envienos una muestra del fichero C:\Muestras\HIDEKIT.EXE.Muestra EliStartPage v13.86

Envianoslas para analizarlas según se indica en: viewtopic.php?f=2&t=45334


saludos
ms, 29-04-2007


Recordad que pueden estar ocultos o con atributos de sistema: viewtopic.php?f=5&t=13245

[danxuy07]

yo ya te lo mande... gracias x todo desde ya