La locura (SOLUCIONADO)

Mensaje por **msc hotline sat** » 08 Feb 2006, 13:31

Recibido el fichero, pero aparentemente cuela sin ser detectado ... Lo monitorizaremos a ver que hace e informaremos

Luego lo implementarenmos en un niuevo ELISTARA para que lo controle por cadenas

Espero que el esfuerzo haya valido la pena !

Informaremos en consecuencia

saludos

ms, 8-2-2006

Mensaje por **msc hotline sat** » 08 Feb 2006, 17:48

Resulta que en el interior del fichero todo son ceros, por eso ha colado sin ser detectado por nada ni por nadie !

Mire abriendolo con su NOTEPAD si ve en su interiores caracteres diferentes o todo igual, en suyo caso son ceros, y si no es asi mire de repetir el envio para que podamos procesarlo, gracias

saludos

ms, 8-2-2006

matius · Mensaje por **matius** » 08 Feb 2006, 18:46

Si,efectivamente contiene como unos simbolos todos iguales

Mensaje por **msc hotline sat** » 08 Feb 2006, 19:01

Pues este no sirve, está a cero ya de partida. Mira si puedes volverlo a copiar en una nueva sesión, aunque se llame diferente claro.

Y enviarnoslo...

saludos

ms, 8-2-2006

matius · Mensaje por **matius** » 10 Feb 2006, 10:45

Lo siento no poder enviar el fichero, hago todo lo que puedo y sigo sin encontrar la manera,vere si dentro de este fin de semana encontrara a alguien que controlara el MSDOS mientras tanto esperare acontecimientos saludos

Mensaje por **msc hotline sat** » 10 Feb 2006, 11:42

Pues no perdamos mas tiempo!

Vamos a probarlo a lo bruto, poco tecnico, pero...

Baja este programa y ejecytalo

http://files3.majorgeeks.com/files/90f5c2fca26cdc32f97373bba4c0c337/spyware/kill2me.zip

Tras ello reinicias y nos cuentas el resultado, y si sale con barba, San Antón, y si no... nos lo cuentas

saludos

ms, 10-2-2006

matius · Mensaje por **matius** » 10 Feb 2006, 15:56

A ver si hay otro enlace porque este me dice Not Found

Mensaje por **msc hotline sat** » 10 Feb 2006, 16:13

Habrán eliminado la pagina

Como que acabamos de subir una nueva version de ELISTARA sugiero que la pruebes y nos indiques si te pide alguna muiestra y en su caso nos la envies

https://foros.zonavirus.com/viewtopic.php?p=50809#50809

saludos

ms, 10-2-2006

matius · Mensaje por **matius** » 10 Feb 2006, 17:46

Si,Elistara sigue pidiendo muestra (j64olgh3164.dll) y solo falta saber como enviarla

Mensaje por **msc hotline sat** » 11 Feb 2006, 13:09

Arranca EN MODO SEGURO CON SOLO SIMBOLO DE SISTEMA

LANZA EL ELISTARA y te apuntas el nombre de la DLL

entras: ATTRIB j64olgh3164.dll /S

(pero en lugar de esta DLL, la que detecte entonces el ELISTARA)

apuntate los atrinbutos que tiene (puede ser H S R etc ) y ka ruta donde lo encuentra

Ve al directorio donde esté con CD\ <ruta que sea >

Y eliminas los atributos que tenga el fichero con ATTRIB -H -R o los que fueren

Asi lo podras copiar a un disquete con COPY < archivo que sea> A:

y luego lo anexas a un mail y nos lo envias a nosotros ...

Y sino lo logras, cualquier amigo que tengas te ayudará a hacerlo

saludos

ms, 11-2-2006

matius · Mensaje por **matius** » 12 Feb 2006, 21:00

Lo hice tal como me habeis indicado,modo seguro simbolo del sistema entrar ATTRIB ENL4L13Q1.dll (nombre del fichero) y la contestacion es no se encuentra el archivo. sabiamos que cada vez que se reinicia cambia el nombre del fichero a ver si hay alguna otra solucion.ya son muchos dias saliendo ventanas y mas ventanas no deseadas y veo que no es tan facil solucionarlo saludos

Mensaje por **msc hotline sat** » 13 Feb 2006, 03:21

Hemos tenido muchos casis de varuiantes, y todas nos lo han posiudo enviar y asi controlar.

Es la excepcion que confirma la regla, y ya prescindimos de la pedirte la muestra para controlar la variante.

Arranca ebn modo sehguiro y lanza el elistara para conocer el nombre de la DLL en aquella sesion, y eliminalo con el KILLBOX

Es una pena que tu caso no sirva para los demas al no poder implementar su control y eliminacion, pero ... entendemos tu fastidio

____________________

KILLBOX POCKET

Para eliminacion de ficheros que se resistan_

http://www.zonavirus.com/datos/descargas/193/Pocket_KillBox.asp

(no precisa instalacion)- ADMIN 26-08-2005

____________________

saludos

ms, 13-2-2006

matius · Mensaje por **matius** » 13 Feb 2006, 13:20

Perdonar pero creo que llevamos varios posts que no me entendeis a mi o yo a vosotros tratare de explicarme.si arranco en modo seguro te da el nombre de un fichero en este caso es ENL4L13Q1.dll vas a buscar dicho fichero y no aparece por ninguna parte arrancas en modo normal pasas el Elistara y te da este otro nombre hr0u05d9e.dll y asi sucesivamente cada vez que quieres cambiar en modo normal si aparece el nombre del fichero y es cuando no puedo ni copiarlo ni eliminarlo ni na de na venga saludos

Mensaje por **msc hotline sat** » 13 Feb 2006, 14:06

Es lo que hacen todas las variantes de este virus. ARRANCA COMO QUIERAS Y VIENDO EL NOMBRE QUE TIENE EN DICHA SESIOM, lanza el KILLBOX

saludos

ms, 13-2-2006

matius · Mensaje por **matius** » 13 Feb 2006, 15:49

Sigo sin poder deshacerme de este virus lanzo el KILLBOX y si, el fichero desaparece pero el bichito aparece en otro fichero y no hay forma de que me deje en paz ¿hay algun otro remedio que no sea formatear? lo raro es tambiem que el antivirus McAfee no lo elimine, bueno no se seguire esperando resultados

Mensaje por **msc hotline sat** » 13 Feb 2006, 16:29

No se trata de un virus sino de un troyano y con muchas variantes y duro de pelar si no se conoce la variante en cuestion, por esto pèdimos muestra, y una vez examinada, ya lo implementamos en el elistara Y LO ELIMINAMOS FACILMENTE.

Como que esta vez se ha resistido mucho, esta tarde vamos a cambiar el ELISTARA, de modo que las muestras que no conozcamos sospechosas de tener este virus, las copiaremos a una carpeta especioal al efecto, C:\ WINLOGON DE DONDE PODER COPPIARLAS FACILMENTE PARA ENVIARMOSLAS

Comunicaremos cuando esté subida a esta web

saludos

ms, 13-2-2006

Mensaje por **msc hotline sat** » 13 Feb 2006, 19:10

Espero que con el nuevo ELISTARA pueda enviarnpos la muestyta para controlar la dichosa variante

https://foros.zonavirus.com/viewtopic.php?p=50966#50966

saludos

ms, 13-2-2006

matius · Mensaje por **matius** » 13 Feb 2006, 21:19

He descargado ambos programas tal y como indicais aplico primero el Elistara el cual pide muestra del fichero C:\WINDOWS\SYSTEM32\HRLQ0535E.DLL despues aplico Elinotif de la siguiente manera Inicio ejecutar "RunDll32.exe" EliNotif.DLL,Instala tambien lo hice de esta otra manera en MSDOSRunDll32.exe Elinotif.dll,Instala en ambas formas,sale lo mismo No Detectado Troyano, decirme por favor cuales son los pasos a seguirya que ahi me quedo y no avanzo mas

Mensaje por **msc hotline sat** » 14 Feb 2006, 10:50

El Elinotif ya es instalado por el ELISTARA CUANDO LO NECESITA., NO HACE FALTA LANZARLO A MANO.

La version 11.15 del ELISTARA debe havcert una copia de la muestra en C:\WINLOGON

Comprueba que hayas usado esta version, y

si tienes dicha carpeta , y en tal caso si hay algo dentro y posteanos el contenido del C:\infosat.txt , gracias

saludos

ms. 14-2-2006

matius · Mensaje por **matius** » 14 Feb 2006, 11:21

La carpeta WinLogon esta vacia envio log InfoSat

Mon Feb 13 15:27:34 2006

EliStartPage v11.14 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

[WinLogon\Notify\STILLIMAGE]

Por favor, envienos una muestra del fichero

C:\WINDOWS\SYSTEM32\HRLQ0535E.DLL

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\GUARD.TMP --> Look2Me Renombrado a .VIR

Linea Eliminada del HOSTS --> 127.0.0.1 sds-qckads.com

Linea Eliminada del HOSTS --> 127.0.0.1 status.qckads.com

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.qoolaid.com

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.qoologic.com

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.CLKPrecision.com

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.urllogic.com

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.clkoptimizer.com

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.isearch.com

Linea Eliminada del HOSTS --> 127.0.0.1 isearch.com

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.idownload.com

Linea Eliminada del HOSTS --> 127.0.0.1 idownload.com

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.mytotalsearch.com

Linea Eliminada del HOSTS --> 127.0.0.1 mytotalsearch.com

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.lop.com

Linea Eliminada del HOSTS --> 127.0.0.1 lop.com

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.websearch.com

Linea Eliminada del HOSTS --> 127.0.0.1 websearch.com

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.page-not-found.net

Linea Eliminada del HOSTS --> 127.0.0.1 page-not-found.net

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.isearchhere.com

Linea Eliminada del HOSTS --> 127.0.0.1 isearchhere.com

Linea Eliminada del HOSTS --> 127.0.0.1 as.adwave.com

Linea Eliminada del HOSTS --> 127.0.0.1 sr.adwave.com

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.adwave.com

Linea Eliminada del HOSTS --> 127.0.0.1 adwave.com EVENT:HOST:127.0.0.1

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.pacimedia.com

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.exactsearch.net

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.contextplus.net

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Mon Feb 13 15:29:59 2006

EliStartPage v11.14 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

C:\Archivos de programa\DVD Decrypter\uninstall.exe --> AutoExtraible

Mon Feb 13 16:02:08 2006

EliStartPage v11.14 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

[WinLogon\Notify\SMDEN]

Por favor, envienos una muestra del fichero

C:\WINDOWS\SYSTEM32\HRLQ0535E.DLL

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\GUARD.TMP --> Look2Me Renombrado a .VIR

Linea Eliminada del HOSTS --> 127.0.0.1 sds-qckads.com

Linea Eliminada del HOSTS --> 127.0.0.1 status.qckads.com

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.qoolaid.com

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.qoologic.com

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.CLKPrecision.com

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.urllogic.com

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.clkoptimizer.com

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.isearch.com

Linea Eliminada del HOSTS --> 127.0.0.1 isearch.com

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.idownload.com

Linea Eliminada del HOSTS --> 127.0.0.1 idownload.com

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.mytotalsearch.com

Linea Eliminada del HOSTS --> 127.0.0.1 mytotalsearch.com

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.lop.com

Linea Eliminada del HOSTS --> 127.0.0.1 lop.com

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.websearch.com

Linea Eliminada del HOSTS --> 127.0.0.1 websearch.com

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.page-not-found.net

Linea Eliminada del HOSTS --> 127.0.0.1 page-not-found.net

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.isearchhere.com

Linea Eliminada del HOSTS --> 127.0.0.1 isearchhere.com

Linea Eliminada del HOSTS --> 127.0.0.1 as.adwave.com

Linea Eliminada del HOSTS --> 127.0.0.1 sr.adwave.com

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.adwave.com

Linea Eliminada del HOSTS --> 127.0.0.1 adwave.com EVENT:HOST:127.0.0.1

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.pacimedia.com

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.exactsearch.net

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.contextplus.net

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Mon Feb 13 16:02:32 2006

EliStartPage v11.14 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

[WinLogon\Notify\SMDEN]

Por favor, envienos una muestra del fichero

C:\WINDOWS\SYSTEM32\HRLQ0535E.DLL

a "virus@satinfo.es". Gracias.

Linea Eliminada del HOSTS --> 127.0.0.1 sds-qckads.com

Linea Eliminada del HOSTS --> 127.0.0.1 status.qckads.com

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.qoolaid.com

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.qoologic.com

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.CLKPrecision.com

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.urllogic.com

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.clkoptimizer.com

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.isearch.com

Linea Eliminada del HOSTS --> 127.0.0.1 isearch.com

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.idownload.com

Linea Eliminada del HOSTS --> 127.0.0.1 idownload.com

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.mytotalsearch.com

Linea Eliminada del HOSTS --> 127.0.0.1 mytotalsearch.com

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.lop.com

Linea Eliminada del HOSTS --> 127.0.0.1 lop.com

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.websearch.com

Linea Eliminada del HOSTS --> 127.0.0.1 websearch.com

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.page-not-found.net

Linea Eliminada del HOSTS --> 127.0.0.1 page-not-found.net

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.isearchhere.com

Linea Eliminada del HOSTS --> 127.0.0.1 isearchhere.com

Linea Eliminada del HOSTS --> 127.0.0.1 as.adwave.com

Linea Eliminada del HOSTS --> 127.0.0.1 sr.adwave.com

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.adwave.com

Linea Eliminada del HOSTS --> 127.0.0.1 adwave.com EVENT:HOST:127.0.0.1

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.pacimedia.com

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.exactsearch.net

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.contextplus.net

Mon Feb 13 20:28:44 2006

EliStartPage v11.15 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

[WinLogon\Notify\SMDEN]

Por favor, envienos una muestra del fichero

C:\WinLogon\HRLQ0535E.DLLLL32.EXE

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\GUARD.TMP --> Eliminado Look2Me

Linea Eliminada del HOSTS --> 127.0.0.1 sds-qckads.com

Linea Eliminada del HOSTS --> 127.0.0.1 status.qckads.com

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.qoolaid.com

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.qoologic.com

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.CLKPrecision.com

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.urllogic.com

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.clkoptimizer.com

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.isearch.com

Linea Eliminada del HOSTS --> 127.0.0.1 isearch.com

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.idownload.com

Linea Eliminada del HOSTS --> 127.0.0.1 idownload.com

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.mytotalsearch.com

Linea Eliminada del HOSTS --> 127.0.0.1 mytotalsearch.com

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.lop.com

Linea Eliminada del HOSTS --> 127.0.0.1 lop.com

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.websearch.com

Linea Eliminada del HOSTS --> 127.0.0.1 websearch.com

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.page-not-found.net

Linea Eliminada del HOSTS --> 127.0.0.1 page-not-found.net

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.isearchhere.com

Linea Eliminada del HOSTS --> 127.0.0.1 isearchhere.com

Linea Eliminada del HOSTS --> 127.0.0.1 as.adwave.com

Linea Eliminada del HOSTS --> 127.0.0.1 sr.adwave.com

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.adwave.com

Linea Eliminada del HOSTS --> 127.0.0.1 adwave.com EVENT:HOST:127.0.0.1

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.pacimedia.com

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.exactsearch.net

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.contextplus.net

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.contextplus.net

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Mon Feb 13 20:30:13 2006

EliStartPage v11.15 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

C:\Archivos de programa\DVD Decrypter\uninstall.exe --> AutoExtraible

C:\WINDOWS\system32\en0ql1d51.dll --> Eliminado, Look2Me

C:\WINDOWS\system32\JIS1500.DLL --> Eliminado, Look2Me

Mon Feb 13 20:39:07 2006

EliStartPage v11.15 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

[WinLogon\Notify\SMDEN]

Por favor, envienos una muestra del fichero

C:\WinLogon\HRLQ0535E.DLLLL32.EXE

a "virus@satinfo.es". Gracias.

Linea Eliminada del HOSTS --> 127.0.0.1 sds-qckads.com

Linea Eliminada del HOSTS --> 127.0.0.1 status.qckads.com

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.qoolaid.com

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.qoologic.com

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.CLKPrecision.com

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.urllogic.com

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.clkoptimizer.com

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.isearch.com

Linea Eliminada del HOSTS --> 127.0.0.1 isearch.com

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.idownload.com

Linea Eliminada del HOSTS --> 127.0.0.1 idownload.com

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.mytotalsearch.com

Linea Eliminada del HOSTS --> 127.0.0.1 mytotalsearch.com

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.lop.com

Linea Eliminada del HOSTS --> 127.0.0.1 lop.com

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.websearch.com

Linea Eliminada del HOSTS --> 127.0.0.1 websearch.com

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.page-not-found.net

Linea Eliminada del HOSTS --> 127.0.0.1 page-not-found.net

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.isearchhere.com

Linea Eliminada del HOSTS --> 127.0.0.1 isearchhere.com

Linea Eliminada del HOSTS --> 127.0.0.1 as.adwave.com

Linea Eliminada del HOSTS --> 127.0.0.1 sr.adwave.com

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.adwave.com

Linea Eliminada del HOSTS --> 127.0.0.1 adwave.com EVENT:HOST:127.0.0.1

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.pacimedia.com

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.exactsearch.net

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.contextplus.net

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.contextplus.net

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.contextplus.net

Mon Feb 13 20:50:57 2006

EliStartPage v11.15 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

[WinLogon\Notify\SMDEN]

Por favor, envienos una muestra del fichero

C:\WinLogon\HRLQ0535E.DLLLL32.EXE

a "virus@satinfo.es". Gracias.

Mon Feb 13 21:05:45 2006

EliStartPage v11.15 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

[WinLogon\Notify\SMDEN]

Por favor, envienos una muestra del fichero

C:\WinLogon\HRLQ0535E.DLLLL32.EXE

a "virus@satinfo.es". Gracias.

Tue Feb 14 11:06:16 2006

EliStartPage v11.15 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

[WinLogon\Notify\CONTROLS FOLDER]

Por favor, envienos una muestra del fichero

C:\WinLogon\I660LGJM16OA.DLL2.EXE

a "virus@satinfo.es". Gracias.

Linea Eliminada del HOSTS --> 127.0.0.1 sds-qckads.com

Linea Eliminada del HOSTS --> 127.0.0.1 status.qckads.com

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.qoolaid.com

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.qoologic.com

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.CLKPrecision.com

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.urllogic.com

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.clkoptimizer.com

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.isearch.com

Linea Eliminada del HOSTS --> 127.0.0.1 isearch.com

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.idownload.com

Linea Eliminada del HOSTS --> 127.0.0.1 idownload.com

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.mytotalsearch.com

Linea Eliminada del HOSTS --> 127.0.0.1 mytotalsearch.com

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.lop.com

Linea Eliminada del HOSTS --> 127.0.0.1 lop.com

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.websearch.com

Linea Eliminada del HOSTS --> 127.0.0.1 websearch.com

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.page-not-found.net

Linea Eliminada del HOSTS --> 127.0.0.1 page-not-found.net

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.isearchhere.com

Linea Eliminada del HOSTS --> 127.0.0.1 isearchhere.com

Linea Eliminada del HOSTS --> 127.0.0.1 as.adwave.com

Linea Eliminada del HOSTS --> 127.0.0.1 sr.adwave.com

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.adwave.com

Linea Eliminada del HOSTS --> 127.0.0.1 adwave.com EVENT:HOST:127.0.0.1

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.pacimedia.com

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.exactsearch.net

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.contextplus.net

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.contextplus.net

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.contextplus.net

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.contextplus.net

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Tue Feb 14 11:08:38 2006

EliStartPage v11.15 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

C:\Archivos de programa\DVD Decrypter\uninstall.exe --> AutoExtraible

Mensaje por **msc hotline sat** » 14 Feb 2006, 11:46

Pues los mensajes ya indican que nos envie los ficheros de C:\WINLOGON:

"Por favor, envienos una muestra del fichero

C:\WinLogon\HRLQ0535E.DLLLL32.EXE

a "virus@satinfo.es". Gracias.

lo que pasa es que el nombre del fichero ha sido mal capturado y no sabemos si se habrá podido copiar, pero mire si hay algo en dicha carpeta y nos lo indica

Por otra parte mejoraremos la captura del nombre, pero si lo ha logrado copiar, vale con el nombre que sea.

saludos

ms, 14-2-2006

Mensaje por **msc hotline sat** » 14 Feb 2006, 16:19

Por si el problema fuera por la clave utilizada, cee un BAT con el siguiente contenido y envienos el fichero resultante, que será la exportacion de la clave en cuestion:

Regedit /e Notify.txt "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify"

y nos envia el NOTIFY.TXT que se creará donde se ejecute el BAT

Realmente es duro de pelar el condenado !

saludos

ms, 14-2-2006

matius · Mensaje por **matius** » 15 Feb 2006, 10:26

La carpeta C/ WinLogon esta vacia.

Voy a la otra opcion y llego al editor de registro, ahi no se que hacer pues no se crear un Bat decirme "pasitos"sencillos que pueda entender gracias

matius · Mensaje por **matius** » 15 Feb 2006, 11:10

Enviado archivo hrr6059se.dll a virus@satinfo.es por favor ver si es lo que deseamos no vaya a ser que tambien llegue vacio a ver si por fin llegamos al final de este maldito troyano saludos

Mensaje por **msc hotline sat** » 15 Feb 2006, 11:36

Recibido, aunque es solo parte de la clave, no lo que hacía la instruccion que le indicabamos insertara en un BAT, pero es suficiente. esta vez ha ido muy bien y ya estamos trabajando en ello, con otra DLL del GUARD, pero emulando la suya que no hemos logrado copiar, pero esperamos que sea similar y trataremos con ello de solucionar el problema.

Le tendremos informado, gracias

saludos

ms, 15-2-2006

Mensaje por **msc hotline sat** » 15 Feb 2006, 12:26

Vistas las funciones que usa de la DLL,y que en la de shidown renombra el fichero al apagar, psamos a incluir su deteccon y eliminacion en el elistara/einotif de hoy, y copiando los dos en una carpeta y ejecutando el elistara, ya instalará el elinotif en el registro para ser ejecutado solo la proxima vez y las funciones que le implementamos hoy al elinotif ya deben eliminar kas DLL viricas antes de entrar en uso, pues despues no hay manera.

Bueno, ha costado lo suyo pero ya le tenemos el pìe al cuello... Suerte que no todos son como este !

Ram pronto tengamos terminadas las nuevas versiones se lo comunicaremos

saludos

ms, 15-2-2006

matius · Mensaje por **matius** » 15 Feb 2006, 14:42

En mis documentos tengo una carpeta que pone virus@satinfo.es

entradas de registro 1 KB (antes no la tenia) la elimino o puede ser util para estudio? lo que me digais asi hare

Mensaje por **msc hotline sat** » 15 Feb 2006, 15:27

Ni idea de lo que es, pues es una cuenta de correo nuestra, pero una carpeta con este nombre que contiene dicho fichero ... ???

Envienoslo, gracias, y ya le contaremos...

saludos

ms, 15-2-2006

matius · Mensaje por **matius** » 15 Feb 2006, 17:41

Enviado esta a ver si sirve de algo saludos

Mensaje por **msc hotline sat** » 15 Feb 2006, 18:06

Pues lo miraremos e unformaremos

De momento ya hemos subudo las versiones del ELISTARA Y ELIMOTIF que comfia,mos le eliminen el Look2ME

https://foros.zonavirus.com/viewtopic.php?p=51076#51076

Ya nos contará...

saludos

ms, 15-2-2006