VIRUS "FELIZ NATAL A TODOS"

[msc hotline sat]

Por si te sirve de algo, parece que se trata de una variante de uno de mediados de año, y podría que hiciera mas o menos lo mismo:


[quote="hacksoft"]Trojan/Downloader.Banload.aoo



Nombre: Trojan/Downloader.Banload.aoo

Alias: Troj/Banker-EIA, Trojan-Downloader.Win32.Banload.aoo, PWS-Banker.dldr, W32/Downloader2.AITS

Tipo: Troyano

Tamaño: Variable

Origen: Internet

Destructivo: NO

En la calle (in the wild): SI

Detección y eliminación: The Hacker 6.1 al 04/07/2007.



Descripción:



Trojan/Downloader.Banload.aoo, es un troyano que intenta conectarse a Internet y comunicarse con un servidor remoto vía HTTP.



Cuando el troyano se ejecuta se copia a si mismo como:



%system%\audiohq.exe

Nota:



%system% representa la carpeta "system" dentro de Windows (Ej. C:\WINDOWS\SYSTEM, C:\WINNT\SYSTEM32)







También crea la siguiente entrada en el registro para poder ejecutarse en cada reinicio del sistema:



HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run

"AudioHQ"="%system%\audiohq.exe"



También modifica las siguientes entradas en el registro



HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Download



"CheckExeSignatures"="no"







HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Download



"RunInvalidSignatures"="1"







Finalmente el troyano realiza las siguientes acciones en el computador atacado:



Crear y ejecutar copias de si mismo en el computador

Establecer comunicación con sitios remotos a través de HTTP [/quote]



y


[quote="sophos"]
Troj/Banker-EHK

Trojan

Summary

Summary Description Recovery Advanced



Name Troj/Banker-EHK

Type Trojan



Affected operating systems Windows



Side effects Installs itself in the Registry



Aliases Trojan-Downloader.Win32.Banload.aoo



Protection available since 18 June 2007 19:19:04 (GMT)

Detected by All versions of Sophos Anti-Virus

Included in our products from August 2007 (4.20)



Description

Summary Description Recovery Advanced

This section helps you to understand how it behaves



Troj/Banker-EHK is a Trojan for the Windows platform.



Recovery

Summary Description Recovery Advanced

This section tells you how to remove the threat.

Please follow the instructions for removing Trojans.



Advanced

Summary Description Recovery Advanced

This section is for technical experts who want to know more.

Troj/Banker-EHK is a Trojan for the Windows platform.



Troj/Banker-EHK includes functionality to access the internet and communicate with a remote server via HTTP.



When first run Troj/Banker-EHK copies itself to <System>\audiohq.exe.



The following registry entry is created to run audiohq.exe on startup:



HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

AudioHQ

<System>\audiohq.exe



Registry entries are set as follows:



HKCU\Software\Microsoft\Internet Explorer\Download

CheckExeSignatures

no



HKCU\Software\Microsoft\Internet Explorer\Download

RunInvalidSignatures

1


[/quote]

saludos



ms, 26-12-2007

[Padega]

otra q se infecta...ola,yo tambien he sido infectada con este virus tan amable :evil: como habeis dicho, a mi tambien me aparece audiohq en system 32 y ya lo he renombrado a .vir,el caso esq lo he puesto en "buscar"de windows y aparte de salir en system 32,tambien me aparece en la carpeta prefetch de windows como archivo pf(q por cierto no se lo q signica porq yo tambien soy bastante novata en la informatica),tambien tengo q renombrar este archivo a .vir?? solo me aparece a mi?? muchas gracias por ayudarnos!!

[msc hotline sat]

Los prefecth o .PF son extractos para acelerar el lanzamiento, pero sin el EXE no sirven para nada



Lo que se me ha ocurrido es ver la posible progresion de dicho virus en el ordenador, que no sabemos si se ha limitado al fichero en cuestion o ha creado familia...



Y para ello, aunque no sirva para eliminar el virus, sí que lo detectará el antivirus ONLINE de Kaspersky, que hemos visto en el VirusTotal que lo detecta.



Entonces podremos saber si hay mas ficheros infectados y proceder en consecuencia si se lanza dicho antivirus ONLINE y se nos postea el log del resultado:



ANTIVIRUS KASPERSKY ONLINE:



https://www.kaspersky.es/downloads/thank-you/free-antivirus-download



Aceptar las premisas y escanear e informanos del resultado, gracias



saludos



ms, 26-12-2007

[novice]

Hola!

Muchas gracias por todo lo que ayudais aqui, me paso de vez en cuando, pero hoy lo necesito... pues yo también tengo el ordenador infectado.

Me ocurre exactamente lo mismo que a Padega.

A ver si tiene solución esto! :cry:



Entonces, tras cambiar el archivo a .VIR, hago el escaneo con el Kaspersky y lo pongo aquí, no? Debo desactivar la restauración del sistema? siempre se tiene que hacer eso en estos procedimientos?

Tendría que hacer los pasos que habeis indicado a la primera que ha consultado lo del virus o directamente hago en escaneo con el kaspersky?



Siento ser tan novata y torpe en esto... pero nunca he tenido que recurrir hasta ahora a hacer algo así... De nuevo muchisimas gracias y cualquier cosa que me digais, me será de utilidad!



Un saludo!

[msc hotline sat]

Una vez renombrado a .VIR, reinicia y prueba el antivirus ONLINE de Kaspersky, y posteanos el resultado.



Mañana analizaremos las muestras (envia tambien la tuya por si hubiera variantes) y ya implementaremos su control y eliminacion en las nuevas versiones de nuestras utilidades, de lo cual informaremos, pero es importante detener su progresion haciendo lo indicado.



Esperamos el resultado de tu analisis, para ver si hay mas infectados o se reduce a uno y su .PF



saludos



ms, 26-12-2007

[novice]

Gracias por una respuesta tan rápida, y de nuevo me disculpo por preguntar cosas que resultan básicas, elementales y tontas seguramente para vosotros y para muchos de los que lo lean, pero me está ayudando mucho!



Ya estoy en marcha con el kaspersky, y cuando termine copiaré los resultados, pero a lo de la muestra que tengo que enviaros, te refieres a mi virus, no? a lo que he acabado llamando audiohq.VIR, no?



Espero saber hacerlo! Muchas gracias de nuevo!



Un saludo!

[msc hotline sat]

Si, este fichero nos lo envias y lo analizaremos como los varios que hemos pedido, pues no sabemos si es polimorfico y va variando... al ser nuevo hay que temerlo todo :wink:



->[b] Para ello recordar[/b]: https://foros.zonavirus.com/viewtopic.php?f=2&t=45334



saludos



ms, 26-12-2007

[msc hotline sat]

A última hora del 26/12/2007, no lo detecta ni Symantec ni NOD32 y McAfee aun lo detecta heuristicamente.:


[quote]File VIRUS Natal.exe received on 12.26.2007 20:05:42 (CET)

Current status: Loading ... queued waiting scanning finished NOT FOUND STOPPED





Result: 18/32 (56.25%)







Antivirus Version Last Update Result

AhnLab-V3 2007.12.27.10 2007.12.26 -

AntiVir 7.6.0.46 2007.12.26 TR/Dldr.Banload.fvt

Authentium 4.93.8 2007.12.26 -

Avast 4.7.1098.0 2007.12.26 -

AVG 7.5.0.516 2007.12.26 SHeur.AIII

BitDefender 7.2 2007.12.26 -

CAT-QuickHeal 9.00 2007.12.26 TrojanDownloader.Banload.fvt

ClamAV 0.91.2 2007.12.26 PUA.Packed.NPack-1

DrWeb 4.44.0.09170 2007.12.26 Trojan.DownLoader.origin

eSafe 7.0.15.0 2007.12.26 -

eTrust-Vet 31.3.5400 2007.12.24 -

Ewido 4.0 2007.12.26 -

FileAdvisor 1 2007.12.26 -

Fortinet 3.14.0.0 2007.12.26 -

F-Prot 4.4.2.54 2007.12.25 W32/Downloader.H.gen!Eldorado

F-Secure 6.70.13030.0 2007.12.26 Trojan-Downloader.Win32.Banload.fvt

Ikarus T3.1.1.15 2007.12.26 -

Kaspersky 7.0.0.125 2007.12.26 Trojan-Downloader.Win32.Banload.fvt

McAfee 5193 2007.12.26 New Malware.eb

Microsoft 1.3109 2007.12.26 TrojanDownloader:Win32/Banload

NOD32v2 2747 2007.12.25 -

Norman 5.80.02 2007.12.26 -

Panda 9.0.0.4 2007.12.25 Generic Trojan

Prevx1 V2 2007.12.26 Lop.EB

Rising 20.24.21.00 2007.12.26 -

Sophos 4.24.0 2007.12.26 Mal/EncPk-AO

Sunbelt 2.2.907.0 2007.12.21 VIPRE.Suspicious

Symantec 10 2007.12.26 -

TheHacker 6.2.9.169 2007.12.26 Trojan/Downloader.Banload.fvt

VBA32 3.12.2.5 2007.12.26 suspected of Trojan-PSW.Game.59 (paranoid heuristics)

VirusBuster 4.3.26:9 2007.12.26 Packed/nPack

Webwasher-Gateway 6.6.2 2007.12.26 Trojan.Dldr.Banload.fvt

Additional information

File size: 228864 bytes

MD5: 5c36f509da0222adddc8da7a16daee72

SHA1: 934f1176645e8249a533a7ca4d9cec4a2b42de51

PEiD: nPack 1.1.300.2006 Beta -> NEOx

packers: NPack

Prevx info: http://info.prevx.com/aboutprogramtext.asp?PX5=2113110D00DE01247EA203A51BC77500BC4A85AA [/quote]

saludos y hasta mañana.



ms, 26-12-2007

[C4RLO5]

Acabo de llegar a mi casa y veo que ha terminado el analisis del kaspersky. Aqui va el resultado:



-------------------------------------------------------------------------------

KASPERSKY ONLINE SCANNER INFORME

jueves, 27 de diciembre de 2007 1:25:03

Sistema operativo: Microsoft Windows XP Professional, Service Pack 2 (Build 2600)

Kaspersky Online Scanner versión: 5.0.84.1

Ultima actualización: 26/12/2007

Registros en la base antivirus: 462260

-------------------------------------------------------------------------------



Configuración del análisis:

Analizar usando las siguientes bases: standard

Analizar archivos: verdadero

Analizar bases de correo: verdadero



Objetivo a analizar - Mi PC:

A:\

C:\

D:\

E:\

F:\

G:\

H:\



Estadísticas:

Número de objeros analizados: 157115

Virus encontrados: 2

Objetos infectados: 34 / 0

Objetos sospechosos: 0

Duración del análisis: 02:11:13



Bombre del objeto infectado / Nombre del virus / Última acción

C:\Documents and Settings\All Users\Datos de programa\Microsoft\Network\Downloader\qmgr0.dat Object is locked saltado

C:\Documents and Settings\All Users\Datos de programa\Microsoft\Network\Downloader\qmgr1.dat Object is locked saltado

C:\Documents and Settings\Carlos\Configuración local\Archivos temporales de Internet\Content.IE5\index.dat Object is locked saltado

C:\Documents and Settings\Carlos\Configuración local\Datos de programa\Ahead\Nero Home\bl.db Object is locked saltado

C:\Documents and Settings\Carlos\Configuración local\Datos de programa\Ahead\Nero Home\is2.db Object is locked saltado

C:\Documents and Settings\Carlos\Configuración local\Datos de programa\Identities\{F20FF009-E1FA-4E7A-A4A0-619456763E7D}\Microsoft\Outlook Express\Folders.dbx Object is locked saltado

C:\Documents and Settings\Carlos\Configuración local\Datos de programa\Identities\{F20FF009-E1FA-4E7A-A4A0-619456763E7D}\Microsoft\Outlook Express\Offline.dbx Object is locked saltado

C:\Documents and Settings\Carlos\Configuración local\Datos de programa\Microsoft\Messenger\carlos_tomas_llombart@hotmail.com\SharingMetadata\Logs\Dfsr00005.log Object is locked saltado

C:\Documents and Settings\Carlos\Configuración local\Datos de programa\Microsoft\Messenger\carlos_tomas_llombart@hotmail.com\SharingMetadata\pending.dat Object is locked saltado

C:\Documents and Settings\Carlos\Configuración local\Datos de programa\Microsoft\Messenger\carlos_tomas_llombart@hotmail.com\SharingMetadata\Working\database_AA20_F9C5_20F9_9891\dfsr.db Object is locked saltado

C:\Documents and Settings\Carlos\Configuración local\Datos de programa\Microsoft\Messenger\carlos_tomas_llombart@hotmail.com\SharingMetadata\Working\database_AA20_F9C5_20F9_9891\fsr.log Object is locked saltado

C:\Documents and Settings\Carlos\Configuración local\Datos de programa\Microsoft\Messenger\carlos_tomas_llombart@hotmail.com\SharingMetadata\Working\database_AA20_F9C5_20F9_9891\fsrtmp.log Object is locked saltado

C:\Documents and Settings\Carlos\Configuración local\Datos de programa\Microsoft\Messenger\carlos_tomas_llombart@hotmail.com\SharingMetadata\Working\database_AA20_F9C5_20F9_9891\tmp.edb Object is locked saltado

C:\Documents and Settings\Carlos\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat Object is locked saltado

C:\Documents and Settings\Carlos\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat.LOG Object is locked saltado

C:\Documents and Settings\Carlos\Configuración local\Datos de programa\Microsoft\Windows Live Contacts\carlos_tomas_llombart@hotmail.com\real\members.stg Object is locked saltado

C:\Documents and Settings\Carlos\Configuración local\Datos de programa\Microsoft\Windows Live Contacts\carlos_tomas_llombart@hotmail.com\shadow\members.stg Object is locked saltado

C:\Documents and Settings\Carlos\Configuración local\Historial\History.IE5\index.dat Object is locked saltado

C:\Documents and Settings\Carlos\Configuración local\Temp\IMG4.tmp Object is locked saltado

C:\Documents and Settings\Carlos\Configuración local\Temp\pauzao.big Infectados: Trojan-Spy.Win32.Banbra.abg saltado

C:\Documents and Settings\Carlos\Cookies\index.dat Object is locked saltado

C:\Documents and Settings\Carlos\NTUSER.DAT Object is locked saltado

C:\Documents and Settings\Carlos\ntuser.dat.LOG Object is locked saltado

C:\Documents and Settings\LocalService\Configuración local\Archivos temporales de Internet\Content.IE5\index.dat Object is locked saltado

C:\Documents and Settings\LocalService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat Object is locked saltado

C:\Documents and Settings\LocalService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat.LOG Object is locked saltado

C:\Documents and Settings\LocalService\Configuración local\Historial\History.IE5\index.dat Object is locked saltado

C:\Documents and Settings\LocalService\Cookies\index.dat Object is locked saltado

C:\Documents and Settings\LocalService\NTUSER.DAT Object is locked saltado

C:\Documents and Settings\LocalService\ntuser.dat.LOG Object is locked saltado

C:\Documents and Settings\NetworkService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat Object is locked saltado

C:\Documents and Settings\NetworkService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat.LOG Object is locked saltado

C:\Documents and Settings\NetworkService\NTUSER.DAT Object is locked saltado

C:\Documents and Settings\NetworkService\ntuser.dat.LOG Object is locked saltado

C:\System Volume Information\MountPointManagerRemoteDatabase Object is locked saltado

C:\System Volume Information\_restore{23E71DB7-63CB-447D-8C62-60BC1EB34619}\RP144\A0031841.exe Infectados: Trojan-Downloader.Win32.Banload.fvt saltado

C:\System Volume Information\_restore{23E71DB7-63CB-447D-8C62-60BC1EB34619}\RP144\change.log Object is locked saltado

C:\WINDOWS\Debug\PASSWD.LOG Object is locked saltado

C:\WINDOWS\SchedLgU.Txt Object is locked saltado

C:\WINDOWS\SoftwareDistribution\EventCache\{6CC12EC0-7AEB-42E3-B7F2-C8B745F881E6}.bin Object is locked saltado

C:\WINDOWS\SoftwareDistribution\ReportingEvents.log Object is locked saltado

C:\WINDOWS\Sti_Trace.log Object is locked saltado

C:\WINDOWS\system32\audiohq.VIR Infectados: Trojan-Downloader.Win32.Banload.fvt saltado

C:\WINDOWS\system32\CatRoot2\edb.log Object is locked saltado

C:\WINDOWS\system32\CatRoot2\tmp.edb Object is locked saltado

C:\WINDOWS\system32\config\ACEEvent.evt Object is locked saltado

C:\WINDOWS\system32\config\Antivirus.Evt Object is locked saltado

C:\WINDOWS\system32\config\AppEvent.Evt Object is locked saltado

C:\WINDOWS\system32\config\default Object is locked saltado

C:\WINDOWS\system32\config\default.LOG Object is locked saltado

C:\WINDOWS\system32\config\ODiag.evt Object is locked saltado

C:\WINDOWS\system32\config\OSession.evt Object is locked saltado

C:\WINDOWS\system32\config\SAM Object is locked saltado

C:\WINDOWS\system32\config\SAM.LOG Object is locked saltado

C:\WINDOWS\system32\config\SecEvent.Evt Object is locked saltado

C:\WINDOWS\system32\config\SECURITY Object is locked saltado

C:\WINDOWS\system32\config\SECURITY.LOG Object is locked saltado

C:\WINDOWS\system32\config\software Object is locked saltado

C:\WINDOWS\system32\config\software.LOG Object is locked saltado

C:\WINDOWS\system32\config\SysEvent.Evt Object is locked saltado

C:\WINDOWS\system32\config\system Object is locked saltado

C:\WINDOWS\system32\config\system.LOG Object is locked saltado

C:\WINDOWS\system32\drivers\sptd.sys Object is locked saltado

C:\WINDOWS\system32\h323log.txt Object is locked saltado

C:\WINDOWS\system32\LogFiles\WUDF\WUDFTrace.etl Object is locked saltado

C:\WINDOWS\system32\updater.dll Infectados: Trojan-Spy.Win32.Banbra.abg saltado

C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR Object is locked saltado

C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP Object is locked saltado

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER Object is locked saltado

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP Object is locked saltado

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP Object is locked saltado

C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA Object is locked saltado

C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP Object is locked saltado

C:\WINDOWS\wiadebug.log Object is locked saltado

C:\WINDOWS\wiaservc.log Object is locked saltado

C:\WINDOWS\WindowsUpdate.log Object is locked saltado

D:\System Volume Information\MountPointManagerRemoteDatabase Object is locked saltado

D:\System Volume Information\_restore{23E71DB7-63CB-447D-8C62-60BC1EB34619}\RP144\change.log Object is locked saltado

E:\Programes\eMule\Incoming\A.volta.do.todo.poderoso.exe Infectados: Trojan-Downloader.Win32.Banload.fvt saltado

E:\Programes\eMule\Incoming\All.Anal.Action.Br.2007.exe Infectados: Trojan-Downloader.Win32.Banload.fvt saltado

E:\Programes\eMule\Incoming\avg75free_446a965.exe Infectados: Trojan-Downloader.Win32.Banload.fvt saltado

E:\Programes\eMule\Incoming\Brasileirinhas.Vivi.com.Anal.exe Infectados: Trojan-Downloader.Win32.Banload.fvt saltado

E:\Programes\eMule\Incoming\Curriculo_Profissional_Completo.exe Infectados: Trojan-Downloader.Win32.Banload.fvt saltado

E:\Programes\eMule\Incoming\Filme-O.Homem.Que.Enganou.O.Diabo.2007-BR.exe Infectados: Trojan-Downloader.Win32.Banload.fvt saltado

E:\Programes\eMule\Incoming\Financeiro20_Completo.exe Infectados: Trojan-Downloader.Win32.Banload.fvt saltado

E:\Programes\eMule\Incoming\firefox-2.0.0.3.exe Infectados: Trojan-Downloader.Win32.Banload.fvt saltado

E:\Programes\eMule\Incoming\Fotos_Acidente_Airbus_Tam.exe Infectados: Trojan-Downloader.Win32.Banload.fvt saltado

E:\Programes\eMule\Incoming\GoogleEarthWin.exe Infectados: Trojan-Downloader.Win32.Banload.fvt saltado

E:\Programes\eMule\Incoming\iavs4pro.exe Infectados: Trojan-Downloader.Win32.Banload.fvt saltado

E:\Programes\eMule\Incoming\Install_Messenger.exe Infectados: Trojan-Downloader.Win32.Banload.fvt saltado

E:\Programes\eMule\Incoming\Microsoft.Windows.Vista.BR.Completo.exe Infectados: Trojan-Downloader.Win32.Banload.fvt saltado

E:\Programes\eMule\Incoming\Nero-7.8.5.0_ptb_trial.exe Infectados: Trojan-Downloader.Win32.Banload.fvt saltado

E:\Programes\eMule\Incoming\Office.2007.Enterprise.BR.Completo.exe Infectados: Trojan-Downloader.Win32.Banload.fvt saltado

E:\Programes\eMule\Incoming\Office2007BR.exe Infectados: Trojan-Downloader.Win32.Banload.fvt saltado

E:\Programes\eMule\Incoming\Photoshop.CS3.BR.Completo.exe Infectados: Trojan-Downloader.Win32.Banload.fvt saltado

E:\Programes\eMule\Incoming\PhotoshopCS3.exe Infectados: Trojan-Downloader.Win32.Banload.fvt saltado

E:\Programes\eMule\Incoming\spybotsd14.exe Infectados: Trojan-Downloader.Win32.Banload.fvt saltado

E:\Programes\eMule\Incoming\Transformes2007_Trailer_exclusivo.exe Infectados: Trojan-Downloader.Win32.Banload.fvt saltado

E:\Programes\eMule\Incoming\tropa_de_elide.2007-completo.exe Infectados: Trojan-Downloader.Win32.Banload.fvt saltado

E:\Programes\eMule\Incoming\Tutorial.do.Photoshop.exe Infectados: Trojan-Downloader.Win32.Banload.fvt saltado

E:\Programes\eMule\Incoming\Tutorial.Programacao.exe Infectados: Trojan-Downloader.Win32.Banload.fvt saltado

E:\Programes\eMule\Incoming\Video_Acidente_Airbus_Tam.exe Infectados: Trojan-Downloader.Win32.Banload.fvt saltado

E:\Programes\eMule\Incoming\Windows_Vista_Home_Br_Keygen.exe Infectados: Trojan-Downloader.Win32.Banload.fvt saltado

E:\Programes\eMule\Incoming\Windows_XP_Crack.exe Infectados: Trojan-Downloader.Win32.Banload.fvt saltado

E:\Programes\eMule\Incoming\WinRAR.exe Infectados: Trojan-Downloader.Win32.Banload.fvt saltado

E:\Programes\eMule\Incoming\WinXP_Crack.exe Infectados: Trojan-Downloader.Win32.Banload.fvt saltado

E:\Programes\eMule\Incoming\wmp11-windowsxp-x86-pt-br.exe Infectados: Trojan-Downloader.Win32.Banload.fvt saltado

E:\Programes\eMule\Incoming\wrar37b7br.exe Infectados: Trojan-Downloader.Win32.Banload.fvt saltado

E:\System Volume Information\MountPointManagerRemoteDatabase Object is locked saltado

E:\System Volume Information\_restore{23E71DB7-63CB-447D-8C62-60BC1EB34619}\RP144\change.log Object is locked saltado



Análisis completado.



Espero les sea de ayuda y lo podamos solucionar entre todos. Muchas gracias por el trabajo que estais haciendo.

[C4RLO5]

Encima ahora veo que me ha creado un monton de m***da en la carpeta Incoming de l'emule y todo son exes infectados...estoi por formatear el ordenador mañana por la mañana...menuda m***da :( me pongo de mala leche. Bueno a ver si puedo ayudar para la gente que no sepa formatearse el PC y asi se arregla sin formatear pero como dure mucho...jeje.

Nos vemos mañana por aki ;)

[PepitaGrillada]

Buenas! Pues si, a mi también me llegó un correo con el asunto feliz natal y piqué. A mi me venia un enlace y cliqué sobre él y me salió un archivo ".exe" y le di para ejecutarlo (no recuerdo el nombre). El caso es que estoy leyendo las aportaciones de este foro y he intentado buscar el archivo audiohq.exe pero no me aparece (he activado la opción de mostrar todos los archivos y carpetas ocultos). No se si esto se debe a que el ejecutable de mi correo tenía diferente nombre o a otro motivo. A mi se que me aparecen archivos que empiezan por audio pero no el "audiohq"



Voy a seguir los pasos y consejos que aparecen en este tema.

Decís que este virus es un cazapaswords. Yo antes de estar infectada realizé una compra por internet y estoy preocupada por si mientras no soluciono el problema, pudieran quedar rastro de informaciones bancarias etc... He borrado los archivos temporales de internet como habeis dicho (cookies y demás) pero los "archivos temporales de DD" no he sabido.

He seguido los pasos que leí en otro tema:

inico- ejecutar- escribir el comando %temp% - eliminar lo que salga en el recuadro.

Le doy a inicio pero no encuentro lo de ejecutar. Tengo el windows vista, no se si será por eso...



No se si hago bien escribiendo en responder, soy nueva en esto.

Solo he encontrado los botones de nuevo tema y responder. Puesto que no es un tema nuevo, le he dado a responder por descarte.



GRACIAS!

[msc hotline sat]

Bueno, C4RLO5, pues ha valido la pena !



En primer lugar vemos este BANBRA que no creo que tenmga nada que ver, pero es otra cosa a controlar, por lo que te pedimos tambien que nos envies muestra del mismo para analizar:



C:\Documents and Settings\Carlos\Configuración local\Temp\pauzao.big Infectados: Trojan-Spy.Win32.Banbra.abg saltado



y luego tenemos el Banload en la carpeta RESTORE, que no es problema y lo eliminaremos con el ELISTARA 15.32, sin necesidad de tener que hacer nada ahora, pues no vamos a restaurar a un punto anterior, de momento:



C:\System Volume Information\_restore{23E71DB7-63CB-447D-8C62-60BC1EB34619}\RP144\A0031841.exe Infectados: Trojan-Downloader.Win32.Banload.fvt saltado



y ahora viene la deteccion de los ya conocidos:



C:\WINDOWS\system32\audiohq.VIR Infectados: Trojan-Downloader.Win32.Banload.fvt saltado



Luego sigue otro del BANBRA, que tambien pedimos al final que nos lo envie:



C:\WINDOWS\system32\updater.dll Infectados: Trojan-Spy.Win32.Banbra.abg saltado



y luego los demas que se han detectado tambien con el BANLOAD, pero posiblemente descargados a traves del EMULE, pues estan en su bandeja de entrada:



E:\Programes\eMule\Incoming\A.volta.do.todo.poderoso.exe Infectados: Trojan-Downloader.Win32.Banload.fvt saltado

E:\Programes\eMule\Incoming\All.Anal.Action.Br.2007.exe Infectados: Trojan-Downloader.Win32.Banload.fvt saltado

E:\Programes\eMule\Incoming\avg75free_446a965.exe Infectados: Trojan-Downloader.Win32.Banload.fvt saltado

E:\Programes\eMule\Incoming\Brasileirinhas.Vivi.com.Anal.exe Infectados: Trojan-Downloader.Win32.Banload.fvt saltado

E:\Programes\eMule\Incoming\Curriculo_Profissional_Completo.exe Infectados: Trojan-Downloader.Win32.Banload.fvt saltado

E:\Programes\eMule\Incoming\Filme-O.Homem.Que.Enganou.O.Diabo.2007-BR.exe Infectados: Trojan-Downloader.Win32.Banload.fvt saltado

E:\Programes\eMule\Incoming\Financeiro20_Completo.exe Infectados: Trojan-Downloader.Win32.Banload.fvt saltado

E:\Programes\eMule\Incoming\firefox-2.0.0.3.exe Infectados: Trojan-Downloader.Win32.Banload.fvt saltado

E:\Programes\eMule\Incoming\Fotos_Acidente_Airbus_Tam.exe Infectados: Trojan-Downloader.Win32.Banload.fvt saltado

E:\Programes\eMule\Incoming\GoogleEarthWin.exe Infectados: Trojan-Downloader.Win32.Banload.fvt saltado

E:\Programes\eMule\Incoming\iavs4pro.exe Infectados: Trojan-Downloader.Win32.Banload.fvt saltado

E:\Programes\eMule\Incoming\Install_Messenger.exe Infectados: Trojan-Downloader.Win32.Banload.fvt saltado

E:\Programes\eMule\Incoming\Microsoft.Windows.Vista.BR.Completo.exe Infectados: Trojan-Downloader.Win32.Banload.fvt saltado

E:\Programes\eMule\Incoming\Nero-7.8.5.0_ptb_trial.exe Infectados: Trojan-Downloader.Win32.Banload.fvt saltado

E:\Programes\eMule\Incoming\Office.2007.Enterprise.BR.Completo.exe Infectados: Trojan-Downloader.Win32.Banload.fvt saltado

E:\Programes\eMule\Incoming\Office2007BR.exe Infectados: Trojan-Downloader.Win32.Banload.fvt saltado

E:\Programes\eMule\Incoming\Photoshop.CS3.BR.Completo.exe Infectados: Trojan-Downloader.Win32.Banload.fvt saltado

E:\Programes\eMule\Incoming\PhotoshopCS3.exe Infectados: Trojan-Downloader.Win32.Banload.fvt saltado

E:\Programes\eMule\Incoming\spybotsd14.exe Infectados: Trojan-Downloader.Win32.Banload.fvt saltado

E:\Programes\eMule\Incoming\Transformes2007_Trailer_exclusivo.exe Infectados: Trojan-Downloader.Win32.Banload.fvt saltado

E:\Programes\eMule\Incoming\tropa_de_elide.2007-completo.exe Infectados: Trojan-Downloader.Win32.Banload.fvt saltado

E:\Programes\eMule\Incoming\Tutorial.do.Photoshop.exe Infectados: Trojan-Downloader.Win32.Banload.fvt saltado

E:\Programes\eMule\Incoming\Tutorial.Programacao.exe Infectados: Trojan-Downloader.Win32.Banload.fvt saltado

E:\Programes\eMule\Incoming\Video_Acidente_Airbus_Tam.exe Infectados: Trojan-Downloader.Win32.Banload.fvt saltado

E:\Programes\eMule\Incoming\Windows_Vista_Home_Br_Keygen.exe Infectados: Trojan-Downloader.Win32.Banload.fvt saltado

E:\Programes\eMule\Incoming\Windows_XP_Crack.exe Infectados: Trojan-Downloader.Win32.Banload.fvt saltado

E:\Programes\eMule\Incoming\WinRAR.exe Infectados: Trojan-Downloader.Win32.Banload.fvt saltado

E:\Programes\eMule\Incoming\WinXP_Crack.exe Infectados: Trojan-Downloader.Win32.Banload.fvt saltado

E:\Programes\eMule\Incoming\wmp11-windowsxp-x86-pt-br.exe Infectados: Trojan-Downloader.Win32.Banload.fvt saltado

E:\Programes\eMule\Incoming\wrar37b7br.exe Infectados: Trojan-Downloader.Win32.Banload.fvt saltado



A todos ellos renombraLes su extension a .VIR, y envianos uno de estos ultimos para ver que se trate de lo mismo, no sea que sea otra variante, por ello te pedimos que nos envies los siguientes ficheros



C:\Documents and Settings\Carlos\Configuración local\Temp\pauzao.big



C:\WINDOWS\system32\updater.dll



C:\WINDOWS\system32\audiohq.VIR



E:\Programes\eMule\Incoming\A.volta.do.todo.poderoso.exe





ya sabes:



->[b] Para ello recordar[/b]: https://foros.zonavirus.com/viewtopic.php?f=2&t=45334





y pasaremos a controlarlos y eliminarlos en la proxima version 15.32 del ELISTARA.



saludos



ms, 27-12-2007

[msc hotline sat]

Y a PepitaGrillada decirle que hemos eliminado el link de descarga de dicho virus, para que a nadie se le ocurra descargarlo y probar...



Por lo demas, bajese hoy la version 15.32 del ELISTARA (la haremos esta mañana en plan de urgencia) y arranque en modo seguro (ya que tiene VISTA) y pruebe dicha utilidad, y nos comenta el resultado, gracias:


[quote]http://www.zonavirus.com/descargas/elistara.asp



Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso [/quote]





saludos



ms, 27-12-2007

[C4RLO5]

Bueno msc, he mandado los archivos que me has pedido.

De momento no he hecho nada, ni borrar los archivos de la carpeta del emule ni nada por el estilo. Con el ELISTARA mencionado lo arreglara todo el solito? o como esta el tema porque me he perdido un poco, jejeje.



Merci

[piliguga]

Hola!!!, Estoy totalmente desesperada con el virus este tan "navideño"!!! Para solucionarlo sería suficiente pasar el Elistara, ese? o hay más pasos después? Lo raro es q a pesar que tengo los mismos archivos que aparecen en los demas foreros (el audiohq.exe, y demas) a mí no me afecta a la hora de abrir el messenger ni nada aparentemente. Ayuda, please, tngo pesadillas con el virus este!

[msc hotline sat]

Bueno, pues cuando hemos empezado a analizar la muestra, vemos mas cosas:



Este AUDIOHQ.EXE es en realidad un Downloader, que descarga e instala el que realmente es el BANLOAD o BANKER, con el nombre de UPDATER.DLL; que por ahora no es detectado por ningubo de los antivirus mas prestigiosos, a saber:



Avast - - -

AVG - - -

eSafe - - -

eTrust-Vet - - -

Ewido - - -

FileAdvisor - - -

Fortinet - - -

F-Prot - - -

F-Secure - - -

Ikarus - - -

Kaspersky - - -

McAfee - - -

Microsoft - - -

NOD32v2 - - -

Norman - - -

Prevx1 - - -

Rising - - -

Symantec - - -



otros como Panda lo consideran sospechoso y dos o tres lo detectan conmo Banker escrito en delphi, por cuya razón es tan grande (1M2), pero a la gran mayoría les pasa desapercibido

[C4RLO5]

Ahora he probado de entrar a la bandeja de entrada del hotmail y ya me deja...en fin...lo mas curioso es lo siguiente:
Me encuentro con un mail que dice lo siguiente:

Gente, eu resolvi escrever este email para todos vocês que de alguma
forma marcaram o meu ano de 2007.Algumas pessoas fizeram parte dos meus
anos anteriores, outras surgiram agora.
Mas cada um de vocês fez parte de um pedacinho da minha vida,
cada um de vocês me ajudou a ser quem eu sou e merece todo o
meu reconhecimento / agradecimento. Segue abaixo uma linda mensagem
de ano novo que escolhi com bastante carinho e que sinaliza tudo de
bom que cada um de vocês significou neste ano para mim:
<INTERCEPTADO> NO CLICAR!!!

Más de lo mismo.

Como se esta propagando el p**o virus este (o sera otro del estilo creo yo no?)

Sirva la experiencia para no tropezar 2 veces con la misma piedra.

[msc hotline sat]

Subida la version 15.32 del ELISTARA que elimina el virus en cuestión.

http://www.zonavirus.com/descargas/elistara.asp

esta tarde subiremos otra version 15.33 que controlará el BANBRA que C4RLO5 detectó con el Kaspersky, que parece corresponder a una version anterior de este UPDATER.


Ahora mIraremos lo otro nuevo que nos dices.

saludos

ms, 27-12-2007

[msc hotline sat]

Bueno, pues este es otro, no controlado por el ELISTARA que acabamos de subir, claro !

Gente, eu resolvi escrever este email para todos vocês que de alguma
forma marcaram o meu ano de 2007.Algumas pessoas fizeram parte dos meus
anos anteriores, outras surgiram agora.
Mas cada um de vocês fez parte de um pedacinho da minha vida,
cada um de vocês me ajudou a ser quem eu sou e merece todo o
meu reconhecimento / agradecimento. Segue abaixo uma linda mensagem
de ano novo que escolhi com bastante carinho e que sinaliza tudo de
bom que cada um de vocês significou neste ano para mim:

Implementamos su control y eliminacion en el ELISTARA de esta tarde, 15.33

saludos

ms, 27-12-2007

[C4RLO5]

Bueno parece ser que ha eliminado el virus pero 2 de los archivos que me habian pedido que enviase para analizar los a conservado. Estos son:

pauzao.big y el updater.dll

Es eso normal?



Muchas gracias por todo lo que estais haciendo.

[msc hotline sat]

Ya te he indicado que el Banbra será controlado en el 15.33 de esta tarde, junto con este nuevo que acabas de postear que genera otra variante



saludos



ms, 27-12-2007

[C4RLO5]

Ups perdón pero con los nombres de los virus y tal pues la verdad no he leido bien y como no suelo usar los foros pues el tipico error de preguntar antes de leer.



Gracias por tal celeridad que tienes en contestar.



Espero que alguien aparte de los foreros reconozca el trabajo que estais haciendo.



Un saludo

[PepitaGrillada]

msc hotline sat ahi te dejo el contenido del infosat que me pediste. GRACIAS por todo.



Thu Dec 27 11:53:36 2007

EliStartPage v15.32 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

G:\DESKTOP.INI --> Eliminado (Fichero Complementario).

Entrada Eliminada [HKLM\...\Run] "HWSETUP"="C:\Program Files\TOSHIBA\Utilities\HWSetup.exe hwSetUP"

Entrada Eliminada [HKLM\...\Run] "SVPWUTIL"="C:\Program Files\TOSHIBA\Utilities\SVPWUTIL.exe SVPwUTIL"

Entrada Eliminada [HKLM\...\Run] "TOPI"="C:\Program Files\TOSHIBA\Toshiba Online Product Information\topi.exe -startup"

No ha sido posible abrir IERESET.INF

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Thu Dec 27 11:55:40 2007

EliStartPage v15.32 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\Toshiba\Drivers\Touchpad\Synaptics\SETUP.EXE --> Eliminado, RemoteAdmin(lmiinit)

C:\Toshiba\Drivers\Touchpad\Synaptics\WinWDF\x64\SETUP.EXE --> Eliminado, RemoteAdmin(lmiinit)

C:\Toshiba\Drivers\Touchpad\Synaptics\WinWDF\x86\SETUP.EXE --> Eliminado, RemoteAdmin(lmiinit)



Nº Total de Directorios: 13326

Nº Total de Ficheros: 83890

Nº de Ficheros Analizados: 18900

Nº de Ficheros Infectados: 3

Nº de Ficheros Limpiados: 3



Thu Dec 27 12:37:09 2007

EliStartPage v15.32 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad E:\



Nº Total de Directorios: 1461

Nº Total de Ficheros: 18428

Nº de Ficheros Analizados: 454

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



Thu Dec 27 12:37:51 2007

EliStartPage v15.32 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad J:\



Nº Total de Directorios: 208

Nº Total de Ficheros: 15979

Nº de Ficheros Analizados: 2

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



Thu Dec 27 12:38:02 2007

EliStartPage v15.32 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad I:\



Nº Total de Directorios: 293

Nº Total de Ficheros: 5041

Nº de Ficheros Analizados: 33

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



Thu Dec 27 12:38:10 2007

EliStartPage v15.32 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad H:\



Nº Total de Directorios: 24

Nº Total de Ficheros: 288

Nº de Ficheros Analizados: 13

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



Thu Dec 27 12:38:14 2007

EliStartPage v15.32 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad G:\



Nº Total de Directorios: 62

Nº Total de Ficheros: 335

Nº de Ficheros Analizados: 27

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



Thu Dec 27 12:38:19 2007

EliStartPage v15.32 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad F:\



Nº Total de Directorios: 0

Nº Total de Ficheros: 0

Nº de Ficheros Analizados: 0

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



Thu Dec 27 12:38:23 2007

EliStartPage v15.32 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad E:\



Nº Total de Directorios: 1461

Nº Total de Ficheros: 18428

Nº de Ficheros Analizados: 454

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



Thu Dec 27 12:38:32 2007

EliStartPage v15.32 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad D:\



Nº Total de Directorios: 1389

Nº Total de Ficheros: 13791

Nº de Ficheros Analizados: 448

Nº de Ficheros Infectados: 0





Nº de Ficheros Limpiados: 0



Thu Dec 27 12:38:52 2007

EliStartPage v15.32 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\



Nº Total de Directorios: 5197

Nº Total de Ficheros: 36016

Nº de Ficheros Analizados: 7684

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

Exploración Detenida por el Usuario.

[C4RLO5]

Aqui va mi InfoSAT:



Tue Dec 25 23:04:38 2007

EliPen v1.3 (c)2007 S.G.H. / Satinfo S.L.

------------------------------------------



Unidad C:\ Protegida



Thu Dec 27 12:27:27 2007

EliStartPage v15.32 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\ALCMTR.EXE --> Eliminado SpyRealtek

Por favor, envienos una muestra del fichero

C:\Muestras\UPDATER.DLL.Muestra EliStartPage v15.32

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\UPDATER.DLL --> Eliminado

Entrada Eliminada [HKLM\...\Run] "Alcmtr"="ALCMTR.EXE"

Entrada Eliminada [HKLM\...\Run] "AudioHQ"=""C:\WINDOWS\system32\audiohq.exe""

Eliminada Class, "{FCADDC14-BD46-408A-9842-CDBE1C6D37EB}" -> C:\WINDOWS\system32\updater.dll

No detectado Parche MS06-070 de Microsoft instalado. (SServidor)

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Detectado AUTORUN.INF en la Unidad (F)

open=autorun_PES2008.exe

Si Desconoce la Aplicación, por favor envienosla

acompañada del AUTORUN.INF a "virus@satinfo.es". Gracias.

Detectado AUTORUN.INF en la Unidad (H)

open=AutoRunCD.exe

Si Desconoce la Aplicación, por favor envienosla

acompañada del AUTORUN.INF a "virus@satinfo.es". Gracias.



Thu Dec 27 12:28:59 2007

EliStartPage v15.32 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\Archivos de programa\Realtek\InstallShield\ALCMTR.EXE --> Eliminado, SpyRealtek

C:\Documents and Settings\Carlos\Escritorio\archivos pedidos\A.VOLTA.DO.TODO.PODEROSO.EXE --> Eliminado, BanLoad.FVT

C:\Documents and Settings\Carlos\Escritorio\archivos pedidos\AUDIOHQ.VIR --> Eliminado, BanLoad.FVT

C:\WINDOWS\system32\AUDIOHQ.VIR --> Eliminado, BanLoad.FVT



Nº Total de Directorios: 4784

Nº Total de Ficheros: 43857

Nº de Ficheros Analizados: 13262

Nº de Ficheros Infectados: 4

Nº de Ficheros Limpiados: 4



Thu Dec 27 12:32:28 2007

EliStartPage v15.32 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad D:\



Nº Total de Directorios: 9691

Nº Total de Ficheros: 72935

Nº de Ficheros Analizados: 678

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



Thu Dec 27 12:35:26 2007

EliStartPage v15.32 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad E:\

E:\Programes\eMule\Incoming\A.VOLTA.DO.TODO.PODEROSO.EXE --> Eliminado, BanLoad.FVT

E:\Programes\eMule\Incoming\ALL.ANAL.ACTION.BR.2007.EXE --> Eliminado, BanLoad.FVT

E:\Programes\eMule\Incoming\AVG75FREE_446A965.EXE --> Eliminado, BanLoad.FVT

E:\Programes\eMule\Incoming\BRASILEIRINHAS.VIVI.COM.ANAL.EXE --> Eliminado, BanLoad.FVT

E:\Programes\eMule\Incoming\CURRICULO_PROFISSIONAL_COMPLETO.EXE --> Eliminado, BanLoad.FVT

E:\Programes\eMule\Incoming\FILME-O.HOMEM.QUE.ENGANOU.O.DIABO.2007-BR.EXE --> Eliminado, BanLoad.FVT

E:\Programes\eMule\Incoming\FINANCEIRO20_COMPLETO.EXE --> Eliminado, BanLoad.FVT

E:\Programes\eMule\Incoming\FIREFOX-2.0.0.3.EXE --> Eliminado, BanLoad.FVT

E:\Programes\eMule\Incoming\FOTOS_ACIDENTE_AIRBUS_TAM.EXE --> Eliminado, BanLoad.FVT

E:\Programes\eMule\Incoming\GOOGLEEARTHWIN.EXE --> Eliminado, BanLoad.FVT

E:\Programes\eMule\Incoming\IAVS4PRO.EXE --> Eliminado, BanLoad.FVT

E:\Programes\eMule\Incoming\INSTALL_MESSENGER.EXE --> Eliminado, BanLoad.FVT

E:\Programes\eMule\Incoming\MICROSOFT.WINDOWS.VISTA.BR.COMPLETO.EXE --> Eliminado, BanLoad.FVT

E:\Programes\eMule\Incoming\NERO-7.8.5.0_PTB_TRIAL.EXE --> Eliminado, BanLoad.FVT

E:\Programes\eMule\Incoming\OFFICE.2007.ENTERPRISE.BR.COMPLETO.EXE --> Eliminado, BanLoad.FVT

E:\Programes\eMule\Incoming\OFFICE2007BR.EXE --> Eliminado, BanLoad.FVT

E:\Programes\eMule\Incoming\PHOTOSHOP.CS3.BR.COMPLETO.EXE --> Eliminado, BanLoad.FVT

E:\Programes\eMule\Incoming\PHOTOSHOPCS3.EXE --> Eliminado, BanLoad.FVT

E:\Programes\eMule\Incoming\SPYBOTSD14.EXE --> Eliminado, BanLoad.FVT

E:\Programes\eMule\Incoming\TRANSFORMES2007_TRAILER_EXCLUSIVO.EXE --> Eliminado, BanLoad.FVT

E:\Programes\eMule\Incoming\TROPA_DE_ELIDE.2007-COMPLETO.EXE --> Eliminado, BanLoad.FVT

E:\Programes\eMule\Incoming\TUTORIAL.DO.PHOTOSHOP.EXE --> Eliminado, BanLoad.FVT

E:\Programes\eMule\Incoming\TUTORIAL.PROGRAMACAO.EXE --> Eliminado, BanLoad.FVT

E:\Programes\eMule\Incoming\VIDEO_ACIDENTE_AIRBUS_TAM.EXE --> Eliminado, BanLoad.FVT

E:\Programes\eMule\Incoming\WINDOWS_VISTA_HOME_BR_KEYGEN.EXE --> Eliminado, BanLoad.FVT

E:\Programes\eMule\Incoming\WINDOWS_XP_CRACK.EXE --> Eliminado, BanLoad.FVT

E:\Programes\eMule\Incoming\WINRAR.EXE --> Eliminado, BanLoad.FVT

E:\Programes\eMule\Incoming\WINXP_CRACK.EXE --> Eliminado, BanLoad.FVT

E:\Programes\eMule\Incoming\WMP11-WINDOWSXP-X86-PT-BR.EXE --> Eliminado, BanLoad.FVT

E:\Programes\eMule\Incoming\WRAR37B7BR.EXE --> Eliminado, BanLoad.FVT



Nº Total de Directorios: 2126

Nº Total de Ficheros: 34668

Nº de Ficheros Analizados: 4870

Nº de Ficheros Infectados: 30

Nº de Ficheros Limpiados: 30

[SAKU]

Bueno, pues este es otro, no controlado por el ELISTARA que acabamos de subir, claro !

Implementamos su control y eliminacion en el ELISTARA de esta tarde, 15.33

saludos

ms, 27-12-2007

Bueno, pues aki otro mas que ha caido en la trampa. Esperamos esta tarde para pasar el elistara.

Saludos y felices fiestas.

[msc hotline sat]

Pero prueba el actual, 15.32, que hemos subido esta mañana, y que ya controla las muestras de ayer, que enviaron 6 foreros, y que son las mas conocidas:

http://www.zonavirus.com/descargas/elistara.asp

Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso

saludos

ms, 27-12-2007

[Padega]

ola,he estado intentanto pasarle el elistara a mi ordenador pero la verdad no me aclaro :( cuando lo ejecuto me aparece directamente eliminar host si o no,y asi unas cuantas mas y la verdad q no se muy bien como lo tengo q hacer.otra cosilla,decis q el audiohq da lugar al updater.dll?? entonces,no vasta con eliminar todos esos archivos y ya??perdonad tantas preguntas y dudas,creo q haceis un trabajo realmente bueno,os lo agradezco mucho!!!!!!

[Padega]

otra dudilla mas,el archivo updater.dll hay q pasarlo a .vir tambien?? :roll:

[lucl]

Tu dile que si a todo lo que te pregunta elistara y el hara la limpieza, luego le pones una pagina de inicio al explorer cuando te lo diga elistara y ya esta. y nos pegas el log, saludos

[msc hotline sat]

A PepitaGrillada, parece que tenias otras hierbas en lugar de este BANLOAD O BANKER, pues no hemos detectao ningun AUDIOHQ.*, pero igualmente ha servido para otras cosas...



Mira si con un Inicio -> Buscar encuentras este fichero AUDIOHQ.* en alguna parte, y si fuera asi, envianoslo para analizar, pues podría tratarse de otra variante no controlada.



___________



A C4RLO5 , revisa estos AUTORUN.INF si estan en unidad de CD o de pendrive, y en el ultimo caso comentanoslo para enviar muestras...



___________



A Pandega, como te indica lucl dile que Sí, lo importante es la EXPLORACION posterior, en la que detectará y eliminará estos nuevos marranos , incluido el UPDATER sea DLL o VIR, ya no te preocupes de cambiarle el nombre, pero si se lo cambias no pasa nada.



___________



A SAKU, a partir de las 19 h GMT estará subidom a esta web la version 15.33 del ELISTARA que ya controlará las dos variantes del UPDATER, pero con la actual 15.32 ya se controla el que se está propagandop ahora.



___________



Y casi podemos decir que este está en el saco ! , pero no confiarse, que cada día aparecen de promedio mas de 100 nuevas variantes ...



saludos



ms, 27-12-2007