System Alert Malware. (SOLUCIONADO)

ivan saiz · Mensaje por **ivan saiz** » 21 Oct 2006, 14:15

Buenos Días,

Soy nuevo en este foro y también tengo que decir que no tengo conocimiento alguno sobre el tema de PC. Creo que tego un virus bastante moleto y que he visto teneis publicado (System Alert Malvare) pero aun cuando he leido y vuelto a leer no se lo que tengo que hacer. ¿Primero descargo el HIJCKTHIS y luego el ELASTARA> Y YA ESTÁ TODO??.

Gracias por vuestra ayuda.

-----------

Hola de nuevo;

Ya he ejectuado el HIJCKTHIS y este es el resultado:

Logfile of HijackThis v1.99.1

Scan saved at 16:19:55, on 21/10/2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Archivos de programa\Archivos comunes\Command Software\dvpapi.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\SOUNDMAN.EXE

C:\Archivos de programa\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe

C:\WINDOWS\vsnpstd2.exe

C:\Archivos de programa\ONO\Centinela ONO\Freedom.exe

C:\Archivos de programa\Archivos comunes\Ahead\lib\NMBgMonitor.exe

C:\Archivos de programa\Toshiba\Bluetooth Toshiba Stack\TosBtMng.exe

C:\Archivos de programa\Archivos comunes\Sonic Shared\CineTray.exe

C:\WINDOWS\system32\sistray.exe

C:\Archivos de programa\Toshiba\Bluetooth Toshiba Stack\TosA2dp.exe

C:\Archivos de programa\OpenOffice.org 2.0\program\soffice.exe

C:\Archivos de programa\OpenOffice.org 2.0\program\soffice.BIN

C:\Archivos de programa\Toshiba\Bluetooth Toshiba Stack\TosBtHsp.exe

C:\Archivos de programa\Internet Explorer\IEXPLORE.EXE

C:\ARCHIV~1\EACCEL~1\Station\station.exe

C:\ARCHIV~1\ACCELE~1\ANTI-V~1\STOPSI~1.EXE

C:\Archivos de programa\Acceleration Software\Anti-Virus\stopsignav.exe

C:\WINDOWS\msagent\AgentSvr.exe

C:\DOCUME~1\IVANSA~1\CONFIG~1\Temp\Directorio temporal 1 para hijackthis.zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.es/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\Userinit.exe

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: Pop-Up Blocker BHO - {3C060EA2-E6A9-4E49-A530-D4657B8C449A} - C:\Archivos de programa\ONO\Centinela ONO\pkR.dll

O2 - BHO: Form Filler BHO - {56071E0D-C61B-11D3-B41C-00E02927A304} - C:\Archivos de programa\ONO\Centinela ONO\FreeBHOR.dll

O2 - BHO: (no name) - {7b4d79df-9ef0-429d-a0e9-d9b138c6a53b} - blank (file missing)

O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O3 - Toolbar: Barra Yahoo! con bloqueador de ventanas emergentes - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Archivos de programa\Yahoo!\Companion\Installs\cpn\yt.dll

O4 - HKLM\..\Run: [SiSPower] Rundll32.exe SiSPower.dll,ModeAgent

O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Archivos de programa\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe"

O4 - HKLM\..\Run: [SNPSTD2] C:\WINDOWS\vsnpstd2.exe

O4 - HKLM\..\Run: [.nvsvc] C:\WINDOWS\system\smss.exe /w

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [Centinela ONO] C:\Archivos de programa\ONO\Centinela ONO\Freedom.exe

O4 - HKLM\..\Run: [SoftwareStation] "C:\Archivos de programa\eAcceleration\Station\station.exe" /b Startup

O4 - HKLM\..\Run: [StopSignSsTsMon] Rundll32.exe "C:\Archivos de programa\Acceleration Software\Anti-Virus\sstsmon.dll",VerifyStatus

O4 - HKLM\..\Run: [webscan] "C:\Archivos de programa\Acceleration Software\Anti-Virus\stopsignav.exe" -k

O4 - HKLM\..\RunOnce: [IndexCleaner] "C:\Archivos de programa\ONO\Centinela ONO\IndexCleanerR.exe"

O4 - HKCU\..\Run: [MsnMsgr] "C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe" /background

O4 - HKCU\..\Run: [Pando] "C:\Archivos de programa\Pando Networks\Pando\pando.exe" /Automation

O4 - HKCU\..\Run: [NBJ] "C:\Archivos de programa\Ahead\Nero BackItUp\nbj.exe"

O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Archivos de programa\Archivos comunes\Ahead\lib\NMBgMonitor.exe"

O4 - HKCU\..\Run: [PhotoShow Deluxe Media Manager] C:\ARCHIV~1\Ahead\NEROPH~2\data\Xtras\mssysmgr.exe

O4 - HKCU\..\RunOnce: [IndexCleaner] "C:\Archivos de programa\ONO\Centinela ONO\IndexCleanerR.exe"

O4 - Startup: OpenOffice.org 2.0.lnk = C:\Archivos de programa\OpenOffice.org 2.0\program\quickstart.exe

O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O4 - Global Startup: Bluetooth Manager.lnk = ?

O4 - Global Startup: Sonic CinePlayer Quick Launch.lnk = C:\Archivos de programa\Archivos comunes\Sonic Shared\CineTray.exe

O4 - Global Startup: Utility Tray.lnk = C:\WINDOWS\system32\sistray.exe

O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab

O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://ivan91n.spaces.msn.com//PhotoUpload/MsnPUpld.cab

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1152135680156

O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1156627545281

O16 - DPF: {7B297BFD-85E4-4092-B2AF-16A91B2EA103} (WScanCtl Class) - http://www3.ca.com/securityadvisor/virusinfo/webscan.cab

O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll

O21 - SSODL: gaonic - {f31aee4a-1530-4fef-8537-79c6973bff9a} - C:\WINDOWS\system32\tazth.dll

O23 - Service: DvpApi (dvpapi) - Command Software Systems, Inc. - C:\Archivos de programa\Archivos comunes\Command Software\dvpapi.exe

O23 - Service: Windows Log - Unknown owner - C:\WINDOWS\system32\nvsvcd.exe

Mensaje por **msc hotline sat** » 23 Oct 2006, 08:00

Tienes infeccion galopante ! : backdoor CMQ

Lanza el ELITRIIP:

ELITRIIP:

http://www.zonavirus.com/descargas/elitriip.asp

Tras lanzarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso

Si no lo elimina, pedira muestras para controlarlo en la proxima version

saludos

ms, 23-10-2006

DAVICO · Mensaje por **DAVICO** » 26 Nov 2006, 15:42

pase el elistara luego el Ad-Ware pero ni asi se eliminó algunas ventanitas que salen al momento de reiniciar la PC:

El cuadrito de:

RUNDLL --> Error al cargar C:\WINDOWS\system32\drvkof.dll

No se puede encontrar el módulo especificado.

Aceptar

Pongo aceptar todo normal, pero cuando estoy explorando por INTERNET me sale una nueva ventanita:

===============================================

Malicious Software Removal Wizard:

Warning: Efficient anti-virus protection software was not found running on this computer.

Anti-virus software protects your computer from destructive computer viruses, Internet worms and other online security threats.

Immediate anti-virus scan is strongly recommended to prevent files corruption and loss of documents caused by viruses, spyware and trojan infections.

To scan your computer for viruses, spyware, trojans and other malicious objects please the "Next" button below.

<Back Next> Cancel

-------------------------------------------------------------

Advertencia: El software eficiente de la protección del contra-virus no era funcionamiento encontrado en esta computadora. el software del Contra-virus protege tu computadora contra virus destructivos de la computadora, gusanos del Internet y otras amenazas en línea de la seguridad. La exploración inmediata del contra-virus se recomienda fuertemente para prevenir la corrupción de los archivos y la pérdida de documentos causados por los virus, el spyware y las infecciones de Trojan. Para explorar tu computadora para los virus, el spyware, los trojans y otros objetos malévolos satisfacen el botón.

===============================================

Bueno lo descongelé esta PC para pasarlo nuevamente el Elistara que baje de esta página la ultima version al igual que el Adware al momento de Explorar con el Elistara me sale una ventanita donde dice:

ELISTARA

Acceso denegado a la carpeta:

C:\WINDOWS\system32\??curity (16)

Ayudenme por favor para matar esa ventanita molestosa, les digo que también antes de pasar el Elistara y el Ad-ware pase el antivirus del NOD-32.

Mensaje por **msc hotline sat** » 26 Nov 2006, 19:08

Para lo de "RUNDLL --> Error al cargar C:\WINDOWS\system32\drvkof.dll "

pruebe el BUSCAREG y elimine la clave que contenga "drvkof.dll"

[size=150][color=darkblue]~~[b]~~BuscaReg[/b][/color][/size] (SATInfo)

Busca una cadena dentro del registro de windows, una vez encontradas permite borrarlas con tan solo pinchar encima de cada entrada encontrada, ademas realiza la exportacion de las claves eliminadas por si se necesitan restaurar las claves borradas.

[url=http://www.zonavirus.com/descargas/buscareg.asp]~~[b]~~Descargar BuscaReg[/b][/url]

y para lo del FAKE ALERT prueba el ELISTARA:

ELISTARA:

http://www.zonavirus.com/descargas/elistara.asp

Tras lanzarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso

No te olvides del ultimo parrafo ...

saludos

ms, 26-11-2006

DAVICO · Mensaje por **DAVICO** » 27 Nov 2006, 13:39

Puse el comando de --> C:\WINDOWS\system32 para buscar el Registro de Windows pero no me sale nada que pasos debo de seguir, soy novato en esto ayudenme por favor...

Mensaje por **msc hotline sat** » 27 Nov 2006, 13:54

Nada de eso le decimos !

simplemente descargue estas dos utilidades, primero ejecyrte el BUSCAREG y le indica la palabra a buscar y le mostrará las claves que la contienen. Con doble click sonre ellas verá la clave completa y podrña eliminarla si quiere.

Por otro lado, para el FAKE ALERT, lance descargie el ELISTARA y pruebelo. Tras ello reinicie y posteenos el contenido de c:\infosat.txt gracias

saludos

ms, 27-11-2006

DAVICO · Mensaje por **DAVICO** » 02 Dic 2006, 16:01

Me pidió cadena a buscar y que deberia de escribir alli?....

escribí alli --> drvkof.dll pero no me sale nada

Pero bueno lo pase nuevamente al quitar el deepfreezer el Elistara de ahi el Ad-Ware

Thu Nov 23 14:08:10 2006

EliStartPage v12.77 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

[WinLogon\Notify\BETWINNOTIFY]

Por favor, envienos una muestra del fichero

C:\WinLogon\BETWINNOTIFY.DLL

a "virus@satinfo.es". Gracias.

[WinLogon\Notify\WINZFP32]

Por favor, envienos una muestra del fichero

C:\WinLogon\WINZFP32.DLL

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\FMRMHC.DLL --> Eliminado FakeAlert

C:\WINDOWS\SYSTEM32\ISNOTIFY.EXE --> Puper Acceso Denegado.

C:\WINDOWS\SYSTEM32\ISHOST.EXE --> Puper Renombrado a .VIR

Por favor, envienos una muestra del fichero

C:\Muestras\ISMINI.EXE.Muestra EliStartPage v12.77

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\ISMINI.EXE --> Eliminado

Por favor, envienos una muestra del fichero

C:\Muestras\ISSEARCH.EXE.Muestra EliStartPage v12.77

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\ISSEARCH.EXE --> Eliminado

Por favor, envienos una muestra del fichero

C:\Muestras\IXT0.DLL.Muestra EliStartPage v12.77

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\IXT0.DLL --> Eliminado

Por favor, envienos una muestra del fichero

C:\Muestras\SAFETYBAR.DLL.Muestra EliStartPage v12.77

a "virus@satinfo.es". Gracias.

C:\ARCHIVOS DE PROGRAMA\SAFETY BAR\SAFETYBAR.DLL --> Eliminado

C:\WINDOWS\SYSTEM32\OT.ICO --> Eliminado (Fichero Complementario).

C:\WINDOWS\SYSTEM32\ts.ico --> Eliminado (Fichero Complementario).

Eliminada Class, "{052B12F7-86FA-4921-8482-26C42316B522}" -> C:\Archivos de programa\Safety Bar\SafetyBar.dll

Eliminada Class, "{27D784D7-9217-4227-B43B-E06E4781E0CB}" -> C:\WINDOWS\system32\AlxTB1.dll

Eliminada Class, "{69A72A8A-84ED-4A75-8CE7-263DBEF3E5D3}" -> C:\WINDOWS\system32\AlxTB1.dll

Eliminada Class, "{755BBD1A-AA59-456C-AFEB-B4C42C4DCB6F}" -> C:\WINDOWS\system32\ixt0.dll

Eliminada Class, "{7BF3A7DB-A516-4E24-B40A-F60B34699E26}" -> C:\WINDOWS\system32\AlxTB1.dll

Eliminada Class, "{EA20F195-32DA-4bd6-B348-FD01FC7D3D5A}" -> C:\WINDOWS\system32\AlxTB1.dll

Eliminada Class, "{F1FABE79-25FC-46DE-8C5A-2C6DB9D64333}" -> C:\WINDOWS\system32\AlxTB1.dll

Eliminada Class, "{0BAD5052-665D-40D4-A9BD-A2891EAAFB42}" -> C:\WINDOWS\system32\fmrmhc.dll

No detectado Parche MS04-011 de Microsoft instalado. (LSASS)

No detectado Parche MS04-012 de Microsoft instalado. (RPC)

No detectado Parche MS06-001 de Microsoft instalado. (WMF)

No detectado Parche MS06-040 de Microsoft instalado. (SServidor)

ALERTA. WindowsUpdate Incompleto.

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Thu Nov 23 14:09:50 2006

EliStartPage v12.77 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

C:\Archivos de programa\Screensavers.com\Installer\bin\SIUNINST.EXE --> AutoExtraible

C:\Archivos de programa\Starware\STARWAREUNINSTALL.EXE --> AutoExtraible

C:\WINDOWS\system32\DRVNEW.DLL --> Eliminado, FakeAlert.Renos

C:\WINDOWS\system32\ISHOST.EXE.VIR --> Eliminado, Puper

C:\WINDOWS\system32\ISNOTIFY.EXE --> Eliminado, Puper

Thu Nov 23 19:11:51 2006

EliStartPage v12.77 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

[WinLogon\Notify\BETWINNOTIFY]

Por favor, envienos una muestra del fichero

C:\WinLogon\BETWINNOTIFY.DLL

a "virus@satinfo.es". Gracias.

[WinLogon\Notify\WINZFP32]

Por favor, envienos una muestra del fichero

C:\WinLogon\WINZFP32.DLL

a "virus@satinfo.es". Gracias.

No detectado Parche MS04-011 de Microsoft instalado. (LSASS)

No detectado Parche MS04-012 de Microsoft instalado. (RPC)

No detectado Parche MS06-001 de Microsoft instalado. (WMF)

No detectado Parche MS06-040 de Microsoft instalado. (SServidor)

ALERTA. WindowsUpdate Incompleto.

Thu Nov 23 19:15:05 2006

EliStartPage v12.77 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

[WinLogon\Notify\BETWINNOTIFY]

Por favor, envienos una muestra del fichero

C:\WinLogon\BETWINNOTIFY.DLL

a "virus@satinfo.es". Gracias.

[WinLogon\Notify\WINZFP32]

Por favor, envienos una muestra del fichero

C:\WinLogon\WINZFP32.DLL

a "virus@satinfo.es". Gracias.

No detectado Parche MS04-011 de Microsoft instalado. (LSASS)

No detectado Parche MS04-012 de Microsoft instalado. (RPC)

No detectado Parche MS06-001 de Microsoft instalado. (WMF)

No detectado Parche MS06-040 de Microsoft instalado. (SServidor)

ALERTA. WindowsUpdate Incompleto.

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Thu Nov 23 19:18:13 2006

EliStartPage v12.77 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

C:\WINDOWS\system32\DRVTAP.DLL --> Eliminado, FakeAlert.Renos

C:\WINDOWS\Temp\MST2A.TMP --> Eliminado, FakeAlert.Renos

Fri Nov 24 12:38:09 2006

EliStartPage v12.78 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

[WinLogon\Notify\BETWINNOTIFY]

Por favor, envienos una muestra del fichero

C:\WinLogon\BETWINNOTIFY.DLL

a "virus@satinfo.es". Gracias.

[WinLogon\Notify\WINZFP32]

Por favor, envienos una muestra del fichero

C:\WinLogon\WINZFP32.DLL

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\FMRMHC.DLL --> FakeAlert Renombrado a .VIR

Eliminada Class, "{0BAD5052-665D-40D4-A9BD-A2891EAAFB42}" -> C:\WINDOWS\system32\fmrmhc.dll

No detectado Parche MS04-011 de Microsoft instalado. (LSASS)

No detectado Parche MS04-012 de Microsoft instalado. (RPC)

No detectado Parche MS06-001 de Microsoft instalado. (WMF)

No detectado Parche MS06-040 de Microsoft instalado. (SServidor)

ALERTA. WindowsUpdate Incompleto.

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Fri Nov 24 12:41:32 2006

EliStartPage v12.78 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

C:\Muestras\ISSEARCH.EXE.MUESTRA ELISTARTPAGE V12.77 --> Eliminado, Puper-Is

C:\Muestras\IXT0.DLL.MUESTRA ELISTARTPAGE V12.77 --> Eliminado, Puper-Is (BHO)

C:\Muestras\SAFETYBAR.DLL.MUESTRA ELISTARTPAGE V12.77 --> Eliminado, DownLoader.Safety (TB)

Fri Nov 24 12:55:47 2006

EliStartPage v12.78 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

[WinLogon\Notify\BETWINNOTIFY]

Por favor, envienos una muestra del fichero

C:\WinLogon\BETWINNOTIFY.DLL

a "virus@satinfo.es". Gracias.

[WinLogon\Notify\WINZFP32]

Por favor, envienos una muestra del fichero

C:\WinLogon\WINZFP32.DLL

a "virus@satinfo.es". Gracias.

No detectado Parche MS04-011 de Microsoft instalado. (LSASS)

No detectado Parche MS04-012 de Microsoft instalado. (RPC)

No detectado Parche MS06-001 de Microsoft instalado. (WMF)

No detectado Parche MS06-040 de Microsoft instalado. (SServidor)

ALERTA. WindowsUpdate Incompleto.

Eliminados Ficheros Temporales del IE

Fri Nov 24 12:58:51 2006

EliStartPage v12.78 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

C:\WINDOWS\system32\DRVZAV.DLL --> Eliminado, FakeAlert.Renos

C:\WINDOWS\system32\FMRMHC.DLL.VIR.VIR --> Eliminado, FakeAlert

C:\WINDOWS\Temp\MST75.TMP --> Eliminado, FakeAlert.Renos

Fri Nov 24 13:23:02 2006

EliStartPage v12.78 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

[WinLogon\Notify\BETWINNOTIFY]

Por favor, envienos una muestra del fichero

C:\WinLogon\BETWINNOTIFY.DLL

a "virus@satinfo.es". Gracias.

[WinLogon\Notify\WINZFP32]

Por favor, envienos una muestra del fichero

C:\WinLogon\WINZFP32.DLL

a "virus@satinfo.es". Gracias.

No detectado Parche MS04-011 de Microsoft instalado. (LSASS)

No detectado Parche MS04-012 de Microsoft instalado. (RPC)

No detectado Parche MS06-001 de Microsoft instalado. (WMF)

No detectado Parche MS06-040 de Microsoft instalado. (SServidor)

ALERTA. WindowsUpdate Incompleto.

Fri Nov 24 13:31:38 2006

EliStartPage v12.78 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

[WinLogon\Notify\BETWINNOTIFY]

Por favor, envienos una muestra del fichero

C:\WinLogon\BETWINNOTIFY.DLL

a "virus@satinfo.es". Gracias.

[WinLogon\Notify\WINZFP32]

Por favor, envienos una muestra del fichero

C:\WinLogon\WINZFP32.DLL

a "virus@satinfo.es". Gracias.

No detectado Parche MS04-011 de Microsoft instalado. (LSASS)

No detectado Parche MS04-012 de Microsoft instalado. (RPC)

No detectado Parche MS06-001 de Microsoft instalado. (WMF)

No detectado Parche MS06-040 de Microsoft instalado. (SServidor)

ALERTA. WindowsUpdate Incompleto.

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Fri Nov 24 13:35:54 2006

EliStartPage v12.78 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

C:\WINDOWS\Temp\MST97.TMP --> Eliminado, FakeAlert.Renos

Fri Nov 24 13:59:03 2006

EliStartPage v12.78 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

[WinLogon\Notify\BETWINNOTIFY]

Por favor, envienos una muestra del fichero

C:\WinLogon\BETWINNOTIFY.DLL

a "virus@satinfo.es". Gracias.

[WinLogon\Notify\WINZFP32]

Por favor, envienos una muestra del fichero

C:\WinLogon\WINZFP32.DLL

a "virus@satinfo.es". Gracias.

No detectado Parche MS04-011 de Microsoft instalado. (LSASS)

No detectado Parche MS04-012 de Microsoft instalado. (RPC)

No detectado Parche MS06-001 de Microsoft instalado. (WMF)

No detectado Parche MS06-040 de Microsoft instalado. (SServidor)

ALERTA. WindowsUpdate Incompleto.

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Fri Nov 24 14:02:40 2006

EliStartPage v12.78 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

C:\WINDOWS\system32\ISHOST.EXE --> Eliminado, Puper

C:\WINDOWS\Temp\MSTB1.TMP --> Eliminado, FakeAlert.Renos

Fri Nov 24 14:08:27 2006

EliStartPage v12.78 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

[WinLogon\Notify\BETWINNOTIFY]

Por favor, envienos una muestra del fichero

C:\WinLogon\BETWINNOTIFY.DLL

a "virus@satinfo.es". Gracias.

[WinLogon\Notify\WINZFP32]

Por favor, envienos una muestra del fichero

C:\WinLogon\WINZFP32.DLL

a "virus@satinfo.es". Gracias.

Por favor, envienos una muestra del fichero

C:\Muestras\ISMINI.EXE.Muestra EliStartPage v12.78

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\ISMINI.EXE --> Eliminado

No detectado Parche MS04-011 de Microsoft instalado. (LSASS)

No detectado Parche MS04-012 de Microsoft instalado. (RPC)

No detectado Parche MS06-001 de Microsoft instalado. (WMF)

No detectado Parche MS06-040 de Microsoft instalado. (SServidor)

ALERTA. WindowsUpdate Incompleto.

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Fri Nov 24 14:11:05 2006

EliStartPage v12.78 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

C:\WINDOWS\system32\DRVKOF.DLL.VIR --> Eliminado, FakeAlert.Renos

Sun Nov 26 14:27:16 2006

EliStartPage v12.78 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

[WinLogon\Notify\BETWINNOTIFY]

Por favor, envienos una muestra del fichero

C:\WinLogon\BETWINNOTIFY.DLL

a "virus@satinfo.es". Gracias.

[WinLogon\Notify\WINZFP32]

Por favor, envienos una muestra del fichero

C:\WinLogon\WINZFP32.DLL

a "virus@satinfo.es". Gracias.

No detectado Parche MS04-011 de Microsoft instalado. (LSASS)

No detectado Parche MS04-012 de Microsoft instalado. (RPC)

No detectado Parche MS06-001 de Microsoft instalado. (WMF)

No detectado Parche MS06-040 de Microsoft instalado. (SServidor)

ALERTA. WindowsUpdate Incompleto.

Eliminados Ficheros Temporales del IE

Mon Nov 27 13:33:02 2006

EliStartPage v12.79 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

[WinLogon\Notify\BETWINNOTIFY]

Por favor, envienos una muestra del fichero

C:\WinLogon\BETWINNOTIFY.DLL

a "virus@satinfo.es". Gracias.

[WinLogon\Notify\WINZFP32]

Por favor, envienos una muestra del fichero

C:\WinLogon\WINZFP32.DLL

a "virus@satinfo.es". Gracias.

Por favor, envienos una muestra del fichero

C:\Muestras\ISHOST.EXE.Muestra EliStartPage v12.79

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\ISHOST.EXE --> Renombrado a .VIR

Por favor, envienos una muestra del fichero

C:\Muestras\ISMINI.EXE.Muestra EliStartPage v12.79

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\ISMINI.EXE --> Eliminado

No detectado Parche MS04-011 de Microsoft instalado. (LSASS)

No detectado Parche MS04-012 de Microsoft instalado. (RPC)

No detectado Parche MS06-001 de Microsoft instalado. (WMF)

No detectado Parche MS06-040 de Microsoft instalado. (SServidor)

ALERTA. WindowsUpdate Incompleto.

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Mon Nov 27 14:01:05 2006

EliStartPage v12.79 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

[WinLogon\Notify\BETWINNOTIFY]

Por favor, envienos una muestra del fichero

C:\WinLogon\BETWINNOTIFY.DLL

a "virus@satinfo.es". Gracias.

[WinLogon\Notify\WINZFP32]

Por favor, envienos una muestra del fichero

C:\WinLogon\WINZFP32.DLL

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\ISHOST.EXE.VIR --> Eliminado.

Por favor, envienos una muestra del fichero

C:\Muestras\ISHOST.EXE.Muestra EliStartPage v12.79

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\ISHOST.EXE --> Renombrado a .VIR

Por favor, envienos una muestra del fichero

C:\Muestras\ISMINI.EXE.Muestra EliStartPage v12.79

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\ISMINI.EXE --> Renombrado a .VIR

No detectado Parche MS04-011 de Microsoft instalado. (LSASS)

No detectado Parche MS04-012 de Microsoft instalado. (RPC)

No detectado Parche MS06-001 de Microsoft instalado. (WMF)

No detectado Parche MS06-040 de Microsoft instalado. (SServidor)

ALERTA. WindowsUpdate Incompleto.

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Mon Nov 27 14:08:15 2006

EliStartPage v12.79 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

[WinLogon\Notify\BETWINNOTIFY]

Por favor, envienos una muestra del fichero

C:\WinLogon\BETWINNOTIFY.DLL

a "virus@satinfo.es". Gracias.

[WinLogon\Notify\WINZFP32]

Por favor, envienos una muestra del fichero

C:\WinLogon\WINZFP32.DLL

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\ISHOST.EXE.VIR --> Eliminado.

C:\WINDOWS\SYSTEM32\ISMINI.EXE.VIR --> Eliminado.

No detectado Parche MS04-011 de Microsoft instalado. (LSASS)

No detectado Parche MS04-012 de Microsoft instalado. (RPC)

No detectado Parche MS06-001 de Microsoft instalado. (WMF)

No detectado Parche MS06-040 de Microsoft instalado. (SServidor)

ALERTA. WindowsUpdate Incompleto.

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Tue Nov 28 12:01:06 2006

EliStartPage v12.79 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

[WinLogon\Notify\BETWINNOTIFY]

Por favor, envienos una muestra del fichero

C:\WinLogon\BETWINNOTIFY.DLL

a "virus@satinfo.es". Gracias.

[WinLogon\Notify\WINZFP32]

Por favor, envienos una muestra del fichero

C:\WinLogon\WINZFP32.DLL

a "virus@satinfo.es". Gracias.

No detectado Parche MS04-011 de Microsoft instalado. (LSASS)

No detectado Parche MS04-012 de Microsoft instalado. (RPC)

No detectado Parche MS06-001 de Microsoft instalado. (WMF)

No detectado Parche MS06-040 de Microsoft instalado. (SServidor)

ALERTA. WindowsUpdate Incompleto.

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Sat Dec 02 14:10:34 2006

EliStartPage v12.79 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

[WinLogon\Notify\BETWINNOTIFY]

Por favor, envienos una muestra del fichero

C:\WinLogon\BETWINNOTIFY.DLL

a "virus@satinfo.es". Gracias.

[WinLogon\Notify\WINZFP32]

Por favor, envienos una muestra del fichero

C:\WinLogon\WINZFP32.DLL

a "virus@satinfo.es". Gracias.

No detectado Parche MS04-011 de Microsoft instalado. (LSASS)

No detectado Parche MS04-012 de Microsoft instalado. (RPC)

No detectado Parche MS06-001 de Microsoft instalado. (WMF)

No detectado Parche MS06-040 de Microsoft instalado. (SServidor)

ALERTA. WindowsUpdate Incompleto.

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

===============================================

Me volvió a salir el mismo ícono al costado de la hora es de color rojito con un signo de admiración de color amarillo, congelare esta PC con deepfreezer porque es un cybercafe apenas me ayude detalladamente para solucionar este problema... me volveré a contactac con usted....

koga · Mensaje por **koga** » 02 Dic 2006, 22:49

Debe lanzar un windows update para actualizar los parches que le faltan de windows.

Ademas envie las muestras que pide el elistara:

C:\WinLogon\BETWINNOTIFY.DLL

C:\WinLogon\WINZFP32.DLL

~~[b]~~Recuerde:[/b]

Todas las muestras se piden al respecto, las puede enviar a zonavirus@satinfo.es anexadas a un mail en cuyo texto indique como referencia "REF <nick que usa en el foro>" y asi podran informarle si hay alguna incidencia sobre el particular, gracias.

Tras recibirlas, las analizaran e implementaran su control y eliminación, si procede, en las utilidades de la pagina , de lo cual se informara en el foro, como siempre.

Para que el envio no sea interceptado por los antivirus, desactivando el antivirus residente o arrancando en modo seguro, empaquetar el fichero infectado en un ZIP o RAR con password "VIRUS" y asi se encriptará de manera que nadie lo detecte.

Saludos.

DAVICO · Mensaje por **DAVICO** » 02 Dic 2006, 23:47

ya envie el winlogon al email especificado... ahora mi duda es sobre Windows Update, esta maquina esta clonada con una mas osea funciona una CPU para 2 monitores.... lo que hisieron es clonarlo asi de esa manera..... bueno nos vemos......

koga · Mensaje por **koga** » 03 Dic 2006, 02:33

no debe enviar el winlogon, debe enviar los ficheros que estan al final de la ruta, ~~[b]~~BETWINNOTIFY.DLL[/b] y ~~[b]~~WINZFP32.DLL [/b] esos dos ficheros debe enviarlos,

Saludos.

Mensaje por **msc hotline sat** » 03 Dic 2006, 09:48

Y la version que utiliza del ELISTARA no es la actual ... Siempre debe descargarse la ultima antes de probar esta utilidad !

ELISTARA:

http://www.zonavirus.com/descargas/elistara.asp

Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso

y lo que indica de una CPU con 2 monitores (y dos teclados y mouses supongo) entiendo que lo hicieron a través de hardware, con un "doblador de puesto de usuario" que permite alternativamente (no simultaneamente) usar un mismo ordenador desde dos puntos distantes, lo cual no afecta para nada al software existente ni las actualizaciones..

saludos

ms, 3-12-2006

DAVICO · Mensaje por **DAVICO** » 03 Dic 2006, 14:54

Ya instale la versión que me dijo, aqui publico el contenido de C:\Infosat.txt

Thu Nov 23 14:08:10 2006

EliStartPage v12.77 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

[WinLogon\Notify\BETWINNOTIFY]

Por favor, envienos una muestra del fichero

C:\WinLogon\BETWINNOTIFY.DLL

a "virus@satinfo.es". Gracias.

[WinLogon\Notify\WINZFP32]

Por favor, envienos una muestra del fichero

C:\WinLogon\WINZFP32.DLL

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\FMRMHC.DLL --> Eliminado FakeAlert

C:\WINDOWS\SYSTEM32\ISNOTIFY.EXE --> Puper Acceso Denegado.

C:\WINDOWS\SYSTEM32\ISHOST.EXE --> Puper Renombrado a .VIR

Por favor, envienos una muestra del fichero

C:\Muestras\ISMINI.EXE.Muestra EliStartPage v12.77

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\ISMINI.EXE --> Eliminado

Por favor, envienos una muestra del fichero

C:\Muestras\ISSEARCH.EXE.Muestra EliStartPage v12.77

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\ISSEARCH.EXE --> Eliminado

Por favor, envienos una muestra del fichero

C:\Muestras\IXT0.DLL.Muestra EliStartPage v12.77

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\IXT0.DLL --> Eliminado

Por favor, envienos una muestra del fichero

C:\Muestras\SAFETYBAR.DLL.Muestra EliStartPage v12.77

a "virus@satinfo.es". Gracias.

C:\ARCHIVOS DE PROGRAMA\SAFETY BAR\SAFETYBAR.DLL --> Eliminado

C:\WINDOWS\SYSTEM32\OT.ICO --> Eliminado (Fichero Complementario).

C:\WINDOWS\SYSTEM32\ts.ico --> Eliminado (Fichero Complementario).

Eliminada Class, "{052B12F7-86FA-4921-8482-26C42316B522}" -> C:\Archivos de programa\Safety Bar\SafetyBar.dll

Eliminada Class, "{27D784D7-9217-4227-B43B-E06E4781E0CB}" -> C:\WINDOWS\system32\AlxTB1.dll

Eliminada Class, "{69A72A8A-84ED-4A75-8CE7-263DBEF3E5D3}" -> C:\WINDOWS\system32\AlxTB1.dll

Eliminada Class, "{755BBD1A-AA59-456C-AFEB-B4C42C4DCB6F}" -> C:\WINDOWS\system32\ixt0.dll

Eliminada Class, "{7BF3A7DB-A516-4E24-B40A-F60B34699E26}" -> C:\WINDOWS\system32\AlxTB1.dll

Eliminada Class, "{EA20F195-32DA-4bd6-B348-FD01FC7D3D5A}" -> C:\WINDOWS\system32\AlxTB1.dll

Eliminada Class, "{F1FABE79-25FC-46DE-8C5A-2C6DB9D64333}" -> C:\WINDOWS\system32\AlxTB1.dll

Eliminada Class, "{0BAD5052-665D-40D4-A9BD-A2891EAAFB42}" -> C:\WINDOWS\system32\fmrmhc.dll

No detectado Parche MS04-011 de Microsoft instalado. (LSASS)

No detectado Parche MS04-012 de Microsoft instalado. (RPC)

No detectado Parche MS06-001 de Microsoft instalado. (WMF)

No detectado Parche MS06-040 de Microsoft instalado. (SServidor)

ALERTA. WindowsUpdate Incompleto.

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Thu Nov 23 14:09:50 2006

EliStartPage v12.77 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

C:\Archivos de programa\Screensavers.com\Installer\bin\SIUNINST.EXE --> AutoExtraible

C:\Archivos de programa\Starware\STARWAREUNINSTALL.EXE --> AutoExtraible

C:\WINDOWS\system32\DRVNEW.DLL --> Eliminado, FakeAlert.Renos

C:\WINDOWS\system32\ISHOST.EXE.VIR --> Eliminado, Puper

C:\WINDOWS\system32\ISNOTIFY.EXE --> Eliminado, Puper

Thu Nov 23 19:11:51 2006

EliStartPage v12.77 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

[WinLogon\Notify\BETWINNOTIFY]

Por favor, envienos una muestra del fichero

C:\WinLogon\BETWINNOTIFY.DLL

a "virus@satinfo.es". Gracias.

[WinLogon\Notify\WINZFP32]

Por favor, envienos una muestra del fichero

C:\WinLogon\WINZFP32.DLL

a "virus@satinfo.es". Gracias.

No detectado Parche MS04-011 de Microsoft instalado. (LSASS)

No detectado Parche MS04-012 de Microsoft instalado. (RPC)

No detectado Parche MS06-001 de Microsoft instalado. (WMF)

No detectado Parche MS06-040 de Microsoft instalado. (SServidor)

ALERTA. WindowsUpdate Incompleto.

Thu Nov 23 19:15:05 2006

EliStartPage v12.77 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

[WinLogon\Notify\BETWINNOTIFY]

Por favor, envienos una muestra del fichero

C:\WinLogon\BETWINNOTIFY.DLL

a "virus@satinfo.es". Gracias.

[WinLogon\Notify\WINZFP32]

Por favor, envienos una muestra del fichero

C:\WinLogon\WINZFP32.DLL

a "virus@satinfo.es". Gracias.

No detectado Parche MS04-011 de Microsoft instalado. (LSASS)

No detectado Parche MS04-012 de Microsoft instalado. (RPC)

No detectado Parche MS06-001 de Microsoft instalado. (WMF)

No detectado Parche MS06-040 de Microsoft instalado. (SServidor)

ALERTA. WindowsUpdate Incompleto.

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Thu Nov 23 19:18:13 2006

EliStartPage v12.77 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

C:\WINDOWS\system32\DRVTAP.DLL --> Eliminado, FakeAlert.Renos

C:\WINDOWS\Temp\MST2A.TMP --> Eliminado, FakeAlert.Renos

Fri Nov 24 12:38:09 2006

EliStartPage v12.78 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

[WinLogon\Notify\BETWINNOTIFY]

Por favor, envienos una muestra del fichero

C:\WinLogon\BETWINNOTIFY.DLL

a "virus@satinfo.es". Gracias.

[WinLogon\Notify\WINZFP32]

Por favor, envienos una muestra del fichero

C:\WinLogon\WINZFP32.DLL

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\FMRMHC.DLL --> FakeAlert Renombrado a .VIR

Eliminada Class, "{0BAD5052-665D-40D4-A9BD-A2891EAAFB42}" -> C:\WINDOWS\system32\fmrmhc.dll

No detectado Parche MS04-011 de Microsoft instalado. (LSASS)

No detectado Parche MS04-012 de Microsoft instalado. (RPC)

No detectado Parche MS06-001 de Microsoft instalado. (WMF)

No detectado Parche MS06-040 de Microsoft instalado. (SServidor)

ALERTA. WindowsUpdate Incompleto.

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Fri Nov 24 12:41:32 2006

EliStartPage v12.78 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

C:\Muestras\ISSEARCH.EXE.MUESTRA ELISTARTPAGE V12.77 --> Eliminado, Puper-Is

C:\Muestras\IXT0.DLL.MUESTRA ELISTARTPAGE V12.77 --> Eliminado, Puper-Is (BHO)

C:\Muestras\SAFETYBAR.DLL.MUESTRA ELISTARTPAGE V12.77 --> Eliminado, DownLoader.Safety (TB)

Fri Nov 24 12:55:47 2006

EliStartPage v12.78 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

[WinLogon\Notify\BETWINNOTIFY]

Por favor, envienos una muestra del fichero

C:\WinLogon\BETWINNOTIFY.DLL

a "virus@satinfo.es". Gracias.

[WinLogon\Notify\WINZFP32]

Por favor, envienos una muestra del fichero

C:\WinLogon\WINZFP32.DLL

a "virus@satinfo.es". Gracias.

No detectado Parche MS04-011 de Microsoft instalado. (LSASS)

No detectado Parche MS04-012 de Microsoft instalado. (RPC)

No detectado Parche MS06-001 de Microsoft instalado. (WMF)

No detectado Parche MS06-040 de Microsoft instalado. (SServidor)

ALERTA. WindowsUpdate Incompleto.

Eliminados Ficheros Temporales del IE

Fri Nov 24 12:58:51 2006

EliStartPage v12.78 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

C:\WINDOWS\system32\DRVZAV.DLL --> Eliminado, FakeAlert.Renos

C:\WINDOWS\system32\FMRMHC.DLL.VIR.VIR --> Eliminado, FakeAlert

C:\WINDOWS\Temp\MST75.TMP --> Eliminado, FakeAlert.Renos

Fri Nov 24 13:23:02 2006

EliStartPage v12.78 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

[WinLogon\Notify\BETWINNOTIFY]

Por favor, envienos una muestra del fichero

C:\WinLogon\BETWINNOTIFY.DLL

a "virus@satinfo.es". Gracias.

[WinLogon\Notify\WINZFP32]

Por favor, envienos una muestra del fichero

C:\WinLogon\WINZFP32.DLL

a "virus@satinfo.es". Gracias.

No detectado Parche MS04-011 de Microsoft instalado. (LSASS)

No detectado Parche MS04-012 de Microsoft instalado. (RPC)

No detectado Parche MS06-001 de Microsoft instalado. (WMF)

No detectado Parche MS06-040 de Microsoft instalado. (SServidor)

ALERTA. WindowsUpdate Incompleto.

Fri Nov 24 13:31:38 2006

EliStartPage v12.78 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

[WinLogon\Notify\BETWINNOTIFY]

Por favor, envienos una muestra del fichero

C:\WinLogon\BETWINNOTIFY.DLL

a "virus@satinfo.es". Gracias.

[WinLogon\Notify\WINZFP32]

Por favor, envienos una muestra del fichero

C:\WinLogon\WINZFP32.DLL

a "virus@satinfo.es". Gracias.

No detectado Parche MS04-011 de Microsoft instalado. (LSASS)

No detectado Parche MS04-012 de Microsoft instalado. (RPC)

No detectado Parche MS06-001 de Microsoft instalado. (WMF)

No detectado Parche MS06-040 de Microsoft instalado. (SServidor)

ALERTA. WindowsUpdate Incompleto.

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Fri Nov 24 13:35:54 2006

EliStartPage v12.78 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

C:\WINDOWS\Temp\MST97.TMP --> Eliminado, FakeAlert.Renos

Fri Nov 24 13:59:03 2006

EliStartPage v12.78 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

[WinLogon\Notify\BETWINNOTIFY]

Por favor, envienos una muestra del fichero

C:\WinLogon\BETWINNOTIFY.DLL

a "virus@satinfo.es". Gracias.

[WinLogon\Notify\WINZFP32]

Por favor, envienos una muestra del fichero

C:\WinLogon\WINZFP32.DLL

a "virus@satinfo.es". Gracias.

No detectado Parche MS04-011 de Microsoft instalado. (LSASS)

No detectado Parche MS04-012 de Microsoft instalado. (RPC)

No detectado Parche MS06-001 de Microsoft instalado. (WMF)

No detectado Parche MS06-040 de Microsoft instalado. (SServidor)

ALERTA. WindowsUpdate Incompleto.

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Fri Nov 24 14:02:40 2006

EliStartPage v12.78 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

C:\WINDOWS\system32\ISHOST.EXE --> Eliminado, Puper

C:\WINDOWS\Temp\MSTB1.TMP --> Eliminado, FakeAlert.Renos

Fri Nov 24 14:08:27 2006

EliStartPage v12.78 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

[WinLogon\Notify\BETWINNOTIFY]

Por favor, envienos una muestra del fichero

C:\WinLogon\BETWINNOTIFY.DLL

a "virus@satinfo.es". Gracias.

[WinLogon\Notify\WINZFP32]

Por favor, envienos una muestra del fichero

C:\WinLogon\WINZFP32.DLL

a "virus@satinfo.es". Gracias.

Por favor, envienos una muestra del fichero

C:\Muestras\ISMINI.EXE.Muestra EliStartPage v12.78

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\ISMINI.EXE --> Eliminado

No detectado Parche MS04-011 de Microsoft instalado. (LSASS)

No detectado Parche MS04-012 de Microsoft instalado. (RPC)

No detectado Parche MS06-001 de Microsoft instalado. (WMF)

No detectado Parche MS06-040 de Microsoft instalado. (SServidor)

ALERTA. WindowsUpdate Incompleto.

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Fri Nov 24 14:11:05 2006

EliStartPage v12.78 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

C:\WINDOWS\system32\DRVKOF.DLL.VIR --> Eliminado, FakeAlert.Renos

Sun Nov 26 14:27:16 2006

EliStartPage v12.78 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

[WinLogon\Notify\BETWINNOTIFY]

Por favor, envienos una muestra del fichero

C:\WinLogon\BETWINNOTIFY.DLL

a "virus@satinfo.es". Gracias.

[WinLogon\Notify\WINZFP32]

Por favor, envienos una muestra del fichero

C:\WinLogon\WINZFP32.DLL

a "virus@satinfo.es". Gracias.

No detectado Parche MS04-011 de Microsoft instalado. (LSASS)

No detectado Parche MS04-012 de Microsoft instalado. (RPC)

No detectado Parche MS06-001 de Microsoft instalado. (WMF)

No detectado Parche MS06-040 de Microsoft instalado. (SServidor)

ALERTA. WindowsUpdate Incompleto.

Eliminados Ficheros Temporales del IE

Mon Nov 27 13:33:02 2006

EliStartPage v12.79 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

[WinLogon\Notify\BETWINNOTIFY]

Por favor, envienos una muestra del fichero

C:\WinLogon\BETWINNOTIFY.DLL

a "virus@satinfo.es". Gracias.

[WinLogon\Notify\WINZFP32]

Por favor, envienos una muestra del fichero

C:\WinLogon\WINZFP32.DLL

a "virus@satinfo.es". Gracias.

Por favor, envienos una muestra del fichero

C:\Muestras\ISHOST.EXE.Muestra EliStartPage v12.79

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\ISHOST.EXE --> Renombrado a .VIR

Por favor, envienos una muestra del fichero

C:\Muestras\ISMINI.EXE.Muestra EliStartPage v12.79

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\ISMINI.EXE --> Eliminado

No detectado Parche MS04-011 de Microsoft instalado. (LSASS)

No detectado Parche MS04-012 de Microsoft instalado. (RPC)

No detectado Parche MS06-001 de Microsoft instalado. (WMF)

No detectado Parche MS06-040 de Microsoft instalado. (SServidor)

ALERTA. WindowsUpdate Incompleto.

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Mon Nov 27 14:01:05 2006

EliStartPage v12.79 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

[WinLogon\Notify\BETWINNOTIFY]

Por favor, envienos una muestra del fichero

C:\WinLogon\BETWINNOTIFY.DLL

a "virus@satinfo.es". Gracias.

[WinLogon\Notify\WINZFP32]

Por favor, envienos una muestra del fichero

C:\WinLogon\WINZFP32.DLL

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\ISHOST.EXE.VIR --> Eliminado.

Por favor, envienos una muestra del fichero

C:\Muestras\ISHOST.EXE.Muestra EliStartPage v12.79

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\ISHOST.EXE --> Renombrado a .VIR

Por favor, envienos una muestra del fichero

C:\Muestras\ISMINI.EXE.Muestra EliStartPage v12.79

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\ISMINI.EXE --> Renombrado a .VIR

No detectado Parche MS04-011 de Microsoft instalado. (LSASS)

No detectado Parche MS04-012 de Microsoft instalado. (RPC)

No detectado Parche MS06-001 de Microsoft instalado. (WMF)

No detectado Parche MS06-040 de Microsoft instalado. (SServidor)

ALERTA. WindowsUpdate Incompleto.

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Mon Nov 27 14:08:15 2006

EliStartPage v12.79 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

[WinLogon\Notify\BETWINNOTIFY]

Por favor, envienos una muestra del fichero

C:\WinLogon\BETWINNOTIFY.DLL

a "virus@satinfo.es". Gracias.

[WinLogon\Notify\WINZFP32]

Por favor, envienos una muestra del fichero

C:\WinLogon\WINZFP32.DLL

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\ISHOST.EXE.VIR --> Eliminado.

C:\WINDOWS\SYSTEM32\ISMINI.EXE.VIR --> Eliminado.

No detectado Parche MS04-011 de Microsoft instalado. (LSASS)

No detectado Parche MS04-012 de Microsoft instalado. (RPC)

No detectado Parche MS06-001 de Microsoft instalado. (WMF)

No detectado Parche MS06-040 de Microsoft instalado. (SServidor)

ALERTA. WindowsUpdate Incompleto.

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Tue Nov 28 12:01:06 2006

EliStartPage v12.79 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

[WinLogon\Notify\BETWINNOTIFY]

Por favor, envienos una muestra del fichero

C:\WinLogon\BETWINNOTIFY.DLL

a "virus@satinfo.es". Gracias.

[WinLogon\Notify\WINZFP32]

Por favor, envienos una muestra del fichero

C:\WinLogon\WINZFP32.DLL

a "virus@satinfo.es". Gracias.

No detectado Parche MS04-011 de Microsoft instalado. (LSASS)

No detectado Parche MS04-012 de Microsoft instalado. (RPC)

No detectado Parche MS06-001 de Microsoft instalado. (WMF)

No detectado Parche MS06-040 de Microsoft instalado. (SServidor)

ALERTA. WindowsUpdate Incompleto.

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Sat Dec 02 14:10:34 2006

EliStartPage v12.79 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

[WinLogon\Notify\BETWINNOTIFY]

Por favor, envienos una muestra del fichero

C:\WinLogon\BETWINNOTIFY.DLL

a "virus@satinfo.es". Gracias.

[WinLogon\Notify\WINZFP32]

Por favor, envienos una muestra del fichero

C:\WinLogon\WINZFP32.DLL

a "virus@satinfo.es". Gracias.

No detectado Parche MS04-011 de Microsoft instalado. (LSASS)

No detectado Parche MS04-012 de Microsoft instalado. (RPC)

No detectado Parche MS06-001 de Microsoft instalado. (WMF)

No detectado Parche MS06-040 de Microsoft instalado. (SServidor)

ALERTA. WindowsUpdate Incompleto.

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Sun Dec 03 13:30:59 2006

EliStartPage v12.83 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

[WinLogon\Notify\BETWINNOTIFY]

Por favor, envienos una muestra del fichero

C:\WinLogon\BETWINNOTIFY.DLL

a "virus@satinfo.es". Gracias.

Key Eliminada [WinLogon\Notify\WINZFP32] -> C:\WINDOWS\SYSTEM32\WINZFP32.DLL

C:\WINDOWS\SYSTEM32\WINZFP32.DLL --> BackDoor-CVT (notify) Renombrado a .VIR

Entrada Eliminada [HKLM\...\Run] "CTDrive"="rundll32.exe C:\WINDOWS\system32\drvfox.dll,startup"

No detectado Parche MS04-011 de Microsoft instalado. (LSASS)

No detectado Parche MS04-012 de Microsoft instalado. (RPC)

No detectado Parche MS06-001 de Microsoft instalado. (WMF)

No detectado Parche MS06-040 de Microsoft instalado. (SServidor)

ALERTA. WindowsUpdate Incompleto.

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Sun Dec 03 13:32:54 2006

EliStartPage v12.83 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

[WinLogon\Notify\BETWINNOTIFY]

Por favor, envienos una muestra del fichero

C:\WinLogon\BETWINNOTIFY.DLL

a "virus@satinfo.es". Gracias.

Entrada Eliminada [HKLM\...\Run] "CTDrive"="rundll32.exe C:\WINDOWS\system32\drvpej.dll,startup"

No detectado Parche MS04-011 de Microsoft instalado. (LSASS)

No detectado Parche MS04-012 de Microsoft instalado. (RPC)

No detectado Parche MS06-001 de Microsoft instalado. (WMF)

No detectado Parche MS06-040 de Microsoft instalado. (SServidor)

ALERTA. WindowsUpdate Incompleto.

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Sun Dec 03 13:38:28 2006

EliStartPage v12.83 (c)2006 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

C:\Muestras\ISMINI.EXE.MUESTRA ELISTARTPAGE V12.77 --> Eliminado, Puper-Isa

C:\Muestras\ISMINI.EXE.MUESTRA ELISTARTPAGE V12.78 --> Eliminado, Puper-Isa

C:\WINDOWS\Temp\MST133.TMP --> Eliminado, FakeAlert.Renos

C:\WINDOWS\Temp\MST14E.TMP --> Eliminado, FakeAlert.Renos

C:\WINDOWS\Temp\MST195.TMP --> Eliminado, FakeAlert.Renos

C:\WinLogon\WINZFP32.DLL --> Eliminado, BackDoor-CVT (notify)

===============================================

De Igual manera que envie el fichero de ~~[b]~~BETWINNOTIFY.DLL[/b] a zonavirus@satinfo.es y a virus@satinfo.es zipeado con contraseña "VIRUS" , espero pronta respuesta.... gracias

Mensaje por **msc hotline sat** » 03 Dic 2006, 18:44

La DLL la veremos mañana cuando entremos a trabajar, pero mientras lanza un windiowsuyofate que no sirve para nada lo que hacemos si no estan los parches actualizados !!!

Y ya ves porqué se ha de usar siempre la ultima version de las utilidades ...

Los demas sospechosos ya estan controlados y eliminados

saludos

ms, 3-12-2006

Mensaje por **msc hotline sat** » 04 Dic 2006, 11:51

Pues aparte de las ya eliminadas, la DLL "BETWINNOTIFY.DLL " ha resultado no ser malware, por lo que se excluye su futura deteccion, pasando consideralo un notify normal

por todo ello damos por solucionado el Tema y procedemos a cerrarlo

Si nos necesita de nievo, ya sabe donde estamos :lol:

saludos

ms, 4-12-2006

System Alert Malware. (SOLUCIONADO)

System Alert Malware. (SOLUCIONADO)

Hola

muestras

aqui esta