Ha vuelto el virus de messenger

[manpercer]

Buenas. Soy MANPERCER: si me recordais ayer cerramos un tema sobre un virus de mi ordenador en el messenger. Lo dimos por concluido porque os dig q después de la úttim actualización de elistara se abia solucionado el problema. pero no ha sido así. la segunda vez que me conecté volvióo a volverse loco el messenger, mandando de nuevo a mis contactos el mismo mensaje. Sino no recordais el asunto est´´a en el tema virus messnger y tildes.

Perdonad que abra un nuevo tema pero es que el otro quedó cerrado.

He vuelto a pasar el elistara y ya no reconoce nada. No encuentra el archivo System.exe en cuestión ni ningún elementto infectado.

perdonar que os vuelva a interrumpir pero ya estoy desespperado

saludos

[MrKogoyo]

Ahh ¡¡, si me acuerdo de tu anterior tema...

Pasa esta herramienta en modo seguro:

EliTriiP:
http://www.zonavirus.com/descargas/elitriip.asp

Y postea el contenido de C:/InfoSat.txt
Si no sucede nada pasa este AV ONLINE
https://www.eset.es/analisis-online/

Tambien en MODO SEGURO con Funciones de Red

¿COMO ARRANCAR EN MODO SEGURO?:
http://www.zonavirus.com/articulos/como ... fallos.asp

PD: Ya salio una nuevo version del EliStarA:
http://www.zonavirus.com/descargas/elistara.asp

Slds. ¡¡
MrKogoyo

[msc hotline sat]

El virus quedó bien eliminado, pero si algo o alguien lo ha reinstalado, bien un dropper, un downloader o un usuario volviendo a ejecutar el fichero llegado por MSN...

Posteanos el log del HJT y lo revisaremos a tal efecto, pero para eludir posibles Rootkits, lanzalo arrancando en modo seguro, y luego ya nos enviarás el log arrancando normalmente.


HJT : (HiJackThis)

¿Como utilizar el Hijackthis ?
Lo primero que debemos hacer es descargarlo en nuestro ordenador y lócalo en una carpeta propia C:\HijackThis\
Ejecútalo y presiona el botón "Do a system scan and save a logfile"; el programa realizará el escaneo e inmediatamente generará el Log, sólo te pedira el nombre del archivo y su ubicación, puedes simplemente guardarlo así como está.
Se abrirá el Bloc de Notas, copia todo el contenido y pégalo como respuesta de este Tema
· Descargar Hijackthis

Tras analizarlo, informaremos

saludos

ms, 7-02-2007

[manpercer]

No sé si lo hice bien:


Logfile of HijackThis v1.99.1
Scan saved at 20:53:49, on 07/02/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

Código: Seleccionar todo

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Archivos de programa\WinRAR\WinRAR.exe
C:\DOCUME~1\ADMINI~1\CONFIG~1\Temp\Rar$EX00.657\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.es/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = 
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Archivos de programa\MSN Apps\MSN Toolbar\MSN Toolbar\01.02.5000.1021\es\msntb.dll (file missing)
O3 - Toolbar: Barra Yahoo! con bloqueador de ventanas emergentes - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Archivos de programa\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Archivos de programa\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SiSPower] "Rundll32.exe" SiSPower.dll,ModeAgent
O4 - HKLM\..\Run: [CtrlMod15] C:\DOCUME~1\ADMINI~1\CONFIG~1\Temp\ctrlAT15.exe -m 64 -p"D:"
O4 - HKLM\..\Run: [ccApp] "C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [msnmsg] C:\WINDOWS\msnmsng.exe
O4 - HKLM\..\Run: [osCheck] "C:\Archivos de programa\Norton AntiVirus\osCheck.exe"
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Archivos de programa\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKCU\..\Run: [MsnMsgr] "C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Archivos de programa\Archivos comunes\Ahead\lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [updateMgr] "C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_7 -reboot 1
O4 - HKCU\..\Run: [tasks] C:\WINDOWS\schtasks.exe
O4 - HKCU\..\Run: [SpyBrowser] "C:\Archivos de programa\SpyBro\SpyBro.exe" /autostart
O4 - Global Startup: Inicio rápido de Adobe Reader.lnk = C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Archivos de programa\InterVideo\Common\Bin\WinCinemaMgr.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: WlanUtility.lnk = C:\Archivos de programa\MicroStar\WLANUtility\WlanUtility.exe
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~3\Office10\EXCEL.EXE/3000
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - http://download.mcafee.com/molbin/iss-loc/mcfscan/2,2,0,4947/mcfscan.cab
O20 - Winlogon Notify: WRNotifier - WRLogonNTF.dll (file missing)
O21 - SSODL: bestreak - {874443fe-aa33-4ebf-a6ac-73208787e62d} - (no file)
O23 - Service: Automatic LiveUpdate Scheduler - Symantec Corporation - C:\Archivos de programa\Symantec\LiveUpdate\ALUSchedulerSvc.exe
O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Archivos de programa\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Unknown owner - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSvcHst.exe" /h ccCommon (file missing)
O23 - Service: Symantec Settings Manager (ccSetMgr) - Unknown owner - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSvcHst.exe" /h ccCommon (file missing)
O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Unknown owner - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSvcHst.exe" /h ccCommon (file missing)
O23 - Service: Symantec IS Password Validation (ISPwdSvc) - Symantec Corporation - C:\Archivos de programa\Norton AntiVirus\isPwdSvc.exe
O23 - Service: LiveUpdate - Symantec Corporation - C:\ARCHIV~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
O23 - Service: SmartLinkService (SLService) - Smart Link - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\CCPD-LC\symlcsvc.exe
O23 - Service: Symantec AppCore Service (SymAppCore) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\AppCore\AppSvc32.exe

[Nuker]

Elimina estas en modo seguro....

O4 - HKCU\..\Run: [SpyBrowser] "C:\Archivos de programa\SpyBro\SpyBro.exe" /autostart
O21 - SSODL: bestreak - {874443fe-aa33-4ebf-a6ac-73208787e62d} - (no file)

[manpercer]

prdona mi inexperiencia...pero como hago eso??desde donde desde buscar??y la referencia del segundo archivo como la encuentro??y despues q ago??

[Nuker]

Entra en modo seguro, ejecuta HJT le das en scan only... Y le das fix checked a las que te puse...

Las marcas en la casilla y le das fix checked.. al terminar de hacer eso, entra en modo normal y saca un nuevo log, haciendo scan and save log file... y nos pegas el nuevo, comentanos si te sigue afectando tras eliminar estas que te puse...

MODO SEGURO:
http://www.zonavirus.com/articulos/como ... fallos.asp

[manpercer]

este es mi nuevo log desues de eliminar los dor archivos

ogfile of HijackThis v1.99.1
Scan saved at 21:49:59, on 07/02/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

Código: Seleccionar todo

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Archivos de programa\WinRAR\WinRAR.exe
C:\DOCUME~1\ADMINI~1\CONFIG~1\Temp\Rar$EX00.281\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.es/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = 
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Archivos de programa\MSN Apps\MSN Toolbar\MSN Toolbar\01.02.5000.1021\es\msntb.dll (file missing)
O3 - Toolbar: Barra Yahoo! con bloqueador de ventanas emergentes - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Archivos de programa\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Archivos de programa\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SiSPower] "Rundll32.exe" SiSPower.dll,ModeAgent
O4 - HKLM\..\Run: [CtrlMod15] C:\DOCUME~1\ADMINI~1\CONFIG~1\Temp\ctrlAT15.exe -m 64 -p"D:"
O4 - HKLM\..\Run: [ccApp] "C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [msnmsg] C:\WINDOWS\msnmsng.exe
O4 - HKLM\..\Run: [osCheck] "C:\Archivos de programa\Norton AntiVirus\osCheck.exe"
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Archivos de programa\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKCU\..\Run: [MsnMsgr] "C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Archivos de programa\Archivos comunes\Ahead\lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [updateMgr] "C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_7 -reboot 1
O4 - HKCU\..\Run: [tasks] C:\WINDOWS\schtasks.exe
O4 - Global Startup: Inicio rápido de Adobe Reader.lnk = C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Archivos de programa\InterVideo\Common\Bin\WinCinemaMgr.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: WlanUtility.lnk = C:\Archivos de programa\MicroStar\WLANUtility\WlanUtility.exe
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~3\Office10\EXCEL.EXE/3000
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - http://download.mcafee.com/molbin/iss-loc/mcfscan/2,2,0,4947/mcfscan.cab
O20 - Winlogon Notify: WRNotifier - WRLogonNTF.dll (file missing)
O23 - Service: Automatic LiveUpdate Scheduler - Symantec Corporation - C:\Archivos de programa\Symantec\LiveUpdate\ALUSchedulerSvc.exe
O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Archivos de programa\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Unknown owner - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSvcHst.exe" /h ccCommon (file missing)
O23 - Service: Symantec Settings Manager (ccSetMgr) - Unknown owner - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSvcHst.exe" /h ccCommon (file missing)
O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Unknown owner - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSvcHst.exe" /h ccCommon (file missing)
O23 - Service: Symantec IS Password Validation (ISPwdSvc) - Symantec Corporation - C:\Archivos de programa\Norton AntiVirus\isPwdSvc.exe
O23 - Service: LiveUpdate - Symantec Corporation - C:\ARCHIV~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
O23 - Service: SmartLinkService (SLService) - Smart Link - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\CCPD-LC\symlcsvc.exe
O23 - Service: Symantec AppCore Service (SymAppCore) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\AppCore\AppSvc32.exe

[msc hotline sat]

Pues creo que el marrano está en el :

c:\windows\msnmsng.exe

que no es el del messenger !!!
envianos este fichero que presume ser una nueva variante

recuerda: viewtopic.php?f=2&t=45334

y ya puedes eliminar esta clave, para quitarlo de circulacion:

O4 - HKLM\..\Run: [msnmsg] C:\WINDOWS\msnmsng.exe

por otra parte, esta aplicacion está lanzada desde carpeta temporal:

C:\DOCUME~1\ADMINI~1\CONFIG~1\Temp\ctrlAT15.exe

Es muy raro... envianos tambien muestra de este fichero, aunque no tenga nada que ver con el virus ???

y llegando a esta clave:

O4 - HKCU\..\Run: [tasks] C:\WINDOWS\schtasks.exe

está lanzando un programador de tareas desde c:\windows, cuando el del XP está en la carpeta de sistema, y ademas no indica opciones, muy sospechoso... envianos tambien muestra para analizar de:

C:\WINDOWS\schtasks.exe

y aparte de las indicadas en post anteriores, elimina tambien estas claves:

O20 - Winlogon Notify: WRNotifier - WRLogonNTF.dll (file missing)

y tras recibir las muestras indicadas, las analizaremos e informaremos

saludos
ms, 8-02-2007

[manpercer]

Ya he comprimido dos archivos que me pedisteis pero me falta este C:\DOCUME~1\ADMINI~1\CONFIG~1\Temp\ctrlAT15.exe que no lo encuentro...q ago??

[MrKogoyo]

Mira haz esto para encontrarlo mas facil

Ve a Inicio > Ejecutar y escribe esto:
C:\DOCUME~1\ADMINI~1\CONFIG~1\Temp\

Te aparecera una carpeta, ve si se encuentra el archivo que estas buscando

Slds. ¡¡
MrKogoyo.

[msc hotline sat]

Con un Inicio -> buscar indicandole ctrlAT15.exe te dará el acceso.

Puede que esté oculto...:
viewtopic.php?f=5&t=13245

y si aun asi se resiste, pruebalo arrancando en modo seguro

Cuanta mas dificultad temgas, mas seguro es que será malware

saludos

ms, 8-02-2007

[msc hotline sat]

Pues los dos ficheros recibidos son iguales, y los dos corresponden a una nueva variante de virus de messenger, la de "malware msnmsng" y que pasamos a controlar con la nueva version de hoy del ELISTARA. 13.21

Esta tarde la compilaremos y a partir de las 20 h podrá descargarla de esta web para evaluacion, tra lo cual deberá reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado y ya nos indicará si con ello quedan eliminadas las anomalias.

No tiene nada que ver con el otro eliminado del SYSTEM.EXE, mas bien es una variante del "MINIJUEGO" que controlamos hace unos dias.

Pero seguirá infectandose si acepta lo que le llega por MSN... es como los ficheros viricos anexados a los mails, los remitentes no saben que se lo envian, asi que NO ACEPTE ni ficheros anexados a los mails ni que le lleguen por MSN, aunque esté chateando con un amigo o conocido, él remitente no es conscientes de que lo está enviamdo...

saludos
ms, 8-02-2007

[msc hotline sat]

Subida nueva version 13.29 del ELISTARA QUE LO CONTROLA.

http://www.zonavirus.com/descargas/elistara.asp

saludos

ms

[manpercer]

Thu Feb 08 20:41:10 2007
EliStartPage v13.29 (c)2007 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\MSNMSNG.EXE --> Eliminado Malware.MSNMSNG(msn)
C:\WINDOWS\SCHTASKS.EXE --> Eliminado Malware.MSNMSNG(msn)
Entrada Eliminada [HKCU\...\Run] "tasks"="C:\WINDOWS\schtasks.exe"
Eliminadas las Paginas de Inicio y de Busqueda del IE
Eliminados Ficheros Temporales del IE

Thu Feb 08 20:41:46 2007
EliStartPage v13.29 (c)2007 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\

[lucl]

Te falta algo del log del elistara? parece incompleto, saludos.

[msc hotline sat]

No lucl, ya eliminó el bicho por accion directa, antes de la exploracion:

EliStartPage v13.29 (c)2007 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Acción Directa):
C:\WINDOWS\MSNMSNG.EXE --> Eliminado Malware.MSNMSNG(msn)
C:\WINDOWS\SCHTASKS.EXE --> Eliminado Malware.MSNMSNG(msn)

y al hacer la exploracion ya no detectó nada, por ello no aparece nada en el informe. Antes no poniamos ni el encabezamiento, pero desde hace poco aparece el encabezamiento para saber si se ha analizado al respecto o no.

Creo que por ello te extraña verlo sin nada ...

saludos
ms, 9-02-2007

[lucl]

Si, eso es, es porque lo de la exploración lo vi vació

Thu Feb 08 20:41:46 2007
EliStartPage v13.29 (c)2007 S.G.H. / Satinfo S.L.
--------------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\

y es desde que modificasteis eso jajaj, gracias por la aclaracion saludos.

[msc hotline sat]

Entiendo que quieres preguntar desde cuando , y por si es esto, mira este Tema viewtopic.php?f=11&t=16291

saludos
ms, 9.02.2007