ventanas de internet sin tener abierto el I.E. (SOLUCIONADO)

CLODOALDA · Mensaje por **CLODOALDA** » 18 Jun 2007, 03:14

cuando estoy con el ordenador y con el navegador sin abrir me van apareciendo ventanas de publicidad pero cuando abro el navegador ya es una lluvia de publicidad entrante que no para

ademas ayer me aprecio una pantalla azul avisandome que estaba en riesgo que tenia 840 infecciones

Mon Jun 18 00:09:10 2007

EliStartPage v14.21 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Por favor, envienos una muestra del fichero

C:\Muestras\EBCYOMLJAH.EXE.Muestra EliStartPage v14.21

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\EBCYOMLJAH.EXE --> Eliminado

C:\WINDOWS\SYSTEM32\NVS2.INF --> Eliminado

Entrada Eliminada [HKLM\...\Run] "EBCYOMLJAH"="c:\windows\system32\ebcyomljah.exe ebcyomljah"

Linea Eliminada del HOSTS --> 127.0.0.1 bin.errorprotector.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 br.errorsafe.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 br.winantivirus.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 br.winfixer.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 cdn.drivecleaner.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 cdn.errorsafe.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 cdn.winsoftware.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 de.errorsafe.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 de.winantivirus.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 download.cdn.drivecleaner.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 download.cdn.errorsafe.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 download.cdn.winsoftware.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 download.errorsafe.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 download.systemdoctor.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 download.winantispyware.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 download.windrivecleaner.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 download.winfixer.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 drivecleaner.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 dynamique.drivecleaner.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 errorprotector.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 errorsafe.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 es.winantivirus.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 fr.winantivirus.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 fr.winfixer.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 go.drivecleaner.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 go.errorsafe.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 go.winantispyware.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 go.winantivirus.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 hk.winantivirus.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 instlog.errorsafe.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 instlog.winantivirus.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 instlog.winfixer.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 jsp.drivecleaner.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 kb.errorsafe.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 kb.winantivirus.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 nl.errorsafe.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 se.errorsafe.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 secure.drivecleaner.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 secure.errorsafe.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 secure.winantispam.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 secure.winantispy.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 secure.winantivirus.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 support.winantivirus.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 trial.updates.winsoftware.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 ulog.winantivirus.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 utils.errorsafe.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 utils.winantivirus.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 utils.winfixer.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 winantispyware.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 winantivirus.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 winfixer.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 winfixer2006.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 winsoftware.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.drivecleaner.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.errorprotector.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.errorsafe.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.systemdoctor.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.utils.winfixer.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.win-anti-virus-pro.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.win-virus-pro.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.winantispam.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.winantispy.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.winantispyware.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.winantivirus.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.winantiviruspro.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.windrivecleaner.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.windrivesafe.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.winfixer.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.winfixer2006.com ## added by CiD

Linea Eliminada del HOSTS --> 127.0.0.1 http://www.winsoftware.com ## added by CiD

Mon Jun 18 00:11:34 2007

EliTriIP v3.67 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Acción Directa):

No detectado Parche MS06-001 de Microsoft instalado. (WMF)

Mon Jun 18 00:11:54 2007

EliTriIP v3.67 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

Mon Jun 18 00:20:05 2007

EliTriIP v3.67 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Acción Directa):

No detectado Parche MS06-001 de Microsoft instalado. (WMF)

Mon Jun 18 00:20:13 2007

EliTriIP v3.67 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

no puedo mandar muestra que pide porque no la encuentro

Mensaje por **msc hotline sat** » 18 Jun 2007, 06:30

Pues compruebe de nuevo la carpeta C:\muestras, en ella debe haber el fichero que le pedimos nos envie para analizar:

Por favor, envienos una muestra del fichero

C:\Muestras\EBCYOMLJAH.EXE.Muestra EliStartPage v14.21

y si lo encuentra:

->~~[b]~~ Para ello recordar[/b]: https://foros.zonavirus.com/viewtopic.php?f=2&t=45334

Por otra parte, como ve tiene el CiD, y para él decimos en muchos post:

[quote]Pero a partir de ahora, a todos los afectados por el CiD, lo primero será tratar de desinstalar el programa desde Inicio -> Panel de Control -> Agregar o Quitar programas , luego pasar el ELISTARA y por ultimo y en modo seguro, lanzar el HJT y postearnos el log resultante.
[/quote]

para lo del HJT:

~~[b]~~

[color=yellow]HJT : (HiJackThis)[/color][/b]

[i]¿Como utilizar el Hijackthis ?[/i]

Lo primero que debemos hacer es descargarlo en nuestro ordenador y lócalo en una carpeta propia C:\HijackThis\

Ejecútalo y presiona el botón "~~[b]~~Do a system scan and save a logfile[/b]"; el programa realizará el escaneo e inmediatamente generará el Log, sólo te pedira el nombre del archivo y su ubicación, puedes simplemente guardarlo así como está.

Se abrirá el Bloc de Notas, copia todo el contenido y pégalo como respuesta de este Tema

· [url=http://www.zonavirus.com/descargas/trendmicro-hijackthis.asp]~~[b]~~Descargar Hijackthis[/b][/url]

Tras analizarlo, informaremos

saludos

ms, 18-06-2007

conchirrin · Mensaje por **conchirrin** » 18 Jun 2007, 10:27

msc una pregunta :

el elistara antes eliminar un archivo hace copia de el , lo digo por que si pide una muestra en este caso C:\Muestras\EBCYOMLJAH.EXE.Muestra EliStartPage v14.21 y justo en la linea de abajo del analisis del elistara pone que esta eliminado C:\WINDOWS\SYSTEM32\EBCYOMLJAH.EXE --> Eliminado

"de hay mi pregunta de si hace una copia antes" es para ayudar a mi amiga CLODOALDA ( que vaya nombre se ha puesto jaja) por que anoche ya le indicaba yo paso por paso como ir a esa carpeta y luego solo me decia que habian un par de archivos uno se llamaba "sqmnoopt00.sqm y el otro sqmdata00.sqm son esos ???????? si es alguno de esos esta noche ya miraremos de enviarlos. gracias

Mensaje por **msc hotline sat** » 18 Jun 2007, 10:47

Los ficheros que solo son sospechosos, por su nombre, ubicacion, tipo de clave utilizada para cargarlo, y otros parametros que lo hacen ser probablemente de la familia de un malware, pero que no tiene la cadena de deteccion de dicha familia, por ser una variante o un nuevo especimen, se copia a la carpeta C:\MUESTRAS y se borra de donde estaba, para asi ya no incordiar a partir del proximo arranque

Estas muestras conviene se nos envien para analizarlas y controlarlas por cadenas en las siguientes versiones de nuestras utilidades.

Y en el caso de resultar no ser viricas sino falsa alarma, se pueden restablecer a donde estaban y listos.

saludos

ms, 18-06-2007

conchirrin · Mensaje por **conchirrin** » 18 Jun 2007, 11:00

ok ya te digo , es que ella dice que no le sale en C:/muestras pero lo intentaremos otra vez , yo creo que la noche nos confunde , pero espero que al fin vea EBCYOMLJAH.EXE esta noche. :shock:

Mensaje por **msc hotline sat** » 18 Jun 2007, 11:19

Tenga en cuenta, ademas, lanzar el HJT en modo seguro y luego postearnos el log, como decimos mas arriba, ya que tiene el CiD, para el que tenemos normalizado lo indicado

saludos

ms, 18-06-2007

CLODOALDA · Mensaje por **CLODOALDA** » 18 Jun 2007, 17:28

os acabo de enviar la muestra que me pediais

Mensaje por **msc hotline sat** » 18 Jun 2007, 17:42

Pues mientras está en cola, pendiente de entrada a monitorizacion, posteanos el log del HJT generado en modo seguro, gracias

saludos

ms, 18-06-2007

CLODOALDA · Mensaje por **CLODOALDA** » 18 Jun 2007, 18:13

Logfile of HijackThis v1.99.1

Scan saved at 17:12:30, on 18/6/2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\Documents and Settings\lydia\Mis documentos\Mis archivos recibidos\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

R3 - URLSearchHook: Barra Yahoo! con bloqueador de ventanas emergentes - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Archivos de programa\Yahoo!\Companion\Installs\cpn\yt.dll

O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Archivos de programa\Yahoo!\Companion\Installs\cpn\yt.dll

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Archivos comunes\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\archivos de programa\google\googletoolbar1.dll

O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Archivos de programa\Windows Live Toolbar\msntb.dll

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\archivos de programa\google\googletoolbar1.dll

O3 - Toolbar: Barra Yahoo! con bloqueador de ventanas emergentes - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Archivos de programa\Yahoo!\Companion\Installs\cpn\yt.dll

O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Archivos de programa\Windows Live Toolbar\msntb.dll

O4 - HKCU\..\Run: [MsnMsgr] "C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe" /background

O4 - HKCU\..\Run: [DogOpen] C:\DOCUME~1\lydia\DATOSD~1\ANTIRE~1\meowcool.exe

O4 - HKCU\..\Run: [swg] C:\Archivos de programa\Google\GoogleToolbarNotifier\1.0.720.3640\GoogleToolbarNotifier.exe

O4 - HKCU\..\Run: [ares] "C:\Archivos de programa\Ares\Ares.exe" -h

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [Windows Registry Repair Pro] C:\Archivos de programa\3B Software\Windows Registry Repair Pro\RegistryRepairPro.exe 4

O4 - Global Startup: Inicio rápido de Microsoft Office OneNote 2003.lnk = C:\Archivos de programa\Microsoft Office\OFFICE11\ONENOTEM.EXE

O4 - Global Startup: WinZip Quick Pick.lnk = C:\Archivos de programa\WinZip\WZQKPICK.EXE

O8 - Extra context menu item: &Windows Live Search - res://C:\Archivos de programa\Windows Live Toolbar\msntb.dll/search.htm

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Archivos de programa\Yahoo!\Common\yinsthelper.dll

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1181844815390

O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1181875348453

O16 - DPF: {7B297BFD-85E4-4092-B2AF-16A91B2EA103} (WScanCtl Class) - http://www.ca.com/us/securityadvisor/virusinfo/webscan.cab

O16 - DPF: {8436FE12-31DB-48BF-83BF-FE682F9160B4} (NanoInstaller Class) - https://www.pandasecurity.com/spain/homeusers/solutions/online-antivirus//cabs/nanoinst.cab

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O23 - Service: Ares Chatroom server (AresChatServer) - Ares Development Group - C:\Archivos de programa\Ares\chatServer.exe

O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Archivos de programa\Eset\nod32krn.exe

Mensaje por **msc hotline sat** » 18 Jun 2007, 18:20

Pues ahi tiene un fichero que nos debe enviar para analizar:

C:\DOCUME~1\lydia\DATOSD~1\ANTIRE~1\meowcool.exe

y eliminar esta clave:

O4 - HKCU\..\Run: [DogOpen] C:\DOCUME~1\lydia\DATOSD~1\ANTIRE~1\meowcool.exe

->~~[b]~~ Para ello recordar[/b]: https://foros.zonavirus.com/viewtopic.php?f=2&t=45334

saludos

ms, 18-06-2007

CLODOALDA · Mensaje por **CLODOALDA** » 18 Jun 2007, 18:41

ya le he enviado la muestra solicitada meowcool.exe

y ahora procedere a la eliminacion de la clave que me a dicho

Mon Jun 18 16:43:20 2007

EliStartPage v14.21 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

No detectado Parche MS06-001 de Microsoft instalado. (WMF)

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Mon Jun 18 16:43:59 2007

EliStartPage v14.21 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

Mensaje por **msc hotline sat** » 18 Jun 2007, 19:04

Como que le ha llegado el turno a la primera muestra enviada, vemos que es una variante del NAVIPROMO que practicamente no detecta nadie, y que pasamos a implementar en el ELISTARA 14.22 Dde hoy

[quote="VirusTotal"]
STATUS: FINISHEDComplete scanning result of "EBCYOMLJAH.VIR", received in VirusTotal at 06.18.2007, 17:51:24 (CET).

Antivirus Version Update Result

AhnLab-V3 2007.6.16.0 06.18.2007 no virus found

AntiVir 7.4.0.32 06.18.2007 no virus found

Authentium 4.93.8 06.16.2007 no virus found

Avast 4.7.997.0 06.18.2007 no virus found

AVG 7.5.0.467 06.17.2007 no virus found

BitDefender 7.2 06.18.2007 no virus found

CAT-QuickHeal 9.00 06.18.2007 no virus found

ClamAV devel-20070416 06.18.2007 no virus found

DrWeb 4.33 06.18.2007 no virus found

eSafe 7.0.15.0 06.17.2007 no virus found

eTrust-Vet 30.7.3726 06.18.2007 no virus found

Ewido 4.0 06.18.2007 no virus found

FileAdvisor 1 06.18.2007 no virus found

Fortinet 2.85.0.0 06.18.2007 no virus found

F-Prot 4.3.2.48 06.08.2007 no virus found

F-Secure 6.70.13030.0 06.18.2007 no virus found

Ikarus T3.1.1.8 06.18.2007 no virus found

Kaspersky 4.0.2.24 06.18.2007 no virus found

McAfee 5054 06.15.2007 no virus found

Microsoft 1.2607 06.18.2007 no virus found

NOD32v2 2336 06.18.2007 no virus found

Norman 5.80.02 06.18.2007 no virus found

Panda 9.0.0.4 06.18.2007 Suspicious file

Prevx1 V2 06.18.2007 no virus found

Sophos 4.18.0 06.12.2007 no virus found

Sunbelt 2.2.907.0 06.09.2007 no virus found

Symantec 10 06.18.2007 Trojan.Skintrim

TheHacker 6.1.6.134 06.18.2007 no virus found

VBA32 3.12.0.2 06.15.2007 no virus found

VirusBuster 4.3.23:9 06.18.2007 no virus found

Webwasher-Gateway 6.0.1 06.18.2007 Virus.Win32.FileInfector.gen (suspicious)

Aditional Information

File size: 399872 bytes

MD5: d763343c8efb114d004603548046f257

SHA1: 8b32dd915c91b60b3ec921d7a32e252d8d282aa3
[/quote]

La otra muestra "meowcool.exe" no habia llegado a la hora de cerrar la entrada de muestras, y se analizará mañana, si llega.

Para eliminar el NAVIPROMO indicado, prueba el ELISTARA 14.22 que estará disponible a partir de las 20 h GMT

[quote]ELISTARA:

http://www.zonavirus.com/descargas/elistara.asp

Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso[/quote]

Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso

saludos

ms, 18-06-2007

Mensaje por **msc hotline sat** » 18 Jun 2007, 19:29

Como que hemos podido compilarla antes, hemos subido ya la utilidad ELISTARA 14.22, que es la que se debe usar para este NAVIPROMO (no ELITRIIP como habiamos dicho inicialmente)

Descargala, pruebala y nos informas del resultado posteando el c:\infosat.txt

Mañana seguiremos con la otra muestra si nos llega (no habia llegado a las 18 horas ???)

saludos

ms, 18-06-2007

conchirrin · Mensaje por **conchirrin** » 19 Jun 2007, 17:24

te envio yo la muestra del meowcool por que clodoalda tiene problemas con el envio , ya me diras si os ha llegado. te pongo tambien su infosat.

Tue Jun 19 16:07:32 2007

EliStartPage v14.22 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminada Clave "HKLM\...\Image File Execution Options\Your Image File Name Here without a path"

No detectado Parche MS06-001 de Microsoft instalado. (WMF)

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Tue Jun 19 16:07:51 2007

EliStartPage v14.22 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\Muestras\EBCYOMLJAH.EXE.MUESTRA ELISTARTPAGE V14.21 --> Eliminado, NaviPromo(dropper)

Mensaje por **msc hotline sat** » 19 Jun 2007, 17:36

Veo que fue bien el ELISTARA de ayer y eliminó el NAVIPROMO.

Tan pronto como entre el Meowcool se procederá a su analisis.

A I+D no lo han entregado todavía.

saludos

ms, 19-06-2007

conchirrin · Mensaje por **conchirrin** » 19 Jun 2007, 18:09

Msc perdona que quieres decir con eso de :

A I+D no lo han entregado todavía.

Mensaje por **msc hotline sat** » 19 Jun 2007, 18:39

Que no habian entrado estas muestras a investigación y desarrollo.

Ahora sí, y ya es detectado por McAfee !

Pasamos a implementar su control y eliminacion como variante del Swizzor con el ELISTARA de hoy, 14.23 que estara disponible a partir de las 20 h GMT para pruebas de evaluacion

saludos

ms, 19-06-2007

[quote]ELISTARA:

http://www.zonavirus.com/descargas/elistara.asp

Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso[/quote]

CLODOALDA · Mensaje por **CLODOALDA** » 20 Jun 2007, 01:00

Tue Jun 19 20:19:05 2007

EliStartPage v14.23 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminados Ficheros Temporales del IE

Tue Jun 19 20:23:20 2007

EliStartPage v14.23 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminados Ficheros Temporales del IE

Tue Jun 19 20:23:23 2007

EliStartPage v14.23 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\Documents and Settings\lydia\Datos de programa\Anti Real\MEOWCOOL.EXE --> Eliminado, Swizzor(lop)

creo que ya he resuelto el problema me gustaria saber si he de volver a pasar el hijackthis gracias

Mensaje por **msc hotline sat** » 20 Jun 2007, 06:06

No, ya hass detectado y eliminado el troyano:

Tue Jun 19 20:23:23 2007

EliStartPage v14.23 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\Documents and Settings\lydia\Datos de programa\Anti Real\MEOWCOOL.EXE --> Eliminado, Swizzor(lop)

Por nosotros ya está resuelto el Tema y procedemos a cerrarlo

Si nos necesitas de nuevo, ya sabes donde estamos

saludos

ms, 20-06-2007