Virus Msn Porfa ayudenme (SOLUCIONADO)

[chiru]

hola, se que este tema ya lo han hablado antes pero necesito su ayuda con un virus que acepte del msn creyendo que era una foto, :x mi antivirus no lo reconocio asi que confiadamente lo abri, pero ya no se que hacer los antivirus que he instalado lo encuentran, los elimina pero al abrir mi msn sigue enviando el archivo a mis contactos porfavor ayudenme, de antemano gracias.

[msc hotline sat]

Mas bien es otro que no detectan, sino ya lo habrian eliminado y dejaria de enviar mensajitos...



Prueba estas dos utilidades y nos comentas el resultado, gracias:



[b] ELITRIIP: [/b]

http://www.zonavirus.com/descargas/elitriip.asp



[b] ELISTARA: [/b]

http://www.zonavirus.com/descargas/elistara.asp



Tras probarlos, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso



saludos



ms, 22-04-2008

[papageno]

Hola, yo escribí hace unos días por un problema igual y tras descargarme esos programas parecía resuelto, pero esta mañana el virus a vuelto a atacar a mis contactos y ya lo he vuelto a ver en

C:\Documents and Settings\usuario\Configuración local\Temp con el nombre (archivo comprimido) de foto_01.

Le he pasado los programas y este es el resultado:

Tue Apr 22 09:14:57 2008

EliTriIP v4.61 (c)2008 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Acción Directa):



Tue Apr 22 09:14:59 2008

EliTriIP v4.61 (c)2008 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\



Nº Total de Directorios: 4516

Nº Total de Ficheros: 55458

Nº de Ficheros Analizados: 14444

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



Tue Apr 22 09:31:00 2008

EliStartPage v16.13 (c)2008 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Entrada Eliminada [HKLM\...\Run] "NvGraphicsInterface"="C:\DOCUME~1\Nicasio\CONFIG~1\Temp\18.exe"

Eliminados Ficheros Temporales del IE



Tue Apr 22 09:33:29 2008

EliStartPage v16.13 (c)2008 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Tue Apr 22 09:34:00 2008

EliStartPage v16.13 (c)2008 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\Archivos de programa\ArcGIS\Metadata\ISOWizard\ISOEDITCONTACTS.EXE --> Eliminado, DownLoader.TP



Nº Total de Directorios: 4506

Nº Total de Ficheros: 46835

Nº de Ficheros Analizados: 14648

Nº de Ficheros Infectados: 1

Nº de Ficheros Limpiados: 1



Tras reiniciar he comprobado que el virus sigue ahí. Os lo voy a mandar por los medios habituales.

¡K infierno de virus!

Saludos

[msc hotline sat]

Bien, por lo menos gracias a ello has eliminado un downloader que habias ingresado !



Pero cada dia mas un promedio de 125 nuevas variantes, asi que no es de extrañar que tengas otra.



En cuanto recibamos la muestra procederemos en consecuencia



saludos



ms, 22-04-2008

[chiru]

Aqui esta el resultado:





Tue Apr 22 08:45:03 2008

EliTriIP v4.61 (c)2008 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Acción Directa):



Tue Apr 22 08:45:10 2008

EliTriIP v4.61 (c)2008 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\



Nº Total de Directorios: 5185

Nº Total de Ficheros: 56139

Nº de Ficheros Analizados: 13128

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



Tue Apr 22 08:54:13 2008

EliStartPage v16.13 (c)2008 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\WSCMGR.EXE --> Dialupass Renombrado a .VIR

C:\WINDOWS\WSCMGR.EXE.VIR --> Eliminado.

C:\DOCUME~1\CHIRU\CONFIG~1\TEMP\\DIALSYS.EXE --> Eliminado Dialupass

C:\ARCHIVOS DE PROGRAMA\ADSTECHNOLOGY\ADSTECHNOLOGY.DLL --> Eliminado AdWare.Agent.UJ(BHO)

C:\ARCHIVOS DE PROGRAMA\ACTIVATIONMANAGER\ACTIVATIONMANAGER.DLL --> Eliminado AdWare.Agent.UJ(BHO)

Entrada Eliminada [HKLM\...\Run] "WSCMGR"="C:\WINDOWS\wscmgr.exe"

Eliminada Class, "{831CBAC0-8283-4653-9D81-FEB9F3F6E47C}" -> C:\Archivos de programa\ADSTechnology\ADSTechnology.dll

Eliminada Class, "{831CBAC3-8283-4653-9D81-FEB9F3F6E47C}" -> C:\Archivos de programa\ADSTechnology\ADSTechnology.dll

Eliminada Class, "{86A44EF7-78FC-4E18-A564-B18F806F7F56}" -> C:\Archivos de programa\ActivationManager\ActivationManager.dll

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Reinicie para Completar la Limpieza.



Tue Apr 22 08:57:08 2008

EliStartPage v16.13 (c)2008 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\Archivos de programa\badcdrepair\VVSNINST.EXE --> Eliminado, SaveNow(inst)

C:\Archivos de programa\LingoCom\LingoWare\REFERALS\VVSNINST.EXE --> Eliminado, SaveNow(inst)

C:\WINDOWS\Downloaded Program Files\F3INITIALSETUP1.0.0.15-3.INF --> Eliminado, MyWebSearch(inf)



Nº Total de Directorios: 5169

Nº Total de Ficheros: 52554

Nº de Ficheros Analizados: 13852

Nº de Ficheros Infectados: 3

Nº de Ficheros Limpiados: 3



Tue Apr 22 09:05:18 2008

EliStartPage v16.13 (c)2008 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminados Ficheros Temporales del IE





Espero que su respuesta sean buenas noticias. Gracias

[chiru]

Hola Otra vez, tras reiniciar mi pc despues de echar andar los programas que me dijeron, revise en mi carpeta temp y hay un archivo comprimido que se llama misfotos3 es este un virus?

[msc hotline sat]

Envianoslo para analizar y lo sabremos...



[b]¿Como enviar las muestras a zonavirus? - Para ello recordar[/b]:

https://foros.zonavirus.com/viewtopic.php?f=5&t=14253



saludos



ms, 22-04-2008





NOTA: y detectaste varios malwares, pero no parfece que sea el de MSN, seguramente será este del fichero que dices. ms.

[chiru]

Ya he enviado la muestra a su correo. Muchas gracias :P

[flacoroo]

mientras esperamos el resultado, bajate esta herramienta de

[url=http://www.zonavirus.com/descargas/sproces.asp]SPROCES (herramienta de investigación)[/url] y posteas el C:SPROCLOG.TXT que te generará el SPROCES

[chiru]

gracias, enviare el resultado :D

[chiru]

bueno, aca el resultado:

Tue Apr 22 11:23:42 2008

SProces v2.8b (c)2007 S.G.H. / Satinfo S.L.

-------------------------------------------

Sistema Operativo: Microsoft Windows XP (v5.1.2600) Service Pack 2

Internet Explorer: (v7.0.5730.13) 0



Procesos Activos:

C:\WINDOWS\SYSTEM32\SMSS.EXE

C:\WINDOWS\SYSTEM32\WINLOGON.EXE

C:\WINDOWS\SYSTEM32\SERVICES.EXE

C:\WINDOWS\SYSTEM32\LSASS.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\SPOOLSV.EXE

C:\ARCHIVOS DE PROGRAMA\ALWIL SOFTWARE\AVAST4\ASWUPDSV.EXE

C:\ARCHIVOS DE PROGRAMA\ALWIL SOFTWARE\AVAST4\ASHSERV.EXE

C:\WINDOWS\SYSTEM32\HPZIPM12.EXE

C:\ARCHIVOS DE PROGRAMA\ALIENGUISE\WBLOAD.EXE

C:\ARCHIVOS DE PROGRAMA\ALCOHOL SOFT\ALCOHOL 120\STARWIND\STARWINDSERVICE.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\EXPLORER.EXE

C:\ARCHIVOS DE PROGRAMA\ALWIL SOFTWARE\AVAST4\ASHMAISV.EXE

C:\ARCHIVOS DE PROGRAMA\ALWIL SOFTWARE\AVAST4\ASHWEBSV.EXE

C:\WINDOWS\SYSTEM32\SVCHOST.EXE

C:\WINDOWS\SYSTEM32\CTFMON.EXE

C:\ARCHIV~1\KEYBOARD\IKEYMAIN.EXE

C:\ARCHIV~1\ALWILS~1\AVAST4\ASHDISP.EXE

C:\ARCHIVOS DE PROGRAMA\D-LINK\AIRPLUS G\AIRGCFG.EXE

C:\WINDOWS\VSNPSTD.EXE

C:\ARCHIV~1\SONY\SONICS~1\SSAAD.EXE

C:\WINDOWS\SYSTEM32\SPOOL17.EXE

C:\ARCHIVOS DE PROGRAMA\JAVA\JRE1.6.0_05\BIN\JUSCHED.EXE

C:\WINDOWS\SYSTEM32\UBCPFVF.EXE

C:\ARCHIVOS DE PROGRAMA\GOOGLE\GOOGLETOOLBARNOTIFIER\1.2.1128.5462\GOOGLETOOLBARNOTIFIER.EXE

C:\ARCHIVOS DE PROGRAMA\ARCHIVOS COMUNES\SONY SHARED\AVLIB\SSSCSISV.EXE

C:\ARCHIVOS DE PROGRAMA\MOZILLA FIREFOX\FIREFOX.EXE

C:\ARCHIVOS DE PROGRAMA\ANTISPYWAREAPP\ANTISPYWARE.EXE

C:\DOCUMENTS AND SETTINGS\CHIRU\ESCRITORIO\SPROCES.EXE

C:\DOCUMENTS AND SETTINGS\CHIRU\ESCRITORIO\SPROCES.EXE



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/en/us/default.aspxisapi/redir.dll?prd=ie&ar=iesearch

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/en/us/default.aspxisapi/redir.dll?prd=ie&ar=iesearch

R3 - URLSearchHook: Microsoft Url Search Hook - {CFBFAE00-17A6-11D0-99CB-00C04FD64497} - C:\WINDOWS\system32\ieframe.dll

F2 - REG:system.ini: UserInit=C:\WINDOWS\SYSTEM32\Userinit.exe,

O1 - Hosts: 127.0.0.1 localhost

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: DealioBHO Class - {6A87B991-A31F-4130-AE72-6D0C294BF082} - C:\Archivos de programa\Dealio\kb124\Dealio.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.6.0_05\bin\ssv.dll

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O2 - BHO: Windows Live Aplicación auxiliar de inicio de sesión - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\archivos de programa\google\googletoolbar1.dll

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\archivos de programa\google\googletoolbar1.dll

O3 - Toolbar: Dealio - {E67C74F4-A00A-4F2C-9FEC-FD9DC004A67F} - C:\Archivos de programa\Dealio\kb124\Dealio.dll

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [swg] C:\Archivos de programa\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe

O4 - HKCU\..\Run: [AntiSpyware] C:\Archivos de programa\AntiSpywareApp\Antispyware.exe -boot

O4 - HKLM\..\Run: [iKeyWorks] C:\ARCHIV~1\Keyboard\Ikeymain.exe

O4 - HKLM\..\Run: [avast!] C:\ARCHIV~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKLM\..\Run: [D-Link AirPlus G] C:\Archivos de programa\D-Link\AirPlus G\AirGCFG.exe

O4 - HKLM\..\Run: [WinampAgent] C:\Archivos de programa\Winamp\winamp.exe UNINSTALL\winampa.exe

O4 - HKLM\..\Run: [startl.exe] "C:\Archivos de programa\LingoCom\startl.exe" ###

O4 - HKLM\..\Run: [snpstd] C:\WINDOWS\vsnpstd.exe

O4 - HKLM\..\Run: [SsAAD.exe] C:\ARCHIV~1\Sony\SONICS~1\SsAAD.exe

O4 - HKLM\..\Run: [Microsoft Spool 17 Service] spool17.exe

O4 - HKLM\..\Run: [au] C:\Archivos de programa\Dealio\DealioAU.exe

O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Archivos de programa\Java\jre1.6.0_05\bin\jusched.exe"

O4 - HKLM\..\Run: [ubcpfvf] C:\WINDOWS\system32\ubcpfvf.exe \u

O4 - HKLM\..\RunOnce: [startl.exe] "C:\Archivos de programa\LingoCom\startl.exe"

O4 - Startup: desktop.ini

O4 - Global Startup: desktop.ini

O8 - Extra context menu item: Compare Prices with &Dealio - C:\Documents and Settings\CHIRU\Datos de programa\Dealio\kb124\res\DealioSearch.html

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_05\bin\ssv.dll

O9 - Extra button: 50 FREE MP3s! - {686C970F-1D7D-4469-85D1-4B35763B56CC} - http://www.emusic.com?fref=149133 (file missing)

O9 - Extra button: Translate - {87680762-4A83-11B4-885B-0000E8ECA40F} - C:\Archivos de programa\LingoCom\Translator.lnk

O9 - Extra button: Dealio - {E908B145-C847-4e85-B315-07E2E70DECF8} - C:\Archivos de programa\Dealio\kb124\Dealio.dll

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Plug-in 1.6.0_05) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_05-windows-i586.cab

O16 - DPF: {CAFEEFAC-0016-0000-0005-ABCDEFFEDCBA} (Java Plug-in 1.6.0_05) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_05-windows-i586.cab

O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} (Java Plug-in 1.6.0_05) - http://java.sun.com/update/1.6.0/jinstall-1_6_0_05-windows-i586.cab

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} - http://fpdownload.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\WINDOW~4\MESSEN~1\MSGRAP~1.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\WINDOW~4\MESSEN~1\MSGRAP~1.DLL

O20 - Winlogon Notify: WB - C:\ARCHIVOS DE PROGRAMA\ALIENGUISE\FASTLOAD.DLL

O21 - SSODL: PostBootReminder - {7849596a-48ea-486e-8937-a2a3009f31a9} - %SystemRoot%\system32\SHELL32.dll

O21 - SSODL: CDBurn - {fbeb8a05-beee-4442-804e-409d6c4515e9} - %SystemRoot%\system32\SHELL32.dll

O21 - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - C:\WINDOWS\system32\webcheck.dll

O21 - SSODL: SysTray - {35CEC8A3-2BE6-11D2-8773-92E220524153} - C:\WINDOWS\system32\stobject.dll

O22 - SharedTaskScheduler: {438755C2-A8BA-11D1-B96B-00A0C90312E1} - Precargador Browseui - %SystemRoot%\system32\browseui.dll

O22 - SharedTaskScheduler: {8C7461EF-2B13-11d2-BE35-3078302C2030} - Demonio de caché de las categorías de componente - %SystemRoot%\system32\browseui.dll



Información Adicional:

----------------------



Listado de Servicios (Carga Automatica):

----------------------------------------

O23 - Service: ANIO Service (ANIO) - Alpha Networks Inc. - C:\WINDOWS\system32\ANIO.SYS

O23 - Service: ANIWZCSd Service (ANIWZCSdService) - Alpha Networks Inc. - C:\Archivos de programa\ANI\ANIWZCS2 Service\ANIWZCSdS.exe

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Archivos de programa\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: avast! Antivirus - Unknown owner - C:\Archivos de programa\Alwil Software\Avast4\ashServ.exe

O23 - Service: Iniciador de procesos de servidor DCOM (DcomLaunch) - Unknown owner - C:\WINDOWS\system32\svchost -k DcomLaunch (file missing)

O23 - Service: Auto Wireless Protocol (eziwcpkt) - SingleClick Systems - C:\WINDOWS\SYSTEM32\DRIVERS\ezi_wc_pkt.sys

O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

O23 - Service: Llamada a procedimiento remoto (RPC) (RpcSs) - Unknown owner - C:\WINDOWS\system32\svchost -k rpcss (file missing)

[msc hotline sat]

Pues envianos estos tres ficheros sospechosos para analizar:





C:\WINDOWS\SYSTEM32\SPOOL17.EXE



C:\WINDOWS\SYSTEM32\UBCPFVF.EXE



C:\Archivos de programa\Dealio\kb124\Dealio.dll





[b]¿Como enviar las muestras a zonavirus? - Para ello recordar[/b]:

https://foros.zonavirus.com/viewtopic.php?f=5&t=14253



Tras analizarlos, informaremos



saludos



ms, 22-04-2008

[chiru]

Archivos enviados, gracias

[msc hotline sat]

Mañana los vemos, que en dos minutos cierra por hoy SATINFO !



SALUDOS



MS, 22-04-2008

[msc hotline sat]

Hemos recibido el paquete de ficheros que nos has enviado, pero antes de analizarlo salta a la vista que uno de los ficheros no es el que te pediamos.



Has enviado un SPOOLSV.EXE cuando el que te pediamos era C:\WINDOWS\SYSTEM32\SPOOL17.EXE , que no tiene nada que ver, claro !



Los demas los pasamos a analisis, pero el C:\WINDOWS\SYSTEM32\SPOOL17.EXE debes enviarnoslo, mira que no esté oculto:

[msc hotline sat]

El virus de la "foto" recibida por MSN pasamos a controlarlo con el ELITRIIP 4.63 de hoy, asi como el ultimo EXE que nos has enviado, que es un nuevo Backdoor.



La DLL pasa a ser controlada con el ELISTARA de hoy 16.15



A partir de las 19 h GMT, estarán disponibles en esta web, para pruebas de evaluacion en el foro de zonavirus


[quote="msc"]


[b] ELITRIIP: [/b]

http://www.zonavirus.com/descargas/elitriip.asp



[b] ELISTARA: [/b]

http://www.zonavirus.com/descargas/elistara.asp



Tras probarlos, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado de los procesos


[/quote]

saludos



ms, 23-04-2008

[chiru]

Resulta que el fichero SPOOLS17 no esta en ninguna parte y ni siquiera oculto no lo encuentro, creo que no esta y tengo otra pregunta, en mi carpeta Temp me han aparecido varios archivos ejecutables que no tienen nombre, solo numeros que es eso? Tengo 10 de esos.

[msc hotline sat]

Pues eliminalos, pues son temporales y no son necesarios en proximos reinicios.



Y posteanos infosat.txt actualizado y dinos si ya no persisten anomalias, para poder dar por solucionado el Tema



saludos



ms, 24-04-2008

[chiru]

Thu Apr 24 09:54:44 2008

EliTriIP v4.63 (c)2008 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Acción Directa):



Thu Apr 24 09:54:51 2008

EliTriIP v4.63 (c)2008 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\Documents and Settings\CHIRU\dtl.exe --> Eliminado, BackDoor.Tofsee.F

C:\Documents and Settings\CHIRU\Configuración local\Archivos temporales de Internet\Content.IE5\KJS5T3FR\Client3[1].exe --> Eliminado, SdBot(msn)

C:\Documents and Settings\CHIRU\Escritorio\Nueva carpeta\archivos pedidos\ubcpfvf.exe --> Eliminado, BackDoor.Tofsee.F

C:\WINDOWS\system32\ubcpfvf.exe --> Acceso Denegado, BackDoor.Tofsee.F (Reiniciar para completar la Limpieza)



Nº Total de Directorios: 4986

Nº Total de Ficheros: 51880

Nº de Ficheros Analizados: 12748

Nº de Ficheros Infectados: 4

Nº de Ficheros Limpiados: 3



Thu Apr 24 09:59:32 2008

EliStartPage v16.15 (c)2008 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Thu Apr 24 09:59:42 2008

EliStartPage v16.15 (c)2008 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\Archivos de programa\Dealio\kb124\DEALIO.DLL --> Eliminado, Malware.SearchSet(dll)

C:\Documents and Settings\CHIRU\Escritorio\Nueva carpeta\archivos pedidos\DEALIO.DLL --> Eliminado, Malware.SearchSet(dll)



Nº Total de Directorios: 4983

Nº Total de Ficheros: 51506

Nº de Ficheros Analizados: 13686

Nº de Ficheros Infectados: 2

Nº de Ficheros Limpiados: 2



Thu Apr 24 10:06:58 2008

EliTriIP v4.63 (c)2008 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Acción Directa):



tengo otra duda, aparecio otro archivo comprimido en la carpeta Temp que se llama misfotos5 el otro desaparecio, envio muestra? gracias

[msc hotline sat]

Si, puede ser otra variante de estos del MSN



Pero por lo demas veo que ya estas limpito...



A ver si controlamos este nuevo, pero claro, hasta que quien te lo envia no se limpie, seguirás recibiendolo, tenlo presente.



saludos



ms, 24.04-2008

[chiru]

Entonces no hay necesidad de mandarlo o igual seguira mandando mensajes a mis contactos? porque si me dices que esta limpio entonces esta de mas enviarlo verdad? :lol:

[msc hotline sat]

Nunca está de mas enviarnoslo, asi lo controlamos para que quien se infecte lo pueda eliminar, aunque no seas tú...



Y ademas enviamos muestra directamente a McAfee para su control, e indirectamente a todos los demas antivirus, para que lo añadan en las siguientes versiones.



saludos



ms, 24-04-2008

[chiru]

bueno ya lo envie, en todo caso el virus comenzo a atacar y nada funciona como que se me bloquea el teclado.

Gracias

[msc hotline sat]

Es que ejecutaste el fichero ???



Bueno, voy a ver si nos lo entregan para proceder en consecuencia.



Ya informaremos



saludos



ms, 24-04-2008

[chiru]

no, para nada lo he ejecutado, obvio que volveria a lo mismo, muchas gracias por tu ayuda y voluntad eres lo mejor :mrgreen: :lol: :wink: :D

[msc hotline sat]

muchas gracias :oops:



Pero siento decirte que me acabo de informar y no ha llegado ningun mail tuyo hasta ahora, en que se cierran las entradas de muestras, pues ya no daría tiempo para analizar , monitorizar e implementar su control y eliminacion si procede, en las utilidades de hoy.



Mira que no lo hayas recibido devuelto por cualquier causa, o entodo caso, envianos de nuevo este MisFotos5, ya sabes como:



[b]¿Como enviar las muestras a zonavirus? - Para ello recordar[/b]:

https://foros.zonavirus.com/viewtopic.php?f=5&t=14253



y lo analizaremos mañana

.



Es que aqui ya son las 17:30, voy a ver la hora por donde estás...



claro, aun no has almorzado: [b][i]24 Apr 2008 11:33 [/i][/b] eres 6 horas mas joven que nosotros ! :lol:



saludos



ms, 24-04-2008





NOTA: Pero prueba antes las utilidades de hoy, que vamos a subir a esta web, la 4.64 del ELITRIIP y la 16.16 del ELISTARA:


[quote="msc"]


[b] ELITRIIP: [/b]

http://www.zonavirus.com/descargas/elitriip.asp



[b] ELISTARA: [/b]

http://www.zonavirus.com/descargas/elistara.asp



Tras probarlos, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado de los procesos


[/quote] ms.

[chiru]

ya reenvie el fichero y aqui tienes el resultado de Elitriip y Elistart:





Thu Apr 24 14:22:06 2008

EliTriIP v4.64 (c)2008 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Acción Directa):



Thu Apr 24 14:22:10 2008

EliTriIP v4.64 (c)2008 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\WINDOWS\system32\ubcpfvf.exe.vir --> Eliminado, BackDoor.Tofsee.F



Nº Total de Directorios: 4983

Nº Total de Ficheros: 52936

Nº de Ficheros Analizados: 12977

Nº de Ficheros Infectados: 1

Nº de Ficheros Limpiados: 1



Thu Apr 24 14:35:52 2008

EliStartPage v16.16 (c)2008 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Thu Apr 24 14:36:02 2008

EliStartPage v16.16 (c)2008 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\



Nº Total de Directorios: 4981

Nº Total de Ficheros: 51496

Nº de Ficheros Analizados: 13685

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



Gracias por todo, saludos :D

[msc hotline sat]

Bien, pues renombra a extension .VIR el fichero sospechoso que nos has enviado, y asi al reiniciar ya no se pondrá en marcha.



Y mañana analizaremos el sospechoso y procederemos segun lo que sea, de lo cual informaremos



saludos



ms, 24-04-2008

[chiru]

uyyyyyyyyyy eres un amor muchisimas gracias, no se que haria sin ti, saludos.

[msc hotline sat]

Es un placer...



pero dime si tras lo indicado, el teclado ha dejado de bloquearse, gracias



saludos



ms, 24-04-2008