Virus... creo que modifica cosas del win32

Reglas del Foro
Normas Basicas | Los Titulos, dicen mucho | No postear en paralelo | Continua en tu tema | Cierra tu tema, antes de abrir otro | No escribas en temas antiguos
Enlaces a web/mail/blog/Msn NO estan permitidos | Mensajes Privados | Informes de resultados | Antivirus Online
Responder
Kizu
Mensajes: 13
Registrado: 15 Sep 2008, 06:10

Virus... creo que modifica cosas del win32

Mensaje por Kizu » 29 Oct 2008, 16:13

Hola, hoy me baje un keygen (si, lo se, muy mala idea, nunca mas), y cuando lo puse a andar desaparecio, reinicie la computadora y antes de abrir el explorer aparecio un mensaje del sistema diciendo "desea abrir este archivo?" y era el firefox... asi que supongo que estara borrando carpetas...



Ejecuté el elistara, pero se cuelga intentando eliminar los temporales de internet y no reacciona



restaure el sistema, pero el elistara sigue colgandose, y sigue enviando el mismo error de siempre



tambien, en el hilo anterior el virus que encontro mi cuñado parece que era de la familia PsGuard, las restricciones se fueron al instalar un DLL, y de a poco fue borrando entradas del registro





Sat Sep 06 11:30:08 2008

EliStartPage v16.89 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 5 de Septiembre del 2008)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

C:\PROGRAM FILES\ASKTBAR\BAR\1.BIN\A5POPSWT.DLL --> MyWebSearch Renombrado a .VIR

C:\PROGRAM FILES\ASKTBAR\BAR\1.BIN\ASKTBAR.DLL --> MyWebSearch.Ask Renombrado a .VIR

C:\PROGRAM FILES\ASKTBAR\SRCHASTT\1.BIN\A5SRCHAS.DLL --> MyWebSearch Renombrado a .VIR

Eliminada Class, "{09BD51AE-7E02-4916-9B12-647A92C02B7F}" -> C:\Program Files\AskTBar\bar\1.bin\A5POPSWT.DLL

Eliminada Class, "{147A976F-EEE1-4377-8EA7-4716E4CDD239}" -> NULL1

Eliminada Class, "{83453071-3F9C-4AB0-BE30-EDA368D7976D}" -> C:\Program Files\AskTBar\bar\1.bin\A5POPSWT.DLL

Eliminada Class, "{9AFB8248-617F-460D-9366-D71CDEDA3179}" -> NULL1

Eliminada Class, "{9CB65201-89C4-402C-BA80-02D8C59F9B1D}" -> C:\Program Files\AskTBar\SrchAstt\1.bin\A5SRCHAS.DLL

Eliminada Class, "{9CB65206-89C4-402C-BA80-02D8C59F9B1D}" -> C:\Program Files\AskTBar\SrchAstt\1.bin\A5SRCHAS.DLL

Eliminada Class, "{BD04DAE2-8C1B-4CC5-9E06-22DE05C2EDA0}" -> C:\Program Files\AskTBar\bar\1.bin\A5POPSWT.DLL

Eliminada Class, "{FE063DB1-4EC0-403E-8DD8-394C54984B2C}" -> C:\Program Files\AskTBar\bar\1.bin\ASKTBAR.DLL

Eliminada Class, "{FE063DB9-4EC0-403E-8DD8-394C54984B2C}" -> C:\Program Files\AskTBar\bar\1.bin\ASKTBAR.DLL

Eliminada Class, "{FE063DBB-4EC0-403e-8DD8-394C54984B2C}" -> C:\Program Files\AskTBar\bar\1.bin\ASKTBAR.DLL

Restaurada Clave: "SafeBoot\Minimal y Network"

No detectado SP3 de Windows XP

Restaurado fichero de Configuración del IE, (IERESET.INF)

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Detectado AUTORUN.INF en la Unidad (E)

open=RECYCLER\S-1-6-22-4564031308-1609158761-021649731-2350\shellcfg.exe

Por favor envienos el Ejecutable (copiado en C:\Muestras)

acompañado del AUTORUN.INF a "virus@satinfo.es". Gracias.

Reinicie para Completar la Limpieza.



Sat Sep 06 11:35:10 2008

EliStartPage v16.89 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 5 de Septiembre del 2008)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

C:\Program Files\AskTBar\bar\1.bin\A5POPSWT.DLL.VIR --> Eliminado.

C:\Program Files\AskTBar\bar\1.bin\ASKTBAR.DLL.VIR --> Eliminado.

Restaurada Clave: "SafeBoot\Minimal y Network"

Eliminada Carpeta "%Archivos de Programa%\AskTBar"

No detectado SP3 de Windows XP

Restaurado fichero de Configuración del IE, (IERESET.INF)

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Detectado AUTORUN.INF en la Unidad (E)

open=RECYCLER\S-1-6-22-4564031308-1609158761-021649731-2350\shellcfg.exe

Por favor envienos el Ejecutable (copiado en C:\Muestras)

acompañado del AUTORUN.INF a "virus@satinfo.es". Gracias.



Sat Sep 06 11:36:16 2008

EliStartPage v16.89 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 5 de Septiembre del 2008)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad E:\

E:\TUTHILL\RemotePrint\REMOTEPRINT.EXE --> Eliminado, Slurk(dll)



Nº Total de Directorios: 1644

Nº Total de Ficheros: 16396

Nº de Ficheros Analizados: 1042

Nº de Ficheros Infectados: 1

Nº de Ficheros Limpiados: 1



Sat Sep 06 11:38:56 2008

EliStartPage v16.89 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 5 de Septiembre del 2008)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\



Nº Total de Directorios: 8565

Nº Total de Ficheros: 105272

Nº de Ficheros Analizados: 33238

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



Mon Sep 08 07:54:21 2008

EliStartPage v16.89 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 5 de Septiembre del 2008)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Entrada Eliminada [HKLM\...\Run] "runner1"="C:\WINDOWS\faceback.exe 61A847B5BBF72816379B284503996897C881250221C8670836AC4FA7C8833201749139"

Restaurada Clave: "SafeBoot\Minimal y Network"

No detectado SP3 de Windows XP

Eliminados Ficheros Temporales del IE



Mon Sep 08 07:55:06 2008

EliStartPage v16.89 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 5 de Septiembre del 2008)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\



Nº Total de Directorios: 2164

Nº Total de Ficheros: 17247

Nº de Ficheros Analizados: 4131

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

Exploración Detenida por el Usuario.



Mon Sep 08 22:56:17 2008

EliStartPage v16.89 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 5 de Septiembre del 2008)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Entrada Eliminada [HKLM\...\Run] "runner1"="C:\WINDOWS\faceback.exe 61A847B5BBF72816379B284503996897C881250221C8670836AC4FA7C8833201749139"

Restaurada Clave: "SafeBoot\Minimal y Network"

No detectado SP3 de Windows XP

Restaurado fichero de Configuración del IE, (IERESET.INF)

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Mon Sep 08 22:56:44 2008

EliStartPage v16.89 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 5 de Septiembre del 2008)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\



Nº Total de Directorios: 422

Nº Total de Ficheros: 2828

Nº de Ficheros Analizados: 1021

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

Exploración Detenida por el Usuario.



Mon Sep 15 01:22:49 2008

EliStartPage v16.94 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 12 de Septiembre del 2008)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\SYSTEM32\SERVICEPANEL.EXE --> Trojan.Agent.ABUE Acceso Denegado.

Entrada Eliminada [HKLM\...\Run] "runner1"="C:\WINDOWS\faceback.exe 61A847B5BBF72816379B284503996897C881250221C8670836AC4FA7C8833201749139"

Entrada Eliminada [HKLM\...\Run] "Services Panel"="servicepanel.exe"

Restaurada Clave: "SafeBoot\Minimal y Network"

No detectado SP3 de Windows XP

Restaurado fichero de Configuración del IE, (IERESET.INF)

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Detectado AUTORUN.INF en la Unidad (E)

open=RECYCLER\S-1-6-22-4564031308-1609158761-021649731-2350\shellcfg.exe

El Fichero al que Apunta, no ha sido Posible Localizarlo.Reinicie para Completar la Limpieza.



Mon Sep 15 01:23:38 2008

EliStartPage v16.94 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 12 de Septiembre del 2008)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\Documents and Settings\bc\Local Settings\Temp\PHOTO00016-JAJAJA.ZIP --> Eliminado, Trojan.Agent.ABUE

C:\Documents and Settings\bc\Local Settings\Temporary Internet Files\Content.IE5\6I5HUSTM\CP1[1].EXE --> Eliminado, Trojan.Agent.ABUE

C:\WINDOWS\system32\SERVICEPANEL.EXE --> Acceso Denegado, Trojan.Agent.ABUE (Reiniciar para Completar la Limpieza)



Nº Total de Directorios: 8988

Nº Total de Ficheros: 107721

Nº de Ficheros Analizados: 33937

Nº de Ficheros Infectados: 3

Nº de Ficheros Limpiados: 2



Mon Sep 15 01:43:14 2008

EliStartPage v16.94 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 12 de Septiembre del 2008)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\SYSTEM32\SERVICEPANEL.EXE --> Eliminado Trojan.Agent.ABUE

Entrada Eliminada [HKLM\...\Run] "Services Panel"="servicepanel.exe"

Restaurada Clave: "SafeBoot\Minimal y Network"

No detectado SP3 de Windows XP

Restaurado fichero de Configuración del IE, (IERESET.INF)

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Mon Sep 15 01:43:52 2008

EliStartPage v16.94 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 12 de Septiembre del 2008)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\



Nº Total de Directorios: 8988

Nº Total de Ficheros: 107714

Nº de Ficheros Analizados: 33935

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



Thu Sep 18 17:59:19 2008

EliStartPage v16.94 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 12 de Septiembre del 2008)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

No detectado SP3 de Windows XP

Restaurado fichero de Configuración del IE, (IERESET.INF)

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Thu Sep 18 17:59:42 2008

EliStartPage v16.94 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 12 de Septiembre del 2008)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\



Nº Total de Directorios: 9113

Nº Total de Ficheros: 108370

Nº de Ficheros Analizados: 34264

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



Thu Sep 18 18:41:26 2008

EliStartPage v16.99 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 18 de Septiembre del 2008)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

No detectado SP3 de Windows XP

Restaurado fichero de Configuración del IE, (IERESET.INF)

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Thu Sep 18 18:41:33 2008

EliStartPage v16.99 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 18 de Septiembre del 2008)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\Documents and Settings\bc\Local Settings\Temp\07.EXE --> Eliminado, Trojan.Agent.ABUE

C:\Documents and Settings\bc\Local Settings\Temporary Internet Files\Content.IE5\I0C46BBJ\CP[1].EXE --> Eliminado, Trojan.Agent.ABUE



Nº Total de Directorios: 9111

Nº Total de Ficheros: 108296

Nº de Ficheros Analizados: 34233

Nº de Ficheros Infectados: 2

Nº de Ficheros Limpiados: 2



Sat Sep 20 19:28:13 2008

EliStartPage v16.99 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 18 de Septiembre del 2008)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

No detectado SP3 de Windows XP



Thu Oct 02 15:23:04 2008

EliStartPage v17.11 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 3 de Octubre del 2008)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Key Eliminada [WinLogon\Notify\KHFEWOIX] -> C:\WINDOWS\SYSTEM32\khfEWOIX.dll

[WinLogon\Notify\KHFEWOIX]

Por favor, envienos el INFOSAT.TXT y una muestra del fichero

C:\WinLogon\KHFEWOIX.DLL

a "virus@satinfo.es". Gracias.

[WinLogon\Notify\__C00830E9]

Por favor, envienos el INFOSAT.TXT y una muestra del fichero

C:\WinLogon\__C00830E9.DAT

a "virus@satinfo.es". Gracias.

Por favor, envienos una muestra del fichero

C:\Muestras\KHFEWOIX.DLL.Muestra EliStartPage v17.11

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\KHFEWOIX.DLL --> Acceso Denegado.

No detectado SP3 de Windows XP



Thu Oct 02 15:29:23 2008

EliStartPage v17.11 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 3 de Octubre del 2008)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Key Eliminada [WinLogon\Notify\KHFEWOIX] -> C:\WINDOWS\SYSTEM32\khfEWOIX.dll

Entrada Eliminada [HKLM\...\Run] "68baa175"="rundll32.exe "C:\WINDOWS\system32\fvgnbgxh.dll",b" (Vundo)

[WinLogon\Notify\__C00830E9]

Por favor, envienos el INFOSAT.TXT y una muestra del fichero

C:\WinLogon\__C00830E9.DAT

a "virus@satinfo.es". Gracias.

Por favor, envienos una muestra del fichero

C:\Muestras\KHFEWOIX.DLL.Muestra EliStartPage v17.11

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\KHFEWOIX.DLL --> Acceso Denegado.

Por favor, envienos una muestra del fichero

C:\Muestras\FVGNBGXH.DLL.Muestra EliStartPage v17.11

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\FVGNBGXH.DLL --> Renombrado a .VIR

Restaurado fichero de Configuración del IE, (IERESET.INF)

Eliminadas las Paginas de Inicio y de Busqueda del IE

No detectado SP3 de Windows XP

Restaurado fichero de Configuración del IE, (IERESET.INF)

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Eliminados Ficheros Temporales del IE



Thu Oct 02 16:04:28 2008

EliStartPage v17.11 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 3 de Octubre del 2008)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Key Eliminada [WinLogon\Notify\KHFEWOIX] -> C:\WINDOWS\SYSTEM32\khfEWOIX.dll

[WinLogon\Notify\KHFEWOIX]

Por favor, envienos el INFOSAT.TXT y una muestra del fichero

C:\WinLogon\KHFEWOIX.DLL

a "virus@satinfo.es". Gracias.

[WinLogon\Notify\__C00830E9]

Por favor, envienos el INFOSAT.TXT y una muestra del fichero

C:\WinLogon\__C00830E9.DAT

a "virus@satinfo.es". Gracias.

Por favor, envienos una muestra del fichero

C:\Muestras\KHFEWOIX.DLL.Muestra EliStartPage v17.11

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\KHFEWOIX.DLL --> Acceso Denegado.

No detectado SP3 de Windows XP

Restaurado fichero de Configuración del IE, (IERESET.INF)

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Reinicie para Completar la Limpieza.



Thu Oct 02 16:05:11 2008

EliStartPage v17.11 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 3 de Octubre del 2008)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\



Nº Total de Directorios: 9744

Nº Total de Ficheros: 114506

Nº de Ficheros Analizados: 34547

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

Sistema Infectado por el Downloader.ConHook

Sistema Infectado por el Vundo9

(C:\WINDOWS\SYSTEM32\GEBTQJKH.DLL)

No Detectada Utilidad "ELINOTIF.DLL" (Necesaria para la Limpieza)



Thu Oct 02 16:35:51 2008

EliStartPage v17.11 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 3 de Octubre del 2008)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Key Eliminada [WinLogon\Notify\KHFEWOIX] -> C:\WINDOWS\SYSTEM32\khfEWOIX.dll

[WinLogon\Notify\KHFEWOIX]

Por favor, envienos el INFOSAT.TXT y una muestra del fichero

C:\WinLogon\KHFEWOIX.DLL

a "virus@satinfo.es". Gracias.

[WinLogon\Notify\__C00830E9]

Por favor, envienos el INFOSAT.TXT y una muestra del fichero

C:\WinLogon\__C00830E9.DAT

a "virus@satinfo.es". Gracias.

Por favor, envienos una muestra del fichero

C:\Muestras\KHFEWOIX.DLL.Muestra EliStartPage v17.11

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\KHFEWOIX.DLL --> Acceso Denegado.

Por favor, envienos una muestra del fichero

C:\Muestras\GEBTQJKH.DLL.Muestra EliStartPage v17.11

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\GEBTQJKH.DLL --> Renombrado a .VIR

Eliminada Class, "{E9601AD9-8DA0-4204-A717-7BC83B96524D}" -> C:\WINDOWS\system32\geBtQjkh.dll

No detectado SP3 de Windows XP

Restaurado fichero de Configuración del IE, (IERESET.INF)

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Reinicie para Completar la Limpieza.



Thu Oct 02 16:36:46 2008

EliStartPage v17.11 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 3 de Octubre del 2008)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\



Nº Total de Directorios: 9744

Nº Total de Ficheros: 114522

Nº de Ficheros Analizados: 34549

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

Sistema Infectado por el Downloader.ConHook

Sistema Infectado por el Vundo9

(C:\WINDOWS\SYSTEM32\GEBTQJKH.DLL)

Instalada Utilidad "ELINOTIF.DLL" (Reinicie de Nuevo para Completar la Limpieza)



EliNotify v1.8.09.15 (c)2008 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones:

Detectado DownLoader.ConHook

C:\WINDOWS\SYSTEM32\khfEWOIX.dll -> Eliminado.

Elininada KEY "Winlogon\Notify\KHFEWOIX"

Detectado Vundo9

Elininada Class {E9601AD9-8DA0-4204-A717-7BC83B96524D}

Elininado BHO {E9601AD9-8DA0-4204-A717-7BC83B96524D}

Desinstalado EliNotif.dll



EliNotify v1.8.09.15 (c)2008 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones:

Detectado DownLoader.ConHook

Elininada KEY "Winlogon\Notify\KHFEWOIX"

Detectado Vundo9

Elininada Class {E9601AD9-8DA0-4204-A717-7BC83B96524D}

Elininado BHO {E9601AD9-8DA0-4204-A717-7BC83B96524D}

Desinstalado EliNotif.dll



EliNotify v1.8.09.15 (c)2008 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones:

Detectado DownLoader.ConHook

Elininada KEY "Winlogon\Notify\KHFEWOIX"

Desinstalado EliNotif.dll



Thu Oct 02 17:06:32 2008

EliStartPage v17.11 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 3 de Octubre del 2008)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

[WinLogon\Notify\__C00830E9]

Por favor, envienos el INFOSAT.TXT y una muestra del fichero

C:\WinLogon\__C00830E9.DAT

a "virus@satinfo.es". Gracias.

No detectado SP3 de Windows XP

Restaurado fichero de Configuración del IE, (IERESET.INF)

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Thu Oct 02 17:10:07 2008

EliStartPage v17.11 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 3 de Octubre del 2008)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\



Nº Total de Directorios: 9744

Nº Total de Ficheros: 114519

Nº de Ficheros Analizados: 34548

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



Thu Oct 02 18:51:11 2008

EliStartPage v17.11 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 3 de Octubre del 2008)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

[WinLogon\Notify\__C00830E9]

Por favor, envienos el INFOSAT.TXT y una muestra del fichero

C:\WinLogon\__C00830E9.DAT

a "virus@satinfo.es". Gracias.

No detectado SP3 de Windows XP

Restaurado fichero de Configuración del IE, (IERESET.INF)

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Thu Oct 02 18:51:26 2008

EliStartPage v17.11 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 3 de Octubre del 2008)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\



Nº Total de Directorios: 9746

Nº Total de Ficheros: 114354

Nº de Ficheros Analizados: 34562

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



Thu Oct 02 21:34:27 2008

EliStartPage v17.11 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 3 de Octubre del 2008)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

[WinLogon\Notify\__C00830E9]

Por favor, envienos el INFOSAT.TXT y una muestra del fichero

C:\WinLogon\__C00830E9.DAT

a "virus@satinfo.es". Gracias.

No detectado SP3 de Windows XP

Restaurado fichero de Configuración del IE, (IERESET.INF)

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Thu Oct 02 21:35:01 2008

EliStartPage v17.11 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 3 de Octubre del 2008)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\



Thu Oct 02 22:13:51 2008

EliStartPage v17.11 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 3 de Octubre del 2008)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

[WinLogon\Notify\__C00830E9]

Por favor, envienos el INFOSAT.TXT y una muestra del fichero

C:\WinLogon\__C00830E9.DAT

a "virus@satinfo.es". Gracias.

No detectado SP3 de Windows XP

Restaurado fichero de Configuración del IE, (IERESET.INF)

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Thu Oct 02 22:14:09 2008

EliStartPage v17.11 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 3 de Octubre del 2008)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\



Nº Total de Directorios: 9530

Nº Total de Ficheros: 114088

Nº de Ficheros Analizados: 34583

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



Fri Oct 03 13:42:24 2008

EliStartPage v17.11 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 3 de Octubre del 2008)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

No detectado SP3 de Windows XP

Restaurado fichero de Configuración del IE, (IERESET.INF)

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Fri Oct 03 13:43:47 2008

EliStartPage v17.11 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 3 de Octubre del 2008)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\Program Files\DelPSGuard\DPSG.EXE --> Eliminado, Generic.Packed



Nº Total de Directorios: 9568

Nº Total de Ficheros: 114176

Nº de Ficheros Analizados: 34580

Nº de Ficheros Infectados: 1

Nº de Ficheros Limpiados: 1



Fri Oct 03 14:30:24 2008

EliStartPage v17.11 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 3 de Octubre del 2008)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

No detectado SP3 de Windows XP

Restaurado fichero de Configuración del IE, (IERESET.INF)

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Fri Oct 03 14:30:32 2008

EliStartPage v17.11 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 3 de Octubre del 2008)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\Program Files\DelPSGuard\DPSG.EXE --> Eliminado, Generic.Packed



Nº Total de Directorios: 9568

Nº Total de Ficheros: 114207

Nº de Ficheros Analizados: 34586

Nº de Ficheros Infectados: 1

Nº de Ficheros Limpiados: 1



Wed Oct 29 10:04:35 2008

EliStartPage v17.28 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 28 de Octubre del 2008)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

(Valor Run y RunServices "INTERNET EXPLORER")

Por favor, envienos una muestra del fichero

C:\WINDOWS\SYSTEM32\iexplore.exe

a "virus@satinfo.es". Gracias.

C:\WINDOWS\FIXCAMERA.EXE --> PUP.FixCamera Renombrado a .VIR

Por favor, envienos una muestra del fichero

C:\Muestras\IEXPLORE.EXE.Muestra EliStartPage v17.28

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\IEXPLORE.EXE --> Eliminado

Entrada Eliminada [HKLM\...\Run] "FIXCAMERA"="C:\WINDOWS\FixCamera.exe"

Entrada Eliminada [HKLM\...\Run] "Internet Explorer"="iexplore.exe"

Entrada Eliminada [HKLM\...\RunServices] "Internet Explorer"="iexplore.exe"



Wed Oct 29 11:18:25 2008

EliStartPage v17.28 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 28 de Octubre del 2008)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

(Valor Run y RunServices "INTERNET EXPLORER")

Por favor, envienos una muestra del fichero

C:\WINDOWS\SYSTEM32\iexplore.exe

a "virus@satinfo.es". Gracias.

C:\WINDOWS\FIXCAMERA.EXE.VIR --> Eliminado.

C:\WINDOWS\FIXCAMERA.EXE --> PUP.FixCamera Renombrado a .VIR

Por favor, envienos una muestra del fichero

C:\Muestras\IEXPLORE.EXE.Muestra EliStartPage v17.28

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\IEXPLORE.EXE --> Eliminado

Entrada Eliminada [HKLM\...\Run] "FIXCAMERA"="C:\WINDOWS\FixCamera.exe"

Entrada Eliminada [HKLM\...\Run] "Internet Explorer"="iexplore.exe"

Entrada Eliminada [HKLM\...\RunServices] "Internet Explorer"="iexplore.exe"





Estoy por enviar las muestras... pero como no el elistara no movió los archivos a la carpeta de muestras ni los renombró ¿debería ponerlos en un archivo rar comprimido?
Arriba
Avatar de Usuario
msc hotline sat
Mensajes: 93500
Registrado: 09 Mar 2004, 20:39
Ubicación: BARCELONA (ESPAÑA)
Contactar:
Contactar msc hotline sat

Re: Virus... creo que modifica cosas del win32

Mensaje por msc hotline sat » 29 Oct 2008, 16:34

Verás, la muestra es del Iexplore.exe segun parece... pero claro, no del navegador original de microsoft, sino un troyano con el mismo nombre, y justamente esta mañana un cliente nos ha enviado un sproclog en el que se veía dcho iexplore.exe en la carpeta DLLCACHE, colgando de la de sistema, lo cual es totalmente atípico, y es la manera de que si se borra el que haya operativo, sea reemplazado por este...





Y sí que eliminamos el fichero Iexplore.exe de la carpeta de sistema (donde no debería estar) y lo movimos a C:\muestras, o al menos esto es lo que intentamos tal como queda reflejado en el infosat:



Wed Oct 29 11:18:25 2008

EliStartPage v17.28 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 28 de Octubre del 2008)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

(Valor Run y RunServices "INTERNET EXPLORER")

Por favor, envienos una muestra del fichero

C:\WINDOWS\SYSTEM32\iexplore.exe

a "virus@satinfo.es". Gracias.

C:\WINDOWS\FIXCAMERA.EXE.VIR --> Eliminado.

C:\WINDOWS\FIXCAMERA.EXE --> PUP.FixCamera Renombrado a .VIR

Por favor, envienos una muestra del fichero

C:\Muestras\IEXPLORE.EXE.Muestra EliStartPage v17.28

a "virus@satinfo.es". Gracias.

[b][i][u]C:\WINDOWS\SYSTEM32\IEXPLORE.EXE --> Eliminado [/u][/i][/b]

Entrada Eliminada [HKLM\...\Run] "FIXCAMERA"="C:\WINDOWS\FixCamera.exe"

Entrada Eliminada [HKLM\...\Run] "Internet Explorer"="iexplore.exe"

Entrada Eliminada [HKLM\...\RunServices] "Internet Explorer"="iexplore.exe"



Pero ello confirma mi suposicion ! Seguro que lo tienes tambien en el DLLCACHE, y automaticamente se repone, Mira en dicha carpeta, que estará oculta a ver si alli está, y lo primero es renombrar este de DLLCACHE a extension .VIR, luego reinicia y vuelve a probar el ELISTARA, y ya verás como despues de eliminar los de la carpeta de sistema, eliminados quedan, pues al no estar con nombre y apellidos correctos en la carpeta DLLCACHE, no lo repone.



Entonces envianos la muestra en cuestion, no el de Archivos de programa\internet Explorer\Iexplore.exe, sino el de c:\muestras, o si quieres el de C:\windows\system32 o este de la DLLCACHE, serán todos iguales !



A la recepcion de la muestra, pasaremos a controlarla con nuestras utilidades, de lo cual informaremos



saludos



ms, 28-10-2008









NOTA: Y lo del PSGUARD debe ser una variante de SmitFraud del que no habremos recibido muestras. Si tuvieras el fichero donde se detectaba, lo analizariamos e implementariamos en las nuevas versiones, pero si ya lo has eliminado... paciencia, aunque a no ser que sea una variante, ya no es de los frecuentes, aunque nunca se sabe... ms.
Arriba
Kizu
Mensajes: 13
Registrado: 15 Sep 2008, 06:10

Re: Virus... creo que modifica cosas del win32

Mensaje por Kizu » 29 Oct 2008, 16:55

ahi envié la muestra, pero al fijarme en DLLCACHE no encontre otro iexplorer.exe...





y con respecto al otro virus, seguro que alguien mas va a aparecerse con una muestra :lol:
Arriba
Avatar de Usuario
msc hotline sat
Mensajes: 93500
Registrado: 09 Mar 2004, 20:39
Ubicación: BARCELONA (ESPAÑA)
Contactar:
Contactar msc hotline sat

Re: Virus... creo que modifica cosas del win32

Mensaje por msc hotline sat » 29 Oct 2008, 17:09

Bueno, pues lo que envies lo analizaremos, y lo que no... esperaremos :?



saludos



ms, 29-10-2008
Arriba
Avatar de Usuario
msc hotline sat
Mensajes: 93500
Registrado: 09 Mar 2004, 20:39
Ubicación: BARCELONA (ESPAÑA)
Contactar:
Contactar msc hotline sat

Re: Virus... creo que modifica cosas del win32

Mensaje por msc hotline sat » 29 Oct 2008, 17:56

Pues hemos recibido un iexplore.exe malware !!!



Pasamos a controlarlo con el ELISTARA de hoy 17.29 COMO DROPPER sid




[quote]
[b] ELISTARA: [/b]

http://www.zonavirus.com/descargas/elistara.asp



Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso
[/quote]

A partir de las 19 h GMT, estará disponible en esta web, para pruebas de evaluacion en el foro de zonavirus





ATENCION : es de los que se propaga por pendrive, asi que vacune ordenador y todos los pendrives conm el ELIPEN !!!







Y vacune el ordenador y todas sus unidades de disco y pendrive con el ELIPEN:



[b]ELIPEN.EXE[/b]

http://www.zonavirus.com/descargas/elipen.asp



Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso





SALUDOS



MS, 29-10-2008
Arriba
Avatar de Usuario
msc hotline sat
Mensajes: 93500
Registrado: 09 Mar 2004, 20:39
Ubicación: BARCELONA (ESPAÑA)
Contactar:
Contactar msc hotline sat

Re: Virus... creo que modifica cosas del win32

Mensaje por msc hotline sat » 29 Oct 2008, 19:14

Pues a título de informacion, ni Trend, ni Symantec, ni NOD32, ni McAfee lo controlan todavía !!!



Pero a partir de ahora el ELISTARA sí !!! (desde v 17.29 incluida)



saludos



ms, 29-10-2008
Arriba
Kizu
Mensajes: 13
Registrado: 15 Sep 2008, 06:10

Re: Virus... creo que modifica cosas del win32

Mensaje por Kizu » 30 Oct 2008, 07:36

entonces se ve que es un virus recien salido del horno :(



aqui esta el log del elistara:





Sat Sep 06 11:30:08 2008

EliStartPage v16.89 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 5 de Septiembre del 2008)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

C:\PROGRAM FILES\ASKTBAR\BAR\1.BIN\A5POPSWT.DLL --> MyWebSearch Renombrado a .VIR

C:\PROGRAM FILES\ASKTBAR\BAR\1.BIN\ASKTBAR.DLL --> MyWebSearch.Ask Renombrado a .VIR

C:\PROGRAM FILES\ASKTBAR\SRCHASTT\1.BIN\A5SRCHAS.DLL --> MyWebSearch Renombrado a .VIR

Eliminada Class, "{09BD51AE-7E02-4916-9B12-647A92C02B7F}" -> C:\Program Files\AskTBar\bar\1.bin\A5POPSWT.DLL

Eliminada Class, "{147A976F-EEE1-4377-8EA7-4716E4CDD239}" -> NULL1

Eliminada Class, "{83453071-3F9C-4AB0-BE30-EDA368D7976D}" -> C:\Program Files\AskTBar\bar\1.bin\A5POPSWT.DLL

Eliminada Class, "{9AFB8248-617F-460D-9366-D71CDEDA3179}" -> NULL1

Eliminada Class, "{9CB65201-89C4-402C-BA80-02D8C59F9B1D}" -> C:\Program Files\AskTBar\SrchAstt\1.bin\A5SRCHAS.DLL

Eliminada Class, "{9CB65206-89C4-402C-BA80-02D8C59F9B1D}" -> C:\Program Files\AskTBar\SrchAstt\1.bin\A5SRCHAS.DLL

Eliminada Class, "{BD04DAE2-8C1B-4CC5-9E06-22DE05C2EDA0}" -> C:\Program Files\AskTBar\bar\1.bin\A5POPSWT.DLL

Eliminada Class, "{FE063DB1-4EC0-403E-8DD8-394C54984B2C}" -> C:\Program Files\AskTBar\bar\1.bin\ASKTBAR.DLL

Eliminada Class, "{FE063DB9-4EC0-403E-8DD8-394C54984B2C}" -> C:\Program Files\AskTBar\bar\1.bin\ASKTBAR.DLL

Eliminada Class, "{FE063DBB-4EC0-403e-8DD8-394C54984B2C}" -> C:\Program Files\AskTBar\bar\1.bin\ASKTBAR.DLL

Restaurada Clave: "SafeBoot\Minimal y Network"

No detectado SP3 de Windows XP

Restaurado fichero de Configuración del IE, (IERESET.INF)

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Detectado AUTORUN.INF en la Unidad (E)

open=RECYCLER\S-1-6-22-4564031308-1609158761-021649731-2350\shellcfg.exe

Por favor envienos el Ejecutable (copiado en C:\Muestras)

acompañado del AUTORUN.INF a "virus@satinfo.es". Gracias.

Reinicie para Completar la Limpieza.



Sat Sep 06 11:35:10 2008

EliStartPage v16.89 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 5 de Septiembre del 2008)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

C:\Program Files\AskTBar\bar\1.bin\A5POPSWT.DLL.VIR --> Eliminado.

C:\Program Files\AskTBar\bar\1.bin\ASKTBAR.DLL.VIR --> Eliminado.

Restaurada Clave: "SafeBoot\Minimal y Network"

Eliminada Carpeta "%Archivos de Programa%\AskTBar"

No detectado SP3 de Windows XP

Restaurado fichero de Configuración del IE, (IERESET.INF)

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Detectado AUTORUN.INF en la Unidad (E)

open=RECYCLER\S-1-6-22-4564031308-1609158761-021649731-2350\shellcfg.exe

Por favor envienos el Ejecutable (copiado en C:\Muestras)

acompañado del AUTORUN.INF a "virus@satinfo.es". Gracias.



Sat Sep 06 11:36:16 2008

EliStartPage v16.89 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 5 de Septiembre del 2008)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad E:\

E:\TUTHILL\RemotePrint\REMOTEPRINT.EXE --> Eliminado, Slurk(dll)



Nº Total de Directorios: 1644

Nº Total de Ficheros: 16396

Nº de Ficheros Analizados: 1042

Nº de Ficheros Infectados: 1

Nº de Ficheros Limpiados: 1



Sat Sep 06 11:38:56 2008

EliStartPage v16.89 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 5 de Septiembre del 2008)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\



Nº Total de Directorios: 8565

Nº Total de Ficheros: 105272

Nº de Ficheros Analizados: 33238

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



Mon Sep 08 07:54:21 2008

EliStartPage v16.89 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 5 de Septiembre del 2008)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Entrada Eliminada [HKLM\...\Run] "runner1"="C:\WINDOWS\faceback.exe 61A847B5BBF72816379B284503996897C881250221C8670836AC4FA7C8833201749139"

Restaurada Clave: "SafeBoot\Minimal y Network"

No detectado SP3 de Windows XP

Eliminados Ficheros Temporales del IE



Mon Sep 08 07:55:06 2008

EliStartPage v16.89 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 5 de Septiembre del 2008)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\



Nº Total de Directorios: 2164

Nº Total de Ficheros: 17247

Nº de Ficheros Analizados: 4131

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

Exploración Detenida por el Usuario.



Mon Sep 08 22:56:17 2008

EliStartPage v16.89 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 5 de Septiembre del 2008)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Entrada Eliminada [HKLM\...\Run] "runner1"="C:\WINDOWS\faceback.exe 61A847B5BBF72816379B284503996897C881250221C8670836AC4FA7C8833201749139"

Restaurada Clave: "SafeBoot\Minimal y Network"

No detectado SP3 de Windows XP

Restaurado fichero de Configuración del IE, (IERESET.INF)

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Mon Sep 08 22:56:44 2008

EliStartPage v16.89 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 5 de Septiembre del 2008)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\



Nº Total de Directorios: 422

Nº Total de Ficheros: 2828

Nº de Ficheros Analizados: 1021

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

Exploración Detenida por el Usuario.



Mon Sep 15 01:22:49 2008

EliStartPage v16.94 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 12 de Septiembre del 2008)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\SYSTEM32\SERVICEPANEL.EXE --> Trojan.Agent.ABUE Acceso Denegado.

Entrada Eliminada [HKLM\...\Run] "runner1"="C:\WINDOWS\faceback.exe 61A847B5BBF72816379B284503996897C881250221C8670836AC4FA7C8833201749139"

Entrada Eliminada [HKLM\...\Run] "Services Panel"="servicepanel.exe"

Restaurada Clave: "SafeBoot\Minimal y Network"

No detectado SP3 de Windows XP

Restaurado fichero de Configuración del IE, (IERESET.INF)

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Detectado AUTORUN.INF en la Unidad (E)

open=RECYCLER\S-1-6-22-4564031308-1609158761-021649731-2350\shellcfg.exe

El Fichero al que Apunta, no ha sido Posible Localizarlo.Reinicie para Completar la Limpieza.



Mon Sep 15 01:23:38 2008

EliStartPage v16.94 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 12 de Septiembre del 2008)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\Documents and Settings\bc\Local Settings\Temp\PHOTO00016-JAJAJA.ZIP --> Eliminado, Trojan.Agent.ABUE

C:\Documents and Settings\bc\Local Settings\Temporary Internet Files\Content.IE5\6I5HUSTM\CP1[1].EXE --> Eliminado, Trojan.Agent.ABUE

C:\WINDOWS\system32\SERVICEPANEL.EXE --> Acceso Denegado, Trojan.Agent.ABUE (Reiniciar para Completar la Limpieza)



Nº Total de Directorios: 8988

Nº Total de Ficheros: 107721

Nº de Ficheros Analizados: 33937

Nº de Ficheros Infectados: 3

Nº de Ficheros Limpiados: 2



Mon Sep 15 01:43:14 2008

EliStartPage v16.94 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 12 de Septiembre del 2008)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\SYSTEM32\SERVICEPANEL.EXE --> Eliminado Trojan.Agent.ABUE

Entrada Eliminada [HKLM\...\Run] "Services Panel"="servicepanel.exe"

Restaurada Clave: "SafeBoot\Minimal y Network"

No detectado SP3 de Windows XP

Restaurado fichero de Configuración del IE, (IERESET.INF)

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Mon Sep 15 01:43:52 2008

EliStartPage v16.94 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 12 de Septiembre del 2008)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\



Nº Total de Directorios: 8988

Nº Total de Ficheros: 107714

Nº de Ficheros Analizados: 33935

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



Thu Sep 18 17:59:19 2008

EliStartPage v16.94 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 12 de Septiembre del 2008)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

No detectado SP3 de Windows XP

Restaurado fichero de Configuración del IE, (IERESET.INF)

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Thu Sep 18 17:59:42 2008

EliStartPage v16.94 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 12 de Septiembre del 2008)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\



Nº Total de Directorios: 9113

Nº Total de Ficheros: 108370

Nº de Ficheros Analizados: 34264

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



Thu Sep 18 18:41:26 2008

EliStartPage v16.99 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 18 de Septiembre del 2008)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

No detectado SP3 de Windows XP

Restaurado fichero de Configuración del IE, (IERESET.INF)

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Thu Sep 18 18:41:33 2008

EliStartPage v16.99 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 18 de Septiembre del 2008)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\Documents and Settings\bc\Local Settings\Temp\07.EXE --> Eliminado, Trojan.Agent.ABUE

C:\Documents and Settings\bc\Local Settings\Temporary Internet Files\Content.IE5\I0C46BBJ\CP[1].EXE --> Eliminado, Trojan.Agent.ABUE



Nº Total de Directorios: 9111

Nº Total de Ficheros: 108296

Nº de Ficheros Analizados: 34233

Nº de Ficheros Infectados: 2

Nº de Ficheros Limpiados: 2



Sat Sep 20 19:28:13 2008

EliStartPage v16.99 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 18 de Septiembre del 2008)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

No detectado SP3 de Windows XP



Thu Oct 02 15:23:04 2008

EliStartPage v17.11 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 3 de Octubre del 2008)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Key Eliminada [WinLogon\Notify\KHFEWOIX] -> C:\WINDOWS\SYSTEM32\khfEWOIX.dll

[WinLogon\Notify\KHFEWOIX]

Por favor, envienos el INFOSAT.TXT y una muestra del fichero

C:\WinLogon\KHFEWOIX.DLL

a "virus@satinfo.es". Gracias.

[WinLogon\Notify\__C00830E9]

Por favor, envienos el INFOSAT.TXT y una muestra del fichero

C:\WinLogon\__C00830E9.DAT

a "virus@satinfo.es". Gracias.

Por favor, envienos una muestra del fichero

C:\Muestras\KHFEWOIX.DLL.Muestra EliStartPage v17.11

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\KHFEWOIX.DLL --> Acceso Denegado.

No detectado SP3 de Windows XP



Thu Oct 02 15:29:23 2008

EliStartPage v17.11 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 3 de Octubre del 2008)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Key Eliminada [WinLogon\Notify\KHFEWOIX] -> C:\WINDOWS\SYSTEM32\khfEWOIX.dll

Entrada Eliminada [HKLM\...\Run] "68baa175"="rundll32.exe "C:\WINDOWS\system32\fvgnbgxh.dll",b" (Vundo)

[WinLogon\Notify\__C00830E9]

Por favor, envienos el INFOSAT.TXT y una muestra del fichero

C:\WinLogon\__C00830E9.DAT

a "virus@satinfo.es". Gracias.

Por favor, envienos una muestra del fichero

C:\Muestras\KHFEWOIX.DLL.Muestra EliStartPage v17.11

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\KHFEWOIX.DLL --> Acceso Denegado.

Por favor, envienos una muestra del fichero

C:\Muestras\FVGNBGXH.DLL.Muestra EliStartPage v17.11

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\FVGNBGXH.DLL --> Renombrado a .VIR

Restaurado fichero de Configuración del IE, (IERESET.INF)

Eliminadas las Paginas de Inicio y de Busqueda del IE

No detectado SP3 de Windows XP

Restaurado fichero de Configuración del IE, (IERESET.INF)

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Eliminados Ficheros Temporales del IE



Thu Oct 02 16:04:28 2008

EliStartPage v17.11 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 3 de Octubre del 2008)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Key Eliminada [WinLogon\Notify\KHFEWOIX] -> C:\WINDOWS\SYSTEM32\khfEWOIX.dll

[WinLogon\Notify\KHFEWOIX]

Por favor, envienos el INFOSAT.TXT y una muestra del fichero

C:\WinLogon\KHFEWOIX.DLL

a "virus@satinfo.es". Gracias.

[WinLogon\Notify\__C00830E9]

Por favor, envienos el INFOSAT.TXT y una muestra del fichero

C:\WinLogon\__C00830E9.DAT

a "virus@satinfo.es". Gracias.

Por favor, envienos una muestra del fichero

C:\Muestras\KHFEWOIX.DLL.Muestra EliStartPage v17.11

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\KHFEWOIX.DLL --> Acceso Denegado.

No detectado SP3 de Windows XP

Restaurado fichero de Configuración del IE, (IERESET.INF)

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Reinicie para Completar la Limpieza.



Thu Oct 02 16:05:11 2008

EliStartPage v17.11 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 3 de Octubre del 2008)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\



Nº Total de Directorios: 9744

Nº Total de Ficheros: 114506

Nº de Ficheros Analizados: 34547

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

Sistema Infectado por el Downloader.ConHook

Sistema Infectado por el Vundo9

(C:\WINDOWS\SYSTEM32\GEBTQJKH.DLL)

No Detectada Utilidad "ELINOTIF.DLL" (Necesaria para la Limpieza)



Thu Oct 02 16:35:51 2008

EliStartPage v17.11 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 3 de Octubre del 2008)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Key Eliminada [WinLogon\Notify\KHFEWOIX] -> C:\WINDOWS\SYSTEM32\khfEWOIX.dll

[WinLogon\Notify\KHFEWOIX]

Por favor, envienos el INFOSAT.TXT y una muestra del fichero

C:\WinLogon\KHFEWOIX.DLL

a "virus@satinfo.es". Gracias.

[WinLogon\Notify\__C00830E9]

Por favor, envienos el INFOSAT.TXT y una muestra del fichero

C:\WinLogon\__C00830E9.DAT

a "virus@satinfo.es". Gracias.

Por favor, envienos una muestra del fichero

C:\Muestras\KHFEWOIX.DLL.Muestra EliStartPage v17.11

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\KHFEWOIX.DLL --> Acceso Denegado.

Por favor, envienos una muestra del fichero

C:\Muestras\GEBTQJKH.DLL.Muestra EliStartPage v17.11

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\GEBTQJKH.DLL --> Renombrado a .VIR

Eliminada Class, "{E9601AD9-8DA0-4204-A717-7BC83B96524D}" -> C:\WINDOWS\system32\geBtQjkh.dll

No detectado SP3 de Windows XP

Restaurado fichero de Configuración del IE, (IERESET.INF)

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Reinicie para Completar la Limpieza.



Thu Oct 02 16:36:46 2008

EliStartPage v17.11 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 3 de Octubre del 2008)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\



Nº Total de Directorios: 9744

Nº Total de Ficheros: 114522

Nº de Ficheros Analizados: 34549

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

Sistema Infectado por el Downloader.ConHook

Sistema Infectado por el Vundo9

(C:\WINDOWS\SYSTEM32\GEBTQJKH.DLL)

Instalada Utilidad "ELINOTIF.DLL" (Reinicie de Nuevo para Completar la Limpieza)



EliNotify v1.8.09.15 (c)2008 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones:

Detectado DownLoader.ConHook

C:\WINDOWS\SYSTEM32\khfEWOIX.dll -> Eliminado.

Elininada KEY "Winlogon\Notify\KHFEWOIX"

Detectado Vundo9

Elininada Class {E9601AD9-8DA0-4204-A717-7BC83B96524D}

Elininado BHO {E9601AD9-8DA0-4204-A717-7BC83B96524D}

Desinstalado EliNotif.dll



EliNotify v1.8.09.15 (c)2008 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones:

Detectado DownLoader.ConHook

Elininada KEY "Winlogon\Notify\KHFEWOIX"

Detectado Vundo9

Elininada Class {E9601AD9-8DA0-4204-A717-7BC83B96524D}

Elininado BHO {E9601AD9-8DA0-4204-A717-7BC83B96524D}

Desinstalado EliNotif.dll



EliNotify v1.8.09.15 (c)2008 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones:

Detectado DownLoader.ConHook

Elininada KEY "Winlogon\Notify\KHFEWOIX"

Desinstalado EliNotif.dll



Thu Oct 02 17:06:32 2008

EliStartPage v17.11 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 3 de Octubre del 2008)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

[WinLogon\Notify\__C00830E9]

Por favor, envienos el INFOSAT.TXT y una muestra del fichero

C:\WinLogon\__C00830E9.DAT

a "virus@satinfo.es". Gracias.

No detectado SP3 de Windows XP

Restaurado fichero de Configuración del IE, (IERESET.INF)

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Thu Oct 02 17:10:07 2008

EliStartPage v17.11 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 3 de Octubre del 2008)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\



Nº Total de Directorios: 9744

Nº Total de Ficheros: 114519

Nº de Ficheros Analizados: 34548

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



Thu Oct 02 18:51:11 2008

EliStartPage v17.11 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 3 de Octubre del 2008)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

[WinLogon\Notify\__C00830E9]

Por favor, envienos el INFOSAT.TXT y una muestra del fichero

C:\WinLogon\__C00830E9.DAT

a "virus@satinfo.es". Gracias.

No detectado SP3 de Windows XP

Restaurado fichero de Configuración del IE, (IERESET.INF)

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Thu Oct 02 18:51:26 2008

EliStartPage v17.11 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 3 de Octubre del 2008)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\



Nº Total de Directorios: 9746

Nº Total de Ficheros: 114354

Nº de Ficheros Analizados: 34562

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



Thu Oct 02 21:34:27 2008

EliStartPage v17.11 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 3 de Octubre del 2008)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

[WinLogon\Notify\__C00830E9]

Por favor, envienos el INFOSAT.TXT y una muestra del fichero

C:\WinLogon\__C00830E9.DAT

a "virus@satinfo.es". Gracias.

No detectado SP3 de Windows XP

Restaurado fichero de Configuración del IE, (IERESET.INF)

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Thu Oct 02 21:35:01 2008

EliStartPage v17.11 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 3 de Octubre del 2008)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\



Thu Oct 02 22:13:51 2008

EliStartPage v17.11 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 3 de Octubre del 2008)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

[WinLogon\Notify\__C00830E9]

Por favor, envienos el INFOSAT.TXT y una muestra del fichero

C:\WinLogon\__C00830E9.DAT

a "virus@satinfo.es". Gracias.

No detectado SP3 de Windows XP

Restaurado fichero de Configuración del IE, (IERESET.INF)

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Thu Oct 02 22:14:09 2008

EliStartPage v17.11 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 3 de Octubre del 2008)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\



Nº Total de Directorios: 9530

Nº Total de Ficheros: 114088

Nº de Ficheros Analizados: 34583

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



Fri Oct 03 13:42:24 2008

EliStartPage v17.11 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 3 de Octubre del 2008)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

No detectado SP3 de Windows XP

Restaurado fichero de Configuración del IE, (IERESET.INF)

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Fri Oct 03 13:43:47 2008

EliStartPage v17.11 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 3 de Octubre del 2008)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\Program Files\DelPSGuard\DPSG.EXE --> Eliminado, Generic.Packed



Nº Total de Directorios: 9568

Nº Total de Ficheros: 114176

Nº de Ficheros Analizados: 34580

Nº de Ficheros Infectados: 1

Nº de Ficheros Limpiados: 1



Fri Oct 03 14:30:24 2008

EliStartPage v17.11 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 3 de Octubre del 2008)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

No detectado SP3 de Windows XP

Restaurado fichero de Configuración del IE, (IERESET.INF)

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Fri Oct 03 14:30:32 2008

EliStartPage v17.11 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 3 de Octubre del 2008)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\Program Files\DelPSGuard\DPSG.EXE --> Eliminado, Generic.Packed



Nº Total de Directorios: 9568

Nº Total de Ficheros: 114207

Nº de Ficheros Analizados: 34586

Nº de Ficheros Infectados: 1

Nº de Ficheros Limpiados: 1



Wed Oct 29 10:04:35 2008

EliStartPage v17.28 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 28 de Octubre del 2008)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

(Valor Run y RunServices "INTERNET EXPLORER")

Por favor, envienos una muestra del fichero

C:\WINDOWS\SYSTEM32\iexplore.exe

a "virus@satinfo.es". Gracias.

C:\WINDOWS\FIXCAMERA.EXE --> PUP.FixCamera Renombrado a .VIR

Por favor, envienos una muestra del fichero

C:\Muestras\IEXPLORE.EXE.Muestra EliStartPage v17.28

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\IEXPLORE.EXE --> Eliminado

Entrada Eliminada [HKLM\...\Run] "FIXCAMERA"="C:\WINDOWS\FixCamera.exe"

Entrada Eliminada [HKLM\...\Run] "Internet Explorer"="iexplore.exe"

Entrada Eliminada [HKLM\...\RunServices] "Internet Explorer"="iexplore.exe"



Wed Oct 29 11:18:25 2008

EliStartPage v17.28 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 28 de Octubre del 2008)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

(Valor Run y RunServices "INTERNET EXPLORER")

Por favor, envienos una muestra del fichero

C:\WINDOWS\SYSTEM32\iexplore.exe

a "virus@satinfo.es". Gracias.

C:\WINDOWS\FIXCAMERA.EXE.VIR --> Eliminado.

C:\WINDOWS\FIXCAMERA.EXE --> PUP.FixCamera Renombrado a .VIR

Por favor, envienos una muestra del fichero

C:\Muestras\IEXPLORE.EXE.Muestra EliStartPage v17.28

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\IEXPLORE.EXE --> Eliminado

Entrada Eliminada [HKLM\...\Run] "FIXCAMERA"="C:\WINDOWS\FixCamera.exe"

Entrada Eliminada [HKLM\...\Run] "Internet Explorer"="iexplore.exe"

Entrada Eliminada [HKLM\...\RunServices] "Internet Explorer"="iexplore.exe"



Wed Oct 29 14:42:56 2008

EliStartPage v17.28 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 28 de Octubre del 2008)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

No detectado SP3 de Windows XP

Restaurado fichero de Configuración del IE, (IERESET.INF)

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Wed Oct 29 14:43:22 2008

EliStartPage v17.28 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 28 de Octubre del 2008)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\WINDOWS\FIXCAMERA.EXE.VIR --> Eliminado, PUP.FixCamera



Nº Total de Directorios: 10451

Nº Total de Ficheros: 120848

Nº de Ficheros Analizados: 35440

Nº de Ficheros Infectados: 1

Nº de Ficheros Limpiados: 1



Wed Oct 29 14:56:58 2008

EliPen v1.8 (c)2008 S.G.H. / Satinfo S.L.

------------------------------------------



Unidad C:\ Protegida



Unidad C:\ YA esta Protegida



Wed Oct 29 15:01:05 2008

EliPen v1.8 (c)2008 S.G.H. / Satinfo S.L.

------------------------------------------



Detectado F:\Autorun.inf

F:\Autorun.inf -> Renombrado a .OLD

Unidad F:\ Protegida



Unidad F:\ YA esta Protegida



Unidad F:\ YA esta Protegida



Unidad F:\ YA esta Protegida



Thu Oct 30 02:35:39 2008

EliStartPage v17.29 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 29 de Octubre del 2008)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

No detectado SP3 de Windows XP

Restaurado fichero de Configuración del IE, (IERESET.INF)

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Thu Oct 30 02:36:00 2008

EliStartPage v17.29 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 29 de Octubre del 2008)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\Muestras\IEXPLORE.EXE.MUESTRA ELISTARTPAGE V17.28 --> Eliminado, Dropper.SID



Nº Total de Directorios: 10372

Nº Total de Ficheros: 119893

Nº de Ficheros Analizados: 35290

Nº de Ficheros Infectados: 1

Nº de Ficheros Limpiados: 1



Thu Oct 30 03:34:28 2008

EliStartPage v17.29 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 29 de Octubre del 2008)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

No detectado SP3 de Windows XP

Restaurado fichero de Configuración del IE, (IERESET.INF)

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE
Arriba
Avatar de Usuario
msc hotline sat
Mensajes: 93500
Registrado: 09 Mar 2004, 20:39
Ubicación: BARCELONA (ESPAÑA)
Contactar:
Contactar msc hotline sat

Re: Virus... creo que modifica cosas del win32

Mensaje por msc hotline sat » 30 Oct 2008, 08:33

Digamos que no es muy conocido.



Bien, pues ya solo le queda lanzar un windowsupdate e instalar el SP3 y otros que encuentre a faltar con él.



Y comentenos si tras ello pesiste algun problema o podemos dar el Tema por solucionado, gracias



saludos



ms, 30-10-2008
Arriba
Responder

Volver a “Foro Virus - Cuentanos tu problema”