envio muestras de virus

[alejandrovazuezmx]

hola envio estas muestras de virus de mi equipo

gracias

[alejandrovazuezmx]

envio infosat



Fri Feb 27 11:00:28 2009

EliStartPage v18.09 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 25 de Febrero del 2009)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

C:\ARCHIVOS DE PROGRAMA\MYWEBSEARCH\BAR\1.BIN\F3CJPEG.DLL --> Eliminado MyWebSearch

C:\ARCHIVOS DE PROGRAMA\MYWEBSEARCH\BAR\1.BIN\F3HTMLMU.DLL --> Eliminado MyWebSearch

C:\ARCHIVOS DE PROGRAMA\MYWEBSEARCH\BAR\1.BIN\F3POPSWT.DLL --> Eliminado MyWebSearch

C:\ARCHIVOS DE PROGRAMA\MYWEBSEARCH\BAR\1.BIN\F3PSSAVR.SCR --> Eliminado MyWebSearch

C:\ARCHIVOS DE PROGRAMA\MYWEBSEARCH\BAR\1.BIN\F3REPROX.DLL --> Eliminado MyWebSearch

C:\ARCHIVOS DE PROGRAMA\MYWEBSEARCH\BAR\1.BIN\F3RESTUB.DLL --> Eliminado MyWebSearch

C:\ARCHIVOS DE PROGRAMA\MYWEBSEARCH\BAR\1.BIN\F3SCRCTR.DLL --> Eliminado MyWebSearch

C:\ARCHIVOS DE PROGRAMA\MYWEBSEARCH\BAR\1.BIN\F3WPHOOK.DLL --> Eliminado MyWebSearch

C:\ARCHIVOS DE PROGRAMA\MYWEBSEARCH\BAR\1.BIN\M3HTML.DLL --> Eliminado MyWebSearch

C:\ARCHIVOS DE PROGRAMA\MYWEBSEARCH\BAR\1.BIN\M3OUTLCN.DLL --> Eliminado MyWebSearch

C:\ARCHIVOS DE PROGRAMA\MYWEBSEARCH\BAR\1.BIN\M3SKIN.DLL --> Eliminado MyWebSearch

C:\ARCHIVOS DE PROGRAMA\MYWEBSEARCH\BAR\1.BIN\MWSBAR.DLL --> MyWebSearch Renombrado a .VIR

C:\ARCHIVOS DE PROGRAMA\MYWEBSEARCH\BAR\1.BIN\MWSOEMON.EXE --> Eliminado MyWebSearch

C:\ARCHIVOS DE PROGRAMA\MYWEBSEARCH\BAR\1.BIN\MWSOEPLG.DLL --> Eliminado MyWebSearch

Por favor, envienos una muestra del fichero

C:\Muestras\MWSOESTB.DLL.Muestra EliStartPage v18.09

a "virus@satinfo.es". Gracias.

C:\ARCHIVOS DE PROGRAMA\MYWEBSEARCH\BAR\1.BIN\MWSOESTB.DLL --> Eliminado

Por favor, envienos una muestra del fichero

C:\Muestras\MWSSRCAS.DLL.Muestra EliStartPage v18.09

a "virus@satinfo.es". Gracias.

C:\ARCHIVOS DE PROGRAMA\MYWEBSEARCH\SRCHASTT\1.BIN\MWSSRCAS.DLL --> Renombrado a .VIR

Entrada Eliminada [HKCU\...\Run] "MyWebSearch Email Plugin"="C:\ARCHIV~1\MYWEBS~1\bar\1.bin\mwsoemon.exe"

Entrada Eliminada [HKLM\...\Run] "MyWebSearch Email Plugin"="C:\ARCHIV~1\MYWEBS~1\bar\1.bin\mwsoemon.exe"

Eliminada Class, "{00A6FAF1-072E-44CF-8957-5838F569A31D}" -> C:\Archivos de programa\MyWebSearch\SrchAstt\1.bin\MWSSRCAS.DLL

Eliminada Class, "{00A6FAF6-072E-44CF-8957-5838F569A31D}" -> C:\Archivos de programa\MyWebSearch\SrchAstt\1.bin\MWSSRCAS.DLL

Eliminada Class, "{07B18EA1-A523-4961-B6BB-170DE4475CCA}" -> C:\Archivos de programa\MyWebSearch\bar\1.bin\MWSBAR.DLL

Eliminada Class, "{07B18EA9-A523-4961-B6BB-170DE4475CCA}" -> C:\Archivos de programa\MyWebSearch\bar\1.bin\MWSBAR.DLL

Eliminada Class, "{07B18EAB-A523-4961-B6BB-170DE4475CCA}" -> C:\Archivos de programa\MyWebSearch\bar\1.bin\MWSBAR.DLL

Eliminada Class, "{147A976F-EEE1-4377-8EA7-4716E4CDD239}" -> NULL1

Eliminada Class, "{3DC201FB-E9C9-499C-A11F-23C360D7C3F8}" -> C:\Archivos de programa\MyWebSearch\bar\1.bin\F3HTMLMU.DLL

Eliminada Class, "{3E720452-B472-4954-B7AA-33069EB53906}" -> C:\Archivos de programa\MyWebSearch\bar\1.bin\M3HTML.DLL

Eliminada Class, "{53CED2D0-5E9A-4761-9005-648404E6F7E5}" -> C:\Archivos de programa\MyWebSearch\bar\1.bin\MWSBAR.DLL

Eliminada Class, "{63D0ED2C-B45B-4458-8B3B-60C69BBBD83C}" -> C:\Archivos de programa\MyWebSearch\bar\1.bin\F3POPSWT.DLL

Eliminada Class, "{7473D292-B7BB-4F24-AE82-7E2CE94BB6A9}" -> C:\Archivos de programa\MyWebSearch\bar\1.bin\M3SKIN.DLL

Eliminada Class, "{7473D294-B7BB-4F24-AE82-7E2CE94BB6A9}" -> C:\Archivos de programa\MyWebSearch\bar\1.bin\M3SKIN.DLL

Eliminada Class, "{7473D296-B7BB-4F24-AE82-7E2CE94BB6A9}" -> C:\Archivos de programa\MyWebSearch\bar\1.bin\M3SKIN.DLL

Eliminada Class, "{8E6F1832-9607-4440-8530-13BE7C4B1D14}" -> C:\Archivos de programa\MyWebSearch\bar\1.bin\F3POPSWT.DLL

Eliminada Class, "{938AA51A-996C-4884-98CE-80DD16A5C9DA}" -> C:\Archivos de programa\MyWebSearch\bar\1.bin\F3SCRCTR.DLL

Eliminada Class, "{98D9753D-D73B-42D5-8C85-4469CDA897AB}" -> C:\Archivos de programa\MyWebSearch\bar\1.bin\F3HTMLMU.DLL

Eliminada Class, "{9AFB8248-617F-460D-9366-D71CDEDA3179}" -> NULL1

Eliminada Class, "{9FF05104-B030-46FC-94B8-81276E4E27DF}" -> C:\Archivos de programa\MyWebSearch\bar\1.bin\F3SCRCTR.DLL

Eliminada Class, "{A9571378-68A1-443D-B082-284F960C6D17}" -> C:\Archivos de programa\MyWebSearch\bar\1.bin\F3POPSWT.DLL

Eliminada Class, "{ADB01E81-3C79-4272-A0F1-7B2BE7A782DC}" -> C:\Archivos de programa\MyWebSearch\bar\1.bin\M3OUTLCN.DLL

Linea Eliminada del HOSTS --> 127.0.0.1 hk.winantivirus.com

Linea Eliminada del HOSTS --> 127.0.0.1 instlog.errorsafe.com

Linea Eliminada del HOSTS --> 127.0.0.1 instlog.winantivirus.com

Linea Eliminada del HOSTS --> 127.0.0.1 instlog.winfixer.com

Linea Eliminada del HOSTS --> 127.0.0.1 jsp.drivecleaner.com

Linea Eliminada del HOSTS --> 127.0.0.1 kb.errorsafe.com

Linea Eliminada del HOSTS --> 127.0.0.1 b.winantivirus.com

Linea Eliminada del HOSTS --> 127.0.0.1 l.errorsafe.com

Linea Eliminada del HOSTS --> 127.0.0.1 e.errorsafe.com

Linea Eliminada del HOSTS --> 127.0.0.1 secure.drivecleaner.com

Linea Eliminada del HOSTS --> 127.0.0.1 secure.errorsafe.com

Linea Eliminada del HOSTS --> 127.0.0.1 secure.winantispam.com

Linea Eliminada del HOSTS --> 127.0.0.1 secure.winantispy.com

Linea Eliminada del HOSTS --> 127.0.0.1 secure.winantivirus.com

Linea Eliminada del HOSTS --> 127.0.0.1 support.winantivirus.com

Linea Eliminada del HOSTS --> 127.0.0.1 trial.updates.winsoftware.com

Linea Eliminada del HOSTS --> 127.0.0.1 ulog.winantivirus.com

Linea Eliminada del HOSTS --> 127.0.0.1 utils.errorsafe.com

Linea Eliminada del HOSTS --> 127.0.0.1 utils.winantivirus.com

Linea Eliminada del HOSTS --> 127.0.0.1 utils.winfixer.com

Linea Eliminada del HOSTS --> 127.0.0.1 winantispyware.com

Linea Eliminada del HOSTS --> 127.0.0.1 winantivirus.com

Linea Eliminada del HOSTS --> 127.0.0.1 winfixer.com

Linea Eliminada del HOSTS --> 127.0.0.1 winfixer2006.com

Linea Eliminada del HOSTS --> 127.0.0.1 winsoftware.com

Linea Eliminada del HOSTS --> 127.0.0.1 www.drivecleaner.com

Linea Eliminada del HOSTS --> 127.0.0.1 www.errorprotector.com

Linea Eliminada del HOSTS --> 127.0.0.1 www.errorsafe.com

Linea Eliminada del HOSTS --> 127.0.0.1 www.systemdoctor.com

Linea Eliminada del HOSTS --> 127.0.0.1 www.utils.winfixer.com

Linea Eliminada del HOSTS --> 127.0.0.1 www.win-anti-virus-pro.com

Linea Eliminada del HOSTS --> 127.0.0.1 www.win-virus-pro.com

Linea Eliminada del HOSTS --> 127.0.0.1 www.winantispam.com

Linea Eliminada del HOSTS --> 127.0.0.1 www.winantispy.com

Linea Eliminada del HOSTS --> 127.0.0.1 www.winantispyware.com

Linea Eliminada del HOSTS --> 127.0.0.1 www.winantivirus.com

Linea Eliminada del HOSTS --> 127.0.0.1 www.winantiviruspro.com

Linea Eliminada del HOSTS --> 127.0.0.1 www.windrivecleaner.com

Linea Eliminada del HOSTS --> 127.0.0.1 www.windrivesafe.com

Linea Eliminada del HOSTS --> 127.0.0.1 www.winfixer.com

Linea Eliminada del HOSTS --> 127.0.0.1 www.winfixer2006.com

Eliminada Carpeta "%Archivos de Programa%\FunWebProducts"

No detectado SP3 de Windows XP

No detectado Parche MS08-067 de Microsoft instalado. (SServidor)

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Reinicie para Completar la Limpieza.



Fri Feb 27 11:12:30 2009

EliStartPage v18.09 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 25 de Febrero del 2009)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"

C:\Archivos de programa\Internet Explorer\MSIMG32.DLL --> Eliminado, MyWebSearch.AU

C:\Documents and Settings\All Users\Documentos\KINGSTON (E)\AUTORUN.INF --> Eliminado, PWS-OnLineGames.AMVO(inf)

C:\Documents and Settings\All Users\Documentos\KINGSTON (E)\KINGSTON (E)\AUTORUN.INF --> Eliminado, PWS-OnLineGames.AMVO(inf)

C:\Documents and Settings\All Users\Documentos\KINGSTON (E)\KINGSTON (E)\Copia de KINGSTON (E)\AUTORUN.INF --> Eliminado, PWS-OnLineGames.AMVO(inf)

C:\Documents and Settings\All Users\Documentos\KINGSTON (E)\KINGSTON (E)\KINGSTON (E)\AUTORUN.INF --> Eliminado, PWS-OnLineGames.AMVO(inf)

C:\Documents and Settings\All Users\Documentos\KINGSTON (E)\KINGSTON (E)\Nueva carpeta\KINGSTON (E)\AUTORUN.INF --> Eliminado, PWS-OnLineGames.AMVO(inf)

C:\Documents and Settings\All Users\Documentos\KINGSTON (E)\KINGSTON (E)\Nueva carpeta\KINGSTON (E)\Copia de KINGSTON (E)\AUTORUN.INF --> Eliminado, PWS-OnLineGames.AMVO(inf)

C:\Documents and Settings\All Users\Documentos\KINGSTON (E)\KINGSTON (E)\Nueva carpeta\KINGSTON (E)\KINGSTON (E)\AUTORUN.INF --> Eliminado, PWS-OnLineGames.AMVO(inf)

C:\Documents and Settings\All Users\Documentos\KINGSTON (E)\Nueva carpeta\KINGSTON (E)\AUTORUN.INF --> Eliminado, PWS-OnLineGames.AMVO(inf)

C:\Documents and Settings\All Users\Documentos\KINGSTON (E)\Nueva carpeta\KINGSTON (E)\Copia de KINGSTON (E)\AUTORUN.INF --> Eliminado, PWS-OnLineGames.AMVO(inf)

C:\Documents and Settings\All Users\Documentos\KINGSTON (E)\Nueva carpeta\KINGSTON (E)\KINGSTON (E)\AUTORUN.INF --> Eliminado, PWS-OnLineGames.AMVO(inf)

C:\WINDOWS\system32\F3PSSAVR.SCR --> Eliminado, MyWebSearch



Nº Total de Directorios: 3586

Nº Total de Ficheros: 41958

Nº de Ficheros Analizados: 16105

Nº de Ficheros Infectados: 12

Nº de Ficheros Limpiados: 12



Fri Feb 27 11:20:11 2009

EliTriIP v5.60 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 23 de Febrero del 2009)

---------------------------------------------

Lista de Acciones (por Acción Directa):

No detectado SP3 de Windows XP

No detectado Parche MS08-067 de Microsoft instalado. (SServidor)



Fri Feb 27 11:20:13 2009

EliTriIP v5.60 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 23 de Febrero del 2009)

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"



Nº Total de Directorios: 3585

Nº Total de Ficheros: 41946

Nº de Ficheros Analizados: 15017

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



Fri Feb 27 11:26:41 2009

EliStartPage v18.09 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 25 de Febrero del 2009)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminada Carpeta "%Archivos de Programa%\MyWebSearch"

No detectado SP3 de Windows XP

No detectado Parche MS08-067 de Microsoft instalado. (SServidor)

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Fri Feb 27 11:26:50 2009

EliStartPage v18.09 (c)2009 S.G.H. / Satinfo S.L. (Actualizado el 25 de Febrero del 2009)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "E:\"



Nº Total de Directorios: 237

Nº Total de Ficheros: 1541

Nº de Ficheros Analizados: 70

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

[julibaga]

Sí, por favor, envía estas muestras:
[quote="alejandrovazuezmx"]C:\Muestras\MWSOESTB.DLL.Muestra EliStartPage v18.09

C:\Muestras\MWSSRCAS.DLL.Muestra EliStartPage v18.09
[/quote]
Para ello recuerda:

https://foros.zonavirus.com/viewtopic.php?f=5&t=14253



Y se aprecia:
[quote="alejandrovazuezmx"]No detectado SP3 de Windows XP

No detectado Parche MS08-067 de Microsoft instalado. (SServidor)[/quote]
Por lo que se recomienda actualizar parches lanzando windowsupdate.

[lucl]

Comprueba que las muestras que se te piden en el infosat son las que enviaste o si son otras. Si no son las mismas envianoslas tambien y nos lo confirmas saludos

[msc hotline sat]

Sí, probablemente son nuevas variantes del MyWebearSearch:





http://www.prevx.com/filenames/10241299201522995-X1/MWSOESTB2EDLL.html



http://www.prevx.com/filenames/217663830254669462-X1/MWSSRCAS2EDLL.html





Como muy bien han indicado julibaga y lucl, envianos dichas muestras para analizar y tras recibirlas, los analizaremos e implementaremos su control y eliminacion,



si procede, en nuestras utilidades, de lo cual informaremos



saludos



ms, 28-2-2009

[msc hotline sat]

Recibidas las muestras solicitadas, son variantes de MyWebSearch que pasamos a controlar con el ELISTARA 18.12 de hoy:


[quote]
[b] ELISTARA: [/b]

http://www.zonavirus.com/descargas/elistara.asp



Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso
[/quote]

A partir de las 19 h GMT, estará disponible en esta web, para pruebas de evaluacion en el foro de zonavirus



saludos



ms, 2-3-2009