y los que te den viricos les añadas extension .vir y nos copies el log resultante. Para enviar los archivos empaquetalos con winrar una vez añadida la extension .vir y ponle al winrar de contraseña la palabra virus. Te los analizaremos y te daremos la herramienta necesaria para su eliminacion. Al añadirles .vir no deberian incordiarte pero tu ve probando. Utilizan NetScheduleJobAdd para camuflarse pero no te preocupes que les daremos matarile. Saludos.
Varios procesos RUNDLL32.exe
Re: Varios procesos RUNDLL32.exe
Pues hola si mira quiero que envies lo que encuentres por ejemplo eaagmczf etc , incluso te diria que si te ves con animos subas a analizar los archivos a virustotal
www.virustotal.com/es
y los que te den viricos les añadas extension .vir y nos copies el log resultante. Para enviar los archivos empaquetalos con winrar una vez añadida la extension .vir y ponle al winrar de contraseña la palabra virus. Te los analizaremos y te daremos la herramienta necesaria para su eliminacion. Al añadirles .vir no deberian incordiarte pero tu ve probando. Utilizan NetScheduleJobAdd para camuflarse pero no te preocupes que les daremos matarile. Saludos.
y los que te den viricos les añadas extension .vir y nos copies el log resultante. Para enviar los archivos empaquetalos con winrar una vez añadida la extension .vir y ponle al winrar de contraseña la palabra virus. Te los analizaremos y te daremos la herramienta necesaria para su eliminacion. Al añadirles .vir no deberian incordiarte pero tu ve probando. Utilizan NetScheduleJobAdd para camuflarse pero no te preocupes que les daremos matarile. Saludos.
Re: Varios procesos RUNDLL32.exe
Te adjunte cuatro de los .job renombrados a .vir y zippeados como me indicaste. Te 4 logs, todos arrojan lo mismo, peor no iba a analizar las 300 .job que estaban , jajajaja. Con cuanto supongoq eu alcanza ya que todos arrojan lo mismo.
Te dejo los logs, aparentemente detecto que son un win32.worm:
https://www.virustotal.com/es//analisis/9d7e17559f7430718b1d8f2cf72207f21e783102afde1753739cb1eb0a2e59e7-1276282369
Motor antivirus Versión Última actualización Resultado
a-squared 5.0.0.26 2010.06.11 -
AhnLab-V3 2010.06.11.00 2010.06.11 TextImage/Conficker
AntiVir 8.2.2.6 2010.06.11 -
Antiy-AVL 2.0.3.7 2010.06.11 -
Authentium 5.2.0.5 2010.06.11 -
Avast 4.8.1351.0 2010.06.11 -
Avast5 5.0.332.0 2010.06.11 -
AVG 9.0.0.787 2010.06.11 -
BitDefender 7.2 2010.06.11 Win32.Worm.DownadupJob.A
CAT-QuickHeal 10.00 2010.06.11 -
ClamAV 0.96.0.3-git 2010.06.11 -
Comodo 5059 2010.06.11 -
DrWeb 5.0.2.03300 2010.06.11 -
eSafe 7.0.17.0 2010.06.10 -
eTrust-Vet 36.1.7629 2010.06.11 Win32/RemoteJob
F-Prot 4.6.0.103 2010.06.11 -
F-Secure 9.0.15370.0 2010.06.11 Worm:W32/Downadupjob.gen!A
Fortinet 4.1.133.0 2010.06.11 -
GData 21 2010.06.11 Win32.Worm.DownadupJob.A
Ikarus T3.1.1.84.0 2010.06.11 -
Jiangmin 13.0.900 2010.06.11 -
Kaspersky 7.0.0.125 2010.06.11 -
McAfee 5.400.0.1158 2010.06.11 -
McAfee-GW-Edition 2010.1 2010.06.11 -
Microsoft 1.5802 2010.06.11 -
NOD32 5191 2010.06.11 -
Norman 6.04.12 2010.06.11 -
nProtect 2010-06-11.01 2010.06.11 Win32.Worm.DownadupJob.A
Panda 10.0.2.7 2010.06.11 -
Prevx 3.0 2010.06.11 -
Rising 22.51.04.04 2010.06.11 -
Sophos 4.54.0 2010.06.11 -
Sunbelt 6435 2010.06.11 -
Symantec 20101.1.0.89 2010.06.11 -
TheHacker 6.5.2.0.297 2010.06.11 -
TrendMicro 9.120.0.1004 2010.06.11 TROJ_DOWNADJOB.A
TrendMicro-HouseCall 9.120.0.1004 2010.06.11 TROJ_DOWNADJOB.A
VBA32 3.12.12.5 2010.06.11 -
ViRobot 2010.6.11.3881 2010.06.11 -
VirusBuster 5.0.27.0 2010.06.11 -
Información adicional
File size: 350 bytes
MD5 : 972706cf6e1465e561466c7017d9d624
SHA1 : 1ed33067d09982d5e2a46f531b922dc913d00809
SHA256: 9d7e17559f7430718b1d8f2cf72207f21e783102afde1753739cb1eb0a2e59e7
TrID : File type identification
Unknown!
ssdeep: 6:u+E1ozllVt09pnWhAlAt0fCXocl8/DeKNPKl1O2ctAv5VGdWldX+7nXrRjCjj8jV:u+E1GvlWlDfCYcqD512cYLGMdujXrRjd
sigcheck: publisher....: n/a
copyright....: n/a
product......: n/a
description..: n/a
original name: n/a
internal name: n/a
file version.: n/a
comments.....: n/a
signers......: -
signing date.: -
verified.....: Unsigned
PEiD : -
RDS : NSRL Reference Data Set
https://www.virustotal.com/es/analisis/2e89a2a0e89d988ab677fb222ee17b7837643b61ac055aa199a5cc6f062def0c-1276283475
Motor antivirus Versión Última actualización Resultado
a-squared 5.0.0.26 2010.06.11 -
AhnLab-V3 2010.06.11.00 2010.06.11 TextImage/Conficker
AntiVir 8.2.2.6 2010.06.11 -
Antiy-AVL 2.0.3.7 2010.06.11 -
Authentium 5.2.0.5 2010.06.11 -
Avast 4.8.1351.0 2010.06.11 -
Avast5 5.0.332.0 2010.06.11 -
AVG 9.0.0.787 2010.06.11 -
BitDefender 7.2 2010.06.11 Win32.Worm.DownadupJob.A
CAT-QuickHeal 10.00 2010.06.11 -
ClamAV 0.96.0.3-git 2010.06.11 -
Comodo 5059 2010.06.11 -
DrWeb 5.0.2.03300 2010.06.11 -
eSafe 7.0.17.0 2010.06.10 -
eTrust-Vet 36.1.7629 2010.06.11 Win32/RemoteJob
F-Prot 4.6.0.103 2010.06.11 -
F-Secure 9.0.15370.0 2010.06.11 Worm:W32/Downadupjob.gen!A
Fortinet 4.1.133.0 2010.06.11 -
GData 21 2010.06.11 Win32.Worm.DownadupJob.A
Ikarus T3.1.1.84.0 2010.06.11 -
Jiangmin 13.0.900 2010.06.11 -
Kaspersky 7.0.0.125 2010.06.11 -
McAfee 5.400.0.1158 2010.06.11 -
McAfee-GW-Edition 2010.1 2010.06.11 -
Microsoft 1.5802 2010.06.11 -
NOD32 5191 2010.06.11 -
Norman 6.04.12 2010.06.11 -
nProtect 2010-06-11.01 2010.06.11 Win32.Worm.DownadupJob.A
Panda 10.0.2.7 2010.06.11 -
PCTools 7.0.3.5 2010.06.11 -
Prevx 3.0 2010.06.11 -
Rising 22.51.04.04 2010.06.11 -
Sophos 4.54.0 2010.06.11 -
Sunbelt 6436 2010.06.11 -
Symantec 20101.1.0.89 2010.06.11 -
TheHacker 6.5.2.0.297 2010.06.11 -
TrendMicro 9.120.0.1004 2010.06.11 TROJ_DOWNADJOB.A
TrendMicro-HouseCall 9.120.0.1004 2010.06.11 TROJ_DOWNADJOB.A
VBA32 3.12.12.5 2010.06.11 -
ViRobot 2010.6.11.3881 2010.06.11 -
VirusBuster 5.0.27.0 2010.06.11 -
Información adicional
Tamano archivo: 352 bytes
MD5...: 45e23e312b1ee2769d688dc24abb790e
SHA1..: 9c99213fe25eeb0496be35b89bb287a2340a3c28
SHA256: 2e89a2a0e89d988ab677fb222ee17b7837643b61ac055aa199a5cc6f062def0c
ssdeep: 6:L2N+uanWhAlAtVelMCXujzeKNPKl1O2ctAv5VGdpmFNWMemw68KKXY5q:L8WlZ
lMC+/512cYLGq/w68VI5q
PEiD..: -
PEInfo: -
RDS...: NSRL Reference Data Set
-
pdfid.: -
trid..: Unknown!
sigcheck:
publisher....: n/a
copyright....: n/a
product......: n/a
description..: n/a
original name: n/a
internal name: n/a
file version.: n/a
comments.....: n/a
signers......: -
signing date.: -
verified.....: Unsigned
https://www.virustotal.com/es/analisis/8ecbbc66bb0b5826a01997cf021614e40b5daf021cfa33b0c02d16501762a3bf-1276283552
Motor antivirus Versión Última actualización Resultado
a-squared 5.0.0.26 2010.06.11 -
AhnLab-V3 2010.06.11.00 2010.06.11 TextImage/Conficker
AntiVir 8.2.2.6 2010.06.11 -
Antiy-AVL 2.0.3.7 2010.06.11 -
Authentium 5.2.0.5 2010.06.11 -
Avast 4.8.1351.0 2010.06.11 -
Avast5 5.0.332.0 2010.06.11 -
AVG 9.0.0.787 2010.06.11 -
BitDefender 7.2 2010.06.11 Win32.Worm.DownadupJob.A
CAT-QuickHeal 10.00 2010.06.11 -
ClamAV 0.96.0.3-git 2010.06.11 -
Comodo 5059 2010.06.11 -
DrWeb 5.0.2.03300 2010.06.11 -
eSafe 7.0.17.0 2010.06.10 -
eTrust-Vet 36.1.7629 2010.06.11 Win32/RemoteJob
F-Prot 4.6.0.103 2010.06.11 -
F-Secure 9.0.15370.0 2010.06.11 Worm:W32/Downadupjob.gen!A
Fortinet 4.1.133.0 2010.06.11 -
GData 21 2010.06.11 Win32.Worm.DownadupJob.A
Ikarus T3.1.1.84.0 2010.06.11 -
Jiangmin 13.0.900 2010.06.11 -
Kaspersky 7.0.0.125 2010.06.11 -
McAfee 5.400.0.1158 2010.06.11 -
McAfee-GW-Edition 2010.1 2010.06.11 -
Microsoft 1.5802 2010.06.11 -
NOD32 5191 2010.06.11 -
Norman 6.04.12 2010.06.11 -
nProtect 2010-06-11.01 2010.06.11 Win32.Worm.DownadupJob.A
Panda 10.0.2.7 2010.06.11 -
PCTools 7.0.3.5 2010.06.11 -
Prevx 3.0 2010.06.11 -
Rising 22.51.04.04 2010.06.11 -
Sophos 4.54.0 2010.06.11 -
Sunbelt 6436 2010.06.11 -
Symantec 20101.1.0.89 2010.06.11 -
TheHacker 6.5.2.0.297 2010.06.11 -
TrendMicro 9.120.0.1004 2010.06.11 TROJ_DOWNADJOB.A
TrendMicro-HouseCall 9.120.0.1004 2010.06.11 TROJ_DOWNADJOB.A
VBA32 3.12.12.5 2010.06.11 -
ViRobot 2010.6.11.3881 2010.06.11 -
VirusBuster 5.0.27.0 2010.06.11 -
Información adicional
Tamano archivo: 348 bytes
MD5...: 3f7df58f5eaefa65642c48fe46d83929
SHA1..: 1b60a0dcb1ab6144aeef101529f15d919c73ef39
SHA256: 8ecbbc66bb0b5826a01997cf021614e40b5daf021cfa33b0c02d16501762a3bf
ssdeep: 6:gQkO7t09xgnWhAlAtRCXoIeKNPKl1O2ctAv5VGdNLbybEkL5eZ:VkyyWlCCYI5
12cYLG7O1g
PEiD..: -
PEInfo: -
RDS...: NSRL Reference Data Set
-
pdfid.: -
trid..: Unknown!
sigcheck:
publisher....: n/a
copyright....: n/a
product......: n/a
description..: n/a
original name: n/a
internal name: n/a
file version.: n/a
comments.....: n/a
signers......: -
signing date.: -
verified.....: Unsigned
https://www.virustotal.com/es/analisis/bd706b2c9544fe74b0afe62ead63e76fe831d91909860c6b7b91299c2c22a04a-1276283599
Motor antivirus Versión Última actualización Resultado
a-squared 5.0.0.26 2010.06.11 -
AhnLab-V3 2010.06.11.00 2010.06.11 TextImage/Conficker
AntiVir 8.2.2.6 2010.06.11 -
Antiy-AVL 2.0.3.7 2010.06.11 -
Authentium 5.2.0.5 2010.06.11 -
Avast 4.8.1351.0 2010.06.11 -
Avast5 5.0.332.0 2010.06.11 -
AVG 9.0.0.787 2010.06.11 -
BitDefender 7.2 2010.06.11 Win32.Worm.DownadupJob.A
CAT-QuickHeal 10.00 2010.06.11 -
ClamAV 0.96.0.3-git 2010.06.11 -
Comodo 5059 2010.06.11 -
DrWeb 5.0.2.03300 2010.06.11 -
eSafe 7.0.17.0 2010.06.10 -
eTrust-Vet 36.1.7629 2010.06.11 Win32/RemoteJob
F-Prot 4.6.0.103 2010.06.11 -
F-Secure 9.0.15370.0 2010.06.11 Worm:W32/Downadupjob.gen!A
Fortinet 4.1.133.0 2010.06.11 -
GData 21 2010.06.11 Win32.Worm.DownadupJob.A
Ikarus T3.1.1.84.0 2010.06.11 -
Jiangmin 13.0.900 2010.06.11 -
Kaspersky 7.0.0.125 2010.06.11 -
McAfee 5.400.0.1158 2010.06.11 -
McAfee-GW-Edition 2010.1 2010.06.11 -
Microsoft 1.5802 2010.06.11 -
NOD32 5191 2010.06.11 -
Norman 6.04.12 2010.06.11 -
nProtect 2010-06-11.01 2010.06.11 Win32.Worm.DownadupJob.A
Panda 10.0.2.7 2010.06.11 -
PCTools 7.0.3.5 2010.06.11 -
Prevx 3.0 2010.06.11 -
Rising 22.51.04.04 2010.06.11 -
Sophos 4.54.0 2010.06.11 -
Sunbelt 6436 2010.06.11 -
Symantec 20101.1.0.89 2010.06.11 -
TheHacker 6.5.2.0.297 2010.06.11 -
TrendMicro 9.120.0.1004 2010.06.11 TROJ_DOWNADJOB.A
TrendMicro-HouseCall 9.120.0.1004 2010.06.11 TROJ_DOWNADJOB.A
VBA32 3.12.12.5 2010.06.11 -
ViRobot 2010.6.11.3881 2010.06.11 -
VirusBuster 5.0.27.0 2010.06.11 -
Información adicional
Tamano archivo: 352 bytes
MD5...: 57ad40d5a47b1359f483a6e83b1d6d95
SHA1..: 2a7ab64f891e3a242996f5b72b58bba414c05898
SHA256: bd706b2c9544fe74b0afe62ead63e76fe831d91909860c6b7b91299c2c22a04a
ssdeep: 6:FxL++nWhAlAtbMlb1+41ni//DeKNPKl1O2ctAv5VGeqxBQNbdZ188:FIXWl2kR
+41ny/D512cYLGeqOh88
PEiD..: -
PEInfo: -
RDS...: NSRL Reference Data Set
-
pdfid.: -
trid..: Unknown!
sigcheck:
publisher....: n/a
copyright....: n/a
product......: n/a
description..: n/a
original name: n/a
internal name: n/a
file version.: n/a
comments.....: n/a
signers......: -
signing date.: -
verified.....: Unsigned
El eaagmczf no lo encontre en ningun lado, por eso solo manod los .job
El eaagmczf es el que los genera y lueog la clave que le seguia al aprecer es un codigo aleatorio que agrega al generarse, proqeu se reite siempre pero esa cambia al azar en los distintos .job
Saludos,
Gracias por la ayuda
Te dejo los logs, aparentemente detecto que son un win32.worm:
Motor antivirus Versión Última actualización Resultado
a-squared 5.0.0.26 2010.06.11 -
AhnLab-V3 2010.06.11.00 2010.06.11 TextImage/Conficker
AntiVir 8.2.2.6 2010.06.11 -
Antiy-AVL 2.0.3.7 2010.06.11 -
Authentium 5.2.0.5 2010.06.11 -
Avast 4.8.1351.0 2010.06.11 -
Avast5 5.0.332.0 2010.06.11 -
AVG 9.0.0.787 2010.06.11 -
BitDefender 7.2 2010.06.11 Win32.Worm.DownadupJob.A
CAT-QuickHeal 10.00 2010.06.11 -
ClamAV 0.96.0.3-git 2010.06.11 -
Comodo 5059 2010.06.11 -
DrWeb 5.0.2.03300 2010.06.11 -
eSafe 7.0.17.0 2010.06.10 -
eTrust-Vet 36.1.7629 2010.06.11 Win32/RemoteJob
F-Prot 4.6.0.103 2010.06.11 -
F-Secure 9.0.15370.0 2010.06.11 Worm:W32/Downadupjob.gen!A
Fortinet 4.1.133.0 2010.06.11 -
GData 21 2010.06.11 Win32.Worm.DownadupJob.A
Ikarus T3.1.1.84.0 2010.06.11 -
Jiangmin 13.0.900 2010.06.11 -
Kaspersky 7.0.0.125 2010.06.11 -
McAfee 5.400.0.1158 2010.06.11 -
McAfee-GW-Edition 2010.1 2010.06.11 -
Microsoft 1.5802 2010.06.11 -
NOD32 5191 2010.06.11 -
Norman 6.04.12 2010.06.11 -
nProtect 2010-06-11.01 2010.06.11 Win32.Worm.DownadupJob.A
Panda 10.0.2.7 2010.06.11 -
Prevx 3.0 2010.06.11 -
Rising 22.51.04.04 2010.06.11 -
Sophos 4.54.0 2010.06.11 -
Sunbelt 6435 2010.06.11 -
Symantec 20101.1.0.89 2010.06.11 -
TheHacker 6.5.2.0.297 2010.06.11 -
TrendMicro 9.120.0.1004 2010.06.11 TROJ_DOWNADJOB.A
TrendMicro-HouseCall 9.120.0.1004 2010.06.11 TROJ_DOWNADJOB.A
VBA32 3.12.12.5 2010.06.11 -
ViRobot 2010.6.11.3881 2010.06.11 -
VirusBuster 5.0.27.0 2010.06.11 -
Información adicional
File size: 350 bytes
MD5 : 972706cf6e1465e561466c7017d9d624
SHA1 : 1ed33067d09982d5e2a46f531b922dc913d00809
SHA256: 9d7e17559f7430718b1d8f2cf72207f21e783102afde1753739cb1eb0a2e59e7
TrID : File type identification
Unknown!
ssdeep: 6:u+E1ozllVt09pnWhAlAt0fCXocl8/DeKNPKl1O2ctAv5VGdWldX+7nXrRjCjj8jV:u+E1GvlWlDfCYcqD512cYLGMdujXrRjd
sigcheck: publisher....: n/a
copyright....: n/a
product......: n/a
description..: n/a
original name: n/a
internal name: n/a
file version.: n/a
comments.....: n/a
signers......: -
signing date.: -
verified.....: Unsigned
PEiD : -
RDS : NSRL Reference Data Set
Motor antivirus Versión Última actualización Resultado
a-squared 5.0.0.26 2010.06.11 -
AhnLab-V3 2010.06.11.00 2010.06.11 TextImage/Conficker
AntiVir 8.2.2.6 2010.06.11 -
Antiy-AVL 2.0.3.7 2010.06.11 -
Authentium 5.2.0.5 2010.06.11 -
Avast 4.8.1351.0 2010.06.11 -
Avast5 5.0.332.0 2010.06.11 -
AVG 9.0.0.787 2010.06.11 -
BitDefender 7.2 2010.06.11 Win32.Worm.DownadupJob.A
CAT-QuickHeal 10.00 2010.06.11 -
ClamAV 0.96.0.3-git 2010.06.11 -
Comodo 5059 2010.06.11 -
DrWeb 5.0.2.03300 2010.06.11 -
eSafe 7.0.17.0 2010.06.10 -
eTrust-Vet 36.1.7629 2010.06.11 Win32/RemoteJob
F-Prot 4.6.0.103 2010.06.11 -
F-Secure 9.0.15370.0 2010.06.11 Worm:W32/Downadupjob.gen!A
Fortinet 4.1.133.0 2010.06.11 -
GData 21 2010.06.11 Win32.Worm.DownadupJob.A
Ikarus T3.1.1.84.0 2010.06.11 -
Jiangmin 13.0.900 2010.06.11 -
Kaspersky 7.0.0.125 2010.06.11 -
McAfee 5.400.0.1158 2010.06.11 -
McAfee-GW-Edition 2010.1 2010.06.11 -
Microsoft 1.5802 2010.06.11 -
NOD32 5191 2010.06.11 -
Norman 6.04.12 2010.06.11 -
nProtect 2010-06-11.01 2010.06.11 Win32.Worm.DownadupJob.A
Panda 10.0.2.7 2010.06.11 -
PCTools 7.0.3.5 2010.06.11 -
Prevx 3.0 2010.06.11 -
Rising 22.51.04.04 2010.06.11 -
Sophos 4.54.0 2010.06.11 -
Sunbelt 6436 2010.06.11 -
Symantec 20101.1.0.89 2010.06.11 -
TheHacker 6.5.2.0.297 2010.06.11 -
TrendMicro 9.120.0.1004 2010.06.11 TROJ_DOWNADJOB.A
TrendMicro-HouseCall 9.120.0.1004 2010.06.11 TROJ_DOWNADJOB.A
VBA32 3.12.12.5 2010.06.11 -
ViRobot 2010.6.11.3881 2010.06.11 -
VirusBuster 5.0.27.0 2010.06.11 -
Información adicional
Tamano archivo: 352 bytes
MD5...: 45e23e312b1ee2769d688dc24abb790e
SHA1..: 9c99213fe25eeb0496be35b89bb287a2340a3c28
SHA256: 2e89a2a0e89d988ab677fb222ee17b7837643b61ac055aa199a5cc6f062def0c
ssdeep: 6:L2N+uanWhAlAtVelMCXujzeKNPKl1O2ctAv5VGdpmFNWMemw68KKXY5q:L8WlZ
lMC+/512cYLGq/w68VI5q
PEiD..: -
PEInfo: -
RDS...: NSRL Reference Data Set
-
pdfid.: -
trid..: Unknown!
sigcheck:
publisher....: n/a
copyright....: n/a
product......: n/a
description..: n/a
original name: n/a
internal name: n/a
file version.: n/a
comments.....: n/a
signers......: -
signing date.: -
verified.....: Unsigned
Motor antivirus Versión Última actualización Resultado
a-squared 5.0.0.26 2010.06.11 -
AhnLab-V3 2010.06.11.00 2010.06.11 TextImage/Conficker
AntiVir 8.2.2.6 2010.06.11 -
Antiy-AVL 2.0.3.7 2010.06.11 -
Authentium 5.2.0.5 2010.06.11 -
Avast 4.8.1351.0 2010.06.11 -
Avast5 5.0.332.0 2010.06.11 -
AVG 9.0.0.787 2010.06.11 -
BitDefender 7.2 2010.06.11 Win32.Worm.DownadupJob.A
CAT-QuickHeal 10.00 2010.06.11 -
ClamAV 0.96.0.3-git 2010.06.11 -
Comodo 5059 2010.06.11 -
DrWeb 5.0.2.03300 2010.06.11 -
eSafe 7.0.17.0 2010.06.10 -
eTrust-Vet 36.1.7629 2010.06.11 Win32/RemoteJob
F-Prot 4.6.0.103 2010.06.11 -
F-Secure 9.0.15370.0 2010.06.11 Worm:W32/Downadupjob.gen!A
Fortinet 4.1.133.0 2010.06.11 -
GData 21 2010.06.11 Win32.Worm.DownadupJob.A
Ikarus T3.1.1.84.0 2010.06.11 -
Jiangmin 13.0.900 2010.06.11 -
Kaspersky 7.0.0.125 2010.06.11 -
McAfee 5.400.0.1158 2010.06.11 -
McAfee-GW-Edition 2010.1 2010.06.11 -
Microsoft 1.5802 2010.06.11 -
NOD32 5191 2010.06.11 -
Norman 6.04.12 2010.06.11 -
nProtect 2010-06-11.01 2010.06.11 Win32.Worm.DownadupJob.A
Panda 10.0.2.7 2010.06.11 -
PCTools 7.0.3.5 2010.06.11 -
Prevx 3.0 2010.06.11 -
Rising 22.51.04.04 2010.06.11 -
Sophos 4.54.0 2010.06.11 -
Sunbelt 6436 2010.06.11 -
Symantec 20101.1.0.89 2010.06.11 -
TheHacker 6.5.2.0.297 2010.06.11 -
TrendMicro 9.120.0.1004 2010.06.11 TROJ_DOWNADJOB.A
TrendMicro-HouseCall 9.120.0.1004 2010.06.11 TROJ_DOWNADJOB.A
VBA32 3.12.12.5 2010.06.11 -
ViRobot 2010.6.11.3881 2010.06.11 -
VirusBuster 5.0.27.0 2010.06.11 -
Información adicional
Tamano archivo: 348 bytes
MD5...: 3f7df58f5eaefa65642c48fe46d83929
SHA1..: 1b60a0dcb1ab6144aeef101529f15d919c73ef39
SHA256: 8ecbbc66bb0b5826a01997cf021614e40b5daf021cfa33b0c02d16501762a3bf
ssdeep: 6:gQkO7t09xgnWhAlAtRCXoIeKNPKl1O2ctAv5VGdNLbybEkL5eZ:VkyyWlCCYI5
12cYLG7O1g
PEiD..: -
PEInfo: -
RDS...: NSRL Reference Data Set
-
pdfid.: -
trid..: Unknown!
sigcheck:
publisher....: n/a
copyright....: n/a
product......: n/a
description..: n/a
original name: n/a
internal name: n/a
file version.: n/a
comments.....: n/a
signers......: -
signing date.: -
verified.....: Unsigned
Motor antivirus Versión Última actualización Resultado
a-squared 5.0.0.26 2010.06.11 -
AhnLab-V3 2010.06.11.00 2010.06.11 TextImage/Conficker
AntiVir 8.2.2.6 2010.06.11 -
Antiy-AVL 2.0.3.7 2010.06.11 -
Authentium 5.2.0.5 2010.06.11 -
Avast 4.8.1351.0 2010.06.11 -
Avast5 5.0.332.0 2010.06.11 -
AVG 9.0.0.787 2010.06.11 -
BitDefender 7.2 2010.06.11 Win32.Worm.DownadupJob.A
CAT-QuickHeal 10.00 2010.06.11 -
ClamAV 0.96.0.3-git 2010.06.11 -
Comodo 5059 2010.06.11 -
DrWeb 5.0.2.03300 2010.06.11 -
eSafe 7.0.17.0 2010.06.10 -
eTrust-Vet 36.1.7629 2010.06.11 Win32/RemoteJob
F-Prot 4.6.0.103 2010.06.11 -
F-Secure 9.0.15370.0 2010.06.11 Worm:W32/Downadupjob.gen!A
Fortinet 4.1.133.0 2010.06.11 -
GData 21 2010.06.11 Win32.Worm.DownadupJob.A
Ikarus T3.1.1.84.0 2010.06.11 -
Jiangmin 13.0.900 2010.06.11 -
Kaspersky 7.0.0.125 2010.06.11 -
McAfee 5.400.0.1158 2010.06.11 -
McAfee-GW-Edition 2010.1 2010.06.11 -
Microsoft 1.5802 2010.06.11 -
NOD32 5191 2010.06.11 -
Norman 6.04.12 2010.06.11 -
nProtect 2010-06-11.01 2010.06.11 Win32.Worm.DownadupJob.A
Panda 10.0.2.7 2010.06.11 -
PCTools 7.0.3.5 2010.06.11 -
Prevx 3.0 2010.06.11 -
Rising 22.51.04.04 2010.06.11 -
Sophos 4.54.0 2010.06.11 -
Sunbelt 6436 2010.06.11 -
Symantec 20101.1.0.89 2010.06.11 -
TheHacker 6.5.2.0.297 2010.06.11 -
TrendMicro 9.120.0.1004 2010.06.11 TROJ_DOWNADJOB.A
TrendMicro-HouseCall 9.120.0.1004 2010.06.11 TROJ_DOWNADJOB.A
VBA32 3.12.12.5 2010.06.11 -
ViRobot 2010.6.11.3881 2010.06.11 -
VirusBuster 5.0.27.0 2010.06.11 -
Información adicional
Tamano archivo: 352 bytes
MD5...: 57ad40d5a47b1359f483a6e83b1d6d95
SHA1..: 2a7ab64f891e3a242996f5b72b58bba414c05898
SHA256: bd706b2c9544fe74b0afe62ead63e76fe831d91909860c6b7b91299c2c22a04a
ssdeep: 6:FxL++nWhAlAtbMlb1+41ni//DeKNPKl1O2ctAv5VGeqxBQNbdZ188:FIXWl2kR
+41ny/D512cYLGeqOh88
PEiD..: -
PEInfo: -
RDS...: NSRL Reference Data Set
-
pdfid.: -
trid..: Unknown!
sigcheck:
publisher....: n/a
copyright....: n/a
product......: n/a
description..: n/a
original name: n/a
internal name: n/a
file version.: n/a
comments.....: n/a
signers......: -
signing date.: -
verified.....: Unsigned
El eaagmczf no lo encontre en ningun lado, por eso solo manod los .job
El eaagmczf es el que los genera y lueog la clave que le seguia al aprecer es un codigo aleatorio que agrega al generarse, proqeu se reite siempre pero esa cambia al azar en los distintos .job
Saludos,
Gracias por la ayuda
Re: Varios procesos RUNDLL32.exe
Otra cosa sospechosa:
[attachment=1]Dibujo.JPG[/attachment]
Al parecer pued eque tenga algo qeu ver?
ya lo desactive anteriormente y se volvio a aparecer en el inicio y como activo.
[attachment=0]Dibujo2.JPG[/attachment]
Saludos
__________________________________________________
Envie el archivo a la pagina y lo encontro como un archivo no sospechoso.
Al parecer pued eque tenga algo qeu ver?
ya lo desactive anteriormente y se volvio a aparecer en el inicio y como activo.
Saludos
__________________________________________________
Envie el archivo a la pagina y lo encontro como un archivo no sospechoso.
- Adjuntos
-
- Dibujo2.JPG (68.06 KiB) Visto 12015 veces
-
- Dibujo.JPG (70.32 KiB) Visto 12015 veces
Última edición por rojo_1_90 el 11 Jun 2010, 21:47, editado 1 vez en total.
Re: Varios procesos RUNDLL32.exe
Sigo molestando.
Este es el log que me arrojo un scan online del bitdefender:
BitDefender QuickScan Beta 32-bit v0.9.9.5
------------------------------------------
Scan date: Fri Jun 11 16:21:29 2010
Machine ID: 38204DC8
Found 1 infected file!
------------------------
C:\WINDOWS\system32\ksrvtsc.pwm - Win32.Worm.Downadup.Gen
Processes
---------
<unsigned> Microsoft® Visual Studio .NET 1780 C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7DEBUG\mdm.exe
<unsigned> SysAid 1964 C:\Archivos de programa\SysAid\IliAS.exe
<unsigned> VNC Server 4.0 272 C:\Archivos de programa\RealVNC\VNC4\WinVNC4.exe
<verified> AntiVir Desktop 2084 C:\Archivos de programa\Avira\AntiVir Desktop\avgnt.exe
<verified> AntiVir Desktop 1716 C:\Archivos de programa\Avira\AntiVir Desktop\avguard.exe
<verified> AntiVir Desktop 2044 C:\Archivos de programa\Avira\AntiVir Desktop\avshadow.exe
<verified> AntiVir Desktop 1524 C:\Archivos de programa\Avira\AntiVir Desktop\sched.exe
<verified> Firefox 3040 C:\Archivos de programa\Mozilla Firefox\firefox.exe
<verified> Java(TM) Platform SE 6 U13 1756 C:\Archivos de programa\Java\jre6\bin\jqs.exe
<verified> Microsoft® Windows® Operating System 1276 C:\WINDOWS\System32\alg.exe
<verified> Microsoft® Windows® Operating System 764 C:\WINDOWS\system32\csrss.exe
<verified> Microsoft® Windows® Operating System 2124 C:\WINDOWS\system32\ctfmon.exe
<verified> Microsoft® Windows® Operating System 844 C:\WINDOWS\system32\lsass.exe
<verified> Microsoft® Windows® Operating System 1488 C:\WINDOWS\system32\spoolsv.exe
<verified> Microsoft® Windows® Operating System 1044 C:\WINDOWS\system32\svchost.exe
<verified> Microsoft® Windows® Operating System 1108 C:\WINDOWS\system32\svchost.exe
<verified> Microsoft® Windows® Operating System 1204 C:\WINDOWS\System32\svchost.exe
<verified> Microsoft® Windows® Operating System 1300 C:\WINDOWS\system32\svchost.exe
<verified> Microsoft® Windows® Operating System 1336 C:\WINDOWS\system32\svchost.exe
<verified> Microsoft® Windows® Operating System 1572 C:\WINDOWS\system32\svchost.exe
<verified> Microsoft® Windows® Operating System 224 C:\WINDOWS\system32\wdfmgr.exe
<verified> NMSAccessU.exe 1808 C:\Archivos de programa\CDBurnerXP\NMSAccessU.exe
<verified> NVIDIA Driver Helper Service, Version 1 1836 C:\WINDOWS\system32\nvsvc32.exe
<verified> Sistema operativo Microsoft® Windows® 1888 C:\WINDOWS\Explorer.EXE
<verified> Sistema operativo Microsoft® Windows® 832 C:\WINDOWS\system32\services.exe
<verified> Sistema operativo Microsoft® Windows® 696 C:\WINDOWS\System32\smss.exe
<verified> Sistema operativo Microsoft® Windows® 1144 C:\WINDOWS\system32\wbem\wmiapsrv.exe
<verified> Sistema operativo Microsoft® Windows® 788 C:\WINDOWS\system32\winlogon.exe
<verified> Windows® Internet Explorer 2052 C:\Archivos de programa\Internet Explorer\iexplore.exe
<verified> Windows® Internet Explorer 3652 C:\Archivos de programa\Internet Explorer\iexplore.exe
Network activity
----------------
Process iexplore.exe (2052) connected on port 80 (HTTP) - a96-16-196-20.deploy.akamaitechnologies.com
Process iexplore.exe (2052) connected on port 80 (HTTP) - CRL.VERISIGN.NET
Process iexplore.exe (2052) connected on port 80 (HTTP) - a72-246-54-11.deploy.akamaitechnologies.com
Process firefox.exe (3040) connected on port 80 (HTTP) - eze03s01-in-f104.1e100.net
Process firefox.exe (3040) connected on port 80 (HTTP) - eze03s01-in-f104.1e100.net
Process firefox.exe (3040) connected on port 80 (HTTP) - eze03s01-in-f100.1e100.net
Process WinVNC4.exe (272) listens on ports: 5800 (VNC over HTTP), 5900 (VNC Server)
Process svchost.exe (1108) listens on ports: 135 (RPC)
Autoruns and critical files
---------------------------
<verified> AntiVir Desktop C:\Archivos de programa\Avira\AntiVir Desktop\avgnt.exe
<verified> GrooveShellExtensions Module C:\Archivos de programa\Microsoft Office\Office12\GrooveShellExtensions.dll
<verified> Microsoft® Windows® Operating System C:\WINDOWS\system32\cryptnet.dll
<verified> Microsoft® Windows® Operating System C:\WINDOWS\system32\ctfmon.exe
<verified> Microsoft® Windows® Operating System C:\WINDOWS\system32\dimsntfy.dll
<verified> NVIDIA Compatible Windows 2000 Display C:\WINDOWS\system32\nvcpl.dll
<verified> Sistema operativo Microsoft® Windows® C:\WINDOWS\system32\browseui.dll
<verified> Sistema operativo Microsoft® Windows® C:\WINDOWS\system32\crypt32.dll
<verified> Sistema operativo Microsoft® Windows® C:\WINDOWS\system32\cscdll.dll
<verified> Sistema operativo Microsoft® Windows® C:\WINDOWS\system32\logonui.exe
<verified> Sistema operativo Microsoft® Windows® C:\WINDOWS\system32\sclgntfy.dll
<verified> Sistema operativo Microsoft® Windows® C:\WINDOWS\system32\shell32.dll
<verified> Sistema operativo Microsoft® Windows® C:\WINDOWS\system32\stobject.dll
<verified> Sistema operativo Microsoft® Windows® c:\windows\system32\userinit.exe
<verified> Sistema operativo Microsoft® Windows® C:\WINDOWS\system32\wlnotify.dll
<verified> Windows Live Messenger C:\Archivos de programa\Windows Live\Messenger\msnmsgr.exe
<verified> Windows® Internet Explorer C:\WINDOWS\system32\webcheck.dll
Browser plugins
---------------
<unsigned> Control de carga de fotos de MSN C:\WINDOWS\Downloaded Program Files\PURes-us.dll
<unsigned> Java(TM) Platform SE 6 U13 c:\archivos de programa\java\jre6\bin\jp2ssv.dll
<unsigned> Java(TM) Platform SE 6 U13 C:\Archivos de programa\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
<unsigned> QuickTime Plug-in 7.6.5 C:\Archivos de programa\Mozilla Firefox\plugins\npqtplugin.dll
<unsigned> QuickTime Plug-in 7.6.5 C:\Archivos de programa\Mozilla Firefox\plugins\npqtplugin2.dll
<unsigned> QuickTime Plug-in 7.6.5 C:\Archivos de programa\Mozilla Firefox\plugins\npqtplugin3.dll
<unsigned> QuickTime Plug-in 7.6.5 C:\Archivos de programa\Mozilla Firefox\plugins\npqtplugin4.dll
<unsigned> QuickTime Plug-in 7.6.5 C:\Archivos de programa\Mozilla Firefox\plugins\npqtplugin5.dll
<unsigned> QuickTime Plug-in 7.6.5 C:\Archivos de programa\Mozilla Firefox\plugins\npqtplugin6.dll
<unsigned> QuickTime Plug-in 7.6.5 C:\Archivos de programa\Mozilla Firefox\plugins\npqtplugin7.dll
<verified> 2007 Microsoft Office system C:\Archivos de programa\Mozilla Firefox\plugins\NPOFF12.DLL
<verified> AcroIEHelperShim Library C:\Archivos de programa\Archivos comunes\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
<verified> Adobe Acrobat C:\Archivos de programa\Mozilla Firefox\plugins\nppdf32.dll
<verified> Adobe® Flash® Player ActiveX C:\WINDOWS\Downloaded Program Files\FP_AX_CAB_INSTALLER.exe
<verified> BitDefender QuickScan C:\WINDOWS\Downloaded Program Files\qsax.ocx
<verified> GrooveShellExtensions Module C:\Archivos de programa\Microsoft Office\Office12\GrooveShellExtensions.dll
<verified> Messenger C:\Archivos de programa\Messenger\msmsgs.exe
<verified> Microsoft® Windows Live Login Helper C:\Archivos de programa\Archivos comunes\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
<verified> Microsoft® Windows® Operating System C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
<verified> Microsoft® Windows® Operating System C:\WINDOWS\system32\rsvpsp.dll
<verified> Microsoft® Windows® Operating System C:\WINDOWS\system32\winrnr.dll
<verified> Mozilla Default Plug-in C:\Archivos de programa\Mozilla Firefox\plugins\npnul32.dll
<verified> MSN Photo Upload Control C:\WINDOWS\Downloaded Program Files\PURen-us.dll
<verified> MSN® Games by Zone.com C:\WINDOWS\Downloaded Program Files\MessengerStatsPAClient.dll
<verified> MSN® Games by Zone.com C:\WINDOWS\Downloaded Program Files\msgrchkr.dll
<verified> NPSWF32.dll C:\WINDOWS\system32\Macromed\Flash\NPSWF32.dll
<verified> Silverlight Plug-In c:\Archivos de programa\Microsoft Silverlight\3.0.50106.0\npctrl.dll
<verified> Sistema operativo Microsoft® Windows® C:\WINDOWS\system32\mswsock.dll
<verified> Windows Live Photo Upload Control C:\WINDOWS\Downloaded Program Files\MsnPUpld.dll
<verified> Windows® Internet Explorer C:\WINDOWS\system32\ieframe.dll
Scan
----
<unsigned> MD5: 20b2c339361e82a6707533bac481fce4 C:\Archivos de programa\7-Zip\7-zip.dll
<unsigned> MD5: fc39dce481d11a08a2fb724f5f2b50fe C:\Archivos de programa\Adobe\Reader 9.0\Reader\ACE.dll
<unsigned> MD5: 6e0d2c3942022c1b66522b0974a974a8 C:\Archivos de programa\Adobe\Reader 9.0\Reader\AdobeXMP.dll
<unsigned> MD5: 8b63b2688ad1ccf6cbe237659344a30c C:\Archivos de programa\Adobe\Reader 9.0\Reader\AGM.dll
<unsigned> MD5: a9eb39043feb5b4d9378598307ad4541 C:\Archivos de programa\Adobe\Reader 9.0\Reader\AXE8SharedExpat.dll
<unsigned> MD5: 3c0f5a7fa9908c1dd25e7bb97df22295 C:\Archivos de programa\Adobe\Reader 9.0\Reader\BIB.dll
<unsigned> MD5: a5fc0ca1984595f302cf15d313485b0e C:\Archivos de programa\Adobe\Reader 9.0\Reader\BIBUtils.dll
<unsigned> MD5: db9181786b0aaeec661c691693536906 C:\Archivos de programa\Adobe\Reader 9.0\Reader\CoolType.dll
<unsigned> MD5: 32de5721168b3dbca77e828e59ac0686 C:\Archivos de programa\Adobe\Reader 9.0\Reader\JP2KLib.dll
<unsigned> MD5: c1eb9968ec89fba5f3a264e2e57923ab C:\Archivos de programa\Archivos comunes\Adobe Systems Shared\Service\Adobelmsvc.exe
<unsigned> MD5: 672dce88676573576c81d1580d053924 C:\Archivos de programa\Archivos comunes\Adobe\Acrobat\ActiveX\pdfshell.ESP
<unsigned> MD5: 647c11534c7af0c5ff599d930476511f C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7DEBUG\csm.dll
<unsigned> MD5: 7cf1b716372b89568ae4c0fe769f5869 C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7DEBUG\mdm.exe
<unsigned> MD5: 7e3d9e781e7d2e099bd424b188fbc9aa C:\Archivos de programa\Avira\AntiVir Desktop\aebb.dll
<unsigned> MD5: 30775531a79193ce7c13b84bece5e013 C:\Archivos de programa\Avira\AntiVir Desktop\aecore.dll
<unsigned> MD5: 2364e3d43e8839ae6f47d4ca9ae05762 C:\Archivos de programa\Avira\AntiVir Desktop\aeemu.dll
<unsigned> MD5: fb8d3c2b51a2df69c9a70cedf5b5dc7d C:\Archivos de programa\Avira\AntiVir Desktop\aegen.dll
<unsigned> MD5: d1ad1f57bfebcb58afbf66e25279346f C:\Archivos de programa\Avira\AntiVir Desktop\aehelp.dll
<unsigned> MD5: b0185475126fce02fd2a24cf1dd00e4a C:\Archivos de programa\Avira\AntiVir Desktop\aeheur.dll
<unsigned> MD5: 99c23d8b8724de8d22fa96e0d83af1e6 C:\Archivos de programa\Avira\AntiVir Desktop\aeoffice.dll
<unsigned> MD5: 68b89e18be8c02f8ee6410fef17143b1 C:\Archivos de programa\Avira\AntiVir Desktop\aepack.dll
<unsigned> MD5: eae5f4b8b274dcc719438aac5ba08b6a C:\Archivos de programa\Avira\AntiVir Desktop\aerdl.dll
<unsigned> MD5: f3a07c983a0ee71d150bcff15f6b40ec C:\Archivos de programa\Avira\AntiVir Desktop\aesbx.dll
<unsigned> MD5: 2ee40bd646ae9e2aea3282f2c86a05ad C:\Archivos de programa\Avira\AntiVir Desktop\aescn.dll
<unsigned> MD5: 98a2ea59446d86320284fe12867f2cd7 C:\Archivos de programa\Avira\AntiVir Desktop\aescript.dll
<unsigned> MD5: 4ce4611f7003ada2198b9e9646a00d09 C:\Archivos de programa\Avira\AntiVir Desktop\aevdf.dll
<unsigned> MD5: ddf0d660e994d0bb912f37dca7afe8f7 C:\Archivos de programa\Avira\AntiVir Desktop\avevtlog.dll
<unsigned> MD5: e1ac63748ef4d24e04060c5c61160643 C:\Archivos de programa\Avira\AntiVir Desktop\avgio.dll
<unsigned> MD5: 06990855177b4ab5366864738c43d459 C:\Archivos de programa\Avira\AntiVir Desktop\avipc.dll
<unsigned> MD5: 92ea86876dfde3b9f6b4b6443c8b11fb C:\Archivos de programa\Avira\AntiVir Desktop\avpref.dll
<unsigned> MD5: dfca644502dfa491384a53f87ae03fb6 C:\Archivos de programa\Avira\AntiVir Desktop\avsmtp.dll
<unsigned> MD5: e297d7ede615bc39f6a3708e2f9a924c C:\Archivos de programa\Avira\AntiVir Desktop\ccgen.dll
<unsigned> MD5: a48457fa81661ff73b549e42ca2488a2 C:\Archivos de programa\Avira\AntiVir Desktop\ccgenrc.dll
<unsigned> MD5: 298b49e02025add1d12aaf27937a3549 C:\Archivos de programa\Avira\AntiVir Desktop\ccgrdrc.dll
<unsigned> MD5: 41303e032613d2c4e29be8b8eb5f027b C:\Archivos de programa\Avira\AntiVir Desktop\ccgrdw.dll
<unsigned> MD5: 80803bf24c42c1b7130f8ad69e05b744 C:\Archivos de programa\Avira\AntiVir Desktop\ccguard.dll
<unsigned> MD5: 81ba09327b20a9bf88e47091d9d0d3c7 C:\Archivos de programa\Avira\AntiVir Desktop\cclic.dll
<unsigned> MD5: 939286b2d5177e88d1fa804413ac8862 C:\Archivos de programa\Avira\AntiVir Desktop\cclicrc.dll
<unsigned> MD5: dcd62c40142df3b41f64ac837feb5716 C:\Archivos de programa\Avira\AntiVir Desktop\ccmainrc.dll
<unsigned> MD5: f65abcdedecb5d5fe6cd037867dbec5d C:\Archivos de programa\Avira\AntiVir Desktop\ccmsg.dll
<unsigned> MD5: 76d19b395001f884eeed44d582fd5658 C:\Archivos de programa\Avira\AntiVir Desktop\ccmsgrc.dll
<unsigned> MD5: 91fe94f0defa802320466bab90bb4f0a C:\Archivos de programa\Avira\AntiVir Desktop\ccupdate.dll
<unsigned> MD5: 3fef6e15b2f4596a58854e4ef4f1d9eb C:\Archivos de programa\Avira\AntiVir Desktop\ccupdrc.dll
<unsigned> MD5: 96bcd91d7f84ec265ceb2f4d47838a51 C:\Archivos de programa\Avira\AntiVir Desktop\ccwkrlib.dll
<unsigned> MD5: 01936b92434b6ab994d9bb2139729cfb C:\Archivos de programa\Avira\AntiVir Desktop\cfglib.dll
<unsigned> MD5: 92d9eb35797530fedc07b1d75533f68e C:\Archivos de programa\Avira\AntiVir Desktop\guardmsg.dll
<unsigned> MD5: 020e9a91b8da0927e8a60868d90f515a C:\Archivos de programa\Avira\AntiVir Desktop\libdb44.dll
<unsigned> MD5: 7464c6694036b42ba237eb723a34d0f4 C:\Archivos de programa\Avira\AntiVir Desktop\rcimage.dll
<unsigned> MD5: 13a86ff71b5e57da8c9a6e2316ce1eaa C:\Archivos de programa\Avira\AntiVir Desktop\schedr.dll
<unsigned> MD5: 902c61f27c86b4a0c0bff31f154ddbeb C:\Archivos de programa\Avira\AntiVir Desktop\shlext.dll
<unsigned> MD5: 0815aff09e50a3cf1349396f5b2ebc6a C:\Archivos de programa\Avira\AntiVir Desktop\sqlite3.dll
<unsigned> MD5: 96a225c7f5346a9e81fc3dfa89a900c0 c:\archivos de programa\java\jre6\bin\jp2ssv.dll
<unsigned> MD5: 86f1895ae8c5e8b17d99ece768a70732 C:\Archivos de programa\Java\jre6\bin\msvcr71.dll
<unsigned> MD5: 53f8b53918c839f76367b7e612b742b1 C:\Archivos de programa\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
<unsigned> MD5: 26b018758226a5dc06de45496c394d40 C:\Archivos de programa\Mozilla Firefox\freebl3.dll
<unsigned> MD5: 9dfb30f203999a3ae0f258a33fa598f9 C:\Archivos de programa\Mozilla Firefox\nssdbm3.dll
<unsigned> MD5: 0994ae471afb9a07815b0f77dee47cda C:\Archivos de programa\Mozilla Firefox\plugins\npqtplugin.dll
<unsigned> MD5: 0994ae471afb9a07815b0f77dee47cda C:\Archivos de programa\Mozilla Firefox\plugins\npqtplugin2.dll
<unsigned> MD5: 0994ae471afb9a07815b0f77dee47cda C:\Archivos de programa\Mozilla Firefox\plugins\npqtplugin3.dll
<unsigned> MD5: 0994ae471afb9a07815b0f77dee47cda C:\Archivos de programa\Mozilla Firefox\plugins\npqtplugin4.dll
<unsigned> MD5: 0994ae471afb9a07815b0f77dee47cda C:\Archivos de programa\Mozilla Firefox\plugins\npqtplugin5.dll
<unsigned> MD5: 0994ae471afb9a07815b0f77dee47cda C:\Archivos de programa\Mozilla Firefox\plugins\npqtplugin6.dll
<unsigned> MD5: 0994ae471afb9a07815b0f77dee47cda C:\Archivos de programa\Mozilla Firefox\plugins\npqtplugin7.dll
<unsigned> MD5: 1fd6c03c0001a5e1eaf61596c2502f0c C:\Archivos de programa\Mozilla Firefox\softokn3.dll
<unsigned> MD5: 1d4878e357c383fd35d06b0b98263ce0 C:\Archivos de programa\Network Print Monitor\Driver.DLL
<unsigned> MD5: 7043ddf51d7135c1d1b83b4213dfed61 C:\Archivos de programa\RealVNC\VNC4\WinVNC4.exe
<unsigned> MD5: 7d042213ec10b666923c72da24ee4b9e C:\Archivos de programa\RealVNC\VNC4\wm_hooks.dll
<unsigned> MD5: a67af02a7709e1d64c1717cf16ffd0f3 C:\Archivos de programa\SysAid\\IliAS.exe
<unsigned> MD5: a67af02a7709e1d64c1717cf16ffd0f3 C:\Archivos de programa\SysAid\IliAS.exe
<unsigned> MD5: 30a23a61e651c7487407cf74176c6ab1 C:\Archivos de programa\WinRAR\RarExt.dll
<unsigned> MD5: ee5c6390a649d5d3fc98f9ab7ed17f8c C:\WINDOWS\Downloaded Program Files\PURes-us.dll
<unsigned> MD5: 4342b8aa3353862db5acef3edaa21ae3 C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\Aspnet_perf.dll
<unsigned> MD5: 50dc192e80eb75916a83c3191de6a522 C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\CORPerfMonExt.dll
<unsigned> MD5: ad060608376e3195b4545928f43653d8 C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\Culture.dll
<unsigned> MD5: ad23bb6b329c7d5ee8a43b89e2fd4fd2 C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\fusion.dll
<unsigned> MD5: 506dbadc2a9d7841eb0871442550962a C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorwks.dll
<unsigned> MD5: ff686302948b92caa2358ebe27d3b96b C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\PerfCounter.dll
<unsigned> MD5: 5b746df7ff55229630fe2815b348149c C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\shfusion.dll
<unsigned> MD5: bffb11607d65a61461ba73d9b85a62cd C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\ShFusRes.dll
<unsigned> MD5: b3511383c8be3a8c5b88a78971fc1141 C:\WINDOWS\system32\dfshim.dll
<unsigned> MD5: 7aec176a5de912d440e3b37120e2e38f C:\WINDOWS\system32\E_FLMACP.DLL
<unsigned> MD5: 291f7eadf41e871e1568e45bc0209e2b C:\WINDOWS\system32\ksrvtsc.pwm
<unsigned> MD5: bf8b232493f18d1ee00d07a23c04ad3f C:\WINDOWS\system32\mscoree.dll
<unsigned> MD5: 31fb4b337dd09bdf99429d7dbb5fdd48 C:\WINDOWS\system32\netfxperf.dll
<unsigned> MD5: 4c5d94ff6a808adabacb22281e08540c C:\WINDOWS\system32\nvrses.dll
<unsigned> MD5: 3a762a13751eca7bb61fdff183d2d842 C:\WINDOWS\system32\nvshell.dll
<unsigned> MD5: 3e9a33113d663d8bd5ed38858e669652 C:\WINDOWS\WinSxS\x86_Microsoft.VC80.ATL_1fc8b3b9a1e18e3b_8.0.50727.4053_x-ww_473666fd\ATL80.dll
<unsigned> MD5: 1b7524806d0270b81360c63a2fa047cb C:\WINDOWS\WinSxS\x86_Microsoft.VC80.MFC_1fc8b3b9a1e18e3b_8.0.50727.762_x-ww_3bf8fa05\mfc80.dll
<unsigned> MD5: d47599748b3ecf645c47caa0bc24a7cd C:\WINDOWS\WinSxS\x86_Microsoft.VC80.MFCLOC_1fc8b3b9a1e18e3b_8.0.50727.762_x-ww_91481303\mfc80ESP.dll
The following file(s) must be uploaded for server-side scanning:
C:\WINDOWS\system32\ksrvtsc.pwm
Upload started - 1 file(s)
C:\WINDOWS\system32\ksrvtsc.pwm (161280)
Upload speed - 5 KB/s
Upload finished - 1 uploaded, 0 failed
Scan finished - communication took 40 sec
Total traffic - 0.23 MB sent, 2.78 KB recvd
Scanned 1103 files and modules - 155 seconds
________________________________________________________
Acto seguido, te envio una muestra del archivo sospechoso renombrado a .vir y en rar con la contraseña virus.
C:\WINDOWS\system32\ksrvtsc.pwm
el log del virus total:
https://www.virustotal.com/es/analisis/0b630a2a87ea7abf16f918fbd949314f051f935389f727317441c81f3b1912fd-1261071299
Motor antivirus Versión Última actualización Resultado
a-squared 4.5.0.43 2009.12.17 Trojan-Downloader.Win32.Kido!IK
AhnLab-V3 5.0.0.2 2009.12.17 Win32/Kido.worm.168032
AntiVir 7.9.1.114 2009.12.17 TR/Crypt.ZPACK.Gen
Antiy-AVL 2.0.3.7 2009.12.17 -
Authentium 5.2.0.5 2009.12.02 W32/Conficker!Generic
Avast 4.8.1351.0 2009.12.17 Win32:Confi
AVG 8.5.0.427 2009.12.17 Agent.ASLB
BitDefender 7.2 2009.12.17 Win32.Worm.Downadup.Gen
CAT-QuickHeal 10.00 2009.12.17 TrojanDownloader.Kido.bj
ClamAV 0.94.1 2009.12.17 Worm.Kido-23
Comodo 3275 2009.12.17 NetWorm.Win32.Kido.ih
DrWeb 5.0.0.12182 2009.12.17 Win32.HLLW.Autoruner.5555
eSafe 7.0.17.0 2009.12.16 -
eTrust-Vet 35.1.7180 2009.12.17 Win32/Conficker
F-Prot 4.5.1.85 2009.12.16 W32/Conficker!Generic
F-Secure 9.0.15370.0 2009.12.17 Worm:W32/Downadup.gen!A
Fortinet 4.0.14.0 2009.12.17 W32/Conficker.IH!worm.im
GData 19 2009.12.17 Win32.Worm.Downadup.Gen
Ikarus T3.1.1.79.0 2009.12.17 Trojan-Downloader.Win32.Kido
Jiangmin 13.0.900 2009.12.17 Worm/Kido.ur
K7AntiVirus 7.10.923 2009.12.17 Net-Worm.Win32.Downadup.ih
Kaspersky 7.0.0.125 2009.12.17 Net-Worm.Win32.Kido.ih
McAfee 5835 2009.12.17 W32/Conficker.worm.gen.a
McAfee+Artemis 5835 2009.12.17 W32/Conficker.worm.gen.a
McAfee-GW-Edition 6.8.5 2009.12.17 Trojan.Crypt.ZPACK.Gen
Microsoft 1.5302 2009.12.17 Worm:Win32/Conficker.B
NOD32 4696 2009.12.17 Win32/Conficker.AA
Norman 6.04.03 2009.12.17 W32/Conficker.CT
nProtect 2009.1.8.0 2009.12.17 Worm/W32.Kido.161280.E
Panda 10.0.2.2 2009.12.15 W32/Conficker.C.worm
PCTools 7.0.3.5 2009.12.17 Trojan.Conficker.c.gen
Prevx 3.0 2009.12.17 High Risk System Back Door
Rising 22.26.03.04 2009.12.17 Hack.Exploit.Win32.MS08-067.dp
Sophos 4.49.0 2009.12.17 Mal/Conficker-A
Sunbelt 3.2.1858.2 2009.12.17 Worm.Win32.Downad.Gen (v)
Symantec 1.4.4.12 2009.12.17 W32.Downadup.B
TheHacker 6.5.0.2.095 2009.12.17 W32/Kido.ih
TrendMicro 9.100.0.1001 2009.12.17 WORM_DOWNAD.AD
VBA32 3.12.12.0 2009.12.16 Worm.Win32.kido.104
ViRobot 2009.12.17.2094 2009.12.17 Worm.Win32.Conficker.168032
VirusBuster 5.0.21.0 2009.12.17 Worm.Kido.AAI
Información adicional
File size: 161280 bytes
MD5 : 291f7eadf41e871e1568e45bc0209e2b
SHA1 : 372baf0f63ab5e0fdd4c74e9be2c0c9878a5e12c
SHA256: 0b630a2a87ea7abf16f918fbd949314f051f935389f727317441c81f3b1912fd
PEInfo: PE Structure information
( base data )
entrypointaddress.: 0x3FCB
timedatestamp.....: 0x3CC590B4 (Tue Apr 23 18:49:56 2002)
machinetype.......: 0x14C (Intel I386)
( 4 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x307A 0x3200 6.29 a0474d84e6474c3d15703324ba5251d9
.rdata 0x5000 0x716 0x800 4.55 ca0b518e1c3cb91d5f7737f6bd0532ce
.data 0x6000 0x108AC 0x10400 7.99 1244afa6aa2a26672fcfa41fe2e7ba10
.reloc 0x17000 0x996 0xA00 6.21 e7cf4c6cde4da0916874baa6d790671a
( 7 imports )
> advapi32.dll: GetUserNameA, IsValidAcl
> gdi32.dll: GdiFlush, GetBitmapDimensionEx, GetPixel, GetBkColor, GdiGetBatchLimit, GetBkMode
> kernel32.dll: GetVersionExA, GetACP, IsDBCSLeadByte, LoadLibraryA, InterlockedDecrement, GetProcAddress, GetStartupInfoA, Sleep, GetLocalTime, VirtualAlloc, VirtualProtect, VirtualQuery, GetTickCount, IsDebuggerPresent, GetLastError, GetComputerNameA, GetCurrentProcess, GetProcessHeap, IsBadStringPtrA, IsBadCodePtr, IsBadWritePtr, IsBadReadPtr, MulDiv
> msvcrt.dll: _adjust_fdiv, free, malloc, _memccpy, _ultoa, time, frexp, ceil, ldexp, modf, _hypot, _CIasin, _CIsinh, _itoa, srand, _initterm
> ole32.dll: CoGetCurrentProcess, CoFileTimeNow, CoRevertToSelf
> shell32.dll: -, -
> user32.dll: GetMenuContextHelpId, GetWindowTextLengthA, IsCharUpperA, IsCharAlphaNumericA, IsCharAlphaA, IsClipboardFormatAvailable, GetDC, GetIconInfo, GetWindowThreadProcessId, GetTopWindow, IsWindowVisible, IsChild, GetWindowPlacement, GetCursor
( 0 exports )
TrID : File type identification
Win32 Executable Generic (38.4%)
Win32 Dynamic Link Library (generic) (34.2%)
Clipper DOS Executable (9.1%)
Generic Win/DOS Executable (9.0%)
DOS Executable Generic (9.0%)
ThreatExpert:http://www.threatexpert.com/report.aspx?md5=291f7eadf41e871e1568e45bc0209e2b
ssdeep: 3072:Am2oCQtIWmQPXe8HnY6+vhNu565Z9Ch+RJGag0qhS:AmzLt7bPXe8HYTGSG8Mhe
Prevx Info:http://info.prevx.com/aboutprogramtext.asp?PX5=7AD7465E0057905C769F024927E311002B9A4278
PEiD : -
RDS : NSRL Reference Data Set
Espero que sirva la info
Saludos.
Este es el log que me arrojo un scan online del bitdefender:
BitDefender QuickScan Beta 32-bit v0.9.9.5
------------------------------------------
Scan date: Fri Jun 11 16:21:29 2010
Machine ID: 38204DC8
Found 1 infected file!
------------------------
C:\WINDOWS\system32\ksrvtsc.pwm - Win32.Worm.Downadup.Gen
Processes
---------
<unsigned> Microsoft® Visual Studio .NET 1780 C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7DEBUG\mdm.exe
<unsigned> SysAid 1964 C:\Archivos de programa\SysAid\IliAS.exe
<unsigned> VNC Server 4.0 272 C:\Archivos de programa\RealVNC\VNC4\WinVNC4.exe
<verified> AntiVir Desktop 2084 C:\Archivos de programa\Avira\AntiVir Desktop\avgnt.exe
<verified> AntiVir Desktop 1716 C:\Archivos de programa\Avira\AntiVir Desktop\avguard.exe
<verified> AntiVir Desktop 2044 C:\Archivos de programa\Avira\AntiVir Desktop\avshadow.exe
<verified> AntiVir Desktop 1524 C:\Archivos de programa\Avira\AntiVir Desktop\sched.exe
<verified> Firefox 3040 C:\Archivos de programa\Mozilla Firefox\firefox.exe
<verified> Java(TM) Platform SE 6 U13 1756 C:\Archivos de programa\Java\jre6\bin\jqs.exe
<verified> Microsoft® Windows® Operating System 1276 C:\WINDOWS\System32\alg.exe
<verified> Microsoft® Windows® Operating System 764 C:\WINDOWS\system32\csrss.exe
<verified> Microsoft® Windows® Operating System 2124 C:\WINDOWS\system32\ctfmon.exe
<verified> Microsoft® Windows® Operating System 844 C:\WINDOWS\system32\lsass.exe
<verified> Microsoft® Windows® Operating System 1488 C:\WINDOWS\system32\spoolsv.exe
<verified> Microsoft® Windows® Operating System 1044 C:\WINDOWS\system32\svchost.exe
<verified> Microsoft® Windows® Operating System 1108 C:\WINDOWS\system32\svchost.exe
<verified> Microsoft® Windows® Operating System 1204 C:\WINDOWS\System32\svchost.exe
<verified> Microsoft® Windows® Operating System 1300 C:\WINDOWS\system32\svchost.exe
<verified> Microsoft® Windows® Operating System 1336 C:\WINDOWS\system32\svchost.exe
<verified> Microsoft® Windows® Operating System 1572 C:\WINDOWS\system32\svchost.exe
<verified> Microsoft® Windows® Operating System 224 C:\WINDOWS\system32\wdfmgr.exe
<verified> NMSAccessU.exe 1808 C:\Archivos de programa\CDBurnerXP\NMSAccessU.exe
<verified> NVIDIA Driver Helper Service, Version 1 1836 C:\WINDOWS\system32\nvsvc32.exe
<verified> Sistema operativo Microsoft® Windows® 1888 C:\WINDOWS\Explorer.EXE
<verified> Sistema operativo Microsoft® Windows® 832 C:\WINDOWS\system32\services.exe
<verified> Sistema operativo Microsoft® Windows® 696 C:\WINDOWS\System32\smss.exe
<verified> Sistema operativo Microsoft® Windows® 1144 C:\WINDOWS\system32\wbem\wmiapsrv.exe
<verified> Sistema operativo Microsoft® Windows® 788 C:\WINDOWS\system32\winlogon.exe
<verified> Windows® Internet Explorer 2052 C:\Archivos de programa\Internet Explorer\iexplore.exe
<verified> Windows® Internet Explorer 3652 C:\Archivos de programa\Internet Explorer\iexplore.exe
Network activity
----------------
Process iexplore.exe (2052) connected on port 80 (HTTP) - a96-16-196-20.deploy.akamaitechnologies.com
Process iexplore.exe (2052) connected on port 80 (HTTP) - CRL.VERISIGN.NET
Process iexplore.exe (2052) connected on port 80 (HTTP) - a72-246-54-11.deploy.akamaitechnologies.com
Process firefox.exe (3040) connected on port 80 (HTTP) - eze03s01-in-f104.1e100.net
Process firefox.exe (3040) connected on port 80 (HTTP) - eze03s01-in-f104.1e100.net
Process firefox.exe (3040) connected on port 80 (HTTP) - eze03s01-in-f100.1e100.net
Process WinVNC4.exe (272) listens on ports: 5800 (VNC over HTTP), 5900 (VNC Server)
Process svchost.exe (1108) listens on ports: 135 (RPC)
Autoruns and critical files
---------------------------
<verified> AntiVir Desktop C:\Archivos de programa\Avira\AntiVir Desktop\avgnt.exe
<verified> GrooveShellExtensions Module C:\Archivos de programa\Microsoft Office\Office12\GrooveShellExtensions.dll
<verified> Microsoft® Windows® Operating System C:\WINDOWS\system32\cryptnet.dll
<verified> Microsoft® Windows® Operating System C:\WINDOWS\system32\ctfmon.exe
<verified> Microsoft® Windows® Operating System C:\WINDOWS\system32\dimsntfy.dll
<verified> NVIDIA Compatible Windows 2000 Display C:\WINDOWS\system32\nvcpl.dll
<verified> Sistema operativo Microsoft® Windows® C:\WINDOWS\system32\browseui.dll
<verified> Sistema operativo Microsoft® Windows® C:\WINDOWS\system32\crypt32.dll
<verified> Sistema operativo Microsoft® Windows® C:\WINDOWS\system32\cscdll.dll
<verified> Sistema operativo Microsoft® Windows® C:\WINDOWS\system32\logonui.exe
<verified> Sistema operativo Microsoft® Windows® C:\WINDOWS\system32\sclgntfy.dll
<verified> Sistema operativo Microsoft® Windows® C:\WINDOWS\system32\shell32.dll
<verified> Sistema operativo Microsoft® Windows® C:\WINDOWS\system32\stobject.dll
<verified> Sistema operativo Microsoft® Windows® c:\windows\system32\userinit.exe
<verified> Sistema operativo Microsoft® Windows® C:\WINDOWS\system32\wlnotify.dll
<verified> Windows Live Messenger C:\Archivos de programa\Windows Live\Messenger\msnmsgr.exe
<verified> Windows® Internet Explorer C:\WINDOWS\system32\webcheck.dll
Browser plugins
---------------
<unsigned> Control de carga de fotos de MSN C:\WINDOWS\Downloaded Program Files\PURes-us.dll
<unsigned> Java(TM) Platform SE 6 U13 c:\archivos de programa\java\jre6\bin\jp2ssv.dll
<unsigned> Java(TM) Platform SE 6 U13 C:\Archivos de programa\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
<unsigned> QuickTime Plug-in 7.6.5 C:\Archivos de programa\Mozilla Firefox\plugins\npqtplugin.dll
<unsigned> QuickTime Plug-in 7.6.5 C:\Archivos de programa\Mozilla Firefox\plugins\npqtplugin2.dll
<unsigned> QuickTime Plug-in 7.6.5 C:\Archivos de programa\Mozilla Firefox\plugins\npqtplugin3.dll
<unsigned> QuickTime Plug-in 7.6.5 C:\Archivos de programa\Mozilla Firefox\plugins\npqtplugin4.dll
<unsigned> QuickTime Plug-in 7.6.5 C:\Archivos de programa\Mozilla Firefox\plugins\npqtplugin5.dll
<unsigned> QuickTime Plug-in 7.6.5 C:\Archivos de programa\Mozilla Firefox\plugins\npqtplugin6.dll
<unsigned> QuickTime Plug-in 7.6.5 C:\Archivos de programa\Mozilla Firefox\plugins\npqtplugin7.dll
<verified> 2007 Microsoft Office system C:\Archivos de programa\Mozilla Firefox\plugins\NPOFF12.DLL
<verified> AcroIEHelperShim Library C:\Archivos de programa\Archivos comunes\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
<verified> Adobe Acrobat C:\Archivos de programa\Mozilla Firefox\plugins\nppdf32.dll
<verified> Adobe® Flash® Player ActiveX C:\WINDOWS\Downloaded Program Files\FP_AX_CAB_INSTALLER.exe
<verified> BitDefender QuickScan C:\WINDOWS\Downloaded Program Files\qsax.ocx
<verified> GrooveShellExtensions Module C:\Archivos de programa\Microsoft Office\Office12\GrooveShellExtensions.dll
<verified> Messenger C:\Archivos de programa\Messenger\msmsgs.exe
<verified> Microsoft® Windows Live Login Helper C:\Archivos de programa\Archivos comunes\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
<verified> Microsoft® Windows® Operating System C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
<verified> Microsoft® Windows® Operating System C:\WINDOWS\system32\rsvpsp.dll
<verified> Microsoft® Windows® Operating System C:\WINDOWS\system32\winrnr.dll
<verified> Mozilla Default Plug-in C:\Archivos de programa\Mozilla Firefox\plugins\npnul32.dll
<verified> MSN Photo Upload Control C:\WINDOWS\Downloaded Program Files\PURen-us.dll
<verified> MSN® Games by Zone.com C:\WINDOWS\Downloaded Program Files\MessengerStatsPAClient.dll
<verified> MSN® Games by Zone.com C:\WINDOWS\Downloaded Program Files\msgrchkr.dll
<verified> NPSWF32.dll C:\WINDOWS\system32\Macromed\Flash\NPSWF32.dll
<verified> Silverlight Plug-In c:\Archivos de programa\Microsoft Silverlight\3.0.50106.0\npctrl.dll
<verified> Sistema operativo Microsoft® Windows® C:\WINDOWS\system32\mswsock.dll
<verified> Windows Live Photo Upload Control C:\WINDOWS\Downloaded Program Files\MsnPUpld.dll
<verified> Windows® Internet Explorer C:\WINDOWS\system32\ieframe.dll
Scan
----
<unsigned> MD5: 20b2c339361e82a6707533bac481fce4 C:\Archivos de programa\7-Zip\7-zip.dll
<unsigned> MD5: fc39dce481d11a08a2fb724f5f2b50fe C:\Archivos de programa\Adobe\Reader 9.0\Reader\ACE.dll
<unsigned> MD5: 6e0d2c3942022c1b66522b0974a974a8 C:\Archivos de programa\Adobe\Reader 9.0\Reader\AdobeXMP.dll
<unsigned> MD5: 8b63b2688ad1ccf6cbe237659344a30c C:\Archivos de programa\Adobe\Reader 9.0\Reader\AGM.dll
<unsigned> MD5: a9eb39043feb5b4d9378598307ad4541 C:\Archivos de programa\Adobe\Reader 9.0\Reader\AXE8SharedExpat.dll
<unsigned> MD5: 3c0f5a7fa9908c1dd25e7bb97df22295 C:\Archivos de programa\Adobe\Reader 9.0\Reader\BIB.dll
<unsigned> MD5: a5fc0ca1984595f302cf15d313485b0e C:\Archivos de programa\Adobe\Reader 9.0\Reader\BIBUtils.dll
<unsigned> MD5: db9181786b0aaeec661c691693536906 C:\Archivos de programa\Adobe\Reader 9.0\Reader\CoolType.dll
<unsigned> MD5: 32de5721168b3dbca77e828e59ac0686 C:\Archivos de programa\Adobe\Reader 9.0\Reader\JP2KLib.dll
<unsigned> MD5: c1eb9968ec89fba5f3a264e2e57923ab C:\Archivos de programa\Archivos comunes\Adobe Systems Shared\Service\Adobelmsvc.exe
<unsigned> MD5: 672dce88676573576c81d1580d053924 C:\Archivos de programa\Archivos comunes\Adobe\Acrobat\ActiveX\pdfshell.ESP
<unsigned> MD5: 647c11534c7af0c5ff599d930476511f C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7DEBUG\csm.dll
<unsigned> MD5: 7cf1b716372b89568ae4c0fe769f5869 C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7DEBUG\mdm.exe
<unsigned> MD5: 7e3d9e781e7d2e099bd424b188fbc9aa C:\Archivos de programa\Avira\AntiVir Desktop\aebb.dll
<unsigned> MD5: 30775531a79193ce7c13b84bece5e013 C:\Archivos de programa\Avira\AntiVir Desktop\aecore.dll
<unsigned> MD5: 2364e3d43e8839ae6f47d4ca9ae05762 C:\Archivos de programa\Avira\AntiVir Desktop\aeemu.dll
<unsigned> MD5: fb8d3c2b51a2df69c9a70cedf5b5dc7d C:\Archivos de programa\Avira\AntiVir Desktop\aegen.dll
<unsigned> MD5: d1ad1f57bfebcb58afbf66e25279346f C:\Archivos de programa\Avira\AntiVir Desktop\aehelp.dll
<unsigned> MD5: b0185475126fce02fd2a24cf1dd00e4a C:\Archivos de programa\Avira\AntiVir Desktop\aeheur.dll
<unsigned> MD5: 99c23d8b8724de8d22fa96e0d83af1e6 C:\Archivos de programa\Avira\AntiVir Desktop\aeoffice.dll
<unsigned> MD5: 68b89e18be8c02f8ee6410fef17143b1 C:\Archivos de programa\Avira\AntiVir Desktop\aepack.dll
<unsigned> MD5: eae5f4b8b274dcc719438aac5ba08b6a C:\Archivos de programa\Avira\AntiVir Desktop\aerdl.dll
<unsigned> MD5: f3a07c983a0ee71d150bcff15f6b40ec C:\Archivos de programa\Avira\AntiVir Desktop\aesbx.dll
<unsigned> MD5: 2ee40bd646ae9e2aea3282f2c86a05ad C:\Archivos de programa\Avira\AntiVir Desktop\aescn.dll
<unsigned> MD5: 98a2ea59446d86320284fe12867f2cd7 C:\Archivos de programa\Avira\AntiVir Desktop\aescript.dll
<unsigned> MD5: 4ce4611f7003ada2198b9e9646a00d09 C:\Archivos de programa\Avira\AntiVir Desktop\aevdf.dll
<unsigned> MD5: ddf0d660e994d0bb912f37dca7afe8f7 C:\Archivos de programa\Avira\AntiVir Desktop\avevtlog.dll
<unsigned> MD5: e1ac63748ef4d24e04060c5c61160643 C:\Archivos de programa\Avira\AntiVir Desktop\avgio.dll
<unsigned> MD5: 06990855177b4ab5366864738c43d459 C:\Archivos de programa\Avira\AntiVir Desktop\avipc.dll
<unsigned> MD5: 92ea86876dfde3b9f6b4b6443c8b11fb C:\Archivos de programa\Avira\AntiVir Desktop\avpref.dll
<unsigned> MD5: dfca644502dfa491384a53f87ae03fb6 C:\Archivos de programa\Avira\AntiVir Desktop\avsmtp.dll
<unsigned> MD5: e297d7ede615bc39f6a3708e2f9a924c C:\Archivos de programa\Avira\AntiVir Desktop\ccgen.dll
<unsigned> MD5: a48457fa81661ff73b549e42ca2488a2 C:\Archivos de programa\Avira\AntiVir Desktop\ccgenrc.dll
<unsigned> MD5: 298b49e02025add1d12aaf27937a3549 C:\Archivos de programa\Avira\AntiVir Desktop\ccgrdrc.dll
<unsigned> MD5: 41303e032613d2c4e29be8b8eb5f027b C:\Archivos de programa\Avira\AntiVir Desktop\ccgrdw.dll
<unsigned> MD5: 80803bf24c42c1b7130f8ad69e05b744 C:\Archivos de programa\Avira\AntiVir Desktop\ccguard.dll
<unsigned> MD5: 81ba09327b20a9bf88e47091d9d0d3c7 C:\Archivos de programa\Avira\AntiVir Desktop\cclic.dll
<unsigned> MD5: 939286b2d5177e88d1fa804413ac8862 C:\Archivos de programa\Avira\AntiVir Desktop\cclicrc.dll
<unsigned> MD5: dcd62c40142df3b41f64ac837feb5716 C:\Archivos de programa\Avira\AntiVir Desktop\ccmainrc.dll
<unsigned> MD5: f65abcdedecb5d5fe6cd037867dbec5d C:\Archivos de programa\Avira\AntiVir Desktop\ccmsg.dll
<unsigned> MD5: 76d19b395001f884eeed44d582fd5658 C:\Archivos de programa\Avira\AntiVir Desktop\ccmsgrc.dll
<unsigned> MD5: 91fe94f0defa802320466bab90bb4f0a C:\Archivos de programa\Avira\AntiVir Desktop\ccupdate.dll
<unsigned> MD5: 3fef6e15b2f4596a58854e4ef4f1d9eb C:\Archivos de programa\Avira\AntiVir Desktop\ccupdrc.dll
<unsigned> MD5: 96bcd91d7f84ec265ceb2f4d47838a51 C:\Archivos de programa\Avira\AntiVir Desktop\ccwkrlib.dll
<unsigned> MD5: 01936b92434b6ab994d9bb2139729cfb C:\Archivos de programa\Avira\AntiVir Desktop\cfglib.dll
<unsigned> MD5: 92d9eb35797530fedc07b1d75533f68e C:\Archivos de programa\Avira\AntiVir Desktop\guardmsg.dll
<unsigned> MD5: 020e9a91b8da0927e8a60868d90f515a C:\Archivos de programa\Avira\AntiVir Desktop\libdb44.dll
<unsigned> MD5: 7464c6694036b42ba237eb723a34d0f4 C:\Archivos de programa\Avira\AntiVir Desktop\rcimage.dll
<unsigned> MD5: 13a86ff71b5e57da8c9a6e2316ce1eaa C:\Archivos de programa\Avira\AntiVir Desktop\schedr.dll
<unsigned> MD5: 902c61f27c86b4a0c0bff31f154ddbeb C:\Archivos de programa\Avira\AntiVir Desktop\shlext.dll
<unsigned> MD5: 0815aff09e50a3cf1349396f5b2ebc6a C:\Archivos de programa\Avira\AntiVir Desktop\sqlite3.dll
<unsigned> MD5: 96a225c7f5346a9e81fc3dfa89a900c0 c:\archivos de programa\java\jre6\bin\jp2ssv.dll
<unsigned> MD5: 86f1895ae8c5e8b17d99ece768a70732 C:\Archivos de programa\Java\jre6\bin\msvcr71.dll
<unsigned> MD5: 53f8b53918c839f76367b7e612b742b1 C:\Archivos de programa\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
<unsigned> MD5: 26b018758226a5dc06de45496c394d40 C:\Archivos de programa\Mozilla Firefox\freebl3.dll
<unsigned> MD5: 9dfb30f203999a3ae0f258a33fa598f9 C:\Archivos de programa\Mozilla Firefox\nssdbm3.dll
<unsigned> MD5: 0994ae471afb9a07815b0f77dee47cda C:\Archivos de programa\Mozilla Firefox\plugins\npqtplugin.dll
<unsigned> MD5: 0994ae471afb9a07815b0f77dee47cda C:\Archivos de programa\Mozilla Firefox\plugins\npqtplugin2.dll
<unsigned> MD5: 0994ae471afb9a07815b0f77dee47cda C:\Archivos de programa\Mozilla Firefox\plugins\npqtplugin3.dll
<unsigned> MD5: 0994ae471afb9a07815b0f77dee47cda C:\Archivos de programa\Mozilla Firefox\plugins\npqtplugin4.dll
<unsigned> MD5: 0994ae471afb9a07815b0f77dee47cda C:\Archivos de programa\Mozilla Firefox\plugins\npqtplugin5.dll
<unsigned> MD5: 0994ae471afb9a07815b0f77dee47cda C:\Archivos de programa\Mozilla Firefox\plugins\npqtplugin6.dll
<unsigned> MD5: 0994ae471afb9a07815b0f77dee47cda C:\Archivos de programa\Mozilla Firefox\plugins\npqtplugin7.dll
<unsigned> MD5: 1fd6c03c0001a5e1eaf61596c2502f0c C:\Archivos de programa\Mozilla Firefox\softokn3.dll
<unsigned> MD5: 1d4878e357c383fd35d06b0b98263ce0 C:\Archivos de programa\Network Print Monitor\Driver.DLL
<unsigned> MD5: 7043ddf51d7135c1d1b83b4213dfed61 C:\Archivos de programa\RealVNC\VNC4\WinVNC4.exe
<unsigned> MD5: 7d042213ec10b666923c72da24ee4b9e C:\Archivos de programa\RealVNC\VNC4\wm_hooks.dll
<unsigned> MD5: a67af02a7709e1d64c1717cf16ffd0f3 C:\Archivos de programa\SysAid\\IliAS.exe
<unsigned> MD5: a67af02a7709e1d64c1717cf16ffd0f3 C:\Archivos de programa\SysAid\IliAS.exe
<unsigned> MD5: 30a23a61e651c7487407cf74176c6ab1 C:\Archivos de programa\WinRAR\RarExt.dll
<unsigned> MD5: ee5c6390a649d5d3fc98f9ab7ed17f8c C:\WINDOWS\Downloaded Program Files\PURes-us.dll
<unsigned> MD5: 4342b8aa3353862db5acef3edaa21ae3 C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\Aspnet_perf.dll
<unsigned> MD5: 50dc192e80eb75916a83c3191de6a522 C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\CORPerfMonExt.dll
<unsigned> MD5: ad060608376e3195b4545928f43653d8 C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\Culture.dll
<unsigned> MD5: ad23bb6b329c7d5ee8a43b89e2fd4fd2 C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\fusion.dll
<unsigned> MD5: 506dbadc2a9d7841eb0871442550962a C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorwks.dll
<unsigned> MD5: ff686302948b92caa2358ebe27d3b96b C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\PerfCounter.dll
<unsigned> MD5: 5b746df7ff55229630fe2815b348149c C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\shfusion.dll
<unsigned> MD5: bffb11607d65a61461ba73d9b85a62cd C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\ShFusRes.dll
<unsigned> MD5: b3511383c8be3a8c5b88a78971fc1141 C:\WINDOWS\system32\dfshim.dll
<unsigned> MD5: 7aec176a5de912d440e3b37120e2e38f C:\WINDOWS\system32\E_FLMACP.DLL
<unsigned> MD5: 291f7eadf41e871e1568e45bc0209e2b C:\WINDOWS\system32\ksrvtsc.pwm
<unsigned> MD5: bf8b232493f18d1ee00d07a23c04ad3f C:\WINDOWS\system32\mscoree.dll
<unsigned> MD5: 31fb4b337dd09bdf99429d7dbb5fdd48 C:\WINDOWS\system32\netfxperf.dll
<unsigned> MD5: 4c5d94ff6a808adabacb22281e08540c C:\WINDOWS\system32\nvrses.dll
<unsigned> MD5: 3a762a13751eca7bb61fdff183d2d842 C:\WINDOWS\system32\nvshell.dll
<unsigned> MD5: 3e9a33113d663d8bd5ed38858e669652 C:\WINDOWS\WinSxS\x86_Microsoft.VC80.ATL_1fc8b3b9a1e18e3b_8.0.50727.4053_x-ww_473666fd\ATL80.dll
<unsigned> MD5: 1b7524806d0270b81360c63a2fa047cb C:\WINDOWS\WinSxS\x86_Microsoft.VC80.MFC_1fc8b3b9a1e18e3b_8.0.50727.762_x-ww_3bf8fa05\mfc80.dll
<unsigned> MD5: d47599748b3ecf645c47caa0bc24a7cd C:\WINDOWS\WinSxS\x86_Microsoft.VC80.MFCLOC_1fc8b3b9a1e18e3b_8.0.50727.762_x-ww_91481303\mfc80ESP.dll
The following file(s) must be uploaded for server-side scanning:
C:\WINDOWS\system32\ksrvtsc.pwm
Upload started - 1 file(s)
C:\WINDOWS\system32\ksrvtsc.pwm (161280)
Upload speed - 5 KB/s
Upload finished - 1 uploaded, 0 failed
Scan finished - communication took 40 sec
Total traffic - 0.23 MB sent, 2.78 KB recvd
Scanned 1103 files and modules - 155 seconds
________________________________________________________
Acto seguido, te envio una muestra del archivo sospechoso renombrado a .vir y en rar con la contraseña virus.
C:\WINDOWS\system32\ksrvtsc.pwm
el log del virus total:
Motor antivirus Versión Última actualización Resultado
a-squared 4.5.0.43 2009.12.17 Trojan-Downloader.Win32.Kido!IK
AhnLab-V3 5.0.0.2 2009.12.17 Win32/Kido.worm.168032
AntiVir 7.9.1.114 2009.12.17 TR/Crypt.ZPACK.Gen
Antiy-AVL 2.0.3.7 2009.12.17 -
Authentium 5.2.0.5 2009.12.02 W32/Conficker!Generic
Avast 4.8.1351.0 2009.12.17 Win32:Confi
AVG 8.5.0.427 2009.12.17 Agent.ASLB
BitDefender 7.2 2009.12.17 Win32.Worm.Downadup.Gen
CAT-QuickHeal 10.00 2009.12.17 TrojanDownloader.Kido.bj
ClamAV 0.94.1 2009.12.17 Worm.Kido-23
Comodo 3275 2009.12.17 NetWorm.Win32.Kido.ih
DrWeb 5.0.0.12182 2009.12.17 Win32.HLLW.Autoruner.5555
eSafe 7.0.17.0 2009.12.16 -
eTrust-Vet 35.1.7180 2009.12.17 Win32/Conficker
F-Prot 4.5.1.85 2009.12.16 W32/Conficker!Generic
F-Secure 9.0.15370.0 2009.12.17 Worm:W32/Downadup.gen!A
Fortinet 4.0.14.0 2009.12.17 W32/Conficker.IH!worm.im
GData 19 2009.12.17 Win32.Worm.Downadup.Gen
Ikarus T3.1.1.79.0 2009.12.17 Trojan-Downloader.Win32.Kido
Jiangmin 13.0.900 2009.12.17 Worm/Kido.ur
K7AntiVirus 7.10.923 2009.12.17 Net-Worm.Win32.Downadup.ih
Kaspersky 7.0.0.125 2009.12.17 Net-Worm.Win32.Kido.ih
McAfee 5835 2009.12.17 W32/Conficker.worm.gen.a
McAfee+Artemis 5835 2009.12.17 W32/Conficker.worm.gen.a
McAfee-GW-Edition 6.8.5 2009.12.17 Trojan.Crypt.ZPACK.Gen
Microsoft 1.5302 2009.12.17 Worm:Win32/Conficker.B
NOD32 4696 2009.12.17 Win32/Conficker.AA
Norman 6.04.03 2009.12.17 W32/Conficker.CT
nProtect 2009.1.8.0 2009.12.17 Worm/W32.Kido.161280.E
Panda 10.0.2.2 2009.12.15 W32/Conficker.C.worm
PCTools 7.0.3.5 2009.12.17 Trojan.Conficker.c.gen
Prevx 3.0 2009.12.17 High Risk System Back Door
Rising 22.26.03.04 2009.12.17 Hack.Exploit.Win32.MS08-067.dp
Sophos 4.49.0 2009.12.17 Mal/Conficker-A
Sunbelt 3.2.1858.2 2009.12.17 Worm.Win32.Downad.Gen (v)
Symantec 1.4.4.12 2009.12.17 W32.Downadup.B
TheHacker 6.5.0.2.095 2009.12.17 W32/Kido.ih
TrendMicro 9.100.0.1001 2009.12.17 WORM_DOWNAD.AD
VBA32 3.12.12.0 2009.12.16 Worm.Win32.kido.104
ViRobot 2009.12.17.2094 2009.12.17 Worm.Win32.Conficker.168032
VirusBuster 5.0.21.0 2009.12.17 Worm.Kido.AAI
Información adicional
File size: 161280 bytes
MD5 : 291f7eadf41e871e1568e45bc0209e2b
SHA1 : 372baf0f63ab5e0fdd4c74e9be2c0c9878a5e12c
SHA256: 0b630a2a87ea7abf16f918fbd949314f051f935389f727317441c81f3b1912fd
PEInfo: PE Structure information
( base data )
entrypointaddress.: 0x3FCB
timedatestamp.....: 0x3CC590B4 (Tue Apr 23 18:49:56 2002)
machinetype.......: 0x14C (Intel I386)
( 4 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x307A 0x3200 6.29 a0474d84e6474c3d15703324ba5251d9
.rdata 0x5000 0x716 0x800 4.55 ca0b518e1c3cb91d5f7737f6bd0532ce
.data 0x6000 0x108AC 0x10400 7.99 1244afa6aa2a26672fcfa41fe2e7ba10
.reloc 0x17000 0x996 0xA00 6.21 e7cf4c6cde4da0916874baa6d790671a
( 7 imports )
> advapi32.dll: GetUserNameA, IsValidAcl
> gdi32.dll: GdiFlush, GetBitmapDimensionEx, GetPixel, GetBkColor, GdiGetBatchLimit, GetBkMode
> kernel32.dll: GetVersionExA, GetACP, IsDBCSLeadByte, LoadLibraryA, InterlockedDecrement, GetProcAddress, GetStartupInfoA, Sleep, GetLocalTime, VirtualAlloc, VirtualProtect, VirtualQuery, GetTickCount, IsDebuggerPresent, GetLastError, GetComputerNameA, GetCurrentProcess, GetProcessHeap, IsBadStringPtrA, IsBadCodePtr, IsBadWritePtr, IsBadReadPtr, MulDiv
> msvcrt.dll: _adjust_fdiv, free, malloc, _memccpy, _ultoa, time, frexp, ceil, ldexp, modf, _hypot, _CIasin, _CIsinh, _itoa, srand, _initterm
> ole32.dll: CoGetCurrentProcess, CoFileTimeNow, CoRevertToSelf
> shell32.dll: -, -
> user32.dll: GetMenuContextHelpId, GetWindowTextLengthA, IsCharUpperA, IsCharAlphaNumericA, IsCharAlphaA, IsClipboardFormatAvailable, GetDC, GetIconInfo, GetWindowThreadProcessId, GetTopWindow, IsWindowVisible, IsChild, GetWindowPlacement, GetCursor
( 0 exports )
TrID : File type identification
Win32 Executable Generic (38.4%)
Win32 Dynamic Link Library (generic) (34.2%)
Clipper DOS Executable (9.1%)
Generic Win/DOS Executable (9.0%)
DOS Executable Generic (9.0%)
ThreatExpert:
ssdeep: 3072:Am2oCQtIWmQPXe8HnY6+vhNu565Z9Ch+RJGag0qhS:AmzLt7bPXe8HYTGSG8Mhe
Prevx Info:
PEiD : -
RDS : NSRL Reference Data Set
Espero que sirva la info
Saludos.
Re: Varios procesos RUNDLL32.exe
Ya claro los trescientos no ibas a analizar pero bueno al menos ahora ya vamos por buen camino. Voy a mirar los siguientes mensajes que has dejado espera. De momento ese no lo desactives porque es fidedigno lo que no tengo claro es que este en la ruta correcta pero dejalo tranquilo de momento, y el que te ha encontrado el online envianoslo tambien para analizar. Saludos.
Re: Varios procesos RUNDLL32.exe
Buenos días, hay alguna novedad? El archivo "C:\WINDOWS\system32\ksrvtsc.pwm" les llego correctamente?
Cualquier cosa que necesiten quedo a su disposicion.
Desde ya muchas gracias.
Saludos
Cualquier cosa que necesiten quedo a su disposicion.
Desde ya muchas gracias.
Saludos
Re: Varios procesos RUNDLL32.exe
Descargate elistara que ya esta actualizado y por si acaso elipalevo tambien
http://www.zonavirus.com/descargas/descargar-elistara.asp
http://www.zonavirus.com/descargas/elipalevo.asp
Te explico porque te digo las dos, resulta que el administrador que trabaja en la oficina con los compis que analizan las muestras esta de vacaciones ( vuelve mañana) y es el que controla que muestras son de cada forero. Por lo tanto prueba las dos y nos pegas el log que te dejen en C infosat.txt saludos.
Te explico porque te digo las dos, resulta que el administrador que trabaja en la oficina con los compis que analizan las muestras esta de vacaciones ( vuelve mañana) y es el que controla que muestras son de cada forero. Por lo tanto prueba las dos y nos pegas el log que te dejen en C infosat.txt saludos.
-
msc hotline sat
- Mensajes: 93500
- Registrado: 09 Mar 2004, 20:39
- Ubicación: BARCELONA (ESPAÑA)
- Contactar:
Re: Varios procesos RUNDLL32.exe
Bueno, ya estoy de vuelta, y con trabajo atrasado que iré poniendo al día...
El fichero que nos enviaste y sus complementarios es una variante de Conficker, el cual debes eliminar siguiendo lo indicado en el articulo al respecto:
http://www.zonavirus.com/noticias/2009/anexo-sobre-el-conficker-que-se-publico-pero-quedo-oculto.asp
Sigue puntualmente las instrucciones que allí se indican, el Conficker es un Rootkit que se propaga por intrusion via IP si no se tiene el parche MS08-067, por comparticiones administrativas si no se tiene password "duro" (alfanumérico con masyúsculas y minúsculas) y por pendrive, si no se tiene instalada la "Vacuna" del ELIPEN en ordenadores y pendrives, para lo cual ya el USB445 ya instala la parte correspondiente en los ordenadores en los que se ejecuta.
saludos
ms, 15-6-2010
El fichero que nos enviaste y sus complementarios es una variante de Conficker, el cual debes eliminar siguiendo lo indicado en el articulo al respecto:
Sigue puntualmente las instrucciones que allí se indican, el Conficker es un Rootkit que se propaga por intrusion via IP si no se tiene el parche MS08-067, por comparticiones administrativas si no se tiene password "duro" (alfanumérico con masyúsculas y minúsculas) y por pendrive, si no se tiene instalada la "Vacuna" del ELIPEN en ordenadores y pendrives, para lo cual ya el USB445 ya instala la parte correspondiente en los ordenadores en los que se ejecuta.
saludos
ms, 15-6-2010
msc hotline sat Virus Research Engineer Antes de preguntar - Normas Basicas - Mensajes Privados - Repetir Temas - Continuar Temas - Titulos del Tema - Antivirus Online
Re: Varios procesos RUNDLL32.exe
Ninguno de los dos encontro nada:
Este es el log del Eli Palevo y el Elistara:
(18-6-2010 16:49:35 (GMT))
EliPalevo v1.62 (c)2010 S.G.H. / Satinfo S.L.
---------------------------------------------
Lista de Acciones (por Acción Directa):
(18-6-2010 16:53:05 (GMT))
EliPalevo v1.62 (c)2010 S.G.H. / Satinfo S.L.
---------------------------------------------
Lista de Acciones (por Exploración):
Explorando "C:\"
Nº Total de Directorios: 7692
Nº Total de Ficheros: 88001
Nº de Ficheros Analizados: 2685
Nº de Ficheros Infectados: 0
Nº de Ficheros Limpiados: 0
(18-6-2010 16:57:00 (GMT))
EliStartPage v21.19 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 18 de Junio del 2010)
--------------------------------------------------
Lista de Acciones (por Acción Directa):
Eliminadas las Paginas de Inicio y de Busqueda del IE
Eliminados Ficheros Temporales del IE
(18-6-2010 17:04:31 (GMT))
EliStartPage v21.19 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 18 de Junio del 2010)
--------------------------------------------------
Lista de Acciones (por Exploración):
Explorando "C:\"
Nº Total de Directorios: 7688
Nº Total de Ficheros: 87874
Nº de Ficheros Analizados: 15403
Nº de Ficheros Infectados: 0
Nº de Ficheros Limpiados: 0
De donde puedo descargar la actulizaciond e seguridad? ya que debo aplicarselo a varias a PC.
Saludos
Este es el log del Eli Palevo y el Elistara:
(18-6-2010 16:49:35 (GMT))
EliPalevo v1.62 (c)2010 S.G.H. / Satinfo S.L.
---------------------------------------------
Lista de Acciones (por Acción Directa):
(18-6-2010 16:53:05 (GMT))
EliPalevo v1.62 (c)2010 S.G.H. / Satinfo S.L.
---------------------------------------------
Lista de Acciones (por Exploración):
Explorando "C:\"
Nº Total de Directorios: 7692
Nº Total de Ficheros: 88001
Nº de Ficheros Analizados: 2685
Nº de Ficheros Infectados: 0
Nº de Ficheros Limpiados: 0
(18-6-2010 16:57:00 (GMT))
EliStartPage v21.19 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 18 de Junio del 2010)
--------------------------------------------------
Lista de Acciones (por Acción Directa):
Eliminadas las Paginas de Inicio y de Busqueda del IE
Eliminados Ficheros Temporales del IE
(18-6-2010 17:04:31 (GMT))
EliStartPage v21.19 (c)2010 S.G.H. / Satinfo S.L. (Actualizado el 18 de Junio del 2010)
--------------------------------------------------
Lista de Acciones (por Exploración):
Explorando "C:\"
Nº Total de Directorios: 7688
Nº Total de Ficheros: 87874
Nº de Ficheros Analizados: 15403
Nº de Ficheros Infectados: 0
Nº de Ficheros Limpiados: 0
De donde puedo descargar la actulizaciond e seguridad? ya que debo aplicarselo a varias a PC.
Saludos
-
msc hotline sat
- Mensajes: 93500
- Registrado: 09 Mar 2004, 20:39
- Ubicación: BARCELONA (ESPAÑA)
- Contactar:
Re: Varios procesos RUNDLL32.exe
Pero te has leido lo último que te hemos indicado ???
http://www.zonavirus.com/noticias/2009/anexo-sobre-el-conficker-que-se-publico-pero-quedo-oculto.asp
Una vez visto que lo que tienes es el Conficker, debes actuar en consecuencia !!!
Repetimos : "Sigue puntualmente las instrucciones que allí se indican, el Conficker es un Rootkit que se propaga por intrusion via IP si no se tiene el parche MS08-067, por comparticiones administrativas si no se tiene password "duro" (alfanumérico con masyúsculas y minúsculas) y por pendrive, si no se tiene instalada la "Vacuna" del ELIPEN en ordenadores y pendrives, para lo cual ya el USB445 ya instala la parte correspondiente en los ordenadores en los que se ejecuta."
saludos
ms, 18-6-2010
Una vez visto que lo que tienes es el Conficker, debes actuar en consecuencia !!!
Repetimos : "Sigue puntualmente las instrucciones que allí se indican, el Conficker es un Rootkit que se propaga por intrusion via IP si no se tiene el parche MS08-067, por comparticiones administrativas si no se tiene password "duro" (alfanumérico con masyúsculas y minúsculas) y por pendrive, si no se tiene instalada la "Vacuna" del ELIPEN en ordenadores y pendrives, para lo cual ya el USB445 ya instala la parte correspondiente en los ordenadores en los que se ejecuta."
saludos
ms, 18-6-2010
msc hotline sat Virus Research Engineer Antes de preguntar - Normas Basicas - Mensajes Privados - Repetir Temas - Continuar Temas - Titulos del Tema - Antivirus Online