Archivos sospechosos para analizar....(SOLUCIONADO)

[Claudia34]

Hola a todos, estaba revisando mi pc conciensudamente y encontre 3 archivos sospechosos que supuestamente son del sistema, estan ubicados en la carpeta de windows- system32-drivers

He escaneado los tres archivos con virus total y enel unico archivo que se detecto suspuestamente algo fue en el archivo: dmboot.sys

Les envio a satinfo por las dudas a ver si encuentran algo virico en esos archivos.



Saludos.



File dmboot.sys received on 06.13.2008 04:42:08 (CET)

Current status: Loading ... queued waiting scanning finished NOT FOUND STOPPED

Result: 1/32 (3.13%)

Loading server information...

Your file is queued in position: 6.

Estimated start time is between 61 and 87 seconds.

Do not close the window until scan is complete.

The scanner that was processing your file is stopped at this moment, we are going to wait a few seconds to try to recover your result.

If you are waiting for more than five minutes you have to resend your file.

Your file is being scanned by VirusTotal in this moment,

results will be shown as they're generated.

Compact Compact

Print results Print results

Your file has expired or does not exists.

Service is stopped in this moments, your file is waiting to be scanned (position: ) for an undefined time.



You can wait for web response (automatic reload) or type your email in the form below and click "request" so the system sends you a notification when the scan is finished.

Email:



Antivirus Version Last Update Result

AhnLab-V3 2008.6.13.0 2008.06.12 -

AntiVir 7.8.0.55 2008.06.12 -

Authentium 5.1.0.4 2008.06.12 -

Avast 4.8.1195.0 2008.06.12 -

AVG 7.5.0.516 2008.06.12 -

BitDefender 7.2 2008.06.13 -

CAT-QuickHeal 9.50 2008.06.12 -

ClamAV 0.92.1 2008.06.13 -

DrWeb 4.44.0.09170 2008.06.12 -

eSafe 7.0.15.0 2008.06.12 -

eTrust-Vet 31.6.5870 2008.06.13 -

Ewido 4.0 2008.06.12 -

F-Prot 4.4.4.56 2008.06.12 -

F-Secure 6.70.13260.0 2008.06.13 -

Fortinet 3.14.0.0 2008.06.12 -

GData 2.0.7306.1023 2008.06.13 -

Ikarus T3.1.1.26.0 2008.06.13 -

Kaspersky 7.0.0.125 2008.06.13 -

McAfee 5316 2008.06.12 -

Microsoft 1.3604 2008.06.13 -

NOD32v2 3182 2008.06.12 -

Norman 5.80.02 2008.06.12 -

Panda 9.0.0.4 2008.06.12 -

Prevx1 V2 2008.06.13 -

Rising 20.48.32.00 2008.06.12 -

Sophos 4.30.0 2008.06.13 -

[color=#FF4040]Sunbelt 3.0.1145.1 2008.06.05 VIPRE.Suspicious[/color]

Symantec 10 2008.06.13 -

TheHacker 6.2.92.346 2008.06.12 -

VBA32 3.12.6.7 2008.06.12 -

VirusBuster 4.3.26:9 2008.06.12 -

Webwasher-Gateway 6.6.2 2008.06.12 -

Additional information

File size: 800256 bytes

MD5...: c252a99c0a78b39faa2e2d1d048b1050

SHA1..: 41efcf038a3febc56da327e74f60a2e154430cb2

SHA256: 40b2abd94b3d447ccf769f12e043e117e6b51ffe77aef69b97c16d897b30a773

SHA512: 8ee30930dd0878a512ecd8201c670a02a72a5ae396a199da790cdaadf3510e77

75e91be3c9633275867708b356672336bbb33bf70e1d789d73085088c17c9343

PEiD..: -

PEInfo: PE Structure information



( base data )

entrypointaddress.: 0xd0705

timedatestamp.....: 0x4802549d (Sun Apr 13 18:44:45 2008)

machinetype.......: 0x14c (I386)



( 6 sections )

name viradd virsiz rawdsiz ntrpy md5

.text 0x300 0x35a00 0x35a00 6.52 898e72c2300544e9611501f378c89a2f

.rdata 0x35d00 0x6f54 0x6f80 4.90 b4ec16a2844a6d61fe46d37d060fe989

.data 0x3cc80 0x83a04 0x83a80 0.05 963174970ec8a27c0afb054ecc78432e

INIT 0xc0700 0x600 0x600 5.59 64dd187891f2785351c12492405279d0

.rsrc 0xc0d00 0xb48 0xb80 3.53 c7121306ad50d7e01e9a0918af134418

.reloc 0xc1880 0x1d5a 0x1d80 5.54 1c6d5c03abbea76928b2fc5fb0991552



( 1 imports )

> ntoskrnl.exe: ExRaiseStatus, _except_handler3, ZwClose, ExFreePoolWithTag, ExAllocatePoolWithTag, ZwQueryValueKey, ZwOpenKey, RtlInitUnicodeString, IofCompleteRequest, RtlWriteRegistryValue, IoRegisterShutdownNotification, IoCreateDevice, IoRegisterBootDriverReinitialization, MmPageEntireDriver, strchr, _stricmp, RtlCheckRegistryKey, strrchr, _allshr, sprintf, ZwSetValueKey, wcslen, ZwDeleteKey, swprintf, _alldiv, _allrem, _allmul, wcscpy, strncpy, atoi, KeDelayExecutionThread, wcsstr, RtlFreeUnicodeString, IoCreateSymbolicLink, RtlAnsiStringToUnicodeString, RtlInitAnsiString, IoDeleteSymbolicLink, RtlCopyUnicodeString, _aulldvrm, ZwDeviceIoControlFile, ZwOpenFile, KeTickCount, KeBugCheckEx, ZwCreateKey, ZwEnumerateKey, ExUuidCreate, ZwWriteFile, tolower, isupper, wcscat, ZwQuerySymbolicLinkObject, ZwOpenSymbolicLinkObject, ZwDisplayString, isdigit, _strnicmp, _wcsnicmp, _wcsicmp, IoWriteErrorLogEntry, IoAllocateErrorLogEntry, strncat, vsprintf, _alldvrm, KeQueryActiveProcessors, rand, qsort, wcscmp, KeQuerySystemTime, isspace



( 0 exports )

packers (Kaspersky): PE_Patch

[lucl]

Ok claudia pues ya te avisare cuando se suban las nuevas herramientas, saludos

[lucl]

Ya tienes las herramientas actualizadas mira a ver si ya se soluciono tu tema, nos pegas el log como tu bien sabes ya, saludos :wink:

[Claudia34]

Perfecto quedo solucionado, en realidad no tenia ningun problema visible en la computadora, aunque ando como un sabueso buscando cualquier pequeño indicio acerca de algun virus que siempre puede estar oculto en el sistema sin darnos cuenta, como me llamo un poco la atencion preferi enviarselos las muestras, con respecto al virus total creo que se trata de un falso positivo al haberlo detectado un solo antivirus y de los antivirus desconocidos por supuesto, pero me quede con la duda de si realmente ustedes al analizar las muestras ¿encontraron algo virico en ellas, y si encontraron de que se trataria realmente? bueno desde ya agradesco la gentileza hasta ahora despensada.



Saludos.

[Claudia34]

Aca dejo el informe del elistara y elitrip que por lo visto no encontraron nada fuera de lo normal.



Fri Jun 13 21:17:55 2008

EliStartPage v16.50 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 13 de Junio del 2008)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\



Fri Jun 13 21:17:56 2008

EliTriIP v4.82 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 13 de Junio del 2008)

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\



Nº Total de Directorios: 3358

Nº Total de Ficheros: 48601

Nº de Ficheros Analizados: 13443

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



Nº Total de Directorios: 3358

Nº Total de Ficheros: 48601

Nº de Ficheros Analizados: 14454

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



Saludos.

[lucl]

Hola Claudia como sabes msc no esta y es el, el que esta fisicamente donde lo analizan por lo que no puede informarnos del resultado, yo descargo las herramientas de satinfo y se las envio a admin que es el que las sube al foro. Un metodo utilizado estos dias para que no se les acumule el trabajo con los envios. Y para que podais usar las herramientas actualizadas todos los dias. Si encuentras algo mas ya sabes nos lo envias. Cerramos el tema dandolo por solucionado y ya sabes donde estamos, saludos