Archivo oculto vmhv.bat y wintay.dat

[LGRR]

:arrow: Por favor se han creado estos archivos en la raiz C:, y la verdad los veo muy sospechosos, Mi compu esta muy lenta, y no he encontrado información entendible sobre estos archivos. Si alguien me puede ayudar con información sobre ellos le agradeceria mucho.

[lucl]

Subelos a virustotal que te lo analizaran 32 antivirus y te diran si son viricos, nos pegas los logs resultantes , saludos



http://www.virustotal.com

[LGRR]

hola lucl, estos son los resultados que obtuve para el wintay.dat:





https://www.virustotal.com/es//analisis/ebb90224b797ec4b6036aae22338129e

[flacoroo]

bajate estos archivos, deshabilitas restaurar sistemas, los ejecutas y cuando diga explorar le das click; hasta que termine; despues nos pegas el resultado de C:infosat.txt

ejecutas este primero:

[url=http://www.zonavirus.com/datos/descargas/92/elirestr.asp]Descargar Elirestr[/url]

despues estos

[url=http://www.zonavirus.com/descargas/elistara.asp]Descargar Elistara[/url]

[url=http://www.zonavirus.com/descargas/elitriip.asp]Descargar ElitriIP[/url]

[url=http://www.zonavirus.com/descargas/elinotif.asp]Descargar Elinotiff[/url] este es complemento del elistara, debe estar en la misma carpeta

[url=http://www.zonavirus.com/descargas/elipen.asp]Descargar Elipen[/url] vacuna la Pc y pendrives o usb

[msc hotline sat]

Ya has visto que con el .DAT no se detectó nada, pero y con el .BAT ???



haz lo mismo con dicho fichero y nos indicas el resultdao, gracias



saludos



ms, 10-07-2008

[LGRR]

Hola amig@s, antes que nada quiero agradecer su ayuda ; y pedirles una disculpa por un error que cometi, el primer archivo se llama vmhr.bat. De verdad estoy muy apenado, lo siento mucho.



Como me indico lucl, realice el analisis y obtuve estos resultados, para el vmhr.bat:



https://www.virustotal.com/es//analisis/1c056e33d806a76c58837e01fc7e6929





Al parecer es un archivo de codigo malisioso, mi antivirus es AVG y tambien tengo el Anti-Spyware AVG y estan actualizados pero no lo detectan, agradeceria mucho si me ayudaran con alguna solución para eliminar dicho archivo.



Reitero mis disculpas y agradecimientos..

[msc hotline sat]

Efectivamente, es parte de un ONLINE GAMES, de los que con el ELISTARA controlamos un montón:


[quote="para DESCARGAR el ELISTARA, msc"] http://www.zonavirus.com/descargas/elistara.asp



Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso [/quote]



Si no lo detectamos, posiblemente se pida alguna muestra para analizar, envianosla y en cualquier caso, si no lo detecta ni pide muestra, envianos este fichero .BAT para analizarlo



[b]¿Como enviar las muestras a zonavirus? - Para ello recordar[/b]:

https://foros.zonavirus.com/viewtopic.php?f=5&t=14253





y dado que es un virus que se propaga por pendrive, vacuna los ordenadores y todos tus pendrives con el ELIPEN:


[quote="para DESCARGAR el ELIPEN, msc"] http://www.zonavirus.com/descargas/elipen.asp



Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso [/quote]



saludos



ms, 11-07-2008

[LGRR]

Hola msc hotline sat, hice exactamente lo que me pediste; analice mi computador y encontro unas cuatro amenazas viricas,

y las elimino. Pero la verdad el archivo vmhr.bat no se elimino, y para verlo tuve que entrar por "Símbolo del sistema"

a la raiz con el comando "C:\dir /a:h", y esa es la unica forma en que lo pude ver; trate de eliminarlo manualmente con el comando "C:\del /a:h/f vmhr.bat" y finalmente se elimino.



Bueno no se si con eso ya se elimino totalmente el problema; pero para estar seguro envie el archivo infoSat.txt al correo 'zonavirus@satinfo.es', como me pediste; trate de enviar el archivo vmhr.bat pero no se me permitio, disculpa que no lo pude comprimir como estaba explicado; lo que pasa es que no lo podia ver, y por tanto no lo pude comprimir.

[msc hotline sat]

Extrañamente recibo de este forero un fichero en privado, lo cual os recuerdo que los privados no son para consultas tecnicas, y menos para enviar fichero viricos para analizar, pues como ya se ha indicado el circuito es a traves de mail a zonavirus@satinfo.es, empaquetado en ZIP o RAR con password VIRUS, indicando el nick en el ASUNTO del mail, como ya dice haber enviado otros ???



Bueno, excepcionalmente y sin que sirva de presedente envio yo mismo con el nick del forero LGRR este fichero a zonavirus, y el lunes se analizará e implementará su control y eliminacion en las nuevas versiones de las utiliaddes, de lo cual se informará.



Mientras lo he subido al VirusTotal como analisis previo y se conforma que es malware:


[quote="VirusTotal"]File ip605784.rar received on 07.12.2008 07:22:31 (CET)



Result: 22/33 (66.67%)



Antivirus Version Last Update Result

AhnLab-V3 2008.7.11.0 2008.07.11 -

AntiVir 7.8.0.64 2008.07.11 TR/PCK.CryptPack.A

Authentium 5.1.0.4 2008.07.11 W32/Trojan2.YVZ

Avast 4.8.1195.0 2008.07.12 Win32:Pakes-AWH

AVG 7.5.0.516 2008.07.11 -

BitDefender 7.2 2008.07.12 Trojan.Dropper.Agent.TNM

CAT-QuickHeal 9.50 2008.07.11 Trojan.KillAV.nh

ClamAV 0.93.1 2008.07.11 Trojan.Small-4845

DrWeb 4.44.0.09170 2008.07.11 Win32.Sector.4

eSafe 7.0.17.0 2008.07.10 -

eTrust-Vet 31.6.5949 2008.07.12 -

Ewido 4.0 2008.07.11 -

F-Prot 4.4.4.56 2008.07.11 W32/Trojan2.YVZ

F-Secure 7.60.13501.0 2008.07.10 Trojan.Win32.KillAV.nh

Fortinet 3.14.0.0 2008.07.11 W32/KillAV.NH!tr

GData 2.0.7306.1023 2008.07.12 Trojan.Win32.KillAV.nh

Ikarus T3.1.1.26.0 2008.07.12 Trojan.Win32.KillAV.nh

Kaspersky 7.0.0.125 2008.07.12 Trojan.Win32.KillAV.nh

McAfee 5337 2008.07.11 W32/Sality.dll

Microsoft 1.3704 2008.07.12 Worm:Win32/Sality.AH!dll

NOD32v2 3263 2008.07.11 -

Norman 5.80.02 2008.07.11 -

Panda 9.0.0.4 2008.07.11 Trj/KillAV.HP

Prevx1 V2 2008.07.12 Cloaked Malware

Rising 20.52.50.00 2008.07.12 -

Sophos 4.31.0 2008.07.12 W32/Sality-AM

Sunbelt 3.1.1536.1 2008.07.12 -

Symantec 10 2008.07.12 W32.Sality.AB

TheHacker 6.2.96.376 2008.07.10 -

TrendMicro 8.700.0.1004 2008.07.11 PE_SALITY.AO-O

VBA32 3.12.6.9 2008.07.12 Trojan.Win32.KillAV.nh

VirusBuster 4.5.11.0 2008.07.11 -

Webwasher-Gateway 6.6.2 2008.07.11 Trojan.PCK.CryptPack.A [/quote]

saludos



ms, 12-07-2008





NOTA: Mientras tanto, puedes renombrar la extension de esta DLL a .VIR, para que a partir del proximo reinicio ya no se pueda poner en uso. ms.

[msc hotline sat]

Pero al saltarme en mi ordenador la alerta del antivirus McAfee indicando detectar el SALITY en dicho fichero, si estás infectado con este, que es un virus infector, tendrás muchos ficheros infectados en tu ordenador, si bien tu antivirus residente debería detectarlo...



Dinos qué antivirus usas, y en cual cualquier caso lanza este AV ONLINE a ver cuantos ficheros infectados tienes y cual es tu grado de infección... :



[url=https://www.kaspersky.es/downloads/thank-you/free-antivirus-download][color=darknesred][b] SOLO TESTEO AV ONLINE[/b][/color][/url]



NOTA: Y de las opciones a escanear, escoger MIPC, para examinarlo todo. Dicho AV ONLINE no limpia, solo testea, asi que lo que pretendemos con ello es solo el informe, ya obraremos en consecuencia, pidiendo muestras para analizar, si hace falta,indicando la utilidad a probar para solucionarlo.



saludos



ms, 12-07-2008

[LGRR]

Hola msc hotline sat, disculpa las molestias creo que cometi un error y envie ese archivo a los administradores.



Contestando tu pregunta mi Antivirus es AVG y tengo AntiSpyware AVG, y Spybot Search & Destroy.

[msc hotline sat]

Ya lo he visto, y por ello pude subir el fichero al VirusTotal y comprobar que efectivamente el AVG es de los que no detecta este virus:



AVG 7.5.0.516 2008.07.11 -



Pues como le deciamos, lance el AV ONLINE indicado en [url=https://www.kaspersky.es/downloads/thank-you/free-antivirus-download][color=darknesred][b] SOLO TESTEO AV ONLINE[/b][/color][/url] a ver cuantos y cuales ficheros tiene infectados, pues si solo es uno renombrando su extension a .VIR lo solucionaremos, pero si hay muchos como es propio de este infector... ya hablaremos



saludos



ms, 12-07-2008

[msc hotline sat]

Confirmada la existencia de SALITY en ip605784.dl_ , posteanos el informe del AV ONLINE para saber la extension de la infeccion. como ya hemos iindicado anteriormente



saludos



ms, 14-07-2008

[Loberix]

Yo tengo un problema relacionado con el ip605784.dll. El antivirus que uso es el Nod32 y este me detectaba el virus y evitaba la ejecución del mismo (supuestamente), al hallar la ruta de ejecución C:\Windows\Sistem32\ip605784.dll, intentaba escanearlo con el Nod32 para eliminarlo pero no pasaba nada, como si lo podia ver lo elimine manualmente pero automaticamente se volvía a crear, entonces trate de ver como era que aparecia y el antivirus también me apunto al C:\Windows\Sistem32\Cont\ _. (el nombre del archivo era algo así _. ,es decir "espacio""subgion""punto""espacio""espacio" y lo elimine manualmente y luego al ip605784.dll y no volvió a aparecer pero ahora no puedo abrir las carpetas dándole doble click pues me sale una ventana que Se titula Abrir con y dice Elija el programa que desea usar para abrir el siguiente archivo (Esa la misma pantalla para cuando uno desea abrir un archivo de un programa que no tiene instalado).



En resumidas cuentas creo que elimine el virus pero los efectos me han quedado y como elimine manualmente los archivos que pensaba que eran los infecciosos no tengo que enviar...

[msc hotline sat]

Es que no deben eliminarse algunos virus borrando ficheros sin restaurar las claves que hubieran modificado, ya que en ellas pueden interceptar la ejecucion de otros o el acceso a los mismos, si no encuentran el malwareen cuestión, método que usan para protegerse.



Posiblemente con el ELIRESTR se eliminarán las restricciones restaurando las claves correspondientes, pruebalo y nos comentas el resultado:



http://www.zonavirus.com/datos/descargas/92/ELIRESTR.asp



y nos informas del resultado, gracias



saludos



ms, 15-07-2008

[LGRR]

Hola como indicaba el forista Loberix yo hice lo mismo lo elimine manualmente y tengo el mismo inconveniente; trate de bajar el sofware que me indicas pero no puedo no me permite descargarlo porque lo detecta como virus, que puede ser?

[lucl]

Si te refieres al ELIRESTR sera un falso positivo, bajalo sin miedo saludos

[msc hotline sat]

Logicamente nuestras utilidades contienen las cadenas de deteccion de los virus que controlan, y algunos antivirus "pican" y dan un falso positivo, como bien dice lucl.



Ni caso, pero ya decimos que se desactive el antivirus tanto para descargarlas como para probarlas.



Tras probarla, cuentanos el resultado, gracias



saludos



ms, 17-07-2008

[msc hotline sat]

Sin saber si es de este Tema, informamos que se ha recibido en SATINFO un fichero con nombre ip605784.dl_ , sin indicar nick en el ASUNTO, lo cual es imprescindible para poder contestar...



Por si fuera el caso, el indicado fichero está infectado con el dichoso Sality, pero al ser dl_ es un empaquetado, proceda a eliminarlo, arrancando en modo seguro.



saludos



ms, 28-07-2008