proceso tcvuvsbc.exe (SOLUCIONADO)

[dakilla]

Hola a todos tengo la siguiente duda cuando arranco el ordenador me sale el proceso tcvuvsbc.exe buscandolo en mi pc no encotre ese .exe solo el prefech de windows y quisiera saber si alguien sabe de que es si es un virus o qué.Lo e buscado en el google y no ai ninguna referencia sobre el.Tambien me a aparecido una carpeta vdicmyc con un solo archivo chkinfo.dll(los cuales e borrado) tampoco nada sobre ello en el google.e pasado el nod32,ad-aware y spybot y no me encuetran nada.Gracias de antemano.

[lucl]

Para salir de dudas subelo a analizar a virustotal alli te diran si es virico, si lo es nos lo envias para analizarlo y darte la herramienta correspondiente. Peganos el log que te dara virustotal gracias saludos





www.virustotal.com/es





https://foros.zonavirus.com/viewtopic.php?f=2&t=45334

[msc hotline sat]

El .pf es solo un lanzador, no sirve ni para monitorizar ni para analizar.



Sin el .EXE correspondiente no sirve para nada.



Mira si encuentras el .EXE oculto o con atributos de sistema, como indicamos en:



https://foros.zonavirus.com/viewtopic.php?f=5&t=13245



En tal caso subelo al VirusTotal como indica lucl y envianoslo para analizar:



[b]¿Como enviar las muestras a zonavirus? - Para ello recordar[/b]:

https://foros.zonavirus.com/viewtopic.php?f=5&t=14253





saludos



ms, 8-10-2008

[dakilla]

Gracias lo puse a buscar y no me salia y he usado el trend micro hijack this. He visto de donde provenia y he subido el archivo a la pagina q me dijisteis.Me a puesto q ese archivo se habia analizado antes pero tiene un nombre diferente al de tcvuvsbc.exe y esto es lo que me a puesto:



Análisis del archivo wJQs.exe recibido el 08.10.2008 02:45:36 (CET)Motor antivirus Versión Última actualización Resultado

AhnLab-V3 2008.10.3.2 2008.10.07 -

AntiVir 7.8.1.34 2008.10.07 TR/Obfuscated.GX.2340

Authentium 5.1.0.4 2008.10.08 W32/Trojan3.BT

Avast 4.8.1248.0 2008.10.07 Win32:PureMorph

AVG 8.0.0.161 2008.10.07 Generic11.ASRM

BitDefender 7.2 2008.10.07 -

CAT-QuickHeal 9.50 2008.10.07 Win32.Trojan.Obfuscated.gx.3

ClamAV 0.93.1 2008.10.08 -

DrWeb 4.44.0.09170 2008.10.08 -

eSafe 7.0.17.0 2008.10.07 -

eTrust-Vet 31.6.6134 2008.10.07 -

Ewido 4.0 2008.10.07 -

F-Prot 4.4.4.56 2008.10.07 -

F-Secure 8.0.14332.0 2008.10.08 Trojan.Win32.Obfuscated.gx

Fortinet 3.113.0.0 2008.10.08 W32/PolySmall.BP!tr

GData 19 2008.10.08 Win32:PureMorph

Ikarus T3.1.1.34.0 2008.10.08 Virus.Trojan.Win32.Obfuscated.gx

K7AntiVirus 7.10.487 2008.10.07 -

Kaspersky 7.0.0.125 2008.10.08 Trojan.Win32.Obfuscated.gx

McAfee 5400 2008.10.07 FakeAlert-BD

Microsoft 1.4005 2008.10.08 VirTool:Win32/Obfuscator.CU

NOD32 3502 2008.10.07 -

Norman 5.80.02 2008.10.07 W32/Busky.DMDJ

Panda 9.0.0.4 2008.10.07 -

PCTools 4.4.2.0 2008.10.07 -

Prevx1 V2 2008.10.08 Fraudulent Security Program

Rising 20.65.12.00 2008.10.07 -

SecureWeb-Gateway 6.7.6 2008.10.07 Trojan.Obfuscated.GX.2340

Sophos 4.34.0 2008.10.08 Mal/EncPk-DG

Sunbelt 3.1.1708.1 2008.10.08 Trojan.Win32.Obfuscated.gx

Symantec 10 2008.10.08 Packed.Generic.182

TheHacker 6.3.1.0.103 2008.10.07 -

TrendMicro 8.700.0.1004 2008.10.07 TROJ_OBFUSCA.BWA

VBA32 3.12.8.6 2008.10.07 -

ViRobot 2008.10.7.1410 2008.10.07 -

VirusBuster 4.5.11.0 2008.10.07 -



Información adicional

File size: 73728 bytes

MD5...: c4517485b2323cba373dda8609c24184

SHA1..: dab75fd5320ec28a74df8de7a29a0e8d927b6b20

SHA256: 66114a1ca5a390979c1a1472cf4a42012d3a607ac7b6ea213e15998b96b1b22f

SHA512: 556dae06ab9d4458c2ed1da495bb5a0a1496aa567a8919c6f05b4e9119075fa8<BR>043316d7352d65ac003b075e3ca6fd21de2c0404546be82b98a913314cdc3537

PEiD..: -

TrID..: File type identification<BR>Win32 Executable Generic (42.3%)<BR>Win32 Dynamic Link Library (generic) (37.6%)<BR>Generic Win/DOS Executable (9.9%)<BR>DOS Executable Generic (9.9%)<BR>Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%)

PEInfo: PE Structure information<BR><BR>( base data )<BR>entrypointaddress.: 0x4089e7<BR>timedatestamp.....: 0x48e9ba73 (Mon Oct 06 07:12:51 2008)<BR>machinetype.......: 0x14c (I386)<BR><BR>( 3 sections )<BR>name viradd virsiz rawdsiz ntrpy md5<BR>.text 0x1000 0xeab2 0xf000 6.83 e487e0c57b0824a9822badb0ce99732a<BR>.rdata 0x10000 0x2f8 0x1000 1.36 d4783b4a2cff85a6385c782a7b26ab26<BR>.data 0x11000 0x3fc 0x1000 0.29 05e24f9ee6f60ced1641928a3f06e436<BR><BR>( 1 imports ) <BR>> KERNEL32.dll: CancelWaitableTimer, FileTimeToSystemTime, LoadLibraryA, GetFileAttributesW, MulDiv, SetEndOfFile, GetVersion, SetEvent, GetProcAddress, CreateProcessW, WideCharToMultiByte, FreeResource, CreateThread, SetCurrentDirectoryW, GetDriveTypeW, GetLocalTime, GetCurrentProcess, SetFilePointer, lstrcpyW, GlobalFree, GlobalUnlock, SizeofResource, LockResource, CreateFileW, SetWaitableTimer, GetSystemTime, FreeLibrary, DeleteFileW<BR><BR>( 0 exports ) <BR>

Prevx info: http://info.prevx.com/aboutprogramtext.asp?PX5=EE8BE645004934EE20CE01C487503200532FCE66

ThreatExpert info: http://www.threatexpert.com/report.aspx?md5=c4517485b2323cba373dda8609c24184



Despues de quitar lo de oculto de windows parece ser que me han salido mas virus que me ha reconicido el nod32.Mas tarde pondre esos nuevos que me han salido por si le puede ser de ayuda a alguno

[msc hotline sat]

Lo que nos servirá a todos es que nos envies muestra de los ficheros infectados, pues el nombre es variable por lo que se ve, y es necesario controlarlos por cadenas, para lo que hacemos las utilidades pertinentes.



saludos



ms, 8-10-2008

[dakilla]

Muchas gracias.Ya he envidao el archivo siguiendo las instrucciones espero q se haya enviado bien.se me olvido decir q el virus estaba en la carpeta \datos de programa\hkvelkny\tcvuvsbc.exe y solo ese archivo.Despues he pasado el nod32 despues de aplicar



ver-archivos-ocultos-y-extensiones-de-ficheros-t13245.html



Y me ha encontrado lo siguiente:



\temp\lchqtuha.exe

\system32\dwfovmia.exe

\system32\zwdyrite.exe

\system32\putolyhi.exe



He intentado buscarlos en la ruta indicada pero parece ser que el nod32 los abra puesto en cuarentena y los abra borrado.Si consigo recuperarlos ¿los subo tambien?



Por cierto si por cualquier razon el archivo no se a subido bien o algo guardo una copia suya.



Saludos

[msc hotline sat]

No sé si son mas de lo mismo, pero por si acaso, si los encuentras, envianoslos tambien, gracias



Y en cuanto los recibamos los analizaremos e informaremos



saludos



ms, 8-10-2008

[dakilla]

Hola de nuevo,pues toqueteando el nod32 encontre que esos archivos estaban en cuarentena y le di a la opcion de restore to y los guarde 1 x 1, ya los he enviado al envio de muestras.Tambien les he pasado el virustotal y me reconocian todos los archivos como troyanos entre 10 y 15 programas,si tienen relacion con el anterior no lo se pero es bastante probable porque la fecha de la cuarentena coincidia fecha y hora con el tcvuvsbc (lo que parece que el nod32 los detectaria pero a este no). El que si podia tener relacion era una carpeta que se me creo en archivos de programa llamada vdicmyc y contenia el archivo chkinfo.dll la pena es q como me parecio sospechoso la borre ayer y no puedo recuperarla para enviarosla.



archivosdeprograma\vdicmyc\chkinfo.dll



Saludos y muchisimas gracias por todo.

[lucl]

Pues muchas gracias por buscarnoslos :D mañana los analizaran y te daremos las herramientas necesarias pero para que no incordien cambiales la extension .exe por .VIR , asi te dejaran el pc tranquilo de momento, saludos

[dakilla]

No ha sido molestia ninguna mas me habeis ayudados vosotros a mi sino seguiria con ese virus y 3 mas que yo sepa xD. Gracias por todo.

[lucl]

De todos modos parece que no han llegado tus muestras? Bajate elistara de nuevo a ver si te quita alguno y caso de que no te elimine nada vuelve a enviarlos por si se hubieran perdido en el camino. Nos pegas el log de infosat aunque de limpio, gracias saludos

[msc hotline sat]

En la version de hoy del ELISTARA 17.16 hemos implementado el control y eliminacion de los FAKE ALERT y Dropper del Braviax que nos has enviado




[quote]
[b] ELISTARA: [/b]

http://www.zonavirus.com/descargas/elistara.asp



Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso
[/quote]

A partir de las 19 h GMT, estará disponible en esta web, para pruebas de evaluacion en el foro de zonavirus



saludos



ms, 10-10-2008

[dakilla]

Hola.No ha llegado vaya pense que lo hice bien lo comprimi en un rar con password virus y le di a envio de muestras,pero no pasa nada xq todavia conservo los archivos comprimidos de ellos y os las he vuelto a mandar (si otra vez no llegan no me lo haceis saber que sigo guardando la copia). He pasado el Elistara y no me a reconocido los otros virus q mencione anteriormente pero debe de ser xq los tengo aislados en una carpeta y comprimidos con el password ya q el nod32 me los encontro despues de deshabilitar esas 2 pestañas de las opciones de carpeta y los metio en cuarentena directamente yo simplemete le puse restore to en una carpeta controlada para recuperalos y enviaroslos.El Elistara me ha encontrado las siguientes 4 cosas, he aki su informe:





Fri Oct 10 19:51:59 2008

EliStartPage v17.15 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 9 de Octubre del 2008)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminados Ficheros Temporales del IE



Fri Oct 10 19:55:51 2008

EliStartPage v17.15 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 9 de Octubre del 2008)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\Archivos de programa\Adobe\Adobe Photoshop CS3\MATLAB\PSTOOLBOX.HTML --> Eliminado, MalWare.Celular

C:\Archivos de programa\Archivos comunes\InstallShield\Professional\RunTime\0700\Intel32\IKERNEL.DLL --> Eliminado, MyWebSearch

C:\Archivos de programa\Counter-Strike Source\bin\TRACKERNET.DLL --> Eliminado, MoviePass

C:\Archivos de programa\JetAudio\JFTTARD.DLL --> Eliminado, ISTBar



Nº Total de Directorios: 11108

Nº Total de Ficheros: 157507

Nº de Ficheros Analizados: 26403

Nº de Ficheros Infectados: 4

Nº de Ficheros Limpiados: 4



Saludos.

[lucl]

Y seguro que no coinciden con los que enviastes? Saludos

[dakilla]

hola!

Pues creo que no mas que nada xq esto son .dll y un .html los otros eran .exe y estaban alojados en \system32 y el tcvuvsbc.exe \datos de programa\hkvelkny\tcvuvsbc.exe .Pero a lo mejor estan relacionados no lo se. La unica conclusion es que es casi imposible tener limpio el pc jajaj porque cada vez sale algo, asi q se convertira en tenerlo menos infectado posible. Por cierto no se si lo dije antes volvi a enviar las muestras haber si llegan ahora, si no llegan todavia conservo las muestras comprimidas.



Saludos.

[lucl]

Pues ya el lunes te diran algo sobre el envio y a ver si ya de una vez por todas solucionamos lo de tu pc, y si tienes razon la unica forma de tener el pc limpio es no conectarse :mrgreen: pero para eso estamos nosotros :D saludos

[msc hotline sat]

No veo que hayas probado la version actual del ELISTARA, 17.16 ...



Se indicaba que con ella ya controlabamos las muestras recibidas con este nick:



"[b][i]Asunto: Re: proceso tcvuvsbc.exe



En la version de hoy del ELISTARA 17.16 hemos implementado el control y eliminacion de los FAKE ALERT y Dropper del Braviax que nos has enviado[/i][/b]"



Tras descargarla y probarla, posteanos el resultado, gracias



saludos



ms, 11-10-2008

[dakilla]

¡Hola!A pues es verdad use la 17.15.. ¡vaya fallo! Ya he usado la version 17.16 pero no me ha encontrado nada pero creo q es por lo q dije antes como los tengo controlados en una carpeta comprimidos y con contraseña pues no puede analizarlos.He intentado descomprimirlos para pasarle el elistara lo que pasa q el nod32 los elimina inmediatamente y no me deja (lo q no entiendo xq antes no me los reconocia y ahora si, tendra q ver con lo de archivos ocultos, desactivar ocultar archivos protegidos x el sistema y lo de mostrar la extension q no dejaba analizarlos).Aqui esta el infosat.txt:





Sat Oct 11 16:30:50 2008

EliStartPage v17.16 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 10 de Octubre del 2008)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Sat Oct 11 16:30:54 2008

EliStartPage v17.16 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 10 de Octubre del 2008)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\



Nº Total de Directorios: 11134

Nº Total de Ficheros: 157837

Nº de Ficheros Analizados: 26465

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0







Ok.Muchas gracias por todo.

Saludos y seguir asi.



Saludos.

[msc hotline sat]

Pues todo controlado, damos el Tema por solucionado y procedemos a cerrarlo



Si nos necesita de nuevo, ya sabe donde estamos



saludos



ms, 11-1-2008