Trojan.Win32.BHO.

[idlow]

Hola a todos:



Mi problema es que el Kaspersy me detecta un troyano "Trojan.Win32.BHO.ext" en el archivo C:\WINDOWS\system32\drivers\oobtmuxb.sys, y que no puede ser desinfectado (denegado el acceso en escritura). Lo he intentado borrar con el FileAssassin, en modo a prueba de fallo, y tampoco he podido.

Le he pasado varios antivirus, pero no lo han detectado.

Le he pasado el Malwarebytes' Anti-Malware 1.30, y este me da varias claves de registro infectadas que no se pueden borrar, hasta que reinicie el ordenador, lo he reiniciado pero siguen sin sewr borradas. acontinuación os pego el informe:



Malwarebytes' Anti-Malware 1.30

Versión de la Base de Datos: 1311

Windows 5.1.2600



27/10/2008 8:27:26

mbam-log-2008-10-27 (08-27-26).txt



Tipo de examen : Examen Completo (C:\|G:\|)

Objetos examinados: 115481

Tiempo transcurrido: 2 hour(s), 58 minute(s), 43 second(s)



Procesos en Memoria Infectados: 0

Módulos en Memoria Infectados: 0

Claves del Registro Infectadas: 5

Valores del Registro Infectados: 3

Elementos de Datos del Registro Infectados: 0

Carpetas Infectadas: 0

Ficheros Infectados: 2



Procesos en Memoria Infectados:

(No se han detectado elementos maliciosos)



Módulos en Memoria Infectados:

(No se han detectado elementos maliciosos)



Claves del Registro Infectadas:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{1cc469a4-ba2a-4422-82dc-99812ba40053} (Trojan.Vundo.H) -> Delete on reboot.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\ffrhaudl (Trojan.Vundo.H) -> Delete on reboot.

HKEY_CLASSES_ROOT\CLSID\{1cc469a4-ba2a-4422-82dc-99812ba40053} (Trojan.Vundo.H) -> Delete on reboot.

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\iwowajuo (Trojan.Vundo.H) -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\iwowajuo (Trojan.Vundo.H) -> Quarantined and deleted successfully.



Valores del Registro Infectados:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Settings\bf (Trojan.Agent) -> Delete on reboot.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Settings\bk (Trojan.Agent) -> Delete on reboot.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Settings\iu (Trojan.Agent) -> Delete on reboot.



Elementos de Datos del Registro Infectados:

(No se han detectado elementos maliciosos)



Carpetas Infectadas:

(No se han detectado elementos maliciosos)



Ficheros Infectados:

c:\WINDOWS\system32\pdaskrg.dll (Trojan.Vundo.H) -> Delete on reboot.

C:\WINDOWS\system32\hqyfgtq.dll (Trojan.Vundo.H) -> Delete on reboot.





Bueno por ahora este es mi problema, haber si alguien me pude ayudar a solucionarlo.



Gracias.

[msc hotline sat]

Pues envianos dicho fichero para analizar:



C:\WINDOWS\system32\drivers\oobtmuxb.sys





[b]¿Como enviar las muestras a zonavirus? - Para ello recordar[/b]:

https://foros.zonavirus.com/viewtopic.php?f=5&t=14253



saludos



ms, 28-10-2008

[idlow]

Acabo de enviaros el archivo, espero haberlo hecho bien.

[lucl]

Mañana te diran algo al respecto estate atento al foro, saludos

[flacoroo]

por lo mientras checa el archivo infectado, haz esto: Bajate estos programitas, ejecutalos en modo seguro y nos pegas el resultado que se crea en C:infosat.txt

[url=http://www.zonavirus.com/descargas/elistara.asp]Elistara[/url]

[url=http://www.zonavirus.com/descargas/elitriip.asp]Elitriip[/url]

[url=http://www.zonavirus.com/descargas/elinotif.asp]Elinotiff[/url] (complemento de elistara, no se ejecuta)

[msc hotline sat]

No creo, pues en nuestra base de datos no figura este oobtmuxb.sys , pero por probar... , igual con ello encuentra otro malware, pues de haberlos, hailos :lol: :lol: :lol:



Ya nos contará !



saludos



ms, 29-10-2008

[idlow]

Hola de nuevo_



He pasado el elistara y el ElitriIP, no ha salido nada aqui os pego el informe, tambien os pego el informe de un archivo que tampoco puedo eliminar (el informe es de virus total)





Wed Oct 29 10:45:38 2008

EliStartPage v17.28 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 28 de Octubre del 2008)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

No detectado SP3 de Windows XP

Eliminados Ficheros Temporales del IE



Wed Oct 29 10:47:22 2008

EliStartPage v17.28 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 28 de Octubre del 2008)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\



Nº Total de Directorios: 3189

Nº Total de Ficheros: 45868

Nº de Ficheros Analizados: 11924

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



Wed Oct 29 10:56:50 2008

EliStartPage v17.28 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 28 de Octubre del 2008)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad G:\



Nº Total de Directorios: 710

Nº Total de Ficheros: 28019

Nº de Ficheros Analizados: 5031

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



Wed Oct 29 10:59:14 2008

EliTriIP v5.17 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 27 de Octubre del 2008)

---------------------------------------------

Lista de Acciones (por Acción Directa):

No detectado SP3 de Windows XP



Wed Oct 29 10:59:29 2008

EliTriIP v5.17 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 27 de Octubre del 2008)

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\



Nº Total de Directorios: 3188

Nº Total de Ficheros: 45873

Nº de Ficheros Analizados: 11716

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



Wed Oct 29 11:03:38 2008

EliTriIP v5.17 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 27 de Octubre del 2008)

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad G:\



Nº Total de Directorios: 710

Nº Total de Ficheros: 28019

Nº de Ficheros Analizados: 5065

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0



Informe de virus total:

AAnálisis del archivo pdaskrg.dll recibido el 29.10.2008 11:06:11 (CET)Motor antivirus Versión Última actualización Resultado

AhnLab-V3 2008.10.28.3 2008.10.29 -

AntiVir 7.9.0.10 2008.10.29 -

[color=#FF0000]Authentium 5.1.0.4 2008.10.28 W32/Boaxxe.A.gen!Eldorado [/color]

Avast 4.8.1248.0 2008.10.28 -

[color=#FF0000]AVG 8.0.0.161 2008.10.29 Win32/Heur [/color]

BitDefender 7.2 2008.10.29 -

CAT-QuickHeal 9.50 2008.10.29 -

ClamAV 0.93.1 2008.10.29 -

DrWeb 4.44.0.09170 2008.10.29 -

[color=#FF0000]eSafe 7.0.17.0 2008.10.28 Suspicious File [/color]

eTrust-Vet 31.6.6179 2008.10.29 -

Ewido 4.0 2008.10.28 -

[color=#FF0000]F-Prot 4.4.4.56 2008.10.28 W32/Boaxxe.A.gen!Eldorado[/color]

F-Secure 8.0.14332.0 2008.10.29 -

Fortinet 3.117.0.0 2008.10.28 -

GData 19 2008.10.29 -

Ikarus T3.1.1.44.0 2008.10.29 -

K7AntiVirus 7.10.510 2008.10.28 -

Kaspersky 7.0.0.125 2008.10.29 -

McAfee 5417 2008.10.28 -

[color=#FF0000]Microsoft 1.4005 2008.10.29 Trojan:Win32/Boaxxe.F[/color]

NOD32 3565 2008.10.29 -

Norman 5.80.02 2008.10.28 -

[color=#FF0000]Panda 9.0.0.4 2008.10.29 Suspicious file[/color]

PCTools 4.4.2.0 2008.10.28 -

Prevx1 V2 2008.10.29 -

[color=#FF0000]Rising 21.01.22.00 2008.10.29 Packer.Win32.Morphine.b[/color]

[color=#FF0000]SecureWeb-Gateway 6.7.6 2008.10.29 Trojan.LooksLike.Vundo[/color]

Sophos 4.35.0 2008.10.29 -

Sunbelt 3.1.1762.1 2008.10.28 -

Symantec 10 2008.10.29 -

TheHacker 6.3.1.1.133 2008.10.28 -

TrendMicro 8.700.0.1004 2008.10.29 -

VBA32 3.12.8.8 2008.10.28 -

ViRobot 2008.10.29.1442 2008.10.29 -

VirusBuster 4.5.11.0 2008.10.28 -



Información adicional

Tamano archivo: 120320 bytes

MD5...: 3046ad14f3dd3ba9813b852d2a3583ed

SHA1..: 00aa9d580bbb1463ff6013b81512bf3f688ddc82

SHA256: 1bec9f992779e55c513e29c6ea77ccd7112679bc0ef770ccb504de9777bc3f5a

SHA512: 2de6a4c2dc1532621607af3c542da81d51f6d5075322dc07e7ed955e222a7798<BR>d56d1046b5385ae8219618c724c3bb2102db86d5cc696ee0abbfa1640d189787

PEiD..: -

TrID..: File type identification<BR>Win32 Executable Generic (38.4%)<BR>Win32 Dynamic Link Library (generic) (34.1%)<BR>Win16/32 Executable Delphi generic (9.3%)<BR>Generic Win/DOS Executable (9.0%)<BR>DOS Executable Generic (9.0%)

PEInfo: PE Structure information<BR><BR>( base data )<BR>entrypointaddress.: 0x402a37<BR>timedatestamp.....: 0x280b4ecb (Tue Apr 16 19:21:47 1991)<BR>machinetype.......: 0x14c (I386)<BR><BR>( 4 sections )<BR>name viradd virsiz rawdsiz ntrpy md5<BR>.text 0x1000 0x49000 0x1c800 7.99 1e4b4d76fe14c735e019ab5feb36e052<BR>.idata 0x4a000 0x1f2 0x200 4.29 5a1e745dae58c142632c605da7d9112e<BR>.edata 0x4b000 0xe0 0x200 2.60 ec6d1e6151e7e930a28469271969c14b<BR>.rsrc 0x4c000 0x600 0x600 2.40 03959403b0eefdf48ec0c55a3ab46580<BR><BR>( 4 imports ) <BR>> KERNEL32.dll: SetConsoleCtrlHandler, GetProcAddress, LoadLibraryExA, IsDBCSLeadByte, CreatePipe, InterlockedExchangeAdd, FindNextFileW, GetLinguistLangSize, GetSystemDirectoryA<BR>> advapi32.dll: FreeSid<BR>> oleaut32.dll: SysFreeString<BR>> user32.dll: CharNextA<BR><BR>( 7 exports ) <BR>DllCanUnloadNow, DllGetClassObject, Fkobfko, DllMain, DllRegisterServer, DllUnregisterServer, ServiceMain<BR>

<table border="1"><tr><td colspan="4">Análisis del archivo pdaskrg.dll recibido el 29.10.2008 11:06:11 (CET)</td></tr><tr><td>Motor antivirus</td><td>Versión</td><td>Última actualización</td><td>Resultado</td</tr><tr><td>AhnLab-V3</td><td>2008.10.28.3</td><td>2008.10.29</td><td>-</td</tr><tr><td>AntiVir</td><td>7.9.0.10</td><td>2008.10.29</td><td>-</td</tr><tr><td>Authentium</td><td>5.1.0.4</td><td>2008.10.28</td><td style="color: red;">W32/Boaxxe.A.gen!Eldorado</td</tr><tr><td>Avast</td><td>4.8.1248.0</td><td>2008.10.28</td><td>-</td</tr><tr><td>AVG</td><td>8.0.0.161</td><td>2008.10.29</td><td style="color: red;">Win32/Heur</td</tr><tr><td>BitDefender</td><td>7.2</td><td>2008.10.29</td><td>-</td</tr><tr><td>CAT-QuickHeal</td><td>9.50</td><td>2008.10.29</td><td>-</td</tr><tr><td>ClamAV</td><td>0.93.1</td><td>2008.10.29</td><td>-</td</tr><tr><td>DrWeb</td><td>4.44.0.09170</td><td>2008.10.29</td><td>-</td</tr><tr><td>eSafe</td><td>7.0.17.0</td><td>2008.10.28</td><td style="color: red;">Suspicious File</td</tr><tr><td>eTrust-Vet</td><td>31.6.6179</td><td>2008.10.29</td><td>-</td</tr><tr><td>Ewido</td><td>4.0</td><td>2008.10.28</td><td>-</td</tr><tr><td>F-Prot</td><td>4.4.4.56</td><td>2008.10.28</td><td style="color: red;">W32/Boaxxe.A.gen!Eldorado</td</tr><tr><td>F-Secure</td><td>8.0.14332.0</td><td>2008.10.29</td><td>-</td</tr><tr><td>Fortinet</td><td>3.117.0.0</td><td>2008.10.28</td><td>-</td</tr><tr><td>GData</td><td>19</td><td>2008.10.29</td><td>-</td</tr><tr><td>Ikarus</td><td>T3.1.1.44.0</td><td>2008.10.29</td><td>-</td</tr><tr><td>K7AntiVirus</td><td>7.10.510</td><td>2008.10.28</td><td>-</td</tr><tr><td>Kaspersky</td><td>7.0.0.125</td><td>2008.10.29</td><td>-</td</tr><tr><td>McAfee</td><td>5417</td><td>2008.10.28</td><td>-</td</tr><tr><td>Microsoft</td><td>1.4005</td><td>2008.10.29</td><td style="color: red;">Trojan:Win32/Boaxxe.F</td</tr><tr><td>NOD32</td><td>3565</td><td>2008.10.29</td><td>-</td</tr><tr><td>Norman</td><td>5.80.02</td><td>2008.10.28</td><td>-</td</tr><tr><td>Panda</td><td>9.0.0.4</td><td>2008.10.29</td><td style="color: red;">Suspicious file</td</tr><tr><td>PCTools</td><td>4.4.2.0</td><td>2008.10.28</td><td>-</td</tr><tr><td>Prevx1</td><td>V2</td><td>2008.10.29</td><td>-</td</tr><tr><td>Rising</td><td>21.01.22.00</td><td>2008.10.29</td><td style="color: red;">Packer.Win32.Morphine.b</td</tr><tr><td>SecureWeb-Gateway</td><td>6.7.6</td><td>2008.10.29</td><td style="color: red;">Trojan.LooksLike.Vundo</td</tr><tr><td>Sophos</td><td>4.35.0</td><td>2008.10.29</td><td>-</td</tr><tr><td>Sunbelt</td><td>3.1.1762.1</td><td>2008.10.28</td><td>-</td</tr><tr><td>Symantec</td><td>10</td><td>2008.10.29</td><td>-</td</tr><tr><td>TheHacker</td><td>6.3.1.1.133</td><td>2008.10.28</td><td>-</td</tr><tr><td>TrendMicro</td><td>8.700.0.1004</td><td>2008.10.29</td><td>-</td</tr><tr><td>VBA32</td><td>3.12.8.8</td><td>2008.10.28</td><td>-</td</tr><tr><td>ViRobot</td><td>2008.10.29.1442</td><td>2008.10.29</td><td>-</td</tr><tr><td>VirusBuster</td><td>4.5.11.0</td><td>2008.10.28</td><td>-</td</tr><tr><td colspan="4">&nbsp;</td></tr><tr><td colspan="4">Información adicional</td></tr><tr><td colspan="4">Tamano archivo: 120320 bytes</td></tr><tr><td colspan="4">MD5...: 3046ad14f3dd3ba9813b852d2a3583ed</td></tr><tr><td colspan="4">SHA1..: 00aa9d580bbb1463ff6013b81512bf3f688ddc82</td></tr><tr><td colspan="4">SHA256: 1bec9f992779e55c513e29c6ea77ccd7112679bc0ef770ccb504de9777bc3f5a</td></tr><tr><td colspan="4">SHA512: 2de6a4c2dc1532621607af3c542da81d51f6d5075322dc07e7ed955e222a7798<BR>d56d1046b5385ae8219618c724c3bb2102db86d5cc696ee0abbfa1640d189787</td></tr><tr><td colspan="4">PEiD..: -</td></tr><tr><td colspan="4">TrID..: File type identification<BR>Win32 Executable Generic (38.4%)<BR>Win32 Dynamic Link Library (generic) (34.1%)<BR>Win16/32 Executable Delphi generic (9.3%)<BR>Generic Win/DOS Executable (9.0%)<BR>DOS Executable Generic (9.0%)</td></tr><tr><td colspan="4">PEInfo: PE Structure information<BR><BR>( base data )<BR>entrypointaddress.: 0x402a37<BR>timedatestamp.....: 0x280b4ecb (Tue Apr 16 19:21:47 1991)<BR>machinetype.......: 0x14c (I386)<BR><BR>( 4 sections )<BR>name viradd virsiz rawdsiz ntrpy md5<BR>.text 0x1000 0x49000 0x1c800 7.99 1e4b4d76fe14c735e019ab5feb36e052<BR>.idata 0x4a000 0x1f2 0x200 4.29 5a1e745dae58c142632c605da7d9112e<BR>.edata 0x4b000 0xe0 0x200 2.60 ec6d1e6151e7e930a28469271969c14b<BR>.rsrc 0x4c000 0x600 0x600 2.40 03959403b0eefdf48ec0c55a3ab46580<BR><BR>( 4 imports ) <BR>> KERNEL32.dll: SetConsoleCtrlHandler, GetProcAddress, LoadLibraryExA, IsDBCSLeadByte, CreatePipe, InterlockedExchangeAdd, FindNextFileW, GetLinguistLangSize, GetSystemDirectoryA<BR>> advapi32.dll: FreeSid<BR>> oleaut32.dll: SysFreeString<BR>> user32.dll: CharNextA<BR><BR>( 7 exports ) <BR>DllCanUnloadNow, DllGetClassObject, Fkobfko, DllMain, DllRegisterServer, DllUnregisterServer, ServiceMain<BR></td></tr></table>

Motor antivirus;Versión;Última actualización;Resultado

AhnLab-V3;2008.10.28.3;2008.10.29;-

AntiVir;7.9.0.10;2008.10.29;-

Authentium;5.1.0.4;2008.10.28;W32/Boaxxe.A.gen!Eldorado

Avast;4.8.1248.0;2008.10.28;-

AVG;8.0.0.161;2008.10.29;Win32/Heur

BitDefender;7.2;2008.10.29;-

CAT-QuickHeal;9.50;2008.10.29;-

ClamAV;0.93.1;2008.10.29;-

DrWeb;4.44.0.09170;2008.10.29;-

eSafe;7.0.17.0;2008.10.28;Suspicious File

eTrust-Vet;31.6.6179;2008.10.29;-

Ewido;4.0;2008.10.28;-

F-Prot;4.4.4.56;2008.10.28;W32/Boaxxe.A.gen!Eldorado

F-Secure;8.0.14332.0;2008.10.29;-

Fortinet;3.117.0.0;2008.10.28;-

GData;19;2008.10.29;-

Ikarus;T3.1.1.44.0;2008.10.29;-

K7AntiVirus;7.10.510;2008.10.28;-

Kaspersky;7.0.0.125;2008.10.29;-

McAfee;5417;2008.10.28;-

Microsoft;1.4005;2008.10.29;Trojan:Win32/Boaxxe.F

NOD32;3565;2008.10.29;-

Norman;5.80.02;2008.10.28;-

Panda;9.0.0.4;2008.10.29;Suspicious file

PCTools;4.4.2.0;2008.10.28;-

Prevx1;V2;2008.10.29;-

Rising;21.01.22.00;2008.10.29;Packer.Win32.Morphine.b

SecureWeb-Gateway;6.7.6;2008.10.29;Trojan.LooksLike.Vundo

Sophos;4.35.0;2008.10.29;-

Sunbelt;3.1.1762.1;2008.10.28;-

Symantec;10;2008.10.29;-

TheHacker;6.3.1.1.133;2008.10.28;-

TrendMicro;8.700.0.1004;2008.10.29;-

VBA32;3.12.8.8;2008.10.28;-

ViRobot;2008.10.29.1442;2008.10.29;-

VirusBuster;4.5.11.0;2008.10.28;-



Información adicional

Tamano archivo: 120320 bytes

MD5...: 3046ad14f3dd3ba9813b852d2a3583ed

SHA1..: 00aa9d580bbb1463ff6013b81512bf3f688ddc82

SHA256: 1bec9f992779e55c513e29c6ea77ccd7112679bc0ef770ccb504de9777bc3f5a

SHA512: 2de6a4c2dc1532621607af3c542da81d51f6d5075322dc07e7ed955e222a7798<BR>d56d1046b5385ae8219618c724c3bb2102db86d5cc696ee0abbfa1640d189787

PEiD..: -

TrID..: File type identification<BR>Win32 Executable Generic (38.4%)<BR>Win32 Dynamic Link Library (generic) (34.1%)<BR>Win16/32 Executable Delphi generic (9.3%)<BR>Generic Win/DOS Executable (9.0%)<BR>DOS Executable Generic (9.0%)

PEInfo: PE Structure information<BR><BR>( base data )<BR>entrypointaddress.: 0x402a37<BR>timedatestamp.....: 0x280b4ecb (Tue Apr 16 19:21:47 1991)<BR>machinetype.......: 0x14c (I386)<BR><BR>( 4 sections )<BR>name viradd virsiz rawdsiz ntrpy md5<BR>.text 0x1000 0x49000 0x1c800 7.99 1e4b4d76fe14c735e019ab5feb36e052<BR>.idata 0x4a000 0x1f2 0x200 4.29 5a1e745dae58c142632c605da7d9112e<BR>.edata 0x4b000 0xe0 0x200 2.60 ec6d1e6151e7e930a28469271969c14b<BR>.rsrc 0x4c000 0x600 0x600 2.40 03959403b0eefdf48ec0c55a3ab46580<BR><BR>( 4 imports ) <BR>> KERNEL32.dll: SetConsoleCtrlHandler, GetProcAddress, LoadLibraryExA, IsDBCSLeadByte, CreatePipe, InterlockedExchangeAdd, FindNextFileW, GetLinguistLangSize, GetSystemDirectoryA<BR>> advapi32.dll: FreeSid<BR>> oleaut32.dll: SysFreeString<BR>> user32.dll: CharNextA<BR><BR>( 7 exports ) <BR>DllCanUnloadNow, DllGetClassObject, Fkobfko, DllMain, DllRegisterServer, DllUnregisterServer, ServiceMain<BR>

[msc hotline sat]

Recibida la muestra, no parece ser malware, sino un driver de Microsoft: "Remote NDIS USB driver", que en un preanalisis con el VirusTotal ni el Kaspersky ha detectado nada.





Mira que nos hayas enviado el de dicha carpeta C:\WINDOWS\system32\drivers\oobtmuxb.sys, no sea caso que tengas otro con el mismo nombre, o actualiza el Kaspersky, ya que pudo ser un falso positivo de la version que tenías instalada



saludos



ms, 29-10-2008

[idlow]

Gracias por vuestra respuesta, os envio el otro archivo (el del informe de virus total)

[msc hotline sat]

Los informes deben postearse en el foro, con un copiar y pegar de su contenido, recuerdalo:



https://foros.zonavirus.com/viewtopic.php?f=1&t=17488



saludos



ms, 29-10-2008

[msc hotline sat]

Los informes deben postearse en el foro, con un copiar y pegar de su contenido, recuerdalo:



https://foros.zonavirus.com/viewtopic.php?f=1&t=17488



saludos



ms, 29-10-2008

[msc hotline sat]

Recibido para analizar fichero pdaskrg.dll, está modificado, MZ y PE está en minuscaulas, sin duda toqueteado expresamente, y aparecen mas de 3000 funciones.



Eliminalo directamente, pues al no estar correcto no serían válidas las cadenas que escogeríamos para su deteccion.



Si lo prefieres, para no perderlo, renombralo a .VIR y asi al reiniciar ya no se pondrá en uso.



saludos



ms, 29-10-2008

[idlow]

No me deja cambiarle el nombre, ni eliminarlo

[msc hotline sat]

Prueba de hacerlo arrancando en modo seguro, y nos cuentas el resultado, gracioas



saludos



ms, 19-20-2008

[idlow]

Tampoco se puede borrar en modo a prueba de fallos

[msc hotline sat]

Pues sigue lo indicadoi en



https://foros.zonavirus.com/informacion-sobre-vundo-9-control-y-eliminacion-t23759.html



algunos VUNDO se resisten !!!



saludos



ms, 31-10-2008



NOTA: y si en consola de recuperacion puede, antes de eliminarlos, copiar estos dos ficheros a c:\ y luego enviarnoslos para analizar, mejor ! (Y luego eliminelos):



c:\WINDOWS\system32\pdaskrg.dll (Trojan.Vundo.H)

C:\WINDOWS\system32\hqyfgtq.dll (Trojan.Vundo.H)



ms.