Archivo de sonido EAX.DLL del juego San Andreas(SOLUCIONADO)

[demenc]

Hola amigos, quisiera comentarles que compre este juego San Andreas hace un tiempo y en la ultima actulizacion del elistara detecto el archivo EAX.DLL como virus, al igual que el cliente comprimido de otro juego online que tengo hace mas de un año(cosa que en las actualizaciones anteriores no habia pasado):

Thu Nov 13 08:38:44 2008
EliStartPage v17.40 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 12 de Noviembre del 2008)
--------------------------------------------------

Código: Seleccionar todo

Lista de Acciones (por Acción Directa):
Eliminadas las Paginas de Inicio y de Busqueda del IE
Eliminados Ficheros Temporales del IE

	  Thu Nov 13 08:38:48 2008
EliStartPage v17.40  (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 12 de Noviembre del 2008)
--------------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\
C:\Archivos de programa\Rockstar Games\GTA San Andreas\EAX.DLL --> Eliminado, NetNucleus(BHO/TB)
C:\Documents and Settings\Familia Nacimiento\Mis documentos\Clientes Juegos Online\Dark Eden Client Test\DARKEDEN_GLOBALOFFI1.EXE --> Eliminado, Frauder.KG

Nº Total de Directorios:   8620
Nº Total de Ficheros:      114044
Nº de Ficheros Analizados: 28337
Nº de Ficheros Infectados: 2
Nº de Ficheros Limpiados:  2

ok los archivos fueron eliminados, reinstale el juego y mande el archivo a virus total online, pues 1 de 36 antivirus detecto como virus el mismo archivo:

Análisis del archivo eax.dll recibido el 14.11.2008 15:46:51 (CET)Motor antivirus Versión Última actualización Resultado
AhnLab-V3 2008.11.14.3 2008.11.14 -
AntiVir 7.9.0.31 2008.11.14 -
Authentium 5.1.0.4 2008.11.14 -
Avast 4.8.1281.0 2008.11.14 -
AVG 8.0.0.199 2008.11.14 -
BitDefender 7.2 2008.11.14 -
CAT-QuickHeal 10.00 2008.11.13 -
ClamAV 0.94.1 2008.11.14 -
DrWeb 4.44.0.09170 2008.11.14 -
eSafe 7.0.17.0 2008.11.13 -
eTrust-Vet 31.6.6209 2008.11.14 -
Ewido 4.0 2008.11.14 -
F-Prot 4.4.4.56 2008.11.13 -
F-Secure 8.0.14332.0 2008.11.14 -
Fortinet 3.117.0.0 2008.11.14 -
GData 19 2008.11.14 -
Ikarus T3.1.1.45.0 2008.11.14 -
K7AntiVirus 7.10.524 2008.11.13 -
Kaspersky 7.0.0.125 2008.11.14 -
McAfee 5433 2008.11.13 -
Microsoft 1.4104 2008.11.14 -
NOD32 3614 2008.11.14 -
Norman 5.80.02 2008.11.14 -
Panda 9.0.0.4 2008.11.14 -
PCTools 4.4.2.0 2008.11.14 -
Prevx1 V2 2008.11.14 -
Rising 21.03.42.00 2008.11.14 -
SecureWeb-Gateway 6.7.6 2008.11.14 -
Sophos 4.35.0 2008.11.14 -
Sunbelt 3.1.1801.2 2008.11.14 Virus.Win32.Bakaver.A (vf) Symantec 10 2008.11.14 -
TheHacker 6.3.1.1.152 2008.11.13 -
TrendMicro 8.700.0.1004 2008.11.14 -
VBA32 3.12.8.9 2008.11.14 -
ViRobot 2008.11.14.1468 2008.11.14 -
VirusBuster 4.5.11.0 2008.11.13 -

Información adicional
Tamano archivo: 188416 bytes
MD5...: 309d860fc8137e5fe9e7056c33b4b8be
SHA1..: b5f626330520a970d10ece04fed62552d5ac7ffd
SHA256: b2da4f1e47ef8054c8390ead0b97d1fbb0c547245b79b8861cfa92ce9ef153fb
SHA512: 9c345a125c8308f41fe3a0dc71f624f9b16a0119aa8b237ff2c16c63a15839f6<BR>56f732c71b5198c4ba256320691a1302c90cbf01791745f99f00d50c8b4e3a61
PEiD..: Armadillo v1.xx - v2.xx
TrID..: File type identification<BR>DirectShow filter (77.7%)<BR>Win32 Executable MS Visual C++ (generic) (14.5%)<BR>Win32 Executable Generic (3.2%)<BR>Win32 Dynamic Link Library (generic) (2.9%)<BR>Generic Win/DOS Executable (0.7%)
PEInfo: PE Structure information<BR><BR>( base data )<BR>entrypointaddress.: 0x1001a472<BR>timedatestamp.....: 0x3ffaf3bc (Tue Jan 06 17:43:24 2004)<BR>machinetype.......: 0x14c (I386)<BR><BR>( 5 sections )<BR>name viradd virsiz rawdsiz ntrpy md5<BR>.text 0x1000 0x21e10 0x22000 6.49 088ac4568a6e7424823f8d27a790be2e<BR>.rdata 0x23000 0x175b 0x2000 4.61 b4e86acf86b26f2f47abfa61d71fdc86<BR>.data 0x25000 0x620c 0x5000 1.93 bfc60cbd131a8148a98a0169d6a4e6a6<BR>.rsrc 0x2c000 0x3d8 0x1000 1.02 1056859fca53f7cb7de4bee70386651f<BR>.reloc 0x2d000 0x22e4 0x3000 4.50 605bb011bf6d1554cc4062bebda69f20<BR><BR>( 4 imports ) <BR>> KERNEL32.dll: LeaveCriticalSection, EnterCriticalSection, DeleteCriticalSection, InitializeCriticalSection, lstrlenA, GetModuleFileNameA, InterlockedDecrement, InterlockedIncrement, LCMapStringW, LCMapStringA, GetStringTypeW, GetStringTypeA, RtlUnwind, GetLastError, WideCharToMultiByte, GetCommandLineA, GetVersion, HeapFree, HeapAlloc, GetCurrentThreadId, TlsSetValue, TlsAlloc, TlsFree, SetLastError, TlsGetValue, GetProcAddress, GetModuleHandleA, ExitProcess, TerminateProcess, GetCurrentProcess, SetHandleCount, GetStdHandle, GetFileType, GetStartupInfoA, FreeEnvironmentStringsA, FreeEnvironmentStringsW, GetEnvironmentStrings, GetEnvironmentStringsW, GetEnvironmentVariableA, GetVersionExA, HeapDestroy, HeapCreate, VirtualFree, WriteFile, RaiseException, VirtualAlloc, HeapReAlloc, IsBadWritePtr, CloseHandle, SetFilePointer, SetUnhandledExceptionFilter, IsBadReadPtr, IsBadCodePtr, GetCPInfo, GetACP, GetOEMCP, LoadLibraryA, FlushFileBuffers, SetStdHandle, MultiByteToWideChar<BR>> USER32.dll: GetDesktopWindow<BR>> ADVAPI32.dll: RegOpenKeyExA, RegEnumKeyExA, RegDeleteKeyA, RegCreateKeyA, RegCloseKey, RegSetValueA, RegSetValueExA<BR>> ole32.dll: CoCreateInstance, CoUninitialize, CoInitialize, CoTaskMemFree, StringFromCLSID<BR><BR>( 7 exports ) <BR>DllCanUnloadNow, DllGetClassObject, DllRegisterServer, DllUnregisterServer, EAXDirectSoundCreate, EAXDirectSoundCreate8, GetCurrentVersion<BR>

ok viendo esto baje de mas de 10 paginas diferentes de archivos, incluyendo de la propia Creative, dicho archivo, y todas las muestras que mande a virus total y al elistara, pues dan como resultado virus, algo que me parece extraño, ya que es un archivo basico en aplicaciones que usan sonido.

Sera posible mandarles la mustra a ver si ustedes pueden determinar si es en realidad un virus ( en cuyo casos pues Creative tiene un gran problema entre manos), y si es asi saben donde puedo conseguir este archivo limpio, o si es un falso positivo?

Agradesco de antemano la atencion prestada, esperando su pronta respuesta, saludos a todos, y felicitaciones por el excelente trabajo que realizan en esta web, gracias.

[lucl]

Pues si puedes enviarlo , es mas cuando lo hagas pones como titulo POSIBLE FALSO POSITIVO, y se analizara y te diran algo, gracias saludos

[msc hotline sat]

Efectivamente, esto pasa en las mejores familias ... los falsos positivos en las utilidades

saludos
ms, 16-11-2008

[demenc]

Bueno gracias por sus respuestas, ya le he enviado el archivo, usando la opcion envio de muestras, mientras estaba lellendo sus respuestas, gracias por la atencion prestada y sus prontas repuestas.





Espero el resultado de su analisis, sobre este archivo



Gracias

[msc hotline sat]

Recibido el fichero, tras analizarlo informaremos



saludos



ms, 18-11-2008

[msc hotline sat]

Corregido el falso positivo a partir del, ELISTARA de hoy 14.45

A partir de las 19 h GMT, estará disponible en esta web, para pruebas de evaluacion en el foro de zonavirus

Gracias por el aviso

saludos
ms, 19-11-2008

[demenc]

Ok amigos muchas gracias a ustedes también, lastime que el cliente del juego online sea tan grande, pero me parece que también es un falso positivo, pues es raro que después de mas de un año fuera detectado como infectado, ademas es un archivo de muy poco uso solo para la instalación.

Bueno gracias de nuevo amigos podemos entonces dar por cerrado este tema.

Saludos

[msc hotline sat]

Si solo es para la instalación, una vez instalado ya no se utiliza, y aunque se elimine tanto da , posiblemente por ello nadie lo ha detectado, pero lo importante era esta DLL, que gracias a tu información hemos pasado a excluir.

Y dando por solucionado el Tema, procedemos a cerrarlo.

Si nos necesitas de nuevo, ya sabes donde estamos

saludos
ms, 25-11-2008