Virus C:\WINDOWS\HIDE.DLL W32/Generic.Delphi.b

[coleoptero]

Hola,espero que podais ayudarme;tengo contratado el antivirus de telefónica McAfee y a pesar de eso se me ha infectado el ordenador con un virus.Os pongo lo que me dice:



Estadísticas de análisis

Fecha: miércoles, 19 de noviembre de 2008

Hora de inicio: 13:53:46

Tiempo transcurrido: 00:29:06

Versión del motor de análisis: 5200.2160

Versión del archivo DAT: 5438.0000

Última actualización: jueves, 21 de agosto de 2008

Grado de finalización: Análisis completado

Ubicación: C:\

Archivos analizados: 63630

Amenazas de archivos detectadas: 2

Archivos limpiados: 0

Archivos eliminados: 1

Amenazas del Registro detectadas: 1

Amenazas del registro eliminadas: 0

Amenazas de cookies detectadas: 0

Amenazas de cookies limpiadas: 0

Amenazas detectadas

Ubicación Tipo Objeto Amenaza Estado

Archivo Virus C:\WINDOWS\HIDE.DLL W32/Generic.Delphi.b Eliminado

Archivo Virus C:\WINDOWS\hide.dll\hide.dll W32/Generic.Delphi.b Fallo en limpieza

Archivo Virus C:\WINDOWS\hide.dll W32/Generic.Delphi.b Error de eliminación

Registro Objeto potencialmente no deseado HKLM\SOFTWARE\Telefonica TerraMessenger Amenaza detectada

Me he bajado el HijackThis y me pone esto:



Logfile of HijackThis v1.99.1

Scan saved at 17:43:44, on 20/11/2008

Platform: Windows XP SP3 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16735)



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Archivos de programa\Lavasoft\Ad-Aware\aawservice.exe

C:\DOCUME~1\Usuario\CONFIG~1\Temp\mstinit.exe

C:\Archivos de programa\Multimedia Combo Set\PS2USBKbdDrv.exe

C:\Archivos de programa\Creative\News\NewsUpd.EXE

C:\Archivos de programa\Creative\ShareDLL\CtNotify.exe

C:\WINDOWS\RTHDCPL.EXE

C:\Archivos de programa\Messenger\msmsgs.exe

C:\Archivos de programa\NoAds\NoAds.exe

C:\Archivos de programa\Archivos comunes\Ahead\Lib\NMBgMonitor.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Archivos de programa\Creative\ShareDLL\MediaDet.Exe

C:\WINDOWS\Explorer.EXE

C:\Archivos de programa\McAfee\Managed VirusScan\Agent\myAgtTry.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Archivos de programa\Spybot - Search & Destroy\TeaTimer.exe

C:\WINDOWS\system32\CTSvcCDA.exe

C:\Archivos de programa\McAfee\Managed VirusScan\VScan\EngineServer.exe

C:\Archivos de programa\Google\Common\Google Updater\GoogleUpdaterService.exe

C:\Archivos de programa\Terra\Kit Terra ADSL\dslmon.exe

C:\Archivos de programa\Archivos comunes\Ahead\Lib\NMIndexStoreSvr.exe

C:\Archivos de programa\Archivos comunes\McAfee\HackerWatch\HWAPI.exe

C:\Archivos de programa\McAfee\MPF\MPFSrv.exe

C:\Archivos de programa\McAfee\Managed VirusScan\Agent\myAgtSvc.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\WINDOWS\system32\svchost.exe

C:\ARCHIV~1\McAfee\MANAGE~1\VScan\McShield.exe

C:\WINDOWS\explorer.exe

C:\Archivos de programa\McAfee\Managed VirusScan\Agent\UpdDlg.exe

C:\Archivos de programa\Internet Explorer\IEXPLORE.EXE

C:\Documents and Settings\Usuario\Escritorio\Nueva carpeta\HijackThis.exe



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://ww.google.es/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

F3 - REG:win.ini: load=C:\WINDOWS\System\logman.exe

O2 - BHO: Aplicación auxiliar de vínculos de Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Archivos comunes\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\Archivos de programa\Spybot - Search & Destroy\SDHelper.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\archivos de programa\google\googletoolbar1.dll

O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Archivos de programa\Google\GoogleToolbarNotifier\4.1.805.4472\swg.dll

O2 - BHO: Neopets - {CD292324-974F-4224-D074-CACA427AA030} - C:\ARCHIV~1\Neopets\Toolbar\Toolbar.dll

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\archivos de programa\google\googletoolbar1.dll

O3 - Toolbar: Neopets - {CD292324-974F-4224-D074-CACA427AA030} - C:\ARCHIV~1\Neopets\Toolbar\Toolbar.dll

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [CreativeMouse ] C:\Archivos de programa\Mouse Driver\MouseDrv.exe

O4 - HKLM\..\Run: [WireLessMouse ] C:\Archivos de programa\Multimedia Combo Set\MouseDrv.exe

O4 - HKLM\..\Run: [WireLessKeyboard ] C:\Archivos de programa\Multimedia Combo Set\PS2USBKbdDrv.exe

O4 - HKLM\..\Run: [NewsUpd] C:\Archivos de programa\Creative\News\NewsUpd.EXE /q

O4 - HKLM\..\Run: [Detector de disco] C:\Archivos de programa\Creative\ShareDLL\CtNotify.exe

O4 - HKLM\..\Run: [Disc Detector] C:\Archivos de programa\Creative\ShareDLL\CtNotify.exe

O4 - HKLM\..\Run: [MVS Splash] C:\Archivos de programa\McAfee\Managed VirusScan\Agent\Splash.exe

O4 - HKLM\..\Run: [McAfee Managed Services Tray] "C:\Archivos de programa\McAfee\Managed VirusScan\Agent\StartMyagtTry.exe"

O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE

O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE

O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE

O4 - HKLM\..\Run: [NeroFilterCheck] C:\Archivos de programa\Archivos comunes\Ahead\Lib\NeroCheck.exe

O4 - HKLM\..\Run: [unknown] C:\WINDOWS\system32:unknown.exe

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Archivos de programa\Adobe\Reader 8.0\Reader\Reader_sl.exe"

O4 - HKCU\..\Run: [MSMSGS] "C:\Archivos de programa\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [NoAds] "C:\Archivos de programa\NoAds\NoAds.exe"

O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Archivos de programa\Archivos comunes\Ahead\Lib\NMBgMonitor.exe"

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Archivos de programa\Spybot - Search & Destroy\TeaTimer.exe

O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Archivos de programa\Archivos comunes\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: Consola KIT ADSL.lnk = ?

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Archivos de programa\Spybot - Search & Destroy\SDHelper.dll

O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Archivos de programa\Spybot - Search & Destroy\SDHelper.dll

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O11 - Options group: [INTERNATIONAL] International*

O16 - DPF: {2D8ED06D-3C30-438B-96AE-4D110FDC1FB8} (ActiveScan 2.0 Installer Class) - http://www.pandasecurity.com/activescan/cabs/as2stubie.cab

O16 - DPF: {56393399-041A-4650-94C7-13DFCB1F4665} (PSFormX Control) - http://www.ca.com/us/securityadvisor/pestscan/pestscan.cab

O16 - DPF: {7B297BFD-85E4-4092-B2AF-16A91B2EA103} (WScanCtl Class) - http://www.ca.com/us/securityadvisor/virusinfo/webscan.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{52802A31-D654-4596-A46A-EE45EA1E8974}: NameServer = 195.235.113.3,195.235.96.90

O17 - HKLM\System\CS1\Services\Tcpip\..\{52802A31-D654-4596-A46A-EE45EA1E8974}: NameServer = 195.235.113.3,195.235.96.90

O17 - HKLM\System\CS3\Services\Tcpip\..\{52802A31-D654-4596-A46A-EE45EA1E8974}: NameServer = 195.235.113.3,195.235.96.90

O18 - Protocol: myrm - {4D034FC3-013F-4B95-B544-44D49ABE3E76} - C:\Archivos de programa\McAfee\Managed VirusScan\Agent\MyRmProt4.7.0.596.dll

O20 - Winlogon Notify: dimsntfy - %SystemRoot%\System32\dimsntfy.dll (file missing)

O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll

O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Archivos de programa\Lavasoft\Ad-Aware\aawservice.exe

O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTSvcCDA.exe

O23 - Service: EngineServer - McAfee, Inc. - C:\Archivos de programa\McAfee\Managed VirusScan\VScan\EngineServer.exe

O23 - Service: Google Updater Service (gusvc) - Google - C:\Archivos de programa\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: McAfee HackerWatch Service - McAfee, Inc. - C:\Archivos de programa\Archivos comunes\McAfee\HackerWatch\HWAPI.exe

O23 - Service: McShield - McAfee, Inc. - C:\ARCHIV~1\McAfee\MANAGE~1\VScan\McShield.exe

O23 - Service: McAfee Personal Firewall Service (MpfService) - McAfee, Inc. - C:\Archivos de programa\McAfee\MPF\MPFSrv.exe

O23 - Service: Servicio de prtección antivirus y antisoftware espía de McAfee (myAgtSvc) - McAfee, Inc. - C:\Archivos de programa\McAfee\Managed VirusScan\Agent\myAgtSvc.exe

O23 - Service: NBService - Nero AG - C:\Archivos de programa\Nero\Nero 7\Nero BackItUp\NBService.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe



Podeis ayudarme?.Gracias

[msc hotline sat]

Vieus hay mas de 100 nuevos cada dia... y vemos estos ficheros que conviene nos envies para analizar:



C:\DOCUME~1\Usuario\CONFIG~1\Temp\mstinit.exe



C:\WINDOWS\system32:unknown.exe





y este que indica McAfee no haber podido eliminar:



C:\WINDOWS\hide.dll\hide.dll





[b]¿Como enviar las muestras a zonavirus? - Para ello recordar[/b]:

https://foros.zonavirus.com/viewtopic.php?f=5&t=14253



saludos



ms, 20-11-2008

[coleoptero]

Puedo enviar :C:\DOCUME~1\Usuario\CONFIG~1\Temp\mstinit.exe

Pero no me deja los otros dos

C:\WINDOWS\system32:unknown.ex

C:\WINDOWS\hide.dll\hide.dll



Soy bastante novata y seguro que no lo estoy haciendo bien.Si pudierais darme instrucciones más concretas os lo agradeceria

[msc hotline sat]

Pues mira que no estén ocultos...



https://foros.zonavirus.com/viewtopic.php?f=5&t=13245



y si realmente ya no están, ya no molestarán, tranquilo ! :wink:



saludos



ms, 20-11-2008

[coleoptero]

Eso ya lo habia hecho ,tengo activada la opción de las carpetas y de los archivos ocultos. Pero al buscarlas con el buscador no es que no me los muestre es que me dice que no es una carpeta correcta y al pasar el antivirus me sigue diciendo que esta ahí y que no lo puede borrar.Gracias

[msc hotline sat]

Esto ya es otra cosa ! :wink: Efectivamente esta clave indica



O4 - HKLM\..\Run: [unknown] C:\WINDOWS\system32:unknown.exe



y no es correcto... ( pero no me di cuenta y locopie con un copiar y pegar)





Puerva a ver si esto si lo encuentras:



C:\WINDOWS\system32\unknown.exe







y el otro no es raro,



C:\WINDOWS\hide.dll\hide.dll



mira al m,enor si dentro de C:\windows bes esta carpeta HIDE.DLL (oho no esté oculta ...)



y si es asi, mira dentro ...???



y nos cuentas el resultado



saludos



ms, 20-11-2008

[coleoptero]

Ya he mirado nuevamente y nada no me aparecen la carpeta Hide en windows ni unknonw en system32.Lo debo hacer fatal pero no se como buscarlo

[coleoptero]

Encontre esto por ahí y habla del virus que se supone me ha infectado.¿te dice algo?

Nombre: Arman.NAC

Nombre NOD32: Win32/Arman.NAC

Tipo: Gusano de Internet

Alias: Arman.NAC, Email-Worm.Win32.Arman.a, Email-

Worm.Win32.Arman.b, Email-Worm.Win32.Arman.c, Email-

Worm.Win32.Arman.d, Email-Worm.Win32.Arman.e, TR/Karranj.A,

Trj/Karranj.A, W32.Appflet.A@mm, W32/Aflet.worm, W32/Appflet-

A, W32/Generic.Delphi.a, W32/Generic.Delphi.b,

W32/Generic.Delphi.c, Win32.Appflet.A@mm, Win32.HLLW.Arman,

Win32/Arman.NAC, WORM_APPFLET.A, WORM_DELF.AC, WORM_DELF.AD,

WORM_DELF.AE

Fecha: 12/set/05

Plataforma: Windows 32-bit

Tamaño: 230,912 bytes



Cuando este gusano se ejecuta, puede mostrar un mensaje falso

como el siguiente:



error loading dll

The installation has failed to start because

_agl43.dll was not found. Re-installing the

application may fix this problem.

[ OK ]



Se copia en la carpeta SYSTEM de Windows con el siguiente

nombre:



c:\windows\system\InstallGallery.exe



También se copia en las carpetas WINDOWS\SYSTEM,

WINDOWS\SYSTEM32 o WINDOWS, con un nombre al azar creado con

las siguientes cadenas y extensión .EXE:



alert

ex32

explore

inet

info

irc

mgmt

mgr

msg

msn

pager

pager

pw32

reg

reg

svc

sys

update

win

yahoo



También crea los siguientes archivos:



c:\windows\system\ActorsGallery.zip

c:\windows\system\zippwdinfo.dat

c:\windows\system\sysfile.dat

c:\windows\Flagex.Flg



NOTA: La carpeta "c:\windows" puede variar de acuerdo al

sistema operativo instalado ("c:\winnt" en NT, "c:\windows",

en 9x, Me, XP, etc.). La carpeta del sistema puede ser

"c:\windows\system32" en Windows XP y Windows Server 2003,

"c:\winnt\system32" en Windows NT y 2000 o

"c:\windows\system" en Windows 9x y ME.



También crea las siguientes entradas en el registro, la

primera para autoejecutarse en cada reinicio de Windows, y la

segunda para hacerlo cada vez que se ejecute un archivo .EXE:



HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

syspw32.exe = "c:\windows\syspw32.exe"



HKCR\exefile\shell\open\command

(Predeterminado) = "c:\windows\system\winpw32.exe "%1" %*"



El gusano se envía como adjunto en mensajes electrónicos con

las siguientes características:



Asunto:



Actors Sexy Pictures! (Axe Sexye Bazigarhaye Cinema)



Mensaje: [uno de los siguientes]



Hi my friend. This is a funny sexy actors pictures.

Enjoy it!!



Salam be tamamie baro bach inam ye collectione bahal

az axaye sexye bazigaraye cinamast. bebinid va faghat

Bekhandid!! ;)



Datos adjuntos:



ActorsGallery.zip





* Reparación manual



* Antivirus



Actualice sus antivirus con las últimas definiciones, luego

siga estos pasos:



1. Descargue el archivo FIXEXE.COM del siguiente enlace:



http://www.vsantivirus.com/arman-nac.htm#tool



2. Reinicie Windows en modo a prueba de fallos, como se

indica en este artículo:



Cómo iniciar su computadora en Modo a prueba de fallos.

http://www.vsantivirus.com/faq-modo-fallo.htm



3. Haga doble clic sobre el archivo FIXEXE.COM descargado

antes.



4. Ejecute sus antivirus en modo escaneo, revisando todos sus

discos duros.



5. Borre los archivos detectados como infectados.





* Borrar manualmente archivos agregados por el virus



Desde el Explorador de Windows, localice y borre los archivos

detectados en el punto 3 del ítem "Antivirus".



Haga clic con el botón derecho sobre el icono de la "Papelera

de reciclaje" en el escritorio, y seleccione "Vaciar la

papelera de reciclaje".





* Editar el registro



Nota: algunas de las ramas en el registro aquí mencionadas,

pueden no estar presentes ya que ello depende de que versión

de Windows se tenga instalada.



1. Ejecute el editor de registro: Inicio, ejecutar, escriba

REGEDIT y pulse ENTER



2. En el panel izquierdo del editor, haga clic en el signo

"+" hasta abrir la siguiente rama:



HKEY_LOCAL_MACHINE

\SOFTWARE

\Microsoft

\Windows

\CurrentVersion

\Run



3. Haga clic en la carpeta "Run" y en el panel de la derecha,

bajo la columna "Datos", busque y borre toda entrada que haga

referencia a los archivos detectados en el punto 3 del ítem

"Antivirus".



4. Use "Registro", "Salir" para salir del editor y confirmar

los cambios.



5. Reinicie su computadora (Inicio, Apagar el sistema,

Reiniciar).





* Información adicional



* Mostrar las extensiones verdaderas de los archivos



Para poder ver las extensiones verdaderas de los archivos y

además visualizar aquellos con atributos de "Oculto", proceda

así:



1. Ejecute el Explorador de Windows



2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú

'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u

'Opciones de carpetas'.



3. Seleccione la lengüeta 'Ver'.



4. DESMARQUE la opción "Ocultar extensiones para los tipos de

archivos conocidos" o similar.



5. En Windows 95/NT, MARQUE la opción "Mostrar todos los

archivos y carpetas ocultos" o similar.



En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos

los archivos'.



En Windows Me/2000/XP, en 'Archivos y carpetas ocultos',

MARQUE 'Mostrar todos los archivos y carpetas ocultos' y

DESMARQUE 'Ocultar archivos protegidos del sistema

operativo'.



6. Pinche en 'Aplicar' y en 'Aceptar'.





* Limpieza de virus en Windows Me y XP



Si el sistema operativo instalado es Windows Me o Windows XP,

para poder eliminar correctamente este virus de su

computadora, deberá deshabilitar antes de cualquier acción,

la herramienta "Restaurar sistema" como se indica en estos

artículos:



Limpieza de virus en Windows Me

http://www.vsantivirus.com/faq-winme.htm



Limpieza de virus en Windows XP

http://www.vsantivirus.com/faq-winxp.htm

[flacoroo]

ya que dices que casi no sabes nada de informatica, es mejor que no lo hagas manualmente como encontrastes en ese articulo....



nos debes de mandar estos archivos a zonavirus@satinfo.es comprimidos y con la contraseña virus...



C:\WINDOWS\system32:unknown.ex

C:\WINDOWS\hide.dll\hide.dll



como dice MSC deben estar ocultos y tu dices que ya habilitastes la opcion de ver carpetas y archivos oculto, pues bueno un poco mas abajo hay otra 2 opciones que debes deshabilitar....

1.- ocultar archivos protegidos del sistema operativo, y

2.- ocultar las extensiones de de archivo

y buscas los archivos en cuestion.....

[msc hotline sat]

Y de qué viene hablar de que crees tener este virus de nombre "Arman.NAC" ???



Si lo tuviste ya lo eliminaste, ya que no parece que tengas ninguno de los ficheros que menciona...



Pero tu sabrás... ya nos contarás !



saludos



ms, 20-11-2008

[coleoptero]

Veras es que al buscar el Hide ese dichoso una de las entradas que me salia era esa que he puesto y si te fijas en los alias que pone, uno de ellos es el que al parecer tengo yo.Te lo copio otra vez para que no tengas que mirarlo todo

Nombre: Arman.NAC

Nombre NOD32: Win32/Arman.NAC

Tipo: Gusano de Internet

Alias: Arman.NAC, Email-Worm.Win32.Arman.a, Email-

Worm.Win32.Arman.b, Email-Worm.Win32.Arman.c, Email-

Worm.Win32.Arman.d, Email-Worm.Win32.Arman.e, TR/Karranj.A,

Trj/Karranj.A, W32.Appflet.A@mm, W32/Aflet.worm, W32/Appflet-

A, W32/Generic.Delphi.a, [u][b][color=#FF0000]W32/Generic.Delphi.b[/color][/b][/u],

W32/Generic.Delphi.c, Win32.Appflet.A@mm, Win32.HLLW.Arman,

Win32/Arman.NAC, WORM_APPFLET.A, WORM_DELF.AC, WORM_DELF.AD,

WORM_DELF.AE

[lucl]

Bien pero si enviaste las muestras ya espera que las analicen y te den la herramienta necesaria , saludos

[msc hotline sat]

Pues si solo te basas en esto para pensar que es este virus, olvidalo !



Por W32/Generic.Delphi.b es cualquiera de los miles de virus escritos en Delphi que contienen alguna rutina "generica" típicamente usada por los virus, sin que tenga porqué ser el descrito. Digamos que es identificar el numero del Gordo porque el boleto tiene cinco cifras y lo sortean el día 22 de Diciembre... pues es eso y mucha suerte ... :mrgreen:



Si nos has enviado muestras de los ficheros pedidos, las analizaremos e informaremos



saludos



ms, 21-11-2008

[msc hotline sat]

Recibidas las dos muestras enviadas. En un analisis preliminar se detectan virus, asi que renombra sus extensiones a .VIR y tras reiniciar ya no se cargarán en memoria.



Están en cola de monitorizacion. Cuando se hayan procesado, implementaremos su control y eliminacion en nuestras utilidades, de lo cual informaremos.



saludos



ms, 21-11-2008

[msc hotline sat]

Ya hemos implementado el control y eliminacion de estas dos nuevas variantes .



A partir del ELISTARA de hoy, 17.47 se controlaran y eliminaran.




[quote]
[b] ELISTARA: [/b]

http://www.zonavirus.com/descargas/elistara.asp



Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso
[/quote]



A partir de las 19 h GMT, estará disponible en esta web, para pruebas de evaluacion en el foro de zonavirus





saludos



ms, 21-11-2008