Estoy infectado, ayuda por favor

[Pekon]

Hola, os vexplico aver si me sabeis decir como solucinarlo si es q tiene solucion, gracias.

Hara 10dias un virus mediante un enlace en portugues, el web.exe. despues de 4 dias pasando diferentes antivirus online (Panda BitDefender SinEspias McAfee Kaspersky Elistara...). Todos encontraban bastantes virus pero no los quitaban ni solucionaban mi problema. El pc solo funcionaba en modo seguro asta q pase el HijackThis y se arregló. Luego me puse l BitDefennder 10 con una clave del keygen. Me ha encontrado muchos viruses y reparado. Pero hay tres que me preocupan: rqrrrqo.dll y gebyx.dll (dice qe no los puede reparar ni trasladar, acudo a su respectiva carpeta y nunca existen) y el trojan.juan.* en donde el asterisco es una letra q de vez en cuando cambia, y los anteriores no se eliminan. En realidad la unica molestia q tengo aora es q se me abren constantemente paginas de publicidad, de antivirus y mensajes de instalacion. Tiene solución? Alguien sabe como solucionarlo? Muchisimas gracias de antemano!!!

[Nuker]

[quote]Luego me puse l BitDefennder 10 con una clave del keygen.[/quote]



??. Aqui se prohibe eso de pirateria, no se te recomienda bajar cracks, seriales, warez, keygens, etc. Ya que vienen con regalos la mayoria de las veces o vienen corruptos, para que quede claro y en un futuro no nos pidas a nosotros este tipo de cosas ilegales.



En tu caso envia dichos ficheros para su analisis:



(rqrrrqo.dll) (gebyx.dll) (trojan.juan.*)





Como Enviar ?:

https://foros.zonavirus.com/viewtopic.php?f=2&t=45334



Siguelos por las rutas que te indique el antivirus si no los encuentras desoculta ficheros:



https://foros.zonavirus.com/viewtopic.php?f=5&t=13245



Y pasate ELISTARA y ELITRIIP en Modo Seguro, al terminar te creara un log en Unidad C, con el nombre de infoSat.txt copias contenido del bloc y lo pegas aqui. ELINOTIF.DLL lo guardas en la misma carpeta donde este ELISTARA (de preferencia guardalos en el escritorio todos).



ELISTARA:

http://www.zonavirus.com/descargas/elistara.asp



ELINOTIF.DLL:

http://www.zonavirus.com/descargas/elinotif.asp



ELITRIIP:

http://www.zonavirus.com/descargas/elitriip.asp





-----------------------------

Se te recomienda ELISTARA para el fichero (gebyx.dll) que parece ser una variante del Vundo controlada con ELISTARA Y ELINOTIF.DLL.



Y sobre el Trojan.Juan:



Nombre: BHO.G

Nombre NOD32: Win32/BHO.G

Tipo: [u]Caballo de Troya[/u]

Alias: BHO.G, Application/VSToolbar, Spyware-JuanSearch,

TR/BHO.G.3, Trojan.BHO.BM, Trojan.BHO.G, Trojan.BHO.g,

[b]Trojan.Juan[/b], Trojan.Win32.BHO.D299, Trojan.Win32.BHO.g,

Trojan/BHO.g, W32/Smalltroj.NCG, Win32.BHO.g, Win32/BHO.G,

Win32/JuanSearch.A, Win32/JuanSearch.A!DLL!Trojan,

Win32:BHO-R

Fecha: 12/oct/06

Actualizado: 5/dic/06

Plataforma: Windows 32-bit

Tamaño: 60,437 bytes



Envialo como te indique y aparte posteanos tu log de HJT para checarlo...Este lo haces en Modo Normal, porfavor.



HJT: http://www.zonavirus.com/descargas/trendmicro-hijackthis.asp

[msc hotline sat]

Y es posible que tenga problemas para encontrar los ficheros, pues tienen Rootkit. En tal caso, arranque en modo seguro y los copia a un disquete, desde donde luego arrancando en modo normal y desactivando el antivirus, podra enviarnoslo conforme indicado por nuker



Piense que son variantes de VUNDO, que añadiremos al ELISTARA, tras recibir dichas muestras, pero que como ya ha visto, son la repera !:



http://www.vsantivirus.com/bho-nah.htm


[quote="VSantivirus"]
BHO.NAH. Agrega un objeto BHO oculto, usa rootkit



VSantivirus No 2382 Año 11, lunes 26 de febrero de 2007



BHO.NAH. Agrega un objeto BHO oculto, usa rootkit



Nombre: BHO.NAH

Nombre NOD32: Win32/BHO.NAH

Tipo: Caballo de Troya

Alias: BHO.NAH, Generic3.AWS, TR/BHO.G.27, Trojan.BHO.AM, Trojan.BHO.g, Trojan.Juan.F, Trojan.Virtumod, Trojan.Win32.BHO.B0D9, Trojan.Win32.BHO.g, Trojan/BHO.g, W32/BHO.G!tr, Win32/BHO.NAH, Win32/Darksma.W

Fecha: 21/feb/07

Plataforma: Windows 32-bit

Tamaño: 44,177 bytes



Caballo de Troya que instala un componente BHO (Browser Helper Object). Un objeto BHO es un DLL que se adjunta a si mismo a cada nueva instancia del Internet Explorer, pudiendo ejecutar eventos predeterminados.



Contiene algunas características de rootkit para evitar ser fácilmente detectado. Es utilizado generalmente para la descarga de publicidad no deseada u otros malwares similares.



Puede ser descargado de sitios de Internet o redes P2P, o llegar como adjunto en un spam, o en un correo electrónico con un enlace a una página de descarga. También puede ser propagado en foros, etc.



Cuando se ejecuta, crea un DLL con un nombre que puede variar, en el siguiente enlace:

c:\windows\system32\[nombre].dll



NOTA: "c:\windows\system32" puede variar de acuerdo al sistema operativo instalado (con ese nombre por defecto en Windows XP y Windows Server 2003, como "c:\winnt\system32" en Windows NT y 2000 y "c:\windows\system" en Windows 9x y ME).



Para registrar el DLL como un objeto BHO, el troyano crea las siguientes entradas en el registro:



HKCR\CLSID\{72A3F257-E13D-4285-AA9B-57BD7B659CD8}



HKCR\CLSID\{77B97866-F977-451A-8285-F6BC84601C8A}



HKCR\Interface\{F291308E-EA5A-46DA-82F5-1A5A9D54B793}



HKCR\[nombre].Downloader.1\



HKCR\[nombre].Downloader\



HKCR\[nombre].ShellDownload.1\



HKCR\[nombre].ShellDownload\



HKCR\TypeLib\{6F58CB8C-EF33-4064-8754-17E024DCDD9F}



HKLM\SOFTWARE\Microsoft\Windows

\CurrentVersion\Explorer\Browser Helper Objects

\{77B97866-F977-451A-8285-F6BC84601C8A}



También puede crear la siguiente entrada:



HKCR\*\shellex\ContextMenuHandlers\ShellDownload

(Predeterminado) = {72A3F257-E13D-4285-AA9B-57BD7B659CD8}


[/quote]



Tenemos una racha de variantes de VUNDO, aparte de BAGLE y Downloaders y Backdoors, de los que no paran de aparecer diariamente nuevas variantes ! Afortunadamente vamos manteniendolos a raya... por ahora :roll:



saludos



ms, 8-03-2007

[Pekon]

Hola! Ya os e enviado las muestras, aora voy a pasar el elistara, pero antes de acerlo os posteo el ultimo infoSat.txt que me creó hace dos semanas por si os sirve de algo, antes de borrarlo.

Muchas gracias por la ayuda.





Fri Feb 23 22:38:21 2007

EliStartPage v13.39 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\WT\WEBDRIVER.DLL --> Eliminado

Entrada Eliminada [HKLM\...\Run] "AlcxMonitor"="ALCXMNTR.EXE"

Eliminada Class, "{7E66936C-FEA0-4984-AD26-7B6661AC5B2E}" -> C:\Archivos de programa\HbTools\Bin\4.7.1.0\HbtHostIE.dll

Eliminada Carpeta "%WinSys%\LogFiles"

Eliminada Carpeta "\Program Files\PestTrap"

No detectado Parche MS06-001 de Microsoft instalado. (WMF)

No detectado Parche MS06-070 de Microsoft instalado. (SServidor)

ALERTA. WindowsUpdate Incompleto.

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Fri Feb 23 22:40:38 2007

EliStartPage v13.39 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\Archivos de programa\Archivos comunes\BTL7.EXE --> AutoExtraible

C:\Archivos de programa\Archivos comunes\Ahead\DSFilter\NEAMR.DLL --> Eliminado, CyDoor

C:\Documents and Settings\Compaq_Propietario\Mis documentos\Aplicaciones\WinAmp\WINAMP508E_FULL.EXE --> AutoExtraible

C:\hp\bin\Works\PFiles\MSWorks\WKDBOLE.DLL --> Eliminado, ZangoSA (BHO)

C:\hp\bin\Works\PFiles\MSWorks\WKSSOLE.DLL --> Eliminado, ZangoSA (BHO)



Sat Feb 24 07:56:43 2007

EliStartPage v13.39 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminada Carpeta "%WinDir%\WT"

No detectado Parche MS06-001 de Microsoft instalado. (WMF)

No detectado Parche MS06-070 de Microsoft instalado. (SServidor)

ALERTA. WindowsUpdate Incompleto.

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Sat Feb 24 07:57:08 2007

EliStartPage v13.39 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

Exploración Detenida por el Usuario.



Sat Feb 24 20:04:07 2007

EliStartPage v13.39 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

No detectado Parche MS06-001 de Microsoft instalado. (WMF)

No detectado Parche MS06-070 de Microsoft instalado. (SServidor)

ALERTA. WindowsUpdate Incompleto.

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Sat Feb 24 20:04:20 2007

EliStartPage v13.39 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\Archivos de programa\Archivos comunes\BTL7.EXE --> AutoExtraible

Exploración Detenida por el Usuario.



Sat Feb 24 20:07:26 2007

EliStartPage v13.39 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad D:\



Sun Feb 25 16:10:40 2007

EliStartPage v13.39 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

No detectado Parche MS06-001 de Microsoft instalado. (WMF)

No detectado Parche MS06-070 de Microsoft instalado. (SServidor)

ALERTA. WindowsUpdate Incompleto.

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Sun Feb 25 16:10:51 2007

EliStartPage v13.39 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\Documents and Settings\Compaq_Propietario\Mis documentos\Aplicaciones\WinAmp\WINAMP508E_FULL.EXE --> AutoExtraible



Sun Feb 25 17:38:31 2007

EliStartPage v13.39 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

No detectado Parche MS06-001 de Microsoft instalado. (WMF)

No detectado Parche MS06-070 de Microsoft instalado. (SServidor)

ALERTA. WindowsUpdate Incompleto.

Eliminados Ficheros Temporales del IE



Sun Feb 25 17:39:05 2007

EliStartPage v13.39 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\Documents and Settings\Compaq_Propietario\Mis documentos\Aplicaciones\WinAmp\WINAMP508E_FULL.EXE --> AutoExtraible

Exploración Detenida por el Usuario.

[Pekon]

Agüita! Me a dicho que ha quitado varios troyanos o virus, gusanos e intrusiones por noseque puerto.. Bueno yo os posteo el infosat que os enterareis mejor. Pero aun me saltan las paginas para descargar antivirus.

Gracias por vuestro tiempo.





Fri Mar 09 21:27:41 2007

EliStartPage v13.50 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\SYSTEM32\RQRRRQO.DLL --> DownLoader.ConHook (notify) Acceso Denegado.

Por favor, envienos una muestra del fichero

C:\Muestras\GEBYX.DLL.Muestra EliStartPage v13.50

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\GEBYX.DLL --> Acceso Denegado.

C:\WINDOWS\SYSTEM32\RQRRRQO.DLL --> DownLoader.ConHook (notify) Acceso Denegado.

C:\WINDOWS\SYSTEM32\XYBEG.ini --> Eliminado (Fichero Complementario).

Entrada Eliminada [HKLM\...\Run] "DllRunning"="rundll32.exe "C:\WINDOWS\system32\drytpmtb.dll",setvm"

Eliminada Class, "{C47A9554-195A-4769-9B13-04F15B450A39}" -> C:\WINDOWS\system32\rqrrrqo.dll

Eliminada Class, "{EF666172-0CCF-4456-96BB-4EC796FAA816}" -> C:\WINDOWS\system32\gebyx.dll

No detectado Parche MS06-001 de Microsoft instalado. (WMF)

No detectado Parche MS06-070 de Microsoft instalado. (SServidor)

ALERTA. WindowsUpdate Incompleto.

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Instalada Utilidad "ELINOTIF.DLL"



Fri Mar 09 21:30:52 2007

EliTriIP v3.31 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\KTD32.ATM --> Eliminado

No detectado Parche MS06-001 de Microsoft instalado. (WMF)

No detectado Parche MS06-070 de Microsoft instalado. (SServidor)

ALERTA. WindowsUpdate Incompleto.



EliNotify v1.7.03.01 (c)2006 S.G.H. / Satinfo S.L.

---------------------------------------------------

Lista de Acciones:

Detectado Vundo

Elininada KEY "Winlogon\Notify\gebyx"

Detectado DownLoader.ConHook

C:\WINDOWS\SYSTEM32\rqrrrqo.dll -> Eliminado.

Elininada KEY "Winlogon\Notify\rqrrrqo"

Desinstalado EliNotif.dll



Fri Mar 09 21:35:53 2007

EliStartPage v13.50 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Eliminada Class, "{C47A9554-195A-4769-9B13-04F15B450A39}" -> C:\WINDOWS\SYSTEM32\rqrrrqo.dll

No detectado Parche MS06-001 de Microsoft instalado. (WMF)

No detectado Parche MS06-070 de Microsoft instalado. (SServidor)

ALERTA. WindowsUpdate Incompleto.

[Pekon]

Y aqui teneis el log del HJT.



Bueno ya me direis como solucionar esto, muchisimas gracias de ante mano.













Logfile of HijackThis v1.99.1

Scan saved at 21:43:55, on 09/03/2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.5730.0011)



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\csrss.exe

C:\WINDOWS\SYSTEM32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\WINDOWS\system32\svchost.exe

C:\Archivos de programa\Archivos comunes\Softwin\BitDefender Communicator\xcommsvr.exe

C:\Archivos de programa\Archivos comunes\Softwin\BitDefender Scan Server\bdss.exe

C:\Archivos de programa\Archivos comunes\Softwin\BitDefender Update Service\livesrv.exe

C:\Archivos de programa\Softwin\BitDefender10\vsserv.exe

C:\WINDOWS\System32\alg.exe

C:\WINDOWS\Explorer.EXE

C:\Archivos de programa\Softwin\BitDefender10\bdmcon.exe

C:\Archivos de programa\Softwin\BitDefender10\bdagent.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Archivos de programa\Internet Explorer\iexplore.exe

C:\Hijackthis\HijackThis.exe



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.es

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [BDMCon] "C:\Archivos de programa\Softwin\BitDefender10\bdmcon.exe" /reg

O4 - HKLM\..\Run: [BDAgent] "C:\Archivos de programa\Softwin\BitDefender10\bdagent.exe"

O4 - HKLM\..\Run: [2chkdsk] rundll32.exe "C:\WINDOWS\system32\ruevhkaq.dll",setvm

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O17 - HKLM\System\CCS\Services\Tcpip\..\{0297E511-D8C7-4A0B-B4C0-1FEED10679A3}: NameServer = 213.172.33.34,213.172.33.35

O17 - HKLM\System\CS1\Services\Tcpip\..\{0297E511-D8C7-4A0B-B4C0-1FEED10679A3}: NameServer = 213.172.33.34,213.172.33.35

O17 - HKLM\System\CS2\Services\Tcpip\..\{0297E511-D8C7-4A0B-B4C0-1FEED10679A3}: NameServer = 213.172.33.34,213.172.33.35

O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Archivos de programa\Archivos comunes\Softwin\BitDefender Scan Server\bdss.exe" /service (file missing)

O23 - Service: iPod Service - Apple Computer, Inc. - C:\Archivos de programa\iPod\bin\iPodService.exe

O23 - Service: BitDefender Desktop Update Service (LIVESRV) - Unknown owner - C:\Archivos de programa\Archivos comunes\Softwin\BitDefender Update Service\livesrv.exe" /service (file missing)

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: BitDefender Virus Shield (VSSERV) - Unknown owner - C:\Archivos de programa\Softwin\BitDefender10\vsserv.exe" /service (file missing)

O23 - Service: BitDefender Communicator (XCOMM) - Unknown owner - C:\Archivos de programa\Archivos comunes\Softwin\BitDefender Communicator\xcommsvr.exe" /service (file missing)

[Nuker]

Envie una muestra de este fichero para que sea analizado:



C:\WINDOWS\system32\[b]ruevhkaq.dll[/b]",setvm



Siga la ruta para llegar a el, una vez enviada la muestra elimine la clave.



La clave a eliminar una vez enviado el fichero es:



O4 - HKLM\..\Run: [2chkdsk] rundll32.exe "C:\WINDOWS\system32\ruevhkaq.dll",setvm



En caso que no este el fichero (ruevhkaq.dll) recuerde que podra estar oculta, para desocultar los ficheros:



https://foros.zonavirus.com/viewtopic.php?f=5&t=13245



Para Enviar un Fichero:

https://foros.zonavirus.com/viewtopic.php?f=2&t=45334



Y eso seria todo, Saludos.

[msc hotline sat]

Por el valor y las 8 letras del nombre, esta DLL podria ser una variante de VUNDO



Cuando recibamos la muestra solicitada, la analizaremos e informaremos



saludos



ms, 10-03-2007

[Pekon]

Ya os lo he enviado y he eliminado la clave despues de ello, este es el log que me ha salido despues:





Logfile of HijackThis v1.99.1

Scan saved at 11:28:59, on 10/03/2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.5730.0011)



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\SYSTEM32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\savedump.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\Hijackthis\HijackThis.exe



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.es

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [BDMCon] "C:\Archivos de programa\Softwin\BitDefender10\bdmcon.exe" /reg

O4 - HKLM\..\Run: [BDAgent] "C:\Archivos de programa\Softwin\BitDefender10\bdagent.exe"

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

O4 - HKLM\..\Run: [2chkdsk] rundll32.exe "C:\WINDOWS\system32\dyvunopo.dll",setvm

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O17 - HKLM\System\CCS\Services\Tcpip\..\{0297E511-D8C7-4A0B-B4C0-1FEED10679A3}: NameServer = 213.172.33.34,213.172.33.35

O17 - HKLM\System\CS1\Services\Tcpip\..\{0297E511-D8C7-4A0B-B4C0-1FEED10679A3}: NameServer = 213.172.33.34,213.172.33.35

O17 - HKLM\System\CS2\Services\Tcpip\..\{0297E511-D8C7-4A0B-B4C0-1FEED10679A3}: NameServer = 213.172.33.34,213.172.33.35

O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Archivos de programa\Archivos comunes\Softwin\BitDefender Scan Server\bdss.exe" /service (file missing)

O23 - Service: iPod Service - Apple Computer, Inc. - C:\Archivos de programa\iPod\bin\iPodService.exe

O23 - Service: BitDefender Desktop Update Service (LIVESRV) - Unknown owner - C:\Archivos de programa\Archivos comunes\Softwin\BitDefender Update Service\livesrv.exe" /service (file missing)

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: BitDefender Virus Shield (VSSERV) - Unknown owner - C:\Archivos de programa\Softwin\BitDefender10\vsserv.exe" /service (file missing)

O23 - Service: BitDefender Communicator (XCOMM) - Unknown owner - C:\Archivos de programa\Archivos comunes\Softwin\BitDefender Communicator\xcommsvr.exe" /service (file missing)

[Pekon]

Hola! Queria comentaros q aun tengo problemas con las ventanas y paginas que saltan. Y tambien me pasa que cuando estoy escribiendo y vuelvo la vista para leer lo que e escrito, derrepente faltan bastantes letras consecutivas. Por ejemplo, escribiendo lo siguiente me a pasado [entre corchetes lo que faltaba] y me ha vuelto loco..



Tb queria preg[untar si los procesos que tengo son ]normales. esque buceando por internet encontre esta pagina, busque mis procesos y resulta que practicamente todos estan (o quizas pueden) estar infectados.



http://www.trucoswindows.net/s-procesos/listaprocesos-search-.html

[lucl]

HOla pekon, deberas esperar hasta el lunes que abren satinfo y analicen el envio, ten paciencia. Saludos

[Pekon]

ok. gracias.

[msc hotline sat]

No sé si ha cambiado de nombre, pero veo que en el ultimo log de HJT la clave de marras lanza otra DLL:



O4 - HKLM\..\Run: [2chkdsk] rundll32.exe "C:\WINDOWS\system32\dyvunopo.dll",setvm



Me temo que en cada reinicio usará un nombre distinto...



Hoy lo analizaremos la muestra enviada e informaremos



saludos



ms, 12-03-2007

[Pekon]

Si, de eso ya me di cuenta, y pense eliminarla tambien pero no lo hice xq como tampoco se muy bien como funciona esto...

Ayer (domingo) me empezo a cambiar la configuracion de la barra de herramientas del escritorio y la distribución del escritorio... supongo que sera cosa del virus. Y acerca de los procesos que me podeis comentar? Antes do todos estos problemas solia tener asta 60 procesos en funcionamiento en cuanto encendia, pero desde q e pasado tantos antivirus no llego a los 30, pero algunos me preocupan bastante, y de vez en cuando aparecen nuevos.

Cracias!

[msc hotline sat]

Sus muestras entran en proceso, pero dado la cantidad que nos envia, se destina una linea exclusiva para ello, si bien hasta mañana tarde no saldrán los resultados.



Pero como que hoy estamos con un ELISTARA para nuevos comhook y Vundos, a partir de las 20 h prueba el de hoy por si ya controlara alguno de los tuyos, y sino mañana.



saludos



ms, 12-03-2004

[Pekon]

Siiiiiii!!! Hemos ganado la batalla! O eso creo, esta el momento (llevo 5 minutos solo) no noto nada extraño, pero antes en un minuto notaba muchas cosas. Pase elistara y me dijo que tenia el Vundo y que reiniciara para completar su eliminación. Lo hice, volví a pasarlo y no me dijo nada de que lo siguiese teniendo. Pero el elitriip las dos veces que lo pasé me dijo que tenia un intento de intrusión, podriais explicarme a q se debe? Y el elistara me a dicho que enviase una muestra del gebyx.dll, ya os la mande. Será otro virus? Y acerca de los procesos que veo en el administrador de tareas me podríais informar si son buenos, malos, si son buenos pero quizas estan infectados...?

Y como soluciono lo de los parches de windows? q quiere decir exactamente?

Bueno creo q pido mucho ya... XD



Muchisimas gracias por todo lo que habeis hecho por mi PC y por mi, emos sufrido mucho... XD



Otra cosa, sin pagar osea con programas gratuitos cual es el mejor método para estar protegido? Cuanta eficacia tiene comparado con un antivirus de pago? Merece la pena pagar? Por lo que yo conozco solo he visto gratuito el AVG, con el podría ser suficiente?



Y por último, he aprendido la lección, no volveré a bajarme mas cracks, keygens y demas gorroneos de estos, sobre todo para antivirus, porque asi es como se me han colado muchos de los que an pasado por mi pc en las ultimas semanas. Ademas todos los amigos-informaticos q me vinieron a intentar arreglar el PC es lo que hacian, se ponian a bajar cosas de estas...



Bueno, y aqui os dejo el ultimo InfoSat:

yo creo q esta todo bien, pero mejor decirlo decir vosotros..

MUCHAS GRACIAS!





Tue Mar 13 00:05:58 2007

EliStartPage v13.51 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Por favor, envienos una muestra del fichero

C:\Muestras\GEBYX.DLL.Muestra EliStartPage v13.51

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\GEBYX.DLL --> Acceso Denegado.

C:\WINDOWS\SYSTEM32\XYBEG.ini --> Eliminado (Fichero Complementario).

C:\WINDOWS\SYSTEM32\XYBEG.ini2 --> Eliminado (Fichero Complementario).

Entrada Eliminada [HKLM\...\Run] "2chkdsk"="rundll32.exe "C:\WINDOWS\system32\dyvunopo.dll",setvm"

Eliminada Class, "{0D23FB40-3ED9-4FF5-8D90-D0D1A93EC110}" -> C:\WINDOWS\system32\gebyx.dll

No detectado Parche MS06-001 de Microsoft instalado. (WMF)

No detectado Parche MS06-070 de Microsoft instalado. (SServidor)

ALERTA. WindowsUpdate Incompleto.

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Instalada Utilidad "ELINOTIF.DLL"



Tue Mar 13 00:08:19 2007

EliTriIP v3.32 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Acción Directa):

No detectado Parche MS06-001 de Microsoft instalado. (WMF)

No detectado Parche MS06-070 de Microsoft instalado. (SServidor)

ALERTA. WindowsUpdate Incompleto.



Tue Mar 13 00:08:48 2007

EliStartPage v13.51 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

Por favor, envienos una muestra del fichero

C:\Muestras\GEBYX.DLL.Muestra EliStartPage v13.51

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\GEBYX.DLL --> Acceso Denegado.

C:\WINDOWS\SYSTEM32\XYBEG.ini --> Eliminado (Fichero Complementario).

Entrada Eliminada [HKLM\...\Run] "2chkdsk"="rundll32.exe "C:\WINDOWS\system32\lipksgfi.dll",setvm"

Eliminada Class, "{0D23FB40-3ED9-4FF5-8D90-D0D1A93EC110}" -> C:\WINDOWS\system32\gebyx.dll

No detectado Parche MS06-001 de Microsoft instalado. (WMF)

No detectado Parche MS06-070 de Microsoft instalado. (SServidor)

ALERTA. WindowsUpdate Incompleto.

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE

Instalada Utilidad "ELINOTIF.DLL"



EliNotify v1.7.03.01 (c)2006 S.G.H. / Satinfo S.L.

---------------------------------------------------

Lista de Acciones:

Detectado Vundo

Elininada KEY "Winlogon\Notify\gebyx"

Desinstalado EliNotif.dll



Tue Mar 13 00:11:30 2007

EliStartPage v13.51 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

No detectado Parche MS06-001 de Microsoft instalado. (WMF)

No detectado Parche MS06-070 de Microsoft instalado. (SServidor)

ALERTA. WindowsUpdate Incompleto.

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Tue Mar 13 00:12:06 2007

EliTriIP v3.32 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Acción Directa):

No detectado Parche MS06-001 de Microsoft instalado. (WMF)

No detectado Parche MS06-070 de Microsoft instalado. (SServidor)

ALERTA. WindowsUpdate Incompleto.



Tue Mar 13 00:14:31 2007

EliStartPage v13.51 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

No detectado Parche MS06-001 de Microsoft instalado. (WMF)

No detectado Parche MS06-070 de Microsoft instalado. (SServidor)

ALERTA. WindowsUpdate Incompleto.

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Gracias!!!

[Pekon]

He pasado el BitDefender, sin actualizar no se desde cuando y este es el resumen del anilisis:



Resumen:



C:\WINDOWS\system32\dfrloetg.dll Infectado(s): Trojan.Spy.VBStat.B

C:\WINDOWS\system32\dfrloetg.dll Eliminado

C:\WINDOWS\system32\dyvunopo.dll Infectado(s): MemScan:Trojan.Spy.Agent.NU

C:\WINDOWS\system32\dyvunopo.dll La desinfección ha fallado

C:\WINDOWS\system32\dyvunopo.dll Trasladado

C:\WINDOWS\system32\eqmtdfsm.dll Infectado(s): Trojan.Spy.VBStat.B

C:\WINDOWS\system32\eqmtdfsm.dll Eliminado

C:\WINDOWS\system32\gebyx.dll Infectado(s): MemScan:Trojan.Vundo.AH

C:\WINDOWS\system32\gebyx.dll La desinfección ha fallado

C:\WINDOWS\system32\gebyx.dll Trasladado

C:\WINDOWS\system32\jqncbnvj.dll Infectado(s): Trojan.Spy.VBStat.B

C:\WINDOWS\system32\jqncbnvj.dll Eliminado

C:\WINDOWS\system32\kghwwrdu.exe Detectado: Adware.Vstoolbar.A

C:\WINDOWS\system32\kghwwrdu.exe La desinfección ha fallado

C:\WINDOWS\system32\kghwwrdu.exe Trasladado

C:\WINDOWS\system32\lipksgfi.dll Infectado(s): MemScan:Trojan.Spy.Agent.NU

C:\WINDOWS\system32\lipksgfi.dll La desinfección ha fallado

C:\WINDOWS\system32\lipksgfi.dll Trasladado

C:\WINDOWS\system32\onjdoqgo.exe Detectado: Adware.Vstoolbar.A

C:\WINDOWS\system32\onjdoqgo.exe La desinfección ha fallado

C:\WINDOWS\system32\onjdoqgo.exe Trasladado

C:\WINDOWS\system32\ruevhkaq.dll Infectado(s): MemScan:Trojan.Spy.Agent.NU

C:\WINDOWS\system32\ruevhkaq.dll La desinfección ha fallado

C:\WINDOWS\system32\ruevhkaq.dll Trasladado



Es malo?

[msc hotline sat]

Pues como puedes ver el BitDefender ha fallado en casi todos los intentos que hace de eliminacion de tus troyanos:



C:\WINDOWS\system32\dyvunopo.dll La desinfección ha fallado

C:\WINDOWS\system32\gebyx.dll La desinfección ha fallado

C:\WINDOWS\system32\kghwwrdu.exe La desinfección ha fallado

C:\WINDOWS\system32\lipksgfi.dll La desinfección ha fallado

C:\WINDOWS\system32\onjdoqgo.exe La desinfección ha fallado

C:\WINDOWS\system32\ruevhkaq.dll La desinfección ha fallado



Si no lo has hecho, envianos estos ficheros y los analizaremos e implementaremos en la proxima version del ELISTARA



Descarga esta noche, a partir de las 20 h GMT la nueva version y tras probarla, nos posteas el contenido del c:\infosat.txt



Y como que el Bit Defender al menos los detecta, tras ello lo lanzas a ver lo que te queda de malo, y nos informas.



saludos



ms, 13-03-2007

[msc hotline sat]

Recibidas muestras de carpeta de cuarentena con extension .QUAR suponemos que son de algun antivirus no soportado por nosotros y no son analizables, por lo tanto, no envie mas ficheros de este tipo.



En cuanto a las DLL enviadas, algunas son VUNDO y COMHOOK ya controlados y otro VUNDO que se implementa en el ELISTARA de hoy



A partir de las 20 h GMT descargue ELISTARA Y ELINNOTIF en una misma carpeta y pruebe el ELISTARA Y reincie para terminar la limpieza:





ELISTARA:

http://www.zonavirus.com/descargas/elistara.asp



ELINOTIF.DLL

http://www.zonavirus.com/descargas/elinotif.asp



Descargar los dos en una misma carpeta y probar el ELISTARA, tras lo cual reiniciar para terminar la eliminaicon y luego postearnos el contenido de C:\infosat.txt para ver el resultado del proceso





saludos



ms, 13-03-2007

[Pekon]

Tue Mar 13 22:29:43 2007

EliStartPage v13.52 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

No detectado Parche MS06-001 de Microsoft instalado. (WMF)

No detectado Parche MS06-070 de Microsoft instalado. (SServidor)

ALERTA. WindowsUpdate Incompleto.

Eliminados Ficheros Temporales del IE



Tue Mar 13 22:30:44 2007

EliTriIP v3.32 (c)2007 S.G.H. / Satinfo S.L.

---------------------------------------------

Lista de Acciones (por Acción Directa):

No detectado Parche MS06-001 de Microsoft instalado. (WMF)

No detectado Parche MS06-070 de Microsoft instalado. (SServidor)

ALERTA. WindowsUpdate Incompleto.

[msc hotline sat]

Pero no has hecho en ninguno de los dos casos la EXPLORACION de las unidades que tengas, y es lo que viene tras las detecciones por Accion Directa, y con lo que se detectarán y eliminarán los indicados malwares



Completa el proceso y, tras reiniciar, nos posteas el C:\infosat.txt , gracias



saludos





ms, 14-03-2007

[Pekon]

Y este es el resumen del bit defender, pasado en profundidad:



Resumen:



C:\Documents and Settings\Compaq_Propietario\Mis documentos\Aplicaciones\setup_ares.exe=>(NSIS o)=>zlib_nsis0036 Detectado: Application.Browser.Modifier.Navexcel.Search.Toolbar.AN

C:\Documents and Settings\Compaq_Propietario\Mis documentos\Aplicaciones\setup_ares.exe=>(NSIS o)=>zlib_nsis0036 La desinfección ha fallado

C:\Documents and Settings\Compaq_Propietario\Mis documentos\Aplicaciones\setup_ares.exe=>(NSIS o)=>zlib_nsis0036 El traslado de los archivos ha fallado

C:\Documents and Settings\Compaq_Propietario\Recent\Virus.rar (2).lnk=>C:\Muestras\Virus.rar=>GEBYX.DLL.Muestra EliStartPage v13.50 Infectado(s): MemScan:Trojan.Vundo.AH

C:\Documents and Settings\Compaq_Propietario\Recent\Virus.rar (2).lnk=>C:\Muestras\Virus.rar=>GEBYX.DLL.Muestra EliStartPage v13.50 La desinfección ha fallado

C:\Documents and Settings\Compaq_Propietario\Recent\Virus.rar (2).lnk=>C:\Muestras\Virus.rar=>GEBYX.DLL.Muestra EliStartPage v13.50 El traslado de los archivos ha fallado

C:\Documents and Settings\Compaq_Propietario\Recent\Virus.rar (2).lnk=>C:\Muestras\Virus.rar=>GEBYX.DLL.Muestra EliStartPage v13.51 Infectado(s): MemScan:Trojan.Vundo.AH

C:\Documents and Settings\Compaq_Propietario\Recent\Virus.rar (2).lnk=>C:\Muestras\Virus.rar=>GEBYX.DLL.Muestra EliStartPage v13.51 La desinfección ha fallado

C:\Documents and Settings\Compaq_Propietario\Recent\Virus.rar (2).lnk=>C:\Muestras\Virus.rar=>GEBYX.DLL.Muestra EliStartPage v13.51 El traslado de los archivos ha fallado

C:\Documents and Settings\Compaq_Propietario\Recent\Virus.rar.lnk=>C:\WINDOWS\system32\Virus.rar=>ruevhkaq.dll Infectado(s): MemScan:Trojan.Spy.Agent.NU

C:\Documents and Settings\Compaq_Propietario\Recent\Virus.rar.lnk=>C:\WINDOWS\system32\Virus.rar=>ruevhkaq.dll La desinfección ha fallado

C:\Documents and Settings\Compaq_Propietario\Recent\Virus.rar.lnk=>C:\WINDOWS\system32\Virus.rar=>ruevhkaq.dll El traslado de los archivos ha fallado

C:\Muestras\GEBYX.DLL.Muestra EliStartPage v13.50 Infectado(s): MemScan:Trojan.Vundo.AH

C:\Muestras\GEBYX.DLL.Muestra EliStartPage v13.50 La desinfección ha fallado

C:\Muestras\GEBYX.DLL.Muestra EliStartPage v13.50 Trasladado

C:\Muestras\GEBYX.DLL.Muestra EliStartPage v13.51 Infectado(s): MemScan:Trojan.Vundo.AH

C:\Muestras\GEBYX.DLL.Muestra EliStartPage v13.51 La desinfección ha fallado

C:\Muestras\GEBYX.DLL.Muestra EliStartPage v13.51 Trasladado

C:\Muestras\Virus.rar=>GEBYX.DLL.Muestra EliStartPage v13.50 Infectado(s): MemScan:Trojan.Vundo.AH

C:\Muestras\Virus.rar=>GEBYX.DLL.Muestra EliStartPage v13.50 La desinfección ha fallado

C:\Muestras\Virus.rar=>GEBYX.DLL.Muestra EliStartPage v13.50 El traslado de los archivos ha fallado

C:\Muestras\Virus.rar=>GEBYX.DLL.Muestra EliStartPage v13.51 Infectado(s): MemScan:Trojan.Vundo.AH

C:\Muestras\Virus.rar=>GEBYX.DLL.Muestra EliStartPage v13.51 La desinfección ha fallado

C:\Muestras\Virus.rar=>GEBYX.DLL.Muestra EliStartPage v13.51 El traslado de los archivos ha fallado

C:\WINDOWS\system32\Virus.rar=>ruevhkaq.dll Infectado(s): MemScan:Trojan.Spy.Agent.NU

C:\WINDOWS\system32\Virus.rar=>ruevhkaq.dll La desinfección ha fallado

C:\WINDOWS\system32\Virus.rar=>ruevhkaq.dll El traslado de los archivos ha fallado

[msc hotline sat]

Pero quien te dice nada de usar el Bit Defendfer ???



Hablamos del ELISTARA, bajate la actual version 13.52 y pruebala con su ELINOTIF (pero dala a EXPLORAR !!!):





ELISTARA:

http://www.zonavirus.com/descargas/elistara.asp



ELINOTIF.DLL

http://www.zonavirus.com/descargas/elinotif.asp



Descargar los dos en una misma carpeta y probar el ELISTARA, tras lo cual reiniciar para terminar la eliminacion y luego postearnos el contenido de C:\infosat.txt para ver el resultado del proceso



saludos



ms, 14-03-2007



Notas: las muestras que acabamos de recibir hoy son VUNDO que ya se controlan con la version actual.

[Lisbeth45]

AGRADEZCO REVISAR MI LOG PARA VER SI TIENE ALGO MI PC ESTO EN VISTA DE QUE ESTA ALGO LENTO, PASE ANTIVIRUS NORTON E INDICA NO TIENE NADA PERO...SIGUE LENTO. GRACIAS DE ANTEMANO...



Logfile of HijackThis v1.99.1

Scan saved at 01:03:56 p.m., on 14/03/2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)





[size=200] I N T E R V E N I D O [/size]



POR



[url=http://www.satinfo.es]\zonavirus\zona.jpg[/img][/url]



no deben mezclarse logs de 2 ordenadores en un mismo Tema.



https://foros.zonavirus.com/viewtopic.php?t=6268



Posteelo en Tema aparte, tras seguir las instrucciones:



https://foros.zonavirus.com/viewtopic.php?t=5148



____________





se contesta en:



https://foros.zonavirus.com/esta-infectado-mi-pc-vt17230.html?highlight=

[lucl]

para lisbeth, deberias abrir un post propio ya que este es de otro usuario y esta prohibido postear en el post de otra persona! abrete uno tuyo explicandonos el problema y se te analizar el log, vuelve a copiarlo por favor, saludos

[Pekon]

[quote="msc hotline sat"]Y como que el Bit Defender al menos los detecta, tras ello lo lanzas a ver lo que te queda de malo, y nos informas.



saludos



ms, 13-03-2007[/quote]

Hola!



Pase una versión del BitD desactualizada xq los detectaba...



Bueno, acabo de pasar elistara por exploración, y este es el infoSat:



Wed Mar 14 21:58:17 2007

EliStartPage v13.53 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

No detectado Parche MS06-001 de Microsoft instalado. (WMF)

No detectado Parche MS06-070 de Microsoft instalado. (SServidor)

ALERTA. WindowsUpdate Incompleto.

Eliminados Ficheros Temporales del IE



Wed Mar 14 21:58:42 2007

EliStartPage v13.53 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\Archivos de programa\WIBU-SYSTEMS\System\WIBUSHELLEXT.DLL --> Eliminado, FDoS-SpaBot





Y ahora os doy una mala noticia. Mi hermana tenia comprado el BitD, se cansó de los virus, y con una clave del Family Pack anoche mismo me lo instaló en mi PC (y sabe q no me gusta xq retardan un monton), por lo que me temo que la evaluación de vuestro producto en mi PC no ha tenido los resultados que esperabamos, ya que supongo q el nuevo BitD actualizado si consiguió eliminar estos ultimos virus. De todas formas, hoy vuestro producto ha detectado el WIBUSHELLEXT.DLL, archivo que se le paso por alto al BitD.



Muchísimas gracias por vuestra ayuda!



Nota: elistara dice que no ha detectado noseque parches de windows y que ha fallado el update. Es malo? Como puedo hacer para que eso funcione adecuadamente?



Nota 2: elitriip siempre siempre dice que si bloquea un intento de intrusion por el puerto TCP 445. Siempre le dije que si, pero me gustaria saber si eso es normal y a que se debe?



MUCHÍSIMAS GRACIAS!

[msc hotline sat]

De mala noticia nada!



Pero no confundas unas utilidades complementarias a los antivirus respecto a un antivirus, aunque sea el Bit Defender...



Nosotros (SATINFO) somos mayoristas de McAfee y las utilidades las hacemos para complementar al antivirus, en familias de nueva deteccion (como actualmente las variantes del Bagle que el Bit Defender ni caza, como tampoco caza muchos VUNDO y PUPER) si bien son para adelantar la deteccion y facilitar la eliminacion que muchos antivirus no hacen, y para ello tenemos cientos de utilidades, por familias de virus y troyanos, si bien en el foro solo ofrecemos unas cuantes a nivel de evaluacion, siendo las demas restringidas a los asociados de SATINFO.



Y todas las muestras que vamos detectando como no controladas, se envian a McAfee para su control en los siguiente DAT que cada día actualizan, como muchos antivirus ( no sé de Bit Defender, pues no es de los veteranos como McAfee, Computer Associates, Norton, F-Prot, etc, ni incluso de los de menos antigüedad como Kaspersky , y no sé mas o menos reciente que NOD32, pero en cualquier caso son de los mas nuevos y que menos conocemos.



Pero mira, examinados con VIRUSTOTAL veamos los que detecta BitDefender de los que recientemente detectamos con nuestras utilidades:



Por ejemplo, con el ELITRIIP actual controlamos SDBOT que no detecta BitDefender:


[quote]
ESTADO: FINALIZADOEste es el resultado completo de analizar el archivo "SdBot__explorewin_.gxe" que VirusTotal ha recibido el día 15.03.2007 a las 11:55:06 (CET).



Antivirus Version Actualización Resultado

AhnLab-V3 2007.3.15.0 15.03.2007 Win32/IRCBot.worm.212480.H

AntiVir 7.3.1.43 15.03.2007 Worm/Sdbot.212480.10

Authentium 4.93.8 14.03.2007 W32/Backdoor.AISG

Avast 4.7.936.0 14.03.2007 no ha encontrado virus

AVG 7.5.0.447 14.03.2007 Win32/CryptExe

BitDefender 7.2 15.03.2007 no ha encontrado virus

CAT-QuickHeal 9.00 14.03.2007 no ha encontrado virus

ClamAV 0.90.1 15.03.2007 no ha encontrado virus

DrWeb 4.33 15.03.2007 BackDoor.IRC.Sdbot.1150

eSafe 7.0.14.0 14.03.2007 no ha encontrado virus

eTrust-Vet 30.6.3480 15.03.2007 no ha encontrado virus

Ewido 4.0 14.03.2007 Backdoor.SdBot.bfj

FileAdvisor 1 15.03.2007 Not analyzed yet

Fortinet 2.85.0.0 15.03.2007 W32/Nirbot.BFJ!tr.bdr

F-Prot 4.3.1.45 14.03.2007 W32/Backdoor.AISG

F-Secure 6.70.13030.0 15.03.2007 Backdoor.Win32.SdBot.bfj

Ikarus T3.1.1.3 15.03.2007 Backdoor.Win32.SdBot.bfj

Kaspersky 4.0.2.24 15.03.2007 Backdoor.Win32.SdBot.bfj

McAfee 4984 14.03.2007 W32/Nirbot.worm

Microsoft 1.2306 15.03.2007 no ha encontrado virus

NOD32v2 2116 14.03.2007 no ha encontrado virus

Norman 5.80.02 14.03.2007 no ha encontrado virus

Panda 9.0.0.4 15.03.2007 W32/Rinbot.J.worm

Prevx1 V2 15.03.2007 Malware.Trojan.Backdoor.Gen

Sophos 4.15.0 13.03.2007 W32/Delbot-T

Sunbelt 2.2.907.0 15.03.2007 no ha encontrado virus

Symantec 10 15.03.2007 W32.IRCBot.BPP

TheHacker 6.1.6.076 15.03.2007 no ha encontrado virus

UNA 1.83 14.03.2007 Backdoor.SdBot.C9B0

VBA32 3.11.2 14.03.2007 BackDoor.IRC.Sdbot.1150

VirusBuster 4.3.7:9 15.03.2007 Backdoor.Vanbot.Gen!Pac





Información adicional

Tamaño archivo: 212480 bytes

MD5: 10515d1369f9c93fe948762f16595396

SHA1: 56da1cfb273ad0e88e184b409d7e39e9f34f308d
[/quote]



o con el ELISTARA se detectan Navipromos que no detecta BitDefender:




[quote]
Su archivo "xxx2_31_.vir" recibido el día 15.03.2007 a las 12:15:16 (CET) está siendo analizado por VirusTotal en estos momentos, los resultados se iran mostrando a continuación.





BitDefender 7.2 15.03.2007 no ha encontrado virus
[/quote]

o esta otra familia que tgampoco detecta el BitDefender y lo detectamos y eliminamos con nuestras utilidades:


[quote]
ESTADO: ANALIZANDOSu archivo "pmmnt_03_.gxe" recibido el día 15.03.2007 a las 12:24:00 (CET) está siendo analizado por VirusTotal en estos momentos, los resultados se iran mostrando a continuación.



Antivirus Version Actualización Resultado

AhnLab-V3 2007.3.15.0 15.03.2007 no ha encontrado virus

AntiVir 7.3.1.43 15.03.2007 TR/Dldr.Zlob.bpn.20

Authentium 4.93.8 14.03.2007 no ha encontrado virus

Avast 4.7.936.0 14.03.2007 no ha encontrado virus

AVG 7.5.0.447 14.03.2007 Downloader.Zlob.IQG

BitDefender 7.2 15.03.2007 no ha encontrado virus

CAT-QuickHeal 9.00 14.03.2007 TrojanDownloader.Zlob.gen
[/quote]

Pero esto es normal, y el que diga que detecta el 100% de los virus, no sabe lo que dice... Todos vamos detectando a medida que se reciben muestras y la estructura y medios de cada empresa es vital para ello.



Aclarado este punto que parecía dudoso, vemos que entre todos ha conseguido solucionar su problema, de lo que nos alegramos y en consecuencia procedemos a cerrar el Tema



Si nos necesita de nuevo ya sabe donde estamos



saludos



ms, 15-03-2007