Archivo sospechoso

Reglas del Foro
Normas Basicas | Los Titulos, dicen mucho | No postear en paralelo | Continua en tu tema | Cierra tu tema, antes de abrir otro | No escribas en temas antiguos
Enlaces a web/mail/blog/Msn NO estan permitidos | Mensajes Privados | Informes de resultados | Antivirus Online
Responder
Sleeth
Mensajes: 2
Registrado: 14 Nov 2008, 20:51

Archivo sospechoso

Mensaje por Sleeth » 14 Nov 2008, 21:07

Nombre de archivo WINDOWS\system32\twlqhk.exe

Última actualización de política No corresponde

Versión

Fecha de última modificación 14/04/2008 1:12:20

Tamaño de archivo 350 KB



Instalé el ZoneAlarm hace poco y este archivo está intentando conectar varias veces a internet. En principio intenta conectar con mis servidores DNS, luego con otros servidores DNS (xq usa el puerto 53 en las conexiones)

También intenta conectar con sitios web q usan otros programas (como con la página de actualización del ESET, algunas páginas q visito con el firefox, etc...)

y a parte muchos intentos a :

IP de destino 65.75.242.60:53

DNS de destino grive495.no-ip.org



El ESET no me lo detecta como virus y no sé realmente si es un virus, recién instalé windows hace una semana y sólo he instalado lo más básico...
Arriba
Avatar de Usuario
lucl
Mensajes: 6324
Registrado: 17 Ene 2006, 18:09
Ubicación: España
Contactar:
Contactar lucl

Re: Archivo sospechoso

Mensaje por lucl » 14 Nov 2008, 22:31

Haz lo mas rapido, subelo a analizar a virustotal y nos pegas el log resultante, si da virico le cambias la extension final por .VIR y nos lo envias para analizarlo y darte la herramienta correspondiente. Saludos





http//www.virustotal.com/es



https://foros.zonavirus.com/viewtopic.php?f=2&t=45334
Arriba
Sleeth
Mensajes: 2
Registrado: 14 Nov 2008, 20:51

Re: Archivo sospechoso

Mensaje por Sleeth » 25 Nov 2008, 23:02

Bueno, aquí dejo el log y ahora os enviaré el archivo, aunq creo q no sería difícil borrarlo y punto, pero quería asegurarme q no fuera nada relevante de algún programa o de windows. Muchas gracias por todo de antemano.



Análisis del archivo [b]twlqhk.exe[/b] recibido el [b]25.11.2008 22:52:42 (CET)[/b]

Resultado: [b][color=#FF0000]2[/color]/37 (5.41%)[/b]



[b]Motor antivirus Versión Última actualización Resultado[/b]

AhnLab-V3 2008.11.24.3 2008.11.25 -

AntiVir 7.9.0.35 2008.11.25 -

Authentium 5.1.0.4 2008.11.25 -

Avast 4.8.1281.0 2008.11.25 -

[color=red]AVG 8.0.0.199 2008.11.25 BackDoor.Bifrose.AZJ[/color]

BitDefender 7.2 2008.11.25 -

CAT-QuickHeal 10.00 2008.11.25 -

ClamAV 0.94.1 2008.11.25 -

DrWeb 4.44.0.09170 2008.11.25 -

eSafe 7.0.17.0 2008.11.25 -

eTrust-Vet 31.6.6227 2008.11.25 -

Ewido 4.0 2008.11.25 -

F-Prot 4.4.4.56 2008.11.25 -

F-Secure 8.0.14332.0 2008.11.25 -

Fortinet 3.117.0.0 2008.11.25 -

GData 19 2008.11.25 -

Ikarus T3.1.1.45.0 2008.11.25 -

K7AntiVirus 7.10.533 2008.11.25 -

Kaspersky 7.0.0.125 2008.11.25 -

McAfee 5445 2008.11.25 -

McAfee+Artemis 5445 2008.11.25 -

Microsoft 1.4104 2008.11.25 -

NOD32 3640 2008.11.25 -

Norman 5.80.02 2008.11.25 -

[color=red]Panda 9.0.0.4 2008.11.25 Suspicious file[/color]

PCTools 4.4.2.0 2008.11.25 -

Prevx1 V2 2008.11.25 -

Rising 21.05.12.00 2008.11.25 -

SecureWeb-Gateway 6.7.6 2008.11.25 -

Sophos 4.35.0 2008.11.25 -

Sunbelt 3.1.1823.2 2008.11.22 -

Symantec 10 2008.11.25 -

TheHacker 6.3.1.1.163 2008.11.25 -

TrendMicro 8.700.0.1004 2008.11.25 -

VBA32 3.12.8.9 2008.11.25 -

ViRobot 2008.11.25.1485 2008.11.25 -

VirusBuster 4.5.11.0 2008.11.25 -

[b]Información adicional[/b]

Tamano archivo: 358504 bytes

MD5...: 7fac65d25452a5e39f569096923049e9

SHA1..: 05358f13bbcbf1d5d76c92402d6638adf89f316e

SHA256: 27f095a12d4560f95690d4b0bef366677400e7bd3b3939d64ffebb9243d15fd3

SHA512: e9f557c317d4fcf4f25e73a11a3c1a5da852ec5af39bc3403048ee37bee4d67a

62ef8bc53020876403f51068787acbf53783fbf6df283093b3f8625c298a7754

ssdeep: 6144:qwtfjKHA3gaRhZDKP4P+XeKHAcu18raZapfrFA3lB7:RqA3gaRhdKP4PAeK

g71UaZUfrG3

PEiD..: -

TrID..: File type identification

Win32 Executable Generic (68.0%)

Generic Win/DOS Executable (15.9%)

DOS Executable Generic (15.9%)

Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%)

PEInfo: PE Structure information



( base data )

entrypointaddress.: 0x401090

timedatestamp.....: 0x48ff9908 (Wed Oct 22 21:20:08 2008)

machinetype.......: 0x14c (I386)



( 3 sections )

name viradd virsiz rawdsiz ntrpy md5

.text 0x1000 0x2e9c 0x3000 4.74 790ecd893786aa8626f597c2d928f23e

.data 0x4000 0x450 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e

.rsrc 0x5000 0x10 0x1000 0.01 5531f91039790bd2847aaa378f367909



( 1 imports )

> MSVBVM60.DLL: -, -, DllFunctionCall, __vbaExceptHandler, -, -, -, ProcCallEngine, -, -, -, -, -



( 0 exports )
Arriba
Avatar de Usuario
msc hotline sat
Mensajes: 93500
Registrado: 09 Mar 2004, 20:39
Ubicación: BARCELONA (ESPAÑA)
Contactar:
Contactar msc hotline sat

Re: Archivo sospechoso

Mensaje por msc hotline sat » 26 Nov 2008, 08:56

Solo [b][i]"Resultado: 2/37 (5.41%)"[/i][/b], pero si dices que te da problemas, puede ser incipiente y aun no ser conocido .



Tras renombrarlo a extension .VIR, como indica lucl, renvainoslo para analizar e informaremos:



[b]¿Como enviar las muestras a zonavirus? - Para ello recordar[/b]:

https://foros.zonavirus.com/viewtopic.php?f=5&t=14253



saludos



ms, 26-11-2008
Arriba
Responder

Volver a “Foro Virus - Cuentanos tu problema”