Internet me va muy lento

[vercetty]

Desde hace unos dias q pues en mi pc un pen drive infectado, internet me va muy lento, pero unicamente internet el ordenador en si va rapido, el explorer ni si quiera conecta y el mozilla si pero muy muy lento y al rato se desconecta.



he desactivado restaurar sistema, mostrado archivos ocultos, y en el modo seguro le he pasado el NOD32, y mas programas como ccleaner, adware, superantispyware y malewarebyte, he quitado todas las amenazas que aparecian pero sigue sin ir bien internet, q hago?

[msc hotline sat]

Para evitar la propagacion de virus de pendrive, conocidos y desconocidos, vacuna ordenador y pendrives cpon el ELIPEN:







Y vacune el ordenador y todas sus unidades de disco y pendrive con el ELIPEN:



[b]ELIPEN.EXE[/b]

http://www.zonavirus.com/descargas/elipen.asp



Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso





Y por si fuera algun malware ya conocido, prueba el ELISTARA:




[quote]
[b] ELISTARA: [/b]

http://www.zonavirus.com/descargas/elistara.asp



Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso
[/quote]



saludos



ms, 24-11-2008

[vercetty]

he hecho lo q me has dicho ya me funciona internet bien, pero creo q sigo teniendo virus pq la gente del msn me dice que les mando archivos extraños y a veces me salta el NOD32 detectando virus, por ejemplo ahora despues de reiniciar el pc me ha salido esta alerta:



archivo: c:\a.bat

codigo malicioso: REG/Zapchast (troyano)

Suceso ocurrido cuando se produjo un intento de crear un archivo por la aplicación C:\WINDOWS\system32\win32avs.exe. El archivo ha sido movido a la carpeta Cuarentena. Puede cerrar esta ventana.





q hago ahora?



Mon Nov 24 21:12:56 2008

EliPen v1.8 (c)2008 S.G.H. / Satinfo S.L.

------------------------------------------



Unidad C:\ Protegida



Tue Nov 25 02:40:43 2008

EliStartPage v17.48 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 24 de Noviembre del 2008)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

(Valor Run y RunServices "APPLICATION LAYER GATEWAY SERVICE")

Por favor, envienos una muestra del fichero

C:\WINDOWS\SYSTEM32\test32.exe

a "virus@satinfo.es". Gracias.

(Valor Run y RunServices "WINDOWS KLASS LOADER")

Por favor, envienos una muestra del fichero

C:\WINDOWS\SYSTEM32\syslog.exe

a "virus@satinfo.es". Gracias.

Eliminada Carpeta "%Application Data%\HbTools"



Wed Nov 26 01:41:47 2008

EliPen v1.8 (c)2008 S.G.H. / Satinfo S.L.

------------------------------------------



Unidad F:\ Protegida



Wed Nov 26 02:22:05 2008

EliPen v1.8 (c)2008 S.G.H. / Satinfo S.L.

------------------------------------------



Unidad J:\ YA esta Protegida



Thu Nov 27 01:25:02 2008

EliStartPage v17.48 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 24 de Noviembre del 2008)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

(Valor Run y RunServices "APPLICATION LAYER GATEWAY SERVICE")

Por favor, envienos una muestra del fichero

C:\WINDOWS\SYSTEM32\test32.exe

a "virus@satinfo.es". Gracias.

(Valor Run y RunServices "WINDOWS KLASS LOADER")

Por favor, envienos una muestra del fichero

C:\WINDOWS\SYSTEM32\syslog.exe

a "virus@satinfo.es". Gracias.

(Valor Run y RunServices "WINDOWS ANTI-VIRUS SERVICE")

Por favor, envienos una muestra del fichero

C:\WINDOWS\SYSTEM32\win32avs.exe

a "virus@satinfo.es". Gracias.

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Thu Nov 27 01:26:00 2008

EliStartPage v17.48 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 24 de Noviembre del 2008)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\Archivos de programa\Chami\HTML-Kit\Plugins\TAGS.DLL --> Eliminado, Puper-Is

C:\Archivos de programa\MessengerPlus! 3\MSGPLUS.EXE --> Eliminado, MessengerPlus

C:\Archivos de programa\MessengerPlus! 3\MSGPLUS1.EXE --> Eliminado, MessengerPlus

C:\Documents and Settings\Javi\Configuración local\Datos de programa\Windows Live Writer\ResourceCache\WindowsLive\Writer\CoreServices\Marketization\MASTER.XML --> Eliminado, MalWare.Celular

C:\Documents and Settings\Javi\Mis documentos\POLITÉCNICO\Nueva carpeta (3)\Nueva carpeta (2)\Programas\MATINS20SHSOF.EXE --> Eliminado, P2PAdware.A

C:\WINDOWS\pchealth\helpctr\DataColl\COLLECTEDDATA_26196.XML --> Eliminado, BlackStone(BHO)



Nº Total de Directorios: 7926

Nº Total de Ficheros: 104601

Nº de Ficheros Analizados: 26447

Nº de Ficheros Infectados: 6

Nº de Ficheros Limpiados: 6

[msc hotline sat]

Esto que dice de


[quote]archivo: c:\a.bat

codigo malicioso: REG/Zapchast (troyano)

Suceso ocurrido cuando se produjo un intento de crear un archivo por la aplicación C:\WINDOWS\system32\win32avs.exe. El archivo ha sido movido a la carpeta Cuarentena. Puede cerrar esta ventana.[/quote]

huele a alguna variante de ONLINE GAMES, de las que cada día implementamos en las nuevas versiones del ELISTARA



pero vemos que el ELISTARA, a pesar de usar una version anticuada (ya hay la 17.50 y siempre se ha de usar la ultima !), dice:



Por favor, envienos una muestra del fichero

[b][i]C:\WINDOWS\SYSTEM32\test32.exe[/i][/b]



Por favor, envienos una muestra del fichero

[b][i]C:\WINDOWS\SYSTEM32\syslog.exe[/i][/b]



Por favor, envienos una muestra del fichero

[b][i]C:\WINDOWS\SYSTEM32\win32avs.exe[/i][/b]



lo has hecho ???



Sino hazlo como indicamos en:



[b]¿Como enviar las muestras a zonavirus? - Para ello recordar[/b]:

https://foros.zonavirus.com/viewtopic.php?f=5&t=14253





saludos



ms, 27-11-2008

[vercetty]

he enviado la muestra de test32.exe los otros dos no los he encontrado, quizas los haya eliminado el elistara

[msc hotline sat]

Hoy la línea del ELITRIIP ha estado ocupada con el Conficker por urgencias de clientes, y este test32.exe se monitorizará mañana.



En la linea del ELISTARA, con la que controlamos los ONLINE GAMES hubiera habido entrada pero parece que los que tenias de dicha familia ya se controlaron y eliminaron



lmañana seguiremos



ms.

[msc hotline sat]

Analizada la muestra recibida, pasamos a implementar su control y eliminacion en el ELITRIIP de hoy 5.32




[quote]


[b] ELITRIIP: [/b]

http://www.zonavirus.com/descargas/elitriip.asp



Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso


[/quote]



saludos



ms, 28-11-2008

[vercetty]

Hola, tras hacer todo lo que me han dicho el ordenador ha vuelto a funcionar con normalidad, pero hoy ha otra vez han empezado los mismos sintomas de la otra vez, internet no conecta o va muy lento. Y siempre que reinicio me sale un mensaje de alerta del nod32 alertandome del archivo c:/a.bat, este archivo no lo encuentro. les pongo el infosat completo.

saludos



Mon Nov 24 21:12:56 2008

EliPen v1.8 (c)2008 S.G.H. / Satinfo S.L.

------------------------------------------



Unidad C:\ Protegida



Tue Nov 25 02:40:43 2008

EliStartPage v17.48 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 24 de Noviembre del 2008)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

(Valor Run y RunServices "APPLICATION LAYER GATEWAY SERVICE")

Por favor, envienos una muestra del fichero

C:\WINDOWS\SYSTEM32\test32.exe

a "virus@satinfo.es". Gracias.

(Valor Run y RunServices "WINDOWS KLASS LOADER")

Por favor, envienos una muestra del fichero

C:\WINDOWS\SYSTEM32\syslog.exe

a "virus@satinfo.es". Gracias.

Eliminada Carpeta "%Application Data%\HbTools"



Wed Nov 26 01:41:47 2008

EliPen v1.8 (c)2008 S.G.H. / Satinfo S.L.

------------------------------------------



Unidad F:\ Protegida



Wed Nov 26 02:22:05 2008

EliPen v1.8 (c)2008 S.G.H. / Satinfo S.L.

------------------------------------------



Unidad J:\ YA esta Protegida



Thu Nov 27 01:25:02 2008

EliStartPage v17.48 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 24 de Noviembre del 2008)

--------------------------------------------------

Lista de Acciones (por Acción Directa):

(Valor Run y RunServices "APPLICATION LAYER GATEWAY SERVICE")

Por favor, envienos una muestra del fichero

C:\WINDOWS\SYSTEM32\test32.exe

a "virus@satinfo.es". Gracias.

(Valor Run y RunServices "WINDOWS KLASS LOADER")

Por favor, envienos una muestra del fichero

C:\WINDOWS\SYSTEM32\syslog.exe

a "virus@satinfo.es". Gracias.

(Valor Run y RunServices "WINDOWS ANTI-VIRUS SERVICE")

Por favor, envienos una muestra del fichero

C:\WINDOWS\SYSTEM32\win32avs.exe

a "virus@satinfo.es". Gracias.

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Thu Nov 27 01:26:00 2008

EliStartPage v17.48 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 24 de Noviembre del 2008)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando Unidad C:\

C:\Archivos de programa\Chami\HTML-Kit\Plugins\TAGS.DLL --> Eliminado, Puper-Is

C:\Archivos de programa\MessengerPlus! 3\MSGPLUS.EXE --> Eliminado, MessengerPlus

C:\Archivos de programa\MessengerPlus! 3\MSGPLUS1.EXE --> Eliminado, MessengerPlus

C:\Documents and Settings\Javi\Configuración local\Datos de programa\Windows Live Writer\ResourceCache\WindowsLive\Writer\CoreServices\Marketization\MASTER.XML --> Eliminado, MalWare.Celular

C:\Documents and Settings\Javi\Mis documentos\POLITÉCNICO\Nueva carpeta (3)\Nueva carpeta (2)\Programas\MATINS20SHSOF.EXE --> Eliminado, P2PAdware.A

C:\WINDOWS\pchealth\helpctr\DataColl\COLLECTEDDATA_26196.XML --> Eliminado, BlackStone(BHO)



Nº Total de Directorios: 7926

Nº Total de Ficheros: 104601

Nº de Ficheros Analizados: 26447

Nº de Ficheros Infectados: 6

Nº de Ficheros Limpiados: 6



Fri Nov 28 15:49:18 2008

EliTriIP v5.32 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 28 de Noviembre del 2008)

---------------------------------------------

Lista de Acciones (por Acción Directa):

(Valor Run y RunServices "WINDOWS ANTI-VIRUS SERVICE")

Por favor, envienos una muestra del fichero

C:\WINDOWS\SYSTEM32\win32avs.exe

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\TEST32.EXE --> Renombrado a .VIR

C:\WINDOWS\SYSTEM32\SYSLOG.EXE --> Renombrado a .VIR

Entrada Eliminada [HKLM\...\Run] "APPLICATION LAYER GATEWAY SERVICE"="test32.exe"

Entrada Eliminada [HKLM\...\RunServices] "APPLICATION LAYER GATEWAY SERVICE"="test32.exe"

Entrada Eliminada [HKLM\...\Run] "WINDOWS KLASS LOADER"="syslog.exe"

Entrada Eliminada [HKLM\...\RunServices] "WINDOWS KLASS LOADER"="syslog.exe"

Reinicie para Completar la Limpieza.



Fri Nov 28 15:50:01 2008

EliTriIP v5.32 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 28 de Noviembre del 2008)

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"



Nº Total de Directorios: 5531

Nº Total de Ficheros: 70737

Nº de Ficheros Analizados: 9473

Nº de Ficheros Infectados: 0

Nº de Ficheros Limpiados: 0

Exploración Detenida por el Usuario.



Fri Nov 28 20:42:19 2008

EliTriIP v5.32 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 28 de Noviembre del 2008)

---------------------------------------------

Lista de Acciones (por Acción Directa):

(Valor Run y RunServices "WINDOWS ANTI-VIRUS SERVICE")

Por favor, envienos una muestra del fichero

C:\WINDOWS\SYSTEM32\win32avs.exe

a "virus@satinfo.es". Gracias.



Fri Nov 28 21:18:07 2008

EliTriIP v5.32 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 28 de Noviembre del 2008)

---------------------------------------------

Lista de Acciones (por Acción Directa):

(Valor Run y RunServices "WINDOWS ANTI-VIRUS SERVICE")

Por favor, envienos una muestra del fichero

C:\WINDOWS\SYSTEM32\win32avs.exe

a "virus@satinfo.es". Gracias.



Fri Nov 28 21:18:13 2008

EliTriIP v5.32 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 28 de Noviembre del 2008)

---------------------------------------------

Lista de Acciones (por Exploración):

Explorando "C:\"

C:\WINDOWS\winuser32.exe --> Acceso Denegado, Malware.Alg32 (Reiniciar para completar la Limpieza)

C:\WINDOWS\system32\msmsg32.exe --> Eliminado, Malware.Alg32

C:\WINDOWS\system32\msmsgr32.exe --> Eliminado, Malware.Alg32

C:\WINDOWS\system32\syslog.exe.VIR --> Eliminado, Malware.Alg32

C:\WINDOWS\system32\test32.exe --> Eliminado, Malware.Alg32

C:\WINDOWS\system32\z0m.exe --> Eliminado, Malware.Alg32



Nº Total de Directorios: 7928

Nº Total de Ficheros: 104656

Nº de Ficheros Analizados: 24960

Nº de Ficheros Infectados: 6

Nº de Ficheros Limpiados: 5



Sat Dec 06 18:30:33 2008

EliPen v1.8 (c)2008 S.G.H. / Satinfo S.L.

------------------------------------------



Unidad N:\ Protegida



Unidad N:\ YA esta Protegida



el archivo win32avs no lo encuentro y eso q tengo los archivos ocultos mostrados

[msc hotline sat]

Pues prueba el ELIMOVER y le entras C:\WINDOWS\SYSTEM32\win32avs.exe





ELIMOVER

http://www.zonavirus.com/descargas/elimover.asp





Y luego miras si en C:\muestras aparece dicho fichero y nos lo envias



Y ten en cuenta que siempre se ha de probar la última version de nuestras utilidades, y la que estas usando de ELITRIIP está sobrepasada... (ya estamos 4 versiones mas arriba)





saludos



ms, 13-12-2008

[vercetty]

Ya os he enviado el win32avs.exe

Tambien estoy pasando el eliitara y eliitrip

[msc hotline sat]

Pues el lunes, cuando entremos a trabajar en SATINFO, lo encontraremos y analizaremos



Mientras, si ha utilizado el ELIMOVER, ya esta aparcado (o debería...), y ahora tras reiniciar el ordenador no se pondrá en uso y puede que ya baya normal.



Informenos al respecto, y suba dicho fichero al VirusTotal y posteenos el informe resultante:



www.virustotal.com/es



saludos



ms, 13-12-2008

[vercetty]

el elimover no es capaz de renombrarlo a .vir



este es el resultado



Análisis del archivo win32avs.exe.Muestra_EliMover_v1. recibido el 14.12.2008 19:16:30 (CET)Motor antivirus Versión Última actualización Resultado

AhnLab-V3 2008.12.12.2 2008.12.14 -

AntiVir 7.9.0.45 2008.12.12 TR/Crypt.XPACK.Gen

Authentium 5.1.0.4 2008.12.13 -

Avast 4.8.1281.0 2008.12.14 Win32:EggDrop-AC

AVG 8.0.0.199 2008.12.14 -

BitDefender 7.2 2008.12.14 -

CAT-QuickHeal 10.00 2008.12.13 (Suspicious) - DNAScan

ClamAV 0.94.1 2008.12.14 Trojan.Agent-35467

Comodo 754 2008.12.14 -

DrWeb 4.44.0.09170 2008.12.14 -

eSafe 7.0.17.0 2008.12.14 -

eTrust-Vet 31.6.6258 2008.12.12 -

Ewido 4.0 2008.12.14 -

F-Prot 4.4.4.56 2008.12.14 -

F-Secure 8.0.14332.0 2008.12.14 -

Fortinet 3.117.0.0 2008.12.14 suspicious

GData 19 2008.12.14 -

Ikarus T3.1.1.45.0 2008.12.14 Trojan.Crypt.XPACK

K7AntiVirus 7.10.553 2008.12.13 -

Kaspersky 7.0.0.125 2008.12.14 -

McAfee 5463 2008.12.13 -

McAfee+Artemis 5463 2008.12.13 -

Microsoft 1.4205 2008.12.14 -

NOD32 3690 2008.12.14 -

Norman 5.80.02 2008.12.12 -

Panda 9.0.0.4 2008.12.14 Suspicious file

PCTools 4.4.2.0 2008.12.14 -

Prevx1 V2 2008.12.14 -

Rising 21.07.62.00 2008.12.14 Backdoor.Win32.Rbot.GEN

SecureWeb-Gateway 6.7.6 2008.12.12 Trojan.Crypt.XPACK.Gen

Sophos 4.36.0 2008.12.14 -

Sunbelt 3.2.1801.2 2008.12.11 -

Symantec 10 2008.12.14 W32.Spybot.Worm

TheHacker 6.3.1.4.187 2008.12.13 -

TrendMicro 8.700.0.1004 2008.12.12 -

VBA32 3.12.8.10 2008.12.14 -

ViRobot 2008.12.12.1515 2008.12.12 -

VirusBuster 4.5.11.0 2008.12.14 Backdoor.RBot.AEJR



Información adicional

Tamano archivo: 770048 bytes

MD5...: ae349a7b7c0ac182733b2a28f02cc235

SHA1..: dedbd1166c909f99b4a38b2f5f7b464a0be6500b

SHA256: 0675e2770c65b9692470a39e384416ed3811be05d5cb9a38fb8e000a32f59412

SHA512: 75da1b6bf1792643d4abb6b1d17552dbdbbb788b9629ee978f962c58247a3497<BR>1b9cb4a4e4f2d8f470116ea88bfbc51fb7d3a70d5cc4ee1ebec57e745113befa<BR>

ssdeep: 12288:PoxXUHnWIwcwacTC1NNaWekJqRl7k86fpgBDDJrS7LE9HTFIUYVRSs5K4k<BR>Qz1Tu7:wxXUHnWIw/i4WPJS7kF6lDJqLGT4RSs+<BR>

PEiD..: -

TrID..: File type identification<BR>Generic Win/DOS Executable (49.9%)<BR>DOS Executable Generic (49.8%)<BR>Autodesk FLIC Image File (extensions: flc, fli, cel) (0.1%)

PEInfo: PE Structure information<BR><BR>( base data )<BR>entrypointaddress.: 0x56d000<BR>timedatestamp.....: 0x4928d9e5 (Sun Nov 23 04:19:49 2008)<BR>machinetype.......: 0x14c (I386)<BR><BR>( 8 sections )<BR>name viradd virsiz rawdsiz ntrpy md5<BR>.text 0x1000 0x22a80 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e<BR>.rdata 0x24000 0x1c5c 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e<BR>.data 0x26000 0xf5740 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e<BR>.sxdata 0x11c000 0x18 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e<BR>.text1 0x11d000 0x50000 0x42000 7.97 df4d03104b843df20475f0d41c4a14de<BR>.adata 0x16d000 0x10000 0xd000 7.01 b35a1188353970c293d3ad6de09df1cb<BR>.data1 0x17d000 0x20000 0xb000 3.71 a1b77874f325b010ebc902cdc4656d51<BR>.pdata 0x19d000 0x70000 0x61000 8.00 34442278a1ea1106c145e756e6ea9906<BR><BR>( 3 imports ) <BR>> KERNEL32.dll: CreateThread, GlobalUnlock, GlobalLock, GlobalAlloc, GetTickCount, WideCharToMultiByte, IsBadReadPtr, GlobalAddAtomA, GlobalAddAtomW, GetModuleHandleA, GlobalFree, GlobalGetAtomNameA, GlobalDeleteAtom, GlobalGetAtomNameW, FreeConsole, GetEnvironmentVariableA, VirtualProtect, VirtualAlloc, GetProcAddress, GetLastError, LoadLibraryA, SetLastError, SetThreadPriority, GetCurrentThread, CreateProcessA, GetCommandLineA, GetStartupInfoA, SetEnvironmentVariableA, ReleaseMutex, WaitForSingleObject, CreateMutexA, OpenMutexA, GetCurrentThreadId, CreateFileA, FindClose, FindFirstFileA, FindFirstFileW, VirtualQueryEx, GetExitCodeProcess, ReadProcessMemory, UnmapViewOfFile, ContinueDebugEvent, SetThreadContext, GetThreadContext, WaitForDebugEvent, SuspendThread, DebugActiveProcess, ResumeThread, CreateProcessW, GetCommandLineW, GetStartupInfoW, CloseHandle, DuplicateHandle, GetCurrentProcess, CreateFileMappingA, VirtualProtectEx, WriteProcessMemory, ExitProcess, FlushFileBuffers, WriteConsoleW, GetConsoleOutputCP, WriteConsoleA, SetStdHandle, GetConsoleMode, GetConsoleCP, SetFilePointer, GetLocaleInfoA, GetStringTypeW, GetStringTypeA, LCMapStringW, MultiByteToWideChar, LCMapStringA, HeapSize, HeapReAlloc, QueryPerformanceCounter, VirtualFree, HeapCreate, HeapDestroy, GetFileType, SetHandleCount, GetEnvironmentStringsW, FreeEnvironmentStringsW, GetEnvironmentStrings, FreeEnvironmentStringsA, RtlUnwind, DeleteCriticalSection, GetStdHandle, WriteFile, TlsFree, TlsSetValue, TlsAlloc, TlsGetValue, Sleep, EnterCriticalSection, LeaveCriticalSection, GetVersionExA, InitializeCriticalSection, GetCurrentProcessId, GetModuleFileNameW, GetShortPathNameW, GetModuleFileNameA, MapViewOfFile, GetShortPathNameA, GetSystemTimeAsFileTime, HeapFree, HeapAlloc, GetProcessHeap, RaiseException, TerminateProcess, UnhandledExceptionFilter, SetUnhandledExceptionFilter, IsDebuggerPresent, GetCPInfo, InterlockedIncrement, InterlockedDecrement, GetACP, GetOEMCP, IsValidCodePage<BR>> USER32.dll: GetDesktopWindow, MoveWindow, SetPropA, EnumThreadWindows, GetPropA, GetMessageA, GetSystemMetrics, SetTimer, GetAsyncKeyState, KillTimer, BeginPaint, EndPaint, SetWindowTextA, GetDlgItem, CreateDialogIndirectParamA, ShowWindow, UpdateWindow, LoadStringA, LoadStringW, FindWindowA, WaitForInputIdle, MessageBoxA, InSendMessage, UnpackDDElParam, FreeDDElParam, DefWindowProcA, LoadCursorA, RegisterClassW, CreateWindowExW, RegisterClassA, CreateWindowExA, GetWindowThreadProcessId, SendMessageW, SendMessageA, PeekMessageA, TranslateMessage, DispatchMessageA, EnumWindows, IsWindowUnicode, PackDDElParam, PostMessageW, PostMessageA, IsWindow, DestroyWindow<BR>> GDI32.dll: CreateDCA, CreateDIBitmap, CreateCompatibleDC, SelectObject, SelectPalette, RealizePalette, BitBlt, DeleteDC, DeleteObject, CreatePalette<BR><BR>( 0 exports ) <BR>

packers (Kaspersky): Armadillo

packers (Avast): Armadillo

packers (F-Prot): Armadillo

[msc hotline sat]

Pues Bingo ! hay 11 detecciones y parece ser un virus de IRC, dado que varios le llaman RBOT y SPYBOT, nombre con el que algunos identifican este tipo de gusanos.



Mañana, cuando entremos a trabajar en SATINFO, lo analizaremos y si es lo que parece, implementaremos sun control y eliminacion en la nueva version que haremos del ELITRIIP, que es la utilidad con la que controlamos este tipo de malwares.



Si bien ya lo hemos aparcado con el ELIMOVER, pueden haber otros "compañeros" que controlaremos con dicha utilidad (si es el caso que existan). Mañana, a partir de las 19 h, descarga la nueva version de dicha utilidad y tras probarla, posteanos el resultado e informanos si ya no persisten anomalias.



saludos



ms, 14-12-2008