Hola nuevamente.
Logre escanear con el VirusTotal los archivos que faltaban y anteriormente indicaste.
Estos son los reportes:
Análisis del archivo videop2k.sys recibido el 16.05.2008 06:16:36 (CET)
Estado actual: Cargando ... en cola en espera en proceso análisis terminado NO ENCONTRADO DETENIDO
Resultado: 0/32 (0%)
Cargando información del servidor..
Su archivo se encuentra encolado en la posición: 1.
Se estima que tendrá que esperar entre 37 y 53 segundos
hasta el comienzo del análisis.
No cierre la ventana hasta se haya completado el análisis.
El analizador que estaba procesando su muestra se encuentra detenido,
se va a esperar unos segundos por si fuera posible recuperar el resultado.
Si lleva esperando varios minutos necesitará reenviar su archivo de nuevo.
Su archivo está siendo analizado por VirusTotal en estos momentos,
los resultados se iran mostrando a continuación.
Compactar Imprimir resultados
La muestra ha caducado o no existe.
El sistema se encuentra detenido en estos momentos, su muestra se encuentra a la espera de ser analizada (posicion: ) por un tiempo indefinido.
Usted puede continuar esperando la respuesta por web (se recargará automaticamente) o bien introducir su email en el siguiente formulario y pulsar el botón "solicitar" para que la respuesta le sea automaticamente remitida por correo electrónico.
Email:
Motor antivirus Versión Última actualización Resultado
AhnLab-V3 2008.5.10.0 2008.05.13 -
AntiVir 7.8.0.17 2008.05.13 -
Authentium 5.1.0.4 2008.05.14 -
Avast 4.8.1169.0 2008.05.12 -
AVG 7.5.0.516 2008.05.13 -
BitDefender 7.2 2008.05.08 -
CAT-QuickHeal 9.50 2008.05.12 -
ClamAV 0.92.1 2008.05.13 -
DrWeb 4.44.0.09170 2008.05.13 -
eSafe 7.0.15.0 2008.05.12 -
eTrust-Vet 31.4.5784 2008.05.13 -
Ewido 4.0 2008.05.13 -
F-Prot 4.4.2.54 2008.05.13 -
F-Secure 6.70.13260.0 2008.05.13 -
Fortinet 3.14.0.0 2008.05.13 -
GData 2.0.7306.1023 2008.05.14 -
Ikarus T3.1.1.26.0 2008.05.13 -
Kaspersky 7.0.0.125 2008.05.13 -
McAfee 5293 2008.05.12 -
Microsoft 1.3408 2008.05.13 -
NOD32v2 3095 2008.05.13 -
Norman 5.80.02 2008.05.09 -
Panda 9.0.0.4 2008.05.12 -
Prevx1 V2 2008.05.16 -
Rising 20.44.12.00 2008.05.13 -
Sophos 4.29.0 2008.05.13 -
Sunbelt 3.0.1114.0 2008.05.12 -
Symantec 10 2008.05.13 -
TheHacker 6.2.92.309 2008.05.13 -
VBA32 3.12.6.6 2008.05.13 -
VirusBuster 4.3.26:9 2008.05.12 -
Webwasher-Gateway 6.6.2 2008.05.13 -
Información adicional
Tamano archivo: 518144 bytes
MD5...: fb47a4bd63623d8d78e2b7a8c994d067
SHA1..: 87e1e84852a0ae184f748f536b975125fb54ee36
SHA256: 2ddbfa6961930ff457ba8b677512b6dcd3a3ae412c82e08581 df3563445187a1
SHA512: 47c48633f7b6de92546d6aa63dd5cfef4ebae0e413f04ef8d1 bc0a21a01b5f15
0ecf5aa465bfc7231b5e1c3c51a576280fd085bdac32c811a5 a7d4006fe26316
PEiD..: -
PEInfo: PE Structure information
( base data )
entrypointaddress.: 0x6e005
timedatestamp.....: 0x480386d5 (Mon Apr 14 16:31:17 2008)
machinetype.......: 0x14c (I386)
( 6 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x3a2e4 0x3a400 6.04 6fdb223e9d07eec57af9e08edafc311e
.rdata 0x3c000 0x3c44 0x3e00 6.89 9f59b2cd7317914e9b18ebedd9e40925
.data 0x40000 0x1d080 0xa800 5.17 bb7d118f32006d3c6897e0d794f5b33a
INIT 0x5e000 0xe54 0x1000 5.36 405c37c2fb9fe66253e26cc21acb18f9
.rsrc 0x5f000 0x322f8 0x32400 8.00 777479c5387fb2dd61007dd3d9970bd2
.reloc 0x92000 0x2428 0x2600 5.74 118f93f993b00f9307ba81d7a28537ed
( 2 imports )
> ntoskrnl.exe: ZwWriteFile, ZwReadFile, ZwQueryInformationFile, RtlCompareMemory, KeQueryTimeIncrement, KeTickCount, _allmul, ExSystemTimeToLocalTime, KeQuerySystemTime, memcpy, RtlFreeAnsiString, RtlUnicodeStringToAnsiString, RtlInitUnicodeString, ObfDereferenceObject, PsLookupProcessByProcessId, _except_handler3, ZwAllocateVirtualMemory, ZwOpenProcess, ZwFreeVirtualMemory, KeWaitForSingleObject, memset, KeDetachProcess, ObReferenceObjectByHandle, KeAttachProcess, MmMapLockedPagesSpecifyCache, KeDelayExecutionThread, RtlCopyUnicodeString, PsCreateSystemThread, RtlAppendUnicodeStringToString, RtlAppendUnicodeToString, RtlIntegerToUnicodeString, KeSetEvent, ZwNotifyChangeKey, KeCancelTimer, KeSetTimerEx, _wcsicmp, ZwQuerySymbolicLinkObject, ZwOpenSymbolicLinkObject, memmove, RtlTimeToTimeFields, IoFreeMdl, MmBuildMdlForNonPagedPool, IoAllocateMdl, MmUnmapLockedPages, MmUnsecureVirtualMemory, DbgPrint, ObQueryNameString, RtlCompareUnicodeString, RtlFreeUnicodeString, RtlStringFromGUID, ExUuidCreate, strstr, IofCallDriver, IoBuildDeviceIoControlRequest, KeInitializeEvent, IoGetDeviceObjectPointer, MmUnlockPages, MmProbeAndLockProcessPages, NtAllocateVirtualMemory, KeInsertQueueApc, KeInitializeApc, PsLookupThreadByThreadId, PsGetCurrentThreadId, ExAllocatePool, ZwCreateFile, KeResetEvent, MmIsAddressValid, KeServiceDescriptorTable, KeAddSystemServiceTable, PsGetCurrentProcessId, ExGetPreviousMode, ZwOpenKey, ZwEnumerateKey, ZwQueryValueKey, ZwDeleteKey, ZwSetValueKey, ExfInterlockedInsertTailList, NtAddAtom, MmProbeAndLockPages, RtlAnsiStringToUnicodeString, RtlInitAnsiString, RtlInitString, RtlCompareString, KeLeaveCriticalRegion, ExReleaseResourceLite, ExAcquireResourceExclusiveLite, KeEnterCriticalRegion, InitSafeBootMode, PsGetVersion, IofCompleteRequest, ExfInterlockedInsertHeadList, IoDeleteDevice, IoCreateSymbolicLink, IoRegisterShutdownNotification, IoCreateDevice, ExRegisterCallback, ExCreateCallback, KeInitializeTimerEx, KeClearEvent, IoCreateNotificationEvent, PsSetLoadImageNotifyRoutine, PsSetCreateThreadNotifyRoutine, PsSetCreateProcessNotifyRoutine, ExInitializeResourceLite, IoDetachDevice, PoCallDriver, PoStartNextPowerIrp, RtlAssert, PsTerminateSystemThread, KeWaitForMultipleObjects, KeReleaseMutex, KeReadStateEvent, ExfInterlockedRemoveHeadList, ExUnregisterCallback, sprintf, ExIsResourceAcquiredExclusiveLite, ExAcquireResourceSharedLite, ExIsResourceAcquiredSharedLite, IoGetRelatedDeviceObject, ZwOpenFile, ZwWaitForSingleObject, ZwQueryDirectoryFile, ZwCreateEvent, RtlEqualUnicodeString, KeBugCheckEx, ZwSetInformationFile, ZwClose, wcsncpy, ExFreePoolWithTag, IoCreateSynchronizationEvent, ExAllocatePoolWithTag
> HAL.dll: KfReleaseSpinLock, KeGetCurrentIrql, ExAcquireFastMutex, ExReleaseFastMutex, KfAcquireSpinLock
( 0 exports )
packers (Kaspersky): PE_Patch
Análisis del archivo PnPsvr.exe recibido el 16.05.2008 05:38:19 (CET)
Estado actual: Cargando ... en cola en espera en proceso análisis terminado NO ENCONTRADO DETENIDO
Resultado: 3/32 (9.38%)
Cargando información del servidor..
Su archivo se encuentra encolado en la posición: 1.
Se estima que tendrá que esperar entre 37 y 53 segundos
hasta el comienzo del análisis.
No cierre la ventana hasta se haya completado el análisis.
El analizador que estaba procesando su muestra se encuentra detenido,
se va a esperar unos segundos por si fuera posible recuperar el resultado.
Si lleva esperando varios minutos necesitará reenviar su archivo de nuevo.
Su archivo está siendo analizado por VirusTotal en estos momentos,
los resultados se iran mostrando a continuación.
Compactar Imprimir resultados
La muestra ha caducado o no existe.
El sistema se encuentra detenido en estos momentos, su muestra se encuentra a la espera de ser analizada (posicion: ) por un tiempo indefinido.
Usted puede continuar esperando la respuesta por web (se recargará automaticamente) o bien introducir su email en el siguiente formulario y pulsar el botón "solicitar" para que la respuesta le sea automaticamente remitida por correo electrónico.
Email:
Motor antivirus Versión Última actualización Resultado
AhnLab-V3 2008.5.15.0 2008.05.15 -
AntiVir 7.8.0.17 2008.05.15 -
Authentium 5.1.0.4 2008.05.16 -
Avast 4.8.1169.0 2008.05.12 -
AVG 7.5.0.516 2008.05.15 -
BitDefender 7.2 2008.05.16 -
CAT-QuickHeal 9.50 2008.05.15 -
ClamAV 0.92.1 2008.05.16 -
DrWeb 4.44.0.09170 2008.05.16 -
eSafe 7.0.15.0 2008.05.14 -
eTrust-Vet 31.4.5788 2008.05.14 -
Ewido 4.0 2008.05.14 -
F-Prot 4.4.2.54 2008.05.15 -
F-Secure 6.70.13260.0 2008.05.16 -
Fortinet 3.14.0.0 2008.05.15 -
GData 2.0.7306.1023 2008.05.16 -
Ikarus T3.1.1.26.0 2008.05.16 -
Kaspersky 7.0.0.125 2008.05.16 -
McAfee 5295 2008.05.14 -
Microsoft 1.3408 2008.05.13 -
NOD32v2 3103 2008.05.16 -
Norman 5.80.02 2008.05.15 -
Panda 9.0.0.4 2008.05.15 -
Prevx1 V2 2008.05.16 Malicious Software
Rising 20.44.32.00 2008.05.15 -
Sophos 4.29.0 2008.05.16 Sus/UnkPacker
Sunbelt 3.0.1114.0 2008.05.12 -
Symantec 10 2008.05.16 -
TheHacker 6.2.92.311 2008.05.15 -
VBA32 3.12.6.6 2008.05.15 -
VirusBuster 4.3.26:9 2008.05.15 -
Webwasher-Gateway 6.6.2 2008.05.15 Virus.Win32.FileInfector.gen (suspicious)
Información adicional
Tamano archivo: 4448256 bytes
MD5...: 40591d57ba6f92cc45385c7fed550e97
SHA1..: 0af1107ae6588ebc6977e0272f1c4c792630f2fd
SHA256: f405ffecf634b02ef259512690d2debdcaa83d4a5c4b8ecbdd 47e046d5b68a89
SHA512: 1f9f6acb39fc5402ac2b38fee8efa2d94f0cce1568c4af3109 901390ecc94015
04a4c390c3f0e04562c9f33e291931b2c679a155fb5bf77d4e 92f5534f5267d4
PEiD..: Armadillo v1.71
PEInfo: PE Structure information
( base data )
entrypointaddress.: 0x66c10b
timedatestamp.....: 0x2a425e19 (Fri Jun 19 22:22:17 1992)
machinetype.......: 0x14c (I386)
( 13 sections )
name viradd virsiz rawdsiz ntrpy md5
CODE 0x1000 0x1f4cc4 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e
DATA 0x1f6000 0x8ef0 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e
BSS 0x1ff000 0x93c9 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e
.idata 0x209000 0x390e 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e
.tls 0x20d000 0x54 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e
.rdata 0x20e000 0x1d 0x1000 0.05 acf76da36b88379f5409206b9e73a044
.reloc 0x20f000 0x1f938 0x20000 6.64 ee4d94e95e43c7366eced1821f158cec
.text 0x22f000 0x50000 0x43000 6.41 2e4832eb7f9de71da91473c217dc0cc1
.adata 0x27f000 0x10000 0xd000 0.00 938d6d97628275a512e07c66be5ccecf
.data 0x28f000 0x10000 0xa000 3.14 95315945c6a42854c43e400ae82b5003
.reloc1 0x29f000 0x10000 0x4000 6.30 e7d1cfaa392f254d4659109d782c6849
.pdata 0x2af000 0x3c0000 0x3b3000 7.98 617bdb014fe01b077230e886429bba11
.rsrc 0x66f000 0x1d5000 0xa000 5.40 252df74b0330529a9267774cb6b97c10
( 3 imports )
> KERNEL32.dll: CreateThread, GlobalUnlock, GlobalLock, GlobalAlloc, GetTickCount, WideCharToMultiByte, IsBadReadPtr, GlobalAddAtomA, GlobalAddAtomW, GetModuleHandleA, GlobalFree, GlobalGetAtomNameA, GlobalDeleteAtom, GlobalGetAtomNameW, FreeConsole, GetEnvironmentVariableA, VirtualProtect, VirtualAlloc, GetProcAddress, GetLastError, LoadLibraryA, SetLastError, SetThreadPriority, GetCurrentThread, CreateProcessA, GetCommandLineA, GetStartupInfoA, SetEnvironmentVariableA, ReleaseMutex, WaitForSingleObject, CreateMutexA, OpenMutexA, GetCurrentThreadId, ReadFile, GetFileSize, CreateFileA, FindClose, FindFirstFileA, FindFirstFileW, VirtualQueryEx, GetExitCodeProcess, ReadProcessMemory, UnmapViewOfFile, ContinueDebugEvent, SetThreadContext, GetThreadContext, WaitForDebugEvent, CloseHandle, DebugActiveProcess, ResumeThread, CreateProcessW, GetCommandLineW, GetStartupInfoW, MapViewOfFile, DuplicateHandle, GetCurrentProcess, CreateFileMappingA, VirtualProtectEx, WriteProcessMemory, ExitProcess, GetLocalTime, CompareStringA, FlushFileBuffers, LCMapStringW, LCMapStringA, SetStdHandle, GetOEMCP, GetACP, GetCPInfo, CompareStringW, GetStringTypeW, GetStringTypeA, MultiByteToWideChar, SetFilePointer, HeapReAlloc, WriteFile, VirtualFree, HeapCreate, HeapDestroy, GetFileType, GetStdHandle, SetHandleCount, GetEnvironmentStringsW, GetEnvironmentStrings, FreeEnvironmentStringsW, FreeEnvironmentStringsA, UnhandledExceptionFilter, HeapFree, HeapAlloc, GetVersion, GetSystemTime, GetTimeZoneInformation, RtlUnwind, TerminateProcess, Sleep, EnterCriticalSection, LeaveCriticalSection, GetVersionExA, InitializeCriticalSection, GetCurrentProcessId, GetModuleFileNameW, GetShortPathNameW, GetModuleFileNameA, SuspendThread, GetShortPathNameA
> USER32.dll: GetDesktopWindow, MoveWindow, SetPropA, EnumThreadWindows, GetPropA, GetMessageA, BeginPaint, EndPaint, KillTimer, GetAsyncKeyState, GetSystemMetrics, SetTimer, SetWindowTextA, GetDlgItem, CreateDialogIndirectParamA, ShowWindow, UpdateWindow, LoadStringA, LoadStringW, FindWindowA, WaitForInputIdle, DestroyWindow, MessageBoxA, InSendMessage, UnpackDDElParam, FreeDDElParam, DefWindowProcA, LoadCursorA, RegisterClassW, CreateWindowExW, RegisterClassA, CreateWindowExA, GetWindowThreadProcessId, SendMessageW, SendMessageA, TranslateMessage, DispatchMessageA, EnumWindows, IsWindowUnicode, PackDDElParam, PostMessageW, PostMessageA, IsWindow, PeekMessageA
> GDI32.dll: DeleteDC, RealizePalette, SelectPalette, CreateDCA, CreatePalette, DeleteObject, BitBlt, SelectObject, CreateCompatibleDC, CreateDIBitmap
( 0 exports )
Prevx info: http://info.prevx.com/aboutprogramtext.asp?PX5=8BFBE07400939D4CE07243D1A EF96400A9CA81C8
packers (Kaspersky): Armadillo
Análisis del archivo Mraid3ex.sys recibido el 16.05.2008 05:47:16 (CET)
Estado actual: Cargando ... en cola en espera en proceso análisis terminado NO ENCONTRADO DETENIDO
Resultado: 0/32 (0%)
Cargando información del servidor..
Su archivo se encuentra encolado en la posición: ___.
Se estima que tendrá que esperar entre ___ y ___
hasta el comienzo del análisis.
No cierre la ventana hasta se haya completado el análisis.
El analizador que estaba procesando su muestra se encuentra detenido,
se va a esperar unos segundos por si fuera posible recuperar el resultado.
Si lleva esperando varios minutos necesitará reenviar su archivo de nuevo.
Su archivo está siendo analizado por VirusTotal en estos momentos,
los resultados se iran mostrando a continuación.
Compactar Imprimir resultados
La muestra ha caducado o no existe.
El sistema se encuentra detenido en estos momentos, su muestra se encuentra a la espera de ser analizada (posicion: ) por un tiempo indefinido.
Usted puede continuar esperando la respuesta por web (se recargará automaticamente) o bien introducir su email en el siguiente formulario y pulsar el botón "solicitar" para que la respuesta le sea automaticamente remitida por correo electrónico.
Email:
Motor antivirus Versión Última actualización Resultado
AhnLab-V3 2008.5.15.0 2008.05.15 -
AntiVir 7.8.0.17 2008.05.15 -
Authentium 5.1.0.4 2008.05.16 -
Avast 4.8.1195.0 2008.05.14 -
AVG 7.5.0.516 2008.05.15 -
BitDefender 7.2 2008.05.16 -
CAT-QuickHeal 9.50 2008.05.15 -
ClamAV 0.92.1 2008.05.16 -
DrWeb 4.44.0.09170 2008.05.16 -
eSafe 7.0.15.0 2008.05.14 -
eTrust-Vet 31.4.5788 2008.05.14 -
Ewido 4.0 2008.05.14 -
F-Prot 4.4.2.54 2008.05.15 -
F-Secure 6.70.13260.0 2008.05.16 -
Fortinet 3.14.0.0 2008.05.15 -
GData 2.0.7306.1023 2008.05.16 -
Ikarus T3.1.1.26.0 2008.05.16 -
Kaspersky 7.0.0.125 2008.05.16 -
McAfee 5295 2008.05.14 -
Microsoft 1.3408 2008.05.13 -
NOD32v2 3103 2008.05.16 -
Norman 5.80.02 2008.05.15 -
Panda 9.0.0.4 2008.05.15 -
Prevx1 V2 2008.05.16 -
Rising 20.44.32.00 2008.05.15 -
Sophos 4.29.0 2008.05.16 -
Sunbelt 3.0.1114.0 2008.05.12 -
Symantec 10 2008.05.16 -
TheHacker 6.2.92.311 2008.05.15 -
VBA32 3.12.6.6 2008.05.15 -
VirusBuster 4.3.26:9 2008.05.15 -
Webwasher-Gateway 6.6.2 2008.05.16 -
Información adicional
Tamano archivo: 20480 bytes
MD5...: 88f1a2d6f370517b5b42628ea5594b99
SHA1..: b174a1cb99946edb5dc927eef0efbee251ca8ba9
SHA256: 44a5cd720987d462f08f56cf48bcd735c924bd3365c9eb65c6 a9d292680398eb
SHA512: bd8ccdd8c86a43b72aa0bd64ebd0d66fdda2d5d5a4d7441089 8db9b5a802e573
ba64a4e9d246b33adc2f2e3ddb1b70c4e141c5e5468a428c1a 1ac93698ad61e0
PEiD..: -
PEInfo: PE Structure information
( base data )
entrypointaddress.: 0x18005
timedatestamp.....: 0x47f275f1 (Tue Apr 01 17:50:41 2008)
machinetype.......: 0x14c (I386)
( 7 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x3420 0x3600 6.24 a4ad206453dd99f0ea87309d3d9efefb
.rdata 0x5000 0x144 0x200 2.12 2c56dbf3c656c10da36abb12b710c518
.data 0x6000 0x140 0x200 1.07 52d3da0af7c8c9dcddb24499506f6404
encrypte 0x7000 0x218 0x400 4.17 07b73e894fd16045ab669a5c3b5baf32
INIT 0x8000 0x5da 0x600 5.33 1c6a5a8893159edce7ced60dc8e98b5d
.rsrc 0x9000 0x2b8 0x400 2.37 ffcb125b57b0858753408b90a473268d
.reloc 0xa000 0x3a6 0x400 5.12 30e9f6ab44cd9420e8940f9593e14550
( 2 imports )
> ntoskrnl.exe: IoRegisterFsRegistrationChange, ExFreePoolWithTag, IoDeleteDevice, ExAllocatePoolWithTag, IoCreateDevice, RtlAppendUnicodeStringToString, RtlAppendUnicodeToString, ExAllocatePool, InitSafeBootMode, memset, memcpy, PsGetVersion, MmGetSystemRoutineAddress, IoDetachDevice, IoThreadToProcess, IofCallDriver, IofCompleteRequest, _wcsupr, KeSetEvent, ExQueueWorkItem, KeUnstackDetachProcess, KeStackAttachProcess, RtlInitUnicodeString, IoBuildSynchronousFsdRequest, KeClearEvent, IoAttachDeviceToDeviceStack, KeDelayExecutionThread, RtlCopyUnicodeString, ObQueryNameString, ObfReferenceObject, IoBuildDeviceIoControlRequest, RtlEqualUnicodeString, RtlCompareUnicodeString, ExReleaseResourceLite, ExAcquireResourceExclusiveLite, ExIsResourceAcquiredExclusiveLite, ExAcquireResourceSharedLite, ExIsResourceAcquiredSharedLite, _wcsicmp, wcsstr, ExInitializeResourceLite, KeTickCount, KeBugCheckEx, RtlUnwind, IoGetDeviceObjectPointer, ObfDereferenceObject, KeWaitForSingleObject, KeInitializeEvent
> HAL.dll: ExReleaseFastMutex, KeGetCurrentIrql, ExAcquireFastMutex
( 0 exports )
Análisis del archivo Smix86.dll recibido el 16.05.2008 05:43:04 (CET)
Estado actual: análisis terminado
Resultado: 0/32 (0.00%)
Compactar Imprimir resultados
Motor antivirus Versión Última actualización Resultado
AhnLab-V3 2008.5.15.0 2008.05.15 -
AntiVir 7.8.0.17 2008.05.15 -
Authentium 5.1.0.4 2008.05.16 -
Avast 4.8.1195.0 2008.05.14 -
AVG 7.5.0.516 2008.05.15 -
BitDefender 7.2 2008.05.16 -
CAT-QuickHeal 9.50 2008.05.15 -
ClamAV 0.92.1 2008.05.16 -
DrWeb 4.44.0.09170 2008.05.16 -
eSafe 7.0.15.0 2008.05.14 -
eTrust-Vet 31.4.5788 2008.05.14 -
Ewido 4.0 2008.05.14 -
F-Prot 4.4.2.54 2008.05.15 -
F-Secure 6.70.13260.0 2008.05.16 -
Fortinet 3.14.0.0 2008.05.15 -
GData 2.0.7306.1023 2008.05.16 -
Ikarus T3.1.1.26.0 2008.05.16 -
Kaspersky 7.0.0.125 2008.05.16 -
McAfee 5295 2008.05.14 -
Microsoft 1.3408 2008.05.13 -
NOD32v2 3103 2008.05.16 -
Norman 5.80.02 2008.05.15 -
Panda 9.0.0.4 2008.05.15 -
Prevx1 V2 2008.05.16 -
Rising 20.44.32.00 2008.05.15 -
Sophos 4.29.0 2008.05.16 -
Sunbelt 3.0.1114.0 2008.05.12 -
Symantec 10 2008.05.16 -
TheHacker 6.2.92.311 2008.05.15 -
VBA32 3.12.6.6 2008.05.15 -
VirusBuster 4.3.26:9 2008.05.15 -
Webwasher-Gateway 6.6.2 2008.05.16 -
Información adicional
Tamano archivo: 941568 bytes
MD5...: f0d17cf16f8902621513cdf1d6eec4c0
SHA1..: 91d3134fe2db57e5d10a482c91ee7ceb6b778165
SHA256: 75b7a31ba6249e91771047d9295d4197a86aa1c381b7aa1909 a6f1e8fd9adcad
SHA512: 8c824ccc5764fedf05481bd1ce04289f6442aafabff677e8cf 0c8b5c494fe998
501db372e1aad4e8d1a27d08662bc06303dada222a6b92d24f bcb3b845f7ed99
PEiD..: -
PEInfo: PE Structure information
( base data )
entrypointaddress.: 0x1007af41
timedatestamp.....: 0x47e15f84 (Wed Mar 19 18:46:28 2008)
machinetype.......: 0x14c (I386)
( 5 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x98d2f 0x98e00 6.73 06fa4dd840763bb888bf633e645456f3
.rdata 0x9a000 0x29481 0x29600 5.73 e896128685a5663cfd3aa12a7212d38b
.data 0xc4000 0x17b68 0x12000 5.58 1f196b5365dfbd49249f08cf34588dfa
.rsrc 0xdc000 0x3984 0x3a00 3.66 24307f7586c880833a128b7a197b83f3
.reloc 0xe0000 0xda98 0xdc00 5.33 59bd01d8fa2cfefb022550039bc590de
( 9 imports )
> KERNEL32.dll: RtlUnwind, HeapFree, HeapAlloc, HeapReAlloc, GetSystemTimeAsFileTime, RaiseException, GetCommandLineA, GetProcessHeap, UnhandledExceptionFilter, SetUnhandledExceptionFilter, SetConsoleCtrlHandler, ExitProcess, VirtualAlloc, HeapSize, TerminateProcess, IsDebuggerPresent, GetCPInfo, GetACP, GetOEMCP, IsValidCodePage, LCMapStringA, LCMapStringW, HeapDestroy, HeapCreate, GetTimeFormatA, GetDateFormatA, SetHandleCount, GetStartupInfoA, GetModuleFileNameA, FreeEnvironmentStringsA, GetEnvironmentStrings, FreeEnvironmentStringsW, GetEnvironmentStringsW, GetConsoleCP, GetConsoleMode, SetStdHandle, GetStringTypeA, GetStringTypeW, GetUserDefaultLCID, GetLocaleInfoA, EnumSystemLocalesA, IsValidLocale, SetEnvironmentVariableA, WriteConsoleA, GetConsoleOutputCP, WriteConsoleW, CreateFileA, FileTimeToLocalFileTime, FileTimeToSystemTime, GetCurrentProcess, FlushFileBuffers, GetThreadLocale, GlobalFindAtomW, InterlockedIncrement, CompareStringW, GlobalFlags, GetModuleHandleA, WritePrivateProfileStringW, SetErrorMode, TlsFree, LocalReAlloc, TlsSetValue, TlsAlloc, GlobalHandle, GlobalReAlloc, GetDriveTypeA, ReadConsoleInputA, TlsGetValue, LocalAlloc, InterlockedDecrement, GlobalFree, GlobalUnlock, GlobalAddAtomW, GlobalDeleteAtom, GetCurrentThread, ConvertDefaultLocale, GetModuleFileNameW, EnumResourceLanguagesW, GetLocaleInfoW, CompareStringA, SetConsoleMode, GetFullPathNameA, GetCurrentDirectoryA, InterlockedExchange, GlobalLock, lstrcmpW, GlobalAlloc, GetModuleHandleW, FlushConsoleInputBuffer, GetVersionExA, LoadLibraryA, GlobalMemoryStatus, GetCurrentProcessId, QueryPerformanceCounter, GetTickCount, FindClose, FindFirstFileA, GetStdHandle, GetFileType, GetVersion, GetCurrentThreadId, WaitForSingleObject, FreeLibrary, SetFilePointer, SetEndOfFile, GetTimeZoneInformation, LoadLibraryW, GetProcAddress, WriteFile, CreateFileW, GetFileSize, CloseHandle, ReadFile, lstrcpynW, FormatMessageW, LocalFree, lstrlenA, lstrlenW, WideCharToMultiByte, MultiByteToWideChar, SetLastError, GetLastError, Sleep, lstrcpyW, FindResourceW, LoadResource, LockResource, SizeofResource, LeaveCriticalSection, EnterCriticalSection, DeleteCriticalSection, VirtualFree, InitializeCriticalSection
> USER32.dll: ShowWindow, RegisterWindowMessageW, LoadIconW, WinHelpW, GetCapture, GetClassLongW, SetPropW, GetPropW, RemovePropW, IsWindow, GetForegroundWindow, GetDlgItem, GetTopWindow, DestroyWindow, GetMessageTime, GetMessagePos, MapWindowPoints, SetForegroundWindow, GetClientRect, GetMenu, GetSysColorBrush, GetClassInfoW, RegisterClassW, AdjustWindowRectEx, CopyRect, DefWindowProcW, CallWindowProcW, SetWindowLongW, SystemParametersInfoA, IsIconic, GetWindowPlacement, GetSystemMetrics, GetWindow, GetDlgCtrlID, GetWindowRect, GetClassNameW, PtInRect, GetWindowTextW, SetWindowTextW, GetSysColor, ReleaseDC, GetDC, ClientToScreen, GrayStringW, DrawTextExW, DrawTextW, TabbedTextOutW, UnregisterClassW, UnhookWindowsHookEx, GetMenuItemID, GetMenuItemCount, GetSubMenu, LoadCursorW, DestroyMenu, CreateWindowExW, GetClassInfoExW, GetWindowThreadProcessId, GetWindowLongW, GetLastActivePopup, IsWindowEnabled, EnableWindow, MessageBoxW, SetCursor, SetWindowsHookExW, CallNextHookEx, GetMessageW, TranslateMessage, DispatchMessageW, GetActiveWindow, IsWindowVisible, GetKeyState, PeekMessageW, GetCursorPos, ValidateRect, SetMenuItemBitmaps, GetMenuCheckMarkDimensions, LoadBitmapW, GetFocus, GetParent, SendMessageW, ModifyMenuW, GetMenuState, EnableMenuItem, CheckMenuItem, PostMessageW, PostQuitMessage, MessageBoxA, GetDesktopWindow, GetProcessWindowStation, GetUserObjectInformationW, SetWindowPos, UnregisterClassA
> GDI32.dll: GetStockObject, ScaleWindowExtEx, SetWindowExtEx, ScaleViewportExtEx, SetViewportExtEx, OffsetViewportOrgEx, SetViewportOrgEx, Escape, ExtTextOutW, TextOutW, RectVisible, PtVisible, GetClipBox, SetMapMode, SetTextColor, SetBkColor, RestoreDC, SaveDC, CreateBitmap, GetDeviceCaps, DeleteDC, DeleteObject, SelectObject
> WINSPOOL.DRV: DocumentPropertiesW, OpenPrinterW, ClosePrinter
> ADVAPI32.dll: RegSetValueExW, RegCreateKeyExW, RegQueryValueW, RegOpenKeyW, RegEnumKeyW, RegDeleteKeyW, RegOpenKeyExW, RegQueryValueExW, RegCloseKey, RegisterEventSourceA, ReportEventA, DeregisterEventSource, CryptGetHashParam, CryptDestroyHash, CryptCreateHash, CryptHashData, CryptReleaseContext, CryptAcquireContextW
> SHLWAPI.dll: PathFindExtensionW, PathFindFileNameW
> OLEAUT32.dll: -, -, -
> WS2_32.dll: -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -
> RPCRT4.dll: RpcStringFreeW, UuidCreate, UuidToStringW
( 0 exports )
Análisis del archivo ULIAGPnt.sys recibido el 16.05.2008 06
55 (CET)
Estado actual: Cargando ... en cola en espera en proceso análisis terminado NO ENCONTRADO DETENIDO
Resultado: 0/32 (0%)
Cargando información del servidor..
Su archivo se encuentra encolado en la posición: ___.
Se estima que tendrá que esperar entre ___ y ___
hasta el comienzo del análisis.
No cierre la ventana hasta se haya completado el análisis.
El analizador que estaba procesando su muestra se encuentra detenido,
se va a esperar unos segundos por si fuera posible recuperar el resultado.
Si lleva esperando varios minutos necesitará reenviar su archivo de nuevo.
Su archivo está siendo analizado por VirusTotal en estos momentos,
los resultados se iran mostrando a continuación.
Compactar Imprimir resultados
La muestra ha caducado o no existe.
El sistema se encuentra detenido en estos momentos, su muestra se encuentra a la espera de ser analizada (posicion: ) por un tiempo indefinido.
Usted puede continuar esperando la respuesta por web (se recargará automaticamente) o bien introducir su email en el siguiente formulario y pulsar el botón "solicitar" para que la respuesta le sea automaticamente remitida por correo electrónico.
Email:
Motor antivirus Versión Última actualización Resultado
AhnLab-V3 2008.5.15.0 2008.05.15 -
AntiVir 7.8.0.17 2008.05.15 -
Authentium 5.1.0.4 2008.05.16 -
Avast 4.8.1169.0 2008.05.12 -
AVG 7.5.0.516 2008.05.15 -
BitDefender 7.2 2008.05.16 -
CAT-QuickHeal 9.50 2008.05.15 -
ClamAV 0.92.1 2008.05.16 -
DrWeb 4.44.0.09170 2008.05.16 -
eSafe 7.0.15.0 2008.05.14 -
eTrust-Vet 31.4.5788 2008.05.14 -
Ewido 4.0 2008.05.14 -
F-Prot 4.4.2.54 2008.05.15 -
F-Secure 6.70.13260.0 2008.05.16 -
Fortinet 3.14.0.0 2008.05.15 -
GData 2.0.7306.1023 2008.05.16 -
Ikarus T3.1.1.26.0 2008.05.16 -
Kaspersky 7.0.0.125 2008.05.16 -
McAfee 5295 2008.05.14 -
Microsoft 1.3408 2008.05.13 -
NOD32v2 3103 2008.05.16 -
Norman 5.80.02 2008.05.15 -
Panda 9.0.0.4 2008.05.15 -
Prevx1 V2 2008.05.16 -
Rising 20.44.32.00 2008.05.15 -
Sophos 4.29.0 2008.05.16 -
Sunbelt 3.0.1114.0 2008.05.12 -
Symantec 10 2008.05.16 -
TheHacker 6.2.92.311 2008.05.15 -
VBA32 3.12.6.6 2008.05.15 -
VirusBuster 4.3.26:9 2008.05.15 -
Webwasher-Gateway 6.6.2 2008.05.15 -
Información adicional
Tamano archivo: 10240 bytes
MD5...: 855d6b554b20f4bb82cd5cf5f6db9c88
SHA1..: 71df9642aed74398b39cf6e5449940c0e68e5b76
SHA256: d8424521365df2284e742022b6e8b2728335aa42b43c99e317 e82fa67aa9db76
SHA512: aae0bd3770e9f5249bb3eb9ebcc5e755fd804e60a6b8f359a4 2fac541ee7d8d2
42b26d04ac7457dba5d9e8c3193ec520be59acdc96ad7fe52e 1600081aa87fc5
PEiD..: -
PEInfo: PE Structure information
( base data )
entrypointaddress.: 0x16005
timedatestamp.....: 0x47e3fbab (Fri Mar 21 18:17:15 2008)
machinetype.......: 0x14c (I386)
( 6 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x150c 0x1600 6.11 96234e187baab35e160bcf98e39999b7
.rdata 0x3000 0x174 0x200 3.34 bc33931b67e706db1b408c680ca1f5d5
.data 0x4000 0x60 0x200 0.52 2d2892cbf328a77571376ada356719d3
encrypte 0x5000 0x2e 0x200 0.87 045b214c06ef33670f043b9526e3c302
INIT 0x6000 0x4a0 0x600 4.44 c6986eed2a5fd777741970a37caa963f
.reloc 0x7000 0x1cc 0x200 4.32 4726f5928521cfcc7c9531b764e92160
( 3 imports )
> ntoskrnl.exe: RtlInitUnicodeString, KeWaitForSingleObject, ExAllocatePool, ExNotifyCallback, IoQueueWorkItem, IoAllocateWorkItem, KeDelayExecutionThread, IoDeleteDevice, KeInitializeEvent, PsCreateSystemThread, IoCreateDevice, ExCreateCallback, KeTickCount, KeBugCheckEx, RtlAppendUnicodeToString, RtlAppendUnicodeStringToString, ZwClose, KeSetEvent, IoFreeWorkItem, MmMapLockedPagesSpecifyCache, memcpy, ExAllocatePoolWithTag, ExFreePoolWithTag, PsTerminateSystemThread, memset
> HAL.dll: KeReleaseInStackQueuedSpinLock, KeAcquireInStackQueuedSpinLock
> fwpkclnt.sys: FwpmTransactionCommit0, FwpmTransactionAbort0, FwpmEngineClose0, FwpmTransactionBegin0, FwpsCalloutRegister0, FwpmCalloutAdd0, FwpmFilterAdd0, FwpsCalloutUnregisterById0, FwpmEngineOpen0, FwpsFlowAssociateContext0, FwpsFlowRemoveContext0
( 0 exports )
Análisis del archivo ULIAGPnt.sys recibido el 16.05.2008 06
55 (CET)
Estado actual: Cargando ... en cola en espera en proceso análisis terminado NO ENCONTRADO DETENIDO
Resultado: 0/32 (0%)
Cargando información del servidor..
Su archivo se encuentra encolado en la posición: ___.
Se estima que tendrá que esperar entre ___ y ___
hasta el comienzo del análisis.
No cierre la ventana hasta se haya completado el análisis.
El analizador que estaba procesando su muestra se encuentra detenido,
se va a esperar unos segundos por si fuera posible recuperar el resultado.
Si lleva esperando varios minutos necesitará reenviar su archivo de nuevo.
Su archivo está siendo analizado por VirusTotal en estos momentos,
los resultados se iran mostrando a continuación.
Compactar Imprimir resultados
La muestra ha caducado o no existe.
El sistema se encuentra detenido en estos momentos, su muestra se encuentra a la espera de ser analizada (posicion: ) por un tiempo indefinido.
Usted puede continuar esperando la respuesta por web (se recargará automaticamente) o bien introducir su email en el siguiente formulario y pulsar el botón "solicitar" para que la respuesta le sea automaticamente remitida por correo electrónico.
Email:
Motor antivirus Versión Última actualización Resultado
AhnLab-V3 2008.5.15.0 2008.05.15 -
AntiVir 7.8.0.17 2008.05.15 -
Authentium 5.1.0.4 2008.05.16 -
Avast 4.8.1169.0 2008.05.12 -
AVG 7.5.0.516 2008.05.15 -
BitDefender 7.2 2008.05.16 -
CAT-QuickHeal 9.50 2008.05.15 -
ClamAV 0.92.1 2008.05.16 -
DrWeb 4.44.0.09170 2008.05.16 -
eSafe 7.0.15.0 2008.05.14 -
eTrust-Vet 31.4.5788 2008.05.14 -
Ewido 4.0 2008.05.14 -
F-Prot 4.4.2.54 2008.05.15 -
F-Secure 6.70.13260.0 2008.05.16 -
Fortinet 3.14.0.0 2008.05.15 -
GData 2.0.7306.1023 2008.05.16 -
Ikarus T3.1.1.26.0 2008.05.16 -
Kaspersky 7.0.0.125 2008.05.16 -
McAfee 5295 2008.05.14 -
Microsoft 1.3408 2008.05.13 -
NOD32v2 3103 2008.05.16 -
Norman 5.80.02 2008.05.15 -
Panda 9.0.0.4 2008.05.15 -
Prevx1 V2 2008.05.16 -
Rising 20.44.32.00 2008.05.15 -
Sophos 4.29.0 2008.05.16 -
Sunbelt 3.0.1114.0 2008.05.12 -
Symantec 10 2008.05.16 -
TheHacker 6.2.92.311 2008.05.15 -
VBA32 3.12.6.6 2008.05.15 -
VirusBuster 4.3.26:9 2008.05.15 -
Webwasher-Gateway 6.6.2 2008.05.15 -
Información adicional
Tamano archivo: 10240 bytes
MD5...: 855d6b554b20f4bb82cd5cf5f6db9c88
SHA1..: 71df9642aed74398b39cf6e5449940c0e68e5b76
SHA256: d8424521365df2284e742022b6e8b2728335aa42b43c99e317 e82fa67aa9db76
SHA512: aae0bd3770e9f5249bb3eb9ebcc5e755fd804e60a6b8f359a4 2fac541ee7d8d2
42b26d04ac7457dba5d9e8c3193ec520be59acdc96ad7fe52e 1600081aa87fc5
PEiD..: -
PEInfo: PE Structure information
( base data )
entrypointaddress.: 0x16005
timedatestamp.....: 0x47e3fbab (Fri Mar 21 18:17:15 2008)
machinetype.......: 0x14c (I386)
( 6 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x150c 0x1600 6.11 96234e187baab35e160bcf98e39999b7
.rdata 0x3000 0x174 0x200 3.34 bc33931b67e706db1b408c680ca1f5d5
.data 0x4000 0x60 0x200 0.52 2d2892cbf328a77571376ada356719d3
encrypte 0x5000 0x2e 0x200 0.87 045b214c06ef33670f043b9526e3c302
INIT 0x6000 0x4a0 0x600 4.44 c6986eed2a5fd777741970a37caa963f
.reloc 0x7000 0x1cc 0x200 4.32 4726f5928521cfcc7c9531b764e92160
( 3 imports )
> ntoskrnl.exe: RtlInitUnicodeString, KeWaitForSingleObject, ExAllocatePool, ExNotifyCallback, IoQueueWorkItem, IoAllocateWorkItem, KeDelayExecutionThread, IoDeleteDevice, KeInitializeEvent, PsCreateSystemThread, IoCreateDevice, ExCreateCallback, KeTickCount, KeBugCheckEx, RtlAppendUnicodeToString, RtlAppendUnicodeStringToString, ZwClose, KeSetEvent, IoFreeWorkItem, MmMapLockedPagesSpecifyCache, memcpy, ExAllocatePoolWithTag, ExFreePoolWithTag, PsTerminateSystemThread, memset
> HAL.dll: KeReleaseInStackQueuedSpinLock, KeAcquireInStackQueuedSpinLock
> fwpkclnt.sys: FwpmTransactionCommit0, FwpmTransactionAbort0, FwpmEngineClose0, FwpmTransactionBegin0, FwpsCalloutRegister0, FwpmCalloutAdd0, FwpmFilterAdd0, FwpsCalloutUnregisterById0, FwpmEngineOpen0, FwpsFlowAssociateContext0, FwpsFlowRemoveContext0
( 0 exports )
Use como indicaste el ComboFix. No se si funcionó o no. Me marco un error al buscar una carpeta o algo parecido. Lamento no poder indicar esto con mayor detalle pero al precionar ´2´para salir el CF desapareció.
Te comento, ademas, que hice una Restauración y el EliteKeylogger ya no está más. O eso creo al menos. Y, aunque no lo creas recibí finalmente respuesta del Equipo tecnico del EK. Respondieron esto:
Dear nakillo,
So, right now you have to do the following:
1. Remove the version with the bug:
Please, use the attached remover program in the Safe Mode to
uninstall Elite Keylogger. Please, rename the file to ek_tool.zip,
unpack it and run. Select the option to uninstall and input
'iwishitworkedwithoutuninstalling' when asked.
This will remove Elite Keylogger.
Como veras me mandaron tambien lo necesario para desinstalar. La verdad es que a esta altura no se si ejecutarlo o no. Espero que me ayudes.
Muchas Gracias.