Que tal, soy nuevo aqui en el foro. Me enterado que son muy buenos solucionando este tipo de problemas y heme aqui.

Descargue e instale hace unos día una version gratis del Elite Keylogger , que nunca logro funcionar porque es imposible de desocultar "unhide" y por lo tanto de de desinstalar tambien.

Desde entonces mi ordenador empezó a funcionar pesimamente. No se si sera por otra razón pero es mucha casualidad.

Espero que me puedan ayudar.

Desde ya muchas gracias y les pido disculpas por molestarlos con mi rudeza.

He visto un tema iniciado por Bedro, ya solucionado.No entiendo si se trata del mismo problema. De ser así por favor cofirmar y nuevamente disculpas.

Hola nakillo te doy la Bienvenida al Foro.

Realiza lo Siguiente:

Descargar Ccleaner-Manual y ejecútalo usando primero su opción de "Limpiador" para borrar cookies, temporales de Internet y todos los archivos que este te muestre como obsoletos, y luego usa su opción de "Registro" para limpiar todo el registro de Windows (haciendo copia de seguridad). Realiza Varios Analisis

Ejecuta (actualizado) SuperAntispyware

Realiza un escaneo online con Panda ActiveScan y nos dejas sus reportes en este mismo mensaje.

Saludos nos comentas.

__________________

Gracias thecat_re!

Use Ccleaner como me dijiste, tanto el Limpiador como la opción Registro, realizando varios analisis.

Luego usé el SUPERAntiSpyware. Este es el reporte:

SUPERAntiSpyware Scan Log
http://www.superantispyware.com

Generated 05/11/2008 - 08:49 PM

Application Version : 4.0.1154

Core Rules Database Version : 3458
Trace Rules Database Version: 1449

Scan type : Complete Scan
Total Scan Time : 00:25:54

Memory items scanned : 532
Memory threats detected : 0
Registry items scanned : 5831
Registry threats detected : 0
File items scanned : 17687
File threats detected : 4

Adware.Tracking Cookie
C:\Users\familia\AppData\Roaming\Microsoft\Windows \Cookies\Low\familia@doubleclick[1].txt
C:\Users\familia\AppData\Roaming\Microsoft\Windows \Cookies\Low\familia@tribalfusion[1].txt
C:\Users\familia\AppData\Roaming\Microsoft\Windows \Cookies\Low\familia@imrworldwide[2].txt
C:\Users\familia\AppData\Roaming\Microsoft\Windows \Cookies\Low\familia@ads.us.e-planning[1].txt






Pudo eliminarlos a todos satisfactoriamente.


Luego usé el Panda ActiveScan 2.0. Este es el reporte:



;************************************************* ************************************************** ************************************************** ******************************
ANALYSIS: 2008-05-12 07:55:10
PROTECTIONS: 1
MALWARE: 0
SUSPECTS: 6
;************************************************* ************************************************** ************************************************** ******************************
PROTECTIONS
Description Version Active Updated
;================================================= ================================================== ================================================== ==============================
ESET NOD32 Antivirus 3.0 3.0 Yes Yes
;================================================= ================================================== ================================================== ==============================
MALWARE
Id Description Type Active Severity Disinfectable Disinfected Location
;================================================= ================================================== ================================================== ==============================
;================================================= ================================================== ================================================== ==============================
SUSPECTS
Sent Location à�G��
3

;================================================= ================================================== ================================================== ==============================
No C:\Windows\System32\msctf32.dll à�G��
3

No C:\Windows\System32\PnPsvr.exe à�G��
3

No C:\Windows\System32\Smix86.dll à�G��
3

No C:\Windows\System32\drivers\Mraid3ex.sys à�G��
3

No C:\Windows\System32\drivers\ULIAGPnt.sys à�G��
3

No C:\Windows\System32\drivers\videop2k.sys à�G��
3

;================================================= ================================================== ================================================== ==============================
VULNERABILITIES
Id Severity Description à�G��
3

;================================================= ================================================== ================================================== ==============================
;================================================= ================================================== ================================================== ==============================



Espero nuevas instrucciones. Muchas gracias.

Hola Nuevamente

sube estos 6 archivos a VirusTotal

C:\Windows\System32\msctf32.dll

• C:\Windows\System32\msctf32.dll
• C:\Windows\System32\PnPsvr.exe
• C:\Windows\System32\Smix86.dll
• C:\Windows\System32\drivers\Mraid3ex.sys
• C:\Windows\System32\drivers\ULIAGPnt.sys
• C:\Windows\System32\drivers\videop2k.sys

Y me envias los reportes que genere en cada uno de ellos, no olvides mencionar como van las cosas si han mejorado o siguen igual es un punto importante,

Saludos nos comentas.

__________________

Hola nuevamente.

No he podido subir lo archivos en rojo al VirusTotal. El problema es que no los encuentro donde dicen estar, no se la razón.

Este es el reporte del C:\Windows\System32\msctf32.dll (que extrañamente ahora se encuentra en otra ubicación y que cuando lo quiero reubicar me dice "el archivo ya no se encuentra en esa ubicación", es decir, en la cual lo encontré.) Igualmente "desde donde lo encontré" lo pude analizar :





Motor antivirus Versión Última actualización Resultado
AhnLab-V3 2008.5.10.0 2008.05.13 -
AntiVir 7.8.0.17 2008.05.13 -
Authentium 5.1.0.4 2008.05.13 -
Avast 4.8.1195.0 2008.05.13 -
AVG 7.5.0.516 2008.05.13 -
BitDefender 7.2 2008.05.08 -
CAT-QuickHeal 9.50 2008.05.13 -
ClamAV 0.92.1 2008.05.13 -
DrWeb 4.44.0.09170 2008.05.13 -
eSafe 7.0.15.0 2008.05.13 -
eTrust-Vet 31.4.5783 2008.05.12 -
Ewido 4.0 2008.05.13 -
F-Prot 4.4.2.54 2008.05.13 -
F-Secure 6.70.13260.0 2008.05.13 -
Fortinet 3.14.0.0 2008.05.13 -
GData 2.0.7306.1023 2008.05.13 -
Ikarus T3.1.1.26.0 2008.05.13 -
Kaspersky 7.0.0.125 2008.05.13 -
McAfee 5294 2008.05.13 -
Microsoft 1.3520 2008.05.13 -
NOD32v2 3096 2008.05.13 -
Norman 5.80.02 2008.05.13 -
Panda 9.0.0.4 2008.05.13 -
Prevx1 V2 2008.05.13 -
Rising 20.44.12.00 2008.05.13 -
Sophos 4.29.0 2008.05.13 -
Sunbelt 3.0.1114.0 2008.05.12 -
Symantec 10 2008.05.13 -
TheHacker 6.2.92.309 2008.05.13 -
VBA32 3.12.6.6 2008.05.13 -
VirusBuster 4.3.26:9 2008.05.13 -
Webwasher-Gateway 6.6.2 2008.05.13 -
Información adicional
Tamano archivo: 9815 bytes
MD5...: afefb3410244445ad94edeb0505fb051
SHA1..: 0a437ac9f29b8106c4c0dea42bfaac844175b668
SHA256: 2c894570cb9c3072ea22b8758be53aa018b69d866d6fa144fb 13e90b47bc429d
SHA512: c91797ba79f28345342eef41123749f4c7716d85affa5c7b94 2201f84f6e71a0
5d71b9aec7d145ee58cffc374efe5abe9af75fb464b0398874 d5911cd8b9d1c8
PEiD..: -
PEInfo: -


Hice otro escaneo con ActiveScan. Aca el reporte:



;************************************************* ************************************************** ************************************************** ******************************
ANALYSIS: 2008-05-13 02:01:40
PROTECTIONS: 1
MALWARE: 3
SUSPECTS: 6
;************************************************* ************************************************** ************************************************** ******************************
PROTECTIONS
Description Version Active Updated
;================================================= ================================================== ================================================== ==============================
ESET NOD32 Antivirus 3.0 3.0 Yes Yes
;================================================= ================================================== ================================================== ==============================
MALWARE
Id Description Type Active Severity Disinfectable Disinfected Location
;================================================= ================================================== ================================================== ==============================
00139064 Cookie/Atlas DMT TrackingCookie No 0 Yes No C:\Users\familia\AppData\Roaming\Microsoft\Windows \Cookies\familia@atdmt[1].txt
00168056 Cookie/YieldManager TrackingCookie No 0 Yes No C:\Users\familia\AppData\Roaming\Microsoft\Windows \Cookies\Low\familia@ad.yieldmanager[1].txt
00168109 Cookie/Adtech TrackingCookie No 0 Yes No C:\Users\familia\AppData\Roaming\Microsoft\Windows \Cookies\Low\familia@adtech[1].txt
;================================================= ================================================== ================================================== ==============================
SUSPECTS
Sent Location ^J����

3

;================================================= ================================================== ================================================== ==============================
No C:\Windows\System32\msctf32.dll ^J����

3

No C:\Windows\System32\PnPsvr.exe ^J����

3

No C:\Windows\System32\Smix86.dll ^J����

3

No C:\Windows\System32\drivers\Mraid3ex.sys ^J����

3

No C:\Windows\System32\drivers\ULIAGPnt.sys ^J����

3

No C:\Windows\System32\drivers\videop2k.sys ^J����

3

;================================================= ================================================== ================================================== ==============================
VULNERABILITIES
Id Severity Description ^J����

3

;================================================= ================================================== ================================================== ==============================
;================================================= ================================================== ================================================== ==============================




La computadora ha mejorado un poco el rendimiento pero claramente no tanto como para estar como en un principio. El Elite Keylogger sigue instalado e imposibilitado para desocultar y desinstalar.


Espero nuevas instrucciones. Muchas gracias.

Hola Nuevamente

Intenta con Activar Ver Archivos ocultos si logras encontrar los Archivos.

- Descarga la herramienta ComboFix.exe y guárdala en el escritorio.

• Desactiva temporalmente el Antivirus y/o Antispyware.
• Cierra todas las ventanas abiertas.
• Hacele doble clic al archivo ComboFix.exe y seguí las instrucciones.
• Cuando termine, generara un registro en C:\ComboFix.txt.
  • *Nota* Mientras CF este trabajando no mover el mouse ya que pararía su proceso.
  • *Nota* ComboFix puede reiniciar automáticamente el PC para completar el proceso de eliminación.

Reinicia y pega el reporte de C:\ComboFix.txt en este mismo mensaje.

Saludos nos Comentas.

__________________

Hola nuevamente.

Logre escanear con el VirusTotal los archivos que faltaban y anteriormente indicaste.
Estos son los reportes:


Análisis del archivo videop2k.sys recibido el 16.05.2008 06:16:36 (CET)
Estado actual: Cargando ... en cola en espera en proceso análisis terminado NO ENCONTRADO DETENIDO


Resultado: 0/32 (0%)
Cargando información del servidor..
Su archivo se encuentra encolado en la posición: 1.
Se estima que tendrá que esperar entre 37 y 53 segundos
hasta el comienzo del análisis.
No cierre la ventana hasta se haya completado el análisis.
El analizador que estaba procesando su muestra se encuentra detenido,
se va a esperar unos segundos por si fuera posible recuperar el resultado.
Si lleva esperando varios minutos necesitará reenviar su archivo de nuevo.
Su archivo está siendo analizado por VirusTotal en estos momentos,
los resultados se iran mostrando a continuación.
Compactar Imprimir resultados

La muestra ha caducado o no existe.
El sistema se encuentra detenido en estos momentos, su muestra se encuentra a la espera de ser analizada (posicion: ) por un tiempo indefinido.

Usted puede continuar esperando la respuesta por web (se recargará automaticamente) o bien introducir su email en el siguiente formulario y pulsar el botón "solicitar" para que la respuesta le sea automaticamente remitida por correo electrónico.
Email:


Motor antivirus Versión Última actualización Resultado
AhnLab-V3 2008.5.10.0 2008.05.13 -
AntiVir 7.8.0.17 2008.05.13 -
Authentium 5.1.0.4 2008.05.14 -
Avast 4.8.1169.0 2008.05.12 -
AVG 7.5.0.516 2008.05.13 -
BitDefender 7.2 2008.05.08 -
CAT-QuickHeal 9.50 2008.05.12 -
ClamAV 0.92.1 2008.05.13 -
DrWeb 4.44.0.09170 2008.05.13 -
eSafe 7.0.15.0 2008.05.12 -
eTrust-Vet 31.4.5784 2008.05.13 -
Ewido 4.0 2008.05.13 -
F-Prot 4.4.2.54 2008.05.13 -
F-Secure 6.70.13260.0 2008.05.13 -
Fortinet 3.14.0.0 2008.05.13 -
GData 2.0.7306.1023 2008.05.14 -
Ikarus T3.1.1.26.0 2008.05.13 -
Kaspersky 7.0.0.125 2008.05.13 -
McAfee 5293 2008.05.12 -
Microsoft 1.3408 2008.05.13 -
NOD32v2 3095 2008.05.13 -
Norman 5.80.02 2008.05.09 -
Panda 9.0.0.4 2008.05.12 -
Prevx1 V2 2008.05.16 -
Rising 20.44.12.00 2008.05.13 -
Sophos 4.29.0 2008.05.13 -
Sunbelt 3.0.1114.0 2008.05.12 -
Symantec 10 2008.05.13 -
TheHacker 6.2.92.309 2008.05.13 -
VBA32 3.12.6.6 2008.05.13 -
VirusBuster 4.3.26:9 2008.05.12 -
Webwasher-Gateway 6.6.2 2008.05.13 -
Información adicional
Tamano archivo: 518144 bytes
MD5...: fb47a4bd63623d8d78e2b7a8c994d067
SHA1..: 87e1e84852a0ae184f748f536b975125fb54ee36
SHA256: 2ddbfa6961930ff457ba8b677512b6dcd3a3ae412c82e08581 df3563445187a1
SHA512: 47c48633f7b6de92546d6aa63dd5cfef4ebae0e413f04ef8d1 bc0a21a01b5f15
0ecf5aa465bfc7231b5e1c3c51a576280fd085bdac32c811a5 a7d4006fe26316
PEiD..: -
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x6e005
timedatestamp.....: 0x480386d5 (Mon Apr 14 16:31:17 2008)
machinetype.......: 0x14c (I386)

( 6 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x3a2e4 0x3a400 6.04 6fdb223e9d07eec57af9e08edafc311e
.rdata 0x3c000 0x3c44 0x3e00 6.89 9f59b2cd7317914e9b18ebedd9e40925
.data 0x40000 0x1d080 0xa800 5.17 bb7d118f32006d3c6897e0d794f5b33a
INIT 0x5e000 0xe54 0x1000 5.36 405c37c2fb9fe66253e26cc21acb18f9
.rsrc 0x5f000 0x322f8 0x32400 8.00 777479c5387fb2dd61007dd3d9970bd2
.reloc 0x92000 0x2428 0x2600 5.74 118f93f993b00f9307ba81d7a28537ed

( 2 imports )
> ntoskrnl.exe: ZwWriteFile, ZwReadFile, ZwQueryInformationFile, RtlCompareMemory, KeQueryTimeIncrement, KeTickCount, _allmul, ExSystemTimeToLocalTime, KeQuerySystemTime, memcpy, RtlFreeAnsiString, RtlUnicodeStringToAnsiString, RtlInitUnicodeString, ObfDereferenceObject, PsLookupProcessByProcessId, _except_handler3, ZwAllocateVirtualMemory, ZwOpenProcess, ZwFreeVirtualMemory, KeWaitForSingleObject, memset, KeDetachProcess, ObReferenceObjectByHandle, KeAttachProcess, MmMapLockedPagesSpecifyCache, KeDelayExecutionThread, RtlCopyUnicodeString, PsCreateSystemThread, RtlAppendUnicodeStringToString, RtlAppendUnicodeToString, RtlIntegerToUnicodeString, KeSetEvent, ZwNotifyChangeKey, KeCancelTimer, KeSetTimerEx, _wcsicmp, ZwQuerySymbolicLinkObject, ZwOpenSymbolicLinkObject, memmove, RtlTimeToTimeFields, IoFreeMdl, MmBuildMdlForNonPagedPool, IoAllocateMdl, MmUnmapLockedPages, MmUnsecureVirtualMemory, DbgPrint, ObQueryNameString, RtlCompareUnicodeString, RtlFreeUnicodeString, RtlStringFromGUID, ExUuidCreate, strstr, IofCallDriver, IoBuildDeviceIoControlRequest, KeInitializeEvent, IoGetDeviceObjectPointer, MmUnlockPages, MmProbeAndLockProcessPages, NtAllocateVirtualMemory, KeInsertQueueApc, KeInitializeApc, PsLookupThreadByThreadId, PsGetCurrentThreadId, ExAllocatePool, ZwCreateFile, KeResetEvent, MmIsAddressValid, KeServiceDescriptorTable, KeAddSystemServiceTable, PsGetCurrentProcessId, ExGetPreviousMode, ZwOpenKey, ZwEnumerateKey, ZwQueryValueKey, ZwDeleteKey, ZwSetValueKey, ExfInterlockedInsertTailList, NtAddAtom, MmProbeAndLockPages, RtlAnsiStringToUnicodeString, RtlInitAnsiString, RtlInitString, RtlCompareString, KeLeaveCriticalRegion, ExReleaseResourceLite, ExAcquireResourceExclusiveLite, KeEnterCriticalRegion, InitSafeBootMode, PsGetVersion, IofCompleteRequest, ExfInterlockedInsertHeadList, IoDeleteDevice, IoCreateSymbolicLink, IoRegisterShutdownNotification, IoCreateDevice, ExRegisterCallback, ExCreateCallback, KeInitializeTimerEx, KeClearEvent, IoCreateNotificationEvent, PsSetLoadImageNotifyRoutine, PsSetCreateThreadNotifyRoutine, PsSetCreateProcessNotifyRoutine, ExInitializeResourceLite, IoDetachDevice, PoCallDriver, PoStartNextPowerIrp, RtlAssert, PsTerminateSystemThread, KeWaitForMultipleObjects, KeReleaseMutex, KeReadStateEvent, ExfInterlockedRemoveHeadList, ExUnregisterCallback, sprintf, ExIsResourceAcquiredExclusiveLite, ExAcquireResourceSharedLite, ExIsResourceAcquiredSharedLite, IoGetRelatedDeviceObject, ZwOpenFile, ZwWaitForSingleObject, ZwQueryDirectoryFile, ZwCreateEvent, RtlEqualUnicodeString, KeBugCheckEx, ZwSetInformationFile, ZwClose, wcsncpy, ExFreePoolWithTag, IoCreateSynchronizationEvent, ExAllocatePoolWithTag
> HAL.dll: KfReleaseSpinLock, KeGetCurrentIrql, ExAcquireFastMutex, ExReleaseFastMutex, KfAcquireSpinLock

( 0 exports )

packers (Kaspersky): PE_Patch





Análisis del archivo PnPsvr.exe recibido el 16.05.2008 05:38:19 (CET)
Estado actual: Cargando ... en cola en espera en proceso análisis terminado NO ENCONTRADO DETENIDO


Resultado: 3/32 (9.38%)
Cargando información del servidor..
Su archivo se encuentra encolado en la posición: 1.
Se estima que tendrá que esperar entre 37 y 53 segundos
hasta el comienzo del análisis.
No cierre la ventana hasta se haya completado el análisis.
El analizador que estaba procesando su muestra se encuentra detenido,
se va a esperar unos segundos por si fuera posible recuperar el resultado.
Si lleva esperando varios minutos necesitará reenviar su archivo de nuevo.
Su archivo está siendo analizado por VirusTotal en estos momentos,
los resultados se iran mostrando a continuación.
Compactar Imprimir resultados

La muestra ha caducado o no existe.
El sistema se encuentra detenido en estos momentos, su muestra se encuentra a la espera de ser analizada (posicion: ) por un tiempo indefinido.

Usted puede continuar esperando la respuesta por web (se recargará automaticamente) o bien introducir su email en el siguiente formulario y pulsar el botón "solicitar" para que la respuesta le sea automaticamente remitida por correo electrónico.
Email:


Motor antivirus Versión Última actualización Resultado
AhnLab-V3 2008.5.15.0 2008.05.15 -
AntiVir 7.8.0.17 2008.05.15 -
Authentium 5.1.0.4 2008.05.16 -
Avast 4.8.1169.0 2008.05.12 -
AVG 7.5.0.516 2008.05.15 -
BitDefender 7.2 2008.05.16 -
CAT-QuickHeal 9.50 2008.05.15 -
ClamAV 0.92.1 2008.05.16 -
DrWeb 4.44.0.09170 2008.05.16 -
eSafe 7.0.15.0 2008.05.14 -
eTrust-Vet 31.4.5788 2008.05.14 -
Ewido 4.0 2008.05.14 -
F-Prot 4.4.2.54 2008.05.15 -
F-Secure 6.70.13260.0 2008.05.16 -
Fortinet 3.14.0.0 2008.05.15 -
GData 2.0.7306.1023 2008.05.16 -
Ikarus T3.1.1.26.0 2008.05.16 -
Kaspersky 7.0.0.125 2008.05.16 -
McAfee 5295 2008.05.14 -
Microsoft 1.3408 2008.05.13 -
NOD32v2 3103 2008.05.16 -
Norman 5.80.02 2008.05.15 -
Panda 9.0.0.4 2008.05.15 -
Prevx1 V2 2008.05.16 Malicious Software
Rising 20.44.32.00 2008.05.15 -
Sophos 4.29.0 2008.05.16 Sus/UnkPacker
Sunbelt 3.0.1114.0 2008.05.12 -
Symantec 10 2008.05.16 -
TheHacker 6.2.92.311 2008.05.15 -
VBA32 3.12.6.6 2008.05.15 -
VirusBuster 4.3.26:9 2008.05.15 -
Webwasher-Gateway 6.6.2 2008.05.15 Virus.Win32.FileInfector.gen (suspicious)
Información adicional
Tamano archivo: 4448256 bytes
MD5...: 40591d57ba6f92cc45385c7fed550e97
SHA1..: 0af1107ae6588ebc6977e0272f1c4c792630f2fd
SHA256: f405ffecf634b02ef259512690d2debdcaa83d4a5c4b8ecbdd 47e046d5b68a89
SHA512: 1f9f6acb39fc5402ac2b38fee8efa2d94f0cce1568c4af3109 901390ecc94015
04a4c390c3f0e04562c9f33e291931b2c679a155fb5bf77d4e 92f5534f5267d4
PEiD..: Armadillo v1.71
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x66c10b
timedatestamp.....: 0x2a425e19 (Fri Jun 19 22:22:17 1992)
machinetype.......: 0x14c (I386)

( 13 sections )
name viradd virsiz rawdsiz ntrpy md5
CODE 0x1000 0x1f4cc4 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e
DATA 0x1f6000 0x8ef0 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e
BSS 0x1ff000 0x93c9 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e
.idata 0x209000 0x390e 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e
.tls 0x20d000 0x54 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e
.rdata 0x20e000 0x1d 0x1000 0.05 acf76da36b88379f5409206b9e73a044
.reloc 0x20f000 0x1f938 0x20000 6.64 ee4d94e95e43c7366eced1821f158cec
.text 0x22f000 0x50000 0x43000 6.41 2e4832eb7f9de71da91473c217dc0cc1
.adata 0x27f000 0x10000 0xd000 0.00 938d6d97628275a512e07c66be5ccecf
.data 0x28f000 0x10000 0xa000 3.14 95315945c6a42854c43e400ae82b5003
.reloc1 0x29f000 0x10000 0x4000 6.30 e7d1cfaa392f254d4659109d782c6849
.pdata 0x2af000 0x3c0000 0x3b3000 7.98 617bdb014fe01b077230e886429bba11
.rsrc 0x66f000 0x1d5000 0xa000 5.40 252df74b0330529a9267774cb6b97c10

( 3 imports )
> KERNEL32.dll: CreateThread, GlobalUnlock, GlobalLock, GlobalAlloc, GetTickCount, WideCharToMultiByte, IsBadReadPtr, GlobalAddAtomA, GlobalAddAtomW, GetModuleHandleA, GlobalFree, GlobalGetAtomNameA, GlobalDeleteAtom, GlobalGetAtomNameW, FreeConsole, GetEnvironmentVariableA, VirtualProtect, VirtualAlloc, GetProcAddress, GetLastError, LoadLibraryA, SetLastError, SetThreadPriority, GetCurrentThread, CreateProcessA, GetCommandLineA, GetStartupInfoA, SetEnvironmentVariableA, ReleaseMutex, WaitForSingleObject, CreateMutexA, OpenMutexA, GetCurrentThreadId, ReadFile, GetFileSize, CreateFileA, FindClose, FindFirstFileA, FindFirstFileW, VirtualQueryEx, GetExitCodeProcess, ReadProcessMemory, UnmapViewOfFile, ContinueDebugEvent, SetThreadContext, GetThreadContext, WaitForDebugEvent, CloseHandle, DebugActiveProcess, ResumeThread, CreateProcessW, GetCommandLineW, GetStartupInfoW, MapViewOfFile, DuplicateHandle, GetCurrentProcess, CreateFileMappingA, VirtualProtectEx, WriteProcessMemory, ExitProcess, GetLocalTime, CompareStringA, FlushFileBuffers, LCMapStringW, LCMapStringA, SetStdHandle, GetOEMCP, GetACP, GetCPInfo, CompareStringW, GetStringTypeW, GetStringTypeA, MultiByteToWideChar, SetFilePointer, HeapReAlloc, WriteFile, VirtualFree, HeapCreate, HeapDestroy, GetFileType, GetStdHandle, SetHandleCount, GetEnvironmentStringsW, GetEnvironmentStrings, FreeEnvironmentStringsW, FreeEnvironmentStringsA, UnhandledExceptionFilter, HeapFree, HeapAlloc, GetVersion, GetSystemTime, GetTimeZoneInformation, RtlUnwind, TerminateProcess, Sleep, EnterCriticalSection, LeaveCriticalSection, GetVersionExA, InitializeCriticalSection, GetCurrentProcessId, GetModuleFileNameW, GetShortPathNameW, GetModuleFileNameA, SuspendThread, GetShortPathNameA
> USER32.dll: GetDesktopWindow, MoveWindow, SetPropA, EnumThreadWindows, GetPropA, GetMessageA, BeginPaint, EndPaint, KillTimer, GetAsyncKeyState, GetSystemMetrics, SetTimer, SetWindowTextA, GetDlgItem, CreateDialogIndirectParamA, ShowWindow, UpdateWindow, LoadStringA, LoadStringW, FindWindowA, WaitForInputIdle, DestroyWindow, MessageBoxA, InSendMessage, UnpackDDElParam, FreeDDElParam, DefWindowProcA, LoadCursorA, RegisterClassW, CreateWindowExW, RegisterClassA, CreateWindowExA, GetWindowThreadProcessId, SendMessageW, SendMessageA, TranslateMessage, DispatchMessageA, EnumWindows, IsWindowUnicode, PackDDElParam, PostMessageW, PostMessageA, IsWindow, PeekMessageA
> GDI32.dll: DeleteDC, RealizePalette, SelectPalette, CreateDCA, CreatePalette, DeleteObject, BitBlt, SelectObject, CreateCompatibleDC, CreateDIBitmap

( 0 exports )

Prevx info: http://info.prevx.com/aboutprogramtext.asp?PX5=8BFBE07400939D4CE07243D1A EF96400A9CA81C8
packers (Kaspersky): Armadillo








Análisis del archivo Mraid3ex.sys recibido el 16.05.2008 05:47:16 (CET)
Estado actual: Cargando ... en cola en espera en proceso análisis terminado NO ENCONTRADO DETENIDO


Resultado: 0/32 (0%)
Cargando información del servidor..
Su archivo se encuentra encolado en la posición: ___.
Se estima que tendrá que esperar entre ___ y ___
hasta el comienzo del análisis.
No cierre la ventana hasta se haya completado el análisis.
El analizador que estaba procesando su muestra se encuentra detenido,
se va a esperar unos segundos por si fuera posible recuperar el resultado.
Si lleva esperando varios minutos necesitará reenviar su archivo de nuevo.
Su archivo está siendo analizado por VirusTotal en estos momentos,
los resultados se iran mostrando a continuación.
Compactar Imprimir resultados

La muestra ha caducado o no existe.
El sistema se encuentra detenido en estos momentos, su muestra se encuentra a la espera de ser analizada (posicion: ) por un tiempo indefinido.

Usted puede continuar esperando la respuesta por web (se recargará automaticamente) o bien introducir su email en el siguiente formulario y pulsar el botón "solicitar" para que la respuesta le sea automaticamente remitida por correo electrónico.
Email:


Motor antivirus Versión Última actualización Resultado
AhnLab-V3 2008.5.15.0 2008.05.15 -
AntiVir 7.8.0.17 2008.05.15 -
Authentium 5.1.0.4 2008.05.16 -
Avast 4.8.1195.0 2008.05.14 -
AVG 7.5.0.516 2008.05.15 -
BitDefender 7.2 2008.05.16 -
CAT-QuickHeal 9.50 2008.05.15 -
ClamAV 0.92.1 2008.05.16 -
DrWeb 4.44.0.09170 2008.05.16 -
eSafe 7.0.15.0 2008.05.14 -
eTrust-Vet 31.4.5788 2008.05.14 -
Ewido 4.0 2008.05.14 -
F-Prot 4.4.2.54 2008.05.15 -
F-Secure 6.70.13260.0 2008.05.16 -
Fortinet 3.14.0.0 2008.05.15 -
GData 2.0.7306.1023 2008.05.16 -
Ikarus T3.1.1.26.0 2008.05.16 -
Kaspersky 7.0.0.125 2008.05.16 -
McAfee 5295 2008.05.14 -
Microsoft 1.3408 2008.05.13 -
NOD32v2 3103 2008.05.16 -
Norman 5.80.02 2008.05.15 -
Panda 9.0.0.4 2008.05.15 -
Prevx1 V2 2008.05.16 -
Rising 20.44.32.00 2008.05.15 -
Sophos 4.29.0 2008.05.16 -
Sunbelt 3.0.1114.0 2008.05.12 -
Symantec 10 2008.05.16 -
TheHacker 6.2.92.311 2008.05.15 -
VBA32 3.12.6.6 2008.05.15 -
VirusBuster 4.3.26:9 2008.05.15 -
Webwasher-Gateway 6.6.2 2008.05.16 -
Información adicional
Tamano archivo: 20480 bytes
MD5...: 88f1a2d6f370517b5b42628ea5594b99
SHA1..: b174a1cb99946edb5dc927eef0efbee251ca8ba9
SHA256: 44a5cd720987d462f08f56cf48bcd735c924bd3365c9eb65c6 a9d292680398eb
SHA512: bd8ccdd8c86a43b72aa0bd64ebd0d66fdda2d5d5a4d7441089 8db9b5a802e573
ba64a4e9d246b33adc2f2e3ddb1b70c4e141c5e5468a428c1a 1ac93698ad61e0
PEiD..: -
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x18005
timedatestamp.....: 0x47f275f1 (Tue Apr 01 17:50:41 2008)
machinetype.......: 0x14c (I386)

( 7 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x3420 0x3600 6.24 a4ad206453dd99f0ea87309d3d9efefb
.rdata 0x5000 0x144 0x200 2.12 2c56dbf3c656c10da36abb12b710c518
.data 0x6000 0x140 0x200 1.07 52d3da0af7c8c9dcddb24499506f6404
encrypte 0x7000 0x218 0x400 4.17 07b73e894fd16045ab669a5c3b5baf32
INIT 0x8000 0x5da 0x600 5.33 1c6a5a8893159edce7ced60dc8e98b5d
.rsrc 0x9000 0x2b8 0x400 2.37 ffcb125b57b0858753408b90a473268d
.reloc 0xa000 0x3a6 0x400 5.12 30e9f6ab44cd9420e8940f9593e14550

( 2 imports )
> ntoskrnl.exe: IoRegisterFsRegistrationChange, ExFreePoolWithTag, IoDeleteDevice, ExAllocatePoolWithTag, IoCreateDevice, RtlAppendUnicodeStringToString, RtlAppendUnicodeToString, ExAllocatePool, InitSafeBootMode, memset, memcpy, PsGetVersion, MmGetSystemRoutineAddress, IoDetachDevice, IoThreadToProcess, IofCallDriver, IofCompleteRequest, _wcsupr, KeSetEvent, ExQueueWorkItem, KeUnstackDetachProcess, KeStackAttachProcess, RtlInitUnicodeString, IoBuildSynchronousFsdRequest, KeClearEvent, IoAttachDeviceToDeviceStack, KeDelayExecutionThread, RtlCopyUnicodeString, ObQueryNameString, ObfReferenceObject, IoBuildDeviceIoControlRequest, RtlEqualUnicodeString, RtlCompareUnicodeString, ExReleaseResourceLite, ExAcquireResourceExclusiveLite, ExIsResourceAcquiredExclusiveLite, ExAcquireResourceSharedLite, ExIsResourceAcquiredSharedLite, _wcsicmp, wcsstr, ExInitializeResourceLite, KeTickCount, KeBugCheckEx, RtlUnwind, IoGetDeviceObjectPointer, ObfDereferenceObject, KeWaitForSingleObject, KeInitializeEvent
> HAL.dll: ExReleaseFastMutex, KeGetCurrentIrql, ExAcquireFastMutex

( 0 exports )






Análisis del archivo Smix86.dll recibido el 16.05.2008 05:43:04 (CET)
Estado actual: análisis terminado

Resultado: 0/32 (0.00%)
Compactar Imprimir resultados

Motor antivirus Versión Última actualización Resultado
AhnLab-V3 2008.5.15.0 2008.05.15 -
AntiVir 7.8.0.17 2008.05.15 -
Authentium 5.1.0.4 2008.05.16 -
Avast 4.8.1195.0 2008.05.14 -
AVG 7.5.0.516 2008.05.15 -
BitDefender 7.2 2008.05.16 -
CAT-QuickHeal 9.50 2008.05.15 -
ClamAV 0.92.1 2008.05.16 -
DrWeb 4.44.0.09170 2008.05.16 -
eSafe 7.0.15.0 2008.05.14 -
eTrust-Vet 31.4.5788 2008.05.14 -
Ewido 4.0 2008.05.14 -
F-Prot 4.4.2.54 2008.05.15 -
F-Secure 6.70.13260.0 2008.05.16 -
Fortinet 3.14.0.0 2008.05.15 -
GData 2.0.7306.1023 2008.05.16 -
Ikarus T3.1.1.26.0 2008.05.16 -
Kaspersky 7.0.0.125 2008.05.16 -
McAfee 5295 2008.05.14 -
Microsoft 1.3408 2008.05.13 -
NOD32v2 3103 2008.05.16 -
Norman 5.80.02 2008.05.15 -
Panda 9.0.0.4 2008.05.15 -
Prevx1 V2 2008.05.16 -
Rising 20.44.32.00 2008.05.15 -
Sophos 4.29.0 2008.05.16 -
Sunbelt 3.0.1114.0 2008.05.12 -
Symantec 10 2008.05.16 -
TheHacker 6.2.92.311 2008.05.15 -
VBA32 3.12.6.6 2008.05.15 -
VirusBuster 4.3.26:9 2008.05.15 -
Webwasher-Gateway 6.6.2 2008.05.16 -
Información adicional
Tamano archivo: 941568 bytes
MD5...: f0d17cf16f8902621513cdf1d6eec4c0
SHA1..: 91d3134fe2db57e5d10a482c91ee7ceb6b778165
SHA256: 75b7a31ba6249e91771047d9295d4197a86aa1c381b7aa1909 a6f1e8fd9adcad
SHA512: 8c824ccc5764fedf05481bd1ce04289f6442aafabff677e8cf 0c8b5c494fe998
501db372e1aad4e8d1a27d08662bc06303dada222a6b92d24f bcb3b845f7ed99
PEiD..: -
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x1007af41
timedatestamp.....: 0x47e15f84 (Wed Mar 19 18:46:28 2008)
machinetype.......: 0x14c (I386)

( 5 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x98d2f 0x98e00 6.73 06fa4dd840763bb888bf633e645456f3
.rdata 0x9a000 0x29481 0x29600 5.73 e896128685a5663cfd3aa12a7212d38b
.data 0xc4000 0x17b68 0x12000 5.58 1f196b5365dfbd49249f08cf34588dfa
.rsrc 0xdc000 0x3984 0x3a00 3.66 24307f7586c880833a128b7a197b83f3
.reloc 0xe0000 0xda98 0xdc00 5.33 59bd01d8fa2cfefb022550039bc590de

( 9 imports )
> KERNEL32.dll: RtlUnwind, HeapFree, HeapAlloc, HeapReAlloc, GetSystemTimeAsFileTime, RaiseException, GetCommandLineA, GetProcessHeap, UnhandledExceptionFilter, SetUnhandledExceptionFilter, SetConsoleCtrlHandler, ExitProcess, VirtualAlloc, HeapSize, TerminateProcess, IsDebuggerPresent, GetCPInfo, GetACP, GetOEMCP, IsValidCodePage, LCMapStringA, LCMapStringW, HeapDestroy, HeapCreate, GetTimeFormatA, GetDateFormatA, SetHandleCount, GetStartupInfoA, GetModuleFileNameA, FreeEnvironmentStringsA, GetEnvironmentStrings, FreeEnvironmentStringsW, GetEnvironmentStringsW, GetConsoleCP, GetConsoleMode, SetStdHandle, GetStringTypeA, GetStringTypeW, GetUserDefaultLCID, GetLocaleInfoA, EnumSystemLocalesA, IsValidLocale, SetEnvironmentVariableA, WriteConsoleA, GetConsoleOutputCP, WriteConsoleW, CreateFileA, FileTimeToLocalFileTime, FileTimeToSystemTime, GetCurrentProcess, FlushFileBuffers, GetThreadLocale, GlobalFindAtomW, InterlockedIncrement, CompareStringW, GlobalFlags, GetModuleHandleA, WritePrivateProfileStringW, SetErrorMode, TlsFree, LocalReAlloc, TlsSetValue, TlsAlloc, GlobalHandle, GlobalReAlloc, GetDriveTypeA, ReadConsoleInputA, TlsGetValue, LocalAlloc, InterlockedDecrement, GlobalFree, GlobalUnlock, GlobalAddAtomW, GlobalDeleteAtom, GetCurrentThread, ConvertDefaultLocale, GetModuleFileNameW, EnumResourceLanguagesW, GetLocaleInfoW, CompareStringA, SetConsoleMode, GetFullPathNameA, GetCurrentDirectoryA, InterlockedExchange, GlobalLock, lstrcmpW, GlobalAlloc, GetModuleHandleW, FlushConsoleInputBuffer, GetVersionExA, LoadLibraryA, GlobalMemoryStatus, GetCurrentProcessId, QueryPerformanceCounter, GetTickCount, FindClose, FindFirstFileA, GetStdHandle, GetFileType, GetVersion, GetCurrentThreadId, WaitForSingleObject, FreeLibrary, SetFilePointer, SetEndOfFile, GetTimeZoneInformation, LoadLibraryW, GetProcAddress, WriteFile, CreateFileW, GetFileSize, CloseHandle, ReadFile, lstrcpynW, FormatMessageW, LocalFree, lstrlenA, lstrlenW, WideCharToMultiByte, MultiByteToWideChar, SetLastError, GetLastError, Sleep, lstrcpyW, FindResourceW, LoadResource, LockResource, SizeofResource, LeaveCriticalSection, EnterCriticalSection, DeleteCriticalSection, VirtualFree, InitializeCriticalSection
> USER32.dll: ShowWindow, RegisterWindowMessageW, LoadIconW, WinHelpW, GetCapture, GetClassLongW, SetPropW, GetPropW, RemovePropW, IsWindow, GetForegroundWindow, GetDlgItem, GetTopWindow, DestroyWindow, GetMessageTime, GetMessagePos, MapWindowPoints, SetForegroundWindow, GetClientRect, GetMenu, GetSysColorBrush, GetClassInfoW, RegisterClassW, AdjustWindowRectEx, CopyRect, DefWindowProcW, CallWindowProcW, SetWindowLongW, SystemParametersInfoA, IsIconic, GetWindowPlacement, GetSystemMetrics, GetWindow, GetDlgCtrlID, GetWindowRect, GetClassNameW, PtInRect, GetWindowTextW, SetWindowTextW, GetSysColor, ReleaseDC, GetDC, ClientToScreen, GrayStringW, DrawTextExW, DrawTextW, TabbedTextOutW, UnregisterClassW, UnhookWindowsHookEx, GetMenuItemID, GetMenuItemCount, GetSubMenu, LoadCursorW, DestroyMenu, CreateWindowExW, GetClassInfoExW, GetWindowThreadProcessId, GetWindowLongW, GetLastActivePopup, IsWindowEnabled, EnableWindow, MessageBoxW, SetCursor, SetWindowsHookExW, CallNextHookEx, GetMessageW, TranslateMessage, DispatchMessageW, GetActiveWindow, IsWindowVisible, GetKeyState, PeekMessageW, GetCursorPos, ValidateRect, SetMenuItemBitmaps, GetMenuCheckMarkDimensions, LoadBitmapW, GetFocus, GetParent, SendMessageW, ModifyMenuW, GetMenuState, EnableMenuItem, CheckMenuItem, PostMessageW, PostQuitMessage, MessageBoxA, GetDesktopWindow, GetProcessWindowStation, GetUserObjectInformationW, SetWindowPos, UnregisterClassA
> GDI32.dll: GetStockObject, ScaleWindowExtEx, SetWindowExtEx, ScaleViewportExtEx, SetViewportExtEx, OffsetViewportOrgEx, SetViewportOrgEx, Escape, ExtTextOutW, TextOutW, RectVisible, PtVisible, GetClipBox, SetMapMode, SetTextColor, SetBkColor, RestoreDC, SaveDC, CreateBitmap, GetDeviceCaps, DeleteDC, DeleteObject, SelectObject
> WINSPOOL.DRV: DocumentPropertiesW, OpenPrinterW, ClosePrinter
> ADVAPI32.dll: RegSetValueExW, RegCreateKeyExW, RegQueryValueW, RegOpenKeyW, RegEnumKeyW, RegDeleteKeyW, RegOpenKeyExW, RegQueryValueExW, RegCloseKey, RegisterEventSourceA, ReportEventA, DeregisterEventSource, CryptGetHashParam, CryptDestroyHash, CryptCreateHash, CryptHashData, CryptReleaseContext, CryptAcquireContextW
> SHLWAPI.dll: PathFindExtensionW, PathFindFileNameW
> OLEAUT32.dll: -, -, -
> WS2_32.dll: -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -
> RPCRT4.dll: RpcStringFreeW, UuidCreate, UuidToStringW

( 0 exports )








Análisis del archivo ULIAGPnt.sys recibido el 16.05.2008 0655 (CET)
Estado actual: Cargando ... en cola en espera en proceso análisis terminado NO ENCONTRADO DETENIDO


Resultado: 0/32 (0%)
Cargando información del servidor..
Su archivo se encuentra encolado en la posición: ___.
Se estima que tendrá que esperar entre ___ y ___
hasta el comienzo del análisis.
No cierre la ventana hasta se haya completado el análisis.
El analizador que estaba procesando su muestra se encuentra detenido,
se va a esperar unos segundos por si fuera posible recuperar el resultado.
Si lleva esperando varios minutos necesitará reenviar su archivo de nuevo.
Su archivo está siendo analizado por VirusTotal en estos momentos,
los resultados se iran mostrando a continuación.
Compactar Imprimir resultados

La muestra ha caducado o no existe.
El sistema se encuentra detenido en estos momentos, su muestra se encuentra a la espera de ser analizada (posicion: ) por un tiempo indefinido.

Usted puede continuar esperando la respuesta por web (se recargará automaticamente) o bien introducir su email en el siguiente formulario y pulsar el botón "solicitar" para que la respuesta le sea automaticamente remitida por correo electrónico.
Email:


Motor antivirus Versión Última actualización Resultado
AhnLab-V3 2008.5.15.0 2008.05.15 -
AntiVir 7.8.0.17 2008.05.15 -
Authentium 5.1.0.4 2008.05.16 -
Avast 4.8.1169.0 2008.05.12 -
AVG 7.5.0.516 2008.05.15 -
BitDefender 7.2 2008.05.16 -
CAT-QuickHeal 9.50 2008.05.15 -
ClamAV 0.92.1 2008.05.16 -
DrWeb 4.44.0.09170 2008.05.16 -
eSafe 7.0.15.0 2008.05.14 -
eTrust-Vet 31.4.5788 2008.05.14 -
Ewido 4.0 2008.05.14 -
F-Prot 4.4.2.54 2008.05.15 -
F-Secure 6.70.13260.0 2008.05.16 -
Fortinet 3.14.0.0 2008.05.15 -
GData 2.0.7306.1023 2008.05.16 -
Ikarus T3.1.1.26.0 2008.05.16 -
Kaspersky 7.0.0.125 2008.05.16 -
McAfee 5295 2008.05.14 -
Microsoft 1.3408 2008.05.13 -
NOD32v2 3103 2008.05.16 -
Norman 5.80.02 2008.05.15 -
Panda 9.0.0.4 2008.05.15 -
Prevx1 V2 2008.05.16 -
Rising 20.44.32.00 2008.05.15 -
Sophos 4.29.0 2008.05.16 -
Sunbelt 3.0.1114.0 2008.05.12 -
Symantec 10 2008.05.16 -
TheHacker 6.2.92.311 2008.05.15 -
VBA32 3.12.6.6 2008.05.15 -
VirusBuster 4.3.26:9 2008.05.15 -
Webwasher-Gateway 6.6.2 2008.05.15 -
Información adicional
Tamano archivo: 10240 bytes
MD5...: 855d6b554b20f4bb82cd5cf5f6db9c88
SHA1..: 71df9642aed74398b39cf6e5449940c0e68e5b76
SHA256: d8424521365df2284e742022b6e8b2728335aa42b43c99e317 e82fa67aa9db76
SHA512: aae0bd3770e9f5249bb3eb9ebcc5e755fd804e60a6b8f359a4 2fac541ee7d8d2
42b26d04ac7457dba5d9e8c3193ec520be59acdc96ad7fe52e 1600081aa87fc5
PEiD..: -
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x16005
timedatestamp.....: 0x47e3fbab (Fri Mar 21 18:17:15 2008)
machinetype.......: 0x14c (I386)

( 6 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x150c 0x1600 6.11 96234e187baab35e160bcf98e39999b7
.rdata 0x3000 0x174 0x200 3.34 bc33931b67e706db1b408c680ca1f5d5
.data 0x4000 0x60 0x200 0.52 2d2892cbf328a77571376ada356719d3
encrypte 0x5000 0x2e 0x200 0.87 045b214c06ef33670f043b9526e3c302
INIT 0x6000 0x4a0 0x600 4.44 c6986eed2a5fd777741970a37caa963f
.reloc 0x7000 0x1cc 0x200 4.32 4726f5928521cfcc7c9531b764e92160

( 3 imports )
> ntoskrnl.exe: RtlInitUnicodeString, KeWaitForSingleObject, ExAllocatePool, ExNotifyCallback, IoQueueWorkItem, IoAllocateWorkItem, KeDelayExecutionThread, IoDeleteDevice, KeInitializeEvent, PsCreateSystemThread, IoCreateDevice, ExCreateCallback, KeTickCount, KeBugCheckEx, RtlAppendUnicodeToString, RtlAppendUnicodeStringToString, ZwClose, KeSetEvent, IoFreeWorkItem, MmMapLockedPagesSpecifyCache, memcpy, ExAllocatePoolWithTag, ExFreePoolWithTag, PsTerminateSystemThread, memset
> HAL.dll: KeReleaseInStackQueuedSpinLock, KeAcquireInStackQueuedSpinLock
> fwpkclnt.sys: FwpmTransactionCommit0, FwpmTransactionAbort0, FwpmEngineClose0, FwpmTransactionBegin0, FwpsCalloutRegister0, FwpmCalloutAdd0, FwpmFilterAdd0, FwpsCalloutUnregisterById0, FwpmEngineOpen0, FwpsFlowAssociateContext0, FwpsFlowRemoveContext0

( 0 exports )






Análisis del archivo ULIAGPnt.sys recibido el 16.05.2008 0655 (CET)
Estado actual: Cargando ... en cola en espera en proceso análisis terminado NO ENCONTRADO DETENIDO


Resultado: 0/32 (0%)
Cargando información del servidor..
Su archivo se encuentra encolado en la posición: ___.
Se estima que tendrá que esperar entre ___ y ___
hasta el comienzo del análisis.
No cierre la ventana hasta se haya completado el análisis.
El analizador que estaba procesando su muestra se encuentra detenido,
se va a esperar unos segundos por si fuera posible recuperar el resultado.
Si lleva esperando varios minutos necesitará reenviar su archivo de nuevo.
Su archivo está siendo analizado por VirusTotal en estos momentos,
los resultados se iran mostrando a continuación.
Compactar Imprimir resultados

La muestra ha caducado o no existe.
El sistema se encuentra detenido en estos momentos, su muestra se encuentra a la espera de ser analizada (posicion: ) por un tiempo indefinido.

Usted puede continuar esperando la respuesta por web (se recargará automaticamente) o bien introducir su email en el siguiente formulario y pulsar el botón "solicitar" para que la respuesta le sea automaticamente remitida por correo electrónico.
Email:


Motor antivirus Versión Última actualización Resultado
AhnLab-V3 2008.5.15.0 2008.05.15 -
AntiVir 7.8.0.17 2008.05.15 -
Authentium 5.1.0.4 2008.05.16 -
Avast 4.8.1169.0 2008.05.12 -
AVG 7.5.0.516 2008.05.15 -
BitDefender 7.2 2008.05.16 -
CAT-QuickHeal 9.50 2008.05.15 -
ClamAV 0.92.1 2008.05.16 -
DrWeb 4.44.0.09170 2008.05.16 -
eSafe 7.0.15.0 2008.05.14 -
eTrust-Vet 31.4.5788 2008.05.14 -
Ewido 4.0 2008.05.14 -
F-Prot 4.4.2.54 2008.05.15 -
F-Secure 6.70.13260.0 2008.05.16 -
Fortinet 3.14.0.0 2008.05.15 -
GData 2.0.7306.1023 2008.05.16 -
Ikarus T3.1.1.26.0 2008.05.16 -
Kaspersky 7.0.0.125 2008.05.16 -
McAfee 5295 2008.05.14 -
Microsoft 1.3408 2008.05.13 -
NOD32v2 3103 2008.05.16 -
Norman 5.80.02 2008.05.15 -
Panda 9.0.0.4 2008.05.15 -
Prevx1 V2 2008.05.16 -
Rising 20.44.32.00 2008.05.15 -
Sophos 4.29.0 2008.05.16 -
Sunbelt 3.0.1114.0 2008.05.12 -
Symantec 10 2008.05.16 -
TheHacker 6.2.92.311 2008.05.15 -
VBA32 3.12.6.6 2008.05.15 -
VirusBuster 4.3.26:9 2008.05.15 -
Webwasher-Gateway 6.6.2 2008.05.15 -
Información adicional
Tamano archivo: 10240 bytes
MD5...: 855d6b554b20f4bb82cd5cf5f6db9c88
SHA1..: 71df9642aed74398b39cf6e5449940c0e68e5b76
SHA256: d8424521365df2284e742022b6e8b2728335aa42b43c99e317 e82fa67aa9db76
SHA512: aae0bd3770e9f5249bb3eb9ebcc5e755fd804e60a6b8f359a4 2fac541ee7d8d2
42b26d04ac7457dba5d9e8c3193ec520be59acdc96ad7fe52e 1600081aa87fc5
PEiD..: -
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x16005
timedatestamp.....: 0x47e3fbab (Fri Mar 21 18:17:15 2008)
machinetype.......: 0x14c (I386)

( 6 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x150c 0x1600 6.11 96234e187baab35e160bcf98e39999b7
.rdata 0x3000 0x174 0x200 3.34 bc33931b67e706db1b408c680ca1f5d5
.data 0x4000 0x60 0x200 0.52 2d2892cbf328a77571376ada356719d3
encrypte 0x5000 0x2e 0x200 0.87 045b214c06ef33670f043b9526e3c302
INIT 0x6000 0x4a0 0x600 4.44 c6986eed2a5fd777741970a37caa963f
.reloc 0x7000 0x1cc 0x200 4.32 4726f5928521cfcc7c9531b764e92160

( 3 imports )
> ntoskrnl.exe: RtlInitUnicodeString, KeWaitForSingleObject, ExAllocatePool, ExNotifyCallback, IoQueueWorkItem, IoAllocateWorkItem, KeDelayExecutionThread, IoDeleteDevice, KeInitializeEvent, PsCreateSystemThread, IoCreateDevice, ExCreateCallback, KeTickCount, KeBugCheckEx, RtlAppendUnicodeToString, RtlAppendUnicodeStringToString, ZwClose, KeSetEvent, IoFreeWorkItem, MmMapLockedPagesSpecifyCache, memcpy, ExAllocatePoolWithTag, ExFreePoolWithTag, PsTerminateSystemThread, memset
> HAL.dll: KeReleaseInStackQueuedSpinLock, KeAcquireInStackQueuedSpinLock
> fwpkclnt.sys: FwpmTransactionCommit0, FwpmTransactionAbort0, FwpmEngineClose0, FwpmTransactionBegin0, FwpsCalloutRegister0, FwpmCalloutAdd0, FwpmFilterAdd0, FwpsCalloutUnregisterById0, FwpmEngineOpen0, FwpsFlowAssociateContext0, FwpsFlowRemoveContext0

( 0 exports )






Use como indicaste el ComboFix. No se si funcionó o no. Me marco un error al buscar una carpeta o algo parecido. Lamento no poder indicar esto con mayor detalle pero al precionar ´2´para salir el CF desapareció.


Te comento, ademas, que hice una Restauración y el EliteKeylogger ya no está más. O eso creo al menos. Y, aunque no lo creas recibí finalmente respuesta del Equipo tecnico del EK. Respondieron esto:

Dear nakillo,

So, right now you have to do the following:

1. Remove the version with the bug:

Please, use the attached remover program in the Safe Mode to
uninstall Elite Keylogger. Please, rename the file to ek_tool.zip,
unpack it and run. Select the option to uninstall and input
'iwishitworkedwithoutuninstalling' when asked.

This will remove Elite Keylogger.



Como veras me mandaron tambien lo necesario para desinstalar. La verdad es que a esta altura no se si ejecutarlo o no. Espero que me ayudes.


Muchas Gracias.

Hola Nuevamente.

Bueno te voy a Indicar por pasos como entendi la respuesta que te enviaron.

Realiza lo Siguiente:

Reinicia a Modo Prueba de Fallos (Modo Seguro)
Busca un Archivo Zip que me supongo debes saber donde esta, este descomprimelo, si no lo puedes descomprimir y ves que el archivo no se puede abrir con ningun programa, cambiale el nombre a ek_tool.zip "aunque el nombre no siginifica nada, lo importante es la Infeccion"

Descomprimelo y ejecuta el desinstalador o quiza salga uninstall, al ejecutarse seleccion la opcion desinstalar.

En Cuanto a los archivos ninguno esta infectado.

Saludos nos comentas y avisanos si podemos dar el tema por terminado.

__________________

Hola

Al parecer con la Restauración el programa desapareció (me gustaría saber tu opinión acerca de este punto) pues al utilizar el desinstalador como se indicaba no paso nada.

Mis dudas:


¿Es posible que al Restaurar queden rastros de lo sucedido luego de la fecha del punto de restauración?

¿El archivo Pnpsvr qué es? ¿puede ser un virus?

¿Dónde está el Combo Fix?

¿Recomiendas el uso del Ccleaner?¿De que forma?

Al margen de lo escrito y si no es mucho pedir: ¿podrías explicarme que son los archivos .sqm y porque comenzaron a aparecer en C:\ asi sin mas?




Estas son las dudas que me quedaron. Supongo que aclaradas podríamos dar el tema por solucionado.


Gracias thecat_re.

Si hiciste una restauracion a un punto anterior a la instalacion del programa lo mas seguro es que no, ya que esta vuelva al estado que deseaste y este restaura tanto archivos como entradas del registro. Pero nunca esta demas observar el comportamiento del equipo.

En mi Opinion es lo mas seguro que sea un archivo nocivo e innecesario, porque de algo estoy seguro sino encuentras informacion de un archivo n google es porque bueno no es. por lo tanto eliminalo.

Recueda que restuaraste el sistema a una fecha anterior donde el ComboFix no estaba instalando, por ende este desaparecio.

El Ccleaner ejecútalo usando primero su opción de "Limpiador" para borrar cookies, temporales de Internet y todos los archivos que este te muestre como obsoletos, y luego usa su opción de "Registro" para limpiar todo el registro de Windows (haciendo copia de seguridad). Realiza Varios Analisis

Tema Relacionado. Archivos sqmdata00.sqm, sqmnoopt00.sqm (Solucionado)

Saludos.

__________________