• Registrarse
  • Iniciar sesión


  • Página 1 de 2 12 ÚltimoÚltimo
    Resultados 1 al 10 de 11

    Elite Keylogger: imposible de desinstalar! (Solucionado)

    Resumen del tema: Elite Keylogger: imposible de desinstalar! (Solucionado) - Que tal, soy nuevo aqui en el foro. Me enterado que son muy buenos solucionando este tipo de problemas y heme aqui. Descargue e instale hace unos día una version gratis del Elite Keylogger , ...

      
    1. #1
      Usuario Avatar de nakillo
      Registrado
      may 2008
      Ubicación
      argentina
      Mensajes
      8

      Triste Elite Keylogger: imposible de desinstalar! (Solucionado)

      Que tal, soy nuevo aqui en el foro. Me enterado que son muy buenos solucionando este tipo de problemas y heme aqui.

      Descargue e instale hace unos día una version gratis del Elite Keylogger , que nunca logro funcionar porque es imposible de desocultar "unhide" y por lo tanto de de desinstalar tambien.

      Desde entonces mi ordenador empezó a funcionar pesimamente. No se si sera por otra razón pero es mucha casualidad.

      Espero que me puedan ayudar.

      Desde ya muchas gracias y les pido disculpas por molestarlos con mi rudeza.

      He visto un tema iniciado por Bedro, ya solucionado.No entiendo si se trata del mismo problema. De ser así por favor cofirmar y nuevamente disculpas.

    2. #2
      Ex-Colaborador Avatar de thecat_re
      Registrado
      ene 2007
      Ubicación
      Ciudad Bolivar,
      Mensajes
      3.617

      Re: Elite Keylogger: imposible de desinstalar!

      Hola nakillo te doy la Bienvenida al Foro.

      Realiza lo Siguiente:

      Descargar Ccleaner-Manual y ejecútalo usando primero su opción de "Limpiador" para borrar cookies, temporales de Internet y todos los archivos que este te muestre como obsoletos, y luego usa su opción de "Registro" para limpiar todo el registro de Windows (haciendo copia de seguridad). Realiza Varios Analisis

      Ejecuta (actualizado) SuperAntispyware

      Realiza un escaneo online con Panda ActiveScan y nos dejas sus reportes en este mismo mensaje.

      Saludos nos comentas.
      "Lo difícil se hace y lo imposible se intenta"


      * Síguenos en nuestro Twitter y hazte nuestro amigo en Facebook.
      * Infórmate de las ultimas amenazas de la red desde: InfoSpyware Blog
      * No se resuelven dudas por Privados ni por E-mail, ya que para eso esta el foro.

    3. #3
      Usuario Avatar de nakillo
      Registrado
      may 2008
      Ubicación
      argentina
      Mensajes
      8

      Re: Elite Keylogger: imposible de desinstalar!

      Gracias thecat_re!

      Use Ccleaner como me dijiste, tanto el Limpiador como la opción Registro, realizando varios analisis.

      Luego usé el SUPERAntiSpyware. Este es el reporte:

      SUPERAntiSpyware Scan Log
      http://www.superantispyware.com

      Generated 05/11/2008 - 08:49 PM

      Application Version : 4.0.1154

      Core Rules Database Version : 3458
      Trace Rules Database Version: 1449

      Scan type : Complete Scan
      Total Scan Time : 00:25:54

      Memory items scanned : 532
      Memory threats detected : 0
      Registry items scanned : 5831
      Registry threats detected : 0
      File items scanned : 17687
      File threats detected : 4

      Adware.Tracking Cookie
      C:\Users\familia\AppData\Roaming\Microsoft\Windows\Cookies\Low\familia@doubleclick[1].txt
      C:\Users\familia\AppData\Roaming\Microsoft\Windows\Cookies\Low\familia@tribalfusion[1].txt
      C:\Users\familia\AppData\Roaming\Microsoft\Windows\Cookies\Low\familia@imrworldwide[2].txt
      C:\Users\familia\AppData\Roaming\Microsoft\Windows\Cookies\Low\[email protected][1].txt






      Pudo eliminarlos a todos satisfactoriamente.


      Luego usé el Panda ActiveScan 2.0. Este es el reporte:



      ;***********************************************************************************************************************************************************************************
      ANALYSIS: 2008-05-12 07:55:10
      PROTECTIONS: 1
      MALWARE: 0
      SUSPECTS: 6
      ;***********************************************************************************************************************************************************************************
      PROTECTIONS
      Description Version Active Updated
      ;===================================================================================================================================================================================
      ESET NOD32 Antivirus 3.0 3.0 Yes Yes
      ;===================================================================================================================================================================================
      MALWARE
      Id Description Type Active Severity Disinfectable Disinfected Location
      ;===================================================================================================================================================================================
      ;===================================================================================================================================================================================
      SUSPECTS
      Sent Location à�G��
      3
      ;===================================================================================================================================================================================
      No C:\Windows\System32\msctf32.dll à�G��
      3
      No C:\Windows\System32\PnPsvr.exe à�G��
      3
      No C:\Windows\System32\Smix86.dll à�G��
      3
      No C:\Windows\System32\drivers\Mraid3ex.sys à�G��
      3
      No C:\Windows\System32\drivers\ULIAGPnt.sys à�G��
      3
      No C:\Windows\System32\drivers\videop2k.sys à�G��
      3
      ;===================================================================================================================================================================================
      VULNERABILITIES
      Id Severity Description à�G��
      3
      ;===================================================================================================================================================================================
      ;===================================================================================================================================================================================



      Espero nuevas instrucciones. Muchas gracias.
      Última edición por nakillo fecha: 12/05/08 a las 07:10:03

    4. #4
      Ex-Colaborador Avatar de thecat_re
      Registrado
      ene 2007
      Ubicación
      Ciudad Bolivar,
      Mensajes
      3.617

      Re: Elite Keylogger: imposible de desinstalar!

      Hola Nuevamente

      sube estos 6 archivos a VirusTotal

      C:\Windows\System32\msctf32.dll

      • C:\Windows\System32\msctf32.dll
      • C:\Windows\System32\PnPsvr.exe
      • C:\Windows\System32\Smix86.dll
      • C:\Windows\System32\drivers\Mraid3ex.sys
      • C:\Windows\System32\drivers\ULIAGPnt.sys
      • C:\Windows\System32\drivers\videop2k.sys


      Y me envias los reportes que genere en cada uno de ellos, no olvides mencionar como van las cosas si han mejorado o siguen igual es un punto importante,

      Saludos nos comentas.
      Última edición por thecat_re fecha: 12/05/08 a las 21:42:49
      "Lo difícil se hace y lo imposible se intenta"


      * Síguenos en nuestro Twitter y hazte nuestro amigo en Facebook.
      * Infórmate de las ultimas amenazas de la red desde: InfoSpyware Blog
      * No se resuelven dudas por Privados ni por E-mail, ya que para eso esta el foro.

    5. #5
      Usuario Avatar de nakillo
      Registrado
      may 2008
      Ubicación
      argentina
      Mensajes
      8

      Re: Elite Keylogger: imposible de desinstalar!

      Hola nuevamente.

      No he podido subir lo archivos en rojo al VirusTotal. El problema es que no los encuentro donde dicen estar, no se la razón.

      Este es el reporte del C:\Windows\System32\msctf32.dll (que extrañamente ahora se encuentra en otra ubicación y que cuando lo quiero reubicar me dice "el archivo ya no se encuentra en esa ubicación", es decir, en la cual lo encontré.) Igualmente "desde donde lo encontré" lo pude analizar :





      Motor antivirus Versión Última actualización Resultado
      AhnLab-V3 2008.5.10.0 2008.05.13 -
      AntiVir 7.8.0.17 2008.05.13 -
      Authentium 5.1.0.4 2008.05.13 -
      Avast 4.8.1195.0 2008.05.13 -
      AVG 7.5.0.516 2008.05.13 -
      BitDefender 7.2 2008.05.08 -
      CAT-QuickHeal 9.50 2008.05.13 -
      ClamAV 0.92.1 2008.05.13 -
      DrWeb 4.44.0.09170 2008.05.13 -
      eSafe 7.0.15.0 2008.05.13 -
      eTrust-Vet 31.4.5783 2008.05.12 -
      Ewido 4.0 2008.05.13 -
      F-Prot 4.4.2.54 2008.05.13 -
      F-Secure 6.70.13260.0 2008.05.13 -
      Fortinet 3.14.0.0 2008.05.13 -
      GData 2.0.7306.1023 2008.05.13 -
      Ikarus T3.1.1.26.0 2008.05.13 -
      Kaspersky 7.0.0.125 2008.05.13 -
      McAfee 5294 2008.05.13 -
      Microsoft 1.3520 2008.05.13 -
      NOD32v2 3096 2008.05.13 -
      Norman 5.80.02 2008.05.13 -
      Panda 9.0.0.4 2008.05.13 -
      Prevx1 V2 2008.05.13 -
      Rising 20.44.12.00 2008.05.13 -
      Sophos 4.29.0 2008.05.13 -
      Sunbelt 3.0.1114.0 2008.05.12 -
      Symantec 10 2008.05.13 -
      TheHacker 6.2.92.309 2008.05.13 -
      VBA32 3.12.6.6 2008.05.13 -
      VirusBuster 4.3.26:9 2008.05.13 -
      Webwasher-Gateway 6.6.2 2008.05.13 -
      Información adicional
      Tamano archivo: 9815 bytes
      MD5...: afefb3410244445ad94edeb0505fb051
      SHA1..: 0a437ac9f29b8106c4c0dea42bfaac844175b668
      SHA256: 2c894570cb9c3072ea22b8758be53aa018b69d866d6fa144fb13e90b47bc429d
      SHA512: c91797ba79f28345342eef41123749f4c7716d85affa5c7b942201f84f6e71a0
      5d71b9aec7d145ee58cffc374efe5abe9af75fb464b0398874d5911cd8b9d1c8
      PEiD..: -
      PEInfo: -


      Hice otro escaneo con ActiveScan. Aca el reporte:



      ;***********************************************************************************************************************************************************************************
      ANALYSIS: 2008-05-13 02:01:40
      PROTECTIONS: 1
      MALWARE: 3
      SUSPECTS: 6
      ;***********************************************************************************************************************************************************************************
      PROTECTIONS
      Description Version Active Updated
      ;===================================================================================================================================================================================
      ESET NOD32 Antivirus 3.0 3.0 Yes Yes
      ;===================================================================================================================================================================================
      MALWARE
      Id Description Type Active Severity Disinfectable Disinfected Location
      ;===================================================================================================================================================================================
      00139064 Cookie/Atlas DMT TrackingCookie No 0 Yes No C:\Users\familia\AppData\Roaming\Microsoft\Windows\Cookies\familia@atdmt[1].txt
      00168056 Cookie/YieldManager TrackingCookie No 0 Yes No C:\Users\familia\AppData\Roaming\Microsoft\Windows\Cookies\Low\[email protected][1].txt
      00168109 Cookie/Adtech TrackingCookie No 0 Yes No C:\Users\familia\AppData\Roaming\Microsoft\Windows\Cookies\Low\familia@adtech[1].txt
      ;===================================================================================================================================================================================
      SUSPECTS
      Sent Location ^J����

      3
      ;===================================================================================================================================================================================
      No C:\Windows\System32\msctf32.dll ^J����

      3
      No C:\Windows\System32\PnPsvr.exe ^J����

      3
      No C:\Windows\System32\Smix86.dll ^J����

      3
      No C:\Windows\System32\drivers\Mraid3ex.sys ^J����

      3
      No C:\Windows\System32\drivers\ULIAGPnt.sys ^J����

      3
      No C:\Windows\System32\drivers\videop2k.sys ^J����

      3
      ;===================================================================================================================================================================================
      VULNERABILITIES
      Id Severity Description ^J����

      3
      ;===================================================================================================================================================================================
      ;===================================================================================================================================================================================




      La computadora ha mejorado un poco el rendimiento pero claramente no tanto como para estar como en un principio. El Elite Keylogger sigue instalado e imposibilitado para desocultar y desinstalar.


      Espero nuevas instrucciones. Muchas gracias.

    6. #6
      Ex-Colaborador Avatar de thecat_re
      Registrado
      ene 2007
      Ubicación
      Ciudad Bolivar,
      Mensajes
      3.617

      Re: Elite Keylogger: imposible de desinstalar!

      Hola Nuevamente

      Intenta con Activar Ver Archivos ocultos si logras encontrar los Archivos.

      - Descarga la herramienta ComboFix.exe y guárdala en el escritorio.
      • Desactiva temporalmente el Antivirus y/o Antispyware.
      • Cierra todas las ventanas abiertas.
      • Hacele doble clic al archivo ComboFix.exe y seguí las instrucciones.
      • Cuando termine, generara un registro en C:\ComboFix.txt.
        • *Nota* Mientras CF este trabajando no mover el mouse ya que pararía su proceso.
        • *Nota* ComboFix puede reiniciar automáticamente el PC para completar el proceso de eliminación.

      Atención!! No use ComboFix a menos que se le haya indicado específicamente en su mensaje por un integrante de nuestro Staff. Es una herramienta de gran alcance destinada por su creador a ser usada bajo la orientación y supervisión de un experto, no para uso privado. El uso de ComboFix incorrectamente podría generar problemas en su sistema. Por favor, lea las "Negaciones de la Garantía" de ComboFix.
      Reinicia y pega el reporte de C:\ComboFix.txt en este mismo mensaje.

      Saludos nos Comentas.
      "Lo difícil se hace y lo imposible se intenta"


      * Síguenos en nuestro Twitter y hazte nuestro amigo en Facebook.
      * Infórmate de las ultimas amenazas de la red desde: InfoSpyware Blog
      * No se resuelven dudas por Privados ni por E-mail, ya que para eso esta el foro.

    7. #7
      Usuario Avatar de nakillo
      Registrado
      may 2008
      Ubicación
      argentina
      Mensajes
      8

      Re: Elite Keylogger: imposible de desinstalar!

      Hola nuevamente.

      Logre escanear con el VirusTotal los archivos que faltaban y anteriormente indicaste.
      Estos son los reportes:


      Análisis del archivo videop2k.sys recibido el 16.05.2008 06:16:36 (CET)
      Estado actual: Cargando ... en cola en espera en proceso análisis terminado NO ENCONTRADO DETENIDO


      Resultado: 0/32 (0%)
      Cargando información del servidor..
      Su archivo se encuentra encolado en la posición: 1.
      Se estima que tendrá que esperar entre 37 y 53 segundos
      hasta el comienzo del análisis.
      No cierre la ventana hasta se haya completado el análisis.
      El analizador que estaba procesando su muestra se encuentra detenido,
      se va a esperar unos segundos por si fuera posible recuperar el resultado.
      Si lleva esperando varios minutos necesitará reenviar su archivo de nuevo.
      Su archivo está siendo analizado por VirusTotal en estos momentos,
      los resultados se iran mostrando a continuación.
      Compactar Imprimir resultados

      La muestra ha caducado o no existe.
      El sistema se encuentra detenido en estos momentos, su muestra se encuentra a la espera de ser analizada (posicion: ) por un tiempo indefinido.

      Usted puede continuar esperando la respuesta por web (se recargará automaticamente) o bien introducir su email en el siguiente formulario y pulsar el botón "solicitar" para que la respuesta le sea automaticamente remitida por correo electrónico.
      Email:


      Motor antivirus Versión Última actualización Resultado
      AhnLab-V3 2008.5.10.0 2008.05.13 -
      AntiVir 7.8.0.17 2008.05.13 -
      Authentium 5.1.0.4 2008.05.14 -
      Avast 4.8.1169.0 2008.05.12 -
      AVG 7.5.0.516 2008.05.13 -
      BitDefender 7.2 2008.05.08 -
      CAT-QuickHeal 9.50 2008.05.12 -
      ClamAV 0.92.1 2008.05.13 -
      DrWeb 4.44.0.09170 2008.05.13 -
      eSafe 7.0.15.0 2008.05.12 -
      eTrust-Vet 31.4.5784 2008.05.13 -
      Ewido 4.0 2008.05.13 -
      F-Prot 4.4.2.54 2008.05.13 -
      F-Secure 6.70.13260.0 2008.05.13 -
      Fortinet 3.14.0.0 2008.05.13 -
      GData 2.0.7306.1023 2008.05.14 -
      Ikarus T3.1.1.26.0 2008.05.13 -
      Kaspersky 7.0.0.125 2008.05.13 -
      McAfee 5293 2008.05.12 -
      Microsoft 1.3408 2008.05.13 -
      NOD32v2 3095 2008.05.13 -
      Norman 5.80.02 2008.05.09 -
      Panda 9.0.0.4 2008.05.12 -
      Prevx1 V2 2008.05.16 -
      Rising 20.44.12.00 2008.05.13 -
      Sophos 4.29.0 2008.05.13 -
      Sunbelt 3.0.1114.0 2008.05.12 -
      Symantec 10 2008.05.13 -
      TheHacker 6.2.92.309 2008.05.13 -
      VBA32 3.12.6.6 2008.05.13 -
      VirusBuster 4.3.26:9 2008.05.12 -
      Webwasher-Gateway 6.6.2 2008.05.13 -
      Información adicional
      Tamano archivo: 518144 bytes
      MD5...: fb47a4bd63623d8d78e2b7a8c994d067
      SHA1..: 87e1e84852a0ae184f748f536b975125fb54ee36
      SHA256: 2ddbfa6961930ff457ba8b677512b6dcd3a3ae412c82e08581df3563445187a1
      SHA512: 47c48633f7b6de92546d6aa63dd5cfef4ebae0e413f04ef8d1bc0a21a01b5f15
      0ecf5aa465bfc7231b5e1c3c51a576280fd085bdac32c811a5a7d4006fe26316
      PEiD..: -
      PEInfo: PE Structure information

      ( base data )
      entrypointaddress.: 0x6e005
      timedatestamp.....: 0x480386d5 (Mon Apr 14 16:31:17 2008)
      machinetype.......: 0x14c (I386)

      ( 6 sections )
      name viradd virsiz rawdsiz ntrpy md5
      .text 0x1000 0x3a2e4 0x3a400 6.04 6fdb223e9d07eec57af9e08edafc311e
      .rdata 0x3c000 0x3c44 0x3e00 6.89 9f59b2cd7317914e9b18ebedd9e40925
      .data 0x40000 0x1d080 0xa800 5.17 bb7d118f32006d3c6897e0d794f5b33a
      INIT 0x5e000 0xe54 0x1000 5.36 405c37c2fb9fe66253e26cc21acb18f9
      .rsrc 0x5f000 0x322f8 0x32400 8.00 777479c5387fb2dd61007dd3d9970bd2
      .reloc 0x92000 0x2428 0x2600 5.74 118f93f993b00f9307ba81d7a28537ed

      ( 2 imports )
      > ntoskrnl.exe: ZwWriteFile, ZwReadFile, ZwQueryInformationFile, RtlCompareMemory, KeQueryTimeIncrement, KeTickCount, _allmul, ExSystemTimeToLocalTime, KeQuerySystemTime, memcpy, RtlFreeAnsiString, RtlUnicodeStringToAnsiString, RtlInitUnicodeString, ObfDereferenceObject, PsLookupProcessByProcessId, _except_handler3, ZwAllocateVirtualMemory, ZwOpenProcess, ZwFreeVirtualMemory, KeWaitForSingleObject, memset, KeDetachProcess, ObReferenceObjectByHandle, KeAttachProcess, MmMapLockedPagesSpecifyCache, KeDelayExecutionThread, RtlCopyUnicodeString, PsCreateSystemThread, RtlAppendUnicodeStringToString, RtlAppendUnicodeToString, RtlIntegerToUnicodeString, KeSetEvent, ZwNotifyChangeKey, KeCancelTimer, KeSetTimerEx, _wcsicmp, ZwQuerySymbolicLinkObject, ZwOpenSymbolicLinkObject, memmove, RtlTimeToTimeFields, IoFreeMdl, MmBuildMdlForNonPagedPool, IoAllocateMdl, MmUnmapLockedPages, MmUnsecureVirtualMemory, DbgPrint, ObQueryNameString, RtlCompareUnicodeString, RtlFreeUnicodeString, RtlStringFromGUID, ExUuidCreate, strstr, IofCallDriver, IoBuildDeviceIoControlRequest, KeInitializeEvent, IoGetDeviceObjectPointer, MmUnlockPages, MmProbeAndLockProcessPages, NtAllocateVirtualMemory, KeInsertQueueApc, KeInitializeApc, PsLookupThreadByThreadId, PsGetCurrentThreadId, ExAllocatePool, ZwCreateFile, KeResetEvent, MmIsAddressValid, KeServiceDescriptorTable, KeAddSystemServiceTable, PsGetCurrentProcessId, ExGetPreviousMode, ZwOpenKey, ZwEnumerateKey, ZwQueryValueKey, ZwDeleteKey, ZwSetValueKey, ExfInterlockedInsertTailList, NtAddAtom, MmProbeAndLockPages, RtlAnsiStringToUnicodeString, RtlInitAnsiString, RtlInitString, RtlCompareString, KeLeaveCriticalRegion, ExReleaseResourceLite, ExAcquireResourceExclusiveLite, KeEnterCriticalRegion, InitSafeBootMode, PsGetVersion, IofCompleteRequest, ExfInterlockedInsertHeadList, IoDeleteDevice, IoCreateSymbolicLink, IoRegisterShutdownNotification, IoCreateDevice, ExRegisterCallback, ExCreateCallback, KeInitializeTimerEx, KeClearEvent, IoCreateNotificationEvent, PsSetLoadImageNotifyRoutine, PsSetCreateThreadNotifyRoutine, PsSetCreateProcessNotifyRoutine, ExInitializeResourceLite, IoDetachDevice, PoCallDriver, PoStartNextPowerIrp, RtlAssert, PsTerminateSystemThread, KeWaitForMultipleObjects, KeReleaseMutex, KeReadStateEvent, ExfInterlockedRemoveHeadList, ExUnregisterCallback, sprintf, ExIsResourceAcquiredExclusiveLite, ExAcquireResourceSharedLite, ExIsResourceAcquiredSharedLite, IoGetRelatedDeviceObject, ZwOpenFile, ZwWaitForSingleObject, ZwQueryDirectoryFile, ZwCreateEvent, RtlEqualUnicodeString, KeBugCheckEx, ZwSetInformationFile, ZwClose, wcsncpy, ExFreePoolWithTag, IoCreateSynchronizationEvent, ExAllocatePoolWithTag
      > HAL.dll: KfReleaseSpinLock, KeGetCurrentIrql, ExAcquireFastMutex, ExReleaseFastMutex, KfAcquireSpinLock

      ( 0 exports )

      packers (Kaspersky): PE_Patch





      Análisis del archivo PnPsvr.exe recibido el 16.05.2008 05:38:19 (CET)
      Estado actual: Cargando ... en cola en espera en proceso análisis terminado NO ENCONTRADO DETENIDO


      Resultado: 3/32 (9.38%)
      Cargando información del servidor..
      Su archivo se encuentra encolado en la posición: 1.
      Se estima que tendrá que esperar entre 37 y 53 segundos
      hasta el comienzo del análisis.
      No cierre la ventana hasta se haya completado el análisis.
      El analizador que estaba procesando su muestra se encuentra detenido,
      se va a esperar unos segundos por si fuera posible recuperar el resultado.
      Si lleva esperando varios minutos necesitará reenviar su archivo de nuevo.
      Su archivo está siendo analizado por VirusTotal en estos momentos,
      los resultados se iran mostrando a continuación.
      Compactar Imprimir resultados

      La muestra ha caducado o no existe.
      El sistema se encuentra detenido en estos momentos, su muestra se encuentra a la espera de ser analizada (posicion: ) por un tiempo indefinido.

      Usted puede continuar esperando la respuesta por web (se recargará automaticamente) o bien introducir su email en el siguiente formulario y pulsar el botón "solicitar" para que la respuesta le sea automaticamente remitida por correo electrónico.
      Email:


      Motor antivirus Versión Última actualización Resultado
      AhnLab-V3 2008.5.15.0 2008.05.15 -
      AntiVir 7.8.0.17 2008.05.15 -
      Authentium 5.1.0.4 2008.05.16 -
      Avast 4.8.1169.0 2008.05.12 -
      AVG 7.5.0.516 2008.05.15 -
      BitDefender 7.2 2008.05.16 -
      CAT-QuickHeal 9.50 2008.05.15 -
      ClamAV 0.92.1 2008.05.16 -
      DrWeb 4.44.0.09170 2008.05.16 -
      eSafe 7.0.15.0 2008.05.14 -
      eTrust-Vet 31.4.5788 2008.05.14 -
      Ewido 4.0 2008.05.14 -
      F-Prot 4.4.2.54 2008.05.15 -
      F-Secure 6.70.13260.0 2008.05.16 -
      Fortinet 3.14.0.0 2008.05.15 -
      GData 2.0.7306.1023 2008.05.16 -
      Ikarus T3.1.1.26.0 2008.05.16 -
      Kaspersky 7.0.0.125 2008.05.16 -
      McAfee 5295 2008.05.14 -
      Microsoft 1.3408 2008.05.13 -
      NOD32v2 3103 2008.05.16 -
      Norman 5.80.02 2008.05.15 -
      Panda 9.0.0.4 2008.05.15 -
      Prevx1 V2 2008.05.16 Malicious Software
      Rising 20.44.32.00 2008.05.15 -
      Sophos 4.29.0 2008.05.16 Sus/UnkPacker
      Sunbelt 3.0.1114.0 2008.05.12 -
      Symantec 10 2008.05.16 -
      TheHacker 6.2.92.311 2008.05.15 -
      VBA32 3.12.6.6 2008.05.15 -
      VirusBuster 4.3.26:9 2008.05.15 -
      Webwasher-Gateway 6.6.2 2008.05.15 Virus.Win32.FileInfector.gen (suspicious)
      Información adicional
      Tamano archivo: 4448256 bytes
      MD5...: 40591d57ba6f92cc45385c7fed550e97
      SHA1..: 0af1107ae6588ebc6977e0272f1c4c792630f2fd
      SHA256: f405ffecf634b02ef259512690d2debdcaa83d4a5c4b8ecbdd47e046d5b68a89
      SHA512: 1f9f6acb39fc5402ac2b38fee8efa2d94f0cce1568c4af3109901390ecc94015
      04a4c390c3f0e04562c9f33e291931b2c679a155fb5bf77d4e92f5534f5267d4
      PEiD..: Armadillo v1.71
      PEInfo: PE Structure information

      ( base data )
      entrypointaddress.: 0x66c10b
      timedatestamp.....: 0x2a425e19 (Fri Jun 19 22:22:17 1992)
      machinetype.......: 0x14c (I386)

      ( 13 sections )
      name viradd virsiz rawdsiz ntrpy md5
      CODE 0x1000 0x1f4cc4 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e
      DATA 0x1f6000 0x8ef0 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e
      BSS 0x1ff000 0x93c9 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e
      .idata 0x209000 0x390e 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e
      .tls 0x20d000 0x54 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e
      .rdata 0x20e000 0x1d 0x1000 0.05 acf76da36b88379f5409206b9e73a044
      .reloc 0x20f000 0x1f938 0x20000 6.64 ee4d94e95e43c7366eced1821f158cec
      .text 0x22f000 0x50000 0x43000 6.41 2e4832eb7f9de71da91473c217dc0cc1
      .adata 0x27f000 0x10000 0xd000 0.00 938d6d97628275a512e07c66be5ccecf
      .data 0x28f000 0x10000 0xa000 3.14 95315945c6a42854c43e400ae82b5003
      .reloc1 0x29f000 0x10000 0x4000 6.30 e7d1cfaa392f254d4659109d782c6849
      .pdata 0x2af000 0x3c0000 0x3b3000 7.98 617bdb014fe01b077230e886429bba11
      .rsrc 0x66f000 0x1d5000 0xa000 5.40 252df74b0330529a9267774cb6b97c10

      ( 3 imports )
      > KERNEL32.dll: CreateThread, GlobalUnlock, GlobalLock, GlobalAlloc, GetTickCount, WideCharToMultiByte, IsBadReadPtr, GlobalAddAtomA, GlobalAddAtomW, GetModuleHandleA, GlobalFree, GlobalGetAtomNameA, GlobalDeleteAtom, GlobalGetAtomNameW, FreeConsole, GetEnvironmentVariableA, VirtualProtect, VirtualAlloc, GetProcAddress, GetLastError, LoadLibraryA, SetLastError, SetThreadPriority, GetCurrentThread, CreateProcessA, GetCommandLineA, GetStartupInfoA, SetEnvironmentVariableA, ReleaseMutex, WaitForSingleObject, CreateMutexA, OpenMutexA, GetCurrentThreadId, ReadFile, GetFileSize, CreateFileA, FindClose, FindFirstFileA, FindFirstFileW, VirtualQueryEx, GetExitCodeProcess, ReadProcessMemory, UnmapViewOfFile, ContinueDebugEvent, SetThreadContext, GetThreadContext, WaitForDebugEvent, CloseHandle, DebugActiveProcess, ResumeThread, CreateProcessW, GetCommandLineW, GetStartupInfoW, MapViewOfFile, DuplicateHandle, GetCurrentProcess, CreateFileMappingA, VirtualProtectEx, WriteProcessMemory, ExitProcess, GetLocalTime, CompareStringA, FlushFileBuffers, LCMapStringW, LCMapStringA, SetStdHandle, GetOEMCP, GetACP, GetCPInfo, CompareStringW, GetStringTypeW, GetStringTypeA, MultiByteToWideChar, SetFilePointer, HeapReAlloc, WriteFile, VirtualFree, HeapCreate, HeapDestroy, GetFileType, GetStdHandle, SetHandleCount, GetEnvironmentStringsW, GetEnvironmentStrings, FreeEnvironmentStringsW, FreeEnvironmentStringsA, UnhandledExceptionFilter, HeapFree, HeapAlloc, GetVersion, GetSystemTime, GetTimeZoneInformation, RtlUnwind, TerminateProcess, Sleep, EnterCriticalSection, LeaveCriticalSection, GetVersionExA, InitializeCriticalSection, GetCurrentProcessId, GetModuleFileNameW, GetShortPathNameW, GetModuleFileNameA, SuspendThread, GetShortPathNameA
      > USER32.dll: GetDesktopWindow, MoveWindow, SetPropA, EnumThreadWindows, GetPropA, GetMessageA, BeginPaint, EndPaint, KillTimer, GetAsyncKeyState, GetSystemMetrics, SetTimer, SetWindowTextA, GetDlgItem, CreateDialogIndirectParamA, ShowWindow, UpdateWindow, LoadStringA, LoadStringW, FindWindowA, WaitForInputIdle, DestroyWindow, MessageBoxA, InSendMessage, UnpackDDElParam, FreeDDElParam, DefWindowProcA, LoadCursorA, RegisterClassW, CreateWindowExW, RegisterClassA, CreateWindowExA, GetWindowThreadProcessId, SendMessageW, SendMessageA, TranslateMessage, DispatchMessageA, EnumWindows, IsWindowUnicode, PackDDElParam, PostMessageW, PostMessageA, IsWindow, PeekMessageA
      > GDI32.dll: DeleteDC, RealizePalette, SelectPalette, CreateDCA, CreatePalette, DeleteObject, BitBlt, SelectObject, CreateCompatibleDC, CreateDIBitmap

      ( 0 exports )

      Prevx info: http://info.prevx.com/aboutprogramtext.asp?PX5=8BFBE07400939D4CE07243D1AEF96400A9CA81C8
      packers (Kaspersky): Armadillo








      Análisis del archivo Mraid3ex.sys recibido el 16.05.2008 05:47:16 (CET)
      Estado actual: Cargando ... en cola en espera en proceso análisis terminado NO ENCONTRADO DETENIDO


      Resultado: 0/32 (0%)
      Cargando información del servidor..
      Su archivo se encuentra encolado en la posición: ___.
      Se estima que tendrá que esperar entre ___ y ___
      hasta el comienzo del análisis.
      No cierre la ventana hasta se haya completado el análisis.
      El analizador que estaba procesando su muestra se encuentra detenido,
      se va a esperar unos segundos por si fuera posible recuperar el resultado.
      Si lleva esperando varios minutos necesitará reenviar su archivo de nuevo.
      Su archivo está siendo analizado por VirusTotal en estos momentos,
      los resultados se iran mostrando a continuación.
      Compactar Imprimir resultados

      La muestra ha caducado o no existe.
      El sistema se encuentra detenido en estos momentos, su muestra se encuentra a la espera de ser analizada (posicion: ) por un tiempo indefinido.

      Usted puede continuar esperando la respuesta por web (se recargará automaticamente) o bien introducir su email en el siguiente formulario y pulsar el botón "solicitar" para que la respuesta le sea automaticamente remitida por correo electrónico.
      Email:


      Motor antivirus Versión Última actualización Resultado
      AhnLab-V3 2008.5.15.0 2008.05.15 -
      AntiVir 7.8.0.17 2008.05.15 -
      Authentium 5.1.0.4 2008.05.16 -
      Avast 4.8.1195.0 2008.05.14 -
      AVG 7.5.0.516 2008.05.15 -
      BitDefender 7.2 2008.05.16 -
      CAT-QuickHeal 9.50 2008.05.15 -
      ClamAV 0.92.1 2008.05.16 -
      DrWeb 4.44.0.09170 2008.05.16 -
      eSafe 7.0.15.0 2008.05.14 -
      eTrust-Vet 31.4.5788 2008.05.14 -
      Ewido 4.0 2008.05.14 -
      F-Prot 4.4.2.54 2008.05.15 -
      F-Secure 6.70.13260.0 2008.05.16 -
      Fortinet 3.14.0.0 2008.05.15 -
      GData 2.0.7306.1023 2008.05.16 -
      Ikarus T3.1.1.26.0 2008.05.16 -
      Kaspersky 7.0.0.125 2008.05.16 -
      McAfee 5295 2008.05.14 -
      Microsoft 1.3408 2008.05.13 -
      NOD32v2 3103 2008.05.16 -
      Norman 5.80.02 2008.05.15 -
      Panda 9.0.0.4 2008.05.15 -
      Prevx1 V2 2008.05.16 -
      Rising 20.44.32.00 2008.05.15 -
      Sophos 4.29.0 2008.05.16 -
      Sunbelt 3.0.1114.0 2008.05.12 -
      Symantec 10 2008.05.16 -
      TheHacker 6.2.92.311 2008.05.15 -
      VBA32 3.12.6.6 2008.05.15 -
      VirusBuster 4.3.26:9 2008.05.15 -
      Webwasher-Gateway 6.6.2 2008.05.16 -
      Información adicional
      Tamano archivo: 20480 bytes
      MD5...: 88f1a2d6f370517b5b42628ea5594b99
      SHA1..: b174a1cb99946edb5dc927eef0efbee251ca8ba9
      SHA256: 44a5cd720987d462f08f56cf48bcd735c924bd3365c9eb65c6a9d292680398eb
      SHA512: bd8ccdd8c86a43b72aa0bd64ebd0d66fdda2d5d5a4d74410898db9b5a802e573
      ba64a4e9d246b33adc2f2e3ddb1b70c4e141c5e5468a428c1a1ac93698ad61e0
      PEiD..: -
      PEInfo: PE Structure information

      ( base data )
      entrypointaddress.: 0x18005
      timedatestamp.....: 0x47f275f1 (Tue Apr 01 17:50:41 2008)
      machinetype.......: 0x14c (I386)

      ( 7 sections )
      name viradd virsiz rawdsiz ntrpy md5
      .text 0x1000 0x3420 0x3600 6.24 a4ad206453dd99f0ea87309d3d9efefb
      .rdata 0x5000 0x144 0x200 2.12 2c56dbf3c656c10da36abb12b710c518
      .data 0x6000 0x140 0x200 1.07 52d3da0af7c8c9dcddb24499506f6404
      encrypte 0x7000 0x218 0x400 4.17 07b73e894fd16045ab669a5c3b5baf32
      INIT 0x8000 0x5da 0x600 5.33 1c6a5a8893159edce7ced60dc8e98b5d
      .rsrc 0x9000 0x2b8 0x400 2.37 ffcb125b57b0858753408b90a473268d
      .reloc 0xa000 0x3a6 0x400 5.12 30e9f6ab44cd9420e8940f9593e14550

      ( 2 imports )
      > ntoskrnl.exe: IoRegisterFsRegistrationChange, ExFreePoolWithTag, IoDeleteDevice, ExAllocatePoolWithTag, IoCreateDevice, RtlAppendUnicodeStringToString, RtlAppendUnicodeToString, ExAllocatePool, InitSafeBootMode, memset, memcpy, PsGetVersion, MmGetSystemRoutineAddress, IoDetachDevice, IoThreadToProcess, IofCallDriver, IofCompleteRequest, _wcsupr, KeSetEvent, ExQueueWorkItem, KeUnstackDetachProcess, KeStackAttachProcess, RtlInitUnicodeString, IoBuildSynchronousFsdRequest, KeClearEvent, IoAttachDeviceToDeviceStack, KeDelayExecutionThread, RtlCopyUnicodeString, ObQueryNameString, ObfReferenceObject, IoBuildDeviceIoControlRequest, RtlEqualUnicodeString, RtlCompareUnicodeString, ExReleaseResourceLite, ExAcquireResourceExclusiveLite, ExIsResourceAcquiredExclusiveLite, ExAcquireResourceSharedLite, ExIsResourceAcquiredSharedLite, _wcsicmp, wcsstr, ExInitializeResourceLite, KeTickCount, KeBugCheckEx, RtlUnwind, IoGetDeviceObjectPointer, ObfDereferenceObject, KeWaitForSingleObject, KeInitializeEvent
      > HAL.dll: ExReleaseFastMutex, KeGetCurrentIrql, ExAcquireFastMutex

      ( 0 exports )






      Análisis del archivo Smix86.dll recibido el 16.05.2008 05:43:04 (CET)
      Estado actual: análisis terminado

      Resultado: 0/32 (0.00%)
      Compactar Imprimir resultados

      Motor antivirus Versión Última actualización Resultado
      AhnLab-V3 2008.5.15.0 2008.05.15 -
      AntiVir 7.8.0.17 2008.05.15 -
      Authentium 5.1.0.4 2008.05.16 -
      Avast 4.8.1195.0 2008.05.14 -
      AVG 7.5.0.516 2008.05.15 -
      BitDefender 7.2 2008.05.16 -
      CAT-QuickHeal 9.50 2008.05.15 -
      ClamAV 0.92.1 2008.05.16 -
      DrWeb 4.44.0.09170 2008.05.16 -
      eSafe 7.0.15.0 2008.05.14 -
      eTrust-Vet 31.4.5788 2008.05.14 -
      Ewido 4.0 2008.05.14 -
      F-Prot 4.4.2.54 2008.05.15 -
      F-Secure 6.70.13260.0 2008.05.16 -
      Fortinet 3.14.0.0 2008.05.15 -
      GData 2.0.7306.1023 2008.05.16 -
      Ikarus T3.1.1.26.0 2008.05.16 -
      Kaspersky 7.0.0.125 2008.05.16 -
      McAfee 5295 2008.05.14 -
      Microsoft 1.3408 2008.05.13 -
      NOD32v2 3103 2008.05.16 -
      Norman 5.80.02 2008.05.15 -
      Panda 9.0.0.4 2008.05.15 -
      Prevx1 V2 2008.05.16 -
      Rising 20.44.32.00 2008.05.15 -
      Sophos 4.29.0 2008.05.16 -
      Sunbelt 3.0.1114.0 2008.05.12 -
      Symantec 10 2008.05.16 -
      TheHacker 6.2.92.311 2008.05.15 -
      VBA32 3.12.6.6 2008.05.15 -
      VirusBuster 4.3.26:9 2008.05.15 -
      Webwasher-Gateway 6.6.2 2008.05.16 -
      Información adicional
      Tamano archivo: 941568 bytes
      MD5...: f0d17cf16f8902621513cdf1d6eec4c0
      SHA1..: 91d3134fe2db57e5d10a482c91ee7ceb6b778165
      SHA256: 75b7a31ba6249e91771047d9295d4197a86aa1c381b7aa1909a6f1e8fd9adcad
      SHA512: 8c824ccc5764fedf05481bd1ce04289f6442aafabff677e8cf0c8b5c494fe998
      501db372e1aad4e8d1a27d08662bc06303dada222a6b92d24fbcb3b845f7ed99
      PEiD..: -
      PEInfo: PE Structure information

      ( base data )
      entrypointaddress.: 0x1007af41
      timedatestamp.....: 0x47e15f84 (Wed Mar 19 18:46:28 2008)
      machinetype.......: 0x14c (I386)

      ( 5 sections )
      name viradd virsiz rawdsiz ntrpy md5
      .text 0x1000 0x98d2f 0x98e00 6.73 06fa4dd840763bb888bf633e645456f3
      .rdata 0x9a000 0x29481 0x29600 5.73 e896128685a5663cfd3aa12a7212d38b
      .data 0xc4000 0x17b68 0x12000 5.58 1f196b5365dfbd49249f08cf34588dfa
      .rsrc 0xdc000 0x3984 0x3a00 3.66 24307f7586c880833a128b7a197b83f3
      .reloc 0xe0000 0xda98 0xdc00 5.33 59bd01d8fa2cfefb022550039bc590de

      ( 9 imports )
      > KERNEL32.dll: RtlUnwind, HeapFree, HeapAlloc, HeapReAlloc, GetSystemTimeAsFileTime, RaiseException, GetCommandLineA, GetProcessHeap, UnhandledExceptionFilter, SetUnhandledExceptionFilter, SetConsoleCtrlHandler, ExitProcess, VirtualAlloc, HeapSize, TerminateProcess, IsDebuggerPresent, GetCPInfo, GetACP, GetOEMCP, IsValidCodePage, LCMapStringA, LCMapStringW, HeapDestroy, HeapCreate, GetTimeFormatA, GetDateFormatA, SetHandleCount, GetStartupInfoA, GetModuleFileNameA, FreeEnvironmentStringsA, GetEnvironmentStrings, FreeEnvironmentStringsW, GetEnvironmentStringsW, GetConsoleCP, GetConsoleMode, SetStdHandle, GetStringTypeA, GetStringTypeW, GetUserDefaultLCID, GetLocaleInfoA, EnumSystemLocalesA, IsValidLocale, SetEnvironmentVariableA, WriteConsoleA, GetConsoleOutputCP, WriteConsoleW, CreateFileA, FileTimeToLocalFileTime, FileTimeToSystemTime, GetCurrentProcess, FlushFileBuffers, GetThreadLocale, GlobalFindAtomW, InterlockedIncrement, CompareStringW, GlobalFlags, GetModuleHandleA, WritePrivateProfileStringW, SetErrorMode, TlsFree, LocalReAlloc, TlsSetValue, TlsAlloc, GlobalHandle, GlobalReAlloc, GetDriveTypeA, ReadConsoleInputA, TlsGetValue, LocalAlloc, InterlockedDecrement, GlobalFree, GlobalUnlock, GlobalAddAtomW, GlobalDeleteAtom, GetCurrentThread, ConvertDefaultLocale, GetModuleFileNameW, EnumResourceLanguagesW, GetLocaleInfoW, CompareStringA, SetConsoleMode, GetFullPathNameA, GetCurrentDirectoryA, InterlockedExchange, GlobalLock, lstrcmpW, GlobalAlloc, GetModuleHandleW, FlushConsoleInputBuffer, GetVersionExA, LoadLibraryA, GlobalMemoryStatus, GetCurrentProcessId, QueryPerformanceCounter, GetTickCount, FindClose, FindFirstFileA, GetStdHandle, GetFileType, GetVersion, GetCurrentThreadId, WaitForSingleObject, FreeLibrary, SetFilePointer, SetEndOfFile, GetTimeZoneInformation, LoadLibraryW, GetProcAddress, WriteFile, CreateFileW, GetFileSize, CloseHandle, ReadFile, lstrcpynW, FormatMessageW, LocalFree, lstrlenA, lstrlenW, WideCharToMultiByte, MultiByteToWideChar, SetLastError, GetLastError, Sleep, lstrcpyW, FindResourceW, LoadResource, LockResource, SizeofResource, LeaveCriticalSection, EnterCriticalSection, DeleteCriticalSection, VirtualFree, InitializeCriticalSection
      > USER32.dll: ShowWindow, RegisterWindowMessageW, LoadIconW, WinHelpW, GetCapture, GetClassLongW, SetPropW, GetPropW, RemovePropW, IsWindow, GetForegroundWindow, GetDlgItem, GetTopWindow, DestroyWindow, GetMessageTime, GetMessagePos, MapWindowPoints, SetForegroundWindow, GetClientRect, GetMenu, GetSysColorBrush, GetClassInfoW, RegisterClassW, AdjustWindowRectEx, CopyRect, DefWindowProcW, CallWindowProcW, SetWindowLongW, SystemParametersInfoA, IsIconic, GetWindowPlacement, GetSystemMetrics, GetWindow, GetDlgCtrlID, GetWindowRect, GetClassNameW, PtInRect, GetWindowTextW, SetWindowTextW, GetSysColor, ReleaseDC, GetDC, ClientToScreen, GrayStringW, DrawTextExW, DrawTextW, TabbedTextOutW, UnregisterClassW, UnhookWindowsHookEx, GetMenuItemID, GetMenuItemCount, GetSubMenu, LoadCursorW, DestroyMenu, CreateWindowExW, GetClassInfoExW, GetWindowThreadProcessId, GetWindowLongW, GetLastActivePopup, IsWindowEnabled, EnableWindow, MessageBoxW, SetCursor, SetWindowsHookExW, CallNextHookEx, GetMessageW, TranslateMessage, DispatchMessageW, GetActiveWindow, IsWindowVisible, GetKeyState, PeekMessageW, GetCursorPos, ValidateRect, SetMenuItemBitmaps, GetMenuCheckMarkDimensions, LoadBitmapW, GetFocus, GetParent, SendMessageW, ModifyMenuW, GetMenuState, EnableMenuItem, CheckMenuItem, PostMessageW, PostQuitMessage, MessageBoxA, GetDesktopWindow, GetProcessWindowStation, GetUserObjectInformationW, SetWindowPos, UnregisterClassA
      > GDI32.dll: GetStockObject, ScaleWindowExtEx, SetWindowExtEx, ScaleViewportExtEx, SetViewportExtEx, OffsetViewportOrgEx, SetViewportOrgEx, Escape, ExtTextOutW, TextOutW, RectVisible, PtVisible, GetClipBox, SetMapMode, SetTextColor, SetBkColor, RestoreDC, SaveDC, CreateBitmap, GetDeviceCaps, DeleteDC, DeleteObject, SelectObject
      > WINSPOOL.DRV: DocumentPropertiesW, OpenPrinterW, ClosePrinter
      > ADVAPI32.dll: RegSetValueExW, RegCreateKeyExW, RegQueryValueW, RegOpenKeyW, RegEnumKeyW, RegDeleteKeyW, RegOpenKeyExW, RegQueryValueExW, RegCloseKey, RegisterEventSourceA, ReportEventA, DeregisterEventSource, CryptGetHashParam, CryptDestroyHash, CryptCreateHash, CryptHashData, CryptReleaseContext, CryptAcquireContextW
      > SHLWAPI.dll: PathFindExtensionW, PathFindFileNameW
      > OLEAUT32.dll: -, -, -
      > WS2_32.dll: -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -, -
      > RPCRT4.dll: RpcStringFreeW, UuidCreate, UuidToStringW

      ( 0 exports )








      Análisis del archivo ULIAGPnt.sys recibido el 16.05.2008 0655 (CET)
      Estado actual: Cargando ... en cola en espera en proceso análisis terminado NO ENCONTRADO DETENIDO


      Resultado: 0/32 (0%)
      Cargando información del servidor..
      Su archivo se encuentra encolado en la posición: ___.
      Se estima que tendrá que esperar entre ___ y ___
      hasta el comienzo del análisis.
      No cierre la ventana hasta se haya completado el análisis.
      El analizador que estaba procesando su muestra se encuentra detenido,
      se va a esperar unos segundos por si fuera posible recuperar el resultado.
      Si lleva esperando varios minutos necesitará reenviar su archivo de nuevo.
      Su archivo está siendo analizado por VirusTotal en estos momentos,
      los resultados se iran mostrando a continuación.
      Compactar Imprimir resultados

      La muestra ha caducado o no existe.
      El sistema se encuentra detenido en estos momentos, su muestra se encuentra a la espera de ser analizada (posicion: ) por un tiempo indefinido.

      Usted puede continuar esperando la respuesta por web (se recargará automaticamente) o bien introducir su email en el siguiente formulario y pulsar el botón "solicitar" para que la respuesta le sea automaticamente remitida por correo electrónico.
      Email:


      Motor antivirus Versión Última actualización Resultado
      AhnLab-V3 2008.5.15.0 2008.05.15 -
      AntiVir 7.8.0.17 2008.05.15 -
      Authentium 5.1.0.4 2008.05.16 -
      Avast 4.8.1169.0 2008.05.12 -
      AVG 7.5.0.516 2008.05.15 -
      BitDefender 7.2 2008.05.16 -
      CAT-QuickHeal 9.50 2008.05.15 -
      ClamAV 0.92.1 2008.05.16 -
      DrWeb 4.44.0.09170 2008.05.16 -
      eSafe 7.0.15.0 2008.05.14 -
      eTrust-Vet 31.4.5788 2008.05.14 -
      Ewido 4.0 2008.05.14 -
      F-Prot 4.4.2.54 2008.05.15 -
      F-Secure 6.70.13260.0 2008.05.16 -
      Fortinet 3.14.0.0 2008.05.15 -
      GData 2.0.7306.1023 2008.05.16 -
      Ikarus T3.1.1.26.0 2008.05.16 -
      Kaspersky 7.0.0.125 2008.05.16 -
      McAfee 5295 2008.05.14 -
      Microsoft 1.3408 2008.05.13 -
      NOD32v2 3103 2008.05.16 -
      Norman 5.80.02 2008.05.15 -
      Panda 9.0.0.4 2008.05.15 -
      Prevx1 V2 2008.05.16 -
      Rising 20.44.32.00 2008.05.15 -
      Sophos 4.29.0 2008.05.16 -
      Sunbelt 3.0.1114.0 2008.05.12 -
      Symantec 10 2008.05.16 -
      TheHacker 6.2.92.311 2008.05.15 -
      VBA32 3.12.6.6 2008.05.15 -
      VirusBuster 4.3.26:9 2008.05.15 -
      Webwasher-Gateway 6.6.2 2008.05.15 -
      Información adicional
      Tamano archivo: 10240 bytes
      MD5...: 855d6b554b20f4bb82cd5cf5f6db9c88
      SHA1..: 71df9642aed74398b39cf6e5449940c0e68e5b76
      SHA256: d8424521365df2284e742022b6e8b2728335aa42b43c99e317e82fa67aa9db76
      SHA512: aae0bd3770e9f5249bb3eb9ebcc5e755fd804e60a6b8f359a42fac541ee7d8d2
      42b26d04ac7457dba5d9e8c3193ec520be59acdc96ad7fe52e1600081aa87fc5
      PEiD..: -
      PEInfo: PE Structure information

      ( base data )
      entrypointaddress.: 0x16005
      timedatestamp.....: 0x47e3fbab (Fri Mar 21 18:17:15 2008)
      machinetype.......: 0x14c (I386)

      ( 6 sections )
      name viradd virsiz rawdsiz ntrpy md5
      .text 0x1000 0x150c 0x1600 6.11 96234e187baab35e160bcf98e39999b7
      .rdata 0x3000 0x174 0x200 3.34 bc33931b67e706db1b408c680ca1f5d5
      .data 0x4000 0x60 0x200 0.52 2d2892cbf328a77571376ada356719d3
      encrypte 0x5000 0x2e 0x200 0.87 045b214c06ef33670f043b9526e3c302
      INIT 0x6000 0x4a0 0x600 4.44 c6986eed2a5fd777741970a37caa963f
      .reloc 0x7000 0x1cc 0x200 4.32 4726f5928521cfcc7c9531b764e92160

      ( 3 imports )
      > ntoskrnl.exe: RtlInitUnicodeString, KeWaitForSingleObject, ExAllocatePool, ExNotifyCallback, IoQueueWorkItem, IoAllocateWorkItem, KeDelayExecutionThread, IoDeleteDevice, KeInitializeEvent, PsCreateSystemThread, IoCreateDevice, ExCreateCallback, KeTickCount, KeBugCheckEx, RtlAppendUnicodeToString, RtlAppendUnicodeStringToString, ZwClose, KeSetEvent, IoFreeWorkItem, MmMapLockedPagesSpecifyCache, memcpy, ExAllocatePoolWithTag, ExFreePoolWithTag, PsTerminateSystemThread, memset
      > HAL.dll: KeReleaseInStackQueuedSpinLock, KeAcquireInStackQueuedSpinLock
      > fwpkclnt.sys: FwpmTransactionCommit0, FwpmTransactionAbort0, FwpmEngineClose0, FwpmTransactionBegin0, FwpsCalloutRegister0, FwpmCalloutAdd0, FwpmFilterAdd0, FwpsCalloutUnregisterById0, FwpmEngineOpen0, FwpsFlowAssociateContext0, FwpsFlowRemoveContext0

      ( 0 exports )






      Análisis del archivo ULIAGPnt.sys recibido el 16.05.2008 0655 (CET)
      Estado actual: Cargando ... en cola en espera en proceso análisis terminado NO ENCONTRADO DETENIDO


      Resultado: 0/32 (0%)
      Cargando información del servidor..
      Su archivo se encuentra encolado en la posición: ___.
      Se estima que tendrá que esperar entre ___ y ___
      hasta el comienzo del análisis.
      No cierre la ventana hasta se haya completado el análisis.
      El analizador que estaba procesando su muestra se encuentra detenido,
      se va a esperar unos segundos por si fuera posible recuperar el resultado.
      Si lleva esperando varios minutos necesitará reenviar su archivo de nuevo.
      Su archivo está siendo analizado por VirusTotal en estos momentos,
      los resultados se iran mostrando a continuación.
      Compactar Imprimir resultados

      La muestra ha caducado o no existe.
      El sistema se encuentra detenido en estos momentos, su muestra se encuentra a la espera de ser analizada (posicion: ) por un tiempo indefinido.

      Usted puede continuar esperando la respuesta por web (se recargará automaticamente) o bien introducir su email en el siguiente formulario y pulsar el botón "solicitar" para que la respuesta le sea automaticamente remitida por correo electrónico.
      Email:


      Motor antivirus Versión Última actualización Resultado
      AhnLab-V3 2008.5.15.0 2008.05.15 -
      AntiVir 7.8.0.17 2008.05.15 -
      Authentium 5.1.0.4 2008.05.16 -
      Avast 4.8.1169.0 2008.05.12 -
      AVG 7.5.0.516 2008.05.15 -
      BitDefender 7.2 2008.05.16 -
      CAT-QuickHeal 9.50 2008.05.15 -
      ClamAV 0.92.1 2008.05.16 -
      DrWeb 4.44.0.09170 2008.05.16 -
      eSafe 7.0.15.0 2008.05.14 -
      eTrust-Vet 31.4.5788 2008.05.14 -
      Ewido 4.0 2008.05.14 -
      F-Prot 4.4.2.54 2008.05.15 -
      F-Secure 6.70.13260.0 2008.05.16 -
      Fortinet 3.14.0.0 2008.05.15 -
      GData 2.0.7306.1023 2008.05.16 -
      Ikarus T3.1.1.26.0 2008.05.16 -
      Kaspersky 7.0.0.125 2008.05.16 -
      McAfee 5295 2008.05.14 -
      Microsoft 1.3408 2008.05.13 -
      NOD32v2 3103 2008.05.16 -
      Norman 5.80.02 2008.05.15 -
      Panda 9.0.0.4 2008.05.15 -
      Prevx1 V2 2008.05.16 -
      Rising 20.44.32.00 2008.05.15 -
      Sophos 4.29.0 2008.05.16 -
      Sunbelt 3.0.1114.0 2008.05.12 -
      Symantec 10 2008.05.16 -
      TheHacker 6.2.92.311 2008.05.15 -
      VBA32 3.12.6.6 2008.05.15 -
      VirusBuster 4.3.26:9 2008.05.15 -
      Webwasher-Gateway 6.6.2 2008.05.15 -
      Información adicional
      Tamano archivo: 10240 bytes
      MD5...: 855d6b554b20f4bb82cd5cf5f6db9c88
      SHA1..: 71df9642aed74398b39cf6e5449940c0e68e5b76
      SHA256: d8424521365df2284e742022b6e8b2728335aa42b43c99e317e82fa67aa9db76
      SHA512: aae0bd3770e9f5249bb3eb9ebcc5e755fd804e60a6b8f359a42fac541ee7d8d2
      42b26d04ac7457dba5d9e8c3193ec520be59acdc96ad7fe52e1600081aa87fc5
      PEiD..: -
      PEInfo: PE Structure information

      ( base data )
      entrypointaddress.: 0x16005
      timedatestamp.....: 0x47e3fbab (Fri Mar 21 18:17:15 2008)
      machinetype.......: 0x14c (I386)

      ( 6 sections )
      name viradd virsiz rawdsiz ntrpy md5
      .text 0x1000 0x150c 0x1600 6.11 96234e187baab35e160bcf98e39999b7
      .rdata 0x3000 0x174 0x200 3.34 bc33931b67e706db1b408c680ca1f5d5
      .data 0x4000 0x60 0x200 0.52 2d2892cbf328a77571376ada356719d3
      encrypte 0x5000 0x2e 0x200 0.87 045b214c06ef33670f043b9526e3c302
      INIT 0x6000 0x4a0 0x600 4.44 c6986eed2a5fd777741970a37caa963f
      .reloc 0x7000 0x1cc 0x200 4.32 4726f5928521cfcc7c9531b764e92160

      ( 3 imports )
      > ntoskrnl.exe: RtlInitUnicodeString, KeWaitForSingleObject, ExAllocatePool, ExNotifyCallback, IoQueueWorkItem, IoAllocateWorkItem, KeDelayExecutionThread, IoDeleteDevice, KeInitializeEvent, PsCreateSystemThread, IoCreateDevice, ExCreateCallback, KeTickCount, KeBugCheckEx, RtlAppendUnicodeToString, RtlAppendUnicodeStringToString, ZwClose, KeSetEvent, IoFreeWorkItem, MmMapLockedPagesSpecifyCache, memcpy, ExAllocatePoolWithTag, ExFreePoolWithTag, PsTerminateSystemThread, memset
      > HAL.dll: KeReleaseInStackQueuedSpinLock, KeAcquireInStackQueuedSpinLock
      > fwpkclnt.sys: FwpmTransactionCommit0, FwpmTransactionAbort0, FwpmEngineClose0, FwpmTransactionBegin0, FwpsCalloutRegister0, FwpmCalloutAdd0, FwpmFilterAdd0, FwpsCalloutUnregisterById0, FwpmEngineOpen0, FwpsFlowAssociateContext0, FwpsFlowRemoveContext0

      ( 0 exports )






      Use como indicaste el ComboFix. No se si funcionó o no. Me marco un error al buscar una carpeta o algo parecido. Lamento no poder indicar esto con mayor detalle pero al precionar ´2´para salir el CF desapareció.


      Te comento, ademas, que hice una Restauración y el EliteKeylogger ya no está más. O eso creo al menos. Y, aunque no lo creas recibí finalmente respuesta del Equipo tecnico del EK. Respondieron esto:

      Dear nakillo,

      So, right now you have to do the following:

      1. Remove the version with the bug:

      Please, use the attached remover program in the Safe Mode to
      uninstall Elite Keylogger. Please, rename the file to ek_tool.zip,
      unpack it and run. Select the option to uninstall and input
      'iwishitworkedwithoutuninstalling' when asked.

      This will remove Elite Keylogger.



      Como veras me mandaron tambien lo necesario para desinstalar. La verdad es que a esta altura no se si ejecutarlo o no. Espero que me ayudes.


      Muchas Gracias.
      Última edición por nakillo fecha: 16/05/08 a las 04:00:39

    8. #8
      Ex-Colaborador Avatar de thecat_re
      Registrado
      ene 2007
      Ubicación
      Ciudad Bolivar,
      Mensajes
      3.617

      Re: Elite Keylogger: imposible de desinstalar!

      Hola Nuevamente.

      Bueno te voy a Indicar por pasos como entendi la respuesta que te enviaron.

      Realiza lo Siguiente:

      Reinicia a Modo Prueba de Fallos (Modo Seguro)
      Busca un Archivo Zip que me supongo debes saber donde esta, este descomprimelo, si no lo puedes descomprimir y ves que el archivo no se puede abrir con ningun programa, cambiale el nombre a ek_tool.zip "aunque el nombre no siginifica nada, lo importante es la Infeccion"

      Descomprimelo y ejecuta el desinstalador o quiza salga uninstall, al ejecutarse seleccion la opcion desinstalar.

      En Cuanto a los archivos ninguno esta infectado.

      Saludos nos comentas y avisanos si podemos dar el tema por terminado.
      "Lo difícil se hace y lo imposible se intenta"


      * Síguenos en nuestro Twitter y hazte nuestro amigo en Facebook.
      * Infórmate de las ultimas amenazas de la red desde: InfoSpyware Blog
      * No se resuelven dudas por Privados ni por E-mail, ya que para eso esta el foro.

    9. #9
      Usuario Avatar de nakillo
      Registrado
      may 2008
      Ubicación
      argentina
      Mensajes
      8

      Bien Re: Elite Keylogger: imposible de desinstalar!

      Hola

      Al parecer con la Restauración el programa desapareció (me gustaría saber tu opinión acerca de este punto) pues al utilizar el desinstalador como se indicaba no paso nada.

      Mis dudas:


      ¿Es posible que al Restaurar queden rastros de lo sucedido luego de la fecha del punto de restauración?

      ¿El archivo Pnpsvr qué es? ¿puede ser un virus?

      ¿Dónde está el Combo Fix?

      ¿Recomiendas el uso del Ccleaner?¿De que forma?

      Al margen de lo escrito y si no es mucho pedir: ¿podrías explicarme que son los archivos .sqm y porque comenzaron a aparecer en C:\ asi sin mas?




      Estas son las dudas que me quedaron. Supongo que aclaradas podríamos dar el tema por solucionado.


      Gracias thecat_re.

    10. #10
      Ex-Colaborador Avatar de thecat_re
      Registrado
      ene 2007
      Ubicación
      Ciudad Bolivar,
      Mensajes
      3.617

      Re: Elite Keylogger: imposible de desinstalar!

      Cita Originalmente publicado por nakillo Ver Mensaje
      ¿Es posible que al Restaurar queden rastros de lo sucedido luego de la fecha del punto de restauración?
      Si hiciste una restauracion a un punto anterior a la instalacion del programa lo mas seguro es que no, ya que esta vuelva al estado que deseaste y este restaura tanto archivos como entradas del registro. Pero nunca esta demas observar el comportamiento del equipo.

      Cita Originalmente publicado por nakillo Ver Mensaje
      ¿El archivo Pnpsvr qué es? ¿puede ser un virus?
      En mi Opinion es lo mas seguro que sea un archivo nocivo e innecesario, porque de algo estoy seguro sino encuentras informacion de un archivo n google es porque bueno no es. por lo tanto eliminalo.

      Cita Originalmente publicado por nakillo Ver Mensaje
      ¿Dónde está el Combo Fix?
      Recueda que restuaraste el sistema a una fecha anterior donde el ComboFix no estaba instalando, por ende este desaparecio.

      Cita Originalmente publicado por nakillo Ver Mensaje
      ¿Recomiendas el uso del Ccleaner?¿De que forma?
      El Ccleaner ejecútalo usando primero su opción de "Limpiador" para borrar cookies, temporales de Internet y todos los archivos que este te muestre como obsoletos, y luego usa su opción de "Registro" para limpiar todo el registro de Windows (haciendo copia de seguridad). Realiza Varios Analisis

      Cita Originalmente publicado por nakillo Ver Mensaje
      Al margen de lo escrito y si no es mucho pedir: ¿podrías explicarme que son los archivos .sqm y porque comenzaron a aparecer en C:\ asi sin mas?
      Tema Relacionado. Archivos sqmdata00.sqm, sqmnoopt00.sqm (Solucionado)

      Saludos.
      Última edición por thecat_re fecha: 16/05/08 a las 18:08:12
      "Lo difícil se hace y lo imposible se intenta"


      * Síguenos en nuestro Twitter y hazte nuestro amigo en Facebook.
      * Infórmate de las ultimas amenazas de la red desde: InfoSpyware Blog
      * No se resuelven dudas por Privados ni por E-mail, ya que para eso esta el foro.

    Página 1 de 2 12 ÚltimoÚltimo