elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.


 


Tema destacado: Doble factor de autenticación o verificación en dos pasos


+  Foro de elhacker.net
|-+  Seguridad Informática
| |-+  Seguridad (Moderadores: skapunky, r32)
| | |-+  Busco ayuda de pago con herramientas desinfeccion troyano
0 Usuarios y 1 Visitante están viendo este tema.
Páginas: 1 2 3 4 5 [6] Ir Abajo Respuesta Imprimir
Autor Tema: Busco ayuda de pago con herramientas desinfeccion troyano  (Leído 24,661 veces)
jelopez

Desconectado Desconectado

Mensajes: 17


Ver Perfil
Re: Busco ayuda de pago con herramientas desinfeccion troyano
« Respuesta #50 en: 10 Noviembre 2009, 16:09 »

Tema solucionado: os cuento... es para pegarse un tiro. A ver si encontrais explicación:

Si recordais un post de skapunky (mensage #3) me preguntó por unas aplicaciones que estaban ejecutandose. Una de ellas es TwinDocs ( https://www.twindocs.com/index.html ) . Pues resulta que es la que genera el aviso del AVIRA.  :o
Cuando se lanza la aplicación se crea en el temp el famos directorio de nombre larguísimo y en el que AVIRA detecta una http.dll que realmente no existe. El dir que hay realmente es este:

10/11/2009  15:41            15.086 55746a4e31d64f17b3d0a8e48b951f6d
10/11/2009  15:41            15.086 eb3eceb398054cd9a0f0d08e568b67fe
10/11/2009  15:41           204.416 filesys.dll
10/11/2009  15:41                 0 __0.swf
10/11/2009  15:41                65 __main.swf
               5 archivos        234.653 bytes
               0 dirs  37.894.213.632 bytes libres

Pero el avira detecta el http.dll
Si mato el proceso (o cierro la aplicación) el directorio desaparece. Si lo arranco manualmente voila! se vuelve a generar el dir y AVIRA se vuelve a quejar. Claro que en modo seguro no había nada de nada: allí no arranca la aplicación tal y como obviamente sugiere Arcano.

Lo que no entiendo es por qué si el contenido del directorio lo analizo con AVIRA no se queja: sólo se queja al lanzar la ejecución de la aplicación.

También es cierto que este soft lo tenía instalado hace meses (es de una gente de Zaragoza, España y por aquello de que son de mi ciudad y tal me decidí a instalarlo, fomentando la producción de soft local  :)  ) y nunca hubo problemas. Así que lo más plausible es que se trata de un falso positivo de AVIRA tras alguna actualización reciente. Vamos esto es a mi entender.

Vosotros que entendéis más ¿Creeis que esta debe ser la explicación?

Por otro lado informaré a la gente de TwinDocs del problema y lo reportaré a AVIRA, por si les sirve...

¿Queréis que haga alguna prueba más que os pueda interesar para mejorar vuestro conocimiento?

Saludos. Uffff que descanso   ;-)

Por cierto: que no sé en que entrada del registro se arranca la aplicación

En estas
Citar
* HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
* HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run

desde luego no es. Y así de forma rápida he buscado en el registro y no he visto ninguna de las que mencionáis... si caso podría sospechar de:

HKEY_CURRENT_USER\Software\Microsoft\Windows\ShellNoRoam\MUICache

Pero no sé...


« Última modificación: 10 Noviembre 2009, 16:16 por jelopez » En línea

skapunky
Electronik Engineer &
Moderador
***
Desconectado Desconectado

Mensajes: 3.669


www.killtrojan.net


Ver Perfil WWW
Re: Busco ayuda de pago con herramientas desinfeccion troyano
« Respuesta #51 en: 10 Noviembre 2009, 16:16 »

El problema que puedo ver aquí, es que al ejecutarse twindocs graba en el temporal librerías que utiliza para trabajar, como http.dll. Esta librería imagino que debe tener relación con la conexión al servidor donde se guarda la información de tu cuenta, vaya me refiero a que este software trabaja "en la nube" y debe utilizar esa librería para la conexión y datos.

El que lo detecte un antivírus, debe ser seguramente un falso positivo, es decir detecta algúna rutina que puede coincidir con la de otro malware, (a no ser que los de twindocs meta malware, que no creo).

Lo mejor que puedes hacer es reportarlo como dices a las dos bandas. Así podrán solucionar el conflicto.


En línea

Killtrojan Syslog v1.44: ENTRAR
jelopez

Desconectado Desconectado

Mensajes: 17


Ver Perfil
Re: Busco ayuda de pago con herramientas desinfeccion troyano
« Respuesta #52 en: 10 Noviembre 2009, 16:18 »

skapunky:

Supongo tienes razón...
Y efectivamente no creo que metan malware, se dedican a temas de seguridad, dni electrónico... en fin, no les interesará precisamente pasarse al "lado oscuro" ;)
En línea

Arcano.


Desconectado Desconectado

Mensajes: 468



Ver Perfil
Re: Busco ayuda de pago con herramientas desinfeccion troyano
« Respuesta #53 en: 10 Noviembre 2009, 17:34 »

Buenas!

En fin, pues nada, al final, el virus que nos ocupaba 'ya no estaba'...

Parece curioso lo de aplicación TwinDocs, pero, tal y como te comentan, no es tan poco común... Los antivirus pueden dar falsos positivos...

En cuanto a:
Citar
que no sé en que entrada del registro se arranca...

Puede que lo tengas en 'Programas de Inicio'. Algo de eso indica el análisis de Hijackthis: O4 - Global Startup: TwinDocs Ambassador.lnk = C:\Archivos de programa\TwinDocs\Ambassador\Ambassador.exe


Si miras en msconfig, (casi) seguro que está...

Pues nada, lo que ya te han comentado, a reportar el falso positivo a ambas partes y listo...

Saludos!
En línea

La curiosidad es la antesala al conocimiento...
NikNitro!


Desconectado Desconectado

Mensajes: 1.291


Galletaaa!!!


Ver Perfil WWW
Re: Busco ayuda de pago con herramientas desinfeccion troyano
« Respuesta #54 en: 10 Noviembre 2009, 20:34 »

Pues yo no tengo el twindocs y sin embargo lo mio no se quita. PD lo mio si es un troyano de verdad, estoy casi seguro, porque el ejecutable desapareció. solo me queda esperar a que salte el antivirus y mirar en la barra de procesos a ver si veo algo. de todos modos me descargaré el Sisinspector a ver que me dice.
S@lu2
En línea

Novlucker
Ninja y
Moderador Global
***
Desconectado Desconectado

Mensajes: 10.692

Yo que tu lo pienso dos veces


Ver Perfil
Re: Busco ayuda de pago con herramientas desinfeccion troyano
« Respuesta #55 en: 10 Noviembre 2009, 21:29 »

NikNitro, este tema se da por terminado (al menos por parte del autor), seguimos tu problema en el otro tema, que por cierto, te había dejado una sugerencia pero creo que no la has visto :rolleyes:

jelopez, como ha dicho Arcano el programa inicia con ese link en la carpeta de inicio, igualmente mi duda, realmente se crean esas carpetas solamente con el programa, porque me lo he instalado y revisado, y no me ocurre  :-\, o hay que logarse obligatoriamente?

Saludos
« Última modificación: 10 Noviembre 2009, 23:25 por Novlucker » En línea

Contribuye con la limpieza del foro, reporta los "casos perdidos" a un MOD XD
"Hay dos cosas infinitas: el Universo y la estupidez  humana. Y de la primera no estoy muy seguro."
Albert Einstein
Páginas: 1 2 3 4 5 [6] Ir Arriba Respuesta Imprimir 

Ir a:  

Mensajes similares
Asunto Iniciado por Respuestas Vistas Último mensaje
[AIO elhacker.NET] Compilación herramientas análisis y desinfección malware « 1 2 ... 6 7 »
Seguridad
r32 64 51,325 Último mensaje 28 Abril 2013, 19:09
por Luis12357
¿Hackers en el nostale?los busco los pago
Redes
Ruggis 0 520 Último mensaje 15 Diciembre 2012, 19:54
por Ruggis
AIO elhacker.NET 2015 Compilación herramientas análisis y desinfección malware « 1 2 3 4 »
Seguridad
el-brujo 32 53,595 Último mensaje 18 Enero 2016, 19:07
por simorg
Ayuda para practica de desinfección
Análisis y Diseño de Malware
SoTyOne 1 552 Último mensaje 25 Enero 2014, 00:23
por xxxposeidonxxx
Busco algun progrmador - hay un buen pagó
Foro Libre
xkevin 5 607 Último mensaje 9 Octubre 2014, 01:10
por engel lex
Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines