¿Posible malware en este ejecutable?

[REDACTED]

Hola a todos!!

Bueno les comento, yo uso un programa para checkear si ciertas IPs existen en X DNSBL's y realmente me hes múy útil ya que siempre lo estoy utilizando.
Este programa según Avast! me dice que es un malware, por ejemplo si yo al programa lo copio e intento ponerlo en otra ubicación de mi pc o moverlo a otro lado, avast me informa de que es un malware (Gravedad: Alta):



le doy clic en Aceptar varias veces, ya que al presionar Aceptar la ventana se cierra, pero se vuelve a abrir, vuelvo a presionar Aceptar, se vuelve a cerrar, pero se vuelve otra vez a abrir y así varias veces hasta que el ejecutable desaparece.
He probado con el programa original, ya que viene comprimido, lo he descomprimido y ahí nomás me sale el aviso de avast que es un malware, pero la pregunta es ¿porqué avast me deja ejecutarlo?, si fuese un malware no me dejaría que lo ejecute, pero yo lo puedo ejecutar y usar sin problemas, lo más probable en el caso de que sea un malware, es que quizás el programa está infectado, ya que no creo que haya sido creado únicamente para hacer daño, porque el programa me informa si una X IP está en X listas negras.

Aquí les dejo una captura de este programa:



¿cómo puedo saber si realmente es un malware?
¿qué debo hacer en estos casos?, porque si ya lo he ejecutado, me dirán que estoy infectado, pues la verdad no noto nada raro en mi pc, lo único que noto es que algunas veces se me congela el escritorio, simplemente no puedo acceder a él, o sea puedo minimizar las ventanas, cerrarlas, etc... y también puedo ver el escritorio (íconos, fondo, etc), pero al hacer clic sobre un archivo, carpeta, programa, etc... la pc no responde, es como si fuera que queda tildada, pero aclaro algo importante, el puntero del mause sigue siendo la flecha, es decir que todo sigue normal supuestamente, porque he leído este mismo problema que yo tengo en algunos sitios webs y otras personas comentan de que el puntero se pone un círculo como que está cargando algo, pero en mi caso, eso no sucede, la flecha sigue estando siempre, sin embargo la pc no se relentiza ni nada, solamente que por unos minutos, calculo de 2 a 5 minutos se queda así y luego vuelve a la normalidad, eso es lo único que me pasa en mi pc hoy en día, pero no creo que sea por un malware, debe ser por las cantidades de bajas y cortes de luz que sufrió que eso me perjudicó el disco rígido, ya que hace un ruido muy fuerte al encender la pc, luego de unos minutos ese ruido ya no vuelve más, solo al inicio es el ruido.

¿Cómo puedo saber si ese programa es dañino?
Me gustaría poder enviarlo a alguien con experiencia para que lo revisara y si es un programa que está infectado, por favor ruego que me digan como puedo hacer desinfectarme.

Muchísimas gracias a todos por su ayuda!!

Saludos!!

[REDACTED]

Puede ser solo un F/P ya que malware-gen es muy generalizado.

Añadelo al Baul de virus y mandalo como un F/P a los laboratorios de Avast.

Analizalo en VirusTotal y pega la dieccion del resultado en tu explicacion a los laboratorios de Avast.

[REDACTED]

Hola, gracias por responder!

Acabo de enviar el programa a los laboratorios de avast, lo envié como "Posible virus" y lo que escribí de información adicional fué esto (esto envié en inglés):

Hello, avast informs me that this program is malware, but I can run normally, the problem / detention comes when I try to copy and paste it to another location on my computer or when I want to move it from place. The program itself works perfectly, but avast! I indicates a virus.

Original:

hola, avast me informa que este programa es un malware, pero yo lo puedo ejecutar normalmente, el problema/detencion viene cuando lo copio e intento pegarlo en otra ubicacion de mi pc o cuando quiero moverlo de lugar. El programa en si funciona perfectamente, pero avast! me indica que es un virus.


Estoy tratando de entrar en la página que me pasaste, pero tarda demasiado, parece que está lenta la web, demora mucho y no carga del todo...

Por favor me podrías explicar con más detalles que más debo hacer? Muchas gracias amigo!!

Saludos!

[REDACTED]

Ya reportastes el programa. Yo lo hubiera reportado como un F/P para que Avast lo probara. Imagino que al reportarlo como virus haran lo mismo.

Por cierto no se de donde lo bajastes. Hay docenas de sitios donde comprobar dnsbl pero ninguno tiene un programa para instalar.

Virustotal es https://www.virustotal.com/

El resultado daria indicios como el programa trabaja. Si es detectado o no por otros programas de seguridad. Si esta firmado digitalmente y por quien. Si ha sido reportado anteriormente, etc.

Si lo que quieres es que no salga la alerta puedes excluirlo. Ahora bien..¿ Por que Avast lo detecta y no lo bloquea ?... Eso lo diran en Avast cuando revisen tu muestra.

[REDACTED]

Ya reportastes el programa. Yo lo hubiera reportado como un F/P para que Avast lo probara. Imagino que al reportarlo como virus haran lo mismo.

No me dí cuenta que significaba la abreviación "F/P", y estoy seguro que es "Falso Positivo", no me di cuenta, te pido mil disculpas, sino lo reportaba como un falso positivo, pero como bien dijiste, lo van a revisar.

Por cierto no se de donde lo bajastes. Hay docenas de sitios donde comprobar dnsbl pero ninguno tiene un programa para instalar.

La verdad no recuerdo, voy a ver si encuentro la página porque hace mucho que lo bajé.
Si, se que hay muchos sitios y los conozco, pero el internet mío no es muy rápido y algunas webs hacen checkeos a decenas de listas, cuando yo solo necesito como 4. Además un programa es más rápido que una página web o al menos para mí es más rápido.

Virustotal es https://www.virustotal.com/

El resultado daria indicios como el programa trabaja. Si es detectado o no por otros programas de seguridad. Si esta firmado digitalmente y por quien. Si ha sido reportado anteriormente, etc.

No puedo cargar la web, demora mucho y no carga, no sé porque.

Si lo que quieres es que no salga la alerta puedes excluirlo. Ahora bien..¿ Por que Avast lo detecta y no lo bloquea ?... Eso lo diran en Avast cuando revisen tu muestra.

¿Dónde y cómo hago para recibir la respuesta de ellos?, ¿en este mismo tema?

Saludos!!!

[REDACTED]

Si. F/P quiere decir falso/positivo

No se porque VT se tarda tanto en abrirte. Es una pagina simple y usualmente es muy rapida. yo no tengo problemas desde aqui. Puedes tratar mas tarde o mañana.

Avast rara vez se pone en contacto contigo al menos que necesite mas informacion de la muestra mandada o hayas pegado el URL de este topico o sea una infeccion verdadera. Pero si es un F/P, en 3 o 4 dias ya no sera detectado por Avast.

[REDACTED]

Cláro, la verdad que la web se ve que es bastante sencilla y liviana, pero es muy raro que demore tanto, volveré a probar más tarde o en la madrugada.

Bien, perfecto! me quedó todo cláro, amigo aquí te paso el enlace del programa, Avast! me lo detecta como un virus también, siendo que lo acabo de bajar de la web del autor:

hxxp:// anonmails.de/files/DNSBLCheck.exe

pero el peso que tiene el archivo de la web del autor no es exactamente igual al que yo tengo, hay como 6 kilobytes de diferencia, el que yo tengo es el más pesado.



Saludos!!

[REDACTED]

Hola nuevamente, es imposible poder acceder a la web que me has dejado, el internet funciona bien y carga webs mucho más pesadas, pero acá el problema parece que solo ocurre conmigo, he probado a usar una página web proxy anónima para ver si podía entrar, ya que la lentitud puede ser debido a mi ISP, país, problema de la web o algo por el estilo, y con la web anónima se carga normal en cuanto a velocidad, pero la web se ve toda mal... pasa exactamente lo mismo si lo hago sin usar la página web proxy, me demora mucho más y la puedo cargar después varios minutos pero aún así, se visualiza muy mal.

He probado hasta con Firefox que jamás me falla en nada y la web se vé exactamente igual que en IE.
Lo mejor para estos casos son las capturas de pantalla para que ustedes lo vean por ustedes mismos como estoy viendo esa web, aquí las dejo:












Saludos!!

[REDACTED]

No se que pasa que no puedes accesar VT pero te aconsejaria que usaras:

Malwarebytes'
AdwCleaner
CCleaner

para revisar que no tengas ningun adware que pueda estar molestando y limpiar toda basura en tu sistema.

[REDACTED]

Hola nuevamente amigos!!

Traigo novedades, les comento:

Hace un rato entré a la web de VirusTotal para ver si me podía funcionar y por suerte me funcionó perfectamente!! No sé que habrá pasado antes ya que no se veía bien, pero bueno, lo importante es que pude examinar los 2 archivos, uno es el ejecutable que yo uso para checkear IPs/Proxys y el otro es el comprimido.

Voy a dejar los 2 enlaces del análisis, estos 2 programas según la web de VirusTotal ya fueron analizados anteriormente, aquí están los resultados:


Ejecutable solo, (sin comprimir), nombre DNSBL.exe (bajado de una web que no es la del autor):
https://www.virustotal.com/es/file/758092fe5bf835c947f566177a43cd1cec29ad4f57ab6573592c3a64b2d72c2b/analysis/1435645036/

Comprimido (viene adentro con el ejecutable y un archivo de configuración INI) (Este si lo bajé de la web del autor), nombre: DNSBLCheck.exe:
https://www.virustotal.com/es/file/c53bdc03f3738385619aa8353c14bd1106070498ba24a9d69e603b79c4cbd6ea/analysis/1435645385/


como se puede observar, el programa está infectado, son varios los antivirus que lo detectaron, así que podríamos asegurar de que se trata de un malware.

No se que pasa que no puedes accesar VT pero te aconsejaria que usaras:

Malwarebytes'
AdwCleaner
CCleaner

para revisar que no tengas ningun adware que pueda estar molestando y limpiar toda basura en tu sistema.

Bueno, te comento, en primer lugar he usado hace unos meses atrás el Malwarebytes Premium y es muy bueno pero me dañó el navegador, específicamente Internet Explorer (versión 9), en ese mismo día o al día siguiente me dí cuenta de que algo pasaba en IE, porque no salían las webs (el historial de webs) que yo había entrado anteriormente, es decir, en la barra de direcciones cuando vas escribiendo, te va saliendo abajo un listado de todas las webs que comienzan con ese nombre, pero esto no pasaba, así que traté de ver en las configuraciones de IE alguna configuración que se podía haber desconfigurado o algo así, pero no lo pude solucionar, andube por muchas páginas tratando de solucionar esto y tampoco he podido solucionarlo, así que no me quedó otra opción que desinstalar IE 9, es decir, al desinstalar la versión 9, lógicamente me quedó la 8, luego volví a instalar la versión 9 y estaba seguro que con eso lo iba a solucionar, pero tampoco se solucionó.

Y eso que hasta tenés que reiniciar la pc porque Windows te lo pide, tarda un buen rato en actualizarse, sumado al tiempo que tarda en configurarlo, etc., pero aún así no se arregló el error.
Bueno... ya me estaba dando por vencido, así que me acordé de que yo había eliminado algunos virus que habían afectado a mi navegador, el checkeo lo había hecho con Malwarebytes, entónces me fuí a Cuarentena y restauré todos esos archivos y el navegador volvió a funcionar perfectamente, por eso que me pasó, tomé la desición de desinstalarlo.

Ahora me pasó exactamente lo mismo cuando instalé el AdwCleaner, checkeé la pc y también encontró virus o algo malo y yo le dí la órden que lo remueva, pensé que me podía pasar lo mismo que me pasó anteriormente, pero esta vez me jugué porque el programa AdwCleaner no creo que lo que se haya eliminado, se pueda volver a restaurar (puedo equivocarme y que si exista una posibilidad).

Cuando escribo alguna dirección de alguna web que ya había entrado anteriormente, simplemente no sale nada, voy a dejar una captura, ahí debería salir algunas de las webs que he navegado y como verán no sale ninguna, ni siquiera cuando empiezo a escribir en la barra de direcciones:



Ahora... si alguien sabe como resolver este problema o si por casualidad es alguna configuración, por favor me lo informan, no es algo importante para mí, pero es mejor siempre que esté porque lo puedo utilizar y al no tener esa posibilidad, no podré hacerlo. Gracias.

Recién actualicé CCleaner a la última versión (CCleaner v5.07) y realicé una limpieza general.

Bueno amigos, eso es todo.

Como siempre muchas gracias por sus Grandes Ayudas!!!


PD: Dejo adjunto el Log del programa AdwCleaner.




EDITO: Amigos!! he podido solucionar el problema del navegador, me bajé 2 programas oficiales de Microsoft para corregir este error que tenía, uno era para corregir errores y el otro para restablecer la configuración de Internet Explorer, probé los 2, pero no me funcionaron, así que seguí buscando y por fin encontré la solución, aquí dejo la fuente:

http://answers.microsoft.com/es-es/ie/forum/ie10-windows_8/internet-explorer-10-no-me-guarda-autocompletar/8a08eac4-fd37-4cf6-879f-060486e364b9?auth=1

si bien esa ayuda está enfocada a IE 10, igualmente funciona perfectamente con IE 9
Aquí dejo la otra fuente que sirve para descargar los 2 programas, uno es para corregir posibles errores y el otro para restablecer la configuración de IE:

http://answers.microsoft.com/es-es/ie/forum/ie9-windows_vista/no-me-funciona-autocompletar/5048b16e-4b7f-e011-9b4b-68b599b31bf5?auth=1

Espero que a alguien le sirva.

[REDACTED]

Voy a dejar los 2 enlaces del análisis, estos 2 programas según la web de VirusTotal ya fueron analizados anteriormente, aquí están los resultados:


Ejecutable solo, (sin comprimir), nombre DNSBL.exe (bajado de una web que no es la del autor):
https://www.virustotal.com/es/file/758092fe5bf835c947f566177a43cd1cec29ad4f57ab6573592c3a64b2d72c2b/analysis/1435645036/

Comprimido (viene adentro con el ejecutable y un archivo de configuración INI) (Este si lo bajé de la web del autor), nombre: DNSBLCheck.exe:
https://www.virustotal.com/es/file/c53bdc03f3738385619aa8353c14bd1106070498ba24a9d69e603b79c4cbd6ea/analysis/1435645385/


como se puede observar, el programa está infectado, son varios los antivirus que lo detectaron, así que podríamos asegurar de que se trata de un malware.

No necesariamente. Lo que yo veo es que no esta firmado y tanto Avast como los otros AV ( no esta siendo detectado por programas de reputacion confiables ) que lo detectaron se estan basando en esto y su comportamiento. Asi que lo estan considerando como un PUP ( programa potencialmente no deseado ).

Tus problemas con MBAM y IE puede haber sido causado por alguna politica de cambio en tu configuracion. Esto si pudo haber sido hecho por alguna infeccion que tuvistes anteriormente.

Mi consejo es que busques ayuda de un experto calificado a ver que mas tienes y que restricciones tienes en tu sistema.

Aqui en Avast! los tenemos pero solo en ingles. Tienes que leer esta guia.

http://forum.avast.com/index.php?topic=53253.0

Bajar y ejecutar este programa Farbar Recovery Scan Tool ( FRST ), y sus reportes loa guardas y los anexas ( no copiar/pegar ) en el nuevo topico que abriras aqui:

http://forum.avast.com/index.php?board=4.0

Si no sabes ingles el unico sitio en español de confianza que conosco es este:

http://www.forospyware.com/foro-de-virus-y-spywares/

[REDACTED]

Hola nuevamente!! Muchas gracias por tu excelente ayuda y la de los demás compañeros expertos en este tema.

He bajado el programa que me has indicado (Farbar Recovery Scan Tool ( FRST )), he hecho el escaneo en mi pc y se me han reportado los 2 archivos logs.
He leído en otros temas de otros usuarios que han reportado sus logs en su mismo tema, creo que eso es lo que hay que hacer, ya que ví que los usuarios publicaron sus reportes y un compañero que sabe mucho del tema les indicó lo que debían hacer, y luego vos también le indicas a los usuarios que es lo que el compañero les dice, ya que su idioma es inglés y el tuyo es español.

Voy a dejar aquí los 2 archivos logs, si tengo que abrir un nuevo tema en otro foro de avast, lo haré, si tengo que registrarme y publicar los reportes en el foro http://www.forospyware.com/, también lo haré con mucho gusto!

Mi estimado, aquí te dejo los 2 archivos logs.

Como siempre, muy agradecido por tu Grandísima ayuda!!!

Saludos y éxitos!!

[REDACTED]

Le notifique a essexboy de tus FRST logs. El los analizara y si encuentra algo, te dara instrucciones a seguir. Yo estare atento si necesitas traduccion.

[essexboy]

Any reason why you have not installed IE11 ?

CAUTION :  This fix is only valid for this specific machine, using it on another may break your computer

Open notepad and copy/paste the text in the quotebox below into it:
 

CreateRestorePoint:
BHO-x32: No Name -> {5C255C8A-E604-49b4-9D64-90988571CECB} ->  No File
Handler: livecall - {828030A1-22C1-4009-854F-8E305202313F} -  No File
Handler: msnim - {828030A1-22C1-4009-854F-8E305202313F} -  No File
FF NetworkProxy: "backup.ftp", "66.228.48.106"
FF NetworkProxy: "backup.ftp_port", 80
FF NetworkProxy: "backup.socks", "66.228.48.106"
FF NetworkProxy: "backup.socks_port", 80
FF NetworkProxy: "backup.ssl", "66.228.48.106"
FF NetworkProxy: "backup.ssl_port", 80
FF NetworkProxy: "ftp", "5.134.117.107"
FF NetworkProxy: "ftp_port", 80
FF NetworkProxy: "http", "5.134.117.107"
FF NetworkProxy: "http_port", 80
FF NetworkProxy: "share_proxy_settings", true
FF NetworkProxy: "socks", "5.134.117.107"
FF NetworkProxy: "socks_port", 80
FF NetworkProxy: "ssl", "5.134.117.107"
FF NetworkProxy: "ssl_port", 80
CHR HKLM-x32\...\Chrome\Extension: [dhkplhfnhceodhffomolpfigojocbpcb] - C:\Program Files (x86)\Babylon\Babylon-Pro\Utils\BabylonChrome.crx [Not Found]
S3 BprotectEx; \??\C:\Windows\System32\drivers\BprotectEx.sys [X]
2014-02-27 17:21 - 2014-02-27 17:21 - 1104186 _____ (tsmCasin.com                                                ) C:\Users\Daniel\AppData\Local\tsmmensajes.exe
Task: {2BCA628D-C298-4FC9-94E2-C34C1D83EDD9} - System32\Tasks\{74B69FB8-11DF-41BD-9599-BED67E440DDC} => pcalua.exe -a "C:\Program Files (x86)\IRCplus 2000\Remote.exe"
Task: {3D8581A1-6F7E-41DA-9D15-52988791CB62} - System32\Tasks\{742BE2BB-38BE-4793-B288-E394367C23FF} => pcalua.exe -a "C:\Program Files (x86)\Babylon\Babylon-Pro\Utils\uninstbb.exe" -d "C:\Program Files (x86)\Babylon\Babylon-Pro\Utils\"
Reg: reg delete HKLM\SOFTWARE\Policies\Microsoft\Windows\IPSec\Policy\Local /f
Reg: reg add HKLM\SOFTWARE\Policies\Microsoft\Windows\IPSec\Policy\Local /f
RemoveProxy:
EmptyTemp:
CMD: bitsadmin /reset /allusers

 
Save this as fixlist.txt, in the same location as FRST.exe

Run FRST and press Fix
On completion a log will be generated please post that

[REDACTED]

Hola, antes que nada, quiero agradecer enormemente al compañero essexboy y a iroc9555 que realmente me ayudaron muchísimo y eso lo valoro y jamás me olvidaré, muchas gracias de corazón

Amigos, he hecho lo que el compañero me ha indicado, aquí dejo el log para su revisión.

Nuevamente muy agradecido por ustedes que dan paz y bondad al mundo.

Saludos y éxitos!!!


Google Traductor:

Hello, first of all, I want to thank enormously companion iroc9555 and essexboy that really helped me a lot and that I appreciate and never forget me, thank you very much to heart

Friends, I have done what the partner has indicated to me, here I leave the log for review.

Again very grateful for you to give the world peace and goodness.

Greetings and successes !!!

Any reason why you have not installed IE11 ?

Había probado instalarlo hace un tiempo atrás, y ahora he vuelto a intentar y al ejecutar el instalador me muestra este mensaje:



Yo tenía IE 8 y pude actualizar a IE 9 y es mucha la diferencia en todo sentido, por ejemplo en velocidad es más rápido.

Saludos!!


Google Traductor:

Any reason why you have not installed IE11 ?

He had tried to install a while ago, and now I'm back to try and run the installer shows me this message:



I was able to upgrade IE 8 and IE 9 and is much difference in every way, for example, speed is faster.

Regards !!