Hola a todos, tengo una duda... yo suelo coleccionar virus, y por lo tanto en mi universidad tienen el kis 7.0.0.125 y en mi pc personal tengo el kis 6.0.2.621, el problema es que me descargue alrededor de 12 virus, me el kis 6.0.2.621 me detecto solo 5 virus .
Me los detectaria la version 6.0.2.621 si lo scaneo en modo seguro (los restantes)
O restauro el sistema.
Ya que en mi usb tengo un gusano peligrosisimo, que es el darby.
Saludos

Hola,
pues puedes probar si en modo seguro se detectan, si se detectan postea aqui los resultados,
si puedes, prueba a analizarlos con Kaspersky 7.0, y también postea los resultados.
Puedes pasarme por P.M el gusano y los virus si quieres para que los analiza yo con KIS 7.0

P.D: voy a buscar información sobre ese gusano.

Hola que tal, pues acaba de analizarlo por modo seguro sin exito alguno, pues sobre los virus y el gusano que te dije no te los puedo pasar porque no aparecen, PERO ESTAN AHI, tambien tengo 2 variantes de autorun.inf, el problema es que no me da confianza la 7.0 porque da muchos problemas en la instalacion.
Saludos

Hola,
si no quieres instalarte Kis 7.0, puedes pasármelos por PM, te lo agradeceria para ver como funciona la heurística de KIS 7.0

Si haces una desinstalación completa y no guardas la configuración, no tiene por qué dar problemas.
Saludos

Porque no pruebas con Virus Removal Tools...???

Saludos y suerte con esas amenazas...!!!

Una forma segura de extraer las amenazas de tu memoria, seria, Instalar este programa:

http://tecnonica.ief.st/viewtopic.php?t=1786

Aunque no lo he probado.

Luego instalar el Deep Freezer.

Y luego conectas tu memoria.... cuando los datos de tu memoria sean copiados a la carpetas que especificados... Entonces comprimis toda la carpeta con el winrar y le pones clave, asi tendrias tu gusano y la oportunidad de enviar todo el archivo a los expertos de LAB KAV.

Saludos...

Aqui tienes informacion del gusano:

http://www.vsantivirus.com/darby-m.htm

Cuando se ejecuta, puede crear los siguientes archivos:

c:\archivos de programa\mirc\h_aqrlb
c:\windows\microsoftweb.htm
c:\windows\system\[nombre al azar]
c:\windows\system\bzip.exe
c:\windows\system\grpftpbrd.pif
c:\windows\system\gzip.zip
c:\windows\system\hwloadmon.com
c:\windows\system\image0x.scr
c:\windows\system\k^]vgen.bat
c:\windows\system\killusa.exe

NOTA: En todos los casos, "c:\windows" y "c:\windows\system" pueden variar de acuerdo al sistema operativo instalado ("c:\winnt", "c:\winnt\system32", "c:\windows\system32", etc.).

Libera una copia de la herramienta PKZIP con el nombre de BZIP.EXE, y la utiliza para crear una copia zipeada de si mismo con el nombre GZIP.ZIP.

El gusano modifica el registro de modo de poder ejecutarse cada vez que se intenta abrir un archivo con extensiones .EXE, .REG, .SCR, .COM, .BAT o .PIF.

También modifica las siguientes entradas en el registro:

HKCR\keyfile\shell\open\command
(Predeterminado) = "GDC"

HKCU\Software\Microsoft\WindowsNT
\CurrentVersion\Policies\System
DisableRegistryTools = dword:00000001
DisableTaskMgr = dword:00000001

HKCU\Software\Microsoft\Windows
\CurrentVersion\Policies\System
DisableRegistryTools = dword:00000001
DisableTaskMgr = dword:00000001

HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows
run = "c:\windows\system\[nombre al azar]"

HKLM\SOFTWARE\GedzacLABS

HKLM\System\CurrentControlSet\Services\GEDZAC LABS

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
CDDEFRAGDLL = "c:\windows\system\[nombre al azar]"

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
ISUNINSTUNST = "c:\windows\system\[nombre al azar]"

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Run
CDDEFRAGDLL = "c:\windows\system\[nombre al azar]"

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Run
ISUNINSTUNST = "c:\windows\system\[nombre al azar]"

HKLM\SOFTWARE\Microsoft\Active Setup
\Installed Components\Bardiel
Bardiel StubPath = "c:\windows\system\[nombre al azar]"

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
Shell = "Explorer.exe c:\windows\system\[nombre al azar]"

Crea un servicio llamado "GEDZAC LABS":

HKLM\System\CurrentControlSet\Services\GEDZAC LABS

En equipos con Windows 95 y 98, modifica el archivo AUTOEXEC.BAT para autoejecutarse al inicio de Windows:

@win C:\Windows\System\[Nombre de archivo]

También modifica los archivos WIN.INI y SYSTEM.INI:

WIN.INI:

[boot]
shell=Explorer.exe C:\Windows\System\[Nombre de archivo]

SYSTEM.INI:

[windows]
run=C:\Windows\System\[Nombre de archivo]

También se propaga vía mIRC, liberando para ello el archivo H_AQRLB en la misma carpeta donde resida dicho programa de IRC. Ese archivo contiene un script utilizado para enviar una copia del gusano a usuarios específicos en el canal de chat visitado.

El gusano crea varias entradas en el archivo SCRIPT.INI a los efectos de ocultarse al enviarse por IRC, y de desplegar un texto para que la víctima descargue un archivo de Internet (posiblemente un troyano o una copia del gusano):

[text]
quit = http:/ /interserv10 .i-networx .de/ lolitasex .avi XXX

Para propagarse por redes P2P, el gusano crea las siguientes copias de si mismo en las carpetas compartidas por defecto de ICQ y KaZaa (c:\archivos de programa\ICQ\shared, c:\archivos de programa\Kazaa\My Shared Folder):