spoolsv.exe

Responder
geoda
Mensajes: 139
Registrado: 09 Abr 2009, 00:44

spoolsv.exe

Mensaje por geoda » 09 Feb 2020, 21:31

Amigos buenas de nuevo de tiempo con mis problemas en realidad son 2
el primero spoolsv.exe

no se Como se me infecto este troyano que modifica mis ejecutables les mando las muestras pedidas y el informe correspondiente

Fichero: Muestras.zip | Tamaño: 400,13 Kb
MD5: EC558C01E286CAF1FD7684B26EF8619B

El Segundo es que me instalador me lo detecta como virus de un programa de contaduria
ICONTAB

Fichero: instalador_iContab8.zip | Tamaño: 9,66 MB
MD5: 5FA50A959A9468B7DD3AD970BF2B3DEF


(9-2-2020 16:03:01 (GMT))
EliStartPage v42.89 (c)2020 S.G.H. / Satinfo S.L. (Actualizado el 7 de Febrero del 2020)
--------------------------------------------------
Sistema Operativo: WindowsRD Corp (5.1.2600) SERVICE PACK 3
Usuario: SkyOS
ID de Usuario: S-1-5-21-1004336348-179605362-1177238915-500
Cadenas Víricas: 42818

Lista de Acciones (por Acción Directa):
C:\WINDOWS\System\explorer.exe.VIR --> Eliminado.
Por favor, envienos el INFOSAT.TXT y una muestra del fichero
C:\Muestras\EXPLORER.EXE.Muestra EliStartPage v42.89
a "virus@satinfo.es". Gracias.
C:\WINDOWS\SYSTEM\EXPLORER.EXE --> Eliminado
Restaurado "Shell" = "C:\WINDOWS\EXPLORER.EXE, C:\WINDOWS\SYSTEM\EXPLORER.EXE"
Detectado HOSTS no Standar.
Eliminadas las Paginas de Inicio y de Busqueda del IE
Eliminados Ficheros Temporales del IE

(9-2-2020 16:26:44 (GMT))
EliStartPage v42.89 (c)2020 S.G.H. / Satinfo S.L. (Actualizado el 7 de Febrero del 2020)
--------------------------------------------------
Sistema Operativo: WindowsRD Corp (5.1.2600) SERVICE PACK 3
Usuario: SkyOS
ID de Usuario: S-1-5-21-1004336348-179605362-1177238915-500
Cadenas Víricas: 42818

Lista de Acciones (por Exploración):
Explorando "C:\"
C:\Archivos de programa\reaConverter Pro\utl\MAKEWPG.EXE --> Infectado, Autoit.OFW
C:\WINDOWS\system32\AUTODISC.DLL --> Eliminado, FakeMS.AutoDisc

Nº Total de Directorios: 8347
Nº Total de Ficheros: 149155
Nº de Ficheros Analizados: 103240
Nº de Ficheros Infectados: 2
Nº de Ficheros Eliminados: 1

(9-2-2020 16:26:50 (GMT))
EliStartPage v42.89 (c)2020 S.G.H. / Satinfo S.L. (Actualizado el 7 de Febrero del 2020)
--------------------------------------------------
Sistema Operativo: WindowsRD Corp (5.1.2600) SERVICE PACK 3
Usuario: SkyOS
ID de Usuario: S-1-5-21-1004336348-179605362-1177238915-500
Cadenas Víricas: 42818

Lista de Acciones (por Exploración):
Explorando "D:\"

Nº Total de Directorios: 9
Nº Total de Ficheros: 22
Nº de Ficheros Analizados: 3
Nº de Ficheros Infectados: 0
Nº de Ficheros Eliminados: 0

(9-2-2020 16:26:51 (GMT))
EliStartPage v42.89 (c)2020 S.G.H. / Satinfo S.L. (Actualizado el 7 de Febrero del 2020)
--------------------------------------------------
Sistema Operativo: WindowsRD Corp (5.1.2600) SERVICE PACK 3
Usuario: SkyOS
ID de Usuario: S-1-5-21-1004336348-179605362-1177238915-500
Cadenas Víricas: 42818

Lista de Acciones (por Exploración):
Explorando "D:\"

Nº Total de Directorios: 9
Nº Total de Ficheros: 22
Nº de Ficheros Analizados: 3
Nº de Ficheros Infectados: 0
Nº de Ficheros Eliminados: 0

(9-2-2020 16:26:55 (GMT))
EliStartPage v42.89 (c)2020 S.G.H. / Satinfo S.L. (Actualizado el 7 de Febrero del 2020)
--------------------------------------------------
Sistema Operativo: WindowsRD Corp (5.1.2600) SERVICE PACK 3
Usuario: SkyOS
ID de Usuario: S-1-5-21-1004336348-179605362-1177238915-500
Cadenas Víricas: 42818

Lista de Acciones (por Exploración):
Explorando "E:\"

Nº Total de Directorios: 32
Nº Total de Ficheros: 341
Nº de Ficheros Analizados: 3
Nº de Ficheros Infectados: 0
Nº de Ficheros Eliminados: 0

(9-2-2020 16:27:42 (GMT))
EliStartPage v42.89 (c)2020 S.G.H. / Satinfo S.L. (Actualizado el 7 de Febrero del 2020)
--------------------------------------------------
Sistema Operativo: WindowsRD Corp (5.1.2600) SERVICE PACK 3
Usuario: SkyOS
ID de Usuario: S-1-5-21-1004336348-179605362-1177238915-500
Cadenas Víricas: 42818

Lista de Acciones (por Exploración):
Explorando "G:\"

Nº Total de Directorios: 875
Nº Total de Ficheros: 16361
Nº de Ficheros Analizados: 2823
Nº de Ficheros Infectados: 0
Nº de Ficheros Eliminados: 0

(9-2-2020 16:35:38 (GMT))
EliStartPage v42.89 (c)2020 S.G.H. / Satinfo S.L. (Actualizado el 7 de Febrero del 2020)
--------------------------------------------------
Sistema Operativo: WindowsRD Corp (5.1.2600) SERVICE PACK 3
Usuario: SkyOS
ID de Usuario: S-1-5-21-1004336348-179605362-1177238915-500
Cadenas Víricas: 42818

Lista de Acciones (por Exploración):
Explorando "F:\"
F:\Procesos Mineros\ultimoflash\cotizaciones\INSTALADOR_ICONTAB8.EXE --> Infectado, DownWare.Porno
F:\Procesos Mineros\ultimoflash\cotizaciones\INSTALADOR_ICONTAB8.ZIP -> instalador_iContab8.exe -> Detectado DownWare.Porno
F:\Programas 2020\OFICCE\INSTALADOR_ICONTAB8.EXE --> Infectado, DownWare.Porno
F:\Programas 2020\OFICCE\INSTALADOR_ICONTAB8.ZIP -> instalador_iContab8.exe -> Detectado DownWare.Porno


Nº Total de Directorios: 2393
Nº Total de Ficheros: 29223
Nº de Ficheros Analizados: 6975
Nº de Ficheros Infectados: 4
Nº de Ficheros Eliminados: 0

Avatar de Usuario
msc hotline sat
Mensajes: 93500
Registrado: 09 Mar 2004, 20:39
Ubicación: BARCELONA (ESPAÑA)
Contactar:

Re: spoolsv.exe

Mensaje por msc hotline sat » 10 Feb 2020, 11:29

Ref muestras enviadas por GEODA


Vemos que la detección del "instalador" tiene un MD5 igual al de un malware conocido, por lo que la detección del fichero que nos indica es un falso positivo que pasamos a corregir en la proxima versión del ELISTARA

Sobre el fichero SVCHOST.EXE y otros de igual tamaño que nos envia en el ZIP, pasamos a controlarlo como malware SWISYN como lo hacen tanto Kaspersky como McAfee. lo cual se hará efectivo igualmente en el ELISTARA 42.90 de hoy:

https://www.virustotal.com/gui/file/7de ... /detection

Agradeciendo la colaboración en el envio de las muestras, y esperando haberle complacido, reciba saludos


ms, 10-2-2020


anexo:

AL TRATARSE DE UN INFECTOR DE EJECUTABLES, SE RENOMBRAN LOS FICHEROS AFECTADOS A VXE, PUDIENDO UTILIZAR UN ANTIVIRUS PARA EVITAR PERDERLOS.

geoda
Mensajes: 139
Registrado: 09 Abr 2009, 00:44

Re: spoolsv.exe

Mensaje por geoda » 11 Feb 2020, 18:19

Este esel informe recien lo pase vuelvo a enviar las muestras

(10-2-2020 19:40:08 (GMT))
EliStartPage v42.90 (c)2020 S.G.H. / Satinfo S.L. (Actualizado el 10 de Febrero del 2020)
--------------------------------------------------
Sistema Operativo: WindowsRD Corp (5.1.2600) SERVICE PACK 3
Usuario: SkyOS
ID de Usuario: S-1-5-21-1004336348-179605362-1177238915-500
Cadenas Víricas: 42826

Lista de Acciones (por Acción Directa):
Por favor, envienos el INFOSAT.TXT y una muestra del fichero
C:\Muestras\EXPLORER.EXE.Muestra EliStartPage v42.90
a "virus@satinfo.es". Gracias.
C:\WINDOWS\SYSTEM\EXPLORER.EXE --> Eliminado
Por favor, envienos el INFOSAT.TXT y una muestra del fichero
C:\Muestras\SPOOLSV.EXE.Muestra EliStartPage v42.90
a "virus@satinfo.es". Gracias.
C:\WINDOWS\SYSTEM\SPOOLSV.EXE --> Eliminado
Entrada Eliminada [HKLM\...\Run] "Explorer"="c:\windows\system\explorer.exe RU"
Entrada Eliminada [HKLM\...\Run] "svchost"="c:\windows\system\svchost.exe RU"
Eliminado , Installed Components "{F146C9B1-VMVQ-A9RC-NUFL-D0BA00B4E999}"
Restaurado "Shell" = "C:\WINDOWS\EXPLORER.EXE, C:\WINDOWS\SYSTEM\EXPLORER.EXE"
Detectado HOSTS no Standar.
Eliminadas las Paginas de Inicio y de Busqueda del IE
Eliminados Ficheros Temporales del IE

(10-2-2020 19:47:22 (GMT))
EliStartPage v42.90 (c)2020 S.G.H. / Satinfo S.L. (Actualizado el 10 de Febrero del 2020)
--------------------------------------------------
Sistema Operativo: WindowsRD Corp (5.1.2600) SERVICE PACK 3
Usuario: SkyOS
ID de Usuario: S-1-5-21-1004336348-179605362-1177238915-500
Cadenas Víricas: 42826

Lista de Acciones (por Exploración):
Explorando "C:\"
C:\Archivos de programa\reaConverter Pro\utl\MAKEWPG.EXE --> Infectado, Autoit.OFW
C:\Archivos de programa\SFXMaker\SFXMAKER.EXE --> Infectado, Autoit.QZ
C:\Documents and Settings\SkyOS\Mis documentos\VDJSETUP.EXE --> Infectado con "Trojan.Swisyn.AF" (renombrado a .VXE)
C:\Documents and Settings\SkyOS\Mis documentos\6$3&6°B7\IDMAN.EXE --> Infectado con "Trojan.Swisyn.AF" (renombrado a .VXE)
C:\Documents and Settings\SkyOS\Mis documentos\6$3&6°B7\IDMAN636BUILD7.EXE --> Infectado con "Trojan.Swisyn.AF" (renombrado a .VXE)
C:\Documents and Settings\SkyOS\Mis documentos\Muestras\EXPLORER.EXE --> Infectado con "Trojan.Swisyn.AF" (renombrado a .VXE)
C:\Documents and Settings\SkyOS\Mis documentos\Muestras\ICSYS.ICN.EXE --> Infectado con "Trojan.Swisyn.AF" (renombrado a .VXE)
C:\Documents and Settings\SkyOS\Mis documentos\Muestras\C:\DOCUMENTS AND SETTINGS\SKYOS\CONFIGURACIóN LOCAL\TEMP\ELISTARTPAGE V42.90.TMP --> Infectado con "Trojan.Swisyn.AF" (renombrado a .VXE)
C:\Documents and Settings\SkyOS\Mis documentos\Muestras\ICSYS.ICN.ZIP -> ICSYS.ICN.EXE -> Detectado Trojan.Swisyn.AF
C:\Documents and Settings\SkyOS\Mis documentos\Muestras\MRSYS.EXE --> Infectado con "Trojan.Swisyn.AF" (renombrado a .VXE)
C:\Documents and Settings\SkyOS\Mis documentos\Muestras\STSYS.EXE --> Infectado con "Trojan.Swisyn.AF" (renombrado a .VXE)
C:\Documents and Settings\SkyOS\Mis documentos\Muestras\SVCHOST.EXE --> Infectado con "Trojan.Swisyn.AF" (renombrado a .VXE)
C:\Generador y Verificador de checksums de archivos by NeoACL\GENVERCHECKSUM.EXE --> Infectado, Malware.DHCPMon

Nº Total de Directorios: 8114
Nº Total de Ficheros: 144636
Nº de Ficheros Analizados: 103036
Nº de Ficheros Infectados: 12
Nº de Ficheros Eliminados: 0

Avatar de Usuario
msc hotline sat
Mensajes: 93500
Registrado: 09 Mar 2004, 20:39
Ubicación: BARCELONA (ESPAÑA)
Contactar:

Re: spoolsv.exe

Mensaje por msc hotline sat » 11 Feb 2020, 19:43

Fijate en todos los que indica al final del infosat.txt, que han sido renombrados a extensión .vxe

Estos son los que ha infectado el virus infector de ejecutables, y que quizas podras limpiar con un antivirus.

El ELISTARA los ha detectado y renombrado para que no sigan infectando.

Mañana veremos las muestras que ns has enviado y si hay algo mas que podamos hacer, lo haremos en el siguiente Elistara 42.92

Y recuerda seleccionar ELIMINAR en los que detecte virus el Elistara, no solo detectarlos ...

Saludos y buenas noches

ms, 11-2-2020

Avatar de Usuario
msc hotline sat
Mensajes: 93500
Registrado: 09 Mar 2004, 20:39
Ubicación: BARCELONA (ESPAÑA)
Contactar:

Re: spoolsv.exe

Mensaje por msc hotline sat » 12 Feb 2020, 09:54

Hola geoda:

Recibidos los ficheros muestra en el ZIP que nos has enviado, hemos obtenido 2 de 0 kB y 2 de 1 kB, que son restos de ficheros ya inútiles, posiblemente por el procesamiento de empaquetado y demás, pero que ya no son operativos.

Por todo ello entendemos que seleccionando ELIMINAR en el procesamiento del ELISTARA actual, ya dejará limpio de polvo y paja tu ordenador, en lo que a este malware se refiere.

Recuerda que este marrano es un virus infector, que se propaga copiando el original, que ya controla el actual ELISTARA, y que además infecta a EXES, modificando un primer trozo de los infectados, a los cuales el ELISTARA renombra su extensión a VXE, por si se quiere probar con algun antivirus que los restaure, o sino sustituirlos por los EXE originales o copia de seguridad limpios.

Si tienes algun otro problema al respecto, dinoslo, sino daremos este Tema por solucionado y procedermos a cerrarlo

saludos

ms, 12-2-2020

Responder

Volver a “Foro Virus - Cuentanos tu problema”