Amigos buenas de nuevo de tiempo con mis problemas en realidad son 2
el primero spoolsv.exe
no se Como se me infecto este troyano que modifica mis ejecutables les mando las muestras pedidas y el informe correspondiente
Fichero: Muestras.zip | Tamaño: 400,13 Kb
MD5: EC558C01E286CAF1FD7684B26EF8619B
El Segundo es que me instalador me lo detecta como virus de un programa de contaduria
ICONTAB
Fichero: instalador_iContab8.zip | Tamaño: 9,66 MB
MD5: 5FA50A959A9468B7DD3AD970BF2B3DEF
(9-2-2020 16:03:01 (GMT))
EliStartPage v42.89 (c)2020 S.G.H. / Satinfo S.L. (Actualizado el 7 de Febrero del 2020)
--------------------------------------------------
Sistema Operativo: WindowsRD Corp (5.1.2600) SERVICE PACK 3
Usuario: SkyOS
ID de Usuario: S-1-5-21-1004336348-179605362-1177238915-500
Cadenas Víricas: 42818
Lista de Acciones (por Acción Directa):
C:\WINDOWS\System\explorer.exe.VIR --> Eliminado.
Por favor, envienos el INFOSAT.TXT y una muestra del fichero
C:\Muestras\EXPLORER.EXE.Muestra EliStartPage v42.89
a "virus@satinfo.es". Gracias.
C:\WINDOWS\SYSTEM\EXPLORER.EXE --> Eliminado
Restaurado "Shell" = "C:\WINDOWS\EXPLORER.EXE, C:\WINDOWS\SYSTEM\EXPLORER.EXE"
Detectado HOSTS no Standar.
Eliminadas las Paginas de Inicio y de Busqueda del IE
Eliminados Ficheros Temporales del IE
(9-2-2020 16:26:44 (GMT))
EliStartPage v42.89 (c)2020 S.G.H. / Satinfo S.L. (Actualizado el 7 de Febrero del 2020)
--------------------------------------------------
Sistema Operativo: WindowsRD Corp (5.1.2600) SERVICE PACK 3
Usuario: SkyOS
ID de Usuario: S-1-5-21-1004336348-179605362-1177238915-500
Cadenas Víricas: 42818
Lista de Acciones (por Exploración):
Explorando "C:\"
C:\Archivos de programa\reaConverter Pro\utl\MAKEWPG.EXE --> Infectado, Autoit.OFW
C:\WINDOWS\system32\AUTODISC.DLL --> Eliminado, FakeMS.AutoDisc
Nº Total de Directorios: 8347
Nº Total de Ficheros: 149155
Nº de Ficheros Analizados: 103240
Nº de Ficheros Infectados: 2
Nº de Ficheros Eliminados: 1
(9-2-2020 16:26:50 (GMT))
EliStartPage v42.89 (c)2020 S.G.H. / Satinfo S.L. (Actualizado el 7 de Febrero del 2020)
--------------------------------------------------
Sistema Operativo: WindowsRD Corp (5.1.2600) SERVICE PACK 3
Usuario: SkyOS
ID de Usuario: S-1-5-21-1004336348-179605362-1177238915-500
Cadenas Víricas: 42818
Lista de Acciones (por Exploración):
Explorando "D:\"
Nº Total de Directorios: 9
Nº Total de Ficheros: 22
Nº de Ficheros Analizados: 3
Nº de Ficheros Infectados: 0
Nº de Ficheros Eliminados: 0
(9-2-2020 16:26:51 (GMT))
EliStartPage v42.89 (c)2020 S.G.H. / Satinfo S.L. (Actualizado el 7 de Febrero del 2020)
--------------------------------------------------
Sistema Operativo: WindowsRD Corp (5.1.2600) SERVICE PACK 3
Usuario: SkyOS
ID de Usuario: S-1-5-21-1004336348-179605362-1177238915-500
Cadenas Víricas: 42818
Lista de Acciones (por Exploración):
Explorando "D:\"
Nº Total de Directorios: 9
Nº Total de Ficheros: 22
Nº de Ficheros Analizados: 3
Nº de Ficheros Infectados: 0
Nº de Ficheros Eliminados: 0
(9-2-2020 16:26:55 (GMT))
EliStartPage v42.89 (c)2020 S.G.H. / Satinfo S.L. (Actualizado el 7 de Febrero del 2020)
--------------------------------------------------
Sistema Operativo: WindowsRD Corp (5.1.2600) SERVICE PACK 3
Usuario: SkyOS
ID de Usuario: S-1-5-21-1004336348-179605362-1177238915-500
Cadenas Víricas: 42818
Lista de Acciones (por Exploración):
Explorando "E:\"
Nº Total de Directorios: 32
Nº Total de Ficheros: 341
Nº de Ficheros Analizados: 3
Nº de Ficheros Infectados: 0
Nº de Ficheros Eliminados: 0
(9-2-2020 16:27:42 (GMT))
EliStartPage v42.89 (c)2020 S.G.H. / Satinfo S.L. (Actualizado el 7 de Febrero del 2020)
--------------------------------------------------
Sistema Operativo: WindowsRD Corp (5.1.2600) SERVICE PACK 3
Usuario: SkyOS
ID de Usuario: S-1-5-21-1004336348-179605362-1177238915-500
Cadenas Víricas: 42818
Lista de Acciones (por Exploración):
Explorando "G:\"
Nº Total de Directorios: 875
Nº Total de Ficheros: 16361
Nº de Ficheros Analizados: 2823
Nº de Ficheros Infectados: 0
Nº de Ficheros Eliminados: 0
(9-2-2020 16:35:38 (GMT))
EliStartPage v42.89 (c)2020 S.G.H. / Satinfo S.L. (Actualizado el 7 de Febrero del 2020)
--------------------------------------------------
Sistema Operativo: WindowsRD Corp (5.1.2600) SERVICE PACK 3
Usuario: SkyOS
ID de Usuario: S-1-5-21-1004336348-179605362-1177238915-500
Cadenas Víricas: 42818
Lista de Acciones (por Exploración):
Explorando "F:\"
F:\Procesos Mineros\ultimoflash\cotizaciones\INSTALADOR_ICONTAB8.EXE --> Infectado, DownWare.Porno
F:\Procesos Mineros\ultimoflash\cotizaciones\INSTALADOR_ICONTAB8.ZIP -> instalador_iContab8.exe -> Detectado DownWare.Porno
F:\Programas 2020\OFICCE\INSTALADOR_ICONTAB8.EXE --> Infectado, DownWare.Porno
F:\Programas 2020\OFICCE\INSTALADOR_ICONTAB8.ZIP -> instalador_iContab8.exe -> Detectado DownWare.Porno
Nº Total de Directorios: 2393
Nº Total de Ficheros: 29223
Nº de Ficheros Analizados: 6975
Nº de Ficheros Infectados: 4
Nº de Ficheros Eliminados: 0
spoolsv.exe
- msc hotline sat
- Mensajes: 93500
- Registrado: 09 Mar 2004, 20:39
- Ubicación: BARCELONA (ESPAÑA)
- Contactar:
Re: spoolsv.exe
Ref muestras enviadas por GEODA
Vemos que la detección del "instalador" tiene un MD5 igual al de un malware conocido, por lo que la detección del fichero que nos indica es un falso positivo que pasamos a corregir en la proxima versión del ELISTARA
Sobre el fichero SVCHOST.EXE y otros de igual tamaño que nos envia en el ZIP, pasamos a controlarlo como malware SWISYN como lo hacen tanto Kaspersky como McAfee. lo cual se hará efectivo igualmente en el ELISTARA 42.90 de hoy:
https://www.virustotal.com/gui/file/7de ... /detection
Agradeciendo la colaboración en el envio de las muestras, y esperando haberle complacido, reciba saludos
ms, 10-2-2020
anexo:
AL TRATARSE DE UN INFECTOR DE EJECUTABLES, SE RENOMBRAN LOS FICHEROS AFECTADOS A VXE, PUDIENDO UTILIZAR UN ANTIVIRUS PARA EVITAR PERDERLOS.
Vemos que la detección del "instalador" tiene un MD5 igual al de un malware conocido, por lo que la detección del fichero que nos indica es un falso positivo que pasamos a corregir en la proxima versión del ELISTARA
Sobre el fichero SVCHOST.EXE y otros de igual tamaño que nos envia en el ZIP, pasamos a controlarlo como malware SWISYN como lo hacen tanto Kaspersky como McAfee. lo cual se hará efectivo igualmente en el ELISTARA 42.90 de hoy:
https://www.virustotal.com/gui/file/7de ... /detection
Agradeciendo la colaboración en el envio de las muestras, y esperando haberle complacido, reciba saludos
ms, 10-2-2020
anexo:
AL TRATARSE DE UN INFECTOR DE EJECUTABLES, SE RENOMBRAN LOS FICHEROS AFECTADOS A VXE, PUDIENDO UTILIZAR UN ANTIVIRUS PARA EVITAR PERDERLOS.
msc hotline sat Virus Research Engineer
Antes de preguntar - Normas Basicas - Mensajes Privados - Repetir Temas - Continuar Temas - Titulos del Tema - Antivirus Online
Antes de preguntar - Normas Basicas - Mensajes Privados - Repetir Temas - Continuar Temas - Titulos del Tema - Antivirus Online
Re: spoolsv.exe
Este esel informe recien lo pase vuelvo a enviar las muestras
(10-2-2020 19:40:08 (GMT))
EliStartPage v42.90 (c)2020 S.G.H. / Satinfo S.L. (Actualizado el 10 de Febrero del 2020)
--------------------------------------------------
Sistema Operativo: WindowsRD Corp (5.1.2600) SERVICE PACK 3
Usuario: SkyOS
ID de Usuario: S-1-5-21-1004336348-179605362-1177238915-500
Cadenas Víricas: 42826
Lista de Acciones (por Acción Directa):
Por favor, envienos el INFOSAT.TXT y una muestra del fichero
C:\Muestras\EXPLORER.EXE.Muestra EliStartPage v42.90
a "virus@satinfo.es". Gracias.
C:\WINDOWS\SYSTEM\EXPLORER.EXE --> Eliminado
Por favor, envienos el INFOSAT.TXT y una muestra del fichero
C:\Muestras\SPOOLSV.EXE.Muestra EliStartPage v42.90
a "virus@satinfo.es". Gracias.
C:\WINDOWS\SYSTEM\SPOOLSV.EXE --> Eliminado
Entrada Eliminada [HKLM\...\Run] "Explorer"="c:\windows\system\explorer.exe RU"
Entrada Eliminada [HKLM\...\Run] "svchost"="c:\windows\system\svchost.exe RU"
Eliminado , Installed Components "{F146C9B1-VMVQ-A9RC-NUFL-D0BA00B4E999}"
Restaurado "Shell" = "C:\WINDOWS\EXPLORER.EXE, C:\WINDOWS\SYSTEM\EXPLORER.EXE"
Detectado HOSTS no Standar.
Eliminadas las Paginas de Inicio y de Busqueda del IE
Eliminados Ficheros Temporales del IE
(10-2-2020 19:47:22 (GMT))
EliStartPage v42.90 (c)2020 S.G.H. / Satinfo S.L. (Actualizado el 10 de Febrero del 2020)
--------------------------------------------------
Sistema Operativo: WindowsRD Corp (5.1.2600) SERVICE PACK 3
Usuario: SkyOS
ID de Usuario: S-1-5-21-1004336348-179605362-1177238915-500
Cadenas Víricas: 42826
Lista de Acciones (por Exploración):
Explorando "C:\"
C:\Archivos de programa\reaConverter Pro\utl\MAKEWPG.EXE --> Infectado, Autoit.OFW
C:\Archivos de programa\SFXMaker\SFXMAKER.EXE --> Infectado, Autoit.QZ
C:\Documents and Settings\SkyOS\Mis documentos\VDJSETUP.EXE --> Infectado con "Trojan.Swisyn.AF" (renombrado a .VXE)
C:\Documents and Settings\SkyOS\Mis documentos\6$3&6°B7\IDMAN.EXE --> Infectado con "Trojan.Swisyn.AF" (renombrado a .VXE)
C:\Documents and Settings\SkyOS\Mis documentos\6$3&6°B7\IDMAN636BUILD7.EXE --> Infectado con "Trojan.Swisyn.AF" (renombrado a .VXE)
C:\Documents and Settings\SkyOS\Mis documentos\Muestras\EXPLORER.EXE --> Infectado con "Trojan.Swisyn.AF" (renombrado a .VXE)
C:\Documents and Settings\SkyOS\Mis documentos\Muestras\ICSYS.ICN.EXE --> Infectado con "Trojan.Swisyn.AF" (renombrado a .VXE)
C:\Documents and Settings\SkyOS\Mis documentos\Muestras\C:\DOCUMENTS AND SETTINGS\SKYOS\CONFIGURACIóN LOCAL\TEMP\ELISTARTPAGE V42.90.TMP --> Infectado con "Trojan.Swisyn.AF" (renombrado a .VXE)
C:\Documents and Settings\SkyOS\Mis documentos\Muestras\ICSYS.ICN.ZIP -> ICSYS.ICN.EXE -> Detectado Trojan.Swisyn.AF
C:\Documents and Settings\SkyOS\Mis documentos\Muestras\MRSYS.EXE --> Infectado con "Trojan.Swisyn.AF" (renombrado a .VXE)
C:\Documents and Settings\SkyOS\Mis documentos\Muestras\STSYS.EXE --> Infectado con "Trojan.Swisyn.AF" (renombrado a .VXE)
C:\Documents and Settings\SkyOS\Mis documentos\Muestras\SVCHOST.EXE --> Infectado con "Trojan.Swisyn.AF" (renombrado a .VXE)
C:\Generador y Verificador de checksums de archivos by NeoACL\GENVERCHECKSUM.EXE --> Infectado, Malware.DHCPMon
Nº Total de Directorios: 8114
Nº Total de Ficheros: 144636
Nº de Ficheros Analizados: 103036
Nº de Ficheros Infectados: 12
Nº de Ficheros Eliminados: 0
(10-2-2020 19:40:08 (GMT))
EliStartPage v42.90 (c)2020 S.G.H. / Satinfo S.L. (Actualizado el 10 de Febrero del 2020)
--------------------------------------------------
Sistema Operativo: WindowsRD Corp (5.1.2600) SERVICE PACK 3
Usuario: SkyOS
ID de Usuario: S-1-5-21-1004336348-179605362-1177238915-500
Cadenas Víricas: 42826
Lista de Acciones (por Acción Directa):
Por favor, envienos el INFOSAT.TXT y una muestra del fichero
C:\Muestras\EXPLORER.EXE.Muestra EliStartPage v42.90
a "virus@satinfo.es". Gracias.
C:\WINDOWS\SYSTEM\EXPLORER.EXE --> Eliminado
Por favor, envienos el INFOSAT.TXT y una muestra del fichero
C:\Muestras\SPOOLSV.EXE.Muestra EliStartPage v42.90
a "virus@satinfo.es". Gracias.
C:\WINDOWS\SYSTEM\SPOOLSV.EXE --> Eliminado
Entrada Eliminada [HKLM\...\Run] "Explorer"="c:\windows\system\explorer.exe RU"
Entrada Eliminada [HKLM\...\Run] "svchost"="c:\windows\system\svchost.exe RU"
Eliminado , Installed Components "{F146C9B1-VMVQ-A9RC-NUFL-D0BA00B4E999}"
Restaurado "Shell" = "C:\WINDOWS\EXPLORER.EXE, C:\WINDOWS\SYSTEM\EXPLORER.EXE"
Detectado HOSTS no Standar.
Eliminadas las Paginas de Inicio y de Busqueda del IE
Eliminados Ficheros Temporales del IE
(10-2-2020 19:47:22 (GMT))
EliStartPage v42.90 (c)2020 S.G.H. / Satinfo S.L. (Actualizado el 10 de Febrero del 2020)
--------------------------------------------------
Sistema Operativo: WindowsRD Corp (5.1.2600) SERVICE PACK 3
Usuario: SkyOS
ID de Usuario: S-1-5-21-1004336348-179605362-1177238915-500
Cadenas Víricas: 42826
Lista de Acciones (por Exploración):
Explorando "C:\"
C:\Archivos de programa\reaConverter Pro\utl\MAKEWPG.EXE --> Infectado, Autoit.OFW
C:\Archivos de programa\SFXMaker\SFXMAKER.EXE --> Infectado, Autoit.QZ
C:\Documents and Settings\SkyOS\Mis documentos\VDJSETUP.EXE --> Infectado con "Trojan.Swisyn.AF" (renombrado a .VXE)
C:\Documents and Settings\SkyOS\Mis documentos\6$3&6°B7\IDMAN.EXE --> Infectado con "Trojan.Swisyn.AF" (renombrado a .VXE)
C:\Documents and Settings\SkyOS\Mis documentos\6$3&6°B7\IDMAN636BUILD7.EXE --> Infectado con "Trojan.Swisyn.AF" (renombrado a .VXE)
C:\Documents and Settings\SkyOS\Mis documentos\Muestras\EXPLORER.EXE --> Infectado con "Trojan.Swisyn.AF" (renombrado a .VXE)
C:\Documents and Settings\SkyOS\Mis documentos\Muestras\ICSYS.ICN.EXE --> Infectado con "Trojan.Swisyn.AF" (renombrado a .VXE)
C:\Documents and Settings\SkyOS\Mis documentos\Muestras\C:\DOCUMENTS AND SETTINGS\SKYOS\CONFIGURACIóN LOCAL\TEMP\ELISTARTPAGE V42.90.TMP --> Infectado con "Trojan.Swisyn.AF" (renombrado a .VXE)
C:\Documents and Settings\SkyOS\Mis documentos\Muestras\ICSYS.ICN.ZIP -> ICSYS.ICN.EXE -> Detectado Trojan.Swisyn.AF
C:\Documents and Settings\SkyOS\Mis documentos\Muestras\MRSYS.EXE --> Infectado con "Trojan.Swisyn.AF" (renombrado a .VXE)
C:\Documents and Settings\SkyOS\Mis documentos\Muestras\STSYS.EXE --> Infectado con "Trojan.Swisyn.AF" (renombrado a .VXE)
C:\Documents and Settings\SkyOS\Mis documentos\Muestras\SVCHOST.EXE --> Infectado con "Trojan.Swisyn.AF" (renombrado a .VXE)
C:\Generador y Verificador de checksums de archivos by NeoACL\GENVERCHECKSUM.EXE --> Infectado, Malware.DHCPMon
Nº Total de Directorios: 8114
Nº Total de Ficheros: 144636
Nº de Ficheros Analizados: 103036
Nº de Ficheros Infectados: 12
Nº de Ficheros Eliminados: 0
- msc hotline sat
- Mensajes: 93500
- Registrado: 09 Mar 2004, 20:39
- Ubicación: BARCELONA (ESPAÑA)
- Contactar:
Re: spoolsv.exe
Fijate en todos los que indica al final del infosat.txt, que han sido renombrados a extensión .vxe
Estos son los que ha infectado el virus infector de ejecutables, y que quizas podras limpiar con un antivirus.
El ELISTARA los ha detectado y renombrado para que no sigan infectando.
Mañana veremos las muestras que ns has enviado y si hay algo mas que podamos hacer, lo haremos en el siguiente Elistara 42.92
Y recuerda seleccionar ELIMINAR en los que detecte virus el Elistara, no solo detectarlos ...
Saludos y buenas noches
ms, 11-2-2020
Estos son los que ha infectado el virus infector de ejecutables, y que quizas podras limpiar con un antivirus.
El ELISTARA los ha detectado y renombrado para que no sigan infectando.
Mañana veremos las muestras que ns has enviado y si hay algo mas que podamos hacer, lo haremos en el siguiente Elistara 42.92
Y recuerda seleccionar ELIMINAR en los que detecte virus el Elistara, no solo detectarlos ...
Saludos y buenas noches
ms, 11-2-2020
msc hotline sat Virus Research Engineer
Antes de preguntar - Normas Basicas - Mensajes Privados - Repetir Temas - Continuar Temas - Titulos del Tema - Antivirus Online
Antes de preguntar - Normas Basicas - Mensajes Privados - Repetir Temas - Continuar Temas - Titulos del Tema - Antivirus Online
- msc hotline sat
- Mensajes: 93500
- Registrado: 09 Mar 2004, 20:39
- Ubicación: BARCELONA (ESPAÑA)
- Contactar:
Re: spoolsv.exe
Hola geoda:
Recibidos los ficheros muestra en el ZIP que nos has enviado, hemos obtenido 2 de 0 kB y 2 de 1 kB, que son restos de ficheros ya inútiles, posiblemente por el procesamiento de empaquetado y demás, pero que ya no son operativos.
Por todo ello entendemos que seleccionando ELIMINAR en el procesamiento del ELISTARA actual, ya dejará limpio de polvo y paja tu ordenador, en lo que a este malware se refiere.
Recuerda que este marrano es un virus infector, que se propaga copiando el original, que ya controla el actual ELISTARA, y que además infecta a EXES, modificando un primer trozo de los infectados, a los cuales el ELISTARA renombra su extensión a VXE, por si se quiere probar con algun antivirus que los restaure, o sino sustituirlos por los EXE originales o copia de seguridad limpios.
Si tienes algun otro problema al respecto, dinoslo, sino daremos este Tema por solucionado y procedermos a cerrarlo
saludos
ms, 12-2-2020
Recibidos los ficheros muestra en el ZIP que nos has enviado, hemos obtenido 2 de 0 kB y 2 de 1 kB, que son restos de ficheros ya inútiles, posiblemente por el procesamiento de empaquetado y demás, pero que ya no son operativos.
Por todo ello entendemos que seleccionando ELIMINAR en el procesamiento del ELISTARA actual, ya dejará limpio de polvo y paja tu ordenador, en lo que a este malware se refiere.
Recuerda que este marrano es un virus infector, que se propaga copiando el original, que ya controla el actual ELISTARA, y que además infecta a EXES, modificando un primer trozo de los infectados, a los cuales el ELISTARA renombra su extensión a VXE, por si se quiere probar con algun antivirus que los restaure, o sino sustituirlos por los EXE originales o copia de seguridad limpios.
Si tienes algun otro problema al respecto, dinoslo, sino daremos este Tema por solucionado y procedermos a cerrarlo
saludos
ms, 12-2-2020
msc hotline sat Virus Research Engineer
Antes de preguntar - Normas Basicas - Mensajes Privados - Repetir Temas - Continuar Temas - Titulos del Tema - Antivirus Online
Antes de preguntar - Normas Basicas - Mensajes Privados - Repetir Temas - Continuar Temas - Titulos del Tema - Antivirus Online