DUDA: ARCHIVO DUPLICADO?? (SOLUCIONADO)

[nothing]

Bueno...hace unos días ya postee sobre el archivo "svchost". Ahora he podido comprobar que tengo dos archivos con el mismo nombre, pero con distintas ubicaciones:



Resulta que desde hace unos dias (20-05-08), mi antivirus (Panda internet Security 2008 12.01.00) me detecta intentos de conexiones, que són bloqueadas a través de la protección del firewall de Panda. Este intento de conexión se lanza desde la ubicación de windows\system32\svchost (según la info del informe de Panda).



Y mirando los archivos en la C: bajo el nombre de svchost, encontré 2 ubicaciones del fichero:



1ª. svchost(A), que su ubicación és en windows\system32\svchost. La versión de la aplicación és 5.1.2600.0, lo que me estraña es que sale como creado en el año 2001 y modificado el 20-05-08 (o sea el día que empezaron los intentos de conexión).



2ª.svchost(B), que su ubicación és en C:\WINDOWS\SoftwareDistribution\Download\7110ad48510cd6e948498b60b2f54012\svchost. la versión de la aplicación és distinta que la otra, 5.1.2600.2180 y la fecha de creación (2004), coincide con la instalación de windows en mi equipo. O sea que parece que este archivo és el correcto.



Perdonad por ser pesado, pero como veo que ahún tengo los intentos de conexión y mi pc le cuesta un montón apagarse, pués he mirado de visualizar las propiedades de los 2 archivos para ver si eran diferentes.



Me podeis dar alguna ayuda :?: Os envio los 2 archivos "svchost" para analisis :?: Puedo eliminar alguno delos 2 :?:



Muchas gracias!

[msc hotline sat]

Los dos pueden ser correctos, uno de la instalacion original y el otro tras procesar updates...



Subalos al VirusTotal y compruebe que ninguno de los dos sea vírico:



https://www.virustotal.com/es/



y nos comenta el resultado, gracias



saludos



ms, 29-05-2008

[nothing]

[b]Resultado del archivo "svchost.exe", que esta en C:\WINDOWS\SoftwareDistribution\Download\7110ad48510cd6e948498b60b2f54012\svchost[/b]



Motor antivirus Versión Última actualización Resultado

AhnLab-V3 2008.5.30.1 2008.05.30 -

AntiVir 7.8.0.24 2008.05.30 -

Authentium 5.1.0.4 2008.05.29 -

Avast 4.8.1195.0 2008.05.29 -

AVG 7.5.0.516 2008.05.29 -

BitDefender 7.2 2008.05.30 -

CAT-QuickHeal 9.50 2008.05.29 -

ClamAV 0.92.1 2008.05.29 -

DrWeb 4.44.0.09170 2008.05.29 -

eSafe 7.0.15.0 2008.05.29 -

eTrust-Vet 31.4.5834 2008.05.29 -

Ewido 4.0 2008.05.29 -

F-Prot 4.4.4.56 2008.05.29 -

F-Secure 6.70.13260.0 2008.05.30 -

Fortinet 3.14.0.0 2008.05.30 -

GData 2.0.7306.1023 2008.05.30 -

Ikarus T3.1.1.26.0 2008.05.30 -

Kaspersky 7.0.0.125 2008.05.30 -

McAfee 5306 2008.05.29 -

Microsoft 1.3520 2008.05.30 -

NOD32v2 3145 2008.05.29 -

Norman 5.80.02 2008.05.29 -

Panda 9.0.0.4 2008.05.29 -

Prevx1 V2 2008.05.30 -

Rising 20.46.40.00 2008.05.30 -

Sophos 4.29.0 2008.05.30 -

Sunbelt 3.0.1139.1 2008.05.29 -

Symantec 10 2008.05.30 -

TheHacker 6.2.92.325 2008.05.30 -

VBA32 3.12.6.6 2008.05.30 -

VirusBuster 4.3.26:9 2008.05.29 -

Webwasher-Gateway 6.6.2 2008.05.30 -

Información adicional

Tamano archivo: 14336 bytes

MD5...: fa03e1fc17f38fbdba81470d08b3e416

SHA1..: a82a1815a25ee15c9509914c478f601dab3cf321

SHA256: 1d7bb871abd273689eb9213c8984dc3a932cc76d19d8f7da524af16bb4a60638

SHA512: 92a7b38d318f532d4eab3c28bb9fe20d2c436a9764377420cc65a9ffb6f94f95

30bc7e79c22168234cf4d21b6e6ef1548cff1f3ab9fb2434e0c03440bc76faee

PEiD..: -

PEInfo: PE Structure information



( base data )

entrypointaddress.: 0x1002509

timedatestamp.....: 0x41107ed6 (Wed Aug 04 06:14:46 2004)

machinetype.......: 0x14c (I386)



( 3 sections )

name viradd virsiz rawdsiz ntrpy md5

.text 0x1000 0x2c00 0x2c00 6.29 420df24e201392421fb0026174c3d87c

.data 0x4000 0x1f0 0x200 1.61 553c0ebbbc67abab785f2065a062b522

.rsrc 0x5000 0x418 0x600 2.54 2997285df9158db5a62ffb42a2fd0d07



( 4 imports )

> ADVAPI32.dll: RegQueryValueExW, SetSecurityDescriptorDacl, SetEntriesInAclW, SetSecurityDescriptorGroup, SetSecurityDescriptorOwner, InitializeSecurityDescriptor, GetTokenInformation, OpenProcessToken, OpenThreadToken, SetServiceStatus, RegisterServiceCtrlHandlerW, RegCloseKey, RegOpenKeyExW, StartServiceCtrlDispatcherW

> KERNEL32.dll: HeapFree, GetLastError, WideCharToMultiByte, lstrlenW, LocalFree, GetCurrentProcess, GetCurrentThread, GetProcAddress, LoadLibraryExW, LeaveCriticalSection, HeapAlloc, EnterCriticalSection, LCMapStringW, FreeLibrary, lstrcpyW, ExpandEnvironmentStringsW, lstrcmpiW, ExitProcess, GetCommandLineW, InitializeCriticalSection, GetProcessHeap, SetErrorMode, SetUnhandledExceptionFilter, RegisterWaitForSingleObject, InterlockedCompareExchange, LoadLibraryA, QueryPerformanceCounter, GetTickCount, GetCurrentThreadId, GetCurrentProcessId, GetSystemTimeAsFileTime, TerminateProcess, UnhandledExceptionFilter, LocalAlloc, lstrcmpW, DelayLoadFailureHook

> ntdll.dll: NtQuerySecurityObject, RtlFreeHeap, NtOpenKey, wcscat, wcscpy, RtlAllocateHeap, RtlCompareUnicodeString, RtlInitUnicodeString, RtlInitializeSid, RtlLengthRequiredSid, RtlSubAuthoritySid, NtClose, RtlSubAuthorityCountSid, RtlGetDaclSecurityDescriptor, RtlQueryInformationAcl, RtlGetAce, RtlImageNtHeader, wcslen, RtlUnhandledExceptionFilter, RtlCopySid

> RPCRT4.dll: RpcServerUnregisterIfEx, RpcMgmtWaitServerListen, RpcMgmtSetServerStackSize, RpcServerUnregisterIf, RpcServerListen, RpcServerUseProtseqEpW, RpcServerRegisterIf, I_RpcMapWin32Status, RpcMgmtStopServerListening



( 0 exports )





[b]Resultado del archivo "svchost.exe" que esta en windows\system32\svchost[/b]



Motor antivirus Versión Última actualización Resultado

AhnLab-V3 2008.5.30.1 2008.05.30 -

AntiVir 7.8.0.24 2008.05.30 -

Authentium 5.1.0.4 2008.05.29 -

Avast 4.8.1195.0 2008.05.29 -

AVG 7.5.0.516 2008.05.29 -

BitDefender 7.2 2008.05.30 -

CAT-QuickHeal 9.50 2008.05.29 -

ClamAV 0.92.1 2008.05.29 -

DrWeb 4.44.0.09170 2008.05.29 -

eSafe 7.0.15.0 2008.05.29 -

eTrust-Vet 31.4.5834 2008.05.29 -

Ewido 4.0 2008.05.29 -

F-Prot 4.4.4.56 2008.05.29 -

F-Secure 6.70.13260.0 2008.05.30 -

Fortinet 3.14.0.0 2008.05.30 -

GData 2.0.7306.1023 2008.05.30 -

Ikarus T3.1.1.26.0 2008.05.30 -

Kaspersky 7.0.0.125 2008.05.30 -

McAfee 5306 2008.05.29 -

Microsoft 1.3520 2008.05.30 -

NOD32v2 3145 2008.05.29 -

Norman 5.80.02 2008.05.29 -

Panda 9.0.0.4 2008.05.29 -

Prevx1 V2 2008.05.30 -

Rising 20.46.40.00 2008.05.30 -

Sophos 4.29.0 2008.05.30 -

Sunbelt 3.0.1139.1 2008.05.29 -

Symantec 10 2008.05.30 -

TheHacker 6.2.92.325 2008.05.30 -

VBA32 3.12.6.6 2008.05.30 -

VirusBuster 4.3.26:9 2008.05.29 -

Webwasher-Gateway 6.6.2 2008.05.30 -

Información adicional

Tamano archivo: 12800 bytes

MD5...: a4750c0ec60195a38c88721c4a5c93aa

SHA1..: 645f40772d62df6307ffb88d12f1a596da7f3145

SHA256: 0df25167419050e8b48a94be7789a67b89dc072e9a784a20b15a716b0c274907

SHA512: ed172b7f728193e836ab5ee037847dea1f7713e6549f5b3ca858261ca32731d9

3a951a23a5b2684dfabdc4477faeaa51497ea5e836ec6d985a9ce91fffbd7b2e

PEiD..: -

PEInfo: PE Structure information



( base data )

entrypointaddress.: 0x1001ce2

timedatestamp.....: 0x3b7de4c5 (Sat Aug 18 03:45:09 2001)

machinetype.......: 0x14c (I386)



( 3 sections )

name viradd virsiz rawdsiz ntrpy md5

.text 0x1000 0x2450 0x2600 6.10 10ebd9a2b71c5bf7a4094caeaad55b46

.data 0x4000 0x1f4 0x200 1.50 1a396ac5334432d459f3697937a48e6e

.rsrc 0x5000 0x408 0x600 2.47 df415f1328865e4cbd290ad3189697e1



( 4 imports )

> ADVAPI32.dll: RegQueryValueExW, SetSecurityDescriptorGroup, SetSecurityDescriptorOwner, SetSecurityDescriptorDacl, InitializeSecurityDescriptor, GetTokenInformation, OpenProcessToken, OpenThreadToken, SetServiceStatus, RegisterServiceCtrlHandlerW, RegCloseKey, RegOpenKeyExW, StartServiceCtrlDispatcherW

> KERNEL32.dll: HeapFree, GetLastError, WideCharToMultiByte, lstrlenW, GetCurrentProcess, GetCurrentThread, HeapAlloc, LoadLibraryExW, LeaveCriticalSection, lstrcmpW, EnterCriticalSection, LCMapStringW, lstrcpyW, ExpandEnvironmentStringsW, lstrcmpiW, ExitProcess, GetCommandLineW, InitializeCriticalSection, GetProcessHeap, SetErrorMode, SetUnhandledExceptionFilter, FreeLibrary, InterlockedCompareExchange, LoadLibraryA, LocalFree, GetProcAddress, DelayLoadFailureHook, LocalAlloc

> ntdll.dll: NtQuerySecurityObject, RtlFreeHeap, NtOpenKey, wcscat, wcscpy, RtlAllocateHeap, RtlCompareUnicodeString, RtlInitUnicodeString, RtlInitializeSid, RtlLengthRequiredSid, RtlSubAuthoritySid, RtlCopySid, RtlSubAuthorityCountSid, NtClose, RtlGetDaclSecurityDescriptor, RtlQueryInformationAcl, RtlGetAce, RtlUnhandledExceptionFilter, wcslen, RtlImageNtHeader

> RPCRT4.dll: RpcMgmtSetServerStackSize, RpcMgmtWaitServerListen, RpcMgmtStopServerListening, RpcServerUnregisterIf, RpcServerUnregisterIfEx, RpcServerListen, RpcServerUseProtseqEpW, RpcServerRegisterIf, I_RpcMapWin32Status



( 0 exports )





Eso quiere decir que no hay nada de virus ni malware en estos archivos :?:



Los envio a zonavirus para analisis :?:



Muchas gracias!

[lucl]

No parece ser virico asi que espera que te dice Msc pero no creo que sea necesario que los envies, saludos

[msc hotline sat]

Excelente lucl, acertaste !, por esto decia que los subiera al VirusTotal para ver si eran siquiera sospechosos, ya que se suponia que no lo eran, asi que no hace falta que los envies, los dos son nromales, de diferente version, pero no malwares.



saludos



ms, 30-05-2008

[nothing]

Bueno pués si quereis podeis dar por solucionado el tema, ya que creo no se puede hacer nada más.

He pensado que la modificación del archivo "svchost", el 20-05-08, se puede deber a que aquel día instalé la nueva versión del anti-virus Panda.08.



Solo un pregunta: Sabeis si és normal que dentro de los pogramas que tienen acceso a la red, hay uno que és "Ejecutar un archivo DLL como una aplicación" con comunicación saliente :?:



Muchas gracias!

[msc hotline sat]

Normal no es, pero puede haber DLL que contengan procesos ejecutables.



Si sospecha de algun fichero, envienoslo y lo analizaremos, y abra un nuevo Tema al respecto para ello.



Y este lo damos por solucionado y procedemos a cerrarlo



saludos



ms, 30-05-2008