Archivo desconocido para analizar.... (SOLUCIONADO)

[Claudia34]

Hola, hoy estaba revisando el sistema con la herramienta sysinspector de nod32, y encontre un archivo desconocido llamado ptserial.sys el cual estaba en la carpeta de sytem32 en la subcarpeta drivers al cual al enviarlo a virus total me aparecio en la lista de los 32 antivirus un solo antivirus de todos ellos lo detecto como sospechoso.

Por lo tanto les dejo el informe de virus total ademas de enviarles la muestra para su analisis en zonavirus@satinfo.es

Desde ya muchas gracias y saludos.



File ptserial.sys received on 06.23.2008 18:11:24 (CET)

Current status: Loading ... queued waiting scanning finished NOT FOUND STOPPED

Result: 1/33 (3.04%)

Loading server information...

Your file is queued in position: ___.

Estimated start time is between ___ and ___ .

Do not close the window until scan is complete.

The scanner that was processing your file is stopped at this moment, we are going to wait a few seconds to try to recover your result.

If you are waiting for more than five minutes you have to resend your file.

Your file is being scanned by VirusTotal in this moment,

results will be shown as they're generated.

Compact Compact

Print results Print results

Your file has expired or does not exists.

Service is stopped in this moments, your file is waiting to be scanned (position: ) for an undefined time.



You can wait for web response (automatic reload) or type your email in the form below and click "request" so the system sends you a notification when the scan is finished.

Email:



Antivirus Version Last Update Result

AhnLab-V3 2008.6.22.0 2008.06.23 -

AntiVir 7.8.0.59 2008.06.23 -

Authentium 5.1.0.4 2008.06.21 -

Avast 4.8.1195.0 2008.06.23 -

AVG 7.5.0.516 2008.06.23 -

BitDefender 7.2 2008.06.23 -

CAT-QuickHeal 9.50 2008.06.23 -

ClamAV 0.93.1 2008.06.23 -

DrWeb 4.44.0.09170 2008.06.23 -

eSafe 7.0.15.0 2008.06.23 -

eTrust-Vet 31.6.5897 2008.06.23 -

Ewido 4.0 2008.06.23 -

F-Prot 4.4.4.56 2008.06.21 -

F-Secure 7.60.13501.0 2008.06.20 -

Fortinet 3.14.0.0 2008.06.23 -

GData 2.0.7306.1023 2008.06.23 -

Ikarus T3.1.1.26.0 2008.06.23 -

Kaspersky 7.0.0.125 2008.06.23 -

McAfee 5323 2008.06.23 -

Microsoft 1.3604 2008.06.23 -

NOD32v2 3209 2008.06.23 -

Norman 5.80.02 2008.06.23 -

Panda 9.0.0.4 2008.06.22 -

Prevx1 V2 2008.06.23 -

Rising 20.50.02.00 2008.06.23 -

Sophos 4.30.0 2008.06.23 -

Sunbelt 3.0.1153.1 2008.06.15 VIPRE.Suspicious

Symantec 10 2008.06.23 -

TheHacker 6.2.92.358 2008.06.21 -

TrendMicro 8.700.0.1004 2008.06.23 -

VBA32 3.12.6.8 2008.06.23 -

VirusBuster 4.5.11.0 2008.06.23 -

Webwasher-Gateway 6.6.2 2008.06.23 -

Additional information

File size: 324590 bytes

MD5...: 403727208b1156f8a2a6c65886f41c5a

SHA1..: f47fa47fabbff52f3f87a187556511fd014ac118

SHA256: 42130e1c35522840713c4561f9a52ba4b3ddf2d4d2f63f0d902fb6deab431e3e

SHA512: 1d9706b17493348b3e605e1c9c916cd9d66142b6f8d79bc673db29b4c579a2fe

ba7f24a11efec7cb7a3510868102cfc0877c19b925dc1de66df733cf0e687a4f

PEiD..: -

PEInfo: PE Structure information



( base data )

entrypointaddress.: 0x56a9c

timedatestamp.....: 0x3f2e352d (Mon Aug 04 10:27:57 2003)

machinetype.......: 0x14c (I386)



( 9 sections )

name viradd virsiz rawdsiz ntrpy md5

.text 0x360 0x34c51 0x34c60 6.28 d6cf2faa25f8890f7de66a923c883f37

.rdata 0x34fc0 0x240 0x240 4.11 0af3b54389feac2cb5ae04267252c286

.data 0x35200 0x26b4 0x26c0 0.41 fabaaa21290bda7c31b3d4fc1ebd69e5

_LDATA 0x378c0 0x100 0x100 1.64 bfaa00242a24ef9fe536859602910a73

PAGESRP0 0x379c0 0x8062 0x8080 5.88 3bf08407cf339201c06e320b9a381951

PAGESER 0x3fa40 0x6f5f 0x6f60 5.77 45c161d48ed26ff81755273e1188b569

INIT 0x469a0 0x16f0 0x1700 5.90 77c6146d77dfc7b530fb60a4bfbc98c9

.rsrc 0x480a0 0x380 0x380 3.31 54e70b5148462435655f11696aa6436d

.reloc 0x48420 0x47d8 0x47e0 6.79 e4960f605744169d577f0f741c27859a



( 6 imports )

> NTOSKRNL.EXE: MmUnlockPagableImageSection, ExAllocatePoolWithTag, MmLockPagableDataSection, MmUnmapIoSpace, InterlockedDecrement, KeRemoveQueueDpc, IoDisconnectInterrupt, PoSetPowerState, KeWaitForSingleObject, IoWMIRegistrationControl, IoDeleteDevice, IoDetachDevice, IoCancelIrp, ObfDereferenceObject, IoGetDeviceObjectPointer, KeInitializeDpc, KeInitializeTimer, KeInitializeSpinLock, memset, memmove, IoIsWdmVersionAvailable, MmMapIoSpace, ExAllocatePoolWithQuotaTag, InterlockedIncrement, KeInsertQueueDpc, MmQuerySystemSize, memcpy, RtlInitUnicodeString, KeDelayExecutionThread, RtlWriteRegistryValue, RtlQueryRegistryValues, KeSetEvent, KeSetTimer, KeCancelTimer, IofCallDriver, PoCallDriver, IoWriteErrorLogEntry, IoAllocateErrorLogEntry, IoInvalidateDeviceState, KeInitializeEvent, IoCreateDevice, RtlAppendUnicodeStringToString, RtlIntegerToUnicodeString, RtlAppendUnicodeToString, IoAttachDeviceToDeviceStack, wcslen, ZwClose, IoOpenDeviceRegistryKey, RtlEqualUnicodeString, IoConnectInterrupt, IoGetDeviceProperty, RtlDeleteRegistryValue, IoDeleteSymbolicLink, IoSetDeviceInterfaceState, IoRegisterDeviceInterface, IoCreateSymbolicLink, ZwOpenKey, RtlCopyUnicodeString, ZwEnumerateKey, ZwQueryValueKey, PoRequestPowerIrp, PoStartNextPowerIrp, KeClearEvent, ExFreePool, RtlCompareMemory, ExfInterlockedRemoveHeadList, IoAcquireCancelSpinLock, IoReleaseCancelSpinLock, IoBuildSynchronousFsdRequest, InterlockedExchange, KeSynchronizeExecution, IoGetDmaAdapter, RtlExtendedLargeIntegerDivide, ExfInterlockedInsertTailList, KeQuerySystemTime, IofCompleteRequest, RtlUnwind

> HAL.DLL: WRITE_PORT_USHORT, READ_PORT_USHORT, WRITE_PORT_ULONG, READ_PORT_ULONG, KfReleaseSpinLock, KfAcquireSpinLock, WRITE_PORT_UCHAR, WRITE_PORT_BUFFER_UCHAR, KeGetCurrentIrql, KeStallExecutionProcessor, ExAcquireFastMutex, ExReleaseFastMutex, KfRaiseIrql, READ_PORT_UCHAR, KfLowerIrql

> vmodem.sys: _PassDataToVmodem@4

> vpctcom.sys: _VPctcomInit@0, _PassDataToVpctcom@4, _VPctcomExit@0

> VVOICE.SYS: _VvoiceSerialClose@0, _VvoiceExit@0, _PassDataToVvoice@4, _VvoiceInit@0

> WMILIB.SYS: WmiSystemControl, WmiCompleteRequest



( 0 exports )

[flacoroo]

mira encontre informacion de ese archivo que dice y el del modem de tu computadora...



NOMBRE DE LA EMPRESA: PCtel, Inc.

ATRIBUTOS DE ARCHIVO: Archivo

DESCRIPCIÓN DE ARCHIVO: HSP Modem Serial Device Driver for NT 5.0

CARPETA DE ARCHIVO: %SYSTEM%\drivers

NOMBRE DE ARCHIVO: [color=#0000BF]ptserial.sys [/color]TAMAÑO DE ARCHIVO: 135,292 KB

VERSIÓN DE ARCHIVO: 2.50.47

NOMBRE INTERNO: ptserial.sys

COPYRIGHT LEGAL: Copyright (C) PCTEL. 1994-2003

FIRMA MD5: 6a3fbbbba5f228b003ef64070f7b3fe4

NOMBRE DE ARCHIVO ORIGINAL: [color=#0000BF]ptserial.sys [/color]

NOMBRE DEL PRODUCTO: HSP Modem Serial Device

VERSIÓN DEL PRODUCTO: 2.50.47

CARPETA ESPECIAL: SYSTEM





y como vez no te lo estoy marcando en rojo si no en azul por no ser una amenaza, pero si quieres salir de dudas mandalo para que lo examinen a zonavirus@satinfo.es.....



saludos......

[Claudia34]

Es tal cual como tu lo dices, ademas si voy a la parte de propiedades del archivo, me doy cuenta que tiene que ver con algo del modem, y en realidad es de seguro un falso positivo aunque por las dudas ya lo envie a zonavirus, no se realmente si ya llego o no el archivo.



Saludos.

[lucl]

Pues dejamos pendiente de ver si llego o no, mañana te diran algo . Saludos

[msc hotline sat]

Recibida la muestra, parece ser un driver de modem, si no opinas lo contrario, asi lo consideramos y daremos el Tema por solucionado...



saludos



ms, 25-06-2008

[Claudia34]

Gracias nuevamente por la atencion brindada, y se puede ya cerrar el tema.



Saludos.

[msc hotline sat]

ok, pues procedo en consecuencia



saludos Claudia



ms, 26-06-2008