autoextract.exe en archivos rar

[seespitz]

Me aparecen varios archivos autoextract.exe en archivos rar, por varios quiero decir copias idénticas dentro de un mismo rar.



El AVG los detecta dentro de los rar, incluso puedo eliminarlos con el rar



rar d archivo.rar autoextract.exe



Qué tipo de virus es? No encontré nada en internet, salvo que hay un utilitario que se llama igual.



Gracias y saludos.



Seespitz

[lucl]

Pues subelo si quieres a analizar a virustotal alli te diran si es virico o no.





www.virustotal.com/es





nos pegas el log resultante saludos

[msc hotline sat]

Imagino que podran ser mas de lo mismo que se detectó el mas pasado con dicho nombre:



VirusTotal Result: 20/32 (62.50%)

AntiVir 7.6.0.85 2008.04.11 ADSPY/Softomat.E.10

vast 4.8.1169.0 2008.04.11 Win32:Adware-gen

AVG 7.5.0.516 2008.04.11 Adware Generic.ICM

BitDefender 7.2 2008.04.11 Adware.Softomate.E

lamAV 0.92.1 2008.04.11 Adware.Toolbar-40

DrWeb 4.44.0.09170 2008.04.11 Adware.SideSearch

F-Prot 4.4.2.54 2008.04.11 W32/FinmFM.A@adw

Fortinet 3.14.0.0 2008.04.11 Adware/Softmate

Ikarus T3.1.1.26.0 2008.04.11 not-a-virus:AdWare.Win32.Mostofate.e

Kaspersky 7.0.0.125 2008.04.11 not-a-virus:AdWare.Win32.Mostofate.e

McAfee 5272 2008.04.11 potentially unwanted program Generic Toolbar

Norman 5.80.02 2008.04.11 Softomate.QC

Panda 9.0.0.4 2008.04.11 Adware/ActiveSearch

Prevx1 V2 2008.04.11 Adware Generic.ICM

Rising 20.39.32.00 2008.04.11 AdWare.Win32.Mostofate.e

Sophos 4.28.0 2008.04.11 SearchIt

Sunbelt 3.0.1032.0 2008.04.08 FindFM Toolbar (v)

Symantec 10 2008.04.11 Adware.CramToolbar

VBA32 3.12.6.4 2008.04.06 AdWare.Win32.Mostofate.e

Webwasher-Gateway 6.6.2 2008.04.11 Ad-Spyware.Softomat.E.10





Envianos el fichero en cuestioun para analizar y pasaremos a controlarlo con nuestras utilidades, de lo cual informaremos





[b]¿Como enviar las muestras a zonavirus? - Para ello recordar[/b]:

https://foros.zonavirus.com/viewtopic.php?f=5&t=14253



saludos



ms, 11-12-2008





saludos



ms, 11-12-2008

[seespitz]

[quote="msc hotline sat"]Imagino que podran ser mas de lo mismo que se detectó el mas pasado con dicho nombre:



VirusTotal Result: 20/32 (62.50%)

AntiVir 7.6.0.85 2008.04.11 ADSPY/Softomat.E.10

vast 4.8.1169.0 2008.04.11 Win32:Adware-gen

AVG 7.5.0.516 2008.04.11 Adware Generic.ICM

BitDefender 7.2 2008.04.11 Adware.Softomate.E

lamAV 0.92.1 2008.04.11 Adware.Toolbar-40

DrWeb 4.44.0.09170 2008.04.11 Adware.SideSearch

F-Prot 4.4.2.54 2008.04.11 W32/FinmFM.A@adw

Fortinet 3.14.0.0 2008.04.11 Adware/Softmate

Ikarus T3.1.1.26.0 2008.04.11 not-a-virus:AdWare.Win32.Mostofate.e

Kaspersky 7.0.0.125 2008.04.11 not-a-virus:AdWare.Win32.Mostofate.e

McAfee 5272 2008.04.11 potentially unwanted program Generic Toolbar

Norman 5.80.02 2008.04.11 Softomate.QC

Panda 9.0.0.4 2008.04.11 Adware/ActiveSearch

Prevx1 V2 2008.04.11 Adware Generic.ICM

Rising 20.39.32.00 2008.04.11 AdWare.Win32.Mostofate.e

Sophos 4.28.0 2008.04.11 SearchIt

Sunbelt 3.0.1032.0 2008.04.08 FindFM Toolbar (v)

Symantec 10 2008.04.11 Adware.CramToolbar

VBA32 3.12.6.4 2008.04.06 AdWare.Win32.Mostofate.e

Webwasher-Gateway 6.6.2 2008.04.11 Ad-Spyware.Softomat.E.10





Envianos el fichero en cuestioun para analizar y pasaremos a controlarlo con nuestras utilidades, de lo cual informaremos





[b]¿Como enviar las muestras a zonavirus? - Para ello recordar[/b]:

https://foros.zonavirus.com/viewtopic.php?f=5&t=14253



saludos



ms, 11-12-2008





saludos



ms, 11-12-2008[/quote]

Esto dice el AVG 8:



Worm/Generic.QLR



Es toda la información que da.



Saludos.

[msc hotline sat]

Pues envianoslo para analizar y procederemos con ello



saludos



ms, 11-12-2008

[seespitz]

[quote="msc hotline sat"]Pues envianoslo para analizar y procederemos con ello



saludos



ms, 11-12-2008[/quote]

Eso intenté. Lo extraje de un rar, pero luego no puedo compactarlo, el rar aborta.



Intenté copiando un rar con él y borrando todos los demás archivos dentro del rar, pero luego no puedo agregarle la password que se necesita.



Intenté enviarlo sin password, pero el sistema de correo lo rechazó.



Finalmente con el comando "rar d archivo.rar autoextract.exe" lo eliminé de todos los rar.



El AVG 8 residente lo detecta al intentar extraerlo de un rar, y al analizar la PC tengo la lista de todos los rar infectados. Ya no queda ninguno, así que no tengo muestra para enviar. Y espero no tenerla...



Saludos.



Seespitz

[msc hotline sat]

Arranque en modo seguro y podrá empaquetarlo ccn password, como le indica flacoroo en el tema al respecto



Pero no en modo normal !



Luego ya lo enviará arrancando en modo normal.



saludos



ms, 11-12-2008

[msc hotline sat]

Analizado el fichero que hemos recibido, ya está controlado por el actual ELISTARA:




[quote]
[b] ELISTARA: [/b]

http://www.zonavirus.com/descargas/elistara.asp



Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso
[/quote]



Ademas es de los que se propaga por pendrive, asi que vacuna el ordenador y tus pendrives con el ELIPEN:







Y vacune el ordenador y todas sus unidades de disco y pendrive con el ELIPEN:



[b]ELIPEN.EXE[/b]

http://www.zonavirus.com/descargas/elipen.asp



Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso





saludos



ms, 12-12-2008

[seespitz]

[quote="msc hotline sat"]Analizado el fichero que hemos recibido, ya está controlado por el actual ELISTARA:




[quote]
[b] ELISTARA: [/b]

http://www.zonavirus.com/descargas/elistara.asp



Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso
[/quote]



Ademas es de los que se propaga por pendrive, asi que vacuna el ordenador y tus pendrives con el ELIPEN:







Y vacune el ordenador y todas sus unidades de disco y pendrive con el ELIPEN:



[b]ELIPEN.EXE[/b]

http://www.zonavirus.com/descargas/elipen.asp



Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso





saludos



ms, 12-12-2008[/quote]

Análisis del archivo AutoExtract.rar recibido el 13.12.2008 09:53:38 (CET)

Motor antivirus Versión Última actualización Resultado

AhnLab-V3 2008.12.12.2 2008.12.13 -

AntiVir 7.9.0.45 2008.12.12 -

Authentium 5.1.0.4 2008.12.12 -

Avast 4.8.1281.0 2008.12.12 -

AVG 8.0.0.199 2008.12.13 -

BitDefender 7.2 2008.12.13 -

CAT-QuickHeal 10.00 2008.12.12 -

ClamAV 0.94.1 2008.12.13 -

Comodo 741 2008.12.12 -

DrWeb 4.44.0.09170 2008.12.13 -

eSafe 7.0.17.0 2008.12.11 -

eTrust-Vet 31.6.6258 2008.12.12 -

Ewido 4.0 2008.12.12 -

F-Prot 4.4.4.56 2008.12.12 -

F-Secure 8.0.14332.0 2008.12.13 -

Fortinet 3.117.0.0 2008.12.13 -

GData 19 2008.12.13 -

Ikarus T3.1.1.45.0 2008.12.13 -

K7AntiVirus 7.10.552 2008.12.12 -

Kaspersky 7.0.0.125 2008.12.13 -

McAfee 5462 2008.12.13 -

McAfee+Artemis 5462 2008.12.13 -

Microsoft 1.4205 2008.12.13 -

NOD32 3688 2008.12.12 -

Norman 5.80.02 2008.12.12 -

Panda 9.0.0.4 2008.12.13 -

PCTools 4.4.2.0 2008.12.12 -

Prevx1 V2 2008.12.13 -

Rising 21.07.51.00 2008.12.13 -

SecureWeb-Gateway 6.7.6 2008.12.12 -

Sophos 4.36.0 2008.12.13 -

Sunbelt 3.2.1801.2 2008.12.11 -

Symantec 10 2008.12.13 -

TheHacker 6.3.1.2.186 2008.12.12 -

TrendMicro 8.700.0.1004 2008.12.12 -

VBA32 3.12.8.10 2008.12.12 -

ViRobot 2008.12.12.1515 2008.12.12 -

VirusBuster 4.5.11.0 2008.12.12 -

Información adicional

Tamano archivo: 80183 bytes

MD5...: dc241b492d674864cd03577675ee039d

SHA1..: 9aac76da0c6701324ad81e13c9f45cd9b72d614d

SHA256: eda68538b4078df89f7876696717d2218614709f18b676848f00bc5b79b9b480

SHA512: b13b4941d132f23f36e4506fc49089c0d4815d714990310dacd2e1ad9bd198fa<br>3da234f168c7b171300a79376690ef0d6952e9566142022e2e9f1f260c560fc3<br>

ssdeep: 1536:BUcshbT5ME3skHiUGx8RWhrgU8hZNC4rhOiezsXu7OC0LOFJxRp:Jshblh3<br>3HHRsrgU8hzFF1+bkwXp<br>

PEiD..: -

TrID..: File type identification<br>RAR Archive (83.3%)<br>REALbasic Project (16.6%)

PEInfo: -



==========



El AVG 8 lo detecta, pero es mejor eliminarlo con el mismo rar, el AVG arruina la cabecera de los rar y los inutiliza.



Ya pasaré el ELIPEN.



Gracias.



Seespitz

[msc hotline sat]

Pero le deciamos que probara el ELISTARA actual :


[quote="msc"]


Analizado el fichero que hemos recibido, ya está controlado por el actual ELISTARA:




[quote]
[b] ELISTARA: [/b]

http://www.zonavirus.com/descargas/elistara.asp



Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso
[/quote]

[/quote]

y no hemos visto el infosat.txt al respecto !!!



saludos



ms, 13-12-2008

[seespitz]

[quote="msc hotline sat"]Pero le deciamos que probara el ELISTARA actual :


[quote="msc"]


Analizado el fichero que hemos recibido, ya está controlado por el actual ELISTARA:




[quote]
[b] ELISTARA: [/b]

http://www.zonavirus.com/descargas/elistara.asp



Tras probarlo, reiniciar y postearnos el contenido de C:\infosat.txt para ver el resultado del proceso
[/quote]

[/quote]

y no hemos visto el infosat.txt al respecto !!!



saludos



ms, 13-12-2008[/quote]

Aquí está:





Volume in drive H is unlabeled Serial number is 403b:edcd

Directory of H:\autoextract\*



13/12/2008 11:07 <DIR> .

13/12/2008 11:07 <DIR> ..

14/06/1999 12:58 98.304 AutoExtract.exe

98.304 bytes in 1 file and 2 dirs 98.304 bytes allocated

69.255.995.392 bytes free







Sat Dec 13 11:19:58 2008

EliStartPage v17.61 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 12 de Diciembre del 2008)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "H:\AutoExtract"

H:\AutoExtract\AUTOEXTRACT.EXE --> Eliminado, AutoRun(Recycle)



Nº Total de Directorios: 0

Nº Total de Ficheros: 1

Nº de Ficheros Analizados: 1

Nº de Ficheros Infectados: 1

Nº de Ficheros Limpiados: 1



Saludos.



Seespitz

[msc hotline sat]

Ahora sí :wink:



EliStartPage v17.61 (c)2008 S.G.H. / Satinfo S.L. (Actualizado el 12 de Diciembre del 2008)

--------------------------------------------------

Lista de Acciones (por Exploración):

Explorando "H:\AutoExtract"

H:\AutoExtract\AUTOEXTRACT.EXE --> Eliminado, AutoRun(Recycle)





Pues lo celebramos, y dando por solucionado el Tema, procedemos a cerrarlo



Si nos necesita de nuevo, ya sabe donde estamos



saludos



ms, 13-12-2008