Consulta sobre detecciones

Buenos días

Recientemente actualicé mi Avast free antivirus 8 a la versión 2015 sin ningún problema. A través del escudo de comportamiento de la versión 8 me di cuenta de que a mediados de cada mes se realizaban una serie de operaciones con archivos durante un par de minutos al encender el ordenador que nunca me dieron ningún problema. Hoy ha sido la primera vez que tienen lugar dichas operaciones desde que tengo la versión 2015 y en ese momento me han salido dos amenazas bloqueadas por el escudo del sistema de archivos.

La primera me ha salido dos veces y es:
OBJETO C:\ProgramFiles(x86)\Sierra OnLine\sutil32.exe
INFECCION Win32: Malware-gen
ACCION (nada)
PROCESO C:\Windows\System32\CompatTel\wicainventory.exe

La segunda:
OBJETO C:\ProgramFiles(x86)\EA GAMES\MOHAADemo\mohaademo.exe
INFECCION Win32:Malware-gen
ACCION Movido al baúl
PROCESO C:\Windows\System32\rundll32.exe

Se trata de dos archivos que llevan en mi ordenador bastantes años. El segundo es el ejecutable de un juego original que instalé en el 2010 así que no debería dar ningún problema. El primero lo he subido a la página de virustotal y Avast es el único antivirus que lo detecta. Algunas de las operaciones a las que me refería al comienzo recuerdo que decían algo de CompatTel. El ordenador está funcionando perfectamente como siempre.

Gracias

Son archivos legitimos de esos programas y solo un virus verdadero pudiera infectarlos. Puesto que Avast los detecta como Win32: Malware-gen tienes casi un 95 % que sea un F/P.

Puedes reportarlos como Falsos/Positivos a Avast. Puedes hacerlo en dos formas. Por el baul de virus. Ver imagen
http://www.avast.com/es-es/faq.php?article=AVKB21#artTitle (instrucciones del 2014 proque todavia no han traducido las del 2015 )

O puedes hacerlo por aqui: https://support.avast.com/

Si uno de tus archivos no esta en el Baul, puedes añadirlo al baul. No lo vas a quitar, solo es una copia. ( ve instrucciones ) y lo mandas a Avast. Despues los excluyes. Normalmente en 2 o 4 dias ya no se detectan.

Gracias iroc9555

mohaademo.exe lo llevó automáticamente al baúl y sutil32.exe sigue estando donde siempre. No me ha vuelto a salir ninguna ventana emergente del escudo del sistema de archivos bloqueando una amenaza desde ese día. Si subo sutil32.exe a Virustotal.com Avast sigue siendo el único antivirus de 55 que lo detecta como Malware-gen. Existe alguna forma de saber con seguridad si se trata de falsos positivos? Si los reporto a Avast como me dijiste ellos lo analizan para confirmar que lo es?

Gracias

De nada :wink:

Si.

Puedes “agregar” sutil32.exe al Baul de virus de Avast, y desde ahi reportarlo como F/P a el lab de Avast.

En tu descripcion, aparte de poner que proceso lo detecta (wicainventory.exe) y que nombre le da Avast (Win32: Malware-gen), pon tambien el URL del reporte de VT. A veces Avast te notifica por correo si el archivo esta infectado, o porque razones esta siendo detectado, otras veces no. Si ves mi imagen de arriba, esos archivos son mios que Avast detecto falsamente. Yo los reporte. Hice mis exclusiones y restaure los archivos. Al cabo de 3 dias elimine las exclusiones y Avast ya no los detectaba. Normalmente eso es lo que toma 3 o 4 dias para los arreglos. A veces solo 1 dia.

Al agregar el archivo al baul no lo elimina del lugar. Es solo una copia. Lo mismo cuando restauras siempre queda una copia del archivo en el Baul que a la final tu mismo puedes eliminarlo si quieres.

Gracias de nuevo

Acabo de enviar al laboratorio el archivo sutil32.exe a través de avast.support.com. Hoy también seguía siendo detectado en VT solo por Avast:

https://www.virustotal.com/es/file/4a2fd5a0c84d654dfb75ba0f6b00ec2b7c71c758342f6f03f2a673b926c9e1d5/analysis/

Cuando al subir el archivo me han preguntado si se trataba de falso positivo o malware he seleccionado falso positivo aunque precisamente esa es la pregunta que estoy tratando de resolver. Esperando que me lo analicen, un saludo.

Lo mas seguro es un F/P ya que esta firmado y es de una compañia legitima.

Siendo un ejecutable legitimo la unica forma seria que estuviera infectado por un virus ( codigo injectado ) y en ese caso otros AV lo hubieran detectado en VT.

Dado su comportamiento y no muy conocido ha sido mandado a VT por los ultimos 5 años porque uno u otro AV lo a detectado como sospechoso, pero poco a poco lo han excluido de sus detecciones.

Eso no quiere decir que cuando un AV actualice su bd, en sus parametros, haya algun cambio que lo detecte nuevamente solo por su forma de comportarse.

Acabo de recibir esta respuesta en mi correo pero la verdad es que no encuentro que tenga relacion con mi problema:

Avast tiene una herramienta llamada limpieza del navegador, por favor, utilice esa herramienta para desinstalar complementos no deseados. Encontrará esta función

En Avast 8: Seguridad > Herramientas > Limpieza del Navegador

En Avast 2014: Herramientas > Limpieza del Navegador

Una vez hecho esto vaya al Panel de Control > Agregar o quitar programas y borre todo aquello que se haya instalado recientemente sin su consentimiento

Después busque si quedan rastros en los motores de búsqueda y en la página de inicio de su navegador y elimínelos:
Firefox:

https://support.mozilla.org/es/kb/eliminar-una-barra-de-herramientas-que-ha-desplaza

Chrome:
https://support.google.com/chrome/answer/95653?hl=es&ref_topic=14676

https://support.google.com/chrome/answer/95314?hl=es

Internet Explorer:

http://windows.microsoft.com/es-419/windows-vista/change-or-choose-a-search-provider-in-internet-explorer
http://windows.microsoft.com/es-es/internet-explorer/change-home-page#ie=ie-11

Ahora haga clic con el botón derecho sobre el acceso directo de su navegador y elija: “Propiedades” (válido para todos los navegadores)

En la pestana:”Acceso directo”, busque “Iniciar en:” y compruebe que no se haya anadido nada al mismo.

Por ejemplo, para Chrome, debería ver:

"C:\Program Files (x86)\Google\Chrome\Application”

Borre todo lo sobrante y acepte.

Pruebe a instalar el programa gratuito CCleaner, haga una reparación del registro, desfragmente el disco duro y borre archivos temporales.

Le envío una guía de uso de CCleaner:

http://onsoftware.softonic.com/ccleaner-guia-de-uso

Debe hacer varios análisis y reparaciones del registro hasta que no se encuentren problemas

También puede hacer un análisis con este otro software también gratuito: http://www.malwarebytes.org/

Si esto no funciona, pruebe a desinstalar y reinstalar su navegador en limpio.

Si nada de lo anterior da resultado, haga una restauración de su equipo a un punto anterior al de la aparición del problema.

Como medida de prevención, le recomiendo activar la detección de programas potencialmente no deseados (PPD) en su equipo.

Para ello, por favor, vaya a “Opciones” > “Protección activa” y allí elija las opciones del “Escudo de sistema de archivos”, luego, en la pestaña “Sensibilidad”, active la opción: “Analizar en busca de programas potencialmente no deseados”.

Espero que esto sirva de ayuda.

Reciba un cordial saludo

Contestales de vuelta que no tiene nada que ver con los programas que estas reportando como F/P y no tienes problemas con tu navegador y sus complementos, y que a que viene ese correo que te mandaron.

Gracias, ahora mismo lo hago

Me he asustado bastante al leerlo porque con todas las cosas que me ha dicho que debia hacer es como si tuviera el virus mas terrible del planeta. Despues lo he leido mas detenidamente y he pensado que no tenia nada que ver con mi problema puesto que no le ocurre nada a mi navegador, ni se me ha instalado ningun programa, etc. Da la impresion de ser un texto generico para enviar automaticamente a la gente que muestre problemas. Ademas en ningun momento se menciona que era el archivo que les he enviado, que al fin y al cabo era mi pregunta.

Aún no me han respondido desde el servicio técnico de Avast pero al volver a analizar el archivo en Virustotal.com hace unos minutos me he encontrado con que además de Avast ahora también GData lo detecta, en este caso como Win32.Trojan.Agent.FI1QG6

https://www.virustotal.com/es/file/4a2fd5a0c84d654dfb75ba0f6b00ec2b7c71c758342f6f03f2a673b926c9e1d5/analysis/1418723933/

GData usa el motor y data de base de Avast asi que no me sorprende. Eso tambien quiere decir que no se ha corregido todavia. Dejame llamarle la atencion a Milos a ver si puede acelerar la correccion.

NOTA. Milos contesto y dijo que supuestamente ya estaba arreglado. Asi que asegurate de tener la ultima actualizacion.

Muchísimas gracias por tu ayuda iroc9555

Acabo de analizar el archivo con la actualización 141217-0 y ya me lo detecta como seguro. En VT GData lo sigue detectando pero ya me explicaste la razón.

Respecto al otro archivo que me detectó el escudo del sistema de archivos ese mismo día (mohaademo.exe) y que me lo envió al baúl tenía pensado enviárselo al laboratorio ahora pero primero lo he vuelto a analizar. En el baúl he hecho clic derecho y Analizar y me sale el mensaje:
mohaademo.exe --no hay virus–
Así que supongo que puedo extraerlo sin peligro verdad?

Yo creia que ya lo habias mandado puesto que fue el primero que estaba en el baul.

¿ Ante lo detectaba cuando estaba en el Baul ? Esa es la pregunta que tienes que hacerte. Si antes lo hacia y ahora no, fue corregido con el reporte de alguien mas.

Hay unas detecciones de Win32: Evo-gen que no se detectan en el Baul porque su deteccion es a nivel heuristico cuando se esta ejecutando y DeepScreen lo analiza. No creo que Win32:Malware-gen sea lo mismo.

El archivo mohaademo.exe lo envió directamente al baúl cuando me salió el mensaje del escudo del sistema de archivos que puse en el primer mensaje y no había hecho nada con él desde entonces puesto que se que el ordenador no necesita ese archivo para nada. En el baúl no lo volví a analizar ninguna vez.

.

Bueno, mandalo a los laboratorios de Avast como F/P esperate 2 o 3 dias y pruebalo.

Si no lo necesitas, desinstala AEGames\MOHAADemo, pero ten encuanta que a lo mejor necesitas mohaademo.exe en su sitio para desinstalarlo completamente.