Kaspersky detecta Trojan.Win32.Generic

[Astrid]

Buenas tardes,

 

Ayer mi Kaspersky detectó un Trojan.Win32.Generic y lo puse en cuarentena. Por seguridad, también desinstalé el programa infectado según Kaspersky, reinicié el pc en Safe Mode y volví a ejecutar un analisis completo tanto con el Kaspersky como con el AdwCleaner.

Creo que este malware ya estaba en mi pc hace algunos dias porque a veces perdia conexión al internet e incluso, en determinadas paginas me iba bastante lento, pero solo ayer, el Kaspersky consiguió detectar el malware en una de las carpetas de un juego recién lanzado (comprado original en Steam, si a caso ayuda saber el nombre del juego es “Mount & Blade 2: Bannerlord”).

Hoy me he vuelto a instalar el juego y durante unas buenas horas he podido disfrutarlo sin ningún problema y sobretodo con un mejor rendimiento, pero a eso de 2 o 3 horas el Kaspersky ha vuelto a detectar el vírus en la misma carpeta.

 

El AdwCleaner ha generado el siguiente txt:

# -------------------------------
# Malwarebytes AdwCleaner 8.0.3.0
# -------------------------------
# Build:    03-03-2020
# Database: 2020-03-02.1 (Local)
# Support:  https://www.malwarebytes.com/support /> #
# -------------------------------
# Mode: Clean
# -------------------------------
# Start:    03-31-2020
# Duration: 00:00:01
# OS:       Windows 10 Home
# Cleaned:  15
# Failed:   0

***** [ Services ] *****

No malicious services cleaned.

***** [ Folders ] *****

Deleted       C:\ProgramData\IObit\Advanced SystemCare
Deleted       C:\ProgramData\Tencent
Deleted       C:\Users\alber\AppData\Local\Tencent
Deleted       C:\Users\alber\AppData\Roaming\IObit\Advanced SystemCare
Deleted       C:\Users\alber\AppData\Roaming\Tencent
Deleted       C:\Windows\SysWOW64\config\systemprofile\AppData\Roaming\Tencent

***** [ Files ] *****

Deleted       C:\END
Deleted       C:\Windows\Reimage.ini

***** [ DLL ] *****

No malicious DLLs cleaned.

***** [ WMI ] *****

No malicious WMI cleaned.

***** [ Shortcuts ] *****

No malicious shortcuts cleaned.

***** [ Tasks ] *****

No malicious tasks cleaned.

***** [ Registry ] *****

Deleted       HKCU\Software\Sunisoft
Deleted       HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules|{047E003A-C323-4EFE-BD47-86FC99C14D59}
Deleted       HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules|{1B366BEE-CA8B-4042-ABC7-8C322BD816CB}
Deleted       HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules|{5542BD5F-F9D2-4146-A005-9C17BF97C1A4}
Deleted       HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules|{5C3AE1DB-6F16-4907-AECF-12C08F768717}
Deleted       HKLM\Software\Classes\METNSD
Deleted       HKLM\Software\Reimage

***** [ Chromium (and derivatives) ] *****

No malicious Chromium entries cleaned.

***** [ Chromium URLs ] *****

No malicious Chromium URLs cleaned.

***** [ Firefox (and derivatives) ] *****

No malicious Firefox entries cleaned.

***** [ Firefox URLs ] *****

No malicious Firefox URLs cleaned.

***** [ Hosts File Entries ] *****

No malicious hosts file entries cleaned.

***** [ Preinstalled Software ] *****

No Preinstalled Software cleaned.

*************************

[+] Delete Tracing Keys
[+] Reset Winsock

*************************

AdwCleaner[S00].txt - [7546 octets] - [31/03/2020 21:38:18]
AdwCleaner[S01].txt - [7607 octets] - [31/03/2020 21:40:34]

########## EOF - C:\AdwCleaner\Logs\AdwCleaner[C01].txt ##########
 

Podeis ayudarme?

Gracias!

[Guest #37]

Hola,

No debes duplicar tu consulta, con una consulta es más que suficiente.

Por favor sube la información necesaria para que podamos ayudarte (Versión y build de Kaspersky instalado, S.O. y servicepack instalados, sube tu getsysteminfo (gsi) utilizando la última versión disponible del mismo, para revisarlo, etc...).

Para generar el getsysteminfo (gsi) revisa este enlace: http://support.kaspersky.com/sp/general/dumps/3632#block1
Getsysteminfo (GSI) descarga directa: http://media.kaspersky.com/utilities/ConsumerUtilities/GetSystemInfo6.2.zip

Adjunta captura de pantalla de la detección, con la ruta completa de la misma.

También sube el fichero sospechoso comprimido con winrar y con contraseña “infected” (sin las comillas) al Kaspersky Virusdesk y al Kaspersky Threat Intelligence Portal para revisar si es un falso positivo o no lo es.

El adwcleaner te ha detectado PUP ( Potentially Unwanted Program ). 

Ejemplo: PUP.Optional.AdvancedSystemCare, PUP.Optional.Reimage (supuesto optimizador de sistemas), etc.. 

Saludos

[Astrid]

 Hola, aqui escribo todo lo pedido:

Kaspersky Internet Security  20.0.14.1085 (i)

Windows 10 Home

El screenshot de la ruta completa mostrada en la detección - png titulado KasperskyAlert

Y el zip del getsysteminfo.

 

Gracias.

 

[Astrid]

Y aqui está el link con el analisis hecho en el Kaspersky Threat Intelligence Portal:

https://opentip.kaspersky.com/F6D2F9915376DEEE5A0B95DFE6E2422C10B51EB91587A0B88A88A6C445745B63/

 

 

[Astrid]

 Ahora mismo he intentado hacer que el Kaspersky no elimine automaticamente el archivo a no ser que yo lo permita. Al hacer esto, nada más entrar en el launcher del juego este aviso ha aparecido:

 

[Guest #37]

Hola,

Sube captura de pantalla completa de la primera captura que has subido, la de la detección. Solo veo la ruta, pero no que detección te ha dado, etc..

Puedes ver más información de las detecciones en reportes, sube capturas de pantalla.

Genera un nuevo gsi, el que has subido no esta completo, falta precisamente el fichero necesario para poder revisarlo.

Abre un ticket de soporte en mi cuenta Kaspersky, explícales lo que te ha pasado, envíales las capturas, el gsi, y el enlace al fichero en el Kaspersky Threat Intelligence Portal.

Saludos

[Astrid]

Hola, aquí adjunto lo solicitado:

El nuevo gsi: 

 

También ya he creado un ticket de soporte como recomendado.

Gracias.

 

[Guest #37]

Hola,

Ahora si, por la detección creo que será un falso positivo, a ver que te dicen.

Te recomiendo que liberes espacio en c:\ no te queda mucho libre, y te puede dar problemas.

Saludos

[Vimaro]

Estimada usuaria.

Muchas gracias por sus mensajes y lamentamos que su experiencia de uso habitual se vea interrumpida por nuestra tecnología de protección. Con relación a su caso, he escalado directamente al área de investigación, quienes me responden lo siguiente:

• https://opentip.kaspersky.com/F6D2F9915376DEEE5A0B95DFE6E2422C10B51EB91587A0B88A88A6C445745B63/

  Con relación al objeto analizado en el OpenTIP, este objeto tiene embebidos 4000 archivos aproximadamente. ¿Es posible que por favor nos comparta el hash del (los) archivo(s) que está(n) generando la detección?

Por favor agregue a su caso abierto en My Kaspersky el número [KL-777528], que es el que he registrado en nuestro sistema interno para que nuestro equipo de soporte técnico en My Kaspersky canalice la solicitud de inclusión del archivo en listas blancas conforme a los datos que, de su caso ya se han enviado al área correspondiente.

Personalmente, creo que esto se podría resolver creando reglas de exclusión en el producto, apuntando a la ruta de ejecución del archivo “BannerLord.exe” complementando con el veredicto PDM:TrojanWin32.Generic. Si necesita más detalles de cómo llevar esto a cabo, por favor no dude en plantear su inquietud. 

@Moderadores: Cordial saludo. Si alguno de ustedes por favor me puede facilitar por el canal acostumbrado el GSI de este caso, podría intentar ver algo más. Muchas gracias de antemano.

Quedamos atentos a inquietudes adicionales.

[Guest #37]

Hola,

GSI enviado.

Saludos

[Astrid]

 Hola,

perdón, como encuentro el hash del archivo?

Gracias.

[Guest #37]

Hola,

Te paso un enlace en el que te explican como encontrar el hash de un archivo: https://protegermipc.net/2016/11/22/como-calcular-el-hash-de-un-archivo-o-ejecutable/

Yo por ejemplo uso hashtab.

Saludos

[Astrid]

Seria estos los valores del hash?

CRC32: F0B7AD78
MD5: 22E59E6ABD6D055A0A71D1DAF49A0BA7
SHA-1: 00DA2C1F0534208E614D91508E293B3D4E7475DF

 

Gracias.

[Guest #37]

Hola,

Si has instalado el hashtab, tienes que seleccionar individualmente cada fichero(s) que sea(n) detectado(s) por Kaspersky (individualmente), clic botón derecho, propiedas, ir a la pestaña hash de archivos, y copiar lo valores CR32, MD5 y SHA-1 que allí te aparecen.

Si has seguido estos pasos entonces si serán esos valores.

Yo lo que haría es abrir un txt o word, poner el nombre del fichero, y debajo su hash, para cada uno de los ficheros detectados.

Y como te han indicado, continuar el ticket de soporte indicando los datos que te han dado, y adjuntando el fichero txt o word.

Saludos