Posible virus InstallShield Application Updater

Hola a todos,

Les escribo porque desde hace unas semanas me esta apareciendo un aviso de actualización que me devuelve un error cuando presiono actualizar. No se de que se trata, ni que es lo que esta intentando actualizar. Les dejo una foto y el error que me devuelve.

Consulte el final de este mensaje para obtener más detalles sobre cómo invocar a la depuración 
Just-In-Time (JIT) en lugar de a este cuadro de diálogo.

************** Texto de la excepción **************
System.ComponentModel.Win32Exception (0x80004005): No se pudo completar la operación porque el archivo contiene un virus o software potencialmente no deseado
   en System.Diagnostics.Process.StartWithShellExecuteEx(ProcessStartInfo startInfo)
   en System.Diagnostics.Process.Start(ProcessStartInfo startInfo)
   en  .(Object , AsyncCompletedEventArgs )
   en System.Net.WebClient.OnDownloadFileCompleted(AsyncCompletedEventArgs e)


************** Ensamblados cargados **************
mscorlib
    Versión del ensamblado: 4.0.0.0
    Versión Win32: 4.8.4420.0 built by: NET48REL1LAST_C
    Código base: file:///C:/Windows/Microsoft.NET/Framework64/v4.0.30319/mscorlib.dll
----------------------------------------
isupdate
    Versión del ensamblado: 23.1.3.16
    Versión Win32: 23.1.3.16
    Código base: file:///C:/Program%20Files%20(x86)/Common%20Files/installshield/engine/8/intel%2032/isupdate.exe
----------------------------------------
System
    Versión del ensamblado: 4.0.0.0
    Versión Win32: 4.8.4360.0 built by: NET48REL1LAST_C
    Código base: file:///C:/WINDOWS/Microsoft.Net/assembly/GAC_MSIL/System/v4.0_4.0.0.0__b77a5c561934e089/System.dll
----------------------------------------
System.Management
    Versión del ensamblado: 4.0.0.0
    Versión Win32: 4.8.4084.0 built by: NET48REL1
    Código base: file:///C:/WINDOWS/Microsoft.Net/assembly/GAC_MSIL/System.Management/v4.0_4.0.0.0__b03f5f7f11d50a3a/System.Management.dll
----------------------------------------
System.Core
    Versión del ensamblado: 4.0.0.0
    Versión Win32: 4.8.4390.0 built by: NET48REL1LAST_C
    Código base: file:///C:/WINDOWS/Microsoft.Net/assembly/GAC_MSIL/System.Core/v4.0_4.0.0.0__b77a5c561934e089/System.Core.dll
----------------------------------------
System.Windows.Forms
    Versión del ensamblado: 4.0.0.0
    Versión Win32: 4.8.4400.0 built by: NET48REL1LAST_C
    Código base: file:///C:/WINDOWS/Microsoft.Net/assembly/GAC_MSIL/System.Windows.Forms/v4.0_4.0.0.0__b77a5c561934e089/System.Windows.Forms.dll
----------------------------------------
System.Drawing
    Versión del ensamblado: 4.0.0.0
    Versión Win32: 4.8.4390.0 built by: NET48REL1LAST_C
    Código base: file:///C:/WINDOWS/Microsoft.Net/assembly/GAC_MSIL/System.Drawing/v4.0_4.0.0.0__b03f5f7f11d50a3a/System.Drawing.dll
----------------------------------------
System.Configuration
    Versión del ensamblado: 4.0.0.0
    Versión Win32: 4.8.4190.0 built by: NET48REL1LAST_B
    Código base: file:///C:/WINDOWS/Microsoft.Net/assembly/GAC_MSIL/System.Configuration/v4.0_4.0.0.0__b03f5f7f11d50a3a/System.Configuration.dll
----------------------------------------
System.Xml
    Versión del ensamblado: 4.0.0.0
    Versión Win32: 4.8.4084.0 built by: NET48REL1
    Código base: file:///C:/WINDOWS/Microsoft.Net/assembly/GAC_MSIL/System.Xml/v4.0_4.0.0.0__b77a5c561934e089/System.Xml.dll
----------------------------------------
System.resources
    Versión del ensamblado: 4.0.0.0
    Versión Win32: 4.8.4084.0 built by: NET48REL1
    Código base: file:///C:/WINDOWS/Microsoft.Net/assembly/GAC_MSIL/System.resources/v4.0_4.0.0.0_es_b77a5c561934e089/System.resources.dll
----------------------------------------
Accessibility
    Versión del ensamblado: 4.0.0.0
    Versión Win32: 4.8.4084.0 built by: NET48REL1
    Código base: file:///C:/WINDOWS/Microsoft.Net/assembly/GAC_MSIL/Accessibility/v4.0_4.0.0.0__b03f5f7f11d50a3a/Accessibility.dll
----------------------------------------
mscorlib.resources
    Versión del ensamblado: 4.0.0.0
    Versión Win32: 4.8.4084.0 built by: NET48REL1
    Código base: file:///C:/WINDOWS/Microsoft.Net/assembly/GAC_MSIL/mscorlib.resources/v4.0_4.0.0.0_es_b77a5c561934e089/mscorlib.resources.dll
----------------------------------------
System.Windows.Forms.resources
    Versión del ensamblado: 4.0.0.0
    Versión Win32: 4.8.4084.0 built by: NET48REL1
    Código base: file:///C:/WINDOWS/Microsoft.Net/assembly/GAC_MSIL/System.Windows.Forms.resources/v4.0_4.0.0.0_es_b77a5c561934e089/System.Windows.Forms.resources.dll
----------------------------------------

************** Depuración JIT **************
Para habilitar la depuración Just In Time (JIT), el archivo de configuración de esta
aplicación o equipo (machine.config) debe tener el
valor jitDebugging establecido en la sección system.windows.forms.
La aplicación también se debe compilar con la depuración
habilitada

Por ejemplo:

<configuration>
    <system.windows.forms jitDebugging="true" />
</configuration>

Cuando esté habilitada la depuración JIT, cualquier excepción no controlada
se enviará al depurador JIT registrado en el equipo
en lugar de controlarlo mediante el cuadro de diálogo.

Ojala puedan ayudarme.

Saludos Diego

Hola @DiegoP ,por favor, para descartar malware realiza un análisis con la siguiente herramienta y pega el reporte el tu próxima respuesta.

1 me gusta

Hola Emanuel, gracias por tu ayuda. Copio el reporte.

21/10/2021 17:48:58 Archivos explorados: 815083 Archivos detectados: 3 Archivos desinfectados: 3 Tiempo total de exploración 03:18:23 Estado de la exploración: Finalizado

C:\Program Files (x86)\Common Files\installshield\engine\8\intel 32\iKernel.exe una variante de MSIL/Pacoredi.J troyano desinfectado por eliminación C:\Program Files (x86)\Common Files\installshield\engine\8\intel 32\isupdate.exe una variante de MSIL/Pacoredi.J troyano desinfectado por eliminación C:\Users\Diego Peralta\AppData\Local\Temp\RVEHXGNVPIH.exe una variante de Generik.KGLLFDF troyano desinfectado por eliminación

Hola @DiegoP vamos a seguir con algunos pasos más. Ejecuta la siguiente herramienta y pega el reporte en tu próxima respuesta.

1 me gusta

Hola Emanuel, te dejo el reporte de este software.

Total 217318609252 bytes in 889759 files scanned (1154830 objects) Total 889815 files (1154684 objects) are clean Total 1 file are suspicious Total 144 files are raised error condition Scan time is 04:19:05.431


Start curing

C:\WINDOWS\system32\drivers\etc\hosts - cured

Total 217318609252 bytes in 889759 files scanned (1154830 objects) Total 889815 files (1154684 objects) are clean Total 1 file are suspicious Total 1 file are neutralized Total 144 files are raised error condition Scan time is 04:19:05.431

Hola de nuevo @DiegoP , por favor, un paso más ejecta la siguiente herramienta tal cual indica su manual (Análisis completo) y pega el resultado en tu próxima respuesta.

1 me gusta

Te dejo el informe.

Malwarebytes

-Detalles del registro- Fecha del análisis: 22/10/21 Hora del análisis: 19:40 Archivo de registro: 1adc9abe-3389-11ec-9c69-a08869d0f1a5.json

-Información del software- Versión: 4.4.9.142 Versión de los componentes: 1.0.1486 Versión del paquete de actualización: 1.0.46284 Licencia: Caducado

-Información del sistema- SO: Windows 10 (Build 19042.1288) CPU: x64 Sistema de archivos: NTFS Usuario: Zenbook\Diego Peralta

-Resumen del análisis- Tipo de análisis: Análisis personalizado Análisis iniciado por:: Manual Resultado: Completed Objetos analizados: 934760 Amenazas detectadas: 12 Amenazas en cuarentena: 12 Tiempo transcurrido: 1 hr, 26 min, 8 seg

-Opciones de análisis- Memoria: Activado Inicio: Activado Sistema de archivos: Activado Archivo: Activado Rootkits: Activado Heurística: Activado PUP: Detectar PUM: Detectar

-Detalles del análisis- Proceso: 0 (No hay elementos maliciosos detectados)

Módulo: 0 (No hay elementos maliciosos detectados)

Clave del registro: 1 Hijack.AutoConfigURL.PrxySvrRST, HKLM\SYSTEM\CURRENTCONTROLSET\SERVICES\NLASVC\PARAMETERS\INTERNET\MANUALPROXIES, En cuarentena, 3911, -1, 0.0.0, , action, , ,

Valor del registro: 11 Hijack.AutoConfigURL.PrxySvrRST, HKLM\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\INTERNET SETTINGS|AUTOCONFIGURL, En cuarentena, 3911, 943647, 1.0.46284, , ame, , , Hijack.AutoConfigURL.PrxySvrRST, HKU\S-1-5-18\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\INTERNET SETTINGS|PROXYENABLE, En cuarentena, 3911, -1, 0.0.0, , action, , , Hijack.AutoConfigURL.PrxySvrRST, HKU\S-1-5-21-24218836-3362958724-1481430885-1001\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\INTERNET SETTINGS|PROXYENABLE, En cuarentena, 3911, -1, 0.0.0, , action, , , Hijack.AutoConfigURL.PrxySvrRST, HKU.DEFAULT\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\INTERNET SETTINGS|PROXYENABLE, En cuarentena, 3911, -1, 0.0.0, , action, , , Hijack.AutoConfigURL.PrxySvrRST, HKLM\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\INTERNET SETTINGS|AUTOCONFIGURL, En cuarentena, 3911, -1, 0.0.0, , action, , , Hijack.AutoConfigURL.PrxySvrRST, HKLM\SOFTWARE\WOW6432NODE\MICROSOFT\WINDOWS\CURRENTVERSION\INTERNET SETTINGS|AUTOCONFIGURL, En cuarentena, 3911, -1, 0.0.0, , action, , , Hijack.AutoConfigURL.PrxySvrRST, HKLM\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\INTERNET SETTINGS|PROXYENABLE, En cuarentena, 3911, -1, 0.0.0, , action, , , Hijack.AutoConfigURL.PrxySvrRST, HKLM\SOFTWARE\WOW6432NODE\MICROSOFT\WINDOWS\CURRENTVERSION\INTERNET SETTINGS|PROXYENABLE, En cuarentena, 3911, -1, 0.0.0, , action, , , Hijack.AutoConfigURL.PrxySvrRST, HKLM\SOFTWARE\POLICIES\MICROSOFT\WINDOWS\CURRENTVERSION\INTERNET SETTINGS|PROXYSETTINGSPERUSER, En cuarentena, 3911, -1, 0.0.0, , action, , , Hijack.AutoConfigURL.PrxySvrRST, HKLM\SOFTWARE\WOW6432NODE\POLICIES\MICROSOFT\WINDOWS\CURRENTVERSION\INTERNET SETTINGS|PROXYSETTINGSPERUSER, En cuarentena, 3911, -1, 0.0.0, , action, , , Hijack.AutoConfigURL.PrxySvrRST, HKLM\SOFTWARE\WOW6432NODE\MICROSOFT\WINDOWS\CURRENTVERSION\INTERNET SETTINGS|AUTOCONFIGURL, En cuarentena, 3911, 943647, 1.0.46284, , ame, , ,

Datos del registro: 0 (No hay elementos maliciosos detectados)

Secuencia de datos: 0 (No hay elementos maliciosos detectados)

Carpeta: 0 (No hay elementos maliciosos detectados)

Archivo: 0 (No hay elementos maliciosos detectados)

Sector físico: 0 (No hay elementos maliciosos detectados)

WMI: 0 (No hay elementos maliciosos detectados)

(end)

Hola @DiegoP todavía hay muchas infecciones pero ya vamos terminando. Por favor ejecuta la siguiente herramienta tal cual indica su manual y adjunta el reporte en tu próxima respuesta.

1 me gusta

Hola Emanuel, si me soprende la cantidad de cosas que van apareciendo. Te dejo el último reporte.

~ ZHPCleaner v2021.10.22.334 by Nicolas Coolman (2021/10/22) ~ Run by Diego Peralta (Administrator) (23/10/2021 15:26:05) ~ Web: https://www.nicolascoolman.com ~ Blog: https://nicolascoolman.eu/ ~ Facebook : Redirecting... ~ State version : Version OK ~ Type : Reparar ~ Report : C:\Users\Diego Peralta\Desktop\ZHPCleaner (R).txt ~ Quarantine : C:\Users\Diego Peralta\AppData\Roaming\ZHP\ZHPCleaner_Reg.txt ~ System Restore Point : OK ~ UAC : Activate ~ Boot Mode : Normal (Normal boot) Windows 10 Home, 64-bit (Build 19042)

—\ Alternate Data Stream (ADS). (0) ~ No malintencionados o innecesarios artículos encontrados.

—\ Servicios (0) ~ No malintencionados o innecesarios artículos encontrados.

—\ Navegadores de Internet (0) ~ No malintencionados o innecesarios artículos encontrados.

—\ Hosts carpeta (1) ~ El archivo hosts es legítimo (15668)

—\ Tareas automáticas programadas. (0) ~ No malintencionados o innecesarios artículos encontrados.

—\ Explorador ( Archivos, Carpetas ) (15) MOVIDO carpeta: C:\Users\Diego Peralta\AppData\Local\Google\Chrome\User Data\Default\Preferences =>Préférences Chromium MOVIDO carpeta: C:\Users\Diego Peralta\AppData\Local\Microsoft\Edge\User Data\Default\Preferences =>Préférences Chromium MOVIDO carpeta: C:\Windows\Prefetch\KMSPICO_SETUP.TMP-01E7D577.pf =>HackTool.KMSpico MOVIDO carpeta: C:\Windows\Prefetch\KMSPICO_SETUP.TMP-53BA6B2E.pf =>HackTool.KMSpico MOVIDO carpeta: C:\Windows\Prefetch\KMSPICO_SETUP.TMP-5AE0FDD5.pf =>HackTool.KMSpico MOVIDO carpeta: C:\Windows\Prefetch\KMSPICO_SETUP.TMP-61849E4A.pf =>HackTool.KMSpico MOVIDO carpeta: C:\Windows\Prefetch\KMSPICO_SETUP.TMP-95BBB12C.pf =>HackTool.KMSpico MOVIDO carpeta: C:\Windows\Prefetch\KMSPICO_SETUP.TMP-A61F0219.pf =>HackTool.KMSpico MOVIDO carpeta: C:\Windows\Prefetch\KMSPICO_SETUP.TMP-BAE5A837.pf =>HackTool.KMSpico MOVIDO carpeta: C:\Windows\Prefetch\KMSPICO_SETUP.TMP-EC61C672.pf =>HackTool.KMSpico MOVIDO archivo: C:\ProgramData\Microsoft Toolkit =>HackTool.AutoKMS MOVIDO archivo: C:\Users\Diego Peralta\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Discord Inc =>.SUP.Discord MOVIDO archivo: C:\Users\Diego Peralta\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Popcorn-Time =>.SUP.PopcornTime MOVIDO archivo: C:\Users\Diego Peralta\AppData\Local\MSfree Inc =>HackTool.WinActivator MOVIDO archivo: C:\Users\Diego Peralta\AppData\Local\Popcorn-Time =>.SUP.PopcornTime

—\ Registro ( Claves, Valores, Datos) (7) BORRADOS clave*: HKEY_USERS\S-1-5-21-24218836-3362958724-1481430885-1001\SOFTWARE\Discord [] =>.SUP.Discord BORRADOS clave*: HKEY_USERS\S-1-5-21-24218836-3362958724-1481430885-1001\SOFTWARE\Classes\Discord [URL:Discord Protocol] =>.SUP.Discord BORRADOS clave*: HKEY_USERS\S-1-5-21-24218836-3362958724-1481430885-1001\SOFTWARE\Classes\discord-475006012840083466 [URL:Run game 475006012840083466 protocol] =>.SUP.Discord BORRADOS clave**: HKCU\Software\Discord [] =>.SUP.Discord BORRADOS clave*: HKCU\Software\Microsoft\Windows\CurrentVersion\Uninstall\Discord [Discord Inc.] =>.SUP.Discord BORRADOS clave*: HKCU\Software\Microsoft\Windows\CurrentVersion\Uninstall\Popcorn-Time [Popcorn Time] =>.SUP.PopcornTime BORRADOS clave^: [X64] HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\KMSpico Automatic Update Scheduler [] =>HackTool.KMSpico

—\ Resumen de elementos en su estación de trabajo (6) Sujet: Repaquetage et infection - Zone Antimalware =>Préférences Chromium KMSpico est un activateur de licence Microsoft. =>HackTool.KMSpico AutoKMS, Application Potentiellement Superflue. =>HackTool.AutoKMS Discord, Logiciel Potentiellement Superflu. - Zone Antimalware =>.SUP.Discord PopcornTime, Logiciel de partage Peer To Peer. - Zone Antimalware =>.SUP.PopcornTime WinActivator, Activateur de licence Windows. - Zone Antimalware =>HackTool.WinActivator

—\ Limpieza adicional. (18) ~ Clave de registro Tracing borrados (18) ~ Quitar los antiguos informes de ZHPCleaner. (0)

—\ Resultado de la reparación. ~ Reparación llevada a cabo con éxito ~ Google Chrome OK ~ Mozilla Firefox OK ~ Internet Explorer OK ~ El sistema ha sido reiniciado.

—\ STATISTIQUES ~ Items escaneado : 33080 ~ Items encontrado : 0 ~ artículos cancelados : 0 ~ Ahorro de espacio (bytes) : 0 ~ Items opciones : 9/17

—\ OPCIONES NO ACTIVAS ~ Análisis temporal de archivos ~ Análisis temporal de carpetas ~ Análisis de CLSID de carpetas vacías ~ Vaciar otro análisis de carpetas ~ Análisis de carpetas locales vacías ~ Análisis de carpetas locales vacías ~ Análisis de archivos de instalación obsoleto ~ Iniciar navegadores con extensiones eliminadas

~ End of clean in 00h01mn45s

—\ Reporte (2) ZHPCleaner-[S]-23102021-09_28_34.txt ZHPCleaner-[R]-23102021-15_27_50.txt

Hola de nuevo @DiegoP por favor ejecuta la siguiente herramienta y pega su reporte en tu próxima respuesta.

1 me gusta

Hola por aca, copio el informe. Gracias!

-------------------------------

Malwarebytes AdwCleaner 8.3.0.0

-------------------------------

Build: 06-29-2021

Database: 2021-10-08.3 (Cloud)

Support: https://www.malwarebytes.com/support

-------------------------------

Mode: Clean

-------------------------------

Start: 10-23-2021

Duration: 00:00:01

OS: Windows 10 Home

Cleaned: 6

Failed: 0

***** [ Services ] *****

No malicious services cleaned.

***** [ Folders ] *****

No malicious folders cleaned.

***** [ Files ] *****

No malicious files cleaned.

***** [ DLL ] *****

No malicious DLLs cleaned.

***** [ WMI ] *****

No malicious WMI cleaned.

***** [ Shortcuts ] *****

No malicious shortcuts cleaned.

***** [ Tasks ] *****

No malicious tasks cleaned.

***** [ Registry ] *****

Deleted HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\zonemap\domains\dospop.com Deleted HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\zonemap\domains\incredibar.com Deleted HKU.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings\zonemap\domains\dospop.com Deleted HKU.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings\zonemap\domains\incredibar.com Deleted HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings\zonemap\domains\dospop.com Deleted HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings\zonemap\domains\incredibar.com

***** [ Chromium (and derivatives) ] *****

No malicious Chromium entries cleaned.

***** [ Chromium URLs ] *****

No malicious Chromium URLs cleaned.

***** [ Firefox (and derivatives) ] *****

No malicious Firefox entries cleaned.

***** [ Firefox URLs ] *****

No malicious Firefox URLs cleaned.

***** [ Hosts File Entries ] *****

No malicious hosts file entries cleaned.

***** [ Preinstalled Software ] *****

No Preinstalled Software cleaned.


[+] Delete Tracing Keys [+] Reset Winsock


AdwCleaner[S00].txt - [4264 octets] - [23/10/2021 19:13:07]

########## EOF - C:\AdwCleaner\Logs\AdwCleaner[C00].txt ##########

Bien @DiegoP , cómo sigue el problema por el cual iniciaste el tema?

Salu2.

1 me gusta

Hola Emanuel, me tome unos días para responder. Hasta ahora no volvió a aparecer el problema. Tal vez se arreglo luego de estos pasos.

Muchas gracias por tu ayuda!

Hola, @DiegoP Ejecuta la siguiente herramienta según indica su manual marcando todas sus casillas.

Damos este tema como solucionado.

Saludos.

1 me gusta