Supuesto troyano detectado con virusTotal

Manu1 · 13 Mayo, 2020 16:02

Hola, el motivo de este escrito es que no sé si tengo un falso positivo detectado por herramientas online o verdaderamente hay algo oculto que desconozco. Resulta que tengo instalada una aplicación (glasswire) que revisa el tráfico de mi red y las que son aplicaciones las envia a escanear online al servidor virustotal para saber si ejecutan codigo extraño, y de los 70 supuestos antivirus online que tiene uno a detectado que tengo un troyano.

Seguidamente le he pasado el antivirus windefender , y Malwarebytes pero no detectan nada extraño en los arhivos detectados, por lo que no no se que hacer.

|SHA256:|c13db5e0c64bfc2392cb477ae33cc924ed878f521b839003dfa295b3f2d39c29|
| --- | --- |
|File type:|EXE|
|Copyright:|Adobe Systems|
|Version:|1.824.36.9436---1.824.36.9436|
|Shell or compiler:|COMPILER:Microsoft Visual Studio .NET 2005 -- 2008 -> Microsoft Corporation [Overlay] *|

##### File [image]

|Behaviour:|Find file|
| --- | --- |
|Detail info:|FileName = C:\WINDOWS

FileName = C:\WINDOWS\WinSxS

FileName = C:\WINDOWS\WinSxS\x86_Microsoft.VC90.CRT_1fc8b3b9a1e18e3b_9.0.30729.1_x-ww_6f74963e\MSVCR90.dll|

##### Registry [image]

|Behaviour:|Modify registry|
| --- | --- |
|Detail info:|\REGISTRY\MACHINE\SOFTWARE\Adobe\Adobe ARM\1.0\ARM\iLastSvcSuccess|

##### Other [image]

|Behaviour:|Open event|
| --- | --- |
|Detail info:|HookSwitchHookEnabledEvent|
|Behaviour:|Create mutex|
|Detail info:|CTF.LBES.MutexDefaultS-*

CTF.Compart.MutexDefaultS-*

CTF.Asm.MutexDefaultS-*

CTF.Layouts.MutexDefaultS-*

CTF.TMD.MutexDefaultS-*

CTF.TimListCache.FMPDefaultS-*MUTEX.DefaultS-*|




KernelBase.dll! GetProcAddress #misc (#1368) armsvc.exe

Arguments:

{"lpProcName":"DecodePointer","hModule":"KernelBase.dll"}

Returned value:

0x77949d35

KernelBase.dll! GetProcAddress #misc (#1368) armsvc.exe

Arguments:

{"lpProcName":"DecodePointer","hModule":"KernelBase.dll"}

Returned value:

0x77949d35

KernelBase.dll! GetProcAddress #misc (#1368) armsvc.exe

Arguments:

{"lpProcName":"EncodePointer","hModule":"KernelBase.dll"}

Returned value:

0x77950fcb

KernelBase.dll! GetProcAddress #misc (#1368) armsvc.exe

Arguments:

{"lpProcName":"DecodePointer","hModule":"KernelBase.dll"}

Returned value:

0x77949d35

KernelBase.dll! GetTickCount #highlight (#1368) armsvc.exe

Arguments:

{}

Returned value:

0x5840c

KernelBase.dll! GetProcAddress #misc (#1368) armsvc.exe

Arguments:

{"lpProcName":"SetDefaultDllDirectories","hModule":"kernel32.dll"}

Returned value:

0x0

ntdll.dll! NtOpenFile #native (#1368) armsvc.exe

Arguments:

{"FileHandle":"0x174","objectName":"\\??\\C:\\Windows"}

Returned value:

0x0

ntdll.dll! NtOpenKey #native (#1368) armsvc.exe

Arguments:

{"OpenOptions":"0x2ef67c","KeyHandle":"0x1c","objectName":"\\Registry\\Machine\\Software\\Microsoft\\Windows\\Windows Error Reporting\\WMR","DesiredAccess":"0x1"}

Returned value:

0x0

ntdll.dll! NtCreateKey #native (#1368) armsvc.exe

Arguments:

{"CreateOptions":"0x0","objectName":"SOFTWARE\\Adobe\\Adobe ARM\\1.0\\ARM","DesiredAccess":"0xf003f","KeyHandle":"0x1c","TitleIndex":"0x0","CreateDisposition":"0x2efafc","Class":"0x2efd08"}

Returned value:

0x0

kernel32.dll! RegCreateKeyExW #registry (#1368) armsvc.exe

Arguments:

{"samDesired":"0xf003f","hKey":"HKEY_LOCAL_MACHINE","dwOptions":"0x0","phkResult":"","lpClass":"0x0","lpSubKey":"SOFTWARE\\Adobe\\Adobe ARM\\1.0\\ARM"}

Returned value:

0x0

KernelBase.dll! GetTickCount #highlight (#1368) armsvc.exe

Arguments:

{}

Returned value:

0x5840c

kernel32.dll! RegSetValueExW #registry (#1368) armsvc.exe

Arguments:

{"hKey":"SOFTWARE\\Adobe\\Adobe ARM\\1.0\\ARM","lpData":"361484","cbData":"0x4","dwType":"4","lpValueName":"iLastSvcSuccess"}

Returned value:

0x0

ntdll.dll! NtQueryAttributesFile #native (#1368) armsvc.exe

Arguments:

{"objectName":"\\??\\C:\\Windows\\system32\\rpcss.dll"}

Returned value:

0xc0000034

ntdll.dll! NtQueryAttributesFile #native (#1368) armsvc.exe

Arguments:

{"objectName":"\\??\\C:\\Windows\\system32\\rpcss.dll"}

Returned value:

0xc0000034

KernelBase.dll! GetProcAddress #misc (#1368) armsvc.exe

Arguments:

{"lpProcName":"DecodePointer","hModule":"KernelBase.dll"}

Returned value:

0x77949d35

KernelBase.dll! GetProcAddress #misc (#1368) armsvc.exe

Arguments:

{"lpProcName":"DecodePointer","hModule":"KernelBase.dll"}

Returned value:

0x77949d35

KernelBase.dll! GetProcAddress #misc (#1368) armsvc.exe

Arguments:

{"lpProcName":"EncodePointer","hModule":"KernelBase.dll"}

Returned value:

0x77950fcb

KernelBase.dll! GetProcAddress #misc (#1368) armsvc.exe

Arguments:

{"lpProcName":"DecodePointer","hModule":"KernelBase.dll"}

Returned value:

0x77949d35

KernelBase.dll! GetProcAddress #misc (#1368) armsvc.exe

Arguments:

{"lpProcName":"DecodePointer","hModule":"KernelBase.dll"}

Returned value:

0x77949d35

KernelBase.dll! GetProcAddress #misc (#1368) armsvc.exe

Arguments:

{"lpProcName":"DecodePointer","hModule":"KernelBase.dll"}

Returned value:

0x77949d35

KernelBase.dll! GetProcAddress #misc (#1368) armsvc.exe

Arguments:

{"lpProcName":"EncodePointer","hModule":"KernelBase.dll"}

Returned value:

0x77950fcb

KernelBase.dll! GetProcAddress #misc (#1368) armsvc.exe

Arguments:

{"lpProcName":"DecodePointer","hModule":"KernelBase.dll"}

Returned value:

0x77949d35

Daniela · 13 Mayo, 2020 16:11

Hola @Manu1

Si solo lo detecta uno incluso si fueran 5 es un falso positivo y si te fijas, ni siquiera lo detecta un antivirus conocido.

Comenta si queda dudas.

Un saludo

Manu1 · 13 Mayo, 2020 16:22

Hola Daniela entonces debo entender que estos antivirus online no son del todo seguros y los que tengo instalados que he mencionado anteriormente sí lo son.

saludos.

Daniela · 13 Mayo, 2020 16:40

Hola

La imagen que has puesto supongo que es de VirusTotal, hay 70 antivirus que la mayoría no son ni conocidos, si tuvieras una detección de 10/70 y los antivirus fueran Eset, Avast, Kaspersky, Malwarebytes, por ponerte un ejemplo, hay muchos más en los que se puede confiar, entonces si te diría que es un troyano, por lo demás puedes estar tranquilo, ya ves que Malwarebytes y Windows Defender salen limpios.

Un saludo

Manu1 · 13 Mayo, 2020 16:55

Gracias por la aclaración. Saludos.

Daniela · 13 Mayo, 2020 21:30

Hola @Manu1

Me alegro haber resuelto tus dudas

Para cualquier otro problema, no dudes en volver a postear., ya sabes dónde estamos.

Un saludo