¿El CP1WQt4f.exe es un Troyano? (SOLUCIONADO)

[The Dobermann]

Hola..., Detecto en mi PC un archivo que se repite continuamente en la lista de Scheduled task de mi WinPatrol y es el CP1WQt4f.exe. He buscado por todos lados información para saber si se trata de un troyano o no pero no obtengo respuesta alguna. De hecho con mi antivirus NOD32 detecté el C:\windows.0\system32\cp1wqt4f.exe el día de hoy, pero mi WinPatrol detectó este archivo desde hace dos meses. Ya eliminé este virus por medio del NOD32 pero aún aparece el CP1WQt4f.exe en el WinPatrol con modalidades At4.job, At1.job..., etc hasta el At22.job.

La verdad no sé qué hacer :roll: ¿Podrían ayudarme al respecto?

Gracias de antemano por su atención. :D

[msc hotline sat]

Pues envianos dicho fichero para analizar, :



[b][i]C:\windows.0\system32\cp1wqt4f.exe[/i][/b]





->[b] Para ello recordar[/b]: https://foros.zonavirus.com/viewtopic.php?f=2&t=45334





y tras analizarlo informaremos.



saludos



ms, 6-2-2008

[The Dobermann]

Hola de nuevo....,





Lo lamento :( pero cuando el antivirus NOD32 me advirtió de la presencia del C:\windows.0\system32\cp1wqt4f.exe me notificó también que era una Variante Modificada del Win32/TrojanDownloader.Firu[Troyano] y me dió como única opción Eliminar y así lo hice. Estaba ubicado en el Módulo Kernel (sinceramente no sé a qué se refiere con eso :( )

Al leer vuestra respuesta procedí a enviar el fichero cp1wqt4f. exe como vosotros me lo habeis pedido pero cuando lo busque en la carpeta system32 de C:\WINDOWS.0\system32 ya no estaba, pienso yo que el NOD32 ya lo había elminado, más sin embargo sigue apareciendo el nombre de CP1WQT4f en mi WinPatrol.



Agradezco sinceramente la ayuda proporcionada..., ojalá pueda vos explicarme porque aún aparece ese registro en mi WinPatrol en varios modos At.job. :D



Saludos.




[quote="msc hotline sat"]Pues envianos dicho fichero para analizar, :



[b][i]C:\windows.0\system32\cp1wqt4f.exe[/i][/b]





->[b] Para ello recordar[/b]: https://foros.zonavirus.com/viewtopic.php?f=2&t=45334





y tras analizarlo informaremos.



saludos



ms, 6-2-2008[/quote]

[msc hotline sat]

Quizas haya claves en el registro que apunten a dicho fichero eliminado ...



Puedes mirar si aparece en el log del HJT o probar el BUSCAREG y ver si encuentra claves que contengan dicho nombre


[quote][b]

[color=yellow]HJT : (HiJackThis)[/color][/b]



[i]¿Como utilizar el Hijackthis ?[/i]

Lo primero que debemos hacer es descargarlo en nuestro ordenador y ubicarlo en una carpeta propia C:\HijackThis\

Ejecútarlo y presionar el botón "[b]Do a system scan and save a logfile[/b]"; el programa realizará el escaneo e inmediatamente generará el Log, sólo te pedira el nombre del archivo y su ubicación, puedes simplemente guardarlo así como está.

Se abrirá el Bloc de Notas, copia todo el contenido y pégalo como respuesta de este Tema

· [url=http://www.zonavirus.com/descargas/trendmicro-hijackthis.asp][b]Descargar Hijackthis[/b][/url] [/quote]



y para el BUSCAREG:




[quote][size=150][color=darkblue][b]BuscaReg[/b][/color][/size] (SATInfo)

Busca una cadena dentro del registro de windows, una vez encontradas permite borrarlas con tan solo pinchar encima de cada entrada encontrada, ademas realiza la exportacion de las claves eliminadas por si se necesitan restaurar las claves borradas.



[url=http://www.zonavirus.com/descargas/buscareg.asp][b]Descargar BuscaReg[/b][/url][/quote]



saludos



ms, 6-2-2008

[The Dobermann]

[i][b]Hola de nuevo, msc hotline sat.[/b][/i]





Hice exactamente lo que me sugeriste, esta es la copia del registro del HJT:







[b]Logfile of HijackThis v1.99.1

Scan saved at 18:30:30, on 07/02/2008

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)



Running processes:

C:\WINDOWS.0\System32\smss.exe

C:\WINDOWS.0\system32\winlogon.exe

C:\WINDOWS.0\system32\services.exe

C:\WINDOWS.0\system32\lsass.exe

C:\WINDOWS.0\system32\Ati2evxx.exe

C:\WINDOWS.0\system32\svchost.exe

C:\WINDOWS.0\System32\svchost.exe

C:\WINDOWS.0\system32\spoolsv.exe

C:\WINDOWS.0\system32\Ati2evxx.exe

C:\Archivos de programa\Comodo\Firewall\cmdagent.exe

C:\WINDOWS.0\Explorer.EXE

C:\Archivos de programa\Eset\nod32krn.exe

C:\WINDOWS.0\system32\svchost.exe

C:\WINDOWS.0\Mixer.exe

C:\Archivos de programa\Eset\nod32kui.exe

C:\Archivos de programa\BillP Studios\WinPatrol\winpatrol.exe

C:\Archivos de programa\Comodo\Firewall\CPF.exe

C:\Archivos de programa\Windows Media Player\wmplayer.exe

C:\Archivos de programa\MSN Messenger\msnmsgr.exe

C:\Archivos de programa\Internet Explorer\iexplore.exe

C:\Archivos de programa\WinRAR\WinRAR.exe

C:\WINDOWS.0\TEMP\Rar$EX00.323\HijackThis.exe



R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.5.0_06\bin\ssv.dll

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS.0\system32\NeroCheck.exe

O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup

O4 - HKLM\..\Run: [nod32kui] "C:\Archivos de programa\Eset\nod32kui.exe" /WAITSERVICE

O4 - HKLM\..\Run: [WinPatrol] C:\Archivos de programa\BillP Studios\WinPatrol\winpatrol.exe

O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime Alternative\qttask.exe" -atboottime

O4 - HKLM\..\Run: [COMODO Firewall Pro] "C:\Archivos de programa\Comodo\Firewall\CPF.exe" /background

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_06\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_06\bin\ssv.dll

O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O17 - HKLM\System\CCS\Services\Tcpip\..\{B76DA8A3-417C-413D-9EE0-5F0465C41B16}: NameServer = 200.33.146.161 200.33.146.153

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS.0\system32\Ati2evxx.exe

O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS.0\system32\ati2sgag.exe (file missing)

O23 - Service: Comodo Application Agent (CmdAgent) - COMODO - C:\Archivos de programa\Comodo\Firewall\cmdagent.exe

O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Archivos de programa\Eset\nod32krn.exe[/b]





Y también puse en operación el BUSCAREG y le di buscar C:\windows.0\system32\cp1wqt4f.exe pero no encontró nada al respecto.





Muchas gracias y saludos.

[msc hotline sat]

El log está limpio, y con el BUSCAREG debes buscar solo el nombre, no la ruta, ya que esta puede ser omitida en la clave, o sea, entra [b][i]cp1wqt4f.exe[/i][/b] o incluso [b][i]cp1wqt4f[/i][/b]. luego si encuantra alguna, haz doble click sobre lo encontrado y mira la clave en cuestion , y la eliminas como te ofrecerá.



saludos



ms, 8-2-2008

[The Dobermann]

[i][b]Hola de nuevo, mi buen msc hotline sat.[/b][/i]





Realicé la búsqueda nuevamente con el BUSCAREG tal y como me lo indicaste y no hallé absolutamente nada.

Y me tranquilizas al decirme que el registro del HJT está limpio.

Además he utilizado el CCleaner y el TuneUp Utilities 2006 y al parecer no hay problema que perseguir en mi PC.

Creo que el problema ha quedado resuelto.

Te agradezco mucho tus atenciones y espero sigamos en contacto.

Un abrazo y hasta pronto.







[i][b]The Dobermann[/b][/i]

[msc hotline sat]

Pues damos el Tema por solucionado y procedemos a cerrarlo



Si nos necesitas de nuevo, ya sabes donde estamos



saludos



ms, 8-2-2008