!No se deja este!.. C:\2.Exe Trojan Horse PS. Generic2 ACBM

[kalakaflaca]

--Mis amigos....entrando a xp el AVG me muestra esto:

C:\2.Exe Trojan Horse PS. Generic2 ACBM

Creanme que he hecho esto: en modo seguro el DlPSGuard, SDFix, el AVG, Spybot, Adaware..tambien el Regseeker y Diskclean y aun me sigue mostrando esta jalada cuando entro al Windows XP. Me fije en el registro( regedit,misconfig e inicio para ver y me muestra estas entradas que las elimino y vuelven a ponerse otra vez y la verdad no se como eliminarlas..son estas:

*********************************************************

Supervise C:\WINDOWS\System...HKCU\Software\Microsoft\Windows\Current Vers..y esta otra:

Death C:\WINDOWS\System...HKCU\Software\Microsoft\Windows\Current Vers.

********************************************************

En Mi PC..Disco Local me muestran 3 ventanitas o cuadros azules con blanco y botoncitos ( creo que se llaman ejecutables o no estoy seguro)cada una dice : 1.EXE....3.EXE y 4.EXE....las borro y se vuelven a aparecer...se me hace que esto es el problema tambien.. si alguno de ustedes puede decirme por favor como eliminar estas entradas en Mi PC y recomendarme un efectivo antispyware que de verdad me saque esta clase de maldito virus o alguna forma para quitarmelo se lo voy a agradecer de a deveras.

Sinceramente,

Kalakaflaca

PS. Tengo el AVG version gratis y el Filesclab firewall nadamas.

[Nuker]

Pues envienos dichos ficheros que dices para su analisis y asi poder proceder. Envienos todos los que encuentre sospechosos.



COMO ENVIAR:





https://foros.zonavirus.com/viewtopic.php?f=2&t=45334



saludos

[msc hotline sat]

Paralelamente, lanza el HJT y posteanos el log:



[b]

[color=yellow]HJT : (HiJackThis)[/color][/b]



[i]¿Como utilizar el Hijackthis ?[/i]

Lo primero que debemos hacer es descargarlo en nuestro ordenador y lócalo en una carpeta propia C:\HijackThis\

Ejecútalo y presiona el botón "[b]Do a system scan and save a logfile[/b]"; el programa realizará el escaneo e inmediatamente generará el Log, sólo te pedira el nombre del archivo y su ubicación, puedes simplemente guardarlo así como está.

Se abrirá el Bloc de Notas, copia todo el contenido y pégalo como respuesta de este Tema

· [url=http://www.zonavirus.com/descargas/trendmicro-hijackthis.asp][b]Descargar Hijackthis[/b][/url]



Tras analizarlo, informaremos



saludos



ms, 24-01-2007

[kalakaflaca]

Estimados Amigos, este es el reporte que salio con el HJT, espero que por favor me digan cuales entradas son malas para borrarlas.

De nueva cuenta mil gracias por la ayuda que me estan dando en mi problema.

Sinceramente,

Kalakaflaca

Opss!..se me pasaba decir que a cada rato me sale este mensaje pidiendo permiso para entrar..pero no se si es maligno..y esta saleindo a cada rato!..aunque le doy bloquear sigue saliendo:

********************************************

SYSTEM via protocol HTTP, Port 1561 wants to access 212.34.138.225; Port 80:http. Grant access?

*********************************************



Logfile of HijackThis v1.99.1

Scan saved at 3:14:08, on 24/01/2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\Archivos de programa\Filseclab\xfilter\xfilter.exe

C:\ARCHIV~1\Grisoft\AVGFRE~1\avgcc.exe

C:\WINDOWS\system32\Supervise.exe

C:\WINDOWS\system32\Death.exe

C:\WINDOWS\system32\Supervise.exe

C:\Archivos de programa\MSN Messenger\msnmsgr.exe

C:\Archivos de programa\Archivos comunes\Filseclab\FilMsg.exe

C:\ARCHIV~1\Grisoft\AVGFRE~1\avgamsvr.exe

C:\ARCHIV~1\Grisoft\AVGFRE~1\avgupsvc.exe

C:\ARCHIV~1\Grisoft\AVGFRE~1\avgemc.exe

C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7DEBUG\MDM.EXE

C:\WINDOWS\system32\RpcScvb.exe

C:\WINDOWS\system32\svchost.exe

C:\Archivos de programa\Yahoo!\Messenger\ymsgr_tray.exe

C:\Archivos de programa\Mozilla Firefox\firefox.exe

C:\WINDOWS\system32\wscntfy.exe

C:\Program Files\Microsoft\svhost32.exe

C:\Program Files\Microsoft\svhost32.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\msiexec.exe

C:\Archivos de programa\Internet Explorer\IEXPLORE.EXE

C:\Documents and Settings\Personal\Escritorio\hijackthis\HijackThis.exe



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://google.com/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos

R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Archivos de programa\Yahoo!\Companion\Installs\cpn0\yt.dll

O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Archivos de programa\Yahoo!\Companion\Installs\cpn0\yt.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll

O2 - BHO: Yahoo! IE Services Button - {5BAB4B5B-68BC-4B02-94D6-2FC0DE4A7897} - C:\Archivos de programa\Yahoo!\Common\yiesrvcmx.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.5.0_09\bin\ssv.dll

O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Archivos de programa\Yahoo!\Companion\Installs\cpn0\yt.dll

O4 - HKLM\..\Run: [XFILTER] "C:\Archivos de programa\Filseclab\xfilter\xfilter.exe" -a

O4 - HKLM\..\Run: [AVG7_CC] "C:\ARCHIV~1\Grisoft\AVGFRE~1\avgcc.exe" /STARTUP

O4 - HKLM\..\Run: [ms] C:\Program Files\Microsoft\svhost32.exe

O4 - HKCU\..\Run: [Supervise.exe] C:\WINDOWS\system32\Supervise.exe

O4 - HKCU\..\Run: [Death.exe] C:\WINDOWS\system32\Death.exe

O4 - HKCU\..\Run: [Yahoo! Pager] "C:\Archivos de programa\Yahoo!\Messenger\YahooMessenger.exe" -quiet

O4 - HKCU\..\Run: [msnmsgr] "C:\Archivos de programa\MSN Messenger\msnmsgr.exe" /background

O4 - Global Startup: Filseclab Messenger.lnk = ?

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_09\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_09\bin\ssv.dll

O9 - Extra button: Yahoo! Servicios - {5BAB4B5B-68BC-4B02-94D6-2FC0DE4A7897} - C:\Archivos de programa\Yahoo!\Common\yiesrvcmx.dll

O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Investigador - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Encarta Researcher\EROPROJ.DLL

O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL

O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\Archivos de programa\Yahoo!\Messenger\YahooMessenger.exe

O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\Archivos de programa\Yahoo!\Messenger\YahooMessenger.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O10 - Unknown file in Winsock LSP: c:\archivos de programa\filseclab\xfilter\xfilter.dll

O10 - Unknown file in Winsock LSP: c:\archivos de programa\filseclab\xfilter\xfilter.dll

O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Archivos de programa\Yahoo!\Common\yinsthelper.dll

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\ARCHIV~1\MSNMES~1\MSGRAP~1.DLL

O20 - Winlogon Notify: WRNotifier - C:\WINDOWS\SYSTEM32\WRLogonNTF.dll

O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\ARCHIV~1\Grisoft\AVGFRE~1\avgamsvr.exe

O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\ARCHIV~1\Grisoft\AVGFRE~1\avgupsvc.exe

O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\ARCHIV~1\Grisoft\AVGFRE~1\avgemc.exe

O23 - Service: Remote Procedure Call System(RPCScvb) (RpcScfgb) - Unknown owner - C:\WINDOWS\system32\RpcScvb.exe

[Nuker]

Favor de enviar muestras de estos ficheros.



FICHEROS A ENVIAR:



C:\WINDOWS\system32\[b]Supervise.exe [/b]

C:\WINDOWS\system32\[b]Death.exe [/b]

C:\WINDOWS\system32\[b]Supervise.exe [/b]



C:\Program Files\Microsoft\[b]svhost32.exe [/b]

C:\Program Files\Microsoft\[b]svhost32.exe [/b]



COMO ENVIAR ?:



https://foros.zonavirus.com/viewtopic.php?f=2&t=45334



Eso por ahora, ya te diran a que hacer fix.

[msc hotline sat]

En primer lugar, siendo Vd de Mexico, la IP desde donde le intentan acceder es de Madrid:



212.34.138.225 ES Spain 29 Madrid Madrid 40.4000 -3.6833 Ran Internet Ran Internet



Si no los conoce, impida su acceso, claro



Y sobre el log del HJT, aun antes de recibr las muestras, ya podemos indicar que elimine estas claves:



O4 - HKLM\..\Run: [ms] C:\Program Files\Microsoft\svhost32.exe



O4 - HKCU\..\Run: [Supervise.exe] C:\WINDOWS\system32\Supervise.exe



O4 - HKCU\..\Run: [Death.exe] C:\WINDOWS\system32\Death.exe





recordar: https://foros.zonavirus.com/viewtopic.php?f=2&t=45334





Una vez recibidas las muestras, las analizaremoe e informaremos



saludos



ms, 25-01-2007