problema con death.exe y supervise.exe (CERRADO)

[jotadesign]

Hola tengo un problema en mi pc con un virus al parecer nuevo ya que no nencuentro informacion acerca de el .. es death.exe y supervise.exe

este virus me genero unos archivos en el raiz 1.exe 2.exe y 3.exe

dentro de windows me genero algunos archivos .exe

dentro del system32

svch0st.exe

supervise.exe

death.exe

ya le pase adware spybot y demas pero no logro borrar desactivo desde msconfig y se vuelve a colocar una ayuda please

[msc hotline sat]

Pues envienos estos ficheros para analizar:


svch0st.exe
supervise.exe
death.exe

recuerde: viewtopic.php?f=2&t=45334

y mientras posteenos el log del HJT para que le podamos ofrecer una solucion provisional:

HJT : (HiJackThis)

¿Como utilizar el Hijackthis ?
Lo primero que debemos hacer es descargarlo en nuestro ordenador y lócalo en una carpeta propia C:\HijackThis\
Ejecútalo y presiona el botón "Do a system scan and save a logfile"; el programa realizará el escaneo e inmediatamente generará el Log, sólo te pedira el nombre del archivo y su ubicación, puedes simplemente guardarlo así como está.
Se abrirá el Bloc de Notas, copia todo el contenido y pégalo como respuesta de este Tema
· Descargar Hijackthis

Tras analizarlo, informaremos

saludps

ms, 27-01-2007

[jotadesign]

aqui dejo mi log del hjt



Logfile of HijackThis v1.99.1

Scan saved at 09:31:23 a.m., on 29/01/2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\csrss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\system32\SVCH0ST.EXE

C:\WINDOWS\system32\Supervise.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\alg.exe

C:\WINDOWS\system32\wuauclt.exe

D:\spyware\HijackThis.exe

C:\WINDOWS\system32\Supervise.exe

C:\Program Files\Microsoft\svhost32.exe

C:\Archivos de programa\Internet Explorer\iexplore.exe

C:\Archivos de programa\Internet Explorer\IEXPLORE.EXE

C:\Archivos de programa\Corel\CorelDRAW Graphics Suite 13\Programs\CorelDRW.exe

C:\Archivos de programa\MSN Messenger\msnmsgr.exe

D:\spyware\HijackThis.exe

C:\WINDOWS\system32\Supervise.exe

D:\spyware\HijackThie1L1.exe

C:\3.EXE



O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.5.0_10\bin\ssv.dll

O2 - BHO: CIEObjectObj Object - {CA13D72F-2DAC-4D99-B08D-C5EA1C920E89} - C:\WINDOWS\libxml.dll

O4 - HKLM\..\Run: [ms] C:\Program Files\Microsoft\svhost32.exe

O4 - HKCU\..\Run: [Supervise.exe] C:\WINDOWS\system32\Supervise.exe

O4 - HKCU\..\Run: [Death.exe] C:\WINDOWS\system32\Death.exe

O4 - HKCU\..\Run: [msnmsgr] "C:\Archivos de programa\MSN Messenger\msnmsgr.exe" /background

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_10\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_10\bin\ssv.dll

O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~1\OFFICE11\REFIEBAR.DLL

O16 - DPF: {7B297BFD-85E4-4092-B2AF-16A91B2EA103} (WScanCtl Class) - http://www3.ca.com/securityadvisor/virusinfo/webscan.cab

O16 - DPF: {BD8667B7-38D8-4C77-B580-18C3E146372C} (Creative Toolbox Plug-in) - http://caebmm.imgag.com/imgag/cp/install/crusher-cae.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{EC4601B9-0CC7-4E5F-96C8-694F982550EB}: NameServer = 200.48.225.130,200.48.225.146

O23 - Service: Remote Procedure Call System(RPCScvb) (RpcScfgb) - Unknown owner - C:\WINDOWS\system32\RpcScvb.exe (file missing)



PD. trate de pasar elistara pero despues de pasar varios spybot ad-Adware pero me sale un mensaje que el archivo fue modificado por un virus y no se puede ejecutar .-. Gracias

[msc hotline sat]

Señal que tienes un virus infector pululando y el ELISTARA detecta haber sido modificadol gracias al checksum con el que lo protegemos !

Las demas utilidades indicadas tambien deben estar infectadas, pero no se enteran...

De entrada, veo esto que voy a mirar si hay conocimiento, pero de entrada es un malware seguro, ya que el fichero tiene el nombre alterado, la O es un 0 ...

C:\WINDOWS\system32\SVCH0ST.EXE

Sí, es un SDBOT que esta controlado por el ELITRIIP :

ELITRIIP

---v3.09---(24 de Enero del 2007) (Muestras de (3)BackDoor.CMQ "SMSS.EXE", (2)Sdbot.worm.gen "SVCCHOST.EXE y SVCH0ST.EXE" y Proxy.Horst "SVCHOST.EXE")

_____


El siguiente fichero Supervise.exe probablemente es un Downloader:

VirusTotal :

STATUS: FINISHEDComplete scanning result of "Supervise.exe", received in VirusTotal at 01.22.2007, 21:24:43 (CET).

Antivirus Version Update Result
AntiVir 7.3.0.26 01.22.2007 TR/Delphi.Downloader.Gen
Authentium 4.93.8 01.22.2007 Possibly a new variant of W32/Downloader-WebExe-based!Maximus
Avast 4.7.936.0 01.22.2007 Win32:Hupigon-UM
AVG 386 01.22.2007 no virus found
BitDefender 7.2 01.22.2007 Generic.Malware.SP!Pk!g.142DA57C
CAT-QuickHeal 9.00 01.22.2007 no virus found
ClamAV devel-20060426 01.22.2007 Trojan.Killav-33
DrWeb 4.33 01.22.2007 DLOADER.Trojan
eSafe 7.0.14.0 01.21.2007 no virus found
eTrust-InoculateIT 23.73.119 01.22.2007 no virus found
eTrust-Vet 30.3.3343 01.22.2007 no virus found
Ewido 4.0 01.22.2007 Heuristic.Win32.AVKiller
Fortinet 2.82.0.0 01.22.2007 PossibleThreat!020621
F-Prot 3.16f 01.22.2007 Possibly a new variant of W32/Downloader-WebExe-based!Maximus
F-Prot4 4.2.1.29 01.22.2007 W32/Downloader-WebExe-based!Maximus
Ikarus T3.1.0.27 01.22.2007 no virus found
Kaspersky 4.0.2.24 01.22.2007 Trojan-Downloader.Win32.Delf.ben
McAfee 4945 01.22.2007 no virus found
Microsoft 1.1904 01.22.2007 no virus found
NOD32v2 1997 01.22.2007 no virus found
Norman 5.80.02 01.22.2007 W32/DLoader.BUWC
Panda 9.0.0.4 01.22.2007 Suspicious file
Prevx1 V2 01.22.2007 Malware:SysCovert
Sophos 4.13.0 01.20.2007 no virus found
Sunbelt 2.2.907.0 01.22.2007 no virus found
TheHacker 6.0.3.154 01.22.2007 no virus found
UNA 1.83 01.22.2007 no virus found
VBA32 3.11.2 01.22.2007 no virus found
VirusBuster 4.3.19:9 01.22.2007 no virus found


Aditional Information
File size: 99328 bytes
MD5: bd67f844cf35e98ad13e27585e38da58
SHA1: 875fd488cf1ed7fd008ed9109bc0bcaab871c3d5

Cuando recibamos la muestra al respecto, pasaremos a controlarlo.

_____


En tercer lugar vemos otro picaresco SVHOST.EXE, esta vez en carpeta impropia: C:\Program Files\Microsoft\svhost32.exe

_____


Enviarnos tambien muestra de dicho fichero:

C:\Program Files\Microsoft\svhost32.exe

______

Este nombre no sé si es voluntariamente erroneo o qué ???:

D:\spyware\HijackThie1L1.exe

pero si no eres consciente de él, envianoslo para analizar

______

Este 3.exe es desconocido, envianos muestra para analizar:

C:\3.EXE

_______

Llegamos a este fichero,

C:\WINDOWS\libxml.dll

del que ya se te pidió muestras en:

viewtopic.php?f=13&t=12587

la enviaste ???

sino, hazlo ahora:

C:\WINDOWS\libxml.dll

______

me comentan los tecnicos de investigación y desarrollo que has enviado dos ficheros 1,EXE y 2.EXE, que aunque no hemos llegado a ellos en el HJT resultan ser malwares (PWS) y se añaden al ELISTARA de hoy, pero siguen faltando las muestras pedidas anteriormente y los que se piden ademas en este post, Svchost,exe de la carpeta de C:\Program Files\Microsoft\svhost32.exe y el C:\3.EXE


_______

Y sobre lo que indicas de que no los encuentras, mira los que tienes en proceso, estos has de tenerlos por fuerza, pues sino no lo estarían !

Puede que estén ocultos o con atributo de sistema, mira a tal efecto :

viewtopic.php?f=5&t=13245

Tan pronto como nos los envies los analizaremos e implementaremos su control en nuestras utilidades.

saludos

ms, 29-01-2007

[jotadesign]

agradesco el interes por dar solucion ami problema vaya por eso siempre me gusto este foro aunque de tener algun tiempo registrado no puse muchos mensajes ya que los post de eliminacion de spyware y antivirus siempre me dieron resultado pero en las batallas dificiles estan para apoyar grax .



volviendo al tema acabo de enviar los ficheros svhost32 hijackthis1 libxml.dll y aparec}ieron2 nuevos archivos en c/ dfinstall y Persi0.sys que no lo pude enviar porque cuando adjunto me dice que es de sistema y esta en uso .



Pd. cuando abro el administrador de tareas el svhost esta repetido como 10 veces , Gracias por su ayuda

[msc hotline sat]

Para enviarnos los ficheros en cuestion, mira de arrancar en modo seguro y copiarlos a un disquete. Luego arrancando normal ya nos los enviaras segun instrucciones:

viewtopic.php?f=5&t=45334

Sobre el SVCHOST.EXE, si está lanzado desde la carpeta de sistema, es el lanzador de aplicaciones, y es normal que esté varias veces, tamtas como aplicaciones se hayan lanzado a través de él.

AL respecto mira esta informacion:

EXPLICACION SOBRE SVCHOST MALWARE
El SVCHOST.EXE es, originalmente, el lanzador de tareas del windows, pero debe estar en la carpeta de sistema, C:\windows\system32 si es XP

Como que son varias las aplicaciones que se lanzan en el inicio a través de este lanzador, aparecerá en el Administrador de tareas varias veces, pasando desapercibido si hay uno mas o uno menos.

Por ello es aprovechado por los coders para usar este nombre ocultando su gusano, si bien no puede estar en la misma carpeta que el original con el mismo nombre, y lo ponen en una cerca, o la previa de C:\windows o en una posterior como por ejemplo c:\windows\system32 \drivers, por ejemplo...

En otros casos utilizan la misma carpeta, pero cambiando ligeramente el nombre, por ejemplo utilizando SCVHOST en lugar de SVCHOST, para pasar desapercibido y otros nombres o combinaciones alfanumericas que se preste a confusion, como SVCH0ST que no es el SVCHOST ya que la O es un cero. etc.

Pero aun siendo normal puede que la aplicacion lanzada sea malware, por lo que siempre se ha de disponer de un buen antivirus y de los parches de microsoft instalados y actualizados, lo cual puede ser motivo de incidencias en caso contrario

Y con lo indicado se da por aclarado el uso del nombre SVCHOST por los malwares.

saludos

ms, 30-01-2007

[maurox]

Siento la entromision pero creo haber encontrado una solucion, aunque un poco rudimentaria.

Antes tengo que aclarar que no encontre en ningun lado los ejecutables 1.exe, 2.exe, 3.exe u otro pero el resto si estaba, quisiera tener una copia de ellos para analizarlos y ademas que "sintomas" presenta la pc.



- Al ejecutar el administrador de tareas de windows (crtl+alt+supr) y al intentar detener el death.exe se puede ver claramente que este vuelve ha ejecutarse y se crea un nuevo supervise tantas veces como detenciones ejecutemos sobre death.exe.



- Apareceran otras aplicaciones svchost.exe o de nombre muy similar:

- Primero que nada se deben detener todas las aplicaciones supervice

- Luego, hay varias aplicaciones con nombre similar a svchost.exe que pertenecen a usuarios distintos:

SERVIDOR LOCAL

Servicio de red

SYSTEM

Servicio de red

SERVICIO LOCAL

y probablemente los del del virus propiamente dicho con nombres de imagen similares (como svch0st.exe)



En fin, lo que hay que hacer es comenzar ha deterlos, en un momento se ejecutara un error en el sistema el cual dice que windows se reiniciara en x segundos. En ese tiempo se deberan detener todos los demas procesos svchost y de nombre similar que aparescan.

- Tambien antes de que la maquina se reinicie hay que detener el death.exe.



Bien, a estas alturas el archivo death.exe no deberia volver a aperecer, si esto pasa significa que el death.exe ya no podra ejecutarse nuevamente cada vez que se lo detenga. De otra manera los siguientes pasos resultaran obsoletos, en este caso se puede intentar eliminar el virus directamente desde system32, eso no lo probe, probablemente vuelva a crearse una copia de simismo y no desaparesca.



La maquina se reinicia



- al entrar en administrador de tareas se ve que el virus sigue estando. Detenga (nuevamente) todos los supervise y luego el death. Al detener el proceso este no se vuelve a generar.

- Lo siguiente es desactivarlo del msconfig, y luego se puede tranquilamente reiniciar la maquina.

- con esto ya es suficiente, el virus ya no se ejecutara. pero si se desea se podria eliminar el virus desde system32, yo lo hize y no tengo un problema INMEDIATO.



Espero que sirva al menos como una solucion provisoria.

[jotadesign]

ya los envie gracias

[msc hotline sat]

Maurox: Este foro tiene los servicios de SATINFO para el analisis de los ficheros sospechosos y no se autoriza a pedir muestras viricas a ningun otro forero, por muy buena intencion que ofrezca, y a los foreros, no deben enviar muestras viricas a otros medios que los indicados en el foro, pues ello podría ocasionar propagacion virica lo cual se intenta evitar al máximo en este foro.

SE ADVIERTE QUE CUALQUIER SOLICITUD DE MUESTRAS O ENVIO DE LAS MISMAS OCASIONARÁ LA DESCONEXION DEL FORO DE AMBOS FOREROS.

Al respecto de este Tema, ayer se subieron a esta web las nuevas versiones de las utilidades ELISTARA 13.22 y ELITRIIP 3.12:


ELISTARA

---v13.22-(30 de Enero del 2007) (Muestras de DownLoader.Murlo.FA, StartPage "WINLOGON.EXE", PWS-LegMir "WINMGCT.EXE", (2)Flush(dldr) "KD***.EXE", ErrorSafeFree "FXCORE.DLL", Banker "SVCHOST32.EXE", Alexa "ALXRES.DLL", FakeAlert "CTPMON.EXE" y Malware "SVHOSTZ1.EXE")

Si bien el ELITRIIP ya controlaba este SVCH0ST con el cero en lugar de la O anteriormente:

---v3.09---(24 de Enero del 2007) (Muestras de (3)BackDoor.CMQ "SMSS.EXE", (2)Sdbot.worm.gen "SVCCHOST.EXE y SVCH0ST.EXE" y Proxy.Horst "SVCHOST.EXE")


Descargar estas las utilidades ELITRIIP, ELISTARA Y ELINOTIF y empezar ejecutando el ELITRIIP Y LUEGO ejecutar el ELISTARA y reiniciar, con lo que el ELINOTIF terminará la tarea,



ELITRIIP:
http://www.zonavirus.com/descargas/elitriip.asp
ELISTARA:
http://www.zonavirus.com/descargas/elistara.asp
ELINOTIF.DLL
http://www.zonavirus.com/descargas/elinotif.asp


Tras ello, termina el proceso del ELISTARA explorando todo el disco y tras reiniciar posteanos el contenido del C:\infosat.txt para ver el resultado del proceso

esperamos que con ello se solucione el problema, y si a pesar de ello persistiera el problema, nos lo indica y lo solucionaremos.

saludos

ms, 31-01-2007

[msc hotline sat]

Recibidas nuevas muestras :



SVHOST32.EXE resulta ser PWS lineage, se añade al ELISTARA 13.23



LIBXML.DLL es un WebDir (BHO) tambien lo añadirmos al ELISTARA 13.23



y otro fichero DFINSTALL.LOG está a 0 bytes, no procede analizarlo



Pues con la nueva version del ELISTARA de hoy ya estará contemplado



saludos



ms, 31-01-2007

[jotadesign]

ya le pase elitrip elistara medio q borro varios virus pero el elinotif.dll como lo utilizo aqui dejo lo que me dejo el infosat en c:



C:\Muestras\SVCH0ST.EXE.Muestra EliTriIP v3.12

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\SVCH0ST.EXE --> Eliminado

No detectado Parche MS06-001 de Microsoft instalado. (WMF)

No detectado Parche MS06-070 de Microsoft instalado. (SServidor)

ALERTA. WindowsUpdate Incompleto.



Wed Jan 31 10:27:20 2007

EliStartPage v13.22 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\SYSTEM32\JBHOOK.DLL --> PWS-MMThief Renombrado a .VIR

Por favor, envienos una muestra del fichero

C:\Muestras\JBLOADER.DLL.Muestra EliStartPage v13.22

a "virus@satinfo.es". Gracias.

C:\WINDOWS\SYSTEM32\JBLOADER.DLL --> Renombrado a .VIR

C:\WINDOWS\SYSTEM32\KB95842.LOG --> Eliminado (Fichero Complementario).

Eliminada Class, "{55667788-ABCD-1234-5678-00C04FD8DBD8}" -> C:\WINDOWS\system32\jbloader.dll

No detectado Parche MS06-001 de Microsoft instalado. (WMF)

No detectado Parche MS06-070 de Microsoft instalado. (SServidor)

ALERTA. WindowsUpdate Incompleto.

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Wed Jan 31 10:28:37 2007

EliStartPage v13.22 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

C:\2.EXE --> Eliminado, PWS-MMThief

C:\WINDOWS\system32\BDSCHECA001.DLL --> Eliminado, PWS-LegMir

C:\Archivos de programa\Archivos comunes\Ahead\DSFilter\NEAMR.DLL --> Eliminado, CyDoor



Wed Jan 31 13:23:20 2007

EliStartPage v13.22 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Acción Directa):

C:\WINDOWS\SYSTEM32\JBLOADER.DLL.VIR --> Eliminado.

No detectado Parche MS06-001 de Microsoft instalado. (WMF)

No detectado Parche MS06-070 de Microsoft instalado. (SServidor)

ALERTA. WindowsUpdate Incompleto.

Eliminadas las Paginas de Inicio y de Busqueda del IE

Eliminados Ficheros Temporales del IE



Wed Jan 31 13:24:04 2007

EliStartPage v13.22 (c)2007 S.G.H. / Satinfo S.L.

--------------------------------------------------

Lista de Acciones (por Exploración):

C:\WINDOWS\system32\JBHOOK.DLL.VIR.VIR --> Eliminado, PWS-MMThief



Pd. me fije en el administrador de tareas al death yano lo veo pero si aun al supervise.exe y en c: aun se crean los archivos 1 y 2 que lo borre pero al reiniciar estan ahi de nuevo , Gracias

[lucl]

Hola jota... el elinotfill es complementario del elistara , así que solo debes guardarlo en la misma carpeta, luego ejecutas el elistara y ya esta. Te ha echo una buena limpieza pero se te piden muestras que debes enviar, si no lo has echo ya

Por favor, envienos una muestra del fichero
C:\Muestras\JBLOADER.DLL.Muestra EliStartPage v13.22
a "virus@satinfo.es". Gracias.

viewtopic.php?f=2&t=45334

y deberias lanzar un windows update pues te faltan parches importantes, saludos.

[jotadesign]

Gracias Lucl acabo de enviar muestras de :



* BDSCHECA001.DLL.Muestra EliStartPage v13

* JBLOADER.DLL.Muestra EliStartPage v13



* SVCH0ST.EXE.Muestra EliTriIP v3



Nunca vi tanto virus junto en mi pc jeje. Saludos y Gracias.

[msc hotline sat]

Bien, parece que tenemos una mina en su ordenador... A medida que vamos sacando unos, aparecen otros :roll:



De momento el Death parece que lo hemos eliminado, lo que me extraña es que persista el supervise.exe, pero hasta el final todo es posible...



Analizaremos las nuevas muestras que nos envias e informaremos



saludos



ms, 1-02-2007

[jotadesign]

Hola alguna novedad.. GraCias

[jotadesign]

Muchas Gracias por la ayuda siempre pude dar una solucion a mi pc sin tener que formatear la maquinapero pareceque estaba vez esa sera la unica solucion ojala setenga ,mas informacion de estos virus y haya una manera correcta sencilla y rapida para luchar copntra ellos estare investigando y si encuentro noticias lo compartire para que si le paso mi problema a otras personas les sea mas facil poder dar solucion Gracias ,,

[msc hotline sat]

Pues ya le habia perdido la pista, dado que la faena no falta !



Pruebe los nuevos ELITRIIP, ELISTARA Y ELINOTIF, y nos postea el infosat.txt y tras ello de nuevo un log del HJT actual y lo reactivaremos



A lo mejor con las novedades implementadas ya descubrimos algo nuevo...



saludos



ms, 16-02-2007

[caligan]

Saludos, soy nuevo y decidi aplicar el procedimiento de marcox paa eliminar el virus, cosa que resulto parcialmente porque desactiva las aplicaciones antes mencionadas pero aun siguen como opciones al abrir msconfig, además aún no tengo control para vizualizar los archivos ocultos a placer. Así que me gustaría saber que pasó con death.exe y supervise.exe, además como puedo solucionar el problema de los archivos ocultos.

De ante mano gracias.

[msc hotline sat]

Pues mal empiezas... es que no leiste el resto del Tema ???

Lee justamente el post anterior al que editaste, que es la solucion con la que solucionamos el problema con nuestras utilidades.

Y por otra parte se indica en las Normas:

viewtopic.php?f=1&t=17382
Se ceirra este Tema en consecuencia

saludos

ms, 10-05-2007