IPB

Welcome Guest ( Log In | Register )

 
Reply to this topicStart new topic
> Trojan.Win32.Reboot.h, Aún no puedo eliminar esta amenaza
Julio Araiza
post 16.03.2012 09:19
Post #1


Member
**

Group: Members
Posts: 11
Joined: 16.03.2012




hace unos dias , no mas de 10, adquirí kaspersky antivirus 2012, y me ha detectado Trojan.Win32.Reboot.h y se encuentra en c:\windows\temp\finepoint\data1.cab//ctrbt.exe, también en c:\windows\temp\finepoint\data2.cab//ctrbt.exe y c:\windows\temp\finepoint\data1.hdr//ctrbt.exe.

¿Qué tan riesgoso es mantener este malware en mi equipo?, ¿Cómo me deshago de este troyano?

Gracias

Julio
Go to the top of the page
 
+Quote Post
Caos
post 16.03.2012 10:38
Post #2


Spanish Forum Moderator
***************

Group: Moderators
Posts: 16429
Joined: 25.09.2007
From: España (Spain)




Hola,

Te recomiendo que te revises las normas del foro, te serán de gran ayuda.

Sube toda la información que en ellas se pide (Versión y build de Kaspersky instalado, S.O. y servicepack instalados, sube tu getsysteminfo (gsi)
utilizando la ultima versión disponible del mismo, sube tu avzlog para revisarlo, etc...) para que te podamos ayudar.

Para generar el getsysteminfo (gsi) revisa este enlace: http://support.kaspersky.com/sp/faq/?qid=208281645
Getsysteminfo (GSI) descarga directa: http://www.getsysteminfo.com/download/GetSystemInfo.exe

Para generar el avz log revisa estos enlaces: http://support.kaspersky.com/sp/faq/?qid=208282267 y http://forum.kaspersky.com/index.php?showtopic=116409
AVZ descarga directa: http://www.z-oleg.com/avz4.zip

Adjunta capturas de pantalla de las detecciones, en las que se vea la ruta completa de las mismas.

Información: http://www.securelist.com/en/descriptions/....Win32.Reboot.h

Saludos


--------------------
Go to the top of the page
 
+Quote Post
Julio Araiza
post 17.03.2012 03:10
Post #3


Member
**

Group: Members
Posts: 11
Joined: 16.03.2012




(Caos @ 16.03.2012 00:38) *
Hola,

Te recomiendo que te revises las normas del foro, te serán de gran ayuda.

Sube toda la información que en ellas se pide (Versión y build de Kaspersky instalado, S.O. y servicepack instalados, sube tu getsysteminfo (gsi)
utilizando la ultima versión disponible del mismo, sube tu avzlog para revisarlo, etc...) para que te podamos ayudar.

Para generar el getsysteminfo (gsi) revisa este enlace: http://support.kaspersky.com/sp/faq/?qid=208281645
Getsysteminfo (GSI) descarga directa: http://www.getsysteminfo.com/download/GetSystemInfo.exe

Para generar el avz log revisa estos enlaces: http://support.kaspersky.com/sp/faq/?qid=208282267 y http://forum.kaspersky.com/index.php?showtopic=116409
AVZ descarga directa: http://www.z-oleg.com/avz4.zip

Adjunta capturas de pantalla de las detecciones, en las que se vea la ruta completa de las mismas.

Información: http://www.securelist.com/en/descriptions/....Win32.Reboot.h

Saludos


Anexo información solicitada:

Es un equipo Dell con Windows Xp SP3,

Attached File(s)
Attached File  kaspersky_soporte.txt ( 75bytes ) Number of downloads: 4
 
Go to the top of the page
 
+Quote Post
Julio Araiza
post 17.03.2012 04:36
Post #4


Member
**

Group: Members
Posts: 11
Joined: 16.03.2012




(Julio Araiza @ 16.03.2012 17:10) *
Anexo información solicitada:

Es un equipo Dell con Windows Xp SP3,
ire eviando los archivos solicitados

Attached File(s)
Attached File  sysinfo.zip ( 25.37K ) Number of downloads: 3
 
Go to the top of the page
 
+Quote Post
Caos
post 18.03.2012 13:01
Post #5


Spanish Forum Moderator
***************

Group: Moderators
Posts: 16429
Joined: 25.09.2007
From: España (Spain)




Desinstala todo el posible software incompatible que tienes: Trend, McAfee, Norton, Panda, Prodigy Antivirus, ..... laugh.gif laugh.gif
Desinstala el Ask Toolbar.

Envíame por mensaje privado, comprimido con winrar y con contraseña: virus , los siguientes ficheros:

c:\windows\temp\finepoint (todo su contenido)
C:\WINDOWS\system32\DRIVERS\5913228drv.sys
C:\WINDOWS\System32\Drivers\a9cjz4c7.SYS
C:\Documents and Settings\ja\Configuración local\Temp\RarSFX0\Emu.exe
C:\Documents and Settings\ja\Configuración local\Temp\RarSFX1\Emu.exe
C:\Documents and Settings\ja\Configuración local\Temp\RarSFX4\5913228.exe
C:\Documents and Settings\ja\Configuración local\Temp\RarSFX0\Launch.bat
C:\Archivos de programa\Compacw\Servidor de Licencias\AdminPAQ\DetectaFirewall.exe

Tienes muy poco espacio libre en c:\ necesitas liberar espacio.

Te recomiendo que pienses en migrar de KAV a KIS.

Saludos

This post has been edited by Caos: 18.03.2012 13:02


--------------------
Go to the top of the page
 
+Quote Post
Julio Araiza
post 26.03.2012 00:12
Post #6


Member
**

Group: Members
Posts: 11
Joined: 16.03.2012




(Caos @ 18.03.2012 03:01) *
Desinstala todo el posible software incompatible que tienes: Trend, McAfee, Norton, Panda, Prodigy Antivirus, ..... laugh.gif laugh.gif
Desinstala el Ask Toolbar.

Envíame por mensaje privado, comprimido con winrar y con contraseña: virus , los siguientes ficheros:

c:\windows\temp\finepoint (todo su contenido)
C:\WINDOWS\system32\DRIVERS\5913228drv.sys
C:\WINDOWS\System32\Drivers\a9cjz4c7.SYS
C:\Documents and Settings\ja\Configuración local\Temp\RarSFX0\Emu.exe
C:\Documents and Settings\ja\Configuración local\Temp\RarSFX1\Emu.exe
C:\Documents and Settings\ja\Configuración local\Temp\RarSFX4\5913228.exe
C:\Documents and Settings\ja\Configuración local\Temp\RarSFX0\Launch.bat
C:\Archivos de programa\Compacw\Servidor de Licencias\AdminPAQ\DetectaFirewall.exe

Tienes muy poco espacio libre en c:\ necesitas liberar espacio.

Te recomiendo que pienses en migrar de KAV a KIS.

Saludos


No estaban instalados, borré las entradas que encontré en regedit y las carpetas del disco C: relativas a los antivirus mencionados.
No encontré el "ask tool bar" ni en explorer ni en firefox ni en Chrome.
te anexo archivo en mensaje privado.

Saludos
Julio
Go to the top of the page
 
+Quote Post
Caos
post 26.03.2012 08:53
Post #7


Spanish Forum Moderator
***************

Group: Moderators
Posts: 16429
Joined: 25.09.2007
From: España (Spain)




Hola,

No he recibido ningún mensaje privado de tu parte?

Saludos


--------------------
Go to the top of the page
 
+Quote Post
Julio Araiza
post 28.03.2012 08:18
Post #8


Member
**

Group: Members
Posts: 11
Joined: 16.03.2012




(Caos @ 25.03.2012 22:53) *
Hola,

No he recibido ningún mensaje privado de tu parte?

Saludos


Mientras resolvemos el tema de como te mando el archivo rar, el mensaje de abajo es lo que me manda.
"Esta página web no está disponible
Es posible que la página web en http://forum.kaspersky.com/index.php?&...-ff--forum_id=0 no funcione temporalmente o se haya trasladado de manera permanente a una nueva dirección web.
Error 103 (net::ERR_CONNECTION_ABORTED): Error desconocido."

Sería bueno si borro los directorios RarSFX0, RarSFX1, RarSFX2, RarSFXX3 Y RarSFX4 o al menos los archivos emu.exe que contienen?

saludos
Julio
Go to the top of the page
 
+Quote Post
Caos
post 28.03.2012 22:17
Post #9


Spanish Forum Moderator
***************

Group: Moderators
Posts: 16429
Joined: 25.09.2007
From: España (Spain)




Hola,

El foro tiene limitado el tamaño y tipo de ficheros que se pueden enviar.
Sube los ficheros comentados a un servidor de ficheros http://www.netload.in/ o http://www.mediafire.com y envíame por mensaje privado el enlace de descarga.
Los ficheros "temporales" los puedes eliminar una vez que me los hayas enviado.

Saludos


--------------------
Go to the top of the page
 
+Quote Post
Julio Araiza
post 5.04.2012 23:53
Post #10


Member
**

Group: Members
Posts: 11
Joined: 16.03.2012




(Caos @ 28.03.2012 12:17) *
Hola,

El foro tiene limitado el tamaño y tipo de ficheros que se pueden enviar.
Sube los ficheros comentados a un servidor de ficheros http://www.netload.in/ o http://www.mediafire.com y envíame por mensaje privado el enlace de descarga.
Los ficheros "temporales" los puedes eliminar una vez que me los hayas enviado.

Saludos


parece ser que el Bitdefender del sitio mediafire, no permite subir archivos infectados, me muestra un mensaje de error que dice:
Connection or permission error. Error #-502
Go to the top of the page
 
+Quote Post
Caos
post 6.04.2012 01:07
Post #11


Spanish Forum Moderator
***************

Group: Moderators
Posts: 16429
Joined: 25.09.2007
From: España (Spain)




Comprime los ficheros con la contraseña "virus" (sin las comillas), y sube el fichero.


--------------------
Go to the top of the page
 
+Quote Post
Julio Araiza
post 1.05.2012 07:12
Post #12


Member
**

Group: Members
Posts: 11
Joined: 16.03.2012




esta amenza fue detectada por kaspersky antivirus en 3 lugares diferentes:
c:\windows\temp\finepoint\data1.cab//ctrbt.exe
c:\windows\temp\finepoint\data2.cab//ctrbt.exe
c:\windows\temp\finepoint\data1.hdr//ctrbt.exe
Mi equipo es Del Optiplex Gx620 y el sistema operativo es Windows XP SP3
Go to the top of the page
 
+Quote Post
harlan4096
post 1.05.2012 10:08
Post #13


Forum Elite
**************

Group: Moderators
Posts: 11730
Joined: 22.11.2005
From: Almería (Andalucía, Spain)




Bienvenido al foro, lee las normas para postear:

http://forum.kaspersky.com/index.php?showtopic=84034

Debes darnos más información para poderte ayudar, como sistema operativo, service packs instalados, versión exacta de producto K. instalado, siguiendo las normas genera GSI (getsysteminfo versión 4) y AVZ sysinfo log. En el caso del AVZ deberás se generará un informe en un archivo comprimido que deberá enviarnos aquí al foro anexo en un mensaje. En el caso del GSI, se generará automáticamente en tu navegador Web una Web con el informe, deberás envíanos el enlace (dirección URL) de la Web.

- Si tienes dudas de cómo generar el GSI puedes consultar este enlace (deber envíanos en tu mensaje del foro el enlace-dirección URL de la Web que se genera con el informe):

http://support.kaspersky.com/sp/faq/?qid=193238548

- Si tienes dudas de cómo generar el AVZ sysinfo log puedes consultar este enlace, (debes enviarnos anexo en tu mensaje del foro el archivo comprimido con el informe), una ver finalizado, pulsa el botón [Ver] y allí podrás obtener el archivo comprimido con el informe:

http://support.kaspersky.com/sp/kis2011/tech?qid=208282259

Actualiza las bases de Kaspersky y ve a Configuración -> Amenazas y Exclusiones -> Amenazas -> Configuración -> activar casilla: Otro. A continuación en MODO SEGURO de Windows realiza Análisis de las zonas críticas del sistema, modificando las opciones de dicho Análisis para que: compruebe Todos los archivos, Análisis Heurístico Avanzado y Búsqueda de procesos Ocultos -> Análisis Detallado.

Saludos.


--------------------
KIS2015 Beta Testing PC: Real System Windows 8.1 U1 Pro x64 K AMD Phenom 9500 Quad-Core Processor 2,20 Ghz K 4GB RAM DDR2 K AMD Radeon HD 5450

Guía Configuración KIS2014

Go to the top of the page
 
+Quote Post
Julio Araiza
post 7.05.2012 04:38
Post #14


Member
**

Group: Members
Posts: 11
Joined: 16.03.2012




Anexo archivos solicitados con la información del sistema, la versión de kaspersky, sysinfo, etc.
Saludos
Julio

This post has been edited by Caos: 7.05.2012 08:58
Reason for edit: Eliminado el [quote] innecesario

Attached File(s)
Attached File  imagen_version_antivirus.bmp ( 264.12K ) Number of downloads: 5
Attached File  sysinfo.zip ( 25.37K ) Number of downloads: 2
Attached File  kaspersky_soporte.txt ( 75bytes ) Number of downloads: 3
 
Go to the top of the page
 
+Quote Post
Caos
post 7.05.2012 08:59
Post #15


Spanish Forum Moderator
***************

Group: Moderators
Posts: 16429
Joined: 25.09.2007
From: España (Spain)




Fusiono tu consulta con el hilo que ya tenías abierto con el mismo problema. Sigo a la espera de recibir todo lo que se te solicito. dash1.gif

Adjunta captura de pantalla de las detecciones con la ruta completa de la misma.

Envíame por mensaje privado, comprimido con winrar y con contraseña "virus" (sin las comillas), los siguientes ficheros:

c:\windows\temp\finepoint\data1.cab//ctrbt.exe
c:\windows\temp\finepoint\data2.cab//ctrbt.exe
c:\windows\temp\finepoint\data1.hdr//ctrbt.exe
c:\windows\temp\finepoint (todo su contenido)
C:\WINDOWS\system32\DRIVERS\5913228drv.sys
C:\WINDOWS\System32\Drivers\a9cjz4c7.SYS
C:\Documents and Settings\ja\Configuración local\Temp\RarSFX0\Emu.exe
C:\Documents and Settings\ja\Configuración local\Temp\RarSFX1\Emu.exe
C:\Documents and Settings\ja\Configuración local\Temp\autorun.dll
C:\Archivos de programa\Compacw\Servidor de Licencias\AdminPAQ\DetectaFirewall.exe
C:\Archivos de programa\Compacw\Servidor de Licencias\AdminPAQ\AppKeyLicenseServerAdminPAQ.exe

Puedes subirlos a un servidor de ficheros http://www.mediafire.com o http://www.netload.in/ y enviarme por mensaje privado el enlace de descarga.

Si el gsi que has generado es nuevo, revisa la fecha del sistema estas viviendo en el pasado:
QUOTE
Fecha del sistema 16/03/2012 02:45:18 p.m.

Sino es un Gsi viejo, genera un nuevo Gsi "Actual",y subelo al foro.

Tienes que liberar mucho mas espacio en C:\, se necesitan bastantes mas gigas de espacio libre, para que el S.O. funcione con normalidad.

Instala la última versión de java.

Revisa tu registro de eventos de windows te aparecen errores.

Elimina los restos de Panda, Mcafee, Trend Micro, Prodigy Antivirus, ... dash1.gif
Desinstala Ask toolbar.

Elimina los ficheros temporales.

Saludos

This post has been edited by Caos: 7.05.2012 10:16


--------------------
Go to the top of the page
 
+Quote Post
Julio Araiza
post 27.05.2012 08:16
Post #16


Member
**

Group: Members
Posts: 11
Joined: 16.03.2012




http://www.getsysteminfo.com/read.php?file...f1284b89719227d

Esta es la versión de de GIS generada el 26/05/2012

¿Cómo te puedo enviar por mensaje privado la liga de mediafire que contiene toda la información solicitada?

This post has been edited by Julio Araiza: 27.05.2012 08:30
Go to the top of the page
 
+Quote Post
Caos
post 27.05.2012 13:02
Post #17


Spanish Forum Moderator
***************

Group: Moderators
Posts: 16429
Joined: 25.09.2007
From: España (Spain)




Tan sencillo como:

Attached File  Envio_Mensaje_Privado.jpg ( 55.5K ) Number of downloads: 5


Saludos


--------------------
Go to the top of the page
 
+Quote Post
Caos
post 27.05.2012 13:06
Post #18


Spanish Forum Moderator
***************

Group: Moderators
Posts: 16429
Joined: 25.09.2007
From: España (Spain)




Sigues teniendo software incompatible, y restos de otros .....

QUOTE
AVG Security Toolbar

Procesos en ejecución

=> Nombre del archivo C:\Archivos de programa\Archivos comunes\AVG Secure Search\vToolbarUpdater\11.0.2\ToolbarUpdater.exe" - ToolbarU Application
=> Nombre del archivo C:\Archivos de programa\AVG Secure Search\vprot.exe" - VProtect Application

Controladores ejecutados por ...

vprot.exe [1]
=> Nombre del archivo C:\Archivos de programa\Archivos comunes\AVG Secure Search\SiteSafetyInstaller\11.0.2\SiteSafety.dll -

plugin-container.exe [2]
=> Nombre del archivo C:\Archivos de programa\Archivos comunes\AVG Secure Search\SiteSafetyInstaller\11.0.2\npsitesafety.dll - AVG SiteSafety plugin
=> Nombre del archivo C:\Archivos de programa\Archivos comunes\AVG Secure Search\SiteSafetyInstaller\11.0.2\SiteSafety.dll -

Registro

_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run [2]
=> Nombre del archivo C:\Archivos de programa\Compacw\Servidor de Licencias\AdminPAQ\DetectaFirewall.exe -
=> Nombre del archivo C:\Archivos de programa\AVG Secure Search\vprot.exe - VProtect Application

Carpetas exploradas

C:\WINDOWS\downloaded program files\ [1]
=> Nombre del archivo C:\WINDOWS\Downloaded Program Files\Housecall_ActiveX.dll - Trend Micro HouseCall Server Edition

C:\WINDOWS\Temp\ [2]
=> Nombre del archivo C:\WINDOWS\Temp\avguidx.dll - AVG Internet Security
=> Nombre del archivo C:\WINDOWS\Temp\contentDATs.exe - McAfee Scanner Content


--------------------
Go to the top of the page
 
+Quote Post

Reply to this topicStart new topic

 



Lo-Fi Version Time is now: 18.04.2014 06:58