Trojan.Win32.Reboot.h, Aún no puedo eliminar esta amenaza Options

[Julio Araiza]

hace unos dias , no mas de 10, adquirí kaspersky antivirus 2012, y me ha detectado Trojan.Win32.Reboot.h y se encuentra en c:\windows\temp\finepoint\data1.cab//ctrbt.exe, también en c:\windows\temp\finepoint\data2.cab//ctrbt.exe y c:\windows\temp\finepoint\data1.hdr//ctrbt.exe.

¿Qué tan riesgoso es mantener este malware en mi equipo?, ¿Cómo me deshago de este troyano?

Gracias

Julio

[Caos]

Hola,

Te recomiendo que te revises las normas del foro, te serán de gran ayuda.

Sube toda la información que en ellas se pide (Versión y build de Kaspersky instalado, S.O. y servicepack instalados, sube tu getsysteminfo (gsi)
utilizando la ultima versión disponible del mismo, sube tu avzlog para revisarlo, etc...) para que te podamos ayudar.

Para generar el getsysteminfo (gsi) revisa este enlace: http://support.kaspersky.com/sp/faq/?qid=208281645
Getsysteminfo (GSI) descarga directa: http://www.getsysteminfo.com/download/GetSystemInfo.exe

Para generar el avz log revisa estos enlaces: http://support.kaspersky.com/sp/faq/?qid=208282267 y http://forum.kaspersky.com/index.php?showtopic=116409
AVZ descarga directa: http://www.z-oleg.com/avz4.zip

Adjunta capturas de pantalla de las detecciones, en las que se vea la ruta completa de las mismas.

Información: http://www.securelist.com/en/descriptions/....Win32.Reboot.h

Saludos

[Julio Araiza]

Hola,

Te recomiendo que te revises las normas del foro, te serán de gran ayuda.

Sube toda la información que en ellas se pide (Versión y build de Kaspersky instalado, S.O. y servicepack instalados, sube tu getsysteminfo (gsi)
utilizando la ultima versión disponible del mismo, sube tu avzlog para revisarlo, etc...) para que te podamos ayudar.

Para generar el getsysteminfo (gsi) revisa este enlace: http://support.kaspersky.com/sp/faq/?qid=208281645
Getsysteminfo (GSI) descarga directa: http://www.getsysteminfo.com/download/GetSystemInfo.exe

Para generar el avz log revisa estos enlaces: http://support.kaspersky.com/sp/faq/?qid=208282267 y http://forum.kaspersky.com/index.php?showtopic=116409
AVZ descarga directa: http://www.z-oleg.com/avz4.zip

Adjunta capturas de pantalla de las detecciones, en las que se vea la ruta completa de las mismas.

Información: http://www.securelist.com/en/descriptions/....Win32.Reboot.h

Saludos

Anexo información solicitada:

Es un equipo Dell con Windows Xp SP3,

Attached File(s)

 kaspersky_soporte.txt ( 75bytes ) Number of downloads: 4

 

[Julio Araiza]

Anexo información solicitada:

Es un equipo Dell con Windows Xp SP3,
ire eviando los archivos solicitados

Attached File(s)

 sysinfo.zip ( 25.37K ) Number of downloads: 3

 

[Caos]

Desinstala todo el posible software incompatible que tienes: Trend, McAfee, Norton, Panda, Prodigy Antivirus, .....
Desinstala el Ask Toolbar.

Envíame por mensaje privado, comprimido con winrar y con contraseña: virus , los siguientes ficheros:

c:\windows\temp\finepoint (todo su contenido)
C:\WINDOWS\system32\DRIVERS\5913228drv.sys
C:\WINDOWS\System32\Drivers\a9cjz4c7.SYS
C:\Documents and Settings\ja\Configuración local\Temp\RarSFX0\Emu.exe
C:\Documents and Settings\ja\Configuración local\Temp\RarSFX1\Emu.exe
C:\Documents and Settings\ja\Configuración local\Temp\RarSFX4\5913228.exe
C:\Documents and Settings\ja\Configuración local\Temp\RarSFX0\Launch.bat
C:\Archivos de programa\Compacw\Servidor de Licencias\AdminPAQ\DetectaFirewall.exe

Tienes muy poco espacio libre en c:\ necesitas liberar espacio.

Te recomiendo que pienses en migrar de KAV a KIS.

Saludos

This post has been edited by Caos: 18.03.2012 13:02

[Julio Araiza]

Desinstala todo el posible software incompatible que tienes: Trend, McAfee, Norton, Panda, Prodigy Antivirus, .....
Desinstala el Ask Toolbar.

Envíame por mensaje privado, comprimido con winrar y con contraseña: virus , los siguientes ficheros:

c:\windows\temp\finepoint (todo su contenido)
C:\WINDOWS\system32\DRIVERS\5913228drv.sys
C:\WINDOWS\System32\Drivers\a9cjz4c7.SYS
C:\Documents and Settings\ja\Configuración local\Temp\RarSFX0\Emu.exe
C:\Documents and Settings\ja\Configuración local\Temp\RarSFX1\Emu.exe
C:\Documents and Settings\ja\Configuración local\Temp\RarSFX4\5913228.exe
C:\Documents and Settings\ja\Configuración local\Temp\RarSFX0\Launch.bat
C:\Archivos de programa\Compacw\Servidor de Licencias\AdminPAQ\DetectaFirewall.exe

Tienes muy poco espacio libre en c:\ necesitas liberar espacio.

Te recomiendo que pienses en migrar de KAV a KIS.

Saludos

No estaban instalados, borré las entradas que encontré en regedit y las carpetas del disco C: relativas a los antivirus mencionados.
No encontré el "ask tool bar" ni en explorer ni en firefox ni en Chrome.
te anexo archivo en mensaje privado.

Saludos
Julio

[Caos]

Hola,

No he recibido ningún mensaje privado de tu parte?

Saludos

[Julio Araiza]

Hola,

No he recibido ningún mensaje privado de tu parte?

Saludos

Mientras resolvemos el tema de como te mando el archivo rar, el mensaje de abajo es lo que me manda.
"Esta página web no está disponible
Es posible que la página web en http://forum.kaspersky.com/index.php?&...-ff--forum_id=0 no funcione temporalmente o se haya trasladado de manera permanente a una nueva dirección web.
Error 103 (net::ERR_CONNECTION_ABORTED): Error desconocido."

Sería bueno si borro los directorios RarSFX0, RarSFX1, RarSFX2, RarSFXX3 Y RarSFX4 o al menos los archivos emu.exe que contienen?

saludos
Julio

[Caos]

Hola,

El foro tiene limitado el tamaño y tipo de ficheros que se pueden enviar.
Sube los ficheros comentados a un servidor de ficheros http://www.netload.in/ o http://www.mediafire.com y envíame por mensaje privado el enlace de descarga.
Los ficheros "temporales" los puedes eliminar una vez que me los hayas enviado.

Saludos

[Julio Araiza]

Hola,

El foro tiene limitado el tamaño y tipo de ficheros que se pueden enviar.
Sube los ficheros comentados a un servidor de ficheros http://www.netload.in/ o http://www.mediafire.com y envíame por mensaje privado el enlace de descarga.
Los ficheros "temporales" los puedes eliminar una vez que me los hayas enviado.

Saludos

parece ser que el Bitdefender del sitio mediafire, no permite subir archivos infectados, me muestra un mensaje de error que dice:
Connection or permission error. Error #-502

[Caos]

Comprime los ficheros con la contraseña "virus" (sin las comillas), y sube el fichero.

[Julio Araiza]

esta amenza fue detectada por kaspersky antivirus en 3 lugares diferentes:
c:\windows\temp\finepoint\data1.cab//ctrbt.exe
c:\windows\temp\finepoint\data2.cab//ctrbt.exe
c:\windows\temp\finepoint\data1.hdr//ctrbt.exe
Mi equipo es Del Optiplex Gx620 y el sistema operativo es Windows XP SP3

[harlan4096]

Bienvenido al foro, lee las normas para postear:

http://forum.kaspersky.com/index.php?showtopic=84034

Debes darnos más información para poderte ayudar, como sistema operativo, service packs instalados, versión exacta de producto K. instalado, siguiendo las normas genera GSI (getsysteminfo versión 4) y AVZ sysinfo log. En el caso del AVZ deberás se generará un informe en un archivo comprimido que deberá enviarnos aquí al foro anexo en un mensaje. En el caso del GSI, se generará automáticamente en tu navegador Web una Web con el informe, deberás envíanos el enlace (dirección URL) de la Web.

- Si tienes dudas de cómo generar el GSI puedes consultar este enlace (deber envíanos en tu mensaje del foro el enlace-dirección URL de la Web que se genera con el informe):

http://support.kaspersky.com/sp/faq/?qid=193238548

- Si tienes dudas de cómo generar el AVZ sysinfo log puedes consultar este enlace, (debes enviarnos anexo en tu mensaje del foro el archivo comprimido con el informe), una ver finalizado, pulsa el botón [Ver] y allí podrás obtener el archivo comprimido con el informe:

http://support.kaspersky.com/sp/kis2011/tech?qid=208282259

Actualiza las bases de Kaspersky y ve a Configuración -> Amenazas y Exclusiones -> Amenazas -> Configuración -> activar casilla: Otro. A continuación en MODO SEGURO de Windows realiza Análisis de las zonas críticas del sistema, modificando las opciones de dicho Análisis para que: compruebe Todos los archivos, Análisis Heurístico Avanzado y Búsqueda de procesos Ocultos -> Análisis Detallado.

Saludos.

[Julio Araiza]

Anexo archivos solicitados con la información del sistema, la versión de kaspersky, sysinfo, etc.
Saludos
Julio

This post has been edited by Caos: 7.05.2012 08:58

Reason for edit: Eliminado el [quote] innecesario

Attached File(s)

 imagen_version_antivirus.bmp ( 264.12K ) Number of downloads: 5
 sysinfo.zip ( 25.37K ) Number of downloads: 2
 kaspersky_soporte.txt ( 75bytes ) Number of downloads: 3

 

[Caos]

Fusiono tu consulta con el hilo que ya tenías abierto con el mismo problema. Sigo a la espera de recibir todo lo que se te solicito.

Adjunta captura de pantalla de las detecciones con la ruta completa de la misma.

Envíame por mensaje privado, comprimido con winrar y con contraseña "virus" (sin las comillas), los siguientes ficheros:

c:\windows\temp\finepoint\data1.cab//ctrbt.exe
c:\windows\temp\finepoint\data2.cab//ctrbt.exe
c:\windows\temp\finepoint\data1.hdr//ctrbt.exe
c:\windows\temp\finepoint (todo su contenido)
C:\WINDOWS\system32\DRIVERS\5913228drv.sys
C:\WINDOWS\System32\Drivers\a9cjz4c7.SYS
C:\Documents and Settings\ja\Configuración local\Temp\RarSFX0\Emu.exe
C:\Documents and Settings\ja\Configuración local\Temp\RarSFX1\Emu.exe
C:\Documents and Settings\ja\Configuración local\Temp\autorun.dll
C:\Archivos de programa\Compacw\Servidor de Licencias\AdminPAQ\DetectaFirewall.exe
C:\Archivos de programa\Compacw\Servidor de Licencias\AdminPAQ\AppKeyLicenseServerAdminPAQ.exe

Puedes subirlos a un servidor de ficheros http://www.mediafire.com o http://www.netload.in/ y enviarme por mensaje privado el enlace de descarga.

Si el gsi que has generado es nuevo, revisa la fecha del sistema estas viviendo en el pasado:

Fecha del sistema 16/03/2012 02:45:18 p.m.

Sino es un Gsi viejo, genera un nuevo Gsi "Actual",y subelo al foro.

Tienes que liberar mucho mas espacio en C:\, se necesitan bastantes mas gigas de espacio libre, para que el S.O. funcione con normalidad.

Instala la última versión de java.

Revisa tu registro de eventos de windows te aparecen errores.

Elimina los restos de Panda, Mcafee, Trend Micro, Prodigy Antivirus, ...
Desinstala Ask toolbar.

Elimina los ficheros temporales.

Saludos

This post has been edited by Caos: 7.05.2012 10:16

[Julio Araiza]

http://www.getsysteminfo.com/read.php?file...f1284b89719227d

Esta es la versión de de GIS generada el 26/05/2012

¿Cómo te puedo enviar por mensaje privado la liga de mediafire que contiene toda la información solicitada?

This post has been edited by Julio Araiza: 27.05.2012 08:30

[Caos]

Tan sencillo como:

 Envio_Mensaje_Privado.jpg ( 55.5K ) Number of downloads: 5


Saludos

[Caos]

Sigues teniendo software incompatible, y restos de otros .....

AVG Security Toolbar

Procesos en ejecución

=> Nombre del archivo C:\Archivos de programa\Archivos comunes\AVG Secure Search\vToolbarUpdater\11.0.2\ToolbarUpdater.exe" - ToolbarU Application
=> Nombre del archivo C:\Archivos de programa\AVG Secure Search\vprot.exe" - VProtect Application

Controladores ejecutados por ...

vprot.exe [1]
=> Nombre del archivo C:\Archivos de programa\Archivos comunes\AVG Secure Search\SiteSafetyInstaller\11.0.2\SiteSafety.dll -

plugin-container.exe [2]
=> Nombre del archivo C:\Archivos de programa\Archivos comunes\AVG Secure Search\SiteSafetyInstaller\11.0.2\npsitesafety.dll - AVG SiteSafety plugin
=> Nombre del archivo C:\Archivos de programa\Archivos comunes\AVG Secure Search\SiteSafetyInstaller\11.0.2\SiteSafety.dll -

Registro

_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run [2]
=> Nombre del archivo C:\Archivos de programa\Compacw\Servidor de Licencias\AdminPAQ\DetectaFirewall.exe -
=> Nombre del archivo C:\Archivos de programa\AVG Secure Search\vprot.exe - VProtect Application

Carpetas exploradas

C:\WINDOWS\downloaded program files\ [1]
=> Nombre del archivo C:\WINDOWS\Downloaded Program Files\Housecall_ActiveX.dll - Trend Micro HouseCall Server Edition

C:\WINDOWS\Temp\ [2]
=> Nombre del archivo C:\WINDOWS\Temp\avguidx.dll - AVG Internet Security
=> Nombre del archivo C:\WINDOWS\Temp\contentDATs.exe - McAfee Scanner Content