• Registrarse
  • Iniciar sesión


  • Resultados 1 al 4 de 4

    troyano Zbot

    Hola a todos. Verán, mi navegador google chrome me ha estado dando problemas toda la tarde, por lo que hice un análisis de mi antivirus para asegurarme de qué pasaba. No me ha indicado que ...

    1. #1
      Usuario Avatar de jjgp94
      Registrado
      may 2011
      Ubicación
      Malaga
      Mensajes
      21

      Malware troyano Zbot

      Hola a todos. Verán, mi navegador google chrome me ha estado dando problemas toda la tarde, por lo que hice un análisis de mi antivirus para asegurarme de qué pasaba. No me ha indicado que tenía virus alguno, por lo que abrí el programa Malwarebytes y me ha detectado el trojan Zbot. El antispyware no puede borrarlo.

      Esto es lo que me ha salido:

      Procesos en Memoria Detectados: 0
      (No se han detectado elementos maliciosos)

      Módulos de Memoria Detectados: 0
      (No se han detectado elementos maliciosos)

      Claves del Registro Detectados: 0
      (No se han detectado elementos maliciosos)

      Valores del Registro Detectados: 1
      HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|LicenseValidator (Trojan.Zbot) -> datos: C:\Users\JUAN\AppData\Roaming\Identities\{2B8F4115-C525-44A4-BF71-9943A677265E}\LicenseValidator.exe

      Elementos de Datos del Registro Detectados: 0
      (No se han detectado elementos maliciosos)

      Carpetas Detectadas: 0
      (No se han detectado elementos maliciosos)

      Archivos Detectados: 1
      C:\Users\JUAN\AppData\Roaming\Identities\{2B8F4115-C525-44A4-BF71-9943A677265E}\LicenseValidator.exe (Trojan.Zbot)

      ¡¡Espero vuestra ayuda!! Gracias de antemano.

    2. #2
      Developer Avatar de Dany3j
      Registrado
      mar 2011
      Ubicación
      China
      Mensajes
      6.652

      re: troyano Zbot

      Realiza lo siguiente:




      - Descarga la herramienta ComboFix.exe y guárdala en el escritorio.

      • Desactiva temporalmente el Antivirus y/o Antispyware.
      • Cierra todas las ventanas abiertas.
      • Hacele doble clic al archivo ComboFix.exe y seguí las instrucciones.
      • Cuando termine, generara un registro en C:\ComboFix.txt.
        • *Nota* Mientras CF este trabajando no mover el mouse ya que pararía su proceso.
        • *Nota* ComboFix puede reiniciar automáticamente el PC para completar el proceso de eliminación.
        • *Nota* No vuelvas a utilizar ComboFix ni ningun otro programa antivirus hasta que no te de una respuesta.

      Atención!! No use ComboFix a menos que se le haya indicado específicamente en su mensaje por un integrante de nuestro Staff. Es una herramienta de gran alcance destinada por su creador a ser usada bajo la orientación y supervisión de un experto, no para uso privado. El uso de ComboFix incorrectamente podría generar problemas en su sistema. Por favor, lea las "Negaciones de la Garantía" de ComboFix.


      El reporte generado, se encuentra en C:\ComboFix.txt . Abrilo, seleccionas Todo y lo copias y pegas en Tu próxima respuesta.

      Me tope con un gato negro y tuve que desviarme por el camino largo.

      * Síguenos en nuestro Twitter y hazte nuestro amigo en Facebook.
      * Infórmate de las ultimas amenazas de la red desde: InfoSpyware Blog
      * No se resuelven dudas por Privados ni por E-mail, ya que para eso esta el foro.

    3. #3
      Usuario Avatar de jjgp94
      Registrado
      may 2011
      Ubicación
      Malaga
      Mensajes
      21

      re: troyano Zbot

      ComboFix 12-09-24.03 - JUAN 26/09/2012 19:01:11.1.2 - x86
      Microsoft Windows 7 Professional 6.1.7601.1.1252.34.3082.18.3549.2467 [GMT 2:00]
      Running from: c:\users\JUAN\Downloads\ComboFix.exe
      AV: AVG Anti-Virus Free *Enabled/Updated* {0C939084-9E57-CBDB-EA61-0B0C7F62AF82}
      SP: AVG Anti-Virus Free *Enabled/Updated* {B7F27160-B86D-C455-D0D1-307E04E5E53F}
      SP: Windows Defender *Enabled/Updated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
      .
      .
      ((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))
      .
      .
      c:\users\JUAN\AppData\Roaming\FFSJ
      c:\users\JUAN\AppData\Roaming\FFSJ\FFSJ.cfg
      c:\users\JUAN\AppData\Roaming\Help\coredb\storage
      c:\users\JUAN\AppData\Roaming\Identities\{2B8F4115-C525-44A4-BF71-9943A677265E}\LicenseValidator.exe
      c:\users\JUAN\AppData\Roaming\OfferBox
      c:\users\JUAN\AppData\Roaming\OfferBox\config.xml
      c:\users\JUAN\AppData\Roaming\OfferBox\http_app.offerbox.com\country.sxe
      c:\users\JUAN\AppData\Roaming\OfferBox\http_app.offerbox.com\history.db
      c:\users\JUAN\AppData\Roaming\OfferBox\http_app.offerbox.com\profile.sxe
      c:\users\JUAN\AppData\Roaming\OfferBox\http_app.offerbox.com\update.sxe
      c:\users\JUAN\AppData\Roaming\OfferBox\http_app.offerbox.com\update.xml
      c:\users\JUAN\lame_enc.dll
      c:\users\JUAN\lametritonus.dll
      .
      .
      ((((((((((((((((((((((((( Files Created from 2012-08-26 to 2012-09-26 )))))))))))))))))))))))))))))))
      .
      .
      2012-09-26 17:05 . 2012-09-26 17:05 -------- d-----w- c:\users\Invitado\AppData\Local\temp
      2012-09-26 17:05 . 2012-09-26 17:05 -------- d-----w- c:\users\Default\AppData\Local\temp
      2012-09-26 16:31 . 2012-09-26 16:31 -------- d-----w- c:\users\JUAN\AppData\Local\Macromedia
      2012-09-26 16:15 . 2012-09-26 16:15 -------- d-----w- c:\users\JUAN\AppData\Local\Mozilla
      2012-09-26 16:15 . 2012-09-26 16:15 -------- d-----w- c:\program files\Mozilla Maintenance Service
      2012-09-26 16:01 . 2012-09-26 16:01 -------- d-----w- c:\program files\CCleaner
      2012-09-26 15:31 . 2012-09-26 15:31 -------- d-----w- c:\users\JUAN\AppData\Roaming\Malwarebytes
      2012-09-26 15:31 . 2012-09-26 15:31 -------- d-----w- c:\programdata\Malwarebytes
      2012-09-26 15:31 . 2012-09-26 15:31 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
      2012-09-26 15:31 . 2012-09-07 15:04 22856 ----a-w- c:\windows\system32\drivers\mbam.sys
      2012-09-26 14:24 . 2012-09-26 17:05 -------- d-----w- c:\users\JUAN\AppData\Roaming\TeamViewer
      2012-09-26 14:24 . 2012-09-26 14:24 -------- d-----w- c:\users\JUAN\AppData\Roaming\Media Player Classic
      2012-09-26 10:15 . 2012-08-21 20:12 245760 ----a-w- c:\windows\system32\OxpsConverter.exe
      2012-09-25 06:08 . 2012-08-30 08:17 6980552 ----a-w- c:\programdata\Microsoft\Windows Defender\Definition Updates\{BDC16C83-7422-4B0C-AC99-7C50D03D6D0C}\mpengine.dll
      2012-09-22 23:27 . 2012-08-24 07:34 140936 ----a-w- c:\program files\Internet Explorer\sqmapi.dll
      2012-09-22 23:27 . 2012-08-24 06:48 194048 ----a-w- c:\program files\Internet Explorer\IEShims.dll
      2012-09-22 23:27 . 2012-08-24 06:47 420864 ----a-w- c:\windows\system32\vbscript.dll
      2012-09-22 23:27 . 2012-08-24 06:43 2382848 ----a-w- c:\windows\system32\mshtml.tlb
      2012-09-22 23:27 . 2012-08-24 06:49 194560 ----a-w- c:\program files\Internet Explorer\ieproxy.dll
      2012-09-22 23:27 . 2012-08-24 06:47 142848 ----a-w- c:\windows\system32\ieUnatt.exe
      2012-09-22 23:26 . 2012-08-24 07:34 748680 ----a-w- c:\program files\Internet Explorer\iexplore.exe
      2012-09-22 23:26 . 2012-08-24 06:59 1800704 ----a-w- c:\windows\system32\jscript9.dll
      2012-09-22 23:26 . 2012-08-24 06:51 1129472 ----a-w- c:\windows\system32\wininet.dll
      2012-09-22 23:26 . 2012-08-24 06:53 678912 ----a-w- c:\program files\Internet Explorer\iedvtool.dll
      2012-09-22 23:26 . 2012-08-24 06:52 387584 ----a-w- c:\program files\Internet Explorer\jsdbgui.dll
      2012-09-22 23:26 . 2012-08-24 06:51 1427968 ----a-w- c:\windows\system32\inetcpl.cpl
      2012-09-12 10:16 . 2012-08-22 17:16 1292144 ----a-w- c:\windows\system32\drivers\tcpip.sys
      2012-09-12 10:16 . 2012-08-22 17:16 712048 ----a-w- c:\windows\system32\drivers\ndis.sys
      2012-09-12 10:16 . 2012-08-22 17:16 240496 ----a-w- c:\windows\system32\drivers\netio.sys
      2012-09-12 10:16 . 2012-08-22 17:16 187760 ----a-w- c:\windows\system32\drivers\FWPKCLNT.SYS
      2012-09-12 10:16 . 2012-07-04 19:45 33280 ----a-w- c:\windows\system32\drivers\RNDISMP.sys
      2012-09-12 10:16 . 2012-08-02 16:57 490496 ----a-w- c:\windows\system32\d3d10level9.dll
      .
      .
      .
      (((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
      .
      2012-09-26 16:31 . 2012-04-10 18:52 73136 ----a-w- c:\windows\system32\FlashPlayerCPLApp.cpl
      2012-09-26 16:31 . 2012-04-10 18:52 696240 ----a-w- c:\windows\system32\FlashPlayerApp.exe
      2012-08-28 18:24 . 2012-07-03 08:18 477168 ----a-w- c:\windows\system32\npdeployJava1.dll
      2012-08-28 18:24 . 2012-04-14 10:56 473072 ----a-w- c:\windows\system32\deployJava1.dll
      2012-07-18 17:47 . 2012-08-16 11:21 2345984 ----a-w- c:\windows\system32\win32k.sys
      2012-07-04 21:14 . 2012-08-16 11:21 41984 ----a-w- c:\windows\system32\browcli.dll
      2012-07-04 21:14 . 2012-08-16 11:21 102912 ----a-w- c:\windows\system32\browser.dll
      2012-09-06 01:26 . 2012-09-26 16:15 266720 ----a-w- c:\program files\mozilla firefox\components\browsercomps.dll
      .
      .
      ((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
      .
      .
      *Note* empty entries & legit default entries are not shown
      REGEDIT4
      .
      [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
      "Spotify Web Helper"="c:\users\JUAN\AppData\Roaming\Spotify\Data\SpotifyWebHelper.exe" [2012-08-20 1193176]
      "UpgradeChecker"="c:\users\JUAN\AppData\Roaming\TeamViewer\{40B13172-B2E6-49F6-8397-C37340F8A793}\UpgradeChecker.exe" [2012-09-26 285184]
      .
      [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
      "AVG8_TRAY"="c:\progra~1\AVG\AVG8\avgtray.exe" [2012-04-11 2042208]
      "PlusService"="c:\program files\Yuna Software\Messenger Plus!\PlusService.exe" [2012-02-27 801792]
      "Adobe ARM"="c:\program files\Common Files\Adobe\ARM\1.0\AdobeARM.exe" [2012-04-04 843712]
      "DivXUpdate"="c:\program files\DivX\DivX Update\DivXUpdate.exe" [2011-07-28 1259376]
      "SunJavaUpdateSched"="c:\program files\Common Files\Java\Java Update\jusched.exe" [2012-01-18 254696]
      .
      [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
      "ConsentPromptBehaviorAdmin"= 5 (0x5)
      "ConsentPromptBehaviorUser"= 3 (0x3)
      "EnableUIADesktopToggle"= 0 (0x0)
      .
      [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
      "AppInit_DLLs"=c:\windows\System32\avgrsstx.dll
      .
      [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
      "aux"=wdmaud.drv
      .
      R3 AdobeFlashPlayerUpdateSvc;Adobe Flash Player Update Service;c:\windows\system32\Macromed\Flash\FlashPlayerUpdateService.exe [x]
      R3 dmvsc;dmvsc;c:\windows\system32\drivers\dmvsc.sys [x]
      R3 MozillaMaintenance;Mozilla Maintenance Service;c:\program files\Mozilla Maintenance Service\maintenanceservice.exe [x]
      R3 TsUsbFlt;TsUsbFlt;c:\windows\system32\drivers\tsusbflt.sys [x]
      R3 TsUsbGD;Remote Desktop Generic USB Device;c:\windows\system32\drivers\TsUsbGD.sys [x]
      R3 WatAdminSvc;Servicio de tecnologías de activación de Windows;c:\windows\system32\Wat\WatAdminSvc.exe [x]
      S1 AvgLdx86;AVG Free AVI Loader Driver x86;c:\windows\System32\Drivers\avgldx86.sys [x]
      S1 AvgTdiX;AVG Free8 Network Redirector;c:\windows\System32\Drivers\avgtdix.sys [x]
      S2 AdobeARMservice;Adobe Acrobat Update Service;c:\program files\Common Files\Adobe\ARM\1.0\armsvc.exe [x]
      S2 avg8emc;AVG Free8 E-mail Scanner;c:\progra~1\AVG\AVG8\avgemc.exe [x]
      S2 avg8wd;AVG Free8 WatchDog;c:\progra~1\AVG\AVG8\avgwdsvc.exe [x]
      S3 RTL8167;Controlador NT de Realtek 8167;c:\windows\system32\DRIVERS\Rt86win7.sys [x]
      .
      .
      Contents of the 'Scheduled Tasks' folder
      .
      2012-09-26 c:\windows\Tasks\Adobe Flash Player Updater.job
      - c:\windows\system32\Macromed\Flash\FlashPlayerUpdateService.exe [2012-04-10 16:31]
      .
      2012-09-26 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-1506687539-2499756227-1698723267-1000Core.job
      - c:\users\JUAN\AppData\Local\Google\Update\GoogleUpdate.exe [2012-09-26 15:41]
      .
      2012-09-26 c:\windows\Tasks\GoogleUpdateTaskUserS-1-5-21-1506687539-2499756227-1698723267-1000UA.job
      - c:\users\JUAN\AppData\Local\Google\Update\GoogleUpdate.exe [2012-09-26 15:41]
      .
      .
      ------- Supplementary Scan -------
      .
      uStart Page = hxxp://www.elcabildo.org/
      IE: &Enviar a OneNote - c:\progra~1\MICROS~3\Office14\ONBttnIE.dll/105
      IE: E&xportar a Microsoft Excel - c:\progra~1\MICROS~3\Office14\EXCEL.EXE/3000
      TCP: DhcpNameServer = 212.225.255.226 8.8.8.8
      FF - ProfilePath - c:\users\JUAN\AppData\Roaming\Mozilla\Firefox\Profiles\ooni5qn0.default\
      .
      - - - - ORPHANS REMOVED - - - -
      .
      Toolbar-10 - (no file)
      .
      .
      .
      --------------------- LOCKED REGISTRY KEYS ---------------------
      .
      [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}]
      @Denied: (A 2) (Everyone)
      @="FlashBroker"
      "LocalizedString"="@c:\\Windows\\system32\\Macromed\\Flash\\FlashUtil32_11_4_402_278_ActiveX.exe,-101"
      .
      [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\Elevation]
      "Enabled"=dword:00000001
      .
      [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\LocalServer32]
      @="c:\\Windows\\system32\\Macromed\\Flash\\FlashUtil32_11_4_402_278_ActiveX.exe"
      .
      [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\TypeLib]
      @="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
      .
      [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}]
      @Denied: (A 2) (Everyone)
      @="IFlashBroker5"
      .
      [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}\ProxyStubClsid32]
      @="{00020424-0000-0000-C000-000000000046}"
      .
      [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}\TypeLib]
      @="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
      "Version"="1.0"
      .
      [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\PCW\Security]
      @Denied: (Full) (Everyone)
      .
      Completion time: 2012-09-26 19:07:25
      ComboFix-quarantined-files.txt 2012-09-26 17:07
      .
      Pre-Run: 237.429.747.712 bytes libres
      Post-Run: 237.168.631.808 bytes libres
      .
      - - End Of File - - ED66E1C47F0D3955898C61ABA385A8C3

    4. #4
      Developer Avatar de Dany3j
      Registrado
      mar 2011
      Ubicación
      China
      Mensajes
      6.652

      Re: troyano Zbot

      Hola de nuevo

      Realiza lo siguiente :

      • Clic en INICIO > EJECUTAR >
        • Y ahí pones notepad.exe y ACEPTAR
        • Ahora copia y pega el texto del cuadro de mas abajo dentro del Notepad


      Código:
      KillAll::
      ClearJavaCache::
      
      Folder::
      c:\program files\Yuna Software
      c:\users\JUAN\AppData\Roaming\Spotify
      
      Registry::
      [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
      "Spotify Web Helper"=-
      "UpgradeChecker"=-
      [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
      "PlusService"=-


      • Guarda este archivo con el nombre CFScript.txt
      • Arrastra y suelta el archivo CFScript.txt dentro del archivo ComboFix.exe como lo muestra el screenshot de abajo.



      • ComboFix comenzará otra vez a ejecutarse. Cuando termine generara un nuevo reporte que tendras que pegar en este mismo tema.




      Después de reiniciar, comprobas en funcionamiento y nos comentás.

      Me tope con un gato negro y tuve que desviarme por el camino largo.

      * Síguenos en nuestro Twitter y hazte nuestro amigo en Facebook.
      * Infórmate de las ultimas amenazas de la red desde: InfoSpyware Blog
      * No se resuelven dudas por Privados ni por E-mail, ya que para eso esta el foro.