hola, tengo un problema con el trojan generic 5, la cosa esta asi, me di cuenta que tenia ese trojan por que trate de utilizar el XoftspySE para quitar los spyware, empieza a escanear pero marca error y que debe cerrarse cuando llega a esta ruta:

C:\Documentos and settings\zahida\configuración local\datos del programa\ microsoft\messenger

y cuando trato de borrar ese archivo desde el explorador de win apenas le aprieto a la carpeta messenger y lo cierra, cierra todas las ventanas del explorador y desaparece la barra de inicio... ya trate de borrarlo desde modo a prueba de fallos y hace lo mismo cierra todo ya que llegue a esa ruta... trate de detectarlo con el ewido y pasa lo mismo marca error y que debe cerrarse cuando llega a esa ruta...

el AVG no lo detecta, solo marca que hay un intento de treath de un Trojan horse Generic 5.CF cuando trato de borrar el archivo (....\datos del programa\ microsoft\messenger) y dice que ya lo sano, pero corro de nuevo el programa de ewido y me lo vuelve a cerrar

:( que hago????

Hola tahita que tal, bueno haber descargate Anti-Spywares - Info Spyware la herramienta Superantispyware y lo actualizas luego reinicia a modo a prueba de fallos y lo pasas, despues has un escaneo con Manual de Kaspersky Online Scanner y pegas tu reporte aqui .

Suerte espero tu reporte nuevamente .

hola kirigi, gracias! ya baje el Superantispyeware y lo corri en modo a prueba de fallos, me detecto 40 archivos mal y los elimino... reinicie la compu y traté de escanearla con el kaspersky y me marca que hay un error y que debe cerrarse justo cuando esta checando la carpeta de "c:\doc and settings\zahida\configuración local" .... :( asi que no les puedo pegar mi reporte por que pasa igual con el con el ewido, me lo cierra...

que más puedo hacer? :(

Hola tahita

1. Descarga F-Secure Blacklight (Pincha en "Download Blacklight Beta graphical user interface version")
   
2. Creale una carpeta propia en "Mi PC" -> C:\
   
3. Ejecutar la herramienta blbeta.exe. Acepta la licencia, y haz clic en "Scan" y espera un poco.
   
4. Al fin del scan, Blacklight va a indicar el nombre de "hidden items".
   
5. Cierra el programa, y mira en la carpeta donde esta, el reporte generado esta en forma de documento de texto, y su nombre comienza por "fsbl…", Pega aquí el contenido de ese reporte.

salu2
Recuerda volver

hola de nuevo, listo, aqui esta el reporte:

07/02/07 13:41:38 [Info]: BlackLight Engine 1.0.64 initialized
07/02/07 13:41:38 [Info]: OS: 5.1 build 2600 (Service Pack 2)
07/02/07 13:41:39 [Note]: 7019 4
07/02/07 13:41:39 [Note]: 7005 0
07/02/07 13:42:13 [Note]: 7006 0
07/02/07 13:42:13 [Note]: 7011 2444
07/02/07 13:42:13 [Note]: 7026 0
07/02/07 13:42:13 [Note]: 7026 0
07/02/07 13:42:21 [Note]: FSRAW library version 1.7.1022
07/02/07 13:47:47 [Info]: Hidden file: c:\WINDOWS\system32\kdtfy.exe
07/02/07 13:47:47 [Note]: 7002 32
07/02/07 13:47:47 [Note]: 7003 1
07/02/07 13:47:47 [Note]: 10002 1
07/02/07 13:49:10 [Note]: 2000 1012
07/02/07 13:49:10 [Note]: 2000 1012
07/02/07 13:56:45 [Note]: 7007 0

y ahora que procede? :)

Hola tahita

Elimina el ComboFix

1. Descargar ELIBAGLA 10.43 (en la parte de abajo de la página web) en el escritorio de windows
2. Ejecutalo, si lo puedes, en Modo Seguro (a prueba de fallos), en modo normal si no lo puedes...Espera

Cuando es terminado, reinicia el pc y pega :

- el contenido del archivo infoSat.txt (q se situa en Mi PC > C:\ )
- un nuevo reporte del F-Secure Blacklight

- Descarga, actualiza y ejecuta

• AVG Anti-Rootkit Free

• Descarga la herramienta ComboFix.exe y guárdala en el escritorio de Win.
• Hace doble-click en el archivo combofix.exe y seguí los avisos.
• Cuando termine este generara un reporte que tendrías que pegar en este mismo mensaje.
  • Nota* Puede que algunos Antivirus como Panda detecten un falso positivo en ComboFix pero no hay que preocuparse por esto.

- Realiza un escaneo online con "Panda ActiveScan Online" y nos dejas sus reportes en este mismo mensaje.

salu2
Recuerda volver

hola, aqui estan los reportes:

------------EliBag IA------------


Tue Jul 03 12:26:48 2007
EliBagle v10.43 (c)2007 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Acción Directa):
Por favor, envienos una muestra del fichero
C:\Muestras\WINSYS.EXE.Muestra EliBagle v10.43
a "virus@satinfo.es". Gracias.
C:\WINDOWS\SYSTEM32\WINSYS.EXE --> Eliminado Bagle

Tue Jul 03 12:27:31 2007
EliBagle v10.43 (c)2007 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Acción Directa):

Tue Jul 03 12:27:34 2007
EliBagle v10.43 (c)2007 S.G.H. / Satinfo S.L.
----------------------------------------------
Lista de Acciones (por Exploración):
Explorando Unidad C:\



-------------------f-secure Blacklight---------------

07/03/07 12:45:32 [Info]: BlackLight Engine 1.0.64 initialized
07/03/07 12:45:32 [Info]: OS: 5.1 build 2600 (Service Pack 2)
07/03/07 12:45:33 [Note]: 7019 4
07/03/07 12:45:33 [Note]: 7005 0
07/03/07 12:45:37 [Note]: 7006 0
07/03/07 12:45:37 [Note]: 7011 1484
07/03/07 12:45:38 [Note]: 7026 0
07/03/07 12:45:38 [Note]: 7026 0
07/03/07 12:46:09 [Note]: FSRAW library version 1.7.1022
07/03/07 12:55:00 [Info]: Hidden file: c:\WINDOWS\system32\orutv.tmp
07/03/07 12:55:00 [Note]: 7002 2
07/03/07 12:55:00 [Note]: 7003 1
07/03/07 12:55:00 [Note]: 10002 1
07/03/07 12:55:05 [Info]: Hidden file: c:\WINDOWS\system32\kdtfy.exe
07/03/07 12:55:05 [Note]: 7002 32
07/03/07 12:55:05 [Note]: 7003 1
07/03/07 12:55:05 [Note]: 10002 1
07/03/07 12:59:57 [Note]: 2000 1012
07/03/07 12:59:57 [Note]: 2000 1012
07/03/07 13:00:49 [Note]: 7007 0


-----------ComboFix--------------

"zAhidA" - 2007-07-03 13:14:14 - ComboFix 07-07-03.9 - Service Pack 2

/wow section - STAGE #3
/wow section not completed

(((((((((((((((((((((((((((((((((((((((((((( V Log )))))))))))))))))))))))))))))))))))))))))))))))))) )))))


C:\WINDOWS\system32\cekosrad.dll
C:\WINDOWS\system32\hsdruvgi.dll
C:\WINDOWS\system32\iqbijeyu.dll
C:\WINDOWS\system32\mswcphoe.dll
C:\WINDOWS\system32\nogwjoto.dll
C:\WINDOWS\system32\oedliotq.dll
C:\WINDOWS\system32\oissyvcw.dll
C:\WINDOWS\system32\voaijaoi.dll
C:\WINDOWS\system32\xfykrpvy.dll
C:\WINDOWS\system32\darsokec.ini
C:\WINDOWS\system32\igvurdsh.ini
C:\WINDOWS\system32\uyejibqi.ini
C:\WINDOWS\system32\otojwgon.ini
C:\WINDOWS\system32\qtoildeo.ini
C:\WINDOWS\system32\wcvyssio.ini
C:\WINDOWS\system32\ioajiaov.ini
C:\WINDOWS\system32\orutv.bak1
C:\WINDOWS\system32\orutv.bak2
C:\WINDOWS\system32\orutv.ini
C:\WINDOWS\system32\yvprkyfx.ini
C:\WINDOWS\system32\gjkkj.bak1
C:\WINDOWS\system32\gjkkj.bak2
C:\WINDOWS\system32\gjkkj.ini
C:\WINDOWS\system32\gjkkj.ini2
C:\WINDOWS\system32\gjkkj.tmp
C:\WINDOWS\system32\vturo.dll
C:\WINDOWS\system32\wvutqrp.dll


* * * POST RUN FILES/FOLDERS * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * *



((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))


C:\Archivos de programa\Archivos comunes\{94B28~1
C:\Archivos de programa\Archivos comunes\{94B28~2
C:\Archivos de programa\Archivos comunes\{94B28~3
C:\Archivos de programa\inetget2
C:\DOCUME~1\zAhidA\DATOSD~1.\macromedia\Flash Player\#SharedObjects\D74GUVVU\www.broadcaster.com
C:\DOCUME~1\zAhidA\DATOSD~1.\macromedia\Flash Player\macromedia.com\support\flashplayer\sys\#www .broadcaster.com
C:\DOCUME~1\zAhidA\DATOSD~1.\macromedia\Flash Player\macromedia.com\support\flashplayer\sys\#www .broadcaster.com\settings.sol
C:\WINDOWS\system32\fnts~1
C:\WINDOWS\system32\kdtfy.exe


((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))


-------\LEGACY_COM+_MESSAGES
-------\LEGACY_DOMAINSERVICE
-------\LEGACY_SXSERV
-------\COM+ Messages
-------\DomainService
-------\SXServ


((((((((((((((((((((((((( Files Created from 2007-06-03 to 2007-07-03 )))))))))))))))))))))))))))))))


2007-07-03 12:49 51,200 --a------ C:\WINDOWS\nircmd.exe
2007-07-03 12:47 3,968 --a------ C:\WINDOWS\system32\drivers\AvgArCln.sys
2007-07-03 12:26 <DIR> d-------- C:\Muestras
2007-07-02 15:38 <DIR> d-------- C:\Archivos de programa\MSN Messenger
2007-07-02 13:40 <DIR> d-------- C:\Nueva carpeta
2007-07-02 13:26 6,409 ---hs---- C:\WINDOWS\system32\ijkmp.bak1
2007-07-02 12:25 <DIR> d-------- C:\WINDOWS\system32\Kaspersky Lab
2007-07-02 11:29 <DIR> d-------- C:\DOCUME~1\zAhidA\DATOSD~1\SUPERAntiSpyware.com
2007-07-02 11:29 <DIR> d-------- C:\DOCUME~1\ALLUSE~1\DATOSD~1\SUPERAntiSpyware.com
2007-07-02 11:29 <DIR> d-------- C:\Archivos de programa\SUPERAntiSpyware
2007-07-02 11:28 <DIR> d-------- C:\Archivos de programa\Archivos comunes\Wise Installation Wizard
2007-07-02 01:53 <DIR> d-------- C:\kav
2007-07-02 00:53 <DIR> d-------- C:\Archivos de programa\ewido anti-spyware 4.0
2007-07-02 00:11 <DIR> d---s---- C:\DOCUME~1\zAhidA\UserData
2007-07-01 23:56 <DIR> d-------- C:\WINDOWS\SxsCaPendDel
2007-07-01 23:23 524,288 --ah----- C:\DOCUME~1\ADMINI~1\NTUSER.DAT
2007-07-01 23:23 <DIR> dr-h----- C:\DOCUME~1\ADMINI~1\Datos de programa
2007-07-01 23:23 <DIR> dr------- C:\DOCUME~1\ADMINI~1\Men£ Inicio
2007-07-01 23:23 <DIR> d--h----- C:\DOCUME~1\ADMINI~1\Reciente
2007-07-01 23:23 <DIR> d--h----- C:\DOCUME~1\ADMINI~1\Plantillas
2007-07-01 23:23 <DIR> d--h----- C:\DOCUME~1\ADMINI~1\Impresoras
2007-07-01 23:23 <DIR> d--h----- C:\DOCUME~1\ADMINI~1\Entorno de red
2007-07-01 23:23 <DIR> d--h----- C:\DOCUME~1\ADMINI~1\Configuraci¢n local
2007-07-01 23:23 <DIR> d-------- C:\DOCUME~1\ADMINI~1\Mis documentos
2007-07-01 23:23 <DIR> d-------- C:\DOCUME~1\ADMINI~1\Favoritos
2007-07-01 23:23 <DIR> d-------- C:\DOCUME~1\ADMINI~1\Escritorio
2007-07-01 23:07 <DIR> d-------- C:\Archivos de programa\FileASSASSIN
2007-07-01 15:49 <DIR> d-------- C:\DOCUME~1\ALLUSE~1\DATOSD~1\FLEXnet
2007-06-30 17:37 <DIR> d-------- C:\Archivos de programa\XoftSpySE
2007-06-29 12:23 <DIR> d-------- C:\Archivos de programa\Common Files
2007-06-29 12:17 8,704 --a------ C:\WINDOWS\system32\SpOrder.dll
2007-06-29 12:17 24,064 --a------ C:\WINDOWS\system32\msxml3a.dll
2007-06-27 11:45 100,048 --a------ C:\DOCUME~1\zAhidA\DATOSD~1\errorsafescannerinstal l_es[1].exe
2007-06-26 14:04 <DIR> d-------- C:\Archivos de programa\Typograf
2007-06-24 16:31 <DIR> d-------- C:\DOCUME~1\zAhidA\DATOSD~1\Corel
2007-06-24 16:29 <DIR> d-------- C:\DOCUME~1\ALLUSE~1\DATOSD~1\InstallShield
2007-06-08 15:42 <DIR> d-------- C:\Archivos de programa\Pando Networks
2007-06-06 12:56 <DIR> d-------- C:\WINDOWS\system32\SoftwareDistribution
2007-06-04 10:15 <DIR> d-------- C:\DOCUME~1\zAhidA\DATOSD~1\DivX
2007-06-03 23:56 <DIR> d-------- C:\DOCUME~1\zAhidA\DATOSD~1\Ventrilo
2007-06-03 14:57 <DIR> d-------- C:\DOCUME~1\zAhidA\DATOSD~1\uTorrent


(((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))) ))

2007-07-01 22:40:17 -------- d-----w C:\Archivos de programa\Opera
2007-06-30 22:19:37 -------- d--h--w C:\Archivos de programa\InstallShield Installation Information
2007-06-29 04:58:51 -------- d-----w C:\DOCUME~1\zAhidA\DATOSD~1\LimeWire
2007-06-26 03:06:24 13,358 --sha-w C:\WINDOWS\system32\KGyGaAvL.sys
2007-06-26 03:06:15 104 --sh--r C:\WINDOWS\system32\EF6DCB1335.sys
2007-06-24 21:26:26 -------- d-----w C:\Archivos de programa\Archivos comunes\InstallShield
2007-06-04 15:13:54 -------- d-----w C:\Archivos de programa\DivX
2007-06-03 18:09:13 -------- d-----w C:\Archivos de programa\Windows Live Safety Center
2007-05-31 18:16:07 -------- d-----w C:\Archivos de programa\XviD
2007-05-31 06:45:07 524,288 ----a-w C:\WINDOWS\system32\DivXsm.exe
2007-05-31 06:44:55 823,296 ----a-w C:\WINDOWS\system32\divx_xx07.dll
2007-05-31 06:44:54 823,296 ----a-w C:\WINDOWS\system32\divx_xx0c.dll
2007-05-31 06:44:54 802,816 ----a-w C:\WINDOWS\system32\divx_xx11.dll
2007-05-31 06:44:54 740,442 ----a-w C:\WINDOWS\system32\DivX.dll
2007-05-28 1906 -------- d-----w C:\Archivos de programa\Archivos comunes\Macromedia Shared
2007-05-16 15:12:01 683,520 ----a-w C:\WINDOWS\system32\inetcomm.dll
2007-05-16 00:40:55 76,570 ----a-w C:\WINDOWS\system32\perfc00A.dat
2007-05-16 00:40:55 453,350 ----a-w C:\WINDOWS\system32\perfh00A.dat
2007-05-03 18:42:57 -------- d-----w C:\Archivos de programa\Windows Media Connect 2
2007-04-25 14:22:37 144,896 ----a-w C:\WINDOWS\system32\schannel.dll
2007-04-23 00:15:29 3,596,288 ----a-w C:\WINDOWS\system32\qt-dx331.dll
2007-04-23 00:02:34 73,728 ----a-w C:\WINDOWS\system32\dpl100.dll
2007-04-23 00:01:47 12,288 ----a-w C:\WINDOWS\system32\DivXWMPExtType.dll
2007-04-23 00:01:46 124,472 ----a-w C:\WINDOWS\system32\DivXCodecUpdateChecker.exe
2007-04-18 16:14:22 2,854,400 ----a-w C:\WINDOWS\system32\msi.dll
2007-04-17 03:47:36 33,624 ----a-w C:\WINDOWS\system32\wups.dll
2007-04-17 03:45:54 1,710,936 ----a-w C:\WINDOWS\system32\wuaueng.dll
2007-04-17 03:45:48 549,720 ----a-w C:\WINDOWS\system32\wuapi.dll
2007-04-17 03:45:42 325,976 ----a-w C:\WINDOWS\system32\wucltui.dll
2007-04-17 03:45:36 203,096 ----a-w C:\WINDOWS\system32\wuweb.dll
2007-04-17 03:45:28 92,504 ----a-w C:\WINDOWS\system32\cdm.dll
2007-04-17 03:45:20 53,080 ----a-w C:\WINDOWS\system32\wuauclt.exe
2007-04-17 03:45:20 43,352 ----a-w C:\WINDOWS\system32\wups2.dll


((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))


*Note* empty entries & legit default entries are not shown

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{7E853D72-626A-48EC-A868-BA8D5E23E045}]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run]
"TkBellExe"="C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe" [2006-10-10 11:31]
"QuickTime Task"="C:\Archivos de programa\QuickTime\qttask.exe" [2006-10-25 19:58]
"AVG7_CC"="C:\ARCHIV~1\Grisoft\AVG7\avgcc.exe" [2007-04-20 17:35]
"nwiz"="nwiz.exe" [2005-02-23 18:32 C:\WINDOWS\system32\nwiz.exe]
"ISUSPM Startup"="C:\ARCHIV~1\ARCHIV~1\INSTAL~1\UPDATE~1\I SUSPM.exe" [2004-06-16 06:03]
"ISUSScheduler"="C:\Archivos de programa\Archivos comunes\InstallShield\UpdateService\issch.exe" [2004-06-16 06:03]
"TTFMan"="c:\archivos de programa\typograf\ttfman.exe" [2004-04-20 11:21]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2005-02-23 18:32]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-19 15:42]
"msnmsgr"="C:\Archivos de programa\MSN Messenger\MsnMsgr.exe" [2007-01-19 12:55]
"Pando"="C:\Archivos de programa\Pando Networks\Pando\pando.exe" [2007-06-18 12:52]
"@"="" []
"AdobeUpdater"="C:\Archivos de programa\Archivos comunes\Adobe\Updater5\AdobeUpdater.exe" []

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Explorer\ShellExecuteHooks]
"{57B86673-276A-48B2-BAE7-C6DBB3020EB8}"="C:\Archivos de programa\ewido anti-spyware 4.0\shellexecutehook.dll" [2006-06-16 09:38]
"{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA}"="C:\Archivos de programa\SUPERAntiSpyware\SASSEH.DLL" [2006-12-20 12:55]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\!SASWinLogon]
C:\Archivos de programa\SUPERAntiSpyware\SASWINLO.DLL

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\winmbj32]
winmbj32.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\winpsa32]
winpsa32.dll


Contents of the 'Scheduled Tasks' folder
2006-09-17 03:51:07 C:\WINDOWS\tasks\AppleSoftwareUpdate.job
2007-07-03 18:34:57 C:\WINDOWS\tasks\XoftSpySE 2.job
2007-06-30 22:37:36 C:\WINDOWS\tasks\XoftSpySE.job

************************************************** ************************

catchme 0.3.914 W2K/XP/Vista - rootkit detector by Gmer, http://www.gmer.net
Rootkit scan 2007-07-03 13:35:06
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

************************************************** ************************

Completion time: 2007-07-03 13:39:11 - machine was rebooted
C:\ComboFix-quarantined-files.txt ... 2007-07-03 13:38

--- E O F ---

-------ComboFix quarantined-files--------------



-------------Panda online-----------------


Incidencia Estado Elemento

Adware:Adware/WinAntivirus2006 No desinfectado C:\Archivos de programa\Common Files\Companion Wizard\WapCHK.dll
Spyware:Cookie/Atlas DMT No desinfectado C:\Documents and Settings\zAhidA\Cookies\zahida@atdmt[2].txt
Spyware:Cookie/ErrorSafe No desinfectado C:\Documents and Settings\zAhidA\Cookies\zahida@errorsafe[1].txt
Spyware:Cookie/Reliablestats No desinfectado C:\Documents and Settings\zAhidA\Cookies\zahida@stats1.reliablestat s[2].txt
Spyware:Cookie/ademails No desinfectado C:\Documents and Settings\zAhidA\Cookies\zahida@www.ademails[1].txt
Herramienta potencialmente no deseada:Application/ErrorSafe No desinfectado C:\Documents and Settings\zAhidA\Datos de programa\errorsafescannerinstall_es[1].exe
Virus:Trj/DNSChanger.UT Desinfectado C:\QooBox\Quarantine\C\WINDOWS\system32\kdtfy.exe. vir
Spyware:Spyware/Virtumonde No desinfectado C:\QooBox\Quarantine\C\WINDOWS\system32\wvutqrp.dl l.vir
Virus:Malware Generic Desinfectado D:\series\patch.exe
Virus:Malware Generic No desinfectado D:\series\series.rar[patch.exe]
Virus:Malware Generic No desinfectado D:\series\XoftSpy_SE_4.29.214.rar[patch.exe]