Foro de Spyware - Ver Mensaje Individual - Se me bloquea la pc en el arranque... (Solucionado)

Tema: Se me bloquea la pc en el arranque... (Solucionado)

Ver Mensaje Individual

post #3 (permalink)

02/05/07, 16:15:37

vasco_990

Usuario

Registrado: abr 2007

Ubicación: Argentina

Mensajes: 2

Re: Se me bloquea la pc en el arranque...

Hola!.. gracias por la respuesta...

Pase el Panda y me dio el siguiente log:

Incidencia Estado Elemento

Adware:adware/statblaster
No desinfectado
Registro de Windows
Herramienta potencialmente no deseada:Application/NirCmd.A No desinfectado
C:\Documents and Settings\Administador\Escritorio\ComboFix.exe[ComboFixT\nircmd.cfexe]

despues instale el Superantispyware, lo actualize y solo me reconocio 3 cookies que elimine...

y por ultimo pase el combofix que me dio el siguiente log:

"Administador" - 07-05-01 22:28:36 Service Pack 2
ComboFix 07-04-25.4V - Running from: "C:\Documents and Settings\Administador\Escritorio\"

(((((((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))

C:\WINDOWS\system32\taskmgr.com
C:\WINDOWS\system32\vbuzip10.dll
C:\WINDOWS\system32\vbzip11.dll
C:\WINDOWS\regedit.com

((((((((((((((((((((((((((((((( Files Created from 2007-04-01 to 2007-05-01 ))))))))))))))))))))))))))))))))))

2007-05-01 19:07 <DIR> d-------- C:\DOCUME~1\ALLUSE~1\DATOSD~1\SUPERAntiSpyware.com
2007-05-01 19:07 <DIR> d-------- C:\DOCUME~1\ADMINI~1\DATOSD~1\SUPERAntiSpyware.com
2007-05-01 19:07 <DIR> d-------- C:\Archivos de programa\SUPERAntiSpyware
2007-05-01 15:48 <DIR> d-------- C:\WINDOWS\LastGood
2007-05-01 14:19 <DIR> d-------- C:\Archivos de programa\CCleaner
2007-04-28 13:26 <DIR> d-a------ C:\WINDOWS\zts2.exe
2007-04-28 13:26 <DIR> d-a------ C:\WINDOWS\system32\vcmgcd32.dll
2007-04-28 13:26 <DIR> d-a------ C:\WINDOWS\system32\iifgfgf.dll
2007-04-28 13:26 <DIR> d-a------ C:\WINDOWS\rundll16.exe
2007-04-28 13:26 <DIR> d-a------ C:\WINDOWS\rundl132.dll
2007-04-28 13:26 <DIR> d-a------ C:\WINDOWS\logo1_.exe
2007-04-28 13:21 152,064 --a------ C:\WINDOWS\R.COM
2007-04-28 13:21 141,312 --a------ C:\WINDOWS\system32\T.COM
2007-04-27 23:33 <DIR> d-------- C:\DOCUME~1\ADMINI~1\DATOSD~1\Google
2007-04-27 23:19 <DIR> d-------- C:\DOCUME~1\ALLUSE~1\DATOSD~1\Google
2007-04-27 23:18 <DIR> d-------- C:\WINDOWS\system32\pro
2007-04-26 23:30 8,126,464 --a------ C:\DOCUME~1\ADMINI~1\ntuser.dat
2007-04-26 23:30 733,184 --a------ C:\DOCUME~1\LOCALS~1\ntuser.dat
2007-04-26 18:46 <DIR> d-------- C:\Archivos de programa\Archivos comunes\System-G
2007-04-26 17:32 26,013 --a------ C:\WINDOWS\system32\sleep.exe
2007-04-24 22:36 <DIR> d-------- C:\300d19c2fa223a7358
2007-04-24 21:51 <DIR> d-a------ C:\DOCUME~1\ALLUSE~1\DATOSD~1\TEMP
2007-04-24 18:55 69,864 --a------ C:\WINDOWS\system32\perfc0c0.dat
2007-04-24 18:55 443,278 --a------ C:\WINDOWS\system32\perfh0c0.dat
2007-04-23 21:40 737,280 --a------ C:\WINDOWS\iun6002.exe
2007-04-23 21:39 <DIR> d-------- C:\Archivos de programa\Tweak-XP Pro 4
2007-04-21 19:46 <DIR> d-------- C:\WINDOWS\system32\NtmsData
2007-04-10 21:43 24,072 --a------ C:\WINDOWS\system32\uxtuneup.dll
2007-04-10 21:43 <DIR> d-------- C:\Archivos de programa\TuneUp Utilities 2007
2007-04-10 21:42 <DIR> d-------- C:\Archivos de programa\Archivos comunes\Wise Installation Wizard
2007-04-10 21:33 <DIR> d-------- C:\DOCUME~1\ADMINI~1\DATOSD~1\TuneUp Software
2007-04-10 21:28 <DIR> d-------- C:\DOCUME~1\ALLUSE~1\DATOSD~1\TuneUp Software
2007-04-05 17:55 502,208 --a------ C:\WINDOWS\system32\drivers\amon.sys
2007-04-05 17:55 270,336 --a------ C:\WINDOWS\system32\imon.dll
2007-04-05 16:50 <DIR> d-------- C:\Archivos de programa\MSECache
2007-04-05 16:42 <DIR> d-------- C:\Archivos de programa\Microsoft.NET
2007-04-05 16:39 <DIR> d-------- C:\WINDOWS\SHELLNEW
2007-04-05 16:37 <DIR> dr-h----- C:\MSOCache
2007-04-04 22:58 <DIR> d-------- C:\Archivos de programa\MIKSOFT

(((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))) )))

2007-05-01 18:10 -------- d-------- C:\Archivos de programa\winpoet
2007-05-01 18:10 -------- d-------- C:\Archivos de programa\windows defender
2007-05-01 01:58 156 --a------ C:\DOCUME~1\ADMINI~1\DATOSD~1\wklnhst.dat
2007-04-29 00:16 -------- d-------- C:\Archivos de programa\msn messenger
2007-04-27 12:27 -------- d-------- C:\Archivos de programa\thomson
2007-04-27 12:24 -------- d-------- C:\Archivos de programa\copernic agent
2007-04-24 17:39 -------- d-------- C:\Archivos de programa\folder lockbox
2007-04-15 15:23 -------- d-------- C:\Archivos de programa\minilyrics
2007-04-05 17:37 -------- d-------- C:\Archivos de programa\windows media connect 2
2007-04-05 16:44 -------- d-------- C:\Archivos de programa\microsoft works
2007-03-31 19:16 69864 --a------ C:\WINDOWS\system32\perfc00a.dat
2007-03-31 19:16 443278 --a------ C:\WINDOWS\system32\perfh00a.dat
2007-03-30 19:16 0 --a------ C:\WINDOWS\system32\sbrc.dat
2007-03-30 19:16 0 --a------ C:\WINDOWS\system32\sbfc.dat
2007-03-17 10:45 293376 --a------ C:\WINDOWS\system32\winsrv.dll
2007-03-08 12:36 578560 --a------ C:\WINDOWS\system32\user32.dll
2007-03-08 12:36 40960 --a------ C:\WINDOWS\system32\mf3216.dll
2007-03-08 12:36 281600 --a------ C:\WINDOWS\system32\gdi32.dll
2007-03-08 12:32 1843712 --a------ C:\WINDOWS\system32\win32k.sys
2007-03-03 19:47 -------- d-------- C:\Archivos de programa\winaso
2007-02-05 17:18 185344 --a------ C:\WINDOWS\system32\upnphost.dll

(((((((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))

*Note* empty entries & legit default entries are not shown

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Explorer\Browser Helper Objects]
{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} C:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows\curr entversion\run]
"SoundMan"="SOUNDMAN.EXE"
"VTTimer"="VTTimer.exe"
"VTTrayp"="VTtrayp.exe"
"Windows Defender"="\"C:\\Archivos de programa\\Windows Defender\\MSASCui.exe\" -hide"
"nod32kui"="\"C:\\Archivos de programa\\Eset\\nod32kui.exe\" /WAITSERVICE"

[HKEY_CURRENT_USER\software\microsoft\windows\curre ntversion\run]
"CTFMON.EXE"="C:\\WINDOWS\\system32\\ctfmon.ex e"
"SUPERAntiSpyware"="C:\\Archivos de programa\\SUPERAntiSpyware\\SUPERAntiSpyware.exe"

[HKEY_USERS\.default\software\microsoft\windows\cur rentversion\run]
"DWQueuedReporting"="\"C:\\ARCHIV~1\\ARCHIV~1\\MIC ROS~1\\DW\\dwtrig20.exe\" -t"

[HKEY_CURRENT_USER\software\microsoft\windows\curre ntversion\policies\explorer]
"ClearRecentDocsOnExit"=dword:00000001
"NoRecentDocsMenu"=dword:00000000

[HKEY_CURRENT_USER\software\microsoft\windows\curre ntversion\policies\explorer\run]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\curr entversion\explorer\shellexecutehooks]
"{091EB208-39DD-417D-A5DD-7E2C2D8FB9CB}"="ShellExecuteHook contra el software malintencionado de Microsoft"
"{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA}"=""

HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\!SASWinLogon

HKEY_LOCAL_MACHINE\system\currentcontrolset\contro l\lsa
Authentication Packages REG_MULTI_SZ msv1_0\0\0
Security Packages REG_MULTI_SZ kerberos\0msv1_0\0schannel\0wdigest\0\0
Notification Packages REG_MULTI_SZ scecli\0\0

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Documents and Settings^Administador^Menú Inicio^Programas^Inicio^wkcalrem.LNK]
"backup"="C:\\WINDOWS\\pss\\wkcalrem.LNKStartu p"
"location"="Startup"
"command"="C:\\ARCHIV~1\\ARCHIV~1\\MICROS~1\\WORKS S~1\\WkCalRem.exe "
"item"="wkcalrem"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Documents and Settings^All Users^Menú Inicio^Programas^Inicio^Acrobat Assistant.lnk]
"backup"="C:\\WINDOWS\\pss\\Acrobat Assistant.lnkCommon Startup"
"location"="Common Startup"
"command"="C:\\ARCHIV~1\\Adobe\\ACROBA~2.0\\Distil lr\\AcroTray.exe "
"item"="Acrobat Assistant"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Documents and Settings^All Users^Menú Inicio^Programas^Inicio^Inicio rápido de Adobe Reader.lnk]
"backup"="C:\\WINDOWS\\pss\\Inicio rápido de Adobe Reader.lnkCommon Startup"
"location"="Common Startup"
"command"="C:\\ARCHIV~1\\Adobe\\ACROBA~3.0\\Reader \\READER~1.EXE "
"item"="Inicio rápido de Adobe Reader"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Documents and Settings^All Users^Menú Inicio^Programas^Inicio^WinZip Quick Pick.lnk]
"backup"="C:\\WINDOWS\\pss\\WinZip Quick Pick.lnkCommon Startup"
"location"="Common Startup"
"command"="C:\\ARCHIV~1\\WinZip\\WZQKPICK.EXE "
"item"="WinZip Quick Pick"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\a-winpoet-service]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersio n\\Run"
"item"="winpppoverethernet"
"hkey"="HKLM"
"command"="\"C:\\Archivos de programa\\WinPoET\\winpppoverethernet.exe\""
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\flockbox]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersio n\\Run"
"item"="flockbox"
"hkey"="HKLM"
"command"="C:\\Archivos de programa\\Folder Lockbox\\flockbox.exe /a"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\GhostStartTrayApp]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersio n\\Run"
"item"="GhostStartTrayApp"
"hkey"="HKLM"
"command"="C:\\Archivos de programa\\Symantec\\Norton Ghost 2003\\GhostStartTrayApp.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\InCD]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersio n\\Run"
"item"="InCD"
"hkey"="HKLM"
"command"="C:\\Archivos de programa\\Ahead\\InCD\\InCD.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MessengerPlus3]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersio n\\Run"
"item"="MsgPlus"
"hkey"="HKCU"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersio n\\Run"
"item"="msmsgs"
"hkey"="HKCU"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersio n\\Run"
"item"="NeroCheck"
"hkey"="HKLM"
"command"="C:\\WINDOWS\\system32\\NeroCheck.ex e"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Picasa Media Detector]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersio n\\Run"
"item"="PicasaMediaDetector"
"hkey"="HKLM"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RaidTool]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersio n\\Run"
"item"="raid_to"
"hkey"="HKLM"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RemoteControl]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersio n\\Run"
"item"="PDVDServ"
"hkey"="HKLM"
"command"="\"C:\\Archivos de programa\\CyberLink\\PowerDVD\\PDVDServ.exe\""
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SpeedTouch USB Diagnostics]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersio n\\Run"
"item"="Dragdiag"
"hkey"="HKLM"
"command"="\"C:\\Archivos de programa\\thomson\\Dragdiag.exe\" /icon"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WinampAgent]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersio n\\Run"
"item"="winampa"
"hkey"="HKLM"
"command"="C:\\Archivos de programa\\Winamp\\winampa.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows NT\CurrentVersion\Svchost]
HTTPFilter REG_MULTI_SZ HTTPFilter\0\0
LocalService REG_MULTI_SZ Alerter\0WebClient\0LmHosts\0RemoteRegistry\0upnph ost\0SSDPSRV\0\0
NetworkService REG_MULTI_SZ DnsCache\0\0
DcomLaunch REG_MULTI_SZ DcomLaunch\0TermService\0\0
rpcss REG_MULTI_SZ RpcSs\0\0
imgsvc REG_MULTI_SZ StiSvc\0\0
termsvcs REG_MULTI_SZ TermService\0\0
WudfServiceGroup REG_MULTI_SZ WUDFSvc\0\0

hklm\software\Microsoft\Windows NT\CurrentVersion\Svchost *netsvcs*
UxTuneUp

*newlycreated* - HKEY_LOCAL_MACHINE\system\currentcontrolset\enum\r oot\LEGACY_SASDIFSV
*newlycreated* - HKEY_LOCAL_MACHINE\system\currentcontrolset\enum\r oot\LEGACY_SASENUM
*newlycreated* - HKEY_LOCAL_MACHINE\system\currentcontrolset\enum\r oot\LEGACY_SASKUTIL

Contents of the 'Scheduled Tasks' folder
C:\WINDOWS\tasks\1-Click Maintenance.job
C:\WINDOWS\tasks\Mantenimiento con 1 clic.job
C:\WINDOWS\tasks\MP Scheduled Scan.job

************************************************** ******************

catchme 0.3.660 W2K/XP/Vista - userland rootkit detector by Gmer, http://www.gmer.net
Rootkit scan 2007-05-01 22:30:57
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden services ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0

************************************************** ******************

Completion time: 07-05-01 22:31:04
C:\ComboFix-quarantined-files.txt ... 07-05-01 22:31

luego de pasarlo me creo varios archivos en el disco c:\ uno con terminacion .$$$ y varios archivos de texto esos se eliminan?.. como se desisnstala?.. lo que reconocio el panda como rootkit que es?

saludos y gracias!