Foro de Spyware - Ver Mensaje Individual - ordenador nuevo infectado con troyanos

Tema: ordenador nuevo infectado con troyanos

Ver Mensaje Individual

post #5 (permalink)

13/11/07, 08:07:52

Membrifuegos Membrifuegos está offline

Usuario

Registrado: nov 2007

Ubicación: España

Mensajes: 4

Re: ordenador nuevo infectado con troyanos

bueno, segui todos los pasos tal y como me dijiste, lo unico q note fue un problemilla al eliminar:C:\Archivos de programa\Wingen\LSASS.exe ya q se me apago el ordenador. los demas los elimine sin problemas. El reporte que dejo el combo fix es el siguiente:
ComboFix 07-11-08.1 - Administrador 2007-11-11 23:12:46.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.3082.18.1665 [GMT 1:00]
Se ejecuta desde: C:\Documents and Settings\Administrador\Escritorio\ComboFix.exe
.

(((((((((((((((((( Archivos creados desde 2007-10-11 - 2007-11-11 )))))))))))))))))))))))))))))))))
.

2007-11-11 23:11 51,200 --a------ C:\WINDOWS\NirCmd.exe
2007-11-08 15:06 <DIR> d-------- C:\Demo ArcGis 9.1
2007-11-08 14:54 <DIR> d-------- C:\CT2007
2007-11-07 11:11 <DIR> d-------- C:\WINDOWS\system32\Kaspersky Lab
2007-11-06 18:07 <DIR> d-------- C:\WINDOWS\system32\ActiveScan
2007-11-06 12:08 <DIR> d-------- C:\Documents and Settings\All Users\Datos de programa\SUPERAntiSpyware.com
2007-11-06 12:04 <DIR> d-------- C:\Documents and Settings\Administrador\Datos de programa\SUPERAntiSpyware.com
2007-11-06 12:03 <DIR> d-------- C:\Documents and Settings\All Users\Datos de programa\Spybot - Search & Destroy
2007-10-30 20:40 <DIR> d--hs---- C:\WINDOWS\system32\drivers\Wingen
2007-10-30 20:40 <DIR> d-------- C:\Archivos de programa\Wingen
2007-10-29 11:44 <DIR> d-------- C:\Documents and Settings\Administrador\Datos de programa\Kazaa Lite
2007-10-24 11:05 <DIR> d-------- C:\Archivos de programa\Archivos comunes\Adobe
2007-10-24 11:02 <DIR> d-a------ C:\Documents and Settings\All Users\Datos de programa\TEMP
2007-10-24 11:02 626,688 --a------ C:\WINDOWS\system32\msvcr80.dll
2007-10-24 11:00 <DIR> d-------- C:\Documents and Settings\All Users\Datos de programa\Google Updater
2007-10-24 11:00 <DIR> d-------- C:\Archivos de programa\Google
2007-10-23 14:13 <DIR> d-------- C:\Documents and Settings\All Users\Datos de programa\nView_Profiles
2007-10-23 09:57 <DIR> d-------- C:\WINDOWS\Sun
2007-10-22 15:09 584,192 --------- C:\WINDOWS\system32\dllcache\rpcrt4.dll
2007-10-22 15:01 <DIR> d-------- C:\Documents and Settings\Administrador\Contacts
2007-10-20 15:52 21,840 --a----t- C:\WINDOWS\system32\SIntfNT.dll
2007-10-20 15:52 17,212 --a----t- C:\WINDOWS\system32\SIntf32.dll
2007-10-20 15:52 12,067 --a----t- C:\WINDOWS\system32\SIntf16.dll
2007-10-19 17:37 <DIR> d-------- C:\Documents and Settings\Administrador\Datos de programa\Media Player Classic
2007-10-19 17:30 12,416 --a------ C:\WINDOWS\system32\drivers\mouhid.sys
2007-10-19 17:30 9,600 --a------ C:\WINDOWS\system32\drivers\hidusb.sys
2007-10-16 10:18 58,624 --a------ C:\WINDOWS\system32\drivers\redbook.sys
2007-10-16 10:18 3,072 --a------ C:\WINDOWS\system32\drivers\audstub.sys
2007-10-16 10:17 77,824 --a------ C:\WINDOWS\system32\usbui.dll
2007-10-16 10:17 27,165 --a------ C:\WINDOWS\system32\drivers\fetnd5.sys
2007-10-16 10:16 44,672 --a------ C:\WINDOWS\system32\drivers\UAGP35.SYS
2007-10-16 10:16 14,080 --a------ C:\WINDOWS\system32\drivers\CmBatt.sys
2007-10-16 10:16 14,080 --a------ C:\WINDOWS\system32\drivers\battc.sys
2007-10-16 10:16 9,344 --a------ C:\WINDOWS\system32\drivers\compbatt.sys
2007-10-16 10:16 8,832 --a------ C:\WINDOWS\system32\drivers\wmiacpi.sys
2007-10-16 10:15 <DIR> d--h----- C:\Documents and Settings\Default User\Reciente
2007-10-16 10:15 <DIR> d--h----- C:\Documents and Settings\Default User\Plantillas
2007-10-16 10:15 <DIR> d-------- C:\Documents and Settings\Default User\Mis documentos
2007-10-16 10:15 <DIR> dr------- C:\Documents and Settings\Default User\Menú Inicio
2007-10-16 10:15 <DIR> d--h----- C:\Documents and Settings\Default User\Impresoras
2007-10-16 10:15 <DIR> d-------- C:\Documents and Settings\Default User\Favoritos
2007-10-16 10:15 <DIR> d-------- C:\Documents and Settings\Default User\Escritorio
2007-10-16 10:15 <DIR> d--h----- C:\Documents and Settings\Default User\Entorno de red
2007-10-16 10:15 <DIR> dr-h----- C:\Documents and Settings\Default User\Configuración local
2007-10-16 10:15 <DIR> d--h----- C:\Documents and Settings\All Users\Plantillas
2007-10-16 10:15 <DIR> dr------- C:\Documents and Settings\All Users\Menú Inicio
2007-10-16 10:15 <DIR> d-------- C:\Documents and Settings\All Users\Favoritos
2007-10-16 10:15 <DIR> d-------- C:\Documents and Settings\All Users\Escritorio
2007-10-16 10:15 <DIR> dr------- C:\Documents and Settings\All Users\Documentos
2007-10-16 10:15 <DIR> d-------- C:\Archivos de programa\Archivos comunes\SpeechEngines
2007-10-16 10:15 <DIR> d-------- C:\Archivos de programa\Archivos comunes\ODBC
2007-10-16 10:14 <DIR> d-------- C:\WINDOWS\system32\CatRoot2
2007-10-16 10:14 <DIR> d-------- C:\WINDOWS\system32\CatRoot
2007-10-16 10:14 <DIR> dr-h----- C:\Documents and Settings\Default User\Datos de programa
2007-10-16 10:14 <DIR> dr-h----- C:\Documents and Settings\All Users\Datos de programa
2007-10-16 10:14 <DIR> d-------- C:\Documents and Settings
2007-10-16 10:07 <DIR> d-------- C:\Documents and Settings\Administrador\Datos de programa\Ahead
2007-10-16 10:04 <DIR> d-------- C:\Archivos de programa\REALTEK RTL8187 Wireless LAN Driver
2007-10-16 10:04 <DIR> d-------- C:\Archivos de programa\HotKey_Driver
2007-10-16 10:04 180,480 -ra------ C:\WINDOWS\system32\drivers\RTL8187.sys
2007-10-16 10:04 5,120 --a------ C:\WINDOWS\system32\CLEVOMOF.dll
2007-10-16 10:03 <DIR> d-------- C:\Archivos de programa\Synaptics
2007-10-16 10:03 356,352 -ra------ C:\WINDOWS\EMCRI.dll
2007-10-16 10:03 198,976 --a------ C:\WINDOWS\system32\drivers\SynTP.sys
2007-10-16 10:03 196,608 --a------ C:\WINDOWS\system32\SynCtrl.dll
2007-10-16 10:03 163,840 --a------ C:\WINDOWS\system32\SynCOM.dll
2007-10-16 10:03 143,360 --a------ C:\WINDOWS\system32\SynTPAPI.dll
2007-10-16 10:03 110,592 --a------ C:\WINDOWS\system32\SynTPCo4.dll
2007-10-16 10:03 62,208 -ra------ C:\WINDOWS\system32\drivers\EMS7SK.sys
2007-10-16 10:03 42,240 -ra------ C:\WINDOWS\system32\drivers\ESD7SK.sys
2007-10-16 10:02 <DIR> d-------- C:\WINDOWS\vnDrvBas
2007-10-16 10:02 69,632 --a------ C:\WINDOWS\system32\vuins32.dll
2007-10-16 10:02 45,568 --a------ C:\WINDOWS\system32\drivers\fetnd5bv.sys
2007-10-16 10:00 337,320 --a------ C:\WINDOWS\system32\difxapi.dll
2007-10-16 10:00 172,416 --a------ C:\WINDOWS\system32\drivers\kmixer.sys
2007-10-16 10:00 142,464 --a------ C:\WINDOWS\system32\drivers\aec.sys
2007-10-16 10:00 82,944 --a------ C:\WINDOWS\system32\drivers\wdmaud.sys
2007-10-16 10:00 54,272 --a------ C:\WINDOWS\system32\drivers\swmidi.sys
2007-10-16 10:00 52,864 --a------ C:\WINDOWS\system32\drivers\DMusic.sys
2007-10-16 10:00 6,272 --a------ C:\WINDOWS\system32\drivers\splitter.sys
2007-10-16 10:00 2,944 --a------ C:\WINDOWS\system32\drivers\drmkaud.sys

.
(((((((((((((((((((((((((((((((((((((( Reporte Find3M )))))))))))))))))))))))))))))))))))))))))))))))))) )
.
2007-11-06 11:17 --------- d-----w C:\Archivos de programa\Archivos comunes\Wise Installation Wizard
2007-10-27 16:07 --------- d--h--w C:\Archivos de programa\InstallShield Installation Information
2007-10-23 08:57 --------- d-----w C:\Archivos de programa\Java
2007-10-22 14:04 --------- d-----w C:\Archivos de programa\MSN Messenger
2007-10-19 17:10 --------- d-----w C:\Archivos de programa\Winamp
2007-10-16 09:00 --------- d-----w C:\Archivos de programa\VIA
2007-10-16 08:58 --------- d-----w C:\Archivos de programa\Motorola
2007-10-16 08:53 --------- d-----w C:\Archivos de programa\Archivos comunes\InstallShield
2007-10-16 08:38 --------- d-----w C:\Archivos de programa\TaskSwitchXP
2007-10-16 08:37 220,160 ----a-w C:\WINDOWS\system32\uxtheme.dll
2007-10-16 08:36 --------- d-----w C:\Documents and Settings\All Users\Datos de programa\Apple Computer
2007-10-16 08:36 --------- d-----w C:\Documents and Settings\Administrador\Datos de programa\TuneUp Software
2007-10-16 08:36 --------- d-----w C:\Archivos de programa\TuneUp Utilities 2006
2007-10-16 08:36 --------- d-----w C:\Archivos de programa\Real Alternative
2007-10-16 08:36 --------- d-----w C:\Archivos de programa\QuickTime Alternative
2007-10-16 08:36 --------- d-----w C:\Archivos de programa\Media Player Classic
2007-10-16 08:36 --------- d-----w C:\Archivos de programa\CyberLink
2007-10-16 08:35 --------- d-----w C:\Archivos de programa\Windows Media Connect 2
2007-10-16 08:33 --------- d-----w C:\Archivos de programa\Microsoft.NET
2007-10-16 08:33 --------- d-----w C:\Archivos de programa\Microsoft Works
2007-10-16 08:32 502,368 ----a-w C:\WINDOWS\system32\drivers\amon.sys
2007-10-16 08:32 270,336 ----a-w C:\WINDOWS\system32\imon.dll
2007-10-16 08:32 --------- d-----w C:\Archivos de programa\Archivos comunes\Ahead
2007-10-16 08:31 --------- d-----w C:\Archivos de programa\Nero
2007-10-16 08:31 --------- d-----w C:\Archivos de programa\K-Lite Codec Pack
2007-10-16 08:30 --------- d-----w C:\Archivos de programa\DVD Shrink
2007-10-16 08:30 --------- d-----w C:\Archivos de programa\DAMN NFO Viewer
2007-10-16 08:30 --------- d-----w C:\Archivos de programa\Archivos comunes\Java
2007-10-16 08:23 639,224 ----a-w C:\WINDOWS\system32\drivers\sptd.sys
2007-10-16 08:21 --------- d-----w C:\Archivos de programa\Archivos comunes\MSSoap
2007-08-21 06:17 683,520 ----a-w C:\WINDOWS\system32\inetcomm.dll
2007-08-21 06:17 683,520 ------w C:\WINDOWS\system32\dllcache\inetcomm.dll
2007-08-20 09:59 824,832 ----a-w C:\WINDOWS\system32\dllcache\wininet.dll
2007-08-20 09:59 671,232 ----a-w C:\WINDOWS\system32\dllcache\mstime.dll
2007-08-20 09:59 63,488 ------w C:\WINDOWS\system32\dllcache\icardie.dll
2007-08-20 09:59 6,058,496 ------w C:\WINDOWS\system32\dllcache\ieframe.dll
2007-08-20 09:59 52,224 ------w C:\WINDOWS\system32\dllcache\msfeedsbs.dll
2007-08-20 09:59 477,696 ----a-w C:\WINDOWS\system32\dllcache\mshtmled.dll
2007-08-20 09:59 459,264 ------w C:\WINDOWS\system32\dllcache\msfeeds.dll
2007-08-20 09:59 44,544 ------w C:\WINDOWS\system32\dllcache\iernonce.dll
2007-08-20 09:59 384,512 ------w C:\WINDOWS\system32\dllcache\iedkcs32.dll
2007-08-20 09:59 383,488 ------w C:\WINDOWS\system32\dllcache\ieapfltr.dll
2007-08-20 09:59 3,584,512 ----a-w C:\WINDOWS\system32\dllcache\mshtml.dll
2007-08-20 09:59 27,648 ----a-w C:\WINDOWS\system32\dllcache\jsproxy.dll
2007-08-20 09:59 267,776 ------w C:\WINDOWS\system32\dllcache\iertutil.dll
2007-08-20 09:59 232,960 ------w C:\WINDOWS\system32\dllcache\webcheck.dll
2007-08-20 09:59 230,400 ------w C:\WINDOWS\system32\dllcache\ieaksie.dll
2007-08-20 09:59 214,528 ----a-w C:\WINDOWS\system32\dllcache\dxtrans.dll
2007-08-20 09:59 193,024 ----a-w C:\WINDOWS\system32\dllcache\msrating.dll
2007-08-20 09:59 153,088 ------w C:\WINDOWS\system32\dllcache\ieakeng.dll
2007-08-20 09:59 132,608 ----a-w C:\WINDOWS\system32\dllcache\extmgr.dll
2007-08-20 09:59 124,928 ------w C:\WINDOWS\system32\dllcache\advpack.dll
2007-08-20 09:59 105,984 ------w C:\WINDOWS\system32\dllcache\url.dll
2007-08-20 09:59 102,400 ------w C:\WINDOWS\system32\dllcache\occache.dll
2007-08-20 09:59 1,152,000 ----a-w C:\WINDOWS\system32\dllcache\urlmon.dll
2007-08-17 10:21 625,152 ------w C:\WINDOWS\system32\dllcache\iexplore.exe
2007-08-17 10:20 63,488 ------w C:\WINDOWS\system32\dllcache\ie4uinit.exe
2007-08-17 10:20 13,824 ------w C:\WINDOWS\system32\dllcache\ieudinit.exe
2007-08-17 07:34 161,792 ------w C:\WINDOWS\system32\dllcache\ieakui.dll
2006-11-07 14:29 145,920 ----a-w C:\WINDOWS\inf\hdaudio.sys
.

((((((((((((((((((((((((((((((((( Cargando Puntos Reg ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Nota* entradas vacías & entradas legítimas predeterminadas no son mostradas

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run]
"nod32kui"="C:\Archivos de programa\Eset\nod32kui.exe" [2007-10-16 09:32]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2007-01-18 03:21]
"nwiz"="nwiz.exe" [2007-01-18 03:21 C:\WINDOWS\system32\nwiz.exe]
"SMSERIAL"="C:\Archivos de programa\Motorola\SMSERIAL\sm56hlpr.exe" [2006-10-09 13:43]
"HDAudDeck"="C:\Archivos de programa\VIA\VIAudioi\HDADeck\HDeck.exe" [2007-04-09 03:52]
"SynTPEnh"="C:\Archivos de programa\Synaptics\SynTP\SynTPEnh.exe" [2006-10-12 10:55]
"SunJavaUpdateSched"="C:\Archivos de programa\Java\jre1.6.0_03\bin\jusched.exe" [2007-09-25 00:11]
"Adobe Reader Speed Launcher"="C:\Archivos de programa\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2007-10-10 18:51]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\Run]
"TaskSwitchXP"="C:\Archivos de programa\TaskSwitchXP\TaskSwitchXP.exe" [2006-08-04 23:29]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-19 13:42]
"msnmsgr"="C:\Archivos de programa\MSN Messenger\MsnMsgr.exe" [2007-01-19 11:55]
"swg"="C:\Archivos de programa\Google\GoogleToolbarNotifier\GoogleToolba rNotifier.exe" [2007-10-24 11:00]
"SpybotSD TeaTimer"="E:\Programas\Spybot - Search & Destroy\TeaTimer.exe" [2007-08-31 16:46]

[HKEY_USERS\.default\software\microsoft\windows\cur rentversion\runonce]
"nltide3"=cmd.exe /C rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N

C:\Documents and Settings\All Users\Men£ Inicio\Programas\Inicio\
Google Updater.lnk - C:\Archivos de programa\Google\Google Updater\GoogleUpdater.exe [2007-10-24 11:00:01]
HotKeyDriver.lnk - C:\Archivos de programa\HotKey_Driver\HotKeyDriver.exe [2007-10-16 10:04:21]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\curr entversion\policies\system]
"DisableStatusMessages"=0 (0x0)

[HKEY_LOCAL_MACHINE\software\microsoft\windows\curr entversion\policies\explorer]
"NoDesktopCleanupWizard"=1 (0x1)
"ForceClassicControlPanel"=1 (0x1)

[HKEY_CURRENT_USER\software\microsoft\windows\curre ntversion\policies\explorer]
"ForceClassicControlPanel"=1 (0x1)
"NoSMHelp"=1 (0x1)
"NoSMConfigurePrograms"=1 (0x1)
"NoSMMyPictures"=1 (0x1)
"NoResolveTrack"=1 (0x1)
"NoResolveSearch"=1 (0x1)

[HKEY_USERS\.default\software\microsoft\windows\cur rentversion\policies\explorer]
"ForceClassicControlPanel"=1 (0x1)
"NoSMHelp"=1 (0x1)
"NoSMConfigurePrograms"=1 (0x1)
"NoSMMyPictures"=1 (0x1)
"NoResolveTrack"=1 (0x1)
"NoResolveSearch"=1 (0x1)

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Explorer\ShellExecuteHooks]
"{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA}"= E:\Programas\Superanti\SASSEH.DLL [2006-12-20 13:55 77824]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon]
"UIHost"=hex(2):58,50,69,7a,65,5f,4c,6f,67,6f,6e,2 e,65,78,65,00

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\!SASWinLogon]
E:\Programas\Superanti\SASWINLO.dll 2007-04-19 13:41 294912 E:\Programas\Superanti\SASWINLO.dll

R2 UxTuneUp;Ampliación del diseño de TuneUp;C:\WINDOWS\System32\svchost.exe -k netsvcs
R3 EMSCR;EMSCR;C:\WINDOWS\system32\DRIVERS\EMS7SK.sys
R3 ESDCR;ESDCR;C:\WINDOWS\system32\DRIVERS\ESD7SK.sys
R3 FET5X86V;VIA Rhine-Family Fast-Ethernet Adapter Driver Service;C:\WINDOWS\system32\DRIVERS\fetnd5bv.sys
R3 RTLWUSB;Realtek RTL8187 Wireless 802.11g 54Mbps USB 2.0 Network Adapter;C:\WINDOWS\system32\DRIVERS\RTL8187.sys
S3 USBSTOR;Dispositivo de almacenamiento masivo de datos USB;C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
LocalService Alerter WebClient LmHosts upnphost SSDPSRV

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
UxTuneUp

*Newly Created Service* - CATCHME
.
Contenido de carpeta 'Tareas Programadas'
"2007-11-09 16:16:03 C:\WINDOWS\Tasks\Mantenimiento con 1 clic.job"
.
************************************************** ************************

catchme 0.3.1250 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2007-11-11 23:13:31
Windows 5.1.2600 Service Pack 2 NTFS

escaneando procesos ocultos ...

escaneando entradas ocultas de autostart ...

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
HDAudDeck = C:\Archivos de programa\VIA\VIAudioi\HDADeck\HDeck.exe 1????????????????????????????????????????????????? ??????

escaneando archivos ocultos ...

el escaneo se completo con exito
archivos ocultos: 0

************************************************** ************************
.
Tiempo completado: 2007-11-11 23:13:49
.
--- E O F ---

Tambien te mando otro reporte del NOD32 con lo que ha encontrado:

Registro de sucesos
NOD32 Scanner versión 2655 (20071113) NT
Comprobación CRC del archivo NOD32.EXE: estado correcto
La memoria operativa está correcta.
Fecha: 13.11.2007 hora: 12:53:27
Discos, carpetas y archivos analizados: C:; E:

C:\Archivos de programa\Wingen\service.exe - Variante modificada de Win32/Iroffer (Troyano)
C:\Documents and Settings\Administrador\7zS50F.tmp\$$.exe »NSIS »cmdow.exe - Win32/CMDOW.143 aplicación
C:\Documents and Settings\Default User\7zS50F.tmp\$$.exe »NSIS »cmdow.exe - Win32/CMDOW.143 aplicación

Cantidad de archivos analizados: 113312
Cantidad de virus detectados: 3
Cantidad de virus activos: 3
Hora de finalización: 13:05:41 . Tiempo total de análisis: 734 seg (00:12:14)

La conexión a internet en ocasiones me va bien, pero cuanto mas tiempo llevo conectado va a peor hasta casi desconectarse.

Gracias.