| Re: TrojanPWS.OnlineGames
Buenas! Antes que nada, gracias por la bienvenida y por la ayuda.
Te dejo el reporte pedido anteriormente.
Lamentáblemente, al conectarme a internet volvieron a aparecerme troyanos en muy pocos segundos :(
De todas formas se agradece mucho la ayuda que me estás brindando, y quedo a la espera de las próximas instrucciones.
Gracias!
ComboFix 07-12-28.1 - Presi 2007-12-29 3:35:28.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.34.3082.18.458 [GMT -3:00]
Se ejecuta desde: C:\Documents and Settings\Presi\Escritorio\ComboFix.exe
* Creado un nuevo punto de restauración
.
The following files were disabled during the run:
C:\Archivos de programa\Enigma Software Group\SpyHunter\SpyHunterMonitor.dll
(((((((((((((((((((((((((((((((((((( Otras eliminaciones )))))))))))))))))))))))))))))))))))))))))))))))))
.
C:\Archivos de programa\pknh\cxau.dll
C:\Archivos de programa\pknh\ezcw.dll
C:\Archivos de programa\pknh\hcfz.dll
C:\Archivos de programa\pknh\vqtn.dll
C:\Archivos de programa\pknh\zuxr.dll
C:\Autorun.inf
C:\DFD1058203.bat
C:\DFD1060890.bat
C:\DFD1498093.bat
C:\DFD4782296.bat
C:\DFD4782343.bat
C:\DFD4782375.bat
C:\DFD4782406.bat
C:\DFD741093.bat
C:\DFD741218.bat
C:\DFD741484.bat
C:\DFD741671.bat
C:\DFD741750.bat
C:\DFD960078.bat
C:\DFD960109.bat
C:\WINDOWS\901.bmp
C:\WINDOWS\Fonts\gjfeaxw.fon
C:\WINDOWS\LotusHlp.exe
C:\WINDOWS\msprint32d.exe
C:\WINDOWS\rising16.exe
C:\WINDOWS\rising203.exe
C:\WINDOWS\rising263.exe
C:\WINDOWS\rising48.exe
C:\WINDOWS\rising74.exe
C:\WINDOWS\rising957.exe
C:\WINDOWS\system32\001.dll
C:\WINDOWS\system32\AutoRun.inf
C:\WINDOWS\system32\avzxlmn.dll
C:\WINDOWS\system32\avzxlst.exe
C:\WINDOWS\system32\bfkovybdgk.dll
C:\WINDOWS\system32\bgkovyceil.dll
C:\WINDOWS\system32\dodolook591.exe
C:\WINDOWS\system32\drivers\npf.sys
C:\WINDOWS\system32\einradgjmp.dll
C:\WINDOWS\system32\einrxadgkm.dll
C:\WINDOWS\system32\ejougkmdj.dll
C:\WINDOWS\system32\fkptadgjmp.dll
C:\WINDOWS\system32\gkptycgjmp.dll
C:\WINDOWS\system32\gkptydfimp.dll
C:\WINDOWS\system32\glqtaehdj.dll
C:\WINDOWS\system32\intxgjmptw.dll
C:\WINDOWS\system32\jptygjlpsv.dll
C:\WINDOWS\system32\jpvyiknquw.dll
C:\WINDOWS\system32\LotusHlp.dll
C:\WINDOWS\system32\lqvyhlorvy.dll
C:\WINDOWS\system32\lyloadmr.exe
C:\WINDOWS\system32\mhsha1.dat
C:\WINDOWS\system32\mquyfilosv.dll
C:\WINDOWS\system32\msimms32.dll
C:\WINDOWS\system32\MsPrint32D.dll
C:\WINDOWS\system32\Packet.dll
C:\WINDOWS\system32\puycknpdj.dll
C:\WINDOWS\system32\SHQ.DLL
C:\WINDOWS\system32\SHQMANGR.DLL
C:\WINDOWS\system32\svchost.dat
C:\WINDOWS\system32\swaeloruyb.dll
C:\WINDOWS\system32\uyehosvxbe.dll
C:\WINDOWS\system32\vydhoruxad.dll
C:\WINDOWS\system32\WanPacket.dll
C:\WINDOWS\system32\wpcap.dll
C:\WINDOWS\system32\ychluxydgj.dll
C:\WINDOWS\system32\ydjnvybeik.dll
C:\WINDOWS\tempaq
.
((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.
-------\LEGACY_UPSM
-------\nm
-------\upsm
(((((((((((((((((( Archivos creados desde 2007-11-28 - 2007-12-29 )))))))))))))))))))))))))))))))))
.
2007-12-28 14:22 . 2007-12-28 17:49 3,456 --a------ C:\WINDOWS\system32\drivers\msconkt.sys
2007-12-28 14:16 . 2000-12-28 17:07 31,721 --a------ C:\WINDOWS\system32\mshmsdjs32.dll
2007-12-28 14:16 . 2000-12-28 17:07 16,103 --a------ C:\WINDOWS\system32\kawdhaz.exe
2007-12-26 16:19 . 2000-12-28 17:07 8,192 --a------ C:\WINDOWS\system32\REGKEY.hiv
2007-12-26 02:09 . 2007-12-26 02:11 <DIR> d-------- C:\Documents and Settings\All Users\Datos de programa\Spybot - Search & Destroy
2007-12-25 23:33 . 2000-12-25 21:40 16,223 --a------ C:\WINDOWS\jinjbb.exe
2007-12-25 21:50 . 2007-12-25 21:50 <DIR> d-------- C:\Documents and Settings\NetworkService\Escritorio
2007-12-25 21:49 . 2007-12-25 21:49 <DIR> dr------- C:\Documents and Settings\NetworkService\Favoritos
2007-12-25 21:49 . 2007-12-25 21:49 <DIR> d-------- C:\Documents and Settings\NetworkService\Datos de programa\Talkback
2007-12-25 21:16 . 2007-12-25 21:18 <DIR> d-------- C:\Documents and Settings\Presi\DoctorWeb
2007-12-25 20:49 . 2007-12-25 20:49 <DIR> d-------- C:\Documents and Settings\LocalService\Datos de programa\Talkback
2007-12-25 20:48 . 2007-12-25 20:48 82 --a------ C:\WINDOWS\48-12056115
2007-12-25 20:48 . 2007-12-25 20:48 68 --a------ C:\WINDOWS\system32\2e76
2007-12-25 18:34 . 2000-12-25 13:08 16,223 --a------ C:\WINDOWS\mymrsi.exe
2007-12-24 17:10 . 2000-12-24 17:11 31,792 --a------ C:\Documents and Settings\Presi\ntuser.com
2007-12-24 17:10 . 2007-12-24 17:10 27,136 --------- C:\WINDOWS\system32\TxoMoU.Exe
2007-12-09 23:01 . 2007-12-09 23:01 <DIR> d-------- C:\Archivos de programa\TSM
2007-12-09 23:01 . 2005-07-31 07:07 172,032 --a------ C:\WINDOWS\system32\OSSMTP.dll
.
(((((((((((((((((((((((((((((((((((((( Reporte Find3M )))))))))))))))))))))))))))))))))))))))))))))))))) )
.
2007-12-29 06:43 377 ----a-w C:\WINDOWS\Fonts\avwghina.dll
2007-12-29 06:43 365 ----a-w C:\WINDOWS\Fonts\kvdxslcf.dll
2007-12-29 06:43 116 ----a-w C:\WINDOWS\Fonts\gjfhass.dll
2007-12-29 06:43 109 ----a-w C:\WINDOWS\Fonts\kvdxlcf.dll
2007-12-29 06:43 102 ----a-w C:\WINDOWS\Fonts\kawdhcs.dll
2007-12-29 06:43 101 ----a-w C:\WINDOWS\Fonts\avwlhin.dll
2007-12-29 06:43 --------- d-----w C:\Documents and Settings\Presi\Datos de programa\Skype
2007-12-29 06:37 --------- d-----w C:\Archivos de programa\pknh
2007-12-29 06:34 371 ----a-w C:\WINDOWS\Fonts\avzxlin.dll
2007-12-29 04:24 --------- d---a-w C:\Documents and Settings\All Users\Datos de programa\TEMP
2007-12-29 00:57 44,337 ----a-w C:\WINDOWS\455373WL.DLL
2007-12-28 20:07 18,488 ----a-w C:\WINDOWS\SSLDyn.exE
2007-12-28 20:06 --------- d-----w C:\Documents and Settings\All Users\Datos de programa\Google Updater
2007-12-28 17:49 --------- d-----w C:\Archivos de programa\Spyware Doctor
2007-12-25 12:24 53,248 -c--a-r C:\WINDOWS\0b01.exe
2007-11-05 02:06 --------- d--h--r C:\Documents and Settings\Presi\Datos de programa\SecuROM
2007-11-05 02:02 --------- d--h--w C:\Archivos de programa\InstallShield Installation Information
2007-09-04 18:49 44,224 ----a-w C:\Documents and Settings\Presi\Datos de programa\GDIPFONTCACHEV1.DAT
2006-04-26 00:20 42,800 -c--a-w C:\Documents and Settings\Mariano\Datos de programa\GDIPFONTCACHEV1.DAT
2005-12-25 02:39 133,120 ----a-w C:\WINDOWS\inf\MSLogin64.exe
2000-12-25 12:21 20 ----a-w C:\Documents and Settings\Presi\mhsha1.dat
2000-12-25 01:21 70,144 ----a-w C:\Documents and Settings\Administrador\Verify.exe
2000-12-25 01:21 20 ----a-w C:\Documents and Settings\Administrador\mhsha1.dat
2000-12-28 20:07 52,529 --sh--w C:\WINDOWS\455373L.exe
2000-12-28 17:50 29,537 --sh--w C:\WINDOWS\455373M.exe
.
((((((((((((((((((((((((((((((((( Cargando Puntos Reg ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Nota* entradas vac¡as & entradas leg¡timas predeterminadas no son mostradas
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-19 10:42]
"MessengerPlus3"="D:\Programas\MsnPlus\MsgPlus.exe " [2007-04-11 16:06]
"Skype"="C:\Archivos de programa\Skype\Phone\Skype.exe" [2007-02-22 23:31]
"SUPERAntiSpyware"="D:\Archivos de programa\SUPERAntiSpyware\SUPERAntiSpyware.exe" [2007-06-21 14:06]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run]
"vptray"="D:\Programas\Nav\vptray.exe" [2001-09-24 07:59]
"MessengerPlus3"="D:\Programas\MsnPlus\MsgPlus.exe " [2007-04-11 16:06]
"RoxioEngineUtility"="C:\Archivos de programa\Archivos comunes\Roxio Shared\System\EngUtil.exe" [2003-02-27 05:31]
"DAEMON Tools"="D:\Programas\Daemon\DAEMON Tools\daemon.exe" [2005-11-08 19:00]
"NvCplDaemon"="RUNDLL32.exe" [2004-08-19 10:43 C:\WINDOWS\system32\rundll32.exe]
"nwiz"="nwiz.exe" [2001-12-31 13:04 C:\WINDOWS\system32\nwiz.exe]
"NvMediaCenter"="RUNDLL32.exe" [2004-08-19 10:43 C:\WINDOWS\system32\rundll32.exe]
"QuickTime Task"="C:\Archivos de programa\QuickTime\qttask.exe" [2006-03-24 15:26]
"SpyHunter Security Suite"="C:\Archivos de programa\Enigma Software Group\SpyHunter\SpyHunter3.exe" [2007-11-30 13:47]
"SSLDyn"="C:\WINDOWS\SSLDyn.exE" [2007-12-28 17:07]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\Cur rentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-19 10:42]
[HKEY_LOCAL_MACHINE\software\microsoft\windows\curr entversion\policies\system]
"DisableCAD"= 0 (0x0)
[hkey_local_machine\software\microsoft\windows\curr entversion\explorer\shellexecutehooks]
"{1D908534-AD45-920F-AC89-4024FA9D26D1}"= C:\WINDOWS\system32\gjfhayc.dll [2004-08-04 14:16 21963]
"{C859245F-345D-BC13-AC4F-145D47DA34FC}"= C:\WINDOWS\system32\avzxlmn.dll [ ]
"{CD561258-45F3-A451-F908-A258458226DC}"= C:\WINDOWS\system32\kvdxslma.dll [2004-08-04 16:19 23483]
"{88907901-1416-3389-9981-372178569988}"= C:\WINDOWS\system32\kawdhzy.dll [2004-08-04 14:16 23983]
"{70A780F4-3C49-43B1-9A6A-C2628CB652B0}"= C:\WINDOWS\system32\ejougkmdj.dll [ ]
"{8960356A-458E-DE24-BD50-268F589A56A8}"= C:\WINDOWS\system32\avwlhmn.dll [2004-08-04 14:16 25005]
"{CC87A354-ABC3-DEDE-FF33-3213FD7447CC}"= C:\WINDOWS\system32\kvdxlma.dll [2004-08-04 14:16 22973]
"{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA}"= D:\Archivos de programa\SUPERAntiSpyware\SASSEH.DLL [2006-12-20 13:55 77824]
"{8A1247C1-53DA-FF43-ABD3-345F323A48D8}"= C:\WINDOWS\system32\avwghmn.dll [2004-08-04 16:19 24531]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\!SASWinLogon]
D:\Archivos de programa\SUPERAntiSpyware\SASWINLO.dll 2007-04-19 13:41 294912 D:\Archivos de programa\SUPERAntiSpyware\SASWINLO.dll
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Contro l\SafeBoot\Minimal\sdauxservice]
@=""
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Contro l\SafeBoot\Minimal\sdcoreservice]
@=""
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AVPSrv]
2000-12-24 20:51 17424 --a------ C:\WINDOWS\unryoj.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\cmdbcs]
C:\WINDOWS\cyatdi.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Corel Reminder]
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\crsss]
2007-12-24 17:10 27136 --------- C:\WINDOWS\system32\TxoMoU.Exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper]
2006-02-23 15:45 278528 --a------ D:\Programas\Quicktime\iTunesHelper.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Kvsc3]
2000-12-24 20:51 17968 --a------ C:\WINDOWS\ujnllf.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MsIMMs32]
2000-12-24 20:51 17827 --a------ C:\WINDOWS\plidxe.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MsPrint32D]
C:\WINDOWS\MsPrint32D.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SSLDyn]
2000-12-24 20:51 18488 --a------ C:\WINDOWS\xbvlph.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
2006-12-15 03:23 75520 --a------ C:\Archivos de programa\Java\jre1.5.0_11\bin\jusched.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\upxdnd]
C:\WINDOWS\upxdnd.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WinSysM]
2000-12-28 14:50 29537 ---hs---- C:\WINDOWS\455373M.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WinSysW]
2000-12-28 17:07 52529 ---hs---- C:\WINDOWS\455373L.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\yok.exe]
C:\Archivos de programa\yok\yok.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"5AE17966"=2 (0x2)
"iPodService"=3 (0x3)
R0 wy9jx3zg;wy9jx3z;C:\WINDOWS\system32\DRIVERS\wy9jx 3zg.sys [2004-08-19 10:42]
R2 01gceemoz;01gceemoz;C:\WINDOWS\system32\drivers\01gceemoz.sys [2004-08-19 10:42]
R2 vnccom;vnccom;C:\WINDOWS\system32\Drivers\vnccom.S YS [2004-06-26 13:22]
R3 vncdrv;vncdrv;C:\WINDOWS\system32\DRIVERS\vncdrv.s ys [2004-06-26 13:22]
S3 rtl8029;Controlador de Windows NT del adaptador Ethernet PCI basado en Realtek RTL8029(AS);C:\WINDOWS\system32\DRIVERS\RTL8029.SY S [2001-08-17 20:12]
S3 WL;WL;C:\DOCUME~1\Presi\CONFIG~1\Temp\tmp3B0.tmp [2007-12-28 17:50]
S4 5AE17966;5AE17966;C:\WINDOWS\system32\6F7C2501.EXE []
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
MSDCOMClient32
DCOMClient64
[HKEY_CURRENT_USER\software\microsoft\windows\curre ntversion\explorer\mountpoints2\C]
\Shell\AutoRun\command - soS.Exe
\Shell\explore\Command - soS.Exe
\Shell\open\ComMand - soS.Exe
.
************************************************** ************************
catchme 0.3.1333 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2007-12-29 03:45:00
Windows 5.1.2600 Service Pack 2 NTFS
escaneando procesos ocultos ...
escaneando entradas ocultas de autostart ...
escaneando archivos ocultos ...
el escaneo se completo con exito
archivos ocultos: 0
************************************************** ************************
.
--------------------- DLLs cargados bajo los procesos en ejecuci¢n ---------------------
PROCESS: C:\WINDOWS\system32\winlogon.exe
-> C:\WINDOWS\system32\NavLogon.dll
PROCESS: C:\WINDOWS\Explorer.exe [6.00.2900.2180]
-> C:\WINDOWS\system32\kvdxslma.dll
-> C:\WINDOWS\system32\gjfhayc.dll
-> C:\WINDOWS\system32\kawdhzy.dll
-> C:\WINDOWS\system32\avwlhmn.dll
-> C:\WINDOWS\system32\kvdxlma.dll
-> C:\WINDOWS\system32\avwghmn.dll
-> C:\WINDOWS\system32\nbo7cky4.dll
-> C:\WINDOWS\system32\SSLDyn.dll
.
Tiempo completado: 2007-12-29 3:45:51 - machine was rebooted  |