Estimados, como coloqué en un post anterior, al parecer me atacó el Vundo, este me desactiva el antivirus (NOD32), mató messenger, Acrobat, y etc´s.
Todo comenzó con un archivo Geebx.dll en c:/windows/system32/, imposible de eliminar de forma manual, leyendo en el foro, apliké HijackThis, y VundoFix, se supone que lo eliminó, pero al otro dia al endender mi portatil... Nuevamente me atacó (eso que había reinstalado el NOD32), ahora me creó otros dll, (ljjjhfe.dll y etcs).
Ahora corrí el ComboFix, y aquí os dejo el repoprte. Será que ahora si murió el bicho???
Por favor necesito HELP, ya que es el compu del trabajo
:
ComboFix 08-01-23.1 - RSxx 2008-01-23 15:29:50.1 - NTFSx86 NETWORK
Microsoft Windows XP Professional 5.1.2600.2.1252.34.3082.18.347 [GMT -3:00]
Se ejecuta desde: C:\Documents and Settings\RSxx\Escritorio\ComboFix.exe
ADVERTENCIA - ESTE EQUIPO NO TIENE INSTALADA LA CONSOLA DE RECUPERACION!
.
ADS - svchost.exe: deleted 68 bytes in 1 streams. ADS - ntoskrnl.exe: deleted 36 bytes in 1 streams. ADS - explorer.exe: deleted 100 bytes in 1 streams.
(((((((((((((((((((((((((((((((((((( Otras eliminaciones )))))))))))))))))))))))))))))))))))))))))))))))))
.
C:\Archivos de programa\Adobe\Acrobat 7.0\Distillr\Acrotray.exe
C:\Documents and Settings\All Users\Datos de programa\Microsoft\Network\Downloader\qmgr0.dat
C:\Documents and Settings\All Users\Datos de programa\Microsoft\Network\Downloader\qmgr1.dat
C:\WINDOWS\msettings.ini
C:\WINDOWS\system32\ctfmon .exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\ljjjhfe.dll
C:\WINDOWS\system32\mcrh.tmp
C:\WINDOWS\system32\qqtss.ini
C:\WINDOWS\system32\qqtss.ini2
C:\WINDOWS\system32\sstqq.dll
C:\WINDOWS\system32\sstqq.exe
Código:
<pre>
C:\WINDOWS\system32\ctfmon .exe ---> QooBox
</pre>
.
----- BITS: Possible infected sites -----
hxxp://javadl.sun.com
.
(((((((((((((((((( Archivos creados desde 2007-12-23 - 2008-01-23 )))))))))))))))))))))))))))))))))
.
2008-01-22 23:51 . 2000-08-31 08:00 51,200 --a------ C:\WINDOWS\Nircmd.exe
2008-01-22 23:18 . 2008-01-22 23:18 298,104 --a------ C:\WINDOWS\system32\imon.dll
2008-01-22 23:15 . 2008-01-22 23:18 15,424 --a------ C:\WINDOWS\system32\drivers\nod32drv.sys
2008-01-22 23:13 . 2008-01-22 23:13 <DIR> d-------- C:\WINDOWS\system32\Sounds
2008-01-22 23:13 . 2008-01-22 23:13 <DIR> d-------- C:\Archivos de programa\My Company Name
2008-01-22 23:13 . 2008-01-22 23:18 512,096 --a------ C:\WINDOWS\system32\drivers\amon.sys
2008-01-21 23:11 . 2008-01-21 23:50 <DIR> d-------- C:\VundoFix Backups
2008-01-21 23:04 . 2008-01-21 23:09 <DIR> d-------- C:\Archivos de programa\DelPSGuard
2008-01-21 22:41 . 2008-01-21 22:41 15,360 --a------ C:\WINDOWS\system32\ctfmon.exe.tmp.000
2008-01-21 20:50 . 2008-01-21 21:11 4,357,101,568 --a------ C:\SIMPSONS_FILM_FESTIVAL.ISO
2008-01-21 15:22 . 2008-01-21 15:22 <DIR> d-------- C:\Archivos de programa\Lavasoft
2008-01-21 15:18 . 2008-01-21 15:18 <DIR> d-------- C:\Archivos de programa\Archivos comunes\Wise Installation Wizard
2008-01-21 12:06 . 2008-01-21 12:06 <DIR> d-------- C:\Archivos de programa\FileASSASSIN
2008-01-21 11:49 . 2008-01-21 11:49 <DIR> d-------- C:\Archivos de programa\Trend Micro
2008-01-21 08:34 . 2008-01-21 08:34 <DIR> d--h----- C:\WINDOWS\$hf_mig$
2008-01-21 08:12 . 2007-07-30 19:19 43,352 --a------ C:\WINDOWS\system32\wups2.dll
2008-01-21 08:12 . 2007-07-30 19:19 38,232 --a------ C:\WINDOWS\system32\wucltui.dll.mui
2008-01-21 08:12 . 2007-07-30 19:18 30,040 --a------ C:\WINDOWS\system32\wuaucpl.cpl.mui
2008-01-21 08:12 . 2007-07-30 19:20 30,040 --a------ C:\WINDOWS\system32\wuapi.dll.mui
2008-01-21 08:12 . 2007-07-30 19:18 20,824 --a------ C:\WINDOWS\system32\wuaueng.dll.mui
2008-01-21 07:33 . 2008-01-21 15:11 163 --a------ C:\WINDOWS\wininit.ini
2008-01-19 17:40 . 2008-01-19 17:41 <DIR> d-------- C:\Archivos de programa\MagicISO
2008-01-19 17:36 . 2008-01-19 17:36 32,764 --a------ C:\WINDOWS\17PHolmes922.exe
.
(((((((((((((((((((((((((((((((((((((( Reporte Find3M )))))))))))))))))))))))))))))))))))))))))))))))))) )
.
2008-01-21 11:49 --------- d-----w C:\Archivos de programa\MSN Messenger
.
((((((((((((((((((((((((((((((((( Cargando Puntos Reg ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Nota* entradas vacías & entradas legítimas predeterminadas no son mostradas
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\Run]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [ ]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run]
"RTHDCPL"="RTHDCPL.EXE" [2006-06-28 03:54 16248320 C:\WINDOWS\RTHDCPL.exe]
"Acrobat Assistant 7.0"="C:\Archivos de programa\Adobe\Acrobat 7.0\Distillr\Acrotray.exe" [ ]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\Cur rentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\SYSTEM32\CTFMON.EXE" [ ]
S3 k510bus;Sony Ericsson K510 Driver driver (WDM);C:\WINDOWS\system32\DRIVERS\k510bus.sys [2007-09-05 21:32]
S3 k510mdfl;Sony Ericsson K510 USB WMC Modem Filter;C:\WINDOWS\system32\DRIVERS\k510mdfl.sys [2007-09-05 21:32]
S3 k510mdm;Sony Ericsson K510 USB WMC Modem Driver;C:\WINDOWS\system32\DRIVERS\k510mdm.sys [2007-09-05 21:32]
S3 k510mgmt;Sony Ericsson K510 USB WMC Device Management Drivers (WDM);C:\WINDOWS\system32\DRIVERS\k510mgmt.sys [2007-09-05 21:32]
S3 k510obex;Sony Ericsson K510 USB WMC OBEX Interface;C:\WINDOWS\system32\DRIVERS\k510obex.sys [2007-09-05 21:32]
S3 PAC207;VideoCAM GF112;C:\WINDOWS\system32\DRIVERS\pfc027.sys [2005-04-08 11:46]
[HKEY_CURRENT_USER\software\microsoft\windows\curre ntversion\explorer\mountpoints2\G]
\Shell\AutoRun\command - G:\Setup.exe -auto
[HKEY_CURRENT_USER\software\microsoft\windows\curre ntversion\explorer\mountpoints2\{8eaecaba-a4e2-11dc-b648-0016d45be289}]
\Shell\AutoRun\command - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL xupalo.exe
.
Contenido de carpeta 'Tareas Programadas'
"2008-01-19 12:00:00 C:\WINDOWS\Tasks\At10.job"
- C:\WINDOWS\system32\
0A877kT4.exe
"2008-01-19 13:00:00 C:\WINDOWS\Tasks\At11.job"
- C:\WINDOWS\system32\
0A877kT4.exe
"2008-01-19 14:00:00 C:\WINDOWS\Tasks\At12.job"
- C:\WINDOWS\system32\
0A877kT4.exe
"2008-01-21 15:00:00 C:\WINDOWS\Tasks\At13.job"
- C:\WINDOWS\system32\
0A877kT4.exe
"2008-01-20 16:00:00 C:\WINDOWS\Tasks\At14.job"
- C:\WINDOWS\system32\
0A877kT4.exe
"2008-01-23 17:00:00 C:\WINDOWS\Tasks\At15.job"
- C:\WINDOWS\system32\
0A877kT4.exe
"2008-01-23 18:00:00 C:\WINDOWS\Tasks\At16.job"
- C:\WINDOWS\system32\
0A877kT4.exe
"2008-01-21 19:00:00 C:\WINDOWS\Tasks\At17.job"
- C:\WINDOWS\system32\
0A877kT4.exe
"2008-01-19 20:00:00 C:\WINDOWS\Tasks\At18.job"
- C:\WINDOWS\system32\
0A877kT4.exe
"2008-01-19 21:00:00 C:\WINDOWS\Tasks\At19.job"
- C:\WINDOWS\system32\
0A877kT4.exe
"2008-01-19 22:00:00 C:\WINDOWS\Tasks\At20.job"
- C:\WINDOWS\system32\
0A877kT4.exe
"2008-01-21 23:00:00 C:\WINDOWS\Tasks\At21.job"
- C:\WINDOWS\system32\
0A877kT4.exe
"2008-01-22 00:00:00 C:\WINDOWS\Tasks\At22.job"
- C:\WINDOWS\system32\
0A877kT4.exe
"2008-01-22 01:00:00 C:\WINDOWS\Tasks\At23.job"
- C:\WINDOWS\system32\
0A877kT4.exe
"2008-01-23 02:00:03 C:\WINDOWS\Tasks\At24.job"
- C:\WINDOWS\system32\
0A877kT4.exe
"2008-01-22 03:00:00 C:\WINDOWS\Tasks\At25.job"
- C:\WINDOWS\system32\7c55pC8t.exe
"2008-01-19 04:00:00 C:\WINDOWS\Tasks\At26.job"
- C:\WINDOWS\system32\7c55pC8t.exe
"2008-01-19 05:00:00 C:\WINDOWS\Tasks\At27.job"
- C:\WINDOWS\system32\7c55pC8t.exe
"2008-01-19 06:00:00 C:\WINDOWS\Tasks\At28.job"
- C:\WINDOWS\system32\7c55pC8t.exe
"2008-01-19 07:00:00 C:\WINDOWS\Tasks\At29.job"
- C:\WINDOWS\system32\7c55pC8t.exe
"2008-01-19 05:00:00 C:\WINDOWS\Tasks\At3.job"
- C:\WINDOWS\system32\
0A877kT4.exe
"2008-01-19 08:00:00 C:\WINDOWS\Tasks\At30.job"
- C:\WINDOWS\system32\7c55pC8t.exe
"2008-01-19 09:00:00 C:\WINDOWS\Tasks\At31.job"
- C:\WINDOWS\system32\7c55pC8t.exe
"2008-01-19 10:00:00 C:\WINDOWS\Tasks\At32.job"
- C:\WINDOWS\system32\7c55pC8t.exe
"2008-01-19 11:00:00 C:\WINDOWS\Tasks\At33.job"
- C:\WINDOWS\system32\7c55pC8t.exe
"2008-01-19 12:00:00 C:\WINDOWS\Tasks\At34.job"
- C:\WINDOWS\system32\7c55pC8t.exe
"2008-01-19 13:00:00 C:\WINDOWS\Tasks\At35.job"
- C:\WINDOWS\system32\7c55pC8t.exe
"2008-01-19 14:00:00 C:\WINDOWS\Tasks\At36.job"
- C:\WINDOWS\system32\7c55pC8t.exe
"2008-01-21 15:00:00 C:\WINDOWS\Tasks\At37.job"
- C:\WINDOWS\system32\7c55pC8t.exe
"2008-01-20 16:00:00 C:\WINDOWS\Tasks\At38.job"
- C:\WINDOWS\system32\7c55pC8t.exe
"2008-01-23 17:00:00 C:\WINDOWS\Tasks\At39.job"
- C:\WINDOWS\system32\7c55pC8t.exe
"2008-01-19 06:00:00 C:\WINDOWS\Tasks\At4.job"
- C:\WINDOWS\system32\
0A877kT4.exe
"2008-01-23 18:00:00 C:\WINDOWS\Tasks\At40.job"
- C:\WINDOWS\system32\7c55pC8t.exe
"2008-01-21 19:00:00 C:\WINDOWS\Tasks\At41.job"
- C:\WINDOWS\system32\7c55pC8t.exe
"2008-01-19 20:00:00 C:\WINDOWS\Tasks\At42.job"
- C:\WINDOWS\system32\7c55pC8t.exe
"2008-01-19 21:00:00 C:\WINDOWS\Tasks\At43.job"
- C:\WINDOWS\system32\7c55pC8t.exe
"2008-01-19 22:00:00 C:\WINDOWS\Tasks\At44.job"
- C:\WINDOWS\system32\7c55pC8t.exe
"2008-01-21 23:00:00 C:\WINDOWS\Tasks\At45.job"
- C:\WINDOWS\system32\7c55pC8t.exe
"2008-01-22 00:00:00 C:\WINDOWS\Tasks\At46.job"
- C:\WINDOWS\system32\7c55pC8t.exe
"2008-01-22 01:00:00 C:\WINDOWS\Tasks\At47.job"
- C:\WINDOWS\system32\7c55pC8t.exe
"2008-01-23 02:00:04 C:\WINDOWS\Tasks\At48.job"
- C:\WINDOWS\system32\7c55pC8t.exe
"2008-01-19 07:00:00 C:\WINDOWS\Tasks\At5.job"
- C:\WINDOWS\system32\
0A877kT4.exe
"2008-01-19 08:00:00 C:\WINDOWS\Tasks\At6.job"
- C:\WINDOWS\system32\
0A877kT4.exe
"2008-01-19 09:00:00 C:\WINDOWS\Tasks\At7.job"
- C:\WINDOWS\system32\
0A877kT4.exe
"2008-01-19 10:00:00 C:\WINDOWS\Tasks\At8.job"
- C:\WINDOWS\system32\
0A877kT4.exe
"2008-01-19 11:00:00 C:\WINDOWS\Tasks\At9.job"
- C:\WINDOWS\system32\
0A877kT4.exe
.
************************************************** ************************
catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-01-23 15:34:21
Windows 5.1.2600 Service Pack 2 NTFS
escaneando procesos ocultos ...
escaneando entradas ocultas de autostart ...
escaneando archivos ocultos ...
el escaneo se completo con exito
archivos ocultos: 0
************************************************** ************************
.
--------------------- DLLs cargados bajo los procesos en ejecución ---------------------
PROCESS: C:\WINDOWS\system32\lsass.exe [5.01.2600.2180]
-> C:\Archivos de programa\Eset\pr_imon.dll
PROCESS: C:\WINDOWS\Explorer.EXE [6.00.2900.2180]
-> C:\Archivos de programa\Eset\pr_imon.dll
.
Tiempo completado: 2008-01-23 15:36:33 - machine was rebooted [RSxx]
ComboFix-quarantined-files.txt 2008-01-23 18:36:24