Foro de Spyware - Ver Mensaje Individual - PC infectada con 4 variantes de Virtumonde

Tema: PC infectada con 4 variantes de Virtumonde

Ver Mensaje Individual

post #3 (permalink)

04/02/08, 20:57:36

Trole73

Usuario

Registrado: sep 2007

Ubicación: México

Mensajes: 2

Re: PC infectada con 4 variantes de Virtumonde

Se hicieron todos los pasos citados en orden, este es el log del combofix:

ComboFix 08-02.05.3 - Alejandro Ibarra R 2008-02-04 18:04:41.1 - NTFSx86 NETWORK
Microsoft Windows XP Home Edition 5.1.2600.2.1252.34.3082.18.452 [GMT -6:00]
Se ejecuta desde: C:\Documents and Settings\Alejandro Ibarra R\Escritorio\System Tools\ComboFix.exe

ADVERTENCIA - ESTE EQUIPO NO TIENE INSTALADA LA CONSOLA DE RECUPERACION!
.

(((((((((((((((((((((((((((((((((((( Otras eliminaciones )))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\cookies.ini
C:\WINDOWS\enewsletterpro1.dat
C:\WINDOWS\timessquare1.dat

.
((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))

.
-------\LEGACY_IPRIP
-------\Iprip
-------\nm

(((((((((((((((((( Archivos creados desde 2008-01-05 - 2008-02-05 )))))))))))))))))))))))))))))))))
.

2008-02-04 17:59 . 2004-08-19 16:42 402,944 --a------ C:\kmd.exe
2008-02-03 02:20 . 2008-02-03 17:39 <DIR> d-------- C:\WINDOWS\system32\ActiveScan
2008-02-03 02:20 . 2008-02-03 16:29 30,590 --a------ C:\WINDOWS\system32\pavas.ico
2008-02-03 02:20 . 2008-02-03 16:29 2,550 --a------ C:\WINDOWS\system32\Uninstall.ico
2008-02-03 02:20 . 2008-02-03 16:29 1,406 --a------ C:\WINDOWS\system32\Help.ico
2008-02-03 02:07 . 2008-02-04 18:15 64,512 --ah----- C:\Documents and Settings\Alejandro Ibarra R\Datos de programa\dach100.dll
2008-02-03 01:44 . 2008-02-03 01:44 <DIR> d----c--- C:\VundoFix Backups
2008-02-02 17:39 . 2008-02-02 17:39 <DIR> d-------- C:\Documents and Settings\All Users\Datos de programa\SUPERAntiSpyware.com
2008-02-02 17:38 . 2008-02-02 17:38 <DIR> d-------- C:\Documents and Settings\Alejandro Ibarra R\Datos de programa\SUPERAntiSpyware.com
2008-02-01 00:23 . 2008-02-01 00:23 <DIR> d-------- C:\Documents and Settings\Alejandro Ibarra R\Datos de programa\Ahead
2008-01-31 20:25 . 2008-01-31 20:25 <DIR> d-------- C:\Documents and Settings\Alejandro Ibarra R\Datos de programa\ImgBurn
2008-01-26 11:59 . 2008-01-26 11:59 <DIR> d----c--- C:\Archivos de programa\DAMN NFO Viewer
2008-01-25 11:12 . 2008-01-25 11:33 <DIR> d----c--- C:\Archivos de programa\Alcohol Soft
2008-01-25 11:04 . 2008-01-25 11:04 715,248 --a------ C:\WINDOWS\system32\drivers\sptd.sys
2008-01-25 00:54 . 2004-04-30 09:33 5,248 --a------ C:\WINDOWS\system32\drivers\vax347s.sys
2008-01-22 19:06 . 2008-01-22 19:29 54,156 --ah----- C:\WINDOWS\QTFont.qfn
2008-01-22 19:06 . 2008-01-22 19:06 1,409 --a------ C:\WINDOWS\QTFont.for

.
(((((((((((((((((((((((((((((((((((((( Reporte Find3M )))))))))))))))))))))))))))))))))))))))))))))))))) )
.
2008-02-03 22:55 --------- d-----w C:\Archivos de programa\Windows Desktop Search
2008-02-03 22:54 --------- d-----w C:\Archivos de programa\QuickTime
2008-02-03 22:53 --------- d-----w C:\Archivos de programa\Microsoft ActiveSync
2008-02-03 22:45 --------- dc----w C:\Archivos de programa\Eset
2008-02-03 22:45 --------- d-----w C:\Archivos de programa\Google
2008-02-03 22:45 --------- d-----w C:\Archivos de programa\eSnips
2008-02-03 22:44 --------- d-----w C:\Archivos de programa\DVD Region+CSS Free
2008-02-03 22:44 --------- d-----w C:\Archivos de programa\AvantGo Client
2008-02-03 22:44 --------- d-----w C:\Archivos de programa\Archivos comunes\Teleca Shared
2008-02-02 23:38 --------- d-----w C:\Archivos de programa\Archivos comunes\Wise Installation Wizard
2008-02-02 21:09 --------- d-----w C:\Documents and Settings\All Users\Datos de programa\Spybot - Search & Destroy
2008-02-02 18:36 --------- d---a-w C:\Documents and Settings\All Users\Datos de programa\TEMP
2008-02-02 17:07 --------- d-----w C:\Documents and Settings\Alejandro Ibarra R\Datos de programa\Lavasoft
2008-01-24 05:32 --------- d-----w C:\Documents and Settings\Irank Yovana\Datos de programa\MEGAUPLOADTOOLBAR
2008-01-23 01:10 --------- d-----w C:\Documents and Settings\All Users\Datos de programa\Sony Ericsson
2008-01-22 23:33 220,160 ----a-w C:\WINDOWS\system32\uxtheme.dll
2008-01-22 23:33 220,160 ----a-w C:\WINDOWS\system32\dllcache\uxtheme.dll
2007-12-24 15:01 --------- d-----w C:\Documents and Settings\Alejandro Ibarra R\Datos de programa\uTorrent
2007-12-23 00:53 35,296 ----a-w C:\WINDOWS\system32\drivers\Dvd43.sys
2007-12-17 21:03 --------- d-----w C:\Archivos de programa\MSN Messenger
2007-12-17 21:03 --------- d-----w C:\Archivos de programa\Messenger Plus! Live
2007-12-17 15:19 96,904 ----a-w C:\Documents and Settings\Alejandro Ibarra R\Datos de programa\GDIPFONTCACHEV1.DAT
2007-12-12 21:24 --------- d-----w C:\Archivos de programa\Yahoo!
2007-12-11 19:00 --------- d--h--w C:\Archivos de programa\InstallShield Installation Information
2007-12-10 08:18 --------- d-----w C:\Documents and Settings\Alejandro Ibarra R\Datos de programa\dBpoweramp
2007-12-10 08:03 --------- d-----w C:\Documents and Settings\Alejandro Ibarra R\Datos de programa\Media Player Classic
2007-12-10 08:03 --------- d-----w C:\Documents and Settings\Alejandro Ibarra R\Datos de programa\AccurateRip
2007-12-10 07:55 2,433,400 ----a-w C:\WINDOWS\system32\SpoonUninstall.exe
2006-10-21 04:27 774,144 -c--a-w C:\Archivos de programa\RngInterstitial.dll
2007-09-10 05:37 1,199 --sh--w C:\WINDOWS\system32\ijjlm.ini2
2007-10-31 06:23 2,516 --sha-w C:\WINDOWS\system32\KGyGaAvL.sys
2007-09-06 08:31 353 --sh--w C:\WINDOWS\system32\mlnmp.ini2
2007-09-04 05:10 648,068 --sh--w C:\WINDOWS\system32\ttvwa.bak1
2007-09-04 08:24 653,362 --sh--w C:\WINDOWS\system32\ttvwa.ini2
2007-09-07 17:36 681,093 --sh--w C:\WINDOWS\system32\xbeeg.bak2
.

((((((((((((((((((((((((((((((((( Cargando Puntos Reg ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Nota* entradas vac¡as & entradas leg¡timas predeterminadas no son mostradas

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-19 16:42 15360]
"H/PC Connection Agent"="C:\Archivos de programa\Microsoft ActiveSync\WCESCOMM.EXE" [2001-07-19 20:37 401493]
"swg"="C:\Archivos de programa\Google\GoogleToolbarNotifier\GoogleToolba rNotifier.exe" [2007-06-06 20:01 68856]
"AlcoholAutomount"="C:\Archivos de programa\Alcohol Soft\Alcohol 120\axcmd.exe" [2007-12-22 01:23 221568]
"NBJ"="C:\Archivos de programa\Ahead\Nero BackItUp\NBJ.exe" [2005-10-11 18:25 1961984]
"SpybotSD TeaTimer"="d:\Archivos de programa\Spybot - Search & Destroy\TeaTimer.exe" [2008-01-28 11:43 2097488]
"SUPERAntiSpyware"="D:\Archivos de programa\SUPERAntiSpyware\SUPERAntiSpyware.exe" [2007-06-25 22:20 491458]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run]
"ezShieldProtector for Px"="C:\WINDOWS\system32\ezSP_Px.exe" [2002-07-03 18:17 40960]
"Synchronization Manager"="C:\WINDOWS\system32\mobsync.exe" [2004-08-19 16:42 143872]
"SunJavaUpdateSched"="C:\Archivos de programa\Java\jre1.6.0_03\bin\jusched.exe" [2007-09-25 00:11 132496]
"NvCplDaemon"="NvQTwk" []
"NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.e xe" [2001-07-09 10:50 155648]
"LTSMMSG"="LTSMMSG.exe" [2002-08-02 15:46 32768 C:\WINDOWS\LTSMMSG.exe]
"Outpost Firewall"="d:\Archivos de programa\Agnitum\Outpost Firewall\outpost.exe" [2006-10-20 15:49 94720]
"OutpostFeedBack"="d:\Archivos de programa\Agnitum\Outpost Firewall\feedback.exe" [2006-11-13 16:40 335872]
"QuickTime Task"="C:\Archivos de programa\QuickTime\QTTask.exe" [2007-06-29 05:24 286720]
"ClientGW"="" []
"RegistryMechanic"="D:\Archivos de programa\Kit de Programas de Aceleración\registry mechanic pro\Registry Mechanic\regmech.exe" [ ]
"{0228e555-4f9c-4e35-a3ec-b109a192b4c2}"="C:\Archivos de programa\Google\Gmail Notifier\gnotify.exe" [2005-07-15 15:48 479232]
"Adobe Reader Speed Launcher"="C:\Archivos de programa\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2007-10-10 19:51 39792]
"Sony Ericsson PC Suite"="C:\Archivos de programa\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" [2005-10-26 16:17 159744]
"nod32kui"="C:\Archivos de programa\Eset\nod32kui.exe" [2007-11-03 18:48 949376]
"DVD43"="C:\ARCHIV~1\DVDREG~1\DVDRegionFree.ex e" [2006-08-03 18:38 259072]
"Adobe Photo Downloader"="C:\Archivos de programa\Adobe\Photoshop Album Starter Edition\3.2\Apps\apdproxy.exe" [2007-03-22 15:09 63712]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\Cur rentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-19 16:42 15360]

D:\Documents and Settings\Programas\Inicio\
AntiCrash.lnk - D:\Archivos de programa\Dachshund Software\AntiCrash\AntiCrash.exe [2002-12-17 11:00:44 2301798]
Hare.lnk - D:\Archivos de programa\Dachshund Software\Hare\Hare.exe [2002-09-21 11:26:40 1874381]
Zoom.lnk - D:\Archivos de programa\Dachshund Software\Zoom\Zoom.exe [2002-09-21 11:27:14 1446302]

[HKEY_CURRENT_USER\software\microsoft\windows\curre ntversion\policies\explorer]
"NoFileAssociate"= 0 (0x0)
"NoWinKeys"= 0 (0x0)
"NoFavoritesMenu"= 0 (0x0)
"NoSetFolders"= 0 (0x0)

[hkey_local_machine\software\microsoft\windows\curr entversion\explorer\shellexecutehooks]
"{93994DE8-8239-4655-B1D1-5F4E91300429}"= C:\ARCHIV~1\DVDREG~1\DVDShell.dll [2004-10-09 15:18 49152]
"{56F9679E-7826-4C84-81F3-532071A8BCC5}"= C:\Archivos de programa\Windows Desktop Search\MSNLNamespaceMgr.dll [2006-03-13 14:11 233472]
"{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA}"= D:\Archivos de programa\SUPERAntiSpyware\SASSEH.DLL [2006-12-20 13:55 77824]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\!SASWinLogon]
D:\Archivos de programa\SUPERAntiSpyware\SASWINLO.dll 2007-04-19 13:41 294912 D:\Archivos de programa\SUPERAntiSpyware\SASWINLO.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\awvtt]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\ddayx]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\geebx]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\mljjg]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\mljji]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\OptimalLayout]

[HKEY_LOCAL_MACHINE\system\currentcontrolset\contro l\lsa]
Notification Packages REG_MULTI_SZ :\WINDOWS\system32\srrstr.dll

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menú Inicio^Programas^Inicio^Acelerador de inicio de AutoCAD.lnk]
backup=C:\WINDOWS\pss\Acelerador de inicio de AutoCAD.lnkCommon Startup

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menú Inicio^Programas^Inicio^Búsqueda en el escritorio de Windows.lnk]
backup=C:\WINDOWS\pss\Búsqueda en el escritorio de Windows.lnkCommon Startup

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menú Inicio^Programas^Inicio^WinZip Quick Pick.lnk]
backup=C:\WINDOWS\pss\WinZip Quick Pick.lnkCommon Startup

[HKLM\~\startupfolder\D:^Documents and Settings^Programas^Inicio^Ares Galaxy Turbo Booster.lnk]
backup=C:\WINDOWS\pss\Ares Galaxy Turbo Booster.lnkStartup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DVD43]
--a------ 2006-08-03 18:38 259072 C:\ARCHIV~1\DVDREG~1\DVDRegionFree.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\eSnips]
--a------ 2007-09-16 12:04 720896 C:\ARCHIV~1\eSnips\ClientGW.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ISUSPM Startup]
--a------ 2005-08-11 15:30 249856 C:\Archivos de programa\Archivos comunes\InstallShield\UpdateService\isuspm.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ISUSScheduler]
--a------ 2005-08-11 15:30 81920 C:\Archivos de programa\Archivos comunes\InstallShield\UpdateService\issch.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PLFFAP]
--a------ 2003-08-05 10:43 45056 C:\WINDOWS\system32\HotfixQ0306270.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SpybotSnD]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\swg]
--a------ 2007-06-06 20:01 68856 C:\Archivos de programa\Google\GoogleToolbarNotifier\GoogleToolba rNotifier.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SystemOptimizer]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"AresChatServer"=3 (0x3)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
p2psvc REG_MULTI_SZ p2psvc p2pimsvc p2pgasvc PNRPSvc

.
Contenido de carpeta 'Tareas Programadas'
"2008-02-02 10:04:20 C:\WINDOWS\Tasks\Ad-Aware SE Personal.job"
- C:\ARCHIV~1\Lavasoft\AD-AWA~1\Ad-Aware.exe
"2008-02-03 18:52:13 C:\WINDOWS\Tasks\Spybot - Search & Destroy - Scheduled Task.job"
- d:\Archivos de programa\Spybot - Search & Destroy\SpybotSD.exe
"2008-02-05 00:13:56 C:\WINDOWS\Tasks\User_Feed_Synchronization-{B5DF0360-1278-4165-BA61-AAA1BEE19949}.job"
- C:\WINDOWS\system32\msfeedssync.exe
"2008-02-01 13:12:12 C:\WINDOWS\Tasks\wmplayer.job"
- C:\Archivos de programa\Windows Media Player\wmplayer.exe
"2008-02-03 23:00:39 C:\WINDOWS\Tasks\{46397321-1AC4-4AAD-959E-FC3D128BA333}_PCFAMIBARRAPERE_Alejandro Ibarra R.job"
- C:\WINDOWS\system32\mobsync.exeW /Schedule=
"2008-02-01 15:00:00 C:\WINDOWS\Tasks\{6B840232-6E39-419A-9C6E-8B9EFA31D489}_PCFAMIBARRAPERE_Alejandro Ibarra R.job"
- C:\WINDOWS\system32\mobsync.exeW /Schedule=
"2008-02-01 22:00:00 C:\WINDOWS\Tasks\{79442DFF-C2F7-4300-B20F-DE00DFB05748}_PCFAMIBARRAPERE_Alejandro Ibarra R.job"
- C:\WINDOWS\system32\mobsync.exeW /Schedule=
"2008-02-01 22:00:00 C:\WINDOWS\Tasks\{A54A4771-3DF7-4E0C-A3A1-91F918F40E6A}_PCFAMIBARRAPERE_Alejandro Ibarra R.job"
- C:\WINDOWS\system32\mobsync.exeW /Schedule=
"2008-02-04 02:29:14 C:\WINDOWS\Tasks\{F897AA24-BDC3-11D1-B85B-00C04FB93981}_PCFAMIBARRAPERE_Alejandro Ibarra R.job"
- C:\WINDOWS\system32\mobsync.exeW /Schedule=
.
************************************************** ************************

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-02-04 18:13:54
Windows 5.1.2600 Service Pack 2 NTFS

escaneando procesos ocultos ...

escaneando entradas ocultas de autostart ...

escaneando archivos ocultos ...

************************************************** ************************
.
------------------------ Other Running Processes ------------------------
.
C:\Archivos de programa\Archivos comunes\Teleca Shared\CapabilityManager.exe
C:\WINDOWS\Integrator.exe
C:\Archivos de programa\Archivos comunes\Teleca Shared\Generic.exe
C:\Archivos de programa\Sony Ericsson\Mobile2\Mobile Phone Monitor\epmworker.exe
C:\WINDOWS\system32\cscript.exe
.
************************************************** ************************
.
Tiempo completado: 2008-02-04 18:24:32 - machine was rebooted [Alejandro Ibarra R]
ComboFix-quarantined-files.txt 2008-02-05 00:23:29
.
2007-09-12 06:19:14 --- E O F ---

**Noto aún que al picar cualquier acceso directo o quick link, tarda bastante en abrir el programa relacionado. Sin embargo si se nota una diferencia al estado anterior.

Comento que en el escaneo con los antivirus y antispys no encontró nada, sin embargo mejoró la estabilidad del sistema, con el fix checked, el Combo y al final el CCleaner**