Foro de Spyware - Ver Mensaje Individual - Graves problemas con win32:ctx y variantes

Tema: Graves problemas con win32:ctx y variantes

Ver Mensaje Individual

post #3 (permalink)

05/02/08, 05:10:37

Aleg

Usuario

Registrado: dic 2007

Ubicación: Argentina

Mensajes: 6

Re: Graves problemas con win32:ctx y variantes

Bueno, al fin aquí estoy, pudiendo contestar después de seguir los pasos indicados lo mejor que pude.
Desde ya, sumamente agradecido por toda la colaboración.
Previendo que podría tener dificultades para abrir algunas páginas relacionadas con InfoSpyware, los programas y/o herramientas sugeridos los bajé en mi trabajo y los traje en un CD (Tengo pánico de usar el pen-drive).
Y así fue nomás, no podía abrir el link para ver los pasos a seguir con SuperAntiSpyware. Así que lo hice tratando de recordar lo que había leído desde mi trabajo y un poco intuitivamente.
Primero conecté PC1 directamente al modem ADSL, luego instalé SuperAntiSpyware y lo actualicé. Hice un escaneo rápido y en un momento apareció una ventana de "Service executable encontró un error y debe cerrarse" pero no detuvo el escaneo, por lo que elegí "Depurar" y siguió todo adelante.
Al finalizar reportó
Adware.Tracking Cookie
C:\Documents and Settings\LocalService\Cookies\system@2o7[2].txt
Que quedó en cuarentena.
Luego de reiniciar y ejecutar Ccleaner, utilicé la herramienta "Reparar" de SuperAntiSpyware en todo lo que aparecía listado.
Volví a hacer un escaneo, esta vez completo y durante el proceso apareció 2 veces "Service executable encontró un error y debe cerrarse", seguí el mismo paso de "depurar" y al final reportó Trojan.Downloader-Gen/Suspicious
C:\ARCHIVOS DE PROGRAMA\WINRAR\WD351XCA-2005-10-10\PATCH09C.EXE
Que también quedó en cuarentena.
Luego ejecuté ComboFix:
ComboFix 08-02.05.1 - General 2008-02-05 4:47:41.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.34.3082.18.129 [GMT -3:00]
Se ejecuta desde: C:\Documents and Settings\General\Escritorio\ComboFix.exe
* Creado un nuevo punto de restauración

ADVERTENCIA - ESTE EQUIPO NO TIENE INSTALADA LA CONSOLA DE RECUPERACION!
.
ADS - svchost.exe: deleted 88 bytes in 2 streams.

(((((((((((((((((((((((((((((((((((( Otras eliminaciones )))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Archivos de programa\Archivos comunes\{387BB~1
C:\Archivos de programa\Archivos comunes\{987BB~1
C:\WINDOWS\system32\_000008_.tmp.dll
C:\WINDOWS\system32\components

.
(((((((((((((((((( Archivos creados desde 2008-01-05 - 2008-02-05 )))))))))))))))))))))))))))))))))
.

2008-02-05 00:12 . 2006-03-09 10:07 212 --a------ C:\boot.ini.SAB
2008-02-04 22:50 . 2008-02-04 22:50 <DIR> d-------- C:\Documents and Settings\General\Datos de programa\SUPERAntiSpyware.com
2008-02-04 22:50 . 2008-02-04 22:50 <DIR> d-------- C:\Documents and Settings\All Users\Datos de programa\SUPERAntiSpyware.com
2008-02-04 22:50 . 2008-02-05 01:34 <DIR> d-------- C:\Archivos de programa\SUPERAntiSpyware
2008-02-04 22:49 . 2008-02-04 22:49 <DIR> d-------- C:\Archivos de programa\Archivos comunes\Wise Installation Wizard
2008-02-03 23:58 . 2008-02-03 23:58 <DIR> d-------- C:\6a372ce7fee9967cdc1795
2008-02-02 16:49 . 2007-11-27 22:56 116,416 --a------ C:\WINDOWS\system32\drivers\msfwhlpr.sys
2008-02-02 16:49 . 2007-11-27 22:56 91,328 --a------ C:\WINDOWS\system32\drivers\msfwdrv.sys
2008-02-01 03:08 . 2008-02-01 03:08 <DIR> d-------- C:\Archivos de programa\Microsoft CAPICOM 2.1.0.2
2008-02-01 00:29 . 2008-02-01 00:29 <DIR> d-------- C:\Documents and Settings\General\Datos de programa\Grisoft
2008-02-01 00:28 . 2007-05-30 09:10 10,872 --a------ C:\WINDOWS\system32\drivers\AvgAsCln.sys
2008-01-30 23:47 . 2008-01-30 23:47 <DIR> d-------- C:\RegUnlocker Backups
2008-01-30 23:29 . 2007-07-30 19:19 271,224 --a------ C:\WINDOWS\system32\mucltui.dll
2008-01-30 23:29 . 2007-07-30 19:19 207,736 --a------ C:\WINDOWS\system32\muweb.dll
2008-01-30 23:29 . 2007-07-30 19:18 30,072 --a------ C:\WINDOWS\system32\mucltui.dll.mui
2008-01-30 01:38 . 2008-01-30 01:38 <DIR> d-------- C:\WINDOWS\system32\bits
2008-01-30 01:38 . 2007-07-06 15:09 70,928 --a------ C:\WINDOWS\system32\drivers\MpFilter.sys
2008-01-30 01:36 . 2007-03-29 09:58 409,600 -----c--- C:\WINDOWS\system32\dllcache\qmgr.dll
2008-01-30 01:36 . 2007-03-29 09:58 18,944 -----c--- C:\WINDOWS\system32\dllcache\qmgrprxy.dll
2008-01-30 01:36 . 2007-03-29 09:58 8,192 -----c--- C:\WINDOWS\system32\dllcache\bitsprx2.dll
2008-01-30 01:36 . 2007-03-29 09:58 7,168 -----c--- C:\WINDOWS\system32\dllcache\bitsprx4.dll
2008-01-30 01:36 . 2007-03-29 09:58 7,168 -----c--- C:\WINDOWS\system32\dllcache\bitsprx3.dll
2008-01-30 01:36 . 2007-03-29 09:58 7,168 --------- C:\WINDOWS\system32\bitsprx4.dll
2008-01-30 01:04 . 2008-02-05 01:28 <DIR> d-------- C:\Archivos de programa\Microsoft Windows OneCare Live
2008-01-24 14:43 . 2008-01-31 14:27 <DIR> d-------- C:\Archivos de programa\Trend Micro
2008-01-24 14:02 . 2008-02-03 20:41 <DIR> d-------- C:\Archivos de programa\SpywareBlaster
2008-01-24 14:02 . 2005-08-25 18:19 115,920 --a------ C:\WINDOWS\system32\MSINET.OCX
2008-01-22 08:34 . 2008-01-16 10:04 98,304 --a------ C:\WINDOWS\system32\iPMS.exe
2008-01-16 10:20 . 2008-01-16 10:20 <DIR> d-------- C:\Documents and Settings\Administrador.GUERRERO\Datos de programa\Talkback
2008-01-14 07:19 . 2008-01-31 23:36 <DIR> d-------- C:\Grisoft
2008-01-14 06:52 . 2008-01-31 23:36 <DIR> d-------- C:\Documents and Settings\Administrador.GUERRERO\Datos de programa\Grisoft

.
(((((((((((((((((((((((((((((((((((((( Reporte Find3M )))))))))))))))))))))))))))))))))))))))))))))))))) )
.
2008-02-04 03:57 --------- d-----w C:\Archivos de programa\BitTorrent
2008-02-01 06:39 90,112 ----a-w C:\WINDOWS\DUMP5488.tmp
2008-02-01 03:29 --------- d-----w C:\Documents and Settings\All Users\Datos de programa\Grisoft
2008-01-31 20:40 --------- d-----w C:\Documents and Settings\General\Datos de programa\U3
2008-01-24 16:21 --------- d-----w C:\Documents and Settings\General\Datos de programa\GetRightToGo
2008-01-20 21:41 90,112 ----a-w C:\WINDOWS\DUMP5479.tmp
2008-01-16 15:50 20 ---h--w C:\Documents and Settings\All Users\Datos de programa\PKP_DLea.DAT
2008-01-16 12:35 --------- d-----w C:\Archivos de programa\Motorola Phone Tools
2008-01-14 10:26 --------- d-----w C:\Archivos de programa\ESET
2008-01-14 09:40 --------- d-----w C:\Archivos de programa\LiveUpdate
2008-01-02 12:34 --------- d-----w C:\Archivos de programa\ewido anti-spyware 4.0
2008-01-02 12:14 --------- d---a-w C:\Documents and Settings\All Users\Datos de programa\TEMP
2007-12-30 22:04 90,112 ----a-w C:\WINDOWS\DUMP73d8.tmp
2007-12-04 18:02 164 ------w C:\install.dat
2007-11-28 02:49 512 ------w C:\ScanSectorLog.dat
2007-11-07 09:28 726,528 ----a-w C:\WINDOWS\system32\lsasrv.dll
2007-06-25 14:06 108,087 ----a-w C:\WINDOWS\Internet Logs\vsmon_2nd_2007_06_25_05_07_41_small.dmp.zip
2007-03-31 22:30 178,556 ----a-w C:\WINDOWS\Internet Logs\vsmon_2nd_2007_03_31_14_46_45_small.dmp.zip
2007-03-31 01:13 23,045,507 ----a-w C:\WINDOWS\Internet Logs\vsmon_on_demand_2007_03_30_14_44_44_full.dmp. zip
2007-03-30 16:45 22,991,157 ----a-w C:\WINDOWS\Internet Logs\vsmon_on_demand_2007_03_30_00_21_58_full.dmp. zip
2007-03-25 01:14 21,893,066 ----a-w C:\WINDOWS\Internet Logs\vsmon_on_demand_2007_03_24_22_02_01_full.dmp. zip
2007-03-11 16:00 10,609,747 ----a-w C:\WINDOWS\Internet Logs\GLB618_2nd_2007_03_11_12_49_11.dmp.zip
2006-12-02 14:17 92,064 ----a-w C:\Documents and Settings\General\mqdmmdm.sys
2006-12-02 14:17 9,232 ----a-w C:\Documents and Settings\General\mqdmmdfl.sys
2006-12-02 14:17 79,328 ----a-w C:\Documents and Settings\General\mqdmserd.sys
2006-12-02 14:17 66,656 ----a-w C:\Documents and Settings\General\mqdmbus.sys
2006-12-02 14:17 6,208 ----a-w C:\Documents and Settings\General\mqdmcmnt.sys
2006-12-02 14:17 5,936 ----a-w C:\Documents and Settings\General\mqdmwhnt.sys
2006-12-02 14:17 4,048 ----a-w C:\Documents and Settings\General\mqdmcr.sys
2006-12-02 14:17 25,600 ----a-w C:\Documents and Settings\General\usbsermptxp.sys
2006-12-02 14:17 22,768 ----a-w C:\Documents and Settings\General\usbsermpt.sys
2001-11-23 04:08 712,704 ----a-r C:\WINDOWS\inf\OTHER\AUDIO3D.DLL
.

((((((((((((((((((((((((((((((((( Cargando Puntos Reg ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Nota* entradas vacías & entradas legítimas predeterminadas no son mostradas

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\Run]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-19 15:42 15360]
"MSMSGS"="C:\Archivos de programa\Messenger\msmsgs.exe" [2004-10-13 13:24 1694208]
"SUPERAntiSpyware"="C:\Archivos de programa\SUPERAntiSpyware\SUPERAntiSpyware.exe" [2007-06-26 01:20 491458]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run]
"OneCareUI"="C:\Archivos de programa\Microsoft Windows OneCare Live\winssnotify.exe" [2008-01-22 19:43 67112]
"!AVG Anti-Spyware"="C:\Archivos de programa\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" [2007-06-11 06:25 6731312]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\Cur rentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-19 15:42 15360]

[hkey_local_machine\software\microsoft\windows\curr entversion\explorer\shellexecutehooks]
"{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA}"= C:\Archivos de programa\SUPERAntiSpyware\SASSEH.DLL [2006-12-20 13:55 77824]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\!SASWinLogon]
C:\Archivos de programa\SUPERAntiSpyware\SASWINLO.dll 2007-04-19 13:41 294912 C:\Archivos de programa\SUPERAntiSpyware\SASWINLO.dll

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menú Inicio^Programas^Inicio^Adobe Gamma Loader.lnk]
path=C:\Documents and Settings\All Users\Menú Inicio\Programas\Inicio\Adobe Gamma Loader.lnk
backup=C:\WINDOWS\pss\Adobe Gamma Loader.lnkCommon Startup

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menú Inicio^Programas^Inicio^Adobe Reader Speed Launch.lnk]
path=C:\Documents and Settings\All Users\Menú Inicio\Programas\Inicio\Adobe Reader Speed Launch.lnk
backup=C:\WINDOWS\pss\Adobe Reader Speed Launch.lnkCommon Startup

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menú Inicio^Programas^Inicio^NkvMon.exe.lnk]
path=C:\Documents and Settings\All Users\Menú Inicio\Programas\Inicio\NkvMon.exe.lnk
backup=C:\WINDOWS\pss\NkvMon.exe.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ANIWZCS2Service]
--a------ 2004-04-14 11:54 45056 C:\Archivos de programa\ANI\ANIWZCS2 Service\WZCSLDR2.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Cmaudio]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CTFMON.EXE]
--a------ 2004-08-19 15:42 15360 C:\WINDOWS\system32\ctfmon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\D-Link AirPlus G]
--a------ 2004-07-09 15:07 1249280 C:\Archivos de programa\D-Link\AirPlus G\AirGCFG.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS]
--a------ 2004-10-13 13:24 1694208 C:\Archivos de programa\Messenger\msmsgs.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PCTVOICE]
-ra------ 2003-12-18 18:45 180224 C:\WINDOWS\system32\pctspk.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PV92TRAY]
-ra------ 2003-12-18 19:53 323584 C:\WINDOWS\system32\PV92Tray.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\VTPreset]
-ra------ 2004-02-24 09:17 45056 C:\WINDOWS\system32\VTPreset.exe

R2 ppsio;PrmxPPDev;C:\WINDOWS\system32\drivers\ppsio. sys [1998-02-26 00:27]
R2 ppsio2;PPDevice;C:\WINDOWS\system32\drivers\ppsio2 .sys [1999-04-02 10:16]
R2 SetupNT;SetupNT;C:\WINDOWS\system32\SetupNT.sys [2000-10-25 09:27]
R2 WinDriver;WinDriver;C:\WINDOWS\system32\drivers\wi ndrvr.sys [1998-03-22 08:35]

.
************************************************** ************************

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-02-05 04:51:21
Windows 5.1.2600 Service Pack 2 NTFS

escaneando procesos ocultos ...

escaneando entradas ocultas de autostart ...

escaneando archivos ocultos ...

el escaneo se completo con exito
archivos ocultos: 0

************************************************** ************************
.
Tiempo completado: 2008-02-05 4:52:30
ComboFix-quarantined-files.txt 2008-02-05 07:52:26
.
2008-02-01 06:25:04 --- E O F ---

Luego del último reinicio, reportó un error en Windows Live OneCare.

Este comentario y log los estoy pegando con conexión Dial Up, ya que no se conecta por ADSL.
Desde ya agradecido, quedo en espera de una nueva respuesta. Aleg.

Agregado 05/02 18:37 hs.
Sí, pude conectarme por ADSL pero atravez del reuter. Pero no puedo conectarme a la página que elija como inicio ni tampoco en forma directa a www.infospyware.com. A veces puedo hacerlo mediante algún link (Otras veces no).

Última edición por Aleg fecha: 05/02/08 a las 16:37:29. Razón: Agregar datos