| Re: backdoor.formador y w32.SillyFDC detectados y no puedo quitarlos
Bien, he seguido al pie de la letra las indicaciones (excepto que al pasar el combofix no pude cerrar el antivirus, intenté desde el administrador de tareas pero me lo denegaba).
he intentado acceder a la carpeta compartida de este ordenador desde otro, y me han aparecido los dos archivos temidos: copy.exe y host.exe, junto con el autorun.inf y es cuando el otro ordenador me ha detectado virus. Ya no sé donde está el maldito.
te pego los logs
alwarebytes' Anti-Malware 1.05
Versión de la Base de Datos: 414
Tipo de examen : Examen Completo (C:\|Z:\|)
Objetos examinados: 279029
Tiempo transcurrido: 1 hour(s), 30 minute(s), 21 second(s)
Procesos en Memoria Infectados: 0
Módulos en Memoria Infectados: 0
Claves del Registro Infectadas: 0
Valores del Registro Infectados: 0
Elementos de Datos del Registro Infectados: 0
Carpetas Infectadas: 0
Ficheros Infectados: 0
Procesos en Memoria Infectados:
(No se han detectado elementos maliciosos)
Módulos en Memoria Infectados:
(No se han detectado elementos maliciosos)
Claves del Registro Infectadas:
(No se han detectado elementos maliciosos)
Valores del Registro Infectados:
(No se han detectado elementos maliciosos)
Elementos de Datos del Registro Infectados:
(No se han detectado elementos maliciosos)
Carpetas Infectadas:
(No se han detectado elementos maliciosos)
Ficheros Infectados:
(No se han detectado elementos maliciosos)
--------------------------
ComboFix 08-02-25.3 - Servidor 2008-02-27 11:46:30.2 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.3082.18.463 [GMT 1:00]
Se ejecuta desde: C:\Documents and Settings\Servidor\Escritorio\ComboFix.exe
ADVERTENCIA - ESTE EQUIPO NO TIENE INSTALADA LA CONSOLA DE RECUPERACION!
.
(((((((((((((((((( Archivos creados desde 2008-01-27 - 2008-02-27 )))))))))))))))))))))))))))))))))
.
2008-02-27 09:51 . 2008-02-27 09:51 <DIR> d-------- C:\Documents and Settings\Servidor\Datos de programa\Malwarebytes
2008-02-27 09:51 . 2008-02-27 09:51 <DIR> d-------- C:\Documents and Settings\All Users\Datos de programa\Malwarebytes
2008-02-27 09:51 . 2008-02-27 09:51 <DIR> d-------- C:\Archivos de programa\Malwarebytes' Anti-Malware
2008-02-26 13:38 . 2007-06-05 10:56 44,928 --a------ C:\WINDOWS\system32\drivers\SDTHOOK.SYS
2008-02-26 13:26 . 2008-02-26 15:24 <DIR> d-------- C:\WINDOWS\system32\ActiveScan
2008-02-26 13:26 . 2008-02-26 13:26 <DIR> d-------- C:\WINDOWS\LastGood
2008-02-26 13:26 . 2008-02-26 13:26 30,590 --a------ C:\WINDOWS\system32\pavas.ico
2008-02-26 13:26 . 2008-02-26 13:26 2,550 --a------ C:\WINDOWS\system32\Uninstall.ico
2008-02-26 13:26 . 2008-02-26 13:26 1,406 --a------ C:\WINDOWS\system32\Help.ico
2008-02-26 13:20 . 2008-02-26 13:20 <DIR> d-------- C:\Archivos de programa\DelPSGuard
2008-02-26 13:19 . 2008-02-26 13:19 <DIR> d-------- C:\Archivos de programa\Archivos comunes\Wise Installation Wizard
2008-02-26 12:03 . 2008-02-26 12:03 <DIR> d-------- C:\Archivos de programa\Trend Micro
2008-02-25 17:07 . 2008-02-25 17:07 <DIR> d-------- C:\Archivos de programa\CCleaner
2008-02-18 10:22 . 2008-02-18 10:22 <DIR> d-------- C:\Archivos de programa\FileASSASSIN
2008-02-13 21:41 . 2006-08-31 00:32 <DIR> d--h----- C:\Documents and Settings\Administrador\Reciente
2008-02-13 21:41 . 2006-08-30 23:41 <DIR> d--h----- C:\Documents and Settings\Administrador\Plantillas
2008-02-13 21:41 . 2006-08-31 00:32 <DIR> d-------- C:\Documents and Settings\Administrador\Mis documentos
2008-02-13 21:41 . 2006-08-31 00:32 <DIR> dr------- C:\Documents and Settings\Administrador\Menú Inicio
2008-02-13 21:41 . 2006-08-31 00:32 <DIR> d--h----- C:\Documents and Settings\Administrador\Impresoras
2008-02-13 21:41 . 2006-08-31 00:32 <DIR> d-------- C:\Documents and Settings\Administrador\Favoritos
2008-02-13 21:41 . 2006-08-31 00:32 <DIR> d-------- C:\Documents and Settings\Administrador\Escritorio
2008-02-13 21:41 . 2006-08-31 00:32 <DIR> d--h----- C:\Documents and Settings\Administrador\Entorno de red
2008-02-13 21:41 . 2006-08-31 00:32 <DIR> dr-h----- C:\Documents and Settings\Administrador\Datos de programa
2008-02-13 21:41 . 2008-02-18 10:20 <DIR> d--h----- C:\Documents and Settings\Administrador\Configuración local
.
(((((((((((((((((((((((((((((((((((((( Reporte Find3M )))))))))))))))))))))))))))))))))))))))))))))))))) )
.
2008-02-27 08:48 --------- d---a-w C:\Documents and Settings\All Users\Datos de programa\TEMP
2008-02-27 04:08 --------- d-----w C:\Archivos de programa\Archivos comunes\Symantec Shared
2008-02-26 12:59 --------- d-----w C:\Documents and Settings\Servidor\Datos de programa\Symantec
2008-02-26 12:58 --------- d-----w C:\Documents and Settings\All Users\Datos de programa\Symantec
2008-02-26 12:57 --------- d-----w C:\Archivos de programa\Symantec
2008-02-26 12:52 --------- d-----w C:\Archivos de programa\Backup4all 3
2008-01-24 08:23 805 ----a-w C:\WINDOWS\system32\drivers\SYMEVENT.INF
2008-01-24 08:23 60,800 ----a-w C:\WINDOWS\system32\S32EVNT1.DLL
2008-01-24 08:23 123,952 ----a-w C:\WINDOWS\system32\drivers\SYMEVENT.SYS
2008-01-24 08:23 10,740 ----a-w C:\WINDOWS\system32\drivers\SYMEVENT.CAT
2008-01-24 08:21 --------- d-----w C:\Archivos de programa\Norton AntiVirus
2008-01-23 10:24 --------- d-----r C:\Documents and Settings\Servidor\Datos de programa\Brother
2008-01-23 10:05 --------- d-----w C:\Archivos de programa\Brother
2008-01-23 10:04 --------- d--h--w C:\Archivos de programa\InstallShield Installation Information
2008-01-23 10:04 --------- d-----w C:\Archivos de programa\Common Files
2008-01-23 10:04 --------- d-----w C:\Archivos de programa\Archivos comunes\InstallShield
2008-01-23 10:01 --------- d-----w C:\Documents and Settings\All Users\Datos de programa\ScanSoft
2008-01-23 10:01 --------- d-----w C:\Documents and Settings\All Users\Datos de programa\InstallShield
2008-01-23 10:01 --------- d-----w C:\Archivos de programa\ScanSoft
2008-01-23 10:01 --------- d-----w C:\Archivos de programa\Archivos comunes\ScanSoft Shared
2008-01-23 09:59 --------- d-----w C:\Documents and Settings\All Users\Datos de programa\Brother
2007-12-07 01:06 662,016 ----a-w C:\WINDOWS\system32\wininet.dll
2007-12-04 18:41 550,912 ----a-w C:\WINDOWS\system32\oleaut32.dll
.
((((((((((((((((((((((((((((((((( Cargando Puntos Reg ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Nota* entradas vacías & entradas legítimas predeterminadas no son mostradas
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\Run]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2006-03-02 13:00 15360]
"Backup4all 3"="C:\Archivos de programa\Backup4all 3\Backup4all.exe" [2007-05-10 18:10 2826240]
"Backup4all Scheduler"="C:\Archivos de programa\Backup4all 3\b4aSched.Exe" [2007-02-06 16:36 470016]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run]
"SigmatelSysTrayApp"="sttray.exe" []
"IntelAudioStudio"="C:\Archivos de programa\Intel Audio Studio\IntelAudioStudio.exe" [2006-08-02 16:17 9134080]
"igfxtray"="C:\WINDOWS\system32\igfxtray.exe" [2006-02-07 07:39 94208]
"igfxhkcmd"="C:\WINDOWS\system32\hkcmd.exe" [2006-02-07 07:36 77824]
"igfxpers"="C:\WINDOWS\system32\igfxpers.exe" [2006-02-07 07:40 118784]
"SunJavaUpdateSched"="C:\Archivos de programa\Java\jre1.6.0_03\bin\jusched.exe" [2007-09-25 01:11 132496]
"NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.e xe" [2001-07-09 09:50 155648]
"Iomega ImIconXP"="C:\Archivos de programa\Iomega\REV System Software\imiconxp.exe" [2006-05-16 15:00 86016]
"HPWQTOOLBOX"="C:\Archivos de programa\Hewlett-Packard\HP Deskjet 9800 Series\Toolbox\HPWQTBX.exe" [2005-06-01 13:54 335872]
"PRISMSVR.EXE"="C:\Archivos de programa\SMC\SMC2802W 2.4GHz 54 Mbps Wireless PCI Adapter\PRISMSVR.exe" [2004-04-13 18:45 290905]
"Acrobat Assistant 7.0"="C:\Archivos de programa\Adobe\Acrobat 7.0\Distillr\Acrotray.exe" [2004-12-14 02:12 483328]
"ccApp"="C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe" [2005-09-17 08:27 52848]
"Symantec PIF AlertEng"="C:\Archivos de programa\Archivos comunes\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe" [2007-03-12 17:30 517768]
"SSBkgdUpdate"="C:\Archivos de programa\Archivos comunes\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" [2003-10-14 10:22 155648]
"PaperPort PTD"="C:\Archivos de programa\ScanSoft\PaperPort\pptd40nt.exe" [2005-03-18 10:52 57393]
"IndexSearch"="C:\Archivos de programa\ScanSoft\PaperPort\IndexSearch.exe" [2005-03-18 11:04 40960]
"SetDefPrt"="C:\Archivos de programa\Brother\Brmfl05c\BrStDvPt.exe" [2005-01-26 18:02 49152]
"ControlCenter2.0"="C:\Archivos de programa\Brother\ControlCenter2\brctrcen.exe" [2005-11-11 18:30 995328]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\Cur rentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2006-03-02 13:00 15360]
C:\Documents and Settings\All Users\Men£ Inicio\Programas\Inicio\
Adobe Gamma Loader.lnk - C:\Archivos de programa\Archivos comunes\Adobe\Calibration\Adobe Gamma Loader.exe [2006-09-04 09:32:00 113664]
Inicio r*pido de Adobe Acrobat.lnk - C:\WINDOWS\Installer\{AC76BA86-1034-4700-7760-000000000002}\SC_Acrobat.exe [2007-03-15 18:47:37 25214]
Inicio r*pido de Adobe Reader.lnk - C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2005-09-23 21:05:26 29696]
Microsoft Office.lnk - C:\Archivos de programa\Microsoft Office\Office10\OSA.EXE [2001-02-13 08:01:04 83360]
SMC2802W 2.4GHz 54 Mbps Wireless PCI Adapter Utility.lnk - C:\Archivos de programa\SMC\SMC2802W 2.4GHz 54 Mbps Wireless PCI Adapter\SMC11GMonitor.exe [2004-12-16 14:14:52 307200]
[HKLM\~\services\sharedaccess\parameters\firewallpo licy\standardprofile]
"EnableFirewall"= 0 (0x0)
R0 IABFilt;Iomega Snapshot Volume Filter;C:\WINDOWS\system32\DRIVERS\IABFilt.sys [2005-07-01 09:15]
R0 imdrvfsf;Iomega File System Filter Driver;C:\WINDOWS\system32\DRIVERS\imdrvfsf.sys [2006-05-16 15:19]
R3 2802W;SMC2802W 2.4GHz 54 Mbps Wireless PCI Driver;C:\WINDOWS\system32\DRIVERS\2802W.sys [2004-04-29 13:19]
R3 BrScnUsb;Brother USB Still Image driver;C:\WINDOWS\system32\DRIVERS\BrScnUsb.sys [2004-10-15 12:50]
S3 NAL;Nal Service ;C:\WINDOWS\system32\Drivers\iqvw32.sys [2006-07-05 14:35]
S3 w3304an5;WN3X0X Wireless Adapter;C:\ARCHIV~1\SMC\SMC280~1.4GH\INSTAL~1\WINX P\w3304an5.SYS []
*Newly Created Service* - QQHLRAHSTGMO
*Newly Created Service* - RKPAVPROC
*Newly Created Service* - SDTHOOK
.
Contenido de carpeta 'Tareas Programadas'
"2007-07-19 06:38:07 C:\WINDOWS\Tasks\b4a_(1).job"
- C:\Archivos de programa\Backup4all 3\b4aSchedStarter.exe
"2008-02-27 08:00:00 C:\WINDOWS\Tasks\b4a_(10).job"
- C:\Archivos de programa\Backup4all 3\b4aSchedStarter.exe
"2008-02-27 08:00:00 C:\WINDOWS\Tasks\b4a_(11).job"
- C:\Archivos de programa\Backup4all 3\b4aSchedStarter.exe
"2008-02-27 08:00:00 C:\WINDOWS\Tasks\b4a_(12).job"
- C:\Archivos de programa\Backup4all 3\b4aSchedStarter.exe
"2008-02-27 08:00:00 C:\WINDOWS\Tasks\b4a_(13).job"
- C:\Archivos de programa\Backup4all 3\b4aSchedStarter.exe
"2008-02-27 08:00:00 C:\WINDOWS\Tasks\b4a_(14).job"
- C:\Archivos de programa\Backup4all 3\b4aSchedStarter.exe
"2008-02-27 08:00:00 C:\WINDOWS\Tasks\b4a_(15).job"
- C:\Archivos de programa\Backup4all 3\b4aSchedStarter.exe
"2008-02-27 08:00:00 C:\WINDOWS\Tasks\b4a_(16).job"
- C:\Archivos de programa\Backup4all 3\b4aSchedStarter.exe
"2008-02-27 08:00:00 C:\WINDOWS\Tasks\b4a_(17).job"
- C:\Archivos de programa\Backup4all 3\b4aSchedStarter.exe
"2007-07-19 06:38:07 C:\WINDOWS\Tasks\b4a_(2).job"
- C:\Archivos de programa\Backup4all 3\b4aSchedStarter.exe
"2007-07-19 07:17:03 C:\WINDOWS\Tasks\b4a_(3).job"
- C:\Archivos de programa\Backup4all 3\b4aSchedStarter.exe
"2007-07-19 07:17:03 C:\WINDOWS\Tasks\b4a_(4).job"
- C:\Archivos de programa\Backup4all 3\b4aSchedStarter.exe
"2007-07-19 07:17:03 C:\WINDOWS\Tasks\b4a_(5).job"
- C:\Archivos de programa\Backup4all 3\b4aSchedStarter.exe
"2007-07-19 07:17:03 C:\WINDOWS\Tasks\b4a_(6).job"
- C:\Archivos de programa\Backup4all 3\b4aSchedStarter.exe
"2008-02-27 08:00:00 C:\WINDOWS\Tasks\b4a_(7).job"
- C:\Archivos de programa\Backup4all 3\b4aSchedStarter.exe
"2008-02-27 08:00:00 C:\WINDOWS\Tasks\b4a_(8).job"
- C:\Archivos de programa\Backup4all 3\b4aSchedStarter.exe
"2008-02-27 08:00:00 C:\WINDOWS\Tasks\b4a_(9).job"
- C:\Archivos de programa\Backup4all 3\b4aSchedStarter.exe
"2007-07-19 06:38:07 C:\WINDOWS\Tasks\b4a_.job"
- C:\Archivos de programa\Backup4all 3\b4aSchedStarter.exe
"2008-02-21 22:55:00 C:\WINDOWS\Tasks\b4a_JUEVES.job"
- C:\Archivos de programa\Backup4all 3\b4aSchedStarter.exe
"2007-07-19 06:38:07 C:\WINDOWS\Tasks\b4a_L-M-M-J.job"
- C:\Archivos de programa\Backup4all 3\b4aSchedStarter.exe
"2008-02-25 22:55:00 C:\WINDOWS\Tasks\b4a_LUNES.job"
- C:\Archivos de programa\Backup4all 3\b4aSchedStarter.exe
"2007-07-19 06:38:07 C:\WINDOWS\Tasks\b4a_M-M-J.job"
- C:\Archivos de programa\Backup4all 3\b4aSchedStarter.exe
"2008-02-26 22:55:00 C:\WINDOWS\Tasks\b4a_MARTES.job"
- C:\Archivos de programa\Backup4all 3\b4aSchedStarter.exe
"2008-02-20 22:55:00 C:\WINDOWS\Tasks\b4a_MIERCOLES.job"
- C:\Archivos de programa\Backup4all 3\b4aSchedStarter.exe
"2008-02-22 22:00:00 C:\WINDOWS\Tasks\b4a_VIERNES.job"
- C:\Archivos de programa\Backup4all 3\b4aSchedStarter.exe
"2008-02-25 07:59:22 C:\WINDOWS\Tasks\Norton AntiVirus - Run Full System Scan - Servidor.job"
- C:\ARCHIV~1\NORTON~1\Navw32.exei/TASK:
.
************************************************** ************************
catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-02-27 11:48:39
Windows 5.1.2600 Service Pack 2 NTFS
escaneando procesos ocultos ...
escaneando entradas ocultas de autostart ...
escaneando archivos ocultos ...
el escaneo se completo con exito
archivos ocultos: 0
************************************************** ************************
.
Tiempo completado: 2008-02-27 11:50:19
.
2008-02-13 17:55:52 --- E O F ---
--------
Saludos y gracias!  |