Foro de Spyware - Ver Mensaje Individual - Infección por Vundo (ayuda por favor)

Tema: Infección por Vundo (ayuda por favor)

Ver Mensaje Individual

post #5 (permalink)

27/02/08, 17:39:09

Akyra_666

Usuario

Registrado: feb 2005

Ubicación: Barna

Mensajes: 3

Re: Infección por Vundo (ayuda por favor)

Hola buenas noches,

Bueno, realicé todos los pasos.

Aqui el log de ComboFix:

ComboFix 08-02-25.3 - Aky 2008-02-27 21:29:08.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.1.1252.1.3082.18.522 [GMT 1:00]
Se ejecuta desde: C:\Documents and Settings\Aky\Escritorio\ComboFix.exe

ADVERTENCIA - ESTE EQUIPO NO TIENE INSTALADA LA CONSOLA DE RECUPERACION!
.

(((((((((((((((((((((((((((((((((((( Otras eliminaciones )))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\autorun.inf

.
(((((((((((((((((( Archivos creados desde 2008-01-27 - 2008-02-27 )))))))))))))))))))))))))))))))))
.

2008-02-27 19:50 . 2008-02-27 19:50 <DIR> d-------- C:\Documents and Settings\All Users\Datos de programa\SUPERAntiSpyware.com
2008-02-27 19:50 . 2008-02-27 19:50 <DIR> d-------- C:\Documents and Settings\Aky\Datos de programa\SUPERAntiSpyware.com
2008-02-27 19:50 . 2008-02-27 19:54 <DIR> d-------- C:\Archivos de programa\SUPERAntiSpyware
2008-02-27 19:49 . 2008-02-27 19:49 <DIR> d-------- C:\Archivos de programa\Archivos comunes\Wise Installation Wizard
2008-02-25 21:22 . 2008-02-25 21:22 <DIR> d-------- C:\Archivos de programa\Trend Micro
2008-02-10 20:32 . 2008-02-10 20:32 268 --ah----- C:\sqmdata07.sqm
2008-02-10 20:32 . 2008-02-10 20:32 244 --ah----- C:\sqmnoopt07.sqm
2008-01-30 21:22 . 2008-01-30 21:22 <DIR> d-------- C:\Archivos de programa\PixRevcache
2008-01-30 21:22 . 2008-01-30 22:45 <DIR> d-------- C:\Archivos de programa\PixRev

.
(((((((((((((((((((((((((((((((((((((( Reporte Find3M )))))))))))))))))))))))))))))))))))))))))))))))))) )
.
2008-02-14 23:18 --------- d-----w C:\Archivos de programa\Power Translator
2008-02-10 23:03 --------- d-----w C:\Archivos de programa\eMule
2008-01-29 23:24 --------- d-----w C:\Archivos de programa\Documents To Go
2008-01-27 00:16 --------- d-----w C:\Archivos de programa\FlashGet
2008-01-26 12:14 --------- d-----w C:\Archivos de programa\Free PDF to Word Doc Converter
2008-01-26 12:05 --------- d-----w C:\Archivos de programa\BlueSquad
2007-12-27 22:26 --------- d-----w C:\Documents and Settings\Aky\Datos de programa\Ahead
.

((((((((((((((((((((((((((((((((( Cargando Puntos Reg ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Nota* entradas vacías & entradas legítimas predeterminadas no son mostradas

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\Run]
"MessengerPlus3"="C:\Archivos de programa\Messenger Plus! 3\MsgPlus.exe" [2006-07-10 18:57 190024]
"PhilipsLime"="C:\Archivos de programa\Philips\Philips Lime Service\bin\LimeAlive.exe" [2005-09-08 15:10 159744]
"msnmsgr"="C:\Archivos de programa\MSN Messenger\msnmsgr.exe" [2007-01-19 11:55 5674352]
"ctfmon.exe"="C:\WINDOWS\System32\ctfmon.exe" [2002-09-24 13:00 13312]
"SUPERAntiSpyware"="C:\Archivos de programa\SUPERAntiSpyware\SUPERAntiSpyware.exe" [2007-06-21 14:06 1318912]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run]
"avgnt"="C:\Archivos de programa\AntiVir PersonalEdition Classic\avgnt.exe" [2007-10-10 22:32 249896]
"NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.e xe" [2001-07-09 09:50 155648]
"NvCplDaemon"="C:\WINDOWS\System32\NvCpl.dll" [2006-06-01 16:22 7618560]
"nwiz"="nwiz.exe" [2006-06-01 16:22 1519616 C:\WINDOWS\system32\nwiz.exe]
"NvMediaCenter"="C:\WINDOWS\System32\NvMcTray. dll" [2006-06-01 16:22 86016]
"UpdReg"="C:\WINDOWS\UpdReg.EXE" [2000-05-11 00:00 90112]
"Jet Detection"="C:\Archivos de programa\Creative\SBLive\PROGRAM\ADGJDet.exe" [2001-11-29 00:00 28672]
"QuickTime Task"="C:\Archivos de programa\QuickTime\qttask.exe" [2006-07-10 23:02 98304]
"SunJavaUpdateSched"="C:\Archivos de programa\Java\jre1.5.0_02\bin\jusched.exe" [2005-03-04 02:36 36975]
"CTHelper"="CTHELPER.EXE" [2003-08-28 09:45 24576 C:\WINDOWS\system32\CTHELPER.EXE]
"DAEMON Tools-1033"="C:\Archivos de programa\D-Tools\daemon.exe" [2004-08-22 16:05 81920]
"PhilipsDM"="C:\Archivos de programa\Philips\Philips Device Manager\Bin\DeviceManager.exe" [2006-04-10 14:44 622592]
"LVCOMSX"="C:\WINDOWS\System32\LVCOMSX.EXE" [2004-12-14 18:19 221184]
"LogitechVideoRepair"="C:\Archivos de programa\Logitech\Video\ISStart.exe" [2004-12-14 18:57 458752]
"LogitechVideoTray"="C:\Archivos de programa\Logitech\Video\LogiTray.exe" [2004-12-14 18:51 217088]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\Cur rentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2002-09-24 13:00 13312]

C:\Documents and Settings\Aky\Men£ Inicio\Programas\Inicio\
palmOne Registration.lnk - C:\Archivos de programa\palmOne\register.exe [2005-02-11 13:44:58 2301952]

C:\Documents and Settings\All Users\Men£ Inicio\Programas\Inicio\
HotSync Manager.lnk - C:\Archivos de programa\palmOne\Hotsync.exe [2004-06-09 14:16:08 471040]
Microsoft Office.lnk - C:\Archivos de programa\Microsoft Office\Office\OSA9.EXE [1999-02-17 21:05:56 65588]

[hkey_local_machine\software\microsoft\windows\curr entversion\explorer\shellexecutehooks]
"{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA}"= C:\Archivos de programa\SUPERAntiSpyware\SASSEH.DLL [2006-12-20 13:55 77824]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\!SASWinLogon]
C:\Archivos de programa\SUPERAntiSpyware\SASWINLO.dll 2007-04-19 13:41 294912 C:\Archivos de programa\SUPERAntiSpyware\SASWINLO.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\awtutrs]
awtutrs.dll

R0 avgntmgr;avgntmgr;C:\WINDOWS\System32\drivers\avgn tmgr.sys [2007-09-06 22:11]
R1 avgntdd;avgntdd;C:\WINDOWS\System32\DRIVERS\avgntd d.sys [2007-09-06 22:11]
S2 Ca533av;Dual Mode Video Camera Device;C:\WINDOWS\System32\Drivers\Ca533av.sys [2002-10-21 10:37]
S3 USBCamera;Dual Mode Still Camera Device;C:\WINDOWS\System32\Drivers\Bulk533.sys [2002-12-04 13:38]

.
************************************************** ************************

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-02-27 21:31:20
Windows 5.1.2600 Service Pack 1 NTFS

escaneando procesos ocultos ...

escaneando entradas ocultas de autostart ...

escaneando archivos ocultos ...

el escaneo se completo con exito
archivos ocultos: 0

************************************************** ************************
.
Tiempo completado: 2008-02-27 21:35:43
ComboFix-quarantined-files.txt 2008-02-27 20:35:41

Luego he pasado el CCleaner y he guardado el registro.

Bueno en principio todo bien hasta que al entrar en 2 webs me ha salido el antivir con 2 avisos nuevos. Asi que pondré el log de HJT y miraré que virus me dice ahora el Antivir.

Log de HJT:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 22:34:47, on 27/02/2008
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Archivos de programa\AntiVir PersonalEdition Classic\sched.exe
C:\Archivos de programa\AntiVir PersonalEdition Classic\avguard.exe
C:\Archivos de programa\Archivos comunes\EPSON\EBAPI\SAgent2.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\system32\srvany.exe
C:\WINDOWS\system32\resetservice.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\WINDOWS\Explorer.EXE
C:\Archivos de programa\AntiVir PersonalEdition Classic\avgnt.exe
C:\Archivos de programa\QuickTime\qttask.exe
C:\Archivos de programa\Java\jre1.5.0_02\bin\jusched.exe
C:\WINDOWS\System32\CTHELPER.EXE
C:\Archivos de programa\D-Tools\daemon.exe
C:\Archivos de programa\Philips\Philips Device Manager\Bin\DeviceManager.exe
C:\WINDOWS\System32\LVCOMSX.EXE
C:\Archivos de programa\Logitech\Video\LogiTray.exe
C:\Archivos de programa\Philips\Philips Lime Service\bin\LimeAlive.exe
C:\Archivos de programa\MSN Messenger\msnmsgr.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Archivos de programa\Philips\Philips Lime Service\bin\Lime.exe
C:\Archivos de programa\SUPERAntiSpyware\SUPERAntiSpyware.exe
C:\Archivos de programa\Logitech\Video\FxSvr2.exe
C:\Archivos de programa\palmOne\Hotsync.exe
C:\Archivos de programa\MSN Messenger\usnsvc.exe
C:\Archivos de programa\Internet Explorer\IEXPLORE.EXE
C:\Archivos de programa\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\ARCHIV~1\FlashGet\fgiebar.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [avgnt] "C:\Archivos de programa\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [Jet Detection] "C:\Archivos de programa\Creative\SBLive\PROGRAM\ADGJDet.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Archivos de programa\Java\jre1.5.0_02\bin\jusched.exe
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Archivos de programa\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [PhilipsDM] "C:\Archivos de programa\Philips\Philips Device Manager\Bin\DeviceManager.exe"
O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\System32\LVCOMSX.EXE
O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Archivos de programa\Logitech\Video\ISStart.exe
O4 - HKLM\..\Run: [LogitechVideoTray] C:\Archivos de programa\Logitech\Video\LogiTray.exe
O4 - HKCU\..\Run: [MessengerPlus3] "C:\Archivos de programa\Messenger Plus! 3\MsgPlus.exe" /WinStart
O4 - HKCU\..\Run: [PhilipsLime] "C:\Archivos de programa\Philips\Philips Lime Service\bin\LimeAlive.exe"
O4 - HKCU\..\Run: [msnmsgr] "C:\Archivos de programa\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Archivos de programa\SUPERAntiSpyware\SUPERAntiSpyware.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICIO LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Servicio de red')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Startup: palmOne Registration.lnk = C:\Archivos de programa\palmOne\register.exe
O4 - Global Startup: HotSync Manager.lnk = C:\Archivos de programa\palmOne\Hotsync.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: Descargar con Fl&ashGet - C:\ARCHIV~1\FlashGet\jc_link.htm
O8 - Extra context menu item: Descargar todo con Flas&hGet - C:\ARCHIV~1\FlashGet\jc_all.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\ARCHIV~1\FlashGet\flashget.exe
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\ARCHIV~1\FlashGet\flashget.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{F4FDAF03-710D-43AC-90F8-CB406C676F81}: NameServer = 62.36.225.150,62.37.228.20
O20 - Winlogon Notify: !SASWinLogon - C:\Archivos de programa\SUPERAntiSpyware\SASWINLO.dll
O20 - Winlogon Notify: awtutrs - awtutrs.dll (file missing)
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Archivos de programa\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Archivos de programa\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Creative Service for CDROM Access - Unknown owner - C:\WINDOWS\System32\CTsvcCDA.exe (file missing)
O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Archivos de programa\Archivos comunes\EPSON\EBAPI\SAgent2.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Reset 5 - Unknown owner - C:\WINDOWS\system32\srvany.exe

--
End of file - 6643 bytes

***

Reports de Antivir:

Virus or unwanted program 'TR/Drop.Sinowa.O [TR/Drop.Sinowa.O]'
detected in file 'C:\Documents and Settings\Aky\Configuración local\Archivos temporales de Internet\Archivos temporales de Internet\Content.IE5\EAZ7P0V3\mail[1].
Action performed: Deny access

Virus or unwanted program 'TR/Drop.Sinowa.O [TR/Drop.Sinowa.O]'
detected in file 'C:\DOCUME~1\Aky\CONFIG~1\Temp\kAeB.
Action performed: Deny access

Virus or unwanted program 'HEUR/Exploit.HTML [HEUR/Exploit.HTML]'
detected in file 'C:\Documents and Settings\Aky\Configuración local\Datos de programa\Mozilla\Firefox\Profiles\5jqq2do2.default \Cache\_CACHE_003_.
Action performed: Deny access

-_-'' parece que no esta Vundo pero ha venido otro...