Foro de Spyware - Ver Mensaje Individual - windows security alert con Worm Win32 Netsky detectado (SOLUCIONADO)

Tema: windows security alert con Worm Win32 Netsky detectado (SOLUCIONADO)

Ver Mensaje Individual

post #3 (permalink)

07/03/08, 14:30:22

jac52

Usuario

Registrado: mar 2008

Ubicación: Madrid

Mensajes: 21

Re: windows security alert con Worm Win32 Netsky detectado

Muchas gracias por la ayuda.

Abajo te dejo el resultado del smitfiles.txt, pero como no tengo el Panda te adjunto a continuación el reporte del McAfee

1) smitfiles:
smitRem © log file
version 3.2

by noahdfear

Microsoft Windows XP [Versi¢n 5.1.2600]
"IE"="6.0000"

Running from
C:\Documents and Settings\jose andres\Escritorio\smitRem

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Pre-run SharedTask Export

(GetSTS.exe) SharedTaskScheduler exporter by Lawrence Abrams (Grinler)
Copyright(C) 2006 BleepingComputer.com

Registry Pseudo-Format Mode (Not a valid reg file):

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Explorer\SharedTaskScheduler]
"{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Precargador Browseui"
"{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Demonio de caché de las categorías de componente"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{438755C 2-A8BA-11D1-B96B-00A0C90312E1}\InProcServer32]
@="%SystemRoot%\System32\browseui.dll"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{8C7461E F-2B13-11d2-BE35-3078302C2030}\InProcServer32]
@="%SystemRoot%\System32\browseui.dll"

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Appinitdll check ........ Thank you Grinler!

dumphive.exe (C)2000-2004 Markus Stephany
REGEDIT4

[Windows]
"AppInit_DLLs"=""
"DeviceNotSelectedTimeout"="15"
"GDIProcessHandleQuota"=dword:00002710
"Spooler"="yes"
"swapdisk"=""
"TransmissionRetryTimeout"="90"
"USERProcessHandleQuota"=dword:00002710

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

XP Firewall allowed access

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\SharedAccess\Parameters\FirewallPolicy\Standard Profile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"="%windir%\\syste m32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\\Archivos de programa\\McAfee\\Managed VirusScan\\Agent\\myAgtSvc.exe"="C:\\Archivos de programa\\McAfee\\Managed VirusScan\\Agent\\myAgtSvc.exe:*:Enabled:McAfee Managed Services Agent"
"C:\\mar\\eMule0.47a\\eMule0.47a\\emule.exe"="C:\\ mar\\eMule0.47a\\eMule0.47a\\emule.exe:*:Enabled:e mule.exe"
"C:\\Ares\\Ares.exe"="C:\\Ares\\Ares.exe:*:Enabled :Ares p2p for windows"
"C:\\Archivos de programa\\Ares\\Ares.exe"="C:\\Archivos de programa\\Ares\\Ares.exe:*:Disabled:Ares p2p for windows"
"C:\\Archivos de programa\\Retrospect\\Retrospect 7.5\\Retrospect.exe"="C:\\Archivos de programa\\Retrospect\\Retrospect 7.5\\Retrospect.exe:*:Enabled:Retrospect"
"C:\\Archivos de programa\\iTunes\\iTunes.exe"="C:\\Archivos de programa\\iTunes\\iTunes.exe:*:Enabled:iTunes"
"C:\\Archivos de programa\\Windows Live\\Messenger\\msnmsgr.exe"="C:\\Archivos de programa\\Windows Live\\Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger"
"C:\\Archivos de programa\\Windows Live\\Messenger\\livecall.exe"="C:\\Archivos de programa\\Windows Live\\Messenger\\livecall.exe:*:Enabled:Windows Live Messenger (Phone)"

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

checking for ShudderLTD key

ShudderLTD key not present!

checking for PSGuard.com key

PSGuard.com key not present!

checking for WinHound.com key

WinHound.com key not present!

checking for drsmartload2 key

drsmartload2 key not present!

spyaxe uninstaller NOT present
Winhound uninstaller NOT present
SpywareStrike uninstaller NOT present
AlfaCleaner uninstaller NOT present
SpyFalcon uninstaller NOT present
SpywareQuake uninstaller NOT present
SpywareSheriff uninstaller NOT present
Trust Cleaner uninstaller NOT present
SpyHeal uninstaller NOT present
VirusBurst uninstaller NOT present
BraveSentry uninstaller NOT present
AntiVermins uninstaller NOT present
VirusBursters uninstaller NOT present

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Existing Pre-run Files

~~~ Program Files ~~~

~~~ Shortcuts ~~~

~~~ Favorites ~~~

~~~ system32 folder ~~~

amcompat.tlb
nscompat.tlb

~~~ Icons in System32 ~~~

~~~ Windows directory ~~~

~~~ Drive root ~~~

~~~ Miscellaneous Files/folders ~~~

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Command Line Process Viewer/Killer/Suspender for Windows NT/2000/XP V2.03
Copyright(C) 2002-2003 Craig.Peacock@beyondlogic.org
Killing PID 812 'explorer.exe'

Starting registry repairs

Registry repairs complete

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

SharedTask Export after registry fix

(GetSTS.exe) SharedTaskScheduler exporter by Lawrence Abrams (Grinler)
Copyright(C) 2006 BleepingComputer.com

Registry Pseudo-Format Mode (Not a valid reg file):

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Explorer\SharedTaskScheduler]
"{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Precargador Browseui"
"{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Demonio de caché de las categorías de componente"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{438755C 2-A8BA-11D1-B96B-00A0C90312E1}\InProcServer32]
@="%SystemRoot%\System32\browseui.dll"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{8C7461E F-2B13-11d2-BE35-3078302C2030}\InProcServer32]
@="%SystemRoot%\System32\browseui.dll"

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Deleting files

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Remaining Post-run Files

~~~ Program Files ~~~

~~~ Shortcuts ~~~

~~~ Favorites ~~~

~~~ system32 folder ~~~

~~~ Icons in System32 ~~~

~~~ Windows directory ~~~

~~~ Drive root ~~~

~~~ Miscellaneous Files/folders ~~~

~~~ Wininet.dll ~~~

CLEAN! :)

2) Reporte del McAfee:
Estadísticas de análisis
Fecha: viernes, 07 de marzo de 2008
Hora de inicio: 17:38:39
Tiempo transcurrido: 01:12:39
Versión del motor de análisis: 5100.0194
Versión del archivo DAT: 5245.0000
Última actualización: martes, 15 de enero de 2008
Grado de finalización: Análisis completado
Ubicación: C:\
Archivos analizados: 337754
Amenazas de archivos detectadas: 0
Archivos limpiados: 0
Archivos eliminados: 0
Amenazas del Registro detectadas: 1
Amenazas del registro eliminadas: 0
Amenazas de cookies detectadas: 3
Amenazas de cookies limpiadas: 0

Amenazas detectadas
Ubicación Tipo Objeto Amenaza Estado
Registro Objeto potencialmente no deseado HKLM\SOFTWARE\Telefonica TerraMessenger Amenaza detectada
Cookie Objeto potencialmente no deseado c:\documents and settings\jose andres\cookies\jose andres@ehg-tigerdirect2.hitbox[1].txt Cookie-Hitbox Amenaza detectada
Cookie Objeto potencialmente no deseado c:\documents and settings\jose andres\cookies\jose andres@hitbox[2].txt Cookie-Hitbox Amenaza detectada
Cookie Objeto potencialmente no deseado c:\documents and settings\jose andres\cookies\jose andres@hitbox[2].txt Cookie-Hitbox Amenaza detectada
-----
Dime lo que sea, gracias.