Foro de Spyware - Ver Mensaje Individual - Duda sobre Qoobox (Solucionado)

Tema: Duda sobre Qoobox (Solucionado)

Ver Mensaje Individual

post #3 (permalink)

15/05/08, 00:47:24

Artibundy

Usuario

Registrado: may 2008

Ubicación: Mexico

Mensajes: 5

Re: Duda sobre Qoobox

Hola, disculpa por haber usado el combofix sin supervision, pero la verdad es que ya tenia dias buscando una solucion y nada me resultaba. Aqui va el informe del combofix

ComboFix 08-05-12.1 - Necroterror_Bundy 2008-05-13 23:17:28.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.3082.18.732 [GMT -6:00]
Se ejecuta desde: C:\Documents and Settings\Necroterror_Bundy\Escritorio\ComboFix.exe
Command switches used :: C:\Documents and Settings\Necroterror_Bundy\Escritorio\CFScript.txt
* Creado un nuevo punto de restauración
* Resident AV is active

ADVERTENCIA - ESTE EQUIPO NO TIENE INSTALADA LA CONSOLA DE RECUPERACION!

FILE ::
C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\spoolsv.exe
I:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\spoolsv.exe
.

(((((((((((((((((((((((((((((((((((( Otras eliminaciones )))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\spoolsv.exe
I:\autorun.inf
I:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\spoolsv.exe

.
(((((((((((((((((( Archivos creados desde 2008-04-14 - 2008-05-14 )))))))))))))))))))))))))))))))))
.

2008-05-13 02:21 . 2008-05-13 02:21 <DIR> d-------- C:\Documents and Settings\Necroterror_Bundy\Datos de programa\PC Tools
2008-05-13 02:21 . 2008-05-13 23:15 <DIR> d-a------ C:\Documents and Settings\All Users\Datos de programa\TEMP
2008-05-13 02:21 . 2008-05-13 02:22 <DIR> d-------- C:\Archivos de programa\Spyware Doctor
2008-05-13 02:21 . 2007-12-10 14:53 81,288 --a------ C:\WINDOWS\system32\drivers\iksyssec.sys
2008-05-13 02:21 . 2007-12-10 14:53 66,952 --a------ C:\WINDOWS\system32\drivers\iksysflt.sys
2008-05-13 02:21 . 2007-12-10 14:53 41,864 --a------ C:\WINDOWS\system32\drivers\ikfilesec.sys
2008-05-13 02:21 . 2007-12-10 14:53 29,576 --a------ C:\WINDOWS\system32\drivers\kcom.sys
2008-05-09 21:03 . 2008-05-09 21:03 0 --a------ C:\CAPTURE.AVI
2008-04-30 12:51 . 2008-05-01 18:01 <DIR> d-------- C:\Archivos de programa\Free Japanese Anime Screensaver
2008-04-30 12:50 . 2008-04-30 12:50 <DIR> d-------- C:\Archivos de programa\V2W
2008-04-30 12:50 . 2008-04-30 12:50 3,100,003 --a------ C:\WINDOWS\system32\Super Mario World.scr

.
(((((((((((((((((((((((((((((((((((((( Reporte Find3M )))))))))))))))))))))))))))))))))))))))))))))))))) )
.
2008-05-11 08:08 --------- d-----w C:\Documents and Settings\Necroterror_Bundy\Datos de programa\uTorrent
2008-05-03 08:10 --------- d-----w C:\Archivos de programa\FlashGet
2008-05-03 02:12 --------- d-----w C:\Documents and Settings\Invitado\Datos de programa\Ahead
2008-05-02 00:07 --------- d-----w C:\Archivos de programa\Macromedia
2008-05-02 00:07 --------- d-----w C:\Archivos de programa\Archivos comunes\Macromedia
2008-04-30 18:53 --------- d-----w C:\Archivos de programa\ESET
2008-04-28 09:14 --------- d-----w C:\Documents and Settings\Necroterror_Bundy\Datos de programa\Ahead
2008-04-20 01:38 --------- d-----w C:\Documents and Settings\Invitado\Datos de programa\HP
2008-03-28 07:49 --------- d-----w C:\Archivos de programa\DVDlabPro2
2008-03-26 07:21 --------- d-----w C:\Documents and Settings\Necroterror_Bundy\Datos de programa\BSplayer Pro
2008-03-26 07:16 --------- d-----w C:\Archivos de programa\Webteh
2001-11-23 04:08 712,704 ----a-r C:\WINDOWS\inf\OTHER\AUDIO3D.DLL
.

((((((((((((((((((((((((((((((((( Cargando Puntos Reg ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Nota* entradas vac¡as & entradas leg¡timas predeterminadas no son mostradas

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\Run]
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="C:\Archivos de programa\Archivos comunes\Ahead\Lib\NMBgMonitor.exe" [2007-05-16 08:27 153136]
"PcSync"="C:\Archivos de programa\Nokia\Nokia PC Suite 6\PcSync2.exe" [ ]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-19 14:42 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run]
"Cmaudio"="cmicnfg.cpl" []
"ATIPTA"="C:\Archivos de programa\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2004-08-25 11:52 339968]
"Quick TV Agent"="C:\Archivos de programa\Terminator\Quick TV\Scheduled.exe" [2004-10-11 09:46 740352]
"RemoteControl"="C:\Archivos de programa\CyberLink\PowerDVD\PDVDServ.exe" [2003-10-31 18:42 32768]
"nod32kui"="C:\Archivos de programa\Eset\nod32kui.exe" [2007-08-28 19:09 949376]
"HP Software Update"="C:\Archivos de programa\HP\HP Software Update\HPWuSchd2.exe" [2006-02-19 01:41 49152]
"CorelDRAW Graphics Suite 11b"="C:\Archivos de programa\Corel\Corel Graphics 12\Languages\ES\Programs\Registration.exe" [2003-11-28 00:52 733184]
"Adobe Reader Speed Launcher"="C:\Archivos de programa\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2007-05-11 02:06 40048]
"CloneCDTray"="C:\Archivos de programa\SlySoft\CloneCD\CloneCDTray.exe" [2004-12-09 07:56 57344]
"NeroFilterCheck"="C:\Archivos de programa\Archivos comunes\Ahead\Lib\NeroCheck.exe" [2007-03-01 14:57 153136]
"SunJavaUpdateSched"="C:\Archivos de programa\Java\jre1.6.0_05\bin\jusched.exe" [2008-02-22 04:25 144784]
"AntiVirus"="C:\Documents and Settings\Necroterror_Bundy\Escritorio\MismaSXS.exe " [ ]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"VIDC.I420"= i420vfw.dll
"msacm.l3fhg"= mp3fhg.acm
"VIDC.X264"= x264vfw.dll
"VIDC.HFYU"= huffyuv.dll
"vidc.i263"= i263_32.drv
"VIDC.YV12"= yv12vfw.dll
"msacm.ac3filter"= ac3filter.acm
"msacm.divxa32"= divxa32.acm

[HKLM\~\services\sharedaccess\parameters\firewallpo licy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Archivos de programa\\HP\\Digital Imaging\\bin\\hpqtra08.exe"=
"C:\\Archivos de programa\\HP\\Digital Imaging\\bin\\hpqste08.exe"=
"C:\\Archivos de programa\\HP\\Digital Imaging\\bin\\hpofxm08.exe"=
"C:\\Archivos de programa\\HP\\Digital Imaging\\bin\\hposfx08.exe"=
"C:\\Archivos de programa\\HP\\Digital Imaging\\bin\\hposid01.exe"=
"C:\\Archivos de programa\\HP\\Digital Imaging\\bin\\hpqscnvw.exe"=
"C:\\Archivos de programa\\HP\\Digital Imaging\\bin\\hpqkygrp.exe"=
"C:\\Archivos de programa\\HP\\Digital Imaging\\bin\\hpqCopy.exe"=
"C:\\Archivos de programa\\HP\\Digital Imaging\\bin\\hpfccopy.exe"=
"C:\\Archivos de programa\\HP\\Digital Imaging\\bin\\hpzwiz01.exe"=
"C:\\Archivos de programa\\HP\\Digital Imaging\\Unload\\HpqPhUnl.exe"=
"C:\\Archivos de programa\\HP\\Digital Imaging\\Unload\\HpqDIA.exe"=
"C:\\Archivos de programa\\HP\\Digital Imaging\\bin\\hpoews01.exe"=
"C:\\Archivos de programa\\HP\\Digital Imaging\\bin\\hpqnrs08.exe"=
"C:\\Archivos de programa\\Ares\\Ares.exe"=
"D:\\G.A.M.M.A\\Programas\\utorrent.exe"=
"C:\\Archivos de programa\\BitTornado\\btdownloadgui.exe"=
"C:\\Archivos de programa\\Bonjour\\mDNSResponder.exe"=
"C:\\Archivos de programa\\Messenger\\msmsgs.exe"=
"C:\\Archivos de programa\\Mozilla Firefox\\firefox.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpo licy\standardprofile\GloballyOpenPorts\List]
"57225:TCP"= 57225:TCP:Pando P2P TCP Listening Port
"57225:UDP"= 57225:UDP:Pando P2P UDP Listening Port

R3 Cap713x;Philips Cap713x Video Capture;C:\WINDOWS\system32\DRIVERS\Cap713x.sys [2004-12-28 16:03]

.
************************************************** ************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-05-13 23:21:34
Windows 5.1.2600 Service Pack 2 NTFS

escaneando procesos ocultos ...

escaneando entradas ocultas de autostart ...

escaneando archivos ocultos ...

el escaneo se completo con exito
archivos ocultos: 0

************************************************** ************************
.
--------------------- DLLs cargados bajo los procesos en ejecuci¢n ---------------------

PROCESS: C:\WINDOWS\system32\winlogon.exe
-> C:\WINDOWS\system32\Ati2evxx.dll
.
------------------------ Other Running Processes ------------------------
.
C:\WINDOWS\system32\ati2evxx.exe
C:\WINDOWS\system32\ati2evxx.exe
C:\Archivos de programa\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\Archivos de programa\Bonjour\mDNSResponder.exe
C:\Archivos de programa\ESET\nod32krn.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\Archivos de programa\HP\Digital Imaging\bin\hpqtra08.exe
C:\Archivos de programa\Terminator\TV7131 Utilities\P3XRCtl.exe
C:\Archivos de programa\HP\Digital Imaging\bin\hpqimzone.exe
C:\Archivos de programa\Archivos comunes\Ahead\Lib\NMIndexingService.exe
C:\Archivos de programa\Archivos comunes\Ahead\Lib\NMIndexStoreSvr.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Archivos de programa\HP\Digital Imaging\bin\hpqste08.exe
.
************************************************** ************************
.
Tiempo completado: 2008-05-13 23:23:22 - machine was rebooted
ComboFix-quarantined-files.txt 2008-05-14 05:23:07

13 dirs 18,655,657,984 bytes libres
17 dirs 20,732,301,312 bytes libres

141

Y estas son las imagenes de como se ve ahora la usb. La primera es de cuando la abres normal. La segunda de lo que hay dentro de la carpeta que preguntaba si ya se podia borrar.

Y adentro de la carpeta recycler esta un archivo llamado S-1-5-21-1482476501-1644491937-682003330-1013. Segun yo eso esta en cuarentena por lo tanto ya no es una amenza.

Gracias por tu ayuda.