Foro de Spyware - Ver Mensaje Individual - Dllls de Virtumonde con hijack log

Tema: Dllls de Virtumonde con hijack log

Ver Mensaje Individual

post #3 (permalink)

12/06/08, 22:36:16

ihr

Usuario

Registrado: jun 2006

Ubicación: En una roca

Mensajes: 9

Re: Dllls de Virtumonde con hijack log

Bueno hice todo lo que me dijeron pero metí la pata varias veces. La primera fue cuando terminé el primer scan con el Malware, así que lo repetí pero ahora súper expres y quité los principales problemas

(1er Log donde se me fue quitar los problemas)
Malwarebytes' Anti-Malware 1.17
Versión de la Base de Datos: 849

8:35:50 11/06/2008
mbam-log-6-11-2008 (08-35-44).txt

Tipo de examen : Examen Completo (C:\|)
Objetos examinados: 178833
Tiempo transcurrido: 1 hour(s), 38 minute(s), 40 second(s)

Procesos en Memoria Infectados: 0
Módulos en Memoria Infectados: 2
Claves del Registro Infectadas: 11
Valores del Registro Infectados: 2
Elementos de Datos del Registro Infectados: 0
Carpetas Infectadas: 0
Ficheros Infectados: 10

Procesos en Memoria Infectados:
(No se han detectado elementos maliciosos)

Módulos en Memoria Infectados:
C:\WINDOWS\system32\fccbAPgh.dll (Trojan.Vundo) -> No action taken.
C:\WINDOWS\system32\urqPfCVM.dll (Trojan.Vundo) -> No action taken.

Claves del Registro Infectadas:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Explorer\Browser Helper Objects\{084bf1f0-ec9b-4e79-95e7-2cb28472e8c8} (Trojan.Vundo) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{084bf1f0-ec9b-4e79-95e7-2cb28472e8c8} (Trojan.Vundo) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{3ca60057-9277-49c0-8d64-280dbad9c3e1} (Trojan.Vundo) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Explorer\Browser Helper Objects\{3ca60057-9277-49c0-8d64-280dbad9c3e1} (Trojan.Vundo) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\urqpfcvm (Trojan.Vundo) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\aoprndtws (Malware.Trace) -> No action taken.
HKEY_CURRENT_USER\Software\Microsoft\rdfa (Trojan.Vundo) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MS Juan (Malware.Trace) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\FCOVM (Trojan.Vundo) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\RemoveRP (Trojan.Vundo) -> No action taken.
HKEY_CURRENT_USER\Software\XPRepairPro2007 (Rogue.XPRepairPro2007) -> No action taken.

Valores del Registro Infectados:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Explorer\ShellExecuteHooks\{3ca60057-9277-49c0-8d64-280dbad9c3e1} (Trojan.Vundo) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run\BM07b9b424 (Trojan.Agent) -> No action taken.

Elementos de Datos del Registro Infectados:
(No se han detectado elementos maliciosos)

Carpetas Infectadas:
(No se han detectado elementos maliciosos)

Ficheros Infectados:
C:\WINDOWS\system32\fccbAPgh.dll (Trojan.Vundo) -> No action taken.
C:\WINDOWS\system32\hgPAbccf.ini (Trojan.Vundo) -> No action taken.
C:\WINDOWS\system32\hgPAbccf.ini2 (Trojan.Vundo) -> No action taken.
C:\WINDOWS\system32\urqPfCVM.dll (Trojan.Vundo) -> No action taken.
C:\Documents and Settings\IVAN\Configuración local\Archivos temporales de Internet\Content.IE5\PC8DCY5R\css4[1] (Trojan.Vundo) -> No action taken.
C:\WINDOWS\system32\geBtUopP.dll (Trojan.Vundo) -> No action taken.
C:\WINDOWS\system32\qluqhoiq.dll (Trojan.Agent) -> No action taken.
C:\Archivos de programa\outlook\p.zip (Worm.Alcra) -> No action taken.
C:\WINDOWS\system32\clkcnt.txt (Trojan.Vundo) -> No action taken.
C:\Documents and Settings\IVAN\Configuración local\Temp\lsass.exe (Heuristics.Reserved.Word.Exploit) -> No action taken.

(2do log)
Malwarebytes' Anti-Malware 1.17
Versión de la Base de Datos: 849

8:42:13 11/06/2008
mbam-log-6-11-2008 (08-42-13).txt

Tipo de examen : Examen Rápido
Objetos examinados: 2478
Tiempo transcurrido: 50 second(s)

Procesos en Memoria Infectados: 0
Módulos en Memoria Infectados: 2
Claves del Registro Infectadas: 5
Valores del Registro Infectados: 1
Elementos de Datos del Registro Infectados: 0
Carpetas Infectadas: 0
Ficheros Infectados: 4

Procesos en Memoria Infectados:
(No se han detectado elementos maliciosos)

Módulos en Memoria Infectados:
C:\WINDOWS\system32\fccbAPgh.dll (Trojan.Vundo) -> Unloaded module successfully.
C:\WINDOWS\system32\urqPfCVM.dll (Trojan.Vundo) -> Unloaded module successfully.

Claves del Registro Infectadas:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Explorer\Browser Helper Objects\{084bf1f0-ec9b-4e79-95e7-2cb28472e8c8} (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{084bf1f0-ec9b-4e79-95e7-2cb28472e8c8} (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{3ca60057-9277-49c0-8d64-280dbad9c3e1} (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Explorer\Browser Helper Objects\{3ca60057-9277-49c0-8d64-280dbad9c3e1} (Trojan.Vundo) -> Delete on reboot.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\urqpfcvm (Trojan.Vundo) -> Quarantined and deleted successfully.

Valores del Registro Infectados:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Explorer\ShellExecuteHooks\{3ca60057-9277-49c0-8d64-280dbad9c3e1} (Trojan.Vundo) -> Quarantined and deleted successfully.

Elementos de Datos del Registro Infectados:
(No se han detectado elementos maliciosos)

Carpetas Infectadas:
(No se han detectado elementos maliciosos)

Ficheros Infectados:
C:\WINDOWS\system32\fccbAPgh.dll (Trojan.Vundo) -> Delete on reboot.
C:\WINDOWS\system32\hgPAbccf.ini (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\hgPAbccf.ini2 (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\urqPfCVM.dll (Trojan.Vundo) -> Delete on reboot.

Log del ComboFix

ComboFix 08-06-10.5 - IVAN 2008-06-11 8:56:59.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.3082.18.255 [GMT -6:00]
Se ejecuta desde: C:\Documents and Settings\IVAN\Escritorio\ComboFix.exe
* Creado un nuevo punto de restauración
* Resident AV is active

ADVERTENCIA - ESTE EQUIPO NO TIENE INSTALADA LA CONSOLA DE RECUPERACION!
.

(((((((((((((((((((((((((((((((((((( Otras eliminaciones )))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Archivos de programa\outlook
C:\Archivos de programa\outlook\p.zip
C:\Documents and Settings\IVAN\Datos de programa\MANTEC~1
C:\Documents and Settings\IVAN\Datos de programa\MANTEC~1\javaw.exe
C:\Documents and Settings\IVAN\Datos de programa\PPATCH~1
C:\WINDOWS\pskt.ini
C:\WINDOWS\system32\bdthfdcp.dll
C:\WINDOWS\system32\cutglvtv.dll
C:\WINDOWS\system32\drivers\npf.sys
C:\WINDOWS\system32\fojgnwfk.dll
C:\WINDOWS\system32\geBtUopP.dll
C:\WINDOWS\system32\mcrh.tmp
C:\WINDOWS\system32\MSINET.oca
C:\WINDOWS\system32\ntqauuvm.dll
C:\WINDOWS\system32\packet.dll
C:\WINDOWS\system32\pthreadVC.dll
C:\WINDOWS\system32\qluqhoiq.dll
C:\WINDOWS\system32\wanpacket.dll
C:\WINDOWS\system32\wapisvit.exe
C:\WINDOWS\system32\wpcap.dll

.
(((((((((((((((((( Archivos creados desde 2008-05-11 - 2008-06-11 )))))))))))))))))))))))))))))))))
.

2008-06-11 06:52 . 2008-06-11 06:52 <DIR> d-------- C:\Archivos de programa\CCleaner
2008-06-11 06:38 . 2008-06-11 06:38 <DIR> d-------- C:\Documents and Settings\IVAN\Datos de programa\Malwarebytes
2008-06-11 06:38 . 2008-06-11 06:38 <DIR> d-------- C:\Documents and Settings\All Users\Datos de programa\Malwarebytes
2008-06-11 06:38 . 2008-06-11 06:38 <DIR> d-------- C:\Archivos de programa\Malwarebytes' Anti-Malware
2008-06-11 06:38 . 2008-06-10 19:02 34,296 --a------ C:\WINDOWS\system32\drivers\mbamcatchme.sys
2008-06-11 06:38 . 2008-06-10 19:02 15,864 --a------ C:\WINDOWS\system32\drivers\mbam.sys
2008-06-11 06:08 . 2008-06-11 06:08 <DIR> d-------- C:\VundoFix Backups
2008-06-11 05:49 . 2008-06-11 05:49 <DIR> d-------- C:\Archivos de programa\Greatis
2008-06-10 19:18 . 2008-06-10 19:17 691,545 --a------ C:\WINDOWS\unins000.exe
2008-06-10 19:18 . 2008-06-10 19:18 2,551 --a------ C:\WINDOWS\unins000.dat
2008-06-08 23:41 . 2008-06-11 06:29 117 --a------ C:\WINDOWS\BM07b9b424.xml
2008-06-08 07:09 . 2008-06-08 07:26 45,568 --------- C:\sgd.exe
2008-06-07 18:12 . 2008-06-07 18:12 1,536 --a------ C:\fss.exe
2008-05-30 18:05 . 2008-05-30 18:06 <DIR> d-------- C:\Archivos de programa\Guitar Pro 5
2008-05-29 09:52 . 2008-05-29 09:52 <DIR> d-------- C:\Archivos de programa\Audacity
2008-05-26 18:36 . 2008-05-26 18:36 <DIR> d-------- C:\Archivos de programa\Archivos comunes\Hewlett-Packard
2008-05-26 18:30 . 2004-09-29 12:12 278,584 --a------ C:\WINDOWS\system32\HPZidr12.dll
2008-05-26 18:30 . 2004-09-29 12:15 204,800 --a------ C:\WINDOWS\system32\HPZipr12.dll
2008-05-26 18:30 . 2004-09-29 12:09 94,208 --a------ C:\WINDOWS\system32\HPZipt12.dll
2008-05-26 18:30 . 2004-09-29 12:14 69,632 --a------ C:\WINDOWS\system32\HPZipm12.exe
2008-05-26 18:30 . 2004-09-29 12:08 61,440 --a------ C:\WINDOWS\system32\HPZinw12.exe
2008-05-26 18:30 . 2004-09-29 12:09 57,344 --a------ C:\WINDOWS\system32\HPZisn12.dll
2008-05-26 18:29 . 2008-05-26 18:29 <DIR> d-------- C:\Archivos de programa\HP
2008-05-26 18:27 . 2008-05-26 18:24 102,766 --------- C:\WINDOWS\hpoins05.dat.temp
2008-05-26 18:27 . 2005-06-22 04:00 17,505 --------- C:\WINDOWS\hpomdl07.dat.temp
2008-05-26 18:22 . 2008-05-26 18:36 102,810 --a------ C:\WINDOWS\hpoins05.dat
2008-05-26 18:22 . 2005-06-22 04:00 17,505 --------- C:\WINDOWS\hpomdl07.dat
2008-05-26 18:17 . 2008-05-26 18:22 <DIR> d-------- C:\Temp\HP_WebRelease
2008-05-26 17:48 . 2004-08-04 00:01 25,856 --a------ C:\WINDOWS\system32\drivers\usbprint.sys
2008-05-26 17:47 . 2004-08-04 00:08 31,616 --a------ C:\WINDOWS\system32\drivers\usbccgp.sys
2008-05-23 05:46 . 2008-06-04 05:02 54,156 --ah----- C:\WINDOWS\QTFont.qfn
2008-05-23 05:46 . 2008-05-23 05:46 1,409 --a------ C:\WINDOWS\QTFont.for
2008-05-22 09:55 . 2008-05-22 09:55 <DIR> d-------- C:\Archivos de programa\Sun
2008-05-12 19:13 . 2008-05-12 19:20 <DIR> d-------- C:\Archivos de programa\ILVEM

.
(((((((((((((((((((((((((((((((((((((( Reporte Find3M )))))))))))))))))))))))))))))))))))))))))))))))))) )
.
2008-06-11 13:43 --------- d-----w C:\Documents and Settings\All Users\Datos de programa\Google Updater
2008-06-11 11:41 --------- d-----w C:\Archivos de programa\Trend Micro
2008-06-11 11:29 --------- d-----w C:\Archivos de programa\HJT
2008-05-26 23:36 177,216 ----a-w C:\Documents and Settings\IVAN\Datos de programa\GDIPFONTCACHEV1.DAT
2008-05-25 04:33 --------- d-----w C:\Archivos de programa\emule
2008-05-22 15:54 --------- d-----w C:\Archivos de programa\Java
2008-05-20 19:09 --------- d-----w C:\Archivos de programa\VIDAC
2008-05-15 23:13 --------- d-----w C:\Archivos de programa\StuffPlug3
2008-05-15 22:06 --------- d-----w C:\Archivos de programa\Easy Message
2008-05-07 23:17 --------- d-----w C:\Documents and Settings\IVAN\Datos de programa\U3
2008-05-05 02:53 --------- d-----w C:\Archivos de programa\MSECache
2008-05-02 03:06 --------- d-----w C:\Archivos de programa\LimeWire
2008-04-30 23:30 --------- d-----w C:\Archivos de programa\MSN Messenger
2008-04-30 23:30 --------- d-----w C:\Archivos de programa\Messenger Plus! Live
2008-04-28 05:43 --------- d-----w C:\Documents and Settings\IVAN\Datos de programa\uTorrent
2008-04-28 00:54 --------- d-----w C:\Documents and Settings\IVAN\Datos de programa\Flock
2008-04-28 00:52 --------- d-----w C:\Archivos de programa\Flock
2008-04-16 16:18 --------- d-----w C:\Archivos de programa\Live_TV
2008-04-16 02:01 --------- d-----w C:\Archivos de programa\eSnips
2008-04-16 02:01 --------- d-----w C:\Archivos de programa\Archivos comunes\Wise Installation Wizard
2004-03-11 19:27 40,960 ----a-w C:\Archivos de programa\Uninstall_CDS.exe
2004-05-15 19:18 56 --sh--r C:\WINDOWS\system32\292B5C6E3C.sys
.

((((((((((((((((((((((((((((((((( Cargando Puntos Reg ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Nota* entradas vac¡as & entradas leg¡timas predeterminadas no son mostradas

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\Run]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-19 16:42 15360]
"swg"="C:\Archivos de programa\Google\GoogleToolbarNotifier\GoogleToolba rNotifier.exe" [2007-07-27 12:48 68856]
"NBJ"="C:\Archivos de programa\Ahead\Nero BackItUp\NBJ.exe" [2005-04-14 16:56 1957888]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run]
"SunJavaUpdateSched"="C:\Archivos de programa\Java\jre1.6.0_05\bin\jusched.exe" [2008-02-22 04:25 144784]
"NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.e xe" [2001-07-09 11:50 155648]
"InCD"="C:\Archivos de programa\Ahead\InCD\InCD.exe" [2005-01-27 11:17 1381376]
"nod32kui"="C:\Archivos de programa\Eset\nod32kui.exe" [2006-08-01 19:56 917504]
"googletalk"="C:\Archivos de programa\Google\Google Talk\googletalk.exe" [2007-01-01 15:22 3739648]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2004-10-29 16:50 4620288]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\Cur rentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-19 16:42 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"msacm.l3fhg"= mp3fhg.acm
"VIDC.X264"= x264vfw.dll
"VIDC.HFYU"= huffyuv.dll
"vidc.i263"= i263_32.drv
"VIDC.YV12"= yv12vfw.dll
"msacm.divxa32"= divxa32.acm

[HKLM\~\services\sharedaccess\parameters\firewallpo licy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpo licy\standardprofile\AuthorizedApplications\List]
"C:\\WINDOWS\\system32\\sessmgr.exe"=
"C:\\Documents and Settings\\IVAN\\Mis documentos\\utorrent.exe"=
"C:\\Archivos de programa\\FlashFXP\\flashfxp.exe"=
"C:\\Archivos de programa\\emule\\emule.exe"=
"C:\\Archivos de programa\\LimeWire\\LimeWire.exe"=
"C:\\Archivos de programa\\MessengerDiscovery\\MessengerDiscovery Live.exe"=
"C:\\Archivos de programa\\MSN Messenger\\msnmsgr.exe"=
"C:\\Archivos de programa\\MSN Messenger\\livecall.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"C:\\Archivos de programa\\Mozilla Firefox\\firefox.exe"=
"C:\\Archivos de programa\\Google\\Google Talk\\googletalk.exe"=
"C:\\Archivos de programa\\Pando Networks\\Pando\\pando.exe"=
"C:\\Archivos de programa\\iTunes\\iTunes.exe"=
"C:\\Archivos de programa\\HP\\Digital Imaging\\bin\\hpqscnvw.exe"=
"C:\\Archivos de programa\\HP\\Digital Imaging\\bin\\hpqkygrp.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpo licy\standardprofile\GloballyOpenPorts\List]
"4500:TCP"= 4500:TCP:emulea
"4511:UDP"= 4511:UDP:emuleb
"56456:TCP"= 56456:TCP:Pando P2P TCP Listening Port
"56456:UDP"= 56456:UDP:Pando P2P UDP Listening Port

R0 HWFProt;Hywave File Protector HWFProt;C:\WINDOWS\system32\Drivers\HWFProt.sys [2003-05-11 14:20]
S0 ElbyVCD;ElbyVCD;C:\WINDOWS\system32\DRIVERS\ElbyVC D.sys []
S3 FGUARD32;FGUARD32;C:\Archivos de programa\Folder Guard Pro XP\FGUARD32.SYS [1656-04-27 06:37]
S3 GNDHVF;Genius VideoCAM Smart300 V2;C:\WINDOWS\system32\DRIVERS\gndhvf.sys [2002-11-07 09:56]
S3 zlportio;zlportio;C:\Archivos de programa\SuperLogix\Super Utilities\zlportio.sys [2003-05-11 14:20]

[HKEY_CURRENT_USER\software\microsoft\windows\curre ntversion\explorer\mountpoints2\{602cd163-7cb7-11db-bf54-000d72f532f2}]
\Shell\AutoRun\command - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL Recycled\ctfmon.exe
\Shell\Open(&0)\command - Recycled\ctfmon.exe

.
Contenido de carpeta 'Tareas Programadas'
"2008-06-11 15:00:00 C:\WINDOWS\Tasks\A504CC60918F4380.job"
- c:\docume~1\ivan\datosd~1\stupid~1\Mailacesurf.exe
"2008-06-11 15:00:00 C:\WINDOWS\Tasks\A75731AB9080A64B.job"
- c:\docume~1\ivan\datosd~1\stupid~1\Mailacesurf.exe
"2008-06-11 15:00:01 C:\WINDOWS\Tasks\AD5C0C9691B38012.job"
- c:\docume~1\ivan\datosd~1\stupid~1\Mailacesurf.exe
"2008-06-06 17:43:07 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job"
- C:\Archivos de programa\Apple Software Update\SoftwareUpdate.exe
.
************************************************** ************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-06-11 09:14:52
Windows 5.1.2600 Service Pack 2 NTFS

escaneando procesos ocultos ...

escaneando entradas ocultas de autostart ...

escaneando archivos ocultos ...

************************************************** ************************
.
--------------------- DLLs cargados bajo los procesos en ejecuci¢n ---------------------

PROCESS: C:\WINDOWS\system32\lsass.exe
-> C:\Archivos de programa\Eset\pr_imon.dll
.
------------------------ Other Running Processes ------------------------
.
C:\Archivos de programa\Ahead\InCD\InCDsrv.exe
C:\Archivos de programa\Archivos comunes\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Archivos de programa\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7Debug\mdm.exe
C:\Archivos de programa\Eset\nod32krn.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\HPZipm12.exe
C:\Archivos de programa\Webroot\Spy Sweeper\SpySweeper.exe
C:\WINDOWS\system32\WgaTray.exe
C:\WINDOWS\system32\wscntfy.exe
.
************************************************** ************************
.
Tiempo completado: 2008-06-11 9:44:53 - machine was rebooted
ComboFix-quarantined-files.txt 2008-06-11 15:43:34

19 dirs 173,477,888 bytes libres
24 dirs 1,111,957,504 bytes libres

191 --- E O F --- 2008-05-27 21:25:08

Acerca del funcionamiento todo va normal y creo que el problema ha sido solucionado (: gracias