Foro de Spyware - Ver Mensaje Individual - Virus! AYUDA!! (Solucionado)

Tema: Virus! AYUDA!! (Solucionado)

Ver Mensaje Individual

post #4 (permalink)

14/07/08, 18:35:04

PRebon

Usuario

Registrado: abr 2008

Ubicación: Rebon

Mensajes: 12

Re: Virus! AYUDA!!

Bueno, perdon por la demora, pero la reparacion del equipo se me junto con la mudanza de mi trabajo por lo cual me complico un poco las cosas.

Les muestro los registros.

Log del malware

Malwarebytes' Anti-Malware 1.20
Versión de la Base de Datos: 949
Windows 5.1.2600 Service Pack 2

18:12:48 14/07/2008
mbam-log-7-14-2008 (18-12-48).txt

Tipo de examen : Examen Rápido
Objetos examinados: 55764
Tiempo transcurrido: 6 minute(s), 14 second(s)

Procesos en Memoria Infectados: 0
Módulos en Memoria Infectados: 0
Claves del Registro Infectadas: 6
Valores del Registro Infectados: 0
Elementos de Datos del Registro Infectados: 1
Carpetas Infectadas: 1
Ficheros Infectados: 11

Procesos en Memoria Infectados:
(No se han detectado elementos maliciosos)

Módulos en Memoria Infectados:
(No se han detectado elementos maliciosos)

Claves del Registro Infectadas:
HKEY_CLASSES_ROOT\Interface\{967a494a-6aec-4555-9caf-fa6eb00acf91} (Rogue.PestPatrol) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Interface\{9692be2f-eb8f-49d9-a11c-c24c1ef734d5} (Rogue.PestPatrol) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Typelib\{a8954909-1f0f-41a5-a7fa-3b376d69e226} (Rogue.PestPatrol) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\msvcl1.bhoapp (Adware.BHO) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\msvcl1.bhoapp.1 (Adware.BHO) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Uninstall\altcompare (Dialer) -> Quarantined and deleted successfully.

Valores del Registro Infectados:
(No se han detectado elementos maliciosos)

Elementos de Datos del Registro Infectados:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Explorer\Advanced\Folder\Hidden\SHOWALL \CheckedValue (Hijack.System.Hidden) -> Bad: (0) Good: (1) -> Quarantined and deleted successfully.

Carpetas Infectadas:
C:\Archivos de programa\altcmd (Dialer) -> Quarantined and deleted successfully.

Ficheros Infectados:
C:\Archivos de programa\altcmd\altcmd.inf (Dialer) -> Quarantined and deleted successfully.
C:\Archivos de programa\altcmd\uninstall.bat (Dialer) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\tavo1.dll (Rootkit.Agent) -> Quarantined and deleted successfully.
C:\Documents and Settings\REBON\Configuración local\Temp\tru1.tmp (Trojan.Agent) -> Quarantined and deleted successfully.
C:\Documents and Settings\REBON\Configuración local\Temp\tru2.tmp (Trojan.Agent) -> Quarantined and deleted successfully.
C:\Documents and Settings\REBON\Configuración local\Temp\tru3.tmp (Trojan.Agent) -> Quarantined and deleted successfully.
C:\Documents and Settings\REBON\Configuración local\Temp\tru4.tmp (Trojan.Agent) -> Quarantined and deleted successfully.
C:\Documents and Settings\REBON\Configuración local\Temp\tru5.tmp (Trojan.Agent) -> Quarantined and deleted successfully.
C:\Documents and Settings\REBON\Configuración local\Temp\tru6.tmp (Trojan.Agent) -> Quarantined and deleted successfully.
C:\Documents and Settings\REBON\Configuración local\Temp\tru7.tmp (Trojan.Agent) -> Quarantined and deleted successfully.
C:\Documents and Settings\REBON\Configuración local\Temp\tru8.tmp (Trojan.Agent) -> Quarantined and deleted successfully.

Log del ComboFix

ComboFix 08-07-13.14 - REBON 2008-07-14 18:17:06.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.3082.18.483 [GMT -3:00]
Se ejecuta desde: E:\Pablo\ComboFix.exe
* Creado un nuevo punto de restauración
* Resident AV is active

ADVERTENCIA - ESTE EQUIPO NO TIENE INSTALADA LA CONSOLA DE RECUPERACION!
.

(((((((((((((((((((((((((((((((((((( Otras eliminaciones )))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\autorun.inf
C:\WINDOWS\system32\ckvo.exe
E:\Autorun.inf

.
((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_MYDNS
-------\Service_MyDNS

(((((((((((((((((( Archivos creados desde 2008-06-14 - 2008-07-14 )))))))))))))))))))))))))))))))))
.

2008-07-14 18:05 . 2008-07-14 18:05 <DIR> d-------- C:\Archivos de programa\Malwarebytes' Anti-Malware
2008-07-14 18:05 . 2008-07-07 17:35 34,296 --a------ C:\WINDOWS\system32\drivers\mbamcatchme.sys
2008-07-14 18:05 . 2008-07-07 17:35 17,144 --a------ C:\WINDOWS\system32\drivers\mbam.sys
2008-07-14 17:59 . 2008-07-14 17:59 <DIR> d-------- C:\WINDOWS\3DEBCFB2389E419C842E15501ACC8C93.TMP
2008-07-14 17:29 . 2008-07-14 18:22 <DIR> d-------- C:\Documents and Settings\REBON\Datos de programa\Prevx
2008-07-14 17:27 . 2008-07-14 17:29 <DIR> d-------- C:\Documents and Settings\All Users\Datos de programa\Prevx
2008-07-14 14:47 . 2008-07-14 14:47 118,512 -r-hs---- C:\fi.cmd
2008-07-09 16:04 . 2008-07-09 16:04 <DIR> d-------- C:\WINDOWS\SQLTools9_KB948109_ENU
2008-07-09 16:02 . 2008-07-09 16:02 <DIR> d-------- C:\WINDOWS\SQL9_KB948109_ENU
2008-07-09 03:00 . 2008-07-14 14:47 77,312 -r-hs---- C:\WINDOWS\system32\ckvo1.dll
2008-07-08 13:09 . 2008-07-08 13:09 <DIR> d-------- C:\Archivos de programa\Trend Micro
2008-07-08 11:51 . 2008-06-19 17:24 28,544 --a------ C:\WINDOWS\system32\drivers\pavboot.sys
2008-07-08 11:24 . 2008-07-08 11:24 <DIR> d-------- C:\Archivos de programa\FileASSASSIN
2008-07-08 11:11 . 2008-07-14 18:21 <DIR> d-------- C:\Archivos de programa\Prevx2
2008-07-07 19:52 . 2008-07-08 13:18 <DIR> d-------- C:\Archivos de programa\MP3 Player Utilities 3.68
2008-07-07 19:52 . 2005-10-21 00:27 8,913 --------- C:\WINDOWS\fwupgrade.ini
2008-07-07 19:52 . 2005-09-15 03:40 8,157 --------- C:\WINDOWS\AmvPlayer.ini
2008-07-07 19:52 . 2005-10-21 00:24 7,454 --------- C:\WINDOWS\Disktool.INI
2008-07-07 19:52 . 2004-05-11 23:28 3,677 --------- C:\WINDOWS\SoundCon.INI
2008-06-27 11:31 . 2008-06-27 11:31 <DIR> d-------- C:\Archivos de programa\Microsoft Silverlight

.
(((((((((((((((((((((((((((((((((((((( Reporte Find3M )))))))))))))))))))))))))))))))))))))))))))))))))) )
.
2008-07-10 18:20 3,091 ----a-w C:\WINDOWS\panose.bin
2008-07-09 19:05 --------- d-----w C:\Documents and Settings\All Users\Datos de programa\Microsoft Help
2008-07-09 19:04 --------- d-----w C:\Archivos de programa\Microsoft SQL Server
2008-07-08 18:20 --------- d-----w C:\Documents and Settings\REBON\Datos de programa\Simple Sudoku
2008-07-08 15:19 --------- d-----w C:\Documents and Settings\REBON\Datos de programa\uTorrent
2008-07-08 14:50 --------- d-----w C:\Archivos de programa\Panda Security
2008-06-20 10:45 360,320 ----a-w C:\WINDOWS\system32\drivers\tcpip.sys
2008-06-20 10:44 138,368 ----a-w C:\WINDOWS\system32\drivers\afd.sys
2008-06-20 09:52 225,920 ----a-w C:\WINDOWS\system32\drivers\tcpip6.sys
2008-06-14 17:59 272,512 ------w C:\WINDOWS\system32\drivers\bthport.sys
2008-06-11 17:35 --------- d-----w C:\Archivos de programa\SopCast
2008-06-10 18:00 --------- d-----w C:\Documents and Settings\REBON\Datos de programa\SopCast
2008-06-06 16:04 --------- d-----w C:\Documents and Settings\REBON\Datos de programa\AdobeUM
2008-06-06 13:31 --------- d-----w C:\Archivos de programa\Archivos comunes\Adobe
2008-06-05 21:43 --------- d-----w C:\Archivos de programa\Ahead
2008-06-05 17:53 --------- d-----w C:\Documents and Settings\All Users\Datos de programa\Adobe Systems
2008-06-05 17:52 --------- d-----w C:\Archivos de programa\Archivos comunes\Adobe Systems Shared
2008-06-05 15:46 --------- d--h--w C:\Archivos de programa\InstallShield Installation Information
.

((((((((((((((((((((((((((((((((( Cargando Puntos Reg ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Nota* entradas vac¡as & entradas leg¡timas predeterminadas no son mostradas

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-19 10:42 15360]
"Picasa Media Detector"="C:\Archivos de programa\Picasa2\PicasaMediaDetector.exe" [2008-02-25 22:23 443968]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2007-04-20 10:32 8429568]
"NvMediaCenter"="C:\WINDOWS\system32\NvMcTray. dll" [2007-04-20 10:32 81920]
"nod32kui"="C:\Archivos de programa\Eset\nod32kui.exe" [2008-02-29 23:09 949376]
"ISUSPM Startup"="C:\Archivos de programa\Archivos comunes\InstallShield\UpdateService\isuspm.exe" [2005-08-11 16:30 249856]
"ISUSScheduler"="C:\Archivos de programa\Archivos comunes\InstallShield\UpdateService\issch.exe" [2005-08-11 16:30 81920]
"GrooveMonitor"="C:\Archivos de programa\Microsoft Office\Office12\GrooveMonitor.exe" [2006-10-26 23:47 31016]
"PWRISOVM.EXE"="C:\Archivos de programa\PowerISO\PWRISOVM.EXE" [2008-03-14 20:50 233472]
"RemoteControl"="C:\Archivos de programa\CyberLink\PowerDVD\PDVDServ.exe" [2006-12-06 18:37 69216]
"LanguageShortcut"="C:\Archivos de programa\CyberLink\PowerDVD\Language\Language.exe" [2006-12-05 22:55 54832]
"Acrobat Assistant 7.0"="C:\Archivos de programa\Adobe\Acrobat 7.0\Distillr\Acrotray.exe" [2008-04-23 02:08 483328]
"PrevxOne"="C:\Archivos de programa\Prevx2\PXConsole.exe" [2008-01-23 12:32 1997880]
"nwiz"="nwiz.exe" [2007-04-20 10:32 1626112 C:\WINDOWS\system32\nwiz.exe]
"RTHDCPL"="RTHDCPL.EXE" [2007-04-10 04:28 16126464 C:\WINDOWS\RTHDCPL.exe]
"SkyTel"="SkyTel.EXE" [2007-04-04 06:22 1822720 C:\WINDOWS\SkyTel.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\Cur rentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-19 10:42 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"VIDC.YV12"= yv12vfw.dll

[HKLM\~\services\sharedaccess\parameters\firewallpo licy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Archivos de programa\\Bonjour\\mDNSResponder.exe"=
"C:\\Archivos de programa\\Messenger\\msmsgs.exe"=
"C:\\Archivos de programa\\uTorrent\\uTorrent.exe"=
"C:\\Archivos de programa\\Ares\\Ares.exe"=
"C:\\Archivos de programa\\Microsoft Office\\Office12\\OUTLOOK.EXE"=
"C:\\Archivos de programa\\Microsoft Office\\Office12\\GROOVE.EXE"=
"C:\\Archivos de programa\\Microsoft Office\\Office12\\ONENOTE.EXE"=
"C:\\Archivos de programa\\SopCast\\SopCast.exe"=
"C:\\Archivos de programa\\SopCast\\adv\\SopAdver.exe"=
"C:\\Archivos de programa\\Microsoft Games\\Age of Empires II\\age2_x1.exe"=
"C:\\Archivos de programa\\Windows Live\\Messenger\\msnmsgr.exe"=
"C:\\Archivos de programa\\Windows Live\\Messenger\\livecall.exe"=
"C:\\WINDOWS\\system32\\dplaysvr.exe"=

R0 pavboot;pavboot;C:\WINDOWS\system32\drivers\pavboo t.sys [2008-06-19 17:24]
R2 {95808DC4-FA4A-4c74-92FE-5B863F82066B};{95808DC4-FA4A-4c74-92FE-5B863F82066B};C:\Archivos de programa\CyberLink\PowerDVD\000.fcl [2006-11-02 16:51]
R2 NwSapAgent;Agente SAP;C:\WINDOWS\system32\svchost.exe [2004-08-19 10:43]
R3 ip100xp;ENCORE 10/100Mbps Fast Ethernet PCI Adapter NT Driver;C:\WINDOWS\system32\DRIVERS\ipfnd51.sys [2005-04-06 10:30]
S4 msvsmon90;Visual Studio 2008 Remote Debugger;C:\Archivos de programa\Microsoft Visual Studio 9.0\Common7\IDE\Remote Debugger\x86\msvsmon.exe [2007-11-07 08:58]

[HKEY_CURRENT_USER\software\microsoft\windows\curre ntversion\explorer\mountpoints2\{daf31ae8-f519-11dc-a9c2-00a045787df5}]
\Shell\AutoRun\command - F:\tmf3w3g0.com
\Shell\explore\Command - F:\tmf3w3g0.com
\Shell\open\Command - F:\tmf3w3g0.com

.
- - - - ORPHANS REMOVED - - - -

HKCU-Run-kamsoft - C:\WINDOWS\system32\ckvo.exe

Saludos!! espero noticias!!

Gracias!