Tema: Ataque de virus troyano
Ver Mensaje Individual
  post #3 (permalink)  
Antiguo 09/08/08, 14:33:06
rlozano28 rlozano28 está offline
Usuario
  
Registrado: jul 2008
Ubicación: en mi casa
Mensajes: 3
Re: Ataque de virus troyano
Os pego el log del scan

Deckard's System Scanner v20071014.68
Run by Roberto on 2008-08-09 19:24:38
Computer is in Normal Mode.
--------------------------------------------------------------------------------

-- System Restore --------------------------------------------------------------

Successfully created a Deckard's System Scanner Restore Point.


-- Last 5 Restore Point(s) --
5: 2008-08-09 17:24:49 UTC - RP5 - Deckard's System Scanner Restore Point
4: 2008-08-03 17:20:05 UTC - RP4 - Software Distribution Service 3.0
3: 2008-08-03 17:11:52 UTC - RP3 - Quitado Adobe Reader 8.1.2 - Español
2: 2008-08-03 17:02:16 UTC - RP2 - Avg8 Update
1: 2008-08-03 16:08:20 UTC - RP1 - Punto de control del sistema


Backed up registry hives.
Performed disk cleanup.

Total Physical Memory: 448 MiB (512 MiB recommended).


-- HijackThis (run as Roberto.exe) ---------------------------------------------

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:26:22, on 09/08/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\ARCHIV~1\AVG\AVG8\avgwdsvc.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Archivos de programa\ANI\ANIWZCS2 Service\WZCSLDR2.exe
C:\ARCHIV~1\AVG\AVG8\avgtray.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Archivos de programa\Messenger\msmsgs.exe
C:\Archivos de programa\Ares\Ares.exe
C:\ARCHIV~1\AVG\AVG8\avgrsx.exe
C:\Archivos de programa\Archivos comunes\Ahead\lib\NMBgMonitor.exe
C:\Archivos de programa\SUPERAntiSpyware\SUPERAntiSpyware.exe
C:\ARCHIV~1\AVG\AVG8\avgemc.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Archivos de programa\Internet Explorer\IEXPLORE.EXE
C:\ARCHIV~1\AVG\AVG8\aAvgApi.exe
C:\Documents and Settings\Roberto\Configuración local\Archivos temporales de Internet\Content.IE5\CNOFYPWP\dss[1].exe
C:\ARCHIV~1\TRENDM~1\HIJACK~1\Roberto.exe
C:\WINDOWS\system32\notepad.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://ww.google.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
R3 - URLSearchHook: Barra Yahoo! con bloqueador de ventanas emergentes - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Archivos de programa\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Archivos de programa\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: {01a5f453-2329-c068-48b4-addfcf8d3bf0} - {0fb3d8fc-fdda-4b84-860c-9232354f5a10} - (no file)
O2 - BHO: (no name) - {2C8567B1-4AC9-4534-95D4-9D9A78CAF06B} - (no file)
O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Archivos de programa\AVG\AVG8\avgssie.dll
O2 - BHO: AVG Security Toolbar - {A057A204-BACC-4D26-9990-79A187E2698E} - C:\ARCHIV~1\AVG\AVG8\AVGTOO~1.DLL
O3 - Toolbar: Barra Yahoo! con bloqueador de ventanas emergentes - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Archivos de programa\Yahoo!\Companion\Installs\cpn\yt.dll
O3 - Toolbar: AVG Security Toolbar - {A057A204-BACC-4D26-9990-79A187E2698E} - C:\ARCHIV~1\AVG\AVG8\AVGTOO~1.DLL
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [ANIWZCS2Service] "C:\Archivos de programa\ANI\ANIWZCS2 Service\WZCSLDR2.exe"
O4 - HKLM\..\Run: [AVG8_TRAY] C:\ARCHIV~1\AVG\AVG8\avgtray.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Archivos de programa\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [ares] "C:\Archivos de programa\Ares\Ares.exe" -h
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Archivos de programa\Archivos comunes\Ahead\lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [SUPERAntiSpyware] "C:\Archivos de programa\SUPERAntiSpyware\SUPERAntiSpyware.exe"
O4 - HKCU\..\Policies\Explorer\Run: [WinUpdating] WinUpdating.exe
O4 - HKCU\..\Policies\Explorer\Run: [Windows Printing Driver] WinSpooler.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICIO LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Servicio de red')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1169759072814
O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Archivos de programa\AVG\AVG8\avgpp.dll
O20 - AppInit_DLLs: avgrsstx.dll
O20 - Winlogon Notify: !SASWinLogon - C:\Archivos de programa\SUPERAntiSpyware\SASWINLO.dll
O23 - Service: Ares Chatroom server (AresChatServer) - Ares Development Group - C:\Archivos de programa\Ares\chatServer.exe
O23 - Service: AVG8 E-mail Scanner (avg8emc) - AVG Technologies CZ, s.r.o. - C:\ARCHIV~1\AVG\AVG8\avgemc.exe
O23 - Service: AVG8 WatchDog (avg8wd) - AVG Technologies CZ, s.r.o. - C:\ARCHIV~1\AVG\AVG8\avgwdsvc.exe
O23 - Service: SmartLinkService (SLService) - Smart Link - C:\WINDOWS\SYSTEM32\slserv.exe

--
End of file - 5060 bytes

-- HijackThis Fixed Entries (C:\ARCHIV~1\TRENDM~1\HIJACK~1\backups\) -----------

backup-20080803-182112-359 O20 - Winlogon Notify: khfGvwVm - khfGvwVm.dll (file missing)

-- File Associations -----------------------------------------------------------

.reg - regfile - shell\open\command - regedit.exe "%1" %*
.scr - scrfile - shell\open\command - "%1" %*


-- Drivers: 0-Boot, 1-System, 2-Auto, 3-Demand, 4-Disabled ---------------------

R2 ANIO (ANIO Service) - c:\windows\system32\anio.sys <Not Verified; Alpha Networks Inc.; ANIO (NT5) Driver>

S1 InCDPass - c:\windows\system32\drivers\incdpass.sys (file missing)
S1 InCDRm (InCD Reader) - c:\windows\system32\drivers\incdrm.sys (file missing)
S1 nod32drv - c:\windows\system32\drivers\nod32drv.sys (file missing)
S4 InCDFs (InCD File System) - c:\windows\system32\drivers\incdfs.sys (file missing)


-- Services: 0-Boot, 1-System, 2-Auto, 3-Demand, 4-Disabled --------------------

S3 AresChatServer (Ares Chatroom server) - c:\archivos de programa\ares\chatserver.exe <Not Verified; Ares Development Group; Ares Chat Server>


-- Device Manager: Disabled ----------------------------------------------------

Class GUID: {4D36E97E-E325-11CE-BFC1-08002BE10318}
Description: Controladora de bus serie universal(USB)
Device ID: PCI\VEN_1039&DEV_7002&SUBSYS_70021631&REV_00\3&61A AA01&0&1B
Manufacturer:
Name: Controladora de bus serie universal(USB)
PNP Device ID: PCI\VEN_1039&DEV_7002&SUBSYS_70021631&REV_00\3&61A AA01&0&1B
Service:


-- Files created between 2008-07-09 and 2008-08-09 -----------------------------

2008-08-06 21:36:42 0 dr-h----- C:\Documents and Settings\Roberto\Recent
2008-08-03 17:13:00 0 d-------- C:\Archivos de programa\Malwarebytes' Anti-Malware
2008-08-01 18:05:12 0 d-------- C:\Archivos de programa\Archivos comunes\Wise Installation Wizard
2008-08-01 17:49:53 0 d-------- C:\WINDOWS\CSC
2008-07-31 18:14:00 0 d--h----- C:\$AVG8.VAULT$
2008-07-31 1854 0 d-------- C:\WINDOWS\system32\drivers\Avg
2008-07-31 1826 0 d-------- C:\Archivos de programa\AVG
2008-07-30 18:01:53 0 d-------- C:\Archivos de programa\SUPERAntiSpyware
2008-07-30 17:22:24 0 d-------- C:\Archivos de programa\SpywareBlaster
2008-07-25 12:12:43 0 d-------- C:\Archivos de programa\Trend Micro
2008-07-25 11:21:28 95744 --a------ C:\WINDOWS\system32\nfhgfxjm.dll
2008-07-22 18:48:38 0 d-------- C:\WINDOWS\system32\5903
2008-07-22 17:48:37 4 --a------ C:\WINDOWS\system32\hljwugsf.bin
2008-07-22 17:48:27 0 --a------ C:\WINDOWS\yoursearchnet_com.exe
2008-07-14 16:46:53 102400 --a------ C:\WINDOWS\system32\hxlmrh.dll
2008-07-14 16:46:51 102400 --a------ C:\WINDOWS\system32\esiqqhdg.dll


-- Find3M Report ---------------------------------------------------------------

2008-08-06 21:47:56 0 d-------- C:\Documents and Settings\Roberto\Datos de programa\Temporary
2008-08-03 19:14:54 0 d-------- C:\Archivos de programa\Archivos comunes\Adobe
2008-08-03 18:01:07 0 d-------- C:\Documents and Settings\Roberto\Datos de programa\U3
2008-08-03 17:13:07 0 d-------- C:\Documents and Settings\Roberto\Datos de programa\Malwarebytes
2008-08-01 18:09:10 0 d-------- C:\Documents and Settings\Roberto\Datos de programa\SUPERAntiSpyware.com
2008-07-31 20:27:28 0 d-------- C:\Documents and Settings\Roberto\Datos de programa\AVGTOOLBAR
2008-07-31 18:58:27 0 d-------- C:\Archivos de programa\Archivos comunes
2008-07-30 18:29:14 3386 --ahs---- C:\WINDOWS\system32\fgjRAJjl.ini2
2008-07-25 12:12:49 0 d-------- C:\Documents and Settings\Roberto\Datos de programa\Trend Micro
2008-07-05 13:52:59 103424 --a------ C:\WINDOWS\system32\kenjhn.dll
2008-07-05 13:52:59 103424 --a------ C:\WINDOWS\system32\jmgvhqhb.dll
2008-06-16 20:56:52 0 d-------- C:\Documents and Settings\Roberto\Datos de programa\Thunderbird
2008-05-19 22:01:54 37888 --a------ C:\WINDOWS\system32\rar.exe <Not Verified; Microsoft Corporation; Microsoft(R) Windows (R) 2000 Operating System>


-- Registry Dump ---------------------------------------------------------------

*Note* empty entries & legit default entries are not shown


[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{0fb3d8fc-fdda-4b84-860c-9232354f5a10}]

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{2C8567B1-4AC9-4534-95D4-9D9A78CAF06B}]

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{A057A204-BACC-4D26-9990-79A187E2698E}]
03/08/2008 19:00 2055960 --a------ C:\ARCHIV~1\AVG\AVG8\AVGTOO~1.DLL

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser]
"{A057A204-BACC-4D26-9990-79A187E2698E}"= C:\ARCHIV~1\AVG\AVG8\AVGTOO~1.DLL [03/08/2008 19:00 2055960]

[-HKEY_CLASSES_ROOT\CLSID\{A057A204-BACC-4D26-9990-79A187E2698E}]
[HKEY_CLASSES_ROOT\avgtoolbar.AVGTOOLBAR]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run]
"NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.e xe" [09/07/2001 11:50]
"ANIWZCS2Service"="C:\Archivos de programa\ANI\ANIWZCS2 Service\WZCSLDR2.exe" [21/08/2003 16:11]
"AVG8_TRAY"="C:\ARCHIV~1\AVG\AVG8\avgtray.exe" [03/08/2008 19:00]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [19/08/2004 16:42]
"MSMSGS"="C:\Archivos de programa\Messenger\msmsgs.exe" [13/10/2004 18:24]
"ares"="C:\Archivos de programa\Ares\Ares.exe" [16/07/2007 23:54]
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="C:\Archivos de programa\Archivos comunes\Ahead\lib\NMBgMonitor.exe" [28/10/2005 17:25]
"SUPERAntiSpyware"="C:\Archivos de programa\SUPERAntiSpyware\SUPERAntiSpyware.exe" [28/05/2008 10:33]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\curr entversion\policies\system]
"DisableTaskMgr"=1 (0x1)

[HKEY_CURRENT_USER\software\microsoft\windows\curre ntversion\policies\system]
"DisableTaskMgr"=0 (0x0)

[HKEY_CURRENT_USER\software\microsoft\windows\curre ntversion\policies\explorer\Run]
"WinUpdating"=WinUpdating.exe
"Windows Printing Driver"=WinSpooler.exe

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Explorer\ShellExecuteHooks]
"{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA}"= C:\Archivos de programa\SUPERAntiSpyware\SASSEH.DLL [13/05/2008 10:13 77824]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\!SASWinLogon]
C:\Archivos de programa\SUPERAntiSpyware\SASWINLO.dll 19/04/2007 13:41 294912 C:\Archivos de programa\SUPERAntiSpyware\SASWINLO.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"appinit_dlls"=avgrsstx.dll

[HKEY_LOCAL_MACHINE\system\currentcontrolset\contro l\lsa]
"Authentication Packages"= msv1_0 C:\WINDOWS\system32\ljJARjgf

[HKEY_LOCAL_MACHINE\system\currentcontrolset\contro l\securityproviders]
SecurityProviders msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll,

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Contro l\SafeBoot\Minimal\vds]
@="Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Contro l\SafeBoot\Minimal\{533C5B84-EC70-11D2-9505-00C04F79DEAF}]
@="Volume shadow copy"


[HKEY_CURRENT_USER\software\microsoft\windows\curre ntversion\explorer\mountpoints2\H]
AutoRun\command- H:\LaunchU3.exe -a




-- End of Deckard's System Scanner: finished at 2008-08-09 19:28:03 ------------
Responder Con Cita