Ver la Versión Completa : Ayuda desesperada con el virtumonde
flintstone 15/11/07, 11:29:48 Hola a todos:
Desde hace unos días tengo problemas con el ordenador, aparte de la lentitud y la aparición de una barra de security en el navegador,, mi antivirus (NOD32), me está avisando continuamente de que el Win32/adware.virtumonde me esta creando un archivo en C:\Windows\system32\pmnlk.dll y mi antivirus esta cada medio minuto limpiando y borrando.
Además, en el menú de inicio y en el escritorio me aparecen iconos de acceso directo de live safety center y de online security guide.
He seguido los pasos de analizar con el spybot, superantispyware, delpsguard y ccleaner, pero nada, me sigue apareciendo.
Necesito ayuda, por favor, porque como me cargue algo me cuelgan.
Muchas gracias.
<¡D3vIL!> 15/11/07, 11:31:41 Hola flintstone
Usa el Ccleaner (http://www.forospyware.com/t39511.html) para limpiar el sistema.
Primero utilizá la opción de "Limpiador" para borrar cookies, temporales de Internet y todos los archivos que este te muestre como obsoletos.
Luego usa su opción de "Registro" para limpiar todo el registro de Windows (haciendo copia de seguridad).
Descarga VundoFix.exe (http://www.atribune.org/ccount/click.php?id=4) en el escritorio de Windows y haz doble-click al archivo VundoFix.exe para activarlo.
Presione el botón "Remove Vundo"
Recibiras un mensaje preguntado si desea quitar los archivos y ponle YES
Una vez presionado YES tú escritorio parpadeara en blanco ya que esta quitando el parasito.
Cuando termines presionar en OK para reiniciar el equipo en modo normal, pegano el reporte que se situa en C:\Vundofix.txt
Descarga la herramienta ComboFix.exe (http://download.bleepingcomputer.com/sUBs/ComboFix.exe) y guárdala en el escritorio de Win.
Hace doble-click en el archivo combofix.exe y sigue los avisos.
Cuando termine este generara un reporte que se situa en C:\ComboFix.txt pegar el informe en este mismo mensaje.
Nota* Puede que algunos Antivirus detecten un falso positivo (http://www.forospyware.com/glossary.php?do=viewglossary&term=20)en ComboFix pero no hay que preocuparse por esto.
salu2 http://img455.imageshack.us/img455/7932/icontwistedrp4.gif
Recuerda volver y contarnos los resultados
flintstone 15/11/07, 12:54:22 Hola de nuevo, y gracias por adelantado:
He hecho lo que me has dicho. Con Vundofix.exe no ha encontrado nada para borrar, y con el combofix me ha dado este informe que te adjunto al final.
También he de comentarte que me está apareciendo una señal triangualr de atención que me informa de que tengo un ataque de pswix-vir trojan y otra ventana que me habla de spybot@mxt trojan.
Espero tu respuesta.El informe es el siguiente:
ComboFix 07-11-08.1 - PUESTO1 2007-11-15 18:37:00.2 - NTFSx86 NETWORK
Se ejecuta desde: C:\Documents and Settings\PUESTO1\Escritorio\ComboFix.exe
.
(((((((((((((((((((((((((((((((((((( Otras eliminaciones )))))))))))))))))))))))))))))))))))))))))))))))))
.
C:\Documents and Settings\All Users\Menú Inicio\Live Safety Center.lnk
C:\Documents and Settings\All Users\Menú Inicio\Online Security Guide.lnk
C:\Documents and Settings\PUESTO1\Escritorio\Live Safety Center.lnk
C:\Documents and Settings\PUESTO1\Escritorio\Online Security Guide.lnk
C:\Documents and Settings\PUESTO1\Favoritos\Online Security Guide.lnk
C:\WINDOWS\system32\__c009E124.dat
C:\WINDOWS\system32\aimsmx.dll
C:\WINDOWS\system32\aosmx.dll
C:\WINDOWS\system32\gtalsmx.dll
C:\WINDOWS\system32\klnmp.bak2
C:\WINDOWS\system32\klnmp.ini
C:\WINDOWS\system32\klnmp.ini2
C:\WINDOWS\system32\klnmp.tmp
C:\WINDOWS\system32\ngftaefm.dllbox
C:\WINDOWS\system32\pfxzmtaim.dll
C:\WINDOWS\system32\pfxzmtgtal.dll
C:\WINDOWS\system32\pfxzmticq.dll
C:\WINDOWS\system32\pfxzmtsmtspm.dll
C:\WINDOWS\system32\pfxzmtymsg.dll
C:\WINDOWS\system32\plnjlojf.dll
C:\WINDOWS\system32\pmnlk.dll
C:\WINDOWS\system32\qqzpjtdn.dllbox
C:\WINDOWS\system32\sfxzmtforum.dll
C:\WINDOWS\system32\sfxzmtsmt.dll
C:\WINDOWS\system32\sfxzmtwbmail.dll
C:\WINDOWS\system32\ymsgsmx.dll
C:\WINDOWS\system32\zftscdsv.dllbox
.
---- Previous Run -------
.
C:\Documents and Settings\All Users\Menú Inicio\Live Safety Center.lnk
C:\Documents and Settings\All Users\Menú Inicio\Online Security Guide.lnk
C:\Documents and Settings\PUESTO1\Favoritos\Online Security Guide.lnk
C:\WINDOWS\system32\aimsmx.dll
C:\WINDOWS\system32\aosmx.dll
C:\WINDOWS\system32\gtalsmx.dll
C:\WINDOWS\system32\klnmp.bak2
C:\WINDOWS\system32\klnmp.ini
C:\WINDOWS\system32\klnmp.ini2
C:\WINDOWS\system32\klnmp.tmp
C:\WINDOWS\system32\ngftaefm.dllbox
C:\WINDOWS\system32\pfxzmtaim.dll
C:\WINDOWS\system32\pfxzmtgtal.dll
C:\WINDOWS\system32\pfxzmticq.dll
C:\WINDOWS\system32\pfxzmtsmtspm.dll
C:\WINDOWS\system32\pfxzmtymsg.dll
C:\WINDOWS\system32\plnjlojf.dll
C:\WINDOWS\system32\sfxzmtforum.dll
C:\WINDOWS\system32\sfxzmtsmt.dll
C:\WINDOWS\system32\sfxzmtwbmail.dll
C:\WINDOWS\system32\ymsgsmx.dll
C:\WINDOWS\system32\zftscdsv.dllbox
.
((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.
-------\LEGACY_DOMAINSERVICE
-------\DomainService
(((((((((((((((((( Archivos creados desde 2007-10-15 - 2007-11-15 )))))))))))))))))))))))))))))))))
.
2007-11-15 18:17 144,480 --a------ C:\WINDOWS\system32\qqzpjtdn.dll
2007-11-15 18:17 144,480 --a------ C:\WINDOWS\system32\jvcpgrrl.dll
2007-11-15 18:15 51,200 --a------ C:\WINDOWS\NirCmd.exe
2007-11-15 18:14 79,936 --a------ C:\WINDOWS\system32\biwmqgkm.dll
2007-11-15 18:11 85,056 --a------ C:\WINDOWS\system32\gbhlhqtp.dll
2007-11-15 18:06 71,232 --a------ C:\WINDOWS\system32\pvevsbeh.exe
2007-11-15 17:58 <DIR> d--h----- C:\WINDOWS\$hf_mig$
2007-11-15 12:01 <DIR> d-------- C:\VundoFix Backups
2007-11-15 10:24 85,056 --a------ C:\WINDOWS\system32\jjnxkuas.dll
2007-11-15 10:24 79,936 --a------ C:\WINDOWS\system32\gbvgjfki.dll
2007-11-15 10:21 144,480 --a------ C:\WINDOWS\system32\vlhxervc.dll
2007-11-14 20:39 <DIR> d-------- C:\WINDOWS\system32\Kaspersky Lab
2007-11-14 18:09 85,056 --a------ C:\WINDOWS\system32\ljjrrnrd.dll
2007-11-14 18:06 79,424 --a------ C:\WINDOWS\system32\ugumdvcr.dll
2007-11-14 17:59 138,240 --a------ C:\MSNCleaner.exe
2007-11-14 17:17 79,424 --a------ C:\WINDOWS\system32\ldirhiwv.dll
2007-11-14 17:14 85,056 --a------ C:\WINDOWS\system32\wkeucloa.dll
2007-11-14 14:12 144,480 --a------ C:\WINDOWS\system32\pqeptcoe.dll
2007-11-14 14:09 85,056 --a------ C:\WINDOWS\system32\cegdvdet.dll
2007-11-14 13:34 85,056 --a------ C:\WINDOWS\system32\pyeqyypp.dll
2007-11-14 12:59 85,056 --a------ C:\WINDOWS\system32\yoabqkre.dll
2007-11-14 12:29 <DIR> d-------- C:\Archivos de programa\Yahoo!
2007-11-14 12:26 <DIR> d-------- C:\Archivos de programa\CCleaner
2007-11-14 12:25 <DIR> d-------- C:\Archivos de programa\DelPSGuard
2007-11-14 12:22 <DIR> d-------- C:\Documents and Settings\All Users\Datos de programa\SUPERAntiSpyware.com
2007-11-14 12:21 <DIR> d-------- C:\Documents and Settings\PUESTO1\Datos de programa\SUPERAntiSpyware.com
2007-11-14 12:21 <DIR> d-------- C:\Archivos de programa\SUPERAntiSpyware
2007-11-14 12:10 <DIR> d-------- C:\Documents and Settings\All Users\Datos de programa\Spybot - Search & Destroy
2007-11-14 10:34 5,914,648 --a------ C:\SUPERAntiSpyware.exe
2007-11-14 10:32 <DIR> d-------- C:\DelPSGuard
2007-11-14 09:57 85,056 --a------ C:\WINDOWS\system32\qjtqyljj.dll
2007-11-13 18:38 <DIR> d-------- C:\Documents and Settings\All Users\Datos de programa\ESET
2007-11-13 18:26 <DIR> d-------- C:\Archivos de programa\Kaspersky Lab
2007-11-13 18:12 <DIR> d-------- C:\kav
2007-11-13 18:01 144,480 --a------ C:\WINDOWS\system32\uecfwisl.dll
2007-11-12 12:37 <DIR> d--h----- C:\Archivos de programa\FShow
2007-11-10 10:20 <DIR> d-------- C:\Archivos de programa\iTunes
2007-11-10 10:20 <DIR> d-------- C:\Archivos de programa\iPod
2007-11-10 10:18 <DIR> d-------- C:\Archivos de programa\QuickTime
2007-11-05 12:06 30,728 --a------ C:\WINDOWS\system32\drivers\epfwtdir.sys
2007-11-05 12:04 33,800 --a------ C:\WINDOWS\system32\drivers\eamon.sys
2007-11-05 12:04 27,656 --a------ C:\WINDOWS\system32\drivers\easdrv.sys
.
(((((((((((((((((((((((((((((((((((((( Reporte Find3M )))))))))))))))))))))))))))))))))))))))))))))))))) )
.
2007-11-15 16:17 --------- d-----w C:\Documents and Settings\All Users\Datos de programa\Messenger Plus!
2007-10-02 15:20 --------- d-----w C:\Documents and Settings\All Users\Datos de programa\Apple
2007-10-02 15:20 --------- d-----w C:\Archivos de programa\Archivos comunes\Apple
2007-10-02 15:20 --------- d-----w C:\Archivos de programa\Apple Software Update
2007-09-28 07:43 --------- d-----w C:\Archivos de programa\ScannerU
2007-09-27 15:04 --------- d-----w C:\Archivos de programa\ACE-HIGH MP3 WAV WMA OGG Converter
2007-09-27 09:43 --------- d-----w C:\Documents and Settings\All Users\Datos de programa\TEMP
2007-09-27 09:42 --------- d-----w C:\Archivos de programa\Easy CD-DA Extractor 10
2007-09-27 09:09 --------- d-----w C:\Documents and Settings\PUESTO1\Datos de programa\ESTSoft
2007-09-27 09:09 --------- d-----w C:\Documents and Settings\All Users\Datos de programa\ESTsoft
2007-09-27 09:08 --------- d-----w C:\Archivos de programa\ESTsoft
2007-09-25 07:55 --------- d-----w C:\Documents and Settings\PUESTO1\Datos de programa\U3
2007-06-15 10:56 36,368 ----a-w C:\Documents and Settings\PUESTO1\Datos de programa\GDIPFONTCACHEV1.DAT
.
((((((((((((((((((((((((((((((((( Cargando Puntos Reg ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Nota* entradas vac¡as & entradas leg¡timas predeterminadas no son mostradas
[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{1f3c64ee-2643-405d-8a1d-3b29a86eb504}]
[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{98d883ab-0482-4d8b-959f-75a0eea11932}]
2007-11-15 18:14 79936 --a------ C:\WINDOWS\system32\biwmqgkm.dll
[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{A95B2816-1D7E-4561-A202-68C0DE02353A}]
2007-11-15 18:17 144480 --a------ C:\WINDOWS\system32\qqzpjtdn.dll
[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{F28ED85C-A8AE-4e69-B92E-6279C02010DC}]
2007-11-12 12:37 97280 --a------ C:\Archivos de programa\FShow\win-browser.dll
[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{FE4D1943-0142-4FC0-A1F2-53B3E73B834C}]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{11A69AE4-FBED-4832-A2BF-45AF82825583}"= C:\WINDOWS\system32\qqzpjtdn.dll [2007-11-15 18:17 144480]
[HKEY_CLASSES_ROOT\CLSID\{11A69AE4-FBED-4832-A2BF-45AF82825583}]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run]
"ISUSScheduler"="C:\Archivos de programa\Archivos comunes\InstallShield\UpdateService\issch.exe" [2005-08-11 15:30]
"TkBellExe"="C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe" [2007-04-02 12:02]
"AAWTray"="C:\Archivos de programa\Lavasoft\Ad-Aware 2007\AAWTray.exe" [2007-08-29 10:25]
"QuickTime Task"="C:\Archivos de programa\QuickTime\QTTask.exe" [2007-10-19 20:16]
"iTunesHelper"="C:\Archivos de programa\iTunes\iTunesHelper.exe" [2007-11-02 18:36]
"egui"="C:\Archivos de programa\ESET\ESET NOD32 Antivirus\egui.exe" [2007-11-05 12:05]
"2416315d"="C:\WINDOWS\system32\gbhlhqtp.dll" [2007-11-15 18:11]
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\Run]
"SpybotSD TeaTimer"="C:\Archivos de programa\Spybot - Search & Destroy\TeaTimer.exe" [2007-08-31 16:46]
"SUPERAntiSpyware"="C:\Archivos de programa\SUPERAntiSpyware\SUPERAntiSpyware.exe" [2007-06-21 14:06]
"msnmsgr"="C:\Archivos de programa\MSN Messenger\msnmsgr.exe" [2007-01-19 11:55]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Explorer\ShellExecuteHooks]
"{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA}"= C:\Archivos de programa\SUPERAntiSpyware\SASSEH.DLL [2006-12-20 13:55 77824]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\!SASWinLogon]
C:\Archivos de programa\SUPERAntiSpyware\SASWINLO.dll 2007-04-19 13:41 294912 C:\Archivos de programa\SUPERAntiSpyware\SASWINLO.dll
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\hbirpmhr]
hbirpmhr.dll
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\ngftaefm]
ngftaefm.dll
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\qqzpjtdn]
qqzpjtdn.dll 2007-11-15 18:17 144480 C:\WINDOWS\system32\qqzpjtdn.dll
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\zftscdsv]
zftscdsv.dll
R1 epfwtdir;epfwtdir;C:\WINDOWS\system32\DRIVERS\epfw tdir.sys
S1 easdrv;easdrv;C:\WINDOWS\system32\DRIVERS\easdrv.s ys
S2 BulkUsb;Genius ColorPage USB Scanner;C:\WINDOWS\system32\DRIVERS\usbscan.sys
S2 eamon;EAMON;C:\WINDOWS\system32\DRIVERS\eamon.sys
[HKEY_CURRENT_USER\software\microsoft\windows\curre ntversion\explorer\mountpoints2\E]
\Shell\AutoRun\command - E:\LaunchU3.exe -a
.
Contenido de carpeta 'Tareas Programadas'
"2007-11-10 09:05:02 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job"
.
************************************************** ************************
catchme 0.3.1250 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2007-11-15 18:42:45
Windows 5.1.2600 Service Pack 2 NTFS
escaneando procesos ocultos ...
escaneando entradas ocultas de autostart ...
escaneando archivos ocultos ...
************************************************** ************************
.
Tiempo completado: 2007-11-15 18:45:42 - machine was rebooted
.
--- E O F ---
<¡D3vIL!> 15/11/07, 13:18:54 Hola flintstone
Realiza estos pasos
Clic en INICIO > EJECUTAR >
Y ahí pones notepad.exe y ACEPTAR
Ahora copia y pega estos archivos dentro del Notepad
File::
C:\WINDOWS\system32\qqzpjtdn.dll
C:\WINDOWS\system32\jvcpgrrl.dll
C:\WINDOWS\system32\biwmqgkm.dll
C:\WINDOWS\system32\gbhlhqtp.dll
C:\WINDOWS\system32\pvevsbeh.exe
C:\WINDOWS\system32\jjnxkuas.dll
C:\WINDOWS\system32\gbvgjfki.dll
C:\WINDOWS\system32\vlhxervc.dll
C:\WINDOWS\system32\ljjrrnrd.dll
C:\WINDOWS\system32\ugumdvcr.dll
C:\WINDOWS\system32\ldirhiwv.dll
C:\WINDOWS\system32\wkeucloa.dll
C:\WINDOWS\system32\pqeptcoe.dll
C:\WINDOWS\system32\cegdvdet.dll
C:\WINDOWS\system32\pyeqyypp.dll
C:\WINDOWS\system32\yoabqkre.dll
C:\WINDOWS\system32\qjtqyljj.dll
C:\WINDOWS\system32\uecfwisl.dll
Folder::
C:\VundoFix Backups
C:\WINDOWS\$hf_mig$
C:\Documents and Settings\All Users\Datos de programa\Messenger Plus!
Registry::
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{1f3c64ee-2643-405d-8a1d-3b29a86eb504}]
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{98d883ab-0482-4d8b-959f-75a0eea11932}]
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{A95B2816-1D7E-4561-A202-68C0DE02353A}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
[-HKEY_LOCAL_MACHINE\software\microsoft\windowsnt\cu rrentversion\winlogon\notify\hbirpmhr]
[-HKEY_LOCAL_MACHINE\software\microsoft\windowsnt\cu rrentversion\winlogon\notify\ngftaefm]
[-HKEY_LOCAL_MACHINE\software\microsoft\windowsnt\cu rrentversion\winlogon\notify\qqzpjtdn]
[-HKEY_LOCAL_MACHINE\software\microsoft\windowsnt\cu rrentversion\winlogon\notify\zftscdsv]
Guarda este archivo con el nombre CFScript.txt
Arrastra y soltar el archivo CFScript.txt dentro del archivo ComboFix.exe como lo muestra el screenshot de de abajo.
http://www.forospyware.com/images/adv/CFScript.gif
ComboFix comenzará otra vez a ejecutarse, Cuando termine este generara un reporte que tendrías que pegar en este mismo mensaje :Bien:
Realiza un escaneo online con "Panda ActiveScan Online" (http://www.forospyware.com/announcement.php?f=12) y nos dejas sus reportes en este mismo mensaje.
salu2 http://img455.imageshack.us/img455/7932/icontwistedrp4.gif
Recuerda volver
flintstone 16/11/07, 04:49:07 Hola de nuevo:
Anoche tuve que marchar dejando a mitad la tarea encomendada.
TE adjunto los informes de combofix y de panda:
ComboFix 07-11-08.1 - PUESTO1 2007-11-15 19:58:47.3 - NTFSx86 NETWORK
Microsoft Windows XP Professional 5.1.2600.2.1252.1.3082.18.723 [GMT 1:00]
Se ejecuta desde: C:\Documents and Settings\PUESTO1\Escritorio\ComboFix.exe
Command switches used :: C:\CFScript.txt
FILE
C:\WINDOWS\system32\biwmqgkm.dll
C:\WINDOWS\system32\cegdvdet.dll
C:\WINDOWS\system32\gbhlhqtp.dll
C:\WINDOWS\system32\gbvgjfki.dll
C:\WINDOWS\system32\jjnxkuas.dll
C:\WINDOWS\system32\jvcpgrrl.dll
C:\WINDOWS\system32\ldirhiwv.dll
C:\WINDOWS\system32\ljjrrnrd.dll
C:\WINDOWS\system32\pqeptcoe.dll
C:\WINDOWS\system32\pvevsbeh.exe
C:\WINDOWS\system32\pyeqyypp.dll
C:\WINDOWS\system32\qjtqyljj.dll
C:\WINDOWS\system32\qqzpjtdn.dll
C:\WINDOWS\system32\uecfwisl.dll
C:\WINDOWS\system32\ugumdvcr.dll
C:\WINDOWS\system32\vlhxervc.dll
C:\WINDOWS\system32\wkeucloa.dll
C:\WINDOWS\system32\yoabqkre.dll
.
(((((((((((((((((((((((((((((((((((( Otras eliminaciones )))))))))))))))))))))))))))))))))))))))))))))))))
.
C:\Documents and Settings\All Users\Datos de programa\Messenger Plus!
C:\Documents and Settings\All Users\Datos de programa\Messenger Plus!\global.dat
C:\VundoFix Backups
C:\WINDOWS\$hf_mig$
C:\WINDOWS\system32\biwmqgkm.dll
C:\WINDOWS\system32\cegdvdet.dll
C:\WINDOWS\system32\gbhlhqtp.dll
C:\WINDOWS\system32\gbvgjfki.dll
C:\WINDOWS\system32\jjnxkuas.dll
C:\WINDOWS\system32\jvcpgrrl.dll
C:\WINDOWS\system32\ldirhiwv.dll
C:\WINDOWS\system32\ljjrrnrd.dll
C:\WINDOWS\system32\pqeptcoe.dll
C:\WINDOWS\system32\pvevsbeh.exe
C:\WINDOWS\system32\pyeqyypp.dll
C:\WINDOWS\system32\qjtqyljj.dll
C:\WINDOWS\system32\qqzpjtdn.dll
C:\WINDOWS\system32\qqzpjtdn.dllbox
C:\WINDOWS\system32\uecfwisl.dll
C:\WINDOWS\system32\ugumdvcr.dll
C:\WINDOWS\system32\vlhxervc.dll
C:\WINDOWS\system32\wkeucloa.dll
C:\WINDOWS\system32\yoabqkre.dll
.
(((((((((((((((((( Archivos creados desde 2007-10-15 - 2007-11-15 )))))))))))))))))))))))))))))))))
.
2007-11-15 18:45 <DIR> d-------- C:\WINDOWS\system32\config\systemprofile\Configura ción local
2007-11-15 18:45 <DIR> d-------- C:\Documents and Settings\PUESTO1\Configuración local
2007-11-15 18:45 <DIR> d-------- C:\Documents and Settings\NetworkService\Configuración local
2007-11-15 18:45 <DIR> d-------- C:\Documents and Settings\McAfeeMVSUser\Configuración local
2007-11-15 18:45 <DIR> d-------- C:\Documents and Settings\LocalService\Configuración local
2007-11-15 18:45 <DIR> d-------- C:\Documents and Settings\Default User\Configuración local
2007-11-15 18:45 <DIR> d-------- C:\Documents and Settings\Administrador\Configuración local
2007-11-15 18:15 51,200 --a------ C:\WINDOWS\NirCmd.exe
2007-11-14 20:39 <DIR> d-------- C:\WINDOWS\system32\Kaspersky Lab
2007-11-14 17:59 138,240 --a------ C:\MSNCleaner.exe
2007-11-14 12:29 <DIR> d-------- C:\Archivos de programa\Yahoo!
2007-11-14 12:26 <DIR> d-------- C:\Archivos de programa\CCleaner
2007-11-14 12:25 <DIR> d-------- C:\Archivos de programa\DelPSGuard
2007-11-14 12:22 <DIR> d-------- C:\Documents and Settings\All Users\Datos de programa\SUPERAntiSpyware.com
2007-11-14 12:21 <DIR> d-------- C:\Documents and Settings\PUESTO1\Datos de programa\SUPERAntiSpyware.com
2007-11-14 12:21 <DIR> d-------- C:\Archivos de programa\SUPERAntiSpyware
2007-11-14 12:10 <DIR> d-------- C:\Documents and Settings\All Users\Datos de programa\Spybot - Search & Destroy
2007-11-14 10:34 5,914,648 --a------ C:\SUPERAntiSpyware.exe
2007-11-14 10:32 <DIR> d-------- C:\DelPSGuard
2007-11-13 18:38 <DIR> d-------- C:\Documents and Settings\All Users\Datos de programa\ESET
2007-11-13 18:26 <DIR> d-------- C:\Archivos de programa\Kaspersky Lab
2007-11-13 18:12 <DIR> d-------- C:\kav
2007-11-12 12:37 <DIR> d--h----- C:\Archivos de programa\FShow
2007-11-10 10:20 <DIR> d-------- C:\Archivos de programa\iTunes
2007-11-10 10:20 <DIR> d-------- C:\Archivos de programa\iPod
2007-11-10 10:18 <DIR> d-------- C:\Archivos de programa\QuickTime
2007-11-05 12:06 30,728 --a------ C:\WINDOWS\system32\drivers\epfwtdir.sys
2007-11-05 12:04 33,800 --a------ C:\WINDOWS\system32\drivers\eamon.sys
2007-11-05 12:04 27,656 --a------ C:\WINDOWS\system32\drivers\easdrv.sys
.
(((((((((((((((((((((((((((((((((((((( Reporte Find3M )))))))))))))))))))))))))))))))))))))))))))))))))) )
.
2007-10-02 15:20 --------- d-----w C:\Documents and Settings\All Users\Datos de programa\Apple
2007-10-02 15:20 --------- d-----w C:\Archivos de programa\Archivos comunes\Apple
2007-10-02 15:20 --------- d-----w C:\Archivos de programa\Apple Software Update
2007-09-28 07:43 --------- d-----w C:\Archivos de programa\ScannerU
2007-09-27 15:04 --------- d-----w C:\Archivos de programa\ACE-HIGH MP3 WAV WMA OGG Converter
2007-09-27 09:43 --------- d-----w C:\Documents and Settings\All Users\Datos de programa\TEMP
2007-09-27 09:42 --------- d-----w C:\Archivos de programa\Easy CD-DA Extractor 10
2007-09-27 09:09 --------- d-----w C:\Documents and Settings\PUESTO1\Datos de programa\ESTSoft
2007-09-27 09:09 --------- d-----w C:\Documents and Settings\All Users\Datos de programa\ESTsoft
2007-09-27 09:08 --------- d-----w C:\Archivos de programa\ESTsoft
2007-09-25 07:55 --------- d-----w C:\Documents and Settings\PUESTO1\Datos de programa\U3
2007-06-15 10:56 36,368 ----a-w C:\Documents and Settings\PUESTO1\Datos de programa\GDIPFONTCACHEV1.DAT
.
((((((((((((((((((((((((((((( snapshot@2007-11-15_18.43.45.87 )))))))))))))))))))))))))))))))))))))))))
.
+ 2007-11-15 19:02:46 16,384 ----atw C:\WINDOWS\Temp\Perflib_Perfdata_3dc.dat
.
((((((((((((((((((((((((((((((((( Cargando Puntos Reg ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Nota* entradas vac¡as & entradas leg¡timas predeterminadas no son mostradas
[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{F28ED85C-A8AE-4e69-B92E-6279C02010DC}]
2007-11-12 12:37 97280 --a------ C:\Archivos de programa\FShow\win-browser.dll
[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{FE4D1943-0142-4FC0-A1F2-53B3E73B834C}]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run]
"ISUSScheduler"="C:\Archivos de programa\Archivos comunes\InstallShield\UpdateService\issch.exe" [2005-08-11 15:30]
"TkBellExe"="C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe" [2007-04-02 12:02]
"AAWTray"="C:\Archivos de programa\Lavasoft\Ad-Aware 2007\AAWTray.exe" [2007-08-29 10:25]
"QuickTime Task"="C:\Archivos de programa\QuickTime\QTTask.exe" [2007-10-19 20:16]
"iTunesHelper"="C:\Archivos de programa\iTunes\iTunesHelper.exe" [2007-11-02 18:36]
"egui"="C:\Archivos de programa\ESET\ESET NOD32 Antivirus\egui.exe" [2007-11-05 12:05]
"2416315d"="C:\WINDOWS\system32\jjnxkuas.dll" []
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\Run]
"SpybotSD TeaTimer"="C:\Archivos de programa\Spybot - Search & Destroy\TeaTimer.exe" [2007-08-31 16:46]
"SUPERAntiSpyware"="C:\Archivos de programa\SUPERAntiSpyware\SUPERAntiSpyware.exe" [2007-06-21 14:06]
"msnmsgr"="C:\Archivos de programa\MSN Messenger\msnmsgr.exe" [2007-01-19 11:55]
"Microsoft Windows Update"="C:\WINDOWS\system32\srshost.exe" []
[HKEY_CURRENT_USER\software\microsoft\windows\curre ntversion\runonce]
"SpybotDeletingB9433"=command /c del "C:\WINDOWS\system32\qqzpjtdn.dllbox"
"SpybotDeletingD7442"=cmd /c del "C:\WINDOWS\system32\qqzpjtdn.dllbox"
"SpybotDeletingB7443"=command /c del "C:\WINDOWS\system32\qqzpjtdn.dll_old"
"SpybotDeletingD132"=cmd /c del "C:\WINDOWS\system32\qqzpjtdn.dll_old"
"SpybotDeletingB2517"=command /c del "C:\WINDOWS\system32\qqzpjtdn.dll"
"SpybotDeletingD5849"=cmd /c del "C:\WINDOWS\system32\qqzpjtdn.dll"
[HKEY_LOCAL_MACHINE\software\microsoft\windows\curr entversion\runonce]
"Spybot - Search & Destroy"="C:\Archivos de programa\Spybot - Search & Destroy\SpybotSD.exe" /autocheck
"SpybotDeletingA9917"=command /c del "C:\WINDOWS\system32\qqzpjtdn.dllbox"
"SpybotDeletingC8591"=cmd /c del "C:\WINDOWS\system32\qqzpjtdn.dllbox"
"SpybotDeletingA7091"=command /c del "C:\WINDOWS\system32\qqzpjtdn.dll_old"
"SpybotDeletingC1367"=cmd /c del "C:\WINDOWS\system32\qqzpjtdn.dll_old"
"SpybotDeletingA1257"=command /c del "C:\WINDOWS\system32\qqzpjtdn.dll"
"SpybotDeletingC7573"=cmd /c del "C:\WINDOWS\system32\qqzpjtdn.dll"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Explorer\ShellExecuteHooks]
"{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA}"= C:\Archivos de programa\SUPERAntiSpyware\SASSEH.DLL [2006-12-20 13:55 77824]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\!SASWinLogon]
C:\Archivos de programa\SUPERAntiSpyware\SASWINLO.dll 2007-04-19 13:41 294912 C:\Archivos de programa\SUPERAntiSpyware\SASWINLO.dll
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\hbirpmhr]
hbirpmhr.dll
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\ngftaefm]
ngftaefm.dll
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\qqzpjtdn]
qqzpjtdn.dll
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\zftscdsv]
zftscdsv.dll
R0 SiSRaid;SiSRaid;C:\WINDOWS\system32\DRIVERS\SiSRai d.sys
R1 epfwtdir;epfwtdir;C:\WINDOWS\system32\DRIVERS\epfw tdir.sys
S1 easdrv;easdrv;C:\WINDOWS\system32\DRIVERS\easdrv.s ys
S2 BulkUsb;Genius ColorPage USB Scanner;C:\WINDOWS\system32\DRIVERS\usbscan.sys
S2 eamon;EAMON;C:\WINDOWS\system32\DRIVERS\eamon.sys
S2 ekrn;Eset Service;"C:\Archivos de programa\ESET\ESET NOD32 Antivirus\ekrn.exe"
S3 EhttpSrv;Eset HTTP Server;"C:\Archivos de programa\ESET\ESET NOD32 Antivirus\EHttpSrv.exe"
S3 netrcacm;RCA USB Digital Cable Modem Driver;C:\WINDOWS\system32\DRIVERS\netrcacm.sys
[HKEY_CURRENT_USER\software\microsoft\windows\curre ntversion\explorer\mountpoints2\E]
\Shell\AutoRun\command - E:\LaunchU3.exe -a
.
Contenido de carpeta 'Tareas Programadas'
"2007-11-10 09:05:02 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job"
.
************************************************** ************************
catchme 0.3.1250 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2007-11-15 20:02:52
Windows 5.1.2600 Service Pack 2 NTFS
escaneando procesos ocultos ...
escaneando entradas ocultas de autostart ...
escaneando archivos ocultos ...
************************************************** ************************
.
Tiempo completado: 2007-11-15 20:04:13 - machine was rebooted
C:\ComboFix2.txt ... 2007-11-15 18:45
.
--- E O F ---
EL INFORME DE PANDA
Incidencia Estado Elemento
Herramienta potencialmente no deseada:Application/NirCmd.A No desinfectado C:\Documents and Settings\PUESTO1\Escritorio\ComboFix.exe[nircmd.exe]
Herramienta potencialmente no deseada:Application/NirCmd.A No desinfectado C:\Documents and Settings\PUESTO1\Escritorio\ComboFix.exe[nircmd.cfexe]
Adware:Adware/PurityScan No desinfectado C:\qoobox\Quarantine\C\WINDOWS\system32\plnjlojf.d ll.vir
Spyware:Spyware/Virtumonde No desinfectado C:\qoobox\Quarantine\C\WINDOWS\system32\pvevsbeh.e xe.vir
Adware:Adware/PurityScan No desinfectado C:\qoobox\Quarantine\catchme2007-11-15_184217.48.zip[__c009E124.dat]
Spyware:Spyware/Virtumonde No desinfectado C:\qoobox\Quarantine\catchme2007-11-15_184217.48.zip[pmnlk.dll]
Virus:Trj/Downloader.GDS Desinfectado C:\WINDOWS\aniBEE6E9.exe
Herramienta potencialmente no deseada:Application/NirCmd.A
<¡D3vIL!> 16/11/07, 07:04:01 Hola flintstone
Para terminar solo te quedaría quitar CF de la siguiente manera:
Ir a Inicio > Ejecutar Escribir lo siguiente: ComboFix /u como muestra la imagen debajo:
http://www.forospyware.com/images/adv/CF_Cleanup.png
Se te abrira una ventana estilo "Comando", espera unos momentos y luego acepta el mensaje que aparecerá ("ComboFix is uninstalled")
Esto realizara las siguientes tareas:
Se borraran: ComboFix: sus archivos y carpetas. VundoFix: copias de seguridad (si está presente) La carpeta C:\Deckard (si está presente) La carpeta C: _OtMoveIt (si está presente) Restablece la configuración del reloj. Ocultar extensiones de archivo (si es necesario.) Oculta los archivos que estaban ocultos Reactiva el "Restaurar Sistema"
Descarga RegSeeker (http://www.forospyware.com/showthread.php?t=713)
Ejecuta RegSeeker
Antes de la limpieza asegurate marcar la casilla que aparece en la parte inferior izquierda; «Backup antes de suprimir».
Luego en la parte derecha arriba esta la opción Languages, elige español.
Después te vas a Limpiar el registro (Debes tener marcadas todas las casillas).
Dale al botón OK!
Cuando termine, dale clic Seleccionar todo.
Presionar con el botón derecho sobre una entrada, dale a la opción «Borrar las entradas seleccionadas».
Hace este procedimiento hasta que la herramienta no muestre nada
En tú próxima respuesta dinos como sigue el tema, si esta solucionado o no
Salu2
flintstone 16/11/07, 13:39:09 Al final, parece que todo se ha arreglado, ya no me aparecen las ventanitas aunque noto al sistema algo más lento.
He pasado los scans online de ewido y panda, y el mío de NOD32 y no parece detectarme nada. ¿Es necesario pasar algo más?
Muchas gracias por todo, de verdad que me habeis solucionado un gran problema
<¡D3vIL!> 17/11/07, 07:50:54 Hola flintstone
Realiza estos pasos a ver si se te agiliza el pc:
Elimina los temp de esta forma.
Cierra todas las ventanas y todos los programas abiertos.
Desde Inicio, Ejecutar, escribe %TEMP% y pulsa Enter.
Cuando se abra la ventana del Explorador de Windows, pulsa CTRL+E (o selecciona desde el menú "Edición", la opción "Seleccionar todo").
Pulsa la tecla SUPR y confirma el borrado de todo, incluyendo los ejecutables.
Pincha con el botón derecho sobre el icono de la "Papelera de reciclaje" en el escritorio, y selecciona "Vaciar la papelera de reciclaje"
También elimina los archivos temporales de Internet
Selecciona Panel de control, Opciones de Internet, General
En Archivos temporales de Internet pincha en "Eliminar archivos"
Marca la opción "Eliminar todo el contenido sin conexión"
Pincha en Aceptar.
Desfragmenta el disco duro Inicio // Todos los programas //Accesorios // Herramientas del sistema // Desfragmentador de disco.
Nota*: Cuando Desfragmentes el disco, ten todos los programas cerrados y lo mas importante Desactiva el residente de tu Anti-Virus, del Anti-Spyware y también de tú Firewall (Cortafuego)
Usa el Ccleaner (http://www.forospyware.com/t39511.html) para limpiar el sistema.
Primero utilizá la opción de "Limpiador" para borrar cookies, temporales de Internet y todos los archivos que este te muestre como obsoletos.
Luego usa su opción de "Registro" para limpiar todo el registro de Windows (haciendo copia de seguridad).
Deshabilita los servicios que no sean necesarios. Aquí tienes un manual de los Servicios de Windows XP (http://www.forospyware.com/t11982.html) que son y no son necesarios.
Comprueba que los procesos que se están realizando en tu ordenador no sean innecesarios (mirar los procesos: Ctrl+Alt+Supr ; si no sabes si son necesarios o no, nos pones aquí en los que tengas dudas)
Comprueba que en tu ordenador no se inicien programas con windows innecesarios: Inicio // Ejecutar // escribes // msconfig y clickeas en aceptar. Aparecerá una nueva ventana // Clickeas en la pestaña Inicio. Los elementos que aparecen marcados con un tick se inician automáticamente; desmarca las casillas de los que no sean necesarios que inicien Windows. (si no estás segura de que son algunos nos los pones y te decimos).
Después de realizar esos, realiza los pasos que hay en este enlace (http://www.forospyware.com/t25369.html).
Descarga y ejecuta la utilidad Advanced WindowsCare (http://www.iobit.com/advancedwindowscareper.html), para reparar y optimizar a fondo tu PC.
De preferencia, imprime las indicaciones para que se te haga más fácil seguirlas.
salu2 http://img455.imageshack.us/img455/7932/icontwistedrp4.gif
Recuerda volver y contarnos los resultados
| |