Ver la Versión Completa : TrojanPWS.OnlineGames
elale85 26/12/07, 19:28:00 Buenas!
Les cuento el problema que tengo.
El 23 a la noche me entró un troyano mientras navegaba por la web. Este a su vez al conectarse a internet descarga otros y hace un lío bárbaro.
Pasé el AdAware y el Spyware Doctor y borré todo. Sin embargo, cada vez que lo paso siempre queda un troyano llamado TrojanPWS.OnlineGames, que por más que lo borro vuelve a aparecer al siguiente análisis.
Los síntomas de este troyano no son para nada graves, pero el problema es que al conectarme a internet me empieza a bajar muchos otros troyamos (hago la búsqueda después de conectarme y me saltan muchas más cosas).
Por ese mismo motivo estoy escribiendo esto offline, para conectarme rápidamente y escribirlo en el foro.
Les paso el análisis hecho por el HiHackThis luego de pasar ambos antispyware, para ver si me ayudan a descubrir qué es eso que queda abierto que al conectarme a internet empieza a bajarme troyanos, y cómo eliminarlo.
Desde ya muchísimas gracias por la ayuda.
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 08:21:37 p.m., on 26/12/2100
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
D:\Archivos de programa\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Archivos de programa\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\userinit.exe
C:\WINDOWS\Explorer.exe
D:\Programas\Nav\vptray.exe
D:\Programas\MsnPlus\MsgPlus.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Archivos de programa\RALINK\Common\RaUI.exe
C:\WINDOWS\system32\notepad.exe
D:\Archivos de programa\Trend Micro\HijackThis\HijackThis.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programas\Acrobat\Reader\ActiveX\AcroIEHelper.d ll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - d:\ARCHIV~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.5.0_11\bin\ssv.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Archivos de programa\Google\GoogleToolbarNotifier\2.1.1119.173 6\swg.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - D:\Programas\ICQToolbar\toolbaru.dll
O4 - HKLM\..\Run: [vptray] D:\Programas\Nav\vptray.exe
O4 - HKLM\..\Run: [MessengerPlus3] "D:\Programas\MsnPlus\MsgPlus.exe"
O4 - HKLM\..\Run: [RoxioEngineUtility] "C:\Archivos de programa\Archivos comunes\Roxio Shared\System\EngUtil.exe"
O4 - HKLM\..\Run: [DAEMON Tools] "D:\Programas\Daemon\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SpyHunter Security Suite] C:\Archivos de programa\Enigma Software Group\SpyHunter\SpyHunter3.exe
O4 - HKLM\..\Run: [SSLDyn] C:\WINDOWS\SSLDyn.exE
O4 - HKLM\..\Run: [MsPrint32D] C:\WINDOWS\imvanj.exe
O4 - HKLM\..\Run: [LotusHlp] C:\WINDOWS\LotusHlp.exe
O4 - HKLM\..\Run: [WinSysW] C:\WINDOWS\455373L.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MessengerPlus3] "D:\Programas\MsnPlus\MsgPlus.exe" /WinStart
O4 - HKCU\..\Run: [Skype] "C:\Archivos de programa\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICIO LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Servicio de red')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Archivos de programa\Archivos comunes\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Google Updater.lnk = C:\Archivos de programa\Google\Google Updater\GoogleUpdater.exe
O4 - Global Startup: Microsoft Office.lnk = D:\Programas\Office\Office10\OSA.EXE
O4 - Global Startup: Ralink Wireless Utility.lnk = C:\Archivos de programa\RALINK\Common\RaUI.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://D:\PROGRA~1\Office\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programas\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programas\ICQLite\ICQLite.exe
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - d:\ARCHIV~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - d:\ARCHIV~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\ARCHIV~1\ARCHIV~1\Skype\SKYPE4~1.DLL
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - D:\Archivos de programa\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: DefWatch - Symantec Corporation - D:\Programas\Nav\defwatch.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Archivos de programa\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Archivos de programa\Archivos comunes\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Norton AntiVirus Client (Norton AntiVirus Server) - Symantec Corporation - D:\Programas\Nav\rtvscan.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Archivos de programa\Spyware Doctor\svcntaux.exe
O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Archivos de programa\Spyware Doctor\swdsvc.exe
--
End of file - 6508 bytes
ElPiedra 27/12/07, 19:28:58 Hola elale85, te doy la bienvenida al Foro de InfoSpyware.
Tu log de HijackThis esta libre de Malwares por lo que sugiero realizar lo siguiente:
Descarga, actualiza y ejecuta el programa:
SUPERAntiSpyware
Descarga CCleaner (http://www.forospyware.com/t105564.html) y ejecútalo usando primero su opción de "Limpiador" para borrar cookies, temporales de Internet y todos los archivos que este te muestre como obsoletos, y luego usa su opción de "Registro" para limpiar todo el registro de Windows (haciendo copia de seguridad).
.:cf_icon:. - Descarga la herramienta ComboFix.exe (http://www.forospyware.com/sUBs/ComboFix.exe) y guárdala en el escritorio.
Desactiva temporalmente el Antivirus y/o Antispyware.
Cierra todas las ventanas abiertas.
Hacele doble clic al archivo combofix.exe y seguí las instrucciones.
Cuando termine, generara un registro en C:\ComboFix.txt.
*Nota* Mientras CF este trabajando no mover el mouse ya que pararía su proceso.
*Nota* ComboFix puede reiniciar automáticamente el PC para completar el proceso de eliminación.
Pega el reporte de ComboFix.txt en este mismo mensaje.
Reinicia y nos dejas los reportes.
Salu2
elale85 29/12/07, 03:07:03 Buenas! Antes que nada, gracias por la bienvenida y por la ayuda.
Te dejo el reporte pedido anteriormente.
Lamentáblemente, al conectarme a internet volvieron a aparecerme troyanos en muy pocos segundos :(
De todas formas se agradece mucho la ayuda que me estás brindando, y quedo a la espera de las próximas instrucciones.
Gracias!
ComboFix 07-12-28.1 - Presi 2007-12-29 3:35:28.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.34.3082.18.458 [GMT -3:00]
Se ejecuta desde: C:\Documents and Settings\Presi\Escritorio\ComboFix.exe
* Creado un nuevo punto de restauración
.
The following files were disabled during the run:
C:\Archivos de programa\Enigma Software Group\SpyHunter\SpyHunterMonitor.dll
(((((((((((((((((((((((((((((((((((( Otras eliminaciones )))))))))))))))))))))))))))))))))))))))))))))))))
.
C:\Archivos de programa\pknh\cxau.dll
C:\Archivos de programa\pknh\ezcw.dll
C:\Archivos de programa\pknh\hcfz.dll
C:\Archivos de programa\pknh\vqtn.dll
C:\Archivos de programa\pknh\zuxr.dll
C:\Autorun.inf
C:\DFD1058203.bat
C:\DFD1060890.bat
C:\DFD1498093.bat
C:\DFD4782296.bat
C:\DFD4782343.bat
C:\DFD4782375.bat
C:\DFD4782406.bat
C:\DFD741093.bat
C:\DFD741218.bat
C:\DFD741484.bat
C:\DFD741671.bat
C:\DFD741750.bat
C:\DFD960078.bat
C:\DFD960109.bat
C:\WINDOWS\901.bmp
C:\WINDOWS\Fonts\gjfeaxw.fon
C:\WINDOWS\LotusHlp.exe
C:\WINDOWS\msprint32d.exe
C:\WINDOWS\rising16.exe
C:\WINDOWS\rising203.exe
C:\WINDOWS\rising263.exe
C:\WINDOWS\rising48.exe
C:\WINDOWS\rising74.exe
C:\WINDOWS\rising957.exe
C:\WINDOWS\system32\001.dll
C:\WINDOWS\system32\AutoRun.inf
C:\WINDOWS\system32\avzxlmn.dll
C:\WINDOWS\system32\avzxlst.exe
C:\WINDOWS\system32\bfkovybdgk.dll
C:\WINDOWS\system32\bgkovyceil.dll
C:\WINDOWS\system32\dodolook591.exe
C:\WINDOWS\system32\drivers\npf.sys
C:\WINDOWS\system32\einradgjmp.dll
C:\WINDOWS\system32\einrxadgkm.dll
C:\WINDOWS\system32\ejougkmdj.dll
C:\WINDOWS\system32\fkptadgjmp.dll
C:\WINDOWS\system32\gkptycgjmp.dll
C:\WINDOWS\system32\gkptydfimp.dll
C:\WINDOWS\system32\glqtaehdj.dll
C:\WINDOWS\system32\intxgjmptw.dll
C:\WINDOWS\system32\jptygjlpsv.dll
C:\WINDOWS\system32\jpvyiknquw.dll
C:\WINDOWS\system32\LotusHlp.dll
C:\WINDOWS\system32\lqvyhlorvy.dll
C:\WINDOWS\system32\lyloadmr.exe
C:\WINDOWS\system32\mhsha1.dat
C:\WINDOWS\system32\mquyfilosv.dll
C:\WINDOWS\system32\msimms32.dll
C:\WINDOWS\system32\MsPrint32D.dll
C:\WINDOWS\system32\Packet.dll
C:\WINDOWS\system32\puycknpdj.dll
C:\WINDOWS\system32\SHQ.DLL
C:\WINDOWS\system32\SHQMANGR.DLL
C:\WINDOWS\system32\svchost.dat
C:\WINDOWS\system32\swaeloruyb.dll
C:\WINDOWS\system32\uyehosvxbe.dll
C:\WINDOWS\system32\vydhoruxad.dll
C:\WINDOWS\system32\WanPacket.dll
C:\WINDOWS\system32\wpcap.dll
C:\WINDOWS\system32\ychluxydgj.dll
C:\WINDOWS\system32\ydjnvybeik.dll
C:\WINDOWS\tempaq
.
((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.
-------\LEGACY_UPSM
-------\nm
-------\upsm
(((((((((((((((((( Archivos creados desde 2007-11-28 - 2007-12-29 )))))))))))))))))))))))))))))))))
.
2007-12-28 14:22 . 2007-12-28 17:49 3,456 --a------ C:\WINDOWS\system32\drivers\msconkt.sys
2007-12-28 14:16 . 2000-12-28 17:07 31,721 --a------ C:\WINDOWS\system32\mshmsdjs32.dll
2007-12-28 14:16 . 2000-12-28 17:07 16,103 --a------ C:\WINDOWS\system32\kawdhaz.exe
2007-12-26 16:19 . 2000-12-28 17:07 8,192 --a------ C:\WINDOWS\system32\REGKEY.hiv
2007-12-26 02:09 . 2007-12-26 02:11 <DIR> d-------- C:\Documents and Settings\All Users\Datos de programa\Spybot - Search & Destroy
2007-12-25 23:33 . 2000-12-25 21:40 16,223 --a------ C:\WINDOWS\jinjbb.exe
2007-12-25 21:50 . 2007-12-25 21:50 <DIR> d-------- C:\Documents and Settings\NetworkService\Escritorio
2007-12-25 21:49 . 2007-12-25 21:49 <DIR> dr------- C:\Documents and Settings\NetworkService\Favoritos
2007-12-25 21:49 . 2007-12-25 21:49 <DIR> d-------- C:\Documents and Settings\NetworkService\Datos de programa\Talkback
2007-12-25 21:16 . 2007-12-25 21:18 <DIR> d-------- C:\Documents and Settings\Presi\DoctorWeb
2007-12-25 20:49 . 2007-12-25 20:49 <DIR> d-------- C:\Documents and Settings\LocalService\Datos de programa\Talkback
2007-12-25 20:48 . 2007-12-25 20:48 82 --a------ C:\WINDOWS\48-12056115
2007-12-25 20:48 . 2007-12-25 20:48 68 --a------ C:\WINDOWS\system32\2e76
2007-12-25 18:34 . 2000-12-25 13:08 16,223 --a------ C:\WINDOWS\mymrsi.exe
2007-12-24 17:10 . 2000-12-24 17:11 31,792 --a------ C:\Documents and Settings\Presi\ntuser.com
2007-12-24 17:10 . 2007-12-24 17:10 27,136 --------- C:\WINDOWS\system32\TxoMoU.Exe
2007-12-09 23:01 . 2007-12-09 23:01 <DIR> d-------- C:\Archivos de programa\TSM
2007-12-09 23:01 . 2005-07-31 07:07 172,032 --a------ C:\WINDOWS\system32\OSSMTP.dll
.
(((((((((((((((((((((((((((((((((((((( Reporte Find3M )))))))))))))))))))))))))))))))))))))))))))))))))) )
.
2007-12-29 06:43 377 ----a-w C:\WINDOWS\Fonts\avwghina.dll
2007-12-29 06:43 365 ----a-w C:\WINDOWS\Fonts\kvdxslcf.dll
2007-12-29 06:43 116 ----a-w C:\WINDOWS\Fonts\gjfhass.dll
2007-12-29 06:43 109 ----a-w C:\WINDOWS\Fonts\kvdxlcf.dll
2007-12-29 06:43 102 ----a-w C:\WINDOWS\Fonts\kawdhcs.dll
2007-12-29 06:43 101 ----a-w C:\WINDOWS\Fonts\avwlhin.dll
2007-12-29 06:43 --------- d-----w C:\Documents and Settings\Presi\Datos de programa\Skype
2007-12-29 06:37 --------- d-----w C:\Archivos de programa\pknh
2007-12-29 06:34 371 ----a-w C:\WINDOWS\Fonts\avzxlin.dll
2007-12-29 04:24 --------- d---a-w C:\Documents and Settings\All Users\Datos de programa\TEMP
2007-12-29 00:57 44,337 ----a-w C:\WINDOWS\455373WL.DLL
2007-12-28 20:07 18,488 ----a-w C:\WINDOWS\SSLDyn.exE
2007-12-28 20:06 --------- d-----w C:\Documents and Settings\All Users\Datos de programa\Google Updater
2007-12-28 17:49 --------- d-----w C:\Archivos de programa\Spyware Doctor
2007-12-25 12:24 53,248 -c--a-r C:\WINDOWS\0b01.exe
2007-11-05 02:06 --------- d--h--r C:\Documents and Settings\Presi\Datos de programa\SecuROM
2007-11-05 02:02 --------- d--h--w C:\Archivos de programa\InstallShield Installation Information
2007-09-04 18:49 44,224 ----a-w C:\Documents and Settings\Presi\Datos de programa\GDIPFONTCACHEV1.DAT
2006-04-26 00:20 42,800 -c--a-w C:\Documents and Settings\Mariano\Datos de programa\GDIPFONTCACHEV1.DAT
2005-12-25 02:39 133,120 ----a-w C:\WINDOWS\inf\MSLogin64.exe
2000-12-25 12:21 20 ----a-w C:\Documents and Settings\Presi\mhsha1.dat
2000-12-25 01:21 70,144 ----a-w C:\Documents and Settings\Administrador\Verify.exe
2000-12-25 01:21 20 ----a-w C:\Documents and Settings\Administrador\mhsha1.dat
2000-12-28 20:07 52,529 --sh--w C:\WINDOWS\455373L.exe
2000-12-28 17:50 29,537 --sh--w C:\WINDOWS\455373M.exe
.
((((((((((((((((((((((((((((((((( Cargando Puntos Reg ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Nota* entradas vac¡as & entradas leg¡timas predeterminadas no son mostradas
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-19 10:42]
"MessengerPlus3"="D:\Programas\MsnPlus\MsgPlus.exe" [2007-04-11 16:06]
"Skype"="C:\Archivos de programa\Skype\Phone\Skype.exe" [2007-02-22 23:31]
"SUPERAntiSpyware"="D:\Archivos de programa\SUPERAntiSpyware\SUPERAntiSpyware.exe" [2007-06-21 14:06]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run]
"vptray"="D:\Programas\Nav\vptray.exe" [2001-09-24 07:59]
"MessengerPlus3"="D:\Programas\MsnPlus\MsgPlus.exe" [2007-04-11 16:06]
"RoxioEngineUtility"="C:\Archivos de programa\Archivos comunes\Roxio Shared\System\EngUtil.exe" [2003-02-27 05:31]
"DAEMON Tools"="D:\Programas\Daemon\DAEMON Tools\daemon.exe" [2005-11-08 19:00]
"NvCplDaemon"="RUNDLL32.exe" [2004-08-19 10:43 C:\WINDOWS\system32\rundll32.exe]
"nwiz"="nwiz.exe" [2001-12-31 13:04 C:\WINDOWS\system32\nwiz.exe]
"NvMediaCenter"="RUNDLL32.exe" [2004-08-19 10:43 C:\WINDOWS\system32\rundll32.exe]
"QuickTime Task"="C:\Archivos de programa\QuickTime\qttask.exe" [2006-03-24 15:26]
"SpyHunter Security Suite"="C:\Archivos de programa\Enigma Software Group\SpyHunter\SpyHunter3.exe" [2007-11-30 13:47]
"SSLDyn"="C:\WINDOWS\SSLDyn.exE" [2007-12-28 17:07]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\Cur rentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-19 10:42]
[HKEY_LOCAL_MACHINE\software\microsoft\windows\curr entversion\policies\system]
"DisableCAD"= 0 (0x0)
[hkey_local_machine\software\microsoft\windows\curr entversion\explorer\shellexecutehooks]
"{1D908534-AD45-920F-AC89-4024FA9D26D1}"= C:\WINDOWS\system32\gjfhayc.dll [2004-08-04 14:16 21963]
"{C859245F-345D-BC13-AC4F-145D47DA34FC}"= C:\WINDOWS\system32\avzxlmn.dll [ ]
"{CD561258-45F3-A451-F908-A258458226DC}"= C:\WINDOWS\system32\kvdxslma.dll [2004-08-04 16:19 23483]
"{88907901-1416-3389-9981-372178569988}"= C:\WINDOWS\system32\kawdhzy.dll [2004-08-04 14:16 23983]
"{70A780F4-3C49-43B1-9A6A-C2628CB652B0}"= C:\WINDOWS\system32\ejougkmdj.dll [ ]
"{8960356A-458E-DE24-BD50-268F589A56A8}"= C:\WINDOWS\system32\avwlhmn.dll [2004-08-04 14:16 25005]
"{CC87A354-ABC3-DEDE-FF33-3213FD7447CC}"= C:\WINDOWS\system32\kvdxlma.dll [2004-08-04 14:16 22973]
"{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA}"= D:\Archivos de programa\SUPERAntiSpyware\SASSEH.DLL [2006-12-20 13:55 77824]
"{8A1247C1-53DA-FF43-ABD3-345F323A48D8}"= C:\WINDOWS\system32\avwghmn.dll [2004-08-04 16:19 24531]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\!SASWinLogon]
D:\Archivos de programa\SUPERAntiSpyware\SASWINLO.dll 2007-04-19 13:41 294912 D:\Archivos de programa\SUPERAntiSpyware\SASWINLO.dll
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Contro l\SafeBoot\Minimal\sdauxservice]
@=""
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Contro l\SafeBoot\Minimal\sdcoreservice]
@=""
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AVPSrv]
2000-12-24 20:51 17424 --a------ C:\WINDOWS\unryoj.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\cmdbcs]
C:\WINDOWS\cyatdi.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Corel Reminder]
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\crsss]
2007-12-24 17:10 27136 --------- C:\WINDOWS\system32\TxoMoU.Exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper]
2006-02-23 15:45 278528 --a------ D:\Programas\Quicktime\iTunesHelper.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Kvsc3]
2000-12-24 20:51 17968 --a------ C:\WINDOWS\ujnllf.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MsIMMs32]
2000-12-24 20:51 17827 --a------ C:\WINDOWS\plidxe.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MsPrint32D]
C:\WINDOWS\MsPrint32D.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SSLDyn]
2000-12-24 20:51 18488 --a------ C:\WINDOWS\xbvlph.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
2006-12-15 03:23 75520 --a------ C:\Archivos de programa\Java\jre1.5.0_11\bin\jusched.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\upxdnd]
C:\WINDOWS\upxdnd.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WinSysM]
2000-12-28 14:50 29537 ---hs---- C:\WINDOWS\455373M.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WinSysW]
2000-12-28 17:07 52529 ---hs---- C:\WINDOWS\455373L.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\yok.exe]
C:\Archivos de programa\yok\yok.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"5AE17966"=2 (0x2)
"iPodService"=3 (0x3)
R0 wy9jx3zg;wy9jx3z;C:\WINDOWS\system32\DRIVERS\wy9jx 3zg.sys [2004-08-19 10:42]
R2 01gceemoz;01gceemoz;C:\WINDOWS\system32\drivers\01 gceemoz.sys [2004-08-19 10:42]
R2 vnccom;vnccom;C:\WINDOWS\system32\Drivers\vnccom.S YS [2004-06-26 13:22]
R3 vncdrv;vncdrv;C:\WINDOWS\system32\DRIVERS\vncdrv.s ys [2004-06-26 13:22]
S3 rtl8029;Controlador de Windows NT del adaptador Ethernet PCI basado en Realtek RTL8029(AS);C:\WINDOWS\system32\DRIVERS\RTL8029.SY S [2001-08-17 20:12]
S3 WL;WL;C:\DOCUME~1\Presi\CONFIG~1\Temp\tmp3B0.tmp [2007-12-28 17:50]
S4 5AE17966;5AE17966;C:\WINDOWS\system32\6F7C2501.EXE []
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
MSDCOMClient32
DCOMClient64
[HKEY_CURRENT_USER\software\microsoft\windows\curre ntversion\explorer\mountpoints2\C]
\Shell\AutoRun\command - soS.Exe
\Shell\explore\Command - soS.Exe
\Shell\open\ComMand - soS.Exe
.
************************************************** ************************
catchme 0.3.1333 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2007-12-29 03:45:00
Windows 5.1.2600 Service Pack 2 NTFS
escaneando procesos ocultos ...
escaneando entradas ocultas de autostart ...
escaneando archivos ocultos ...
el escaneo se completo con exito
archivos ocultos: 0
************************************************** ************************
.
--------------------- DLLs cargados bajo los procesos en ejecuci¢n ---------------------
PROCESS: C:\WINDOWS\system32\winlogon.exe
-> C:\WINDOWS\system32\NavLogon.dll
PROCESS: C:\WINDOWS\Explorer.exe [6.00.2900.2180]
-> C:\WINDOWS\system32\kvdxslma.dll
-> C:\WINDOWS\system32\gjfhayc.dll
-> C:\WINDOWS\system32\kawdhzy.dll
-> C:\WINDOWS\system32\avwlhmn.dll
-> C:\WINDOWS\system32\kvdxlma.dll
-> C:\WINDOWS\system32\avwghmn.dll
-> C:\WINDOWS\system32\nbo7cky4.dll
-> C:\WINDOWS\system32\SSLDyn.dll
.
Tiempo completado: 2007-12-29 3:45:51 - machine was rebooted
ElPiedra 30/12/07, 20:44:55 Hola, ComboFix detecto y elimino ya algunos Malwares, pero todavía le quedaron algunas cosas para sacar siguiendo estos pasos:
1.-Abrir el Notepad (Bloc de Notas)
Ir a INICIO > EJECUTAR >
Y ahí pones notepad.exe y ACEPTAR
2.-Ahora copia y pega estos archivos dentro del Notepad
KillAll::
File::
C:\WINDOWS\system32\drivers\msconkt.sys
C:\WINDOWS\system32\mshmsdjs32.dll
C:\WINDOWS\system32\kawdhaz.exe
C:\WINDOWS\system32\REGKEY.hiv
C:\WINDOWS\jinjbb.exe
C:\WINDOWS\system32\kvdxslma.dll
C:\WINDOWS\system32\gjfhayc.dll
C:\WINDOWS\system32\kawdhzy.dll
C:\WINDOWS\system32\avwlhmn.dll
C:\WINDOWS\system32\kvdxlma.dll
C:\WINDOWS\system32\avwghmn.dll
C:\WINDOWS\system32\nbo7cky4.dll
C:\WINDOWS\system32\SSLDyn.dll
Driver::
msconkt
Registry::
[hkey_local_machine\software\microsoft\windows\curr entversion\explorer\shellexecutehooks]
"{1D908534-AD45-920F-AC89-4024FA9D26D1}"=-
"{C859245F-345D-BC13-AC4F-145D47DA34FC}"=-
"{CD561258-45F3-A451-F908-A258458226DC}"=-
"{88907901-1416-3389-9981-372178569988}"=-
"{70A780F4-3C49-43B1-9A6A-C2628CB652B0}"=-
"{8960356A-458E-DE24-BD50-268F589A56A8}"=-
"{CC87A354-ABC3-DEDE-FF33-3213FD7447CC}"=-
"{8A1247C1-53DA-FF43-ABD3-345F323A48D8}"=-
3.- Graba este archivo con el nombre CFScript.txt y déjalo en tu escritorio.
4.- Arrastrar y soltar el archivo CFScript.txt dentro del archivo ComboFix.exe como lo muestra la animación de abajo. Esto activara ComboFix nuevamente.
http://www.forospyware.com/images/adv/CFScript.gif
Reinicia tu PC y nos dejas un el nuevo reporte de ComboFix, comentándonos como esta funcionado todo actualmente?
Salu2
elale85 02/01/08, 09:38:49 Bueno... te cuento. La PC está andando mejor. Le paso muuuchos programas antispyware estando offline y el único que me sigue detectando cosas es el AdAware, que supuestamente las elimina pero al volver a pasar vuelven a aparecer una y otra vez. Pero cuando conecté a internet de nuevo se me empezaron a bajar cosas y el AVG volvió a detectar troyanos al ratito de conectarme.
Debe estar quedando algún proceso o algo que queda sin eliminar.
Te dejo el log del ComboFix haciendo lo que me pediste... se agradece MUCHO la ayuda que me estás brindando.
ComboFix 07-12-28.1 - Presi 2001-01-01 7:37:10.2 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.34.3082.18.627 [GMT -3:00]
Se ejecuta desde: C:\Documents and Settings\Presi\Escritorio\ComboFix.exe
Command switches used :: C:\Documents and Settings\Presi\Escritorio\CFScript.txt.txt
* Creado un nuevo punto de restauración
FILE
C:\WINDOWS\jinjbb.exe
C:\WINDOWS\system32\avwghmn.dll
C:\WINDOWS\system32\avwlhmn.dll
C:\WINDOWS\system32\drivers\msconkt.sys
C:\WINDOWS\system32\gjfhayc.dll
C:\WINDOWS\system32\kawdhaz.exe
C:\WINDOWS\system32\kawdhzy.dll
C:\WINDOWS\system32\kvdxlma.dll
C:\WINDOWS\system32\kvdxslma.dll
C:\WINDOWS\system32\mshmsdjs32.dll
C:\WINDOWS\system32\nbo7cky4.dll
C:\WINDOWS\system32\REGKEY.hiv
C:\WINDOWS\system32\SSLDyn.dll
.
(((((((((((((((((((((((((((((((((((( Otras eliminaciones )))))))))))))))))))))))))))))))))))))))))))))))))
.
C:\WINDOWS\Fonts\gjfeaxw.fon
C:\WINDOWS\Fonts\mswuasd.fon
C:\WINDOWS\Fonts\mswubsd.fon
C:\WINDOWS\Fonts\mszhbsd.fon
C:\WINDOWS\jinjbb.exe
C:\WINDOWS\lotushlp.exe
C:\WINDOWS\msprint32d.exe
C:\WINDOWS\system32\avwghmn.dll
C:\WINDOWS\system32\avwlhmn.dll
C:\WINDOWS\system32\avzxlmn.dll
C:\WINDOWS\system32\avzxlst.exe
C:\WINDOWS\system32\avzxmmn.dll
C:\WINDOWS\system32\avzxmst.exe
C:\WINDOWS\system32\drivers\msconkt.sys
C:\WINDOWS\system32\drivers\npf.sys
C:\WINDOWS\system32\einqxadwow.dll
C:\WINDOWS\system32\gjfhayc.dll
C:\WINDOWS\system32\ilrucfidj.dll
C:\WINDOWS\system32\kawdhaz.exe
C:\WINDOWS\system32\kawdhzy.dll
C:\WINDOWS\system32\kvdxlma.dll
C:\WINDOWS\system32\kvdxslma.dll
C:\WINDOWS\system32\LotusHlp.dll
C:\WINDOWS\system32\MsPrint32D.dll
C:\WINDOWS\system32\nbo7cky4.dll
C:\WINDOWS\system32\osxbilowow.dll
C:\WINDOWS\system32\Packet.dll
C:\WINDOWS\system32\qvbenrtdj.dll
C:\WINDOWS\system32\REGKEY.hiv
C:\WINDOWS\system32\SSLDyn.dll
C:\WINDOWS\system32\WanPacket.dll
C:\WINDOWS\system32\wpcap.dll
C:\WINDOWS\system32\wyfjsvywow.dll
C:\WINDOWS\system32\ydhltwydj.dll
.
(((((((((((((((((( Archivos creados desde 2007-11-28 - 2007-12-28 )))))))))))))))))))))))))))))))))
.
2007-12-29 03:45 . 2007-12-28 07:42 <DIR> d-------- C:\WINDOWS\system32\config\systemprofile\Configura ción local
2007-12-29 03:45 . 2007-12-28 07:42 <DIR> d-------- C:\Documents and Settings\Vero\Configuración local
2007-12-29 03:45 . 2007-12-28 07:42 <DIR> d-------- C:\Documents and Settings\Presi\Configuración local
2007-12-29 03:45 . 2007-12-28 07:42 <DIR> d-------- C:\Documents and Settings\Pablo\Configuración local
2007-12-29 03:45 . 2007-12-28 07:42 <DIR> d-------- C:\Documents and Settings\NetworkService\Configuración local
2007-12-29 03:45 . 2007-12-28 07:42 <DIR> d-------- C:\Documents and Settings\naty\Configuración local
2007-12-29 03:45 . 2007-12-28 07:42 <DIR> d-------- C:\Documents and Settings\Mariano\Configuración local
2007-12-29 03:45 . 2007-12-28 07:42 <DIR> d-------- C:\Documents and Settings\LocalService\Configuración local
2007-12-29 03:45 . 2007-12-28 07:42 <DIR> d-------- C:\Documents and Settings\LEila\Configuración local
2007-12-29 03:45 . 2007-12-28 07:42 <DIR> d-------- C:\Documents and Settings\juancarlos\Configuración local
2007-12-29 03:45 . 2007-12-28 07:42 <DIR> d-------- C:\Documents and Settings\Default User\Configuración local
2007-12-29 03:45 . 2007-12-28 07:42 <DIR> d-------- C:\Documents and Settings\Administrador\Configuración local
2007-12-26 02:09 . 2007-12-26 02:11 <DIR> d-------- C:\Documents and Settings\All Users\Datos de programa\Spybot - Search & Destroy
2007-12-25 21:50 . 2007-12-25 21:50 <DIR> d-------- C:\Documents and Settings\NetworkService\Escritorio
2007-12-25 21:49 . 2007-12-25 21:49 <DIR> dr------- C:\Documents and Settings\NetworkService\Favoritos
2007-12-25 21:49 . 2007-12-25 21:49 <DIR> d-------- C:\Documents and Settings\NetworkService\Datos de programa\Talkback
2007-12-25 21:16 . 2007-12-25 21:18 <DIR> d-------- C:\Documents and Settings\Presi\DoctorWeb
2007-12-25 20:49 . 2007-12-25 20:49 <DIR> d-------- C:\Documents and Settings\LocalService\Datos de programa\Talkback
2007-12-25 20:48 . 2007-12-25 20:48 82 --a------ C:\WINDOWS\48-12056115
2007-12-25 20:48 . 2007-12-25 20:48 68 --a------ C:\WINDOWS\system32\2e76
2007-12-25 18:34 . 2000-12-25 13:08 16,223 --a------ C:\WINDOWS\mymrsi.exe
2007-12-24 17:10 . 2000-12-24 17:11 31,792 --a------ C:\Documents and Settings\Presi\ntuser.com
2007-12-24 17:10 . 2007-12-24 17:10 27,136 --------- C:\WINDOWS\system32\TxoMoU.Exe
2007-12-09 23:01 . 2007-12-09 23:01 <DIR> d-------- C:\Archivos de programa\TSM
2007-12-09 23:01 . 2005-07-31 07:07 172,032 --a------ C:\WINDOWS\system32\OSSMTP.dll
.
(((((((((((((((((((((((((((((((((((((( Reporte Find3M )))))))))))))))))))))))))))))))))))))))))))))))))) )
.
2100-12-31 21:35 --------- d-----w C:\Documents and Settings\All Users\Datos de programa\Google Updater
2100-12-31 20:04 --------- d-----w C:\Documents and Settings\Presi\Datos de programa\Skype
2007-12-29 20:56 18,488 ----a-w C:\WINDOWS\SSLDyn.exE
2007-12-29 20:56 16,223 ----a-w C:\WINDOWS\ygosei.exe
2007-12-29 06:37 --------- d-----w C:\Archivos de programa\pknh
2007-12-28 17:49 --------- d-----w C:\Archivos de programa\Spyware Doctor
2007-12-28 10:46 --------- d---a-w C:\Documents and Settings\All Users\Datos de programa\TEMP
2007-12-28 10:45 100 ----a-w C:\WINDOWS\Fonts\avwliinc.dll
2007-12-28 10:41 377 ----a-w C:\WINDOWS\Fonts\avwghina.dll
2007-12-28 10:41 368 ----a-w C:\WINDOWS\Fonts\avzxlin.dll
2007-12-28 10:41 365 ----a-w C:\WINDOWS\Fonts\kvdxslcf.dll
2007-12-28 10:41 117 ----a-w C:\WINDOWS\Fonts\gjfhass.dll
2007-12-28 10:41 110 ----a-w C:\WINDOWS\Fonts\kvdxlcf.dll
2007-12-28 10:41 110 ----a-w C:\WINDOWS\Fonts\avzxminc.dll
2007-12-28 10:41 103 ----a-w C:\WINDOWS\Fonts\kawdhcs.dll
2007-12-28 10:41 102 ----a-w C:\WINDOWS\Fonts\avwlhin.dll
2007-12-25 12:24 53,248 -c--a-r C:\WINDOWS\0b01.exe
2007-11-05 02:06 --------- d--h--r C:\Documents and Settings\Presi\Datos de programa\SecuROM
2007-11-05 02:02 --------- d--h--w C:\Archivos de programa\InstallShield Installation Information
2007-09-04 18:49 44,224 ----a-w C:\Documents and Settings\Presi\Datos de programa\GDIPFONTCACHEV1.DAT
2006-04-26 00:20 42,800 -c--a-w C:\Documents and Settings\Mariano\Datos de programa\GDIPFONTCACHEV1.DAT
2005-12-25 02:39 133,120 ----a-w C:\WINDOWS\inf\MSLogin64.exe
2000-12-25 12:21 20 ----a-w C:\Documents and Settings\Presi\mhsha1.dat
2000-12-25 01:21 70,144 ----a-w C:\Documents and Settings\Administrador\Verify.exe
2000-12-25 01:21 20 ----a-w C:\Documents and Settings\Administrador\mhsha1.dat
2000-12-31 21:35 52,529 --sh--w C:\WINDOWS\455373L.exe
2004-08-04 21:35 527,440 --sh--w C:\WINDOWS\system32\avwlimn.dll
.
((((((((((((((((((((((((((((( snapshot@2007-12-29_ 3.45.05.57 )))))))))))))))))))))))))))))))))))))))))
.
- 2000-12-28 17:50:16 29,537 --sh--w C:\WINDOWS\455373M.exe
+ 2100-12-31 21:35:23 29,537 --sh--w C:\WINDOWS\455373M.exe
- 2000-12-28 20:07:17 48,433 --sha-w C:\WINDOWS\455373MM.DLL
+ 2000-12-31 21:35:45 48,433 --sha-w C:\WINDOWS\455373MM.DLL
- 2007-12-29 00:57:13 44,337 ----a-w C:\WINDOWS\455373WL.DLL
+ 2000-12-31 21:35:45 44,337 ----a-w C:\WINDOWS\455373WL.DLL
- 2000-12-25 11:43:19 1,038,336 ----a-r C:\WINDOWS\Installer\{DED53B0B-B67C-4244-AE6A-D6FD3C28D1EF}\Icon0E6AB9FC.exe
+ 2100-12-31 21:09:36 1,038,336 ----a-r C:\WINDOWS\Installer\{DED53B0B-B67C-4244-AE6A-D6FD3C28D1EF}\Icon0E6AB9FC.exe
- 2000-12-25 11:43:20 178,688 ----a-r C:\WINDOWS\Installer\{DED53B0B-B67C-4244-AE6A-D6FD3C28D1EF}\Icon0E6AB9FC1.exe
+ 2100-12-31 21:09:36 178,688 ----a-r C:\WINDOWS\Installer\{DED53B0B-B67C-4244-AE6A-D6FD3C28D1EF}\Icon0E6AB9FC1.exe
- 2000-12-25 11:43:19 171,008 ----a-r C:\WINDOWS\Installer\{DED53B0B-B67C-4244-AE6A-D6FD3C28D1EF}\IconDED53B0B.exe
+ 2100-12-31 21:09:36 171,008 ----a-r C:\WINDOWS\Installer\{DED53B0B-B67C-4244-AE6A-D6FD3C28D1EF}\IconDED53B0B.exe
- 2000-12-25 11:43:19 8,704 ----a-r C:\WINDOWS\Installer\{DED53B0B-B67C-4244-AE6A-D6FD3C28D1EF}\IconDED53B0B1.exe
+ 2100-12-31 21:09:36 8,704 ----a-r C:\WINDOWS\Installer\{DED53B0B-B67C-4244-AE6A-D6FD3C28D1EF}\IconDED53B0B1.exe
- 2000-12-28 20:07:03 16,514 ----a-w C:\WINDOWS\system32\avwghst.exe
+ 2100-12-31 21:35:24 16,514 ----a-w C:\WINDOWS\system32\avwghst.exe
- 2000-12-28 20:07:03 16,458 ----a-w C:\WINDOWS\system32\avwlhst.exe
+ 2000-12-29 20:57:12 16,458 ----a-w C:\WINDOWS\system32\avwlhst.exe
+ 2000-12-31 21:35:31 16,498 ----a-w C:\WINDOWS\system32\avwlist.exe
+ 2007-05-30 12:10:42 10,872 ----a-w C:\WINDOWS\system32\drivers\AvgAsCln.sys
- 2000-12-28 20:07:05 15,346 ----a-w C:\WINDOWS\system32\gjfhazc.exe
+ 2000-12-31 21:35:26 15,346 ----a-w C:\WINDOWS\system32\gjfhazc.exe
+ 2000-12-29 07:04:38 134,144 ----a-w C:\WINDOWS\system32\kevuwx.dll
- 2000-12-28 20:07:03 15,773 ----a-w C:\WINDOWS\system32\kvdxlis.exe
+ 2000-12-31 21:35:30 15,773 ----a-w C:\WINDOWS\system32\kvdxlis.exe
- 2000-12-28 20:07:03 15,487 ----a-w C:\WINDOWS\system32\kvdxslis.exe
+ 2100-12-31 21:35:23 15,487 ----a-w C:\WINDOWS\system32\kvdxslis.exe
+ 2000-12-31 21:35:29 26,112 ----a-w C:\WINDOWS\system32\lspiyc.dll
+ 2000-12-31 21:35:35 26,624 ----a-w C:\WINDOWS\system32\qnldqu.dll
.
((((((((((((((((((((((((((((((((( Cargando Puntos Reg ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Nota* entradas vac¡as & entradas leg¡timas predeterminadas no son mostradas
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-19 10:42]
"MessengerPlus3"="D:\Programas\MsnPlus\MsgPlus.exe" [2007-04-11 16:06]
"Skype"="C:\Archivos de programa\Skype\Phone\Skype.exe" [2007-02-22 23:31]
"SUPERAntiSpyware"="D:\Archivos de programa\SUPERAntiSpyware\SUPERAntiSpyware.exe" [2007-06-21 14:06]
"msnmsgr"="C:\Archivos de programa\MSN Messenger\msnmsgr.exe" [2005-12-14 01:03]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run]
"vptray"="D:\Programas\Nav\vptray.exe" [2001-09-24 07:59]
"MessengerPlus3"="D:\Programas\MsnPlus\MsgPlus.exe" [2007-04-11 16:06]
"RoxioEngineUtility"="C:\Archivos de programa\Archivos comunes\Roxio Shared\System\EngUtil.exe" [2003-02-27 05:31]
"DAEMON Tools"="D:\Programas\Daemon\DAEMON Tools\daemon.exe" [2005-11-08 19:00]
"NvCplDaemon"="RUNDLL32.exe" [2004-08-19 10:43 C:\WINDOWS\system32\rundll32.exe]
"nwiz"="nwiz.exe" [2001-12-31 13:04 C:\WINDOWS\system32\nwiz.exe]
"NvMediaCenter"="RUNDLL32.exe" [2004-08-19 10:43 C:\WINDOWS\system32\rundll32.exe]
"QuickTime Task"="C:\Archivos de programa\QuickTime\qttask.exe" [2006-03-24 15:26]
"SpyHunter Security Suite"="C:\Archivos de programa\Enigma Software Group\SpyHunter\SpyHunter3.exe" [2007-11-30 13:47]
"SSLDyn"="C:\WINDOWS\SSLDyn.exE" [2007-12-29 17:56]
"SDTray"="C:\Archivos de programa\Spyware Doctor\SDTrayApp.exe" [2007-10-02 16:27]
"LotusHlp"="C:\WINDOWS\LotusHlp.exe" []
"!AVG Anti-Spyware"="D:\Archivos de programa\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" [2007-06-11 06:25]
"WinSysM"="C:\WINDOWS\455373M.exe" [2000-12-28 07:48]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\Cur rentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-19 10:42]
[HKEY_LOCAL_MACHINE\software\microsoft\windows\curr entversion\policies\system]
"DisableCAD"= 0 (0x0)
[HKEY_CURRENT_USER\software\microsoft\windows\curre ntversion\policies\system]
"DisableRegistryTools"= 0 (0x0)
[hkey_local_machine\software\microsoft\windows\curr entversion\explorer\shellexecutehooks]
"{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA}"= D:\Archivos de programa\SUPERAntiSpyware\SASSEH.DLL [2006-12-20 13:55 77824]
"{001FAAE0-9758-4887-9755-C8761F5FDE61}"= � [ ]
"{D859245F-345D-BC13-AC4F-145D47DA34FD}"= C:\WINDOWS\system32\avzxmmn.dll [ ]
"{9960356A-458E-DE24-BD50-268F589A56A9}"= C:\WINDOWS\system32\avwlimn.dll [2004-08-04 18:35 527440]
"{8A1247C1-53DA-FF43-ABD3-345F323A48D8}"= C:\WINDOWS\system32\avwghmn.dll [2004-08-04 07:48 24531]
"{CD561258-45F3-A451-F908-A258458226DC}"= C:\WINDOWS\system32\kvdxslma.dll [2004-08-04 07:48 23483]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\!SASWinLogon]
D:\Archivos de programa\SUPERAntiSpyware\SASWINLO.dll 2007-04-19 13:41 294912 D:\Archivos de programa\SUPERAntiSpyware\SASWINLO.dll
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Contro l\SafeBoot\Minimal\sdauxservice]
@=""
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Contro l\SafeBoot\Minimal\sdcoreservice]
@=""
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AVPSrv]
2000-12-24 20:51 17424 --a------ C:\WINDOWS\unryoj.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\cmdbcs]
C:\WINDOWS\cyatdi.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Corel Reminder]
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\crsss]
2007-12-24 17:10 27136 --------- C:\WINDOWS\system32\TxoMoU.Exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper]
2006-02-23 15:45 278528 --a------ D:\Programas\Quicktime\iTunesHelper.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Kvsc3]
2000-12-24 20:51 17968 --a------ C:\WINDOWS\ujnllf.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MsIMMs32]
2000-12-24 20:51 17827 --a------ C:\WINDOWS\plidxe.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MsPrint32D]
C:\WINDOWS\MsPrint32D.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SSLDyn]
2000-12-24 20:51 18488 --a------ C:\WINDOWS\xbvlph.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
2006-12-15 03:23 75520 --a------ C:\Archivos de programa\Java\jre1.5.0_11\bin\jusched.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\upxdnd]
C:\WINDOWS\upxdnd.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WinSysM]
2000-12-28 07:48 29537 ---hs---- C:\WINDOWS\455373M.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WinSysW]
2000-12-31 18:35 52529 ---hs---- C:\WINDOWS\455373L.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\yok.exe]
C:\Archivos de programa\yok\yok.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"5AE17966"=2 (0x2)
"iPodService"=3 (0x3)
R0 wy9jx3zg;wy9jx3z;C:\WINDOWS\system32\DRIVERS\wy9jx 3zg.sys [2004-08-19 10:42]
R2 01gceemoz;01gceemoz;C:\WINDOWS\system32\drivers\01 gceemoz.sys [2004-08-19 10:42]
R2 vnccom;vnccom;C:\WINDOWS\system32\Drivers\vnccom.S YS [2004-06-26 13:22]
R3 vncdrv;vncdrv;C:\WINDOWS\system32\DRIVERS\vncdrv.s ys [2004-06-26 13:22]
S3 rtl8029;Controlador de Windows NT del adaptador Ethernet PCI basado en Realtek RTL8029(AS);C:\WINDOWS\system32\DRIVERS\RTL8029.SY S [2001-08-17 20:12]
S3 WL;WL;C:\DOCUME~1\Presi\CONFIG~1\Temp\tmp3B0.tmp []
S4 5AE17966;5AE17966;C:\WINDOWS\system32\6F7C2501.EXE []
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
MSDCOMClient32
DCOMClient64
.
************************************************** ************************
catchme 0.3.1333 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2007-12-28 07:46:02
Windows 5.1.2600 Service Pack 2 NTFS
escaneando procesos ocultos ...
escaneando entradas ocultas de autostart ...
escaneando archivos ocultos ...
C:\WINDOWS\system32\SSLDyn.dll 134144 bytes executable
C:\WINDOWS\system32\avwghmn.dll
C:\WINDOWS\system32\kvdxslma.dll 23483 bytes executable
C:\WINDOWS\system32\gdqqhxi32.dll 13558 bytes executable
el escaneo se completo con exito
archivos ocultos: 4
************************************************** ************************
[HKEY_LOCAL_MACHINE\system\ControlSet002\Services\Q QHX]
"ImagePath"="\??\C:\DOCUME~1\Presi\CONFIG~1\Temp\tmpD9.tmp"
.
--------------------- DLLs cargados bajo los procesos en ejecuci¢n ---------------------
PROCESS: C:\WINDOWS\system32\lsass.exe [5.01.2600.2180]
-> C:\Archivos de programa\Enigma Software Group\SpyHunter\SpyHunterMonitor.dll
PROCESS: C:\WINDOWS\Explorer.exe [6.00.2900.2180]
-> C:\WINDOWS\system32\avwlimn.dll
-> C:\WINDOWS\system32\SSLDyn.dll
-> C:\WINDOWS\system32\kvdxslma.dll
-> C:\WINDOWS\455373MM.DLL
-> C:\Archivos de programa\Enigma Software Group\SpyHunter\SpyHunterMonitor.dll
-> C:\WINDOWS\system32\avwghmn.dll
.
Tiempo completado: 2000-12-28 7:52:30 - machine was rebooted
C:\ComboFix2.txt ... 2007-12-29 03:45
ElPiedra 02/01/08, 22:56:59 Hola, es importante que para continuar te descargues en tu escritorio la version BETA de ComboFix.exe (http://www.forospyware.com/sUBs/Beta/ComboFix.exe) de este enlace y sigas estos pasos:
1.-Abrir el Notepad (Bloc de Notas)
Ir a INICIO > EJECUTAR >
Y ahí pones notepad.exe y ACEPTAR
2.-Ahora copia y pega estos archivos dentro del Notepad
KillAll::
File::
C:\WINDOWS\system32\drivers\msconkt.sys
C:\WINDOWS\system32\mshmsdjs32.dll
C:\WINDOWS\system32\kawdhaz.exe
C:\WINDOWS\system32\REGKEY.hiv
C:\WINDOWS\jinjbb.exe
C:\WINDOWS\mymrsi.exe
C:\Documents and Settings\Presi\ntuser.com
C:\WINDOWS\system32\TxoMoU.Exe
C:\WINDOWS\system32\OSSMTP.dll
C:\WINDOWS\455373M.exe
Folder::
C:\WINDOWS\48-12056115
C:\WINDOWS\system32\2e76
C:\Archivos de programa\TSM
NetSvc::
MSDCOMClient32
DCOMClient64
Driver::
Rootkits::
C:\WINDOWS\system32\SSLDyn.dll
C:\WINDOWS\system32\avwghmn.dll
C:\WINDOWS\system32\kvdxslma.dll
C:\WINDOWS\system32\gdqqhxi32.dll
Registry::
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run]
"WinSysM"=-
[hkey_local_machine\software\microsoft\windows\curr entversion\explorer\shellexecutehooks]
"{1D908534-AD45-920F-AC89-4024FA9D26D1}"=-
"{C859245F-345D-BC13-AC4F-145D47DA34FC}"=-
"{CD561258-45F3-A451-F908-A258458226DC}"=-
"{88907901-1416-3389-9981-372178569988}"=-
"{70A780F4-3C49-43B1-9A6A-C2628CB652B0}"=-
"{8960356A-458E-DE24-BD50-268F589A56A8}"=-
"{CC87A354-ABC3-DEDE-FF33-3213FD7447CC}"=-
"{8A1247C1-53DA-FF43-ABD3-345F323A48D8}"=-
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AVPSrv]
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\cmdbcs]
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MsIMMs32]
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MsPrint32D]
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SSLDyn]
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\upxdnd]
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WinSysM]
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WinSysW]
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\yok.exe]
3.- Graba este archivo con el nombre CFScript.txt y déjalo en tu escritorio.
4.- Arrastrar y soltar el archivo CFScript.txt dentro del archivo ComboFix.exe como lo muestra la animación de abajo. Esto activara ComboFix nuevamente.
http://www.forospyware.com/images/adv/CFScript.gif
Reinicia tu PC y nos dejas un el nuevo reporte de ComboFix, comentándonos como esta funcionado todo actualmente?
Salu2
elale85 08/01/08, 01:55:40 Bueno, no tengo suficientes teclas como para agradecer la ayuda enorme que me estás brindando.
Te cuento la situación:
En este momento no hay consecuencias visibles de ningún troyano ni similares. Al conectarme a internet ya no se empiezan a bajar muchos troyanos como pasaba antes, ni nada por el estilo.
Sin embargo, cada tanto alguno de los antispyware me detecta alguna cosilla por lo que no me siento del todo seguro como para andar metiendo contraseñas ni anda de eso por ahora.
Este es un ejemplo de lo que me detecta el programa Adaware:
http://img301.imageshack.us/img301/6085/adawareqt3.th.jpg (http://img301.imageshack.us/my.php?image=adawareqt3.jpg)
Y a continuación te dejo el reporte de lo que me habías pedido que hiciera en el post anterior.
¿Creés que todavía tenga alguna cosilla dando vueltas?
Muchas gracias de nuevo.
ComboFix 07-12-28.1 - Presi 2008-01-05 4:15:23.3 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.34.3082.18.678 [GMT -2:00]
Se ejecuta desde: C:\Documents and Settings\Presi\Escritorio\ComboFix.exe
Command switches used :: C:\Documents and Settings\Presi\Escritorio\CFScript.txt
* Creado un nuevo punto de restauración
FILE
C:\Documents and Settings\Presi\ntuser.com
C:\WINDOWS\455373M.exe
C:\WINDOWS\jinjbb.exe
C:\WINDOWS\mymrsi.exe
C:\WINDOWS\system32\drivers\msconkt.sys
C:\WINDOWS\system32\kawdhaz.exe
C:\WINDOWS\system32\mshmsdjs32.dll
C:\WINDOWS\system32\OSSMTP.dll
C:\WINDOWS\system32\REGKEY.hiv
C:\WINDOWS\system32\TxoMoU.Exe
.
The following files were disabled during the run:
C:\Archivos de programa\Enigma Software Group\SpyHunter\SpyHunterMonitor.dll
(((((((((((((((((((((((((((((((((((( Otras eliminaciones )))))))))))))))))))))))))))))))))))))))))))))))))
.
C:\Archivos de programa\TSM
C:\Archivos de programa\TSM\Mensajes\logica\background_iris.gif
C:\Archivos de programa\TSM\Mensajes\logica\bull1_iris.gif
C:\Archivos de programa\TSM\Mensajes\logica\bull2_iris.gif
C:\Archivos de programa\TSM\Mensajes\logica\bull3_iris.gif
C:\Archivos de programa\TSM\Mensajes\logica\cc-by-nc-nd-pequeño.gif
C:\Archivos de programa\TSM\Mensajes\logica\enviando.gif
C:\Archivos de programa\TSM\Mensajes\logica\enviar.htm
C:\Archivos de programa\TSM\Mensajes\logica\historia.htm
C:\Archivos de programa\TSM\Mensajes\logica\index.htm
C:\Archivos de programa\TSM\Mensajes\logica\iris1011.css
C:\Archivos de programa\TSM\Mensajes\logica\pub.htm
C:\Archivos de programa\TSM\Mensajes\tsmasistente.exe
C:\Archivos de programa\TSM\Mensajes\tsmasistente.exe.manifest
C:\Archivos de programa\TSM\Mensajes\tsmmensajes.exe
C:\Archivos de programa\TSM\Mensajes\tsmmensajes.exe.manifest
C:\Archivos de programa\TSM\Mensajes\unins000.dat
C:\Archivos de programa\TSM\Mensajes\unins000.exe
C:\WINDOWS\48-12056115\
C:\WINDOWS\system32\2e76\
C:\WINDOWS\system32\drivers\msconkt.sys
C:\WINDOWS\system32\OSSMTP.dll
C:\WINDOWS\system32\TxoMoU.Exe
.
(((((((((((((((((( Archivos creados desde 2007-12-05 - 2008-01-05 )))))))))))))))))))))))))))))))))
.
2007-12-29 04:45 . 2000-12-28 08:52 <DIR> d-------- C:\WINDOWS\system32\config\systemprofile\Configura ción local
2007-12-29 04:45 . 2000-12-28 08:52 <DIR> d-------- C:\Documents and Settings\Vero\Configuración local
2007-12-29 04:45 . 2000-12-28 08:52 <DIR> d-------- C:\Documents and Settings\Presi\Configuración local
2007-12-29 04:45 . 2000-12-28 08:52 <DIR> d-------- C:\Documents and Settings\Pablo\Configuración local
2007-12-29 04:45 . 2000-12-28 08:52 <DIR> d-------- C:\Documents and Settings\NetworkService\Configuración local
2007-12-29 04:45 . 2000-12-28 08:52 <DIR> d-------- C:\Documents and Settings\naty\Configuración local
2007-12-29 04:45 . 2000-12-28 08:52 <DIR> d-------- C:\Documents and Settings\Mariano\Configuración local
2007-12-29 04:45 . 2000-12-28 08:52 <DIR> d-------- C:\Documents and Settings\LocalService\Configuración local
2007-12-29 04:45 . 2000-12-28 08:52 <DIR> d-------- C:\Documents and Settings\LEila\Configuración local
2007-12-29 04:45 . 2000-12-28 08:52 <DIR> d-------- C:\Documents and Settings\juancarlos\Configuración local
2007-12-29 04:45 . 2000-12-28 08:52 <DIR> d-------- C:\Documents and Settings\Default User\Configuración local
2007-12-29 04:45 . 2000-12-28 08:52 <DIR> d-------- C:\Documents and Settings\Administrador\Configuración local
2007-12-28 08:46 . 2007-12-28 08:46 134,144 --a------ C:\WINDOWS\system32\SSLDyn.dll
2007-12-26 03:09 . 2007-12-26 03:11 <DIR> d-------- C:\Documents and Settings\All Users\Datos de programa\Spybot - Search & Destroy
2007-12-25 22:50 . 2007-12-25 22:50 <DIR> d-------- C:\Documents and Settings\NetworkService\Escritorio
2007-12-25 22:49 . 2007-12-25 22:49 <DIR> dr------- C:\Documents and Settings\NetworkService\Favoritos
2007-12-25 22:49 . 2007-12-25 22:49 <DIR> d-------- C:\Documents and Settings\NetworkService\Datos de programa\Talkback
2007-12-25 22:16 . 2007-12-25 22:18 <DIR> d-------- C:\Documents and Settings\Presi\DoctorWeb
2007-12-25 21:49 . 2007-12-25 21:49 <DIR> d-------- C:\Documents and Settings\LocalService\Datos de programa\Talkback
2007-12-25 21:48 . 2007-12-25 21:48 82 --a------ C:\WINDOWS\48-12056115
2007-12-25 21:48 . 2007-12-25 21:48 68 --a------ C:\WINDOWS\system32\2e76
.
(((((((((((((((((((((((((((((((((((((( Reporte Find3M )))))))))))))))))))))))))))))))))))))))))))))))))) )
.
2008-01-05 07:25 365 ----a-w C:\WINDOWS\Fonts\kvdxslcf.dll
2008-01-05 07:25 101 ----a-w C:\WINDOWS\Fonts\avwliinc.dll
2008-01-05 06:14 377 ----a-w C:\WINDOWS\Fonts\avwghina.dll
2008-01-05 06:13 --------- d---a-w C:\Documents and Settings\All Users\Datos de programa\TEMP
2008-01-05 05:49 --------- d-----w C:\Documents and Settings\All Users\Datos de programa\Google Updater
2008-01-03 15:06 --------- d-----w C:\Documents and Settings\Presi\Datos de programa\Skype
2008-01-03 11:06 --------- d-----w C:\Archivos de programa\Spyware Doctor
2007-12-29 06:37 --------- d-----w C:\Archivos de programa\pknh
2007-12-28 10:41 368 ----a-w C:\WINDOWS\Fonts\avzxlin.dll
2007-12-28 10:41 117 ----a-w C:\WINDOWS\Fonts\gjfhass.dll
2007-12-28 10:41 110 ----a-w C:\WINDOWS\Fonts\kvdxlcf.dll
2007-12-28 10:41 110 ----a-w C:\WINDOWS\Fonts\avzxminc.dll
2007-12-28 10:41 103 ----a-w C:\WINDOWS\Fonts\kawdhcs.dll
2007-12-28 10:41 102 ----a-w C:\WINDOWS\Fonts\avwlhin.dll
2007-12-25 12:24 53,248 -c--a-r C:\WINDOWS\0b01.exe
2007-11-05 02:06 --------- d--h--r C:\Documents and Settings\Presi\Datos de programa\SecuROM
2007-11-05 02:02 --------- d--h--w C:\Archivos de programa\InstallShield Installation Information
2007-09-04 18:49 44,224 ----a-w C:\Documents and Settings\Presi\Datos de programa\GDIPFONTCACHEV1.DAT
2006-04-26 00:20 42,800 -c--a-w C:\Documents and Settings\Mariano\Datos de programa\GDIPFONTCACHEV1.DAT
2000-12-25 12:21 20 ----a-w C:\Documents and Settings\Presi\mhsha1.dat
2000-12-25 01:21 70,144 ----a-w C:\Documents and Settings\Administrador\Verify.exe
2000-12-25 01:21 20 ----a-w C:\Documents and Settings\Administrador\mhsha1.dat
2004-08-04 10:48 24,531 --sh--w C:\WINDOWS\system32\avwghmn.dll
2004-08-04 21:35 527,440 --sh--w C:\WINDOWS\system32\avwlimn.dll
2004-08-04 10:48 23,483 --sh--w C:\WINDOWS\system32\kvdxslma.dll
.
((((((((((((((((((((((((((((( snapshot@2007-12-29_ 3.45.05.57 )))))))))))))))))))))))))))))))))))))))))
.
- 2000-12-28 20:07:17 48,433 --sha-w C:\WINDOWS\455373MM.DLL
+ 2000-12-28 10:48:24 48,433 --sha-w C:\WINDOWS\455373MM.DLL
- 2000-12-25 11:43:19 1,038,336 ----a-r C:\WINDOWS\Installer\{DED53B0B-B67C-4244-AE6A-D6FD3C28D1EF}\Icon0E6AB9FC.exe
+ 2100-12-31 21:09:36 1,038,336 ----a-r C:\WINDOWS\Installer\{DED53B0B-B67C-4244-AE6A-D6FD3C28D1EF}\Icon0E6AB9FC.exe
- 2000-12-25 11:43:20 178,688 ----a-r C:\WINDOWS\Installer\{DED53B0B-B67C-4244-AE6A-D6FD3C28D1EF}\Icon0E6AB9FC1.exe
+ 2100-12-31 21:09:36 178,688 ----a-r C:\WINDOWS\Installer\{DED53B0B-B67C-4244-AE6A-D6FD3C28D1EF}\Icon0E6AB9FC1.exe
- 2000-12-25 11:43:19 171,008 ----a-r C:\WINDOWS\Installer\{DED53B0B-B67C-4244-AE6A-D6FD3C28D1EF}\IconDED53B0B.exe
+ 2100-12-31 21:09:36 171,008 ----a-r C:\WINDOWS\Installer\{DED53B0B-B67C-4244-AE6A-D6FD3C28D1EF}\IconDED53B0B.exe
- 2000-12-25 11:43:19 8,704 ----a-r C:\WINDOWS\Installer\{DED53B0B-B67C-4244-AE6A-D6FD3C28D1EF}\IconDED53B0B1.exe
+ 2100-12-31 21:09:36 8,704 ----a-r C:\WINDOWS\Installer\{DED53B0B-B67C-4244-AE6A-D6FD3C28D1EF}\IconDED53B0B1.exe
+ 2000-12-31 21:35:31 16,498 ----a-w C:\WINDOWS\system32\avwlist.exe
+ 2007-05-30 12:10:42 10,872 ----a-w C:\WINDOWS\system32\drivers\AvgAsCln.sys
+ 2000-12-29 07:04:38 134,144 ----a-w C:\WINDOWS\system32\kevuwx.dll
+ 2000-12-31 21:35:29 26,112 ----a-w C:\WINDOWS\system32\lspiyc.dll
- 2007-12-28 20:31:15 39,992 ----a-w C:\WINDOWS\system32\perfc009.dat
+ 2008-01-05 06:31:09 39,992 ----a-w C:\WINDOWS\system32\perfc009.dat
- 2007-12-28 20:31:15 51,068 ----a-w C:\WINDOWS\system32\perfc00A.dat
+ 2008-01-05 06:31:09 51,068 ----a-w C:\WINDOWS\system32\perfc00A.dat
- 2007-12-28 20:31:15 311,604 ----a-w C:\WINDOWS\system32\perfh009.dat
+ 2008-01-05 06:31:09 311,604 ----a-w C:\WINDOWS\system32\perfh009.dat
- 2007-12-28 20:31:15 362,204 ----a-w C:\WINDOWS\system32\perfh00A.dat
+ 2008-01-05 06:31:09 362,204 ----a-w C:\WINDOWS\system32\perfh00A.dat
+ 2000-12-31 21:35:35 26,624 ----a-w C:\WINDOWS\system32\qnldqu.dll
- 2000-08-31 11:00:00 156,160 ----a-w C:\WINDOWS\system32\swreg.exe
+ 2000-08-31 10:00:00 156,160 ----a-w C:\WINDOWS\system32\swreg.exe
.
((((((((((((((((((((((((((((((((( Cargando Puntos Reg ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Nota* entradas vac¡as & entradas leg¡timas predeterminadas no son mostradas
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-19 11:42]
"MessengerPlus3"="D:\Programas\MsnPlus\MsgPlus.exe" [2007-04-11 17:06]
"Skype"="C:\Archivos de programa\Skype\Phone\Skype.exe" [2007-02-23 00:31]
"SUPERAntiSpyware"="D:\Archivos de programa\SUPERAntiSpyware\SUPERAntiSpyware.exe" [2007-06-21 15:06]
"msnmsgr"="C:\Archivos de programa\MSN Messenger\msnmsgr.exe" [2005-12-14 02:03]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run]
"vptray"="D:\Programas\Nav\vptray.exe" [2001-09-24 08:59]
"MessengerPlus3"="D:\Programas\MsnPlus\MsgPlus.exe" [2007-04-11 17:06]
"RoxioEngineUtility"="C:\Archivos de programa\Archivos comunes\Roxio Shared\System\EngUtil.exe" [2003-02-27 06:31]
"DAEMON Tools"="D:\Programas\Daemon\DAEMON Tools\daemon.exe" [2005-11-08 20:00]
"NvCplDaemon"="RUNDLL32.exe" [2004-08-19 11:43 C:\WINDOWS\system32\rundll32.exe]
"nwiz"="nwiz.exe" [2001-12-31 14:04 C:\WINDOWS\system32\nwiz.exe]
"NvMediaCenter"="RUNDLL32.exe" [2004-08-19 11:43 C:\WINDOWS\system32\rundll32.exe]
"QuickTime Task"="C:\Archivos de programa\QuickTime\qttask.exe" [2006-03-24 16:26]
"SpyHunter Security Suite"="C:\Archivos de programa\Enigma Software Group\SpyHunter\SpyHunter3.exe" [2007-11-30 14:47]
"!AVG Anti-Spyware"="D:\Archivos de programa\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" [2007-06-11 07:25]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\Cur rentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-19 11:42]
[HKEY_LOCAL_MACHINE\software\microsoft\windows\curr entversion\policies\system]
"DisableCAD"= 0 (0x0)
[HKEY_CURRENT_USER\software\microsoft\windows\curre ntversion\policies\system]
"DisableRegistryTools"= 0 (0x0)
[hkey_local_machine\software\microsoft\windows\curr entversion\explorer\shellexecutehooks]
"{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA}"= D:\Archivos de programa\SUPERAntiSpyware\SASSEH.DLL [2006-12-20 14:55 77824]
"{001FAAE0-9758-4887-9755-C8761F5FDE61}"= � [ ]
"{D859245F-345D-BC13-AC4F-145D47DA34FD}"= C:\WINDOWS\system32\avzxmmn.dll [ ]
"{9960356A-458E-DE24-BD50-268F589A56A9}"= C:\WINDOWS\system32\avwlimn.dll [2004-08-04 19:35 527440]
"{CD561258-45F3-A451-F908-A258458226DC}"= C:\WINDOWS\system32\kvdxslma.dll [2004-08-04 08:48 23483]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\!SASWinLogon]
D:\Archivos de programa\SUPERAntiSpyware\SASWINLO.dll 2007-04-19 14:41 294912 D:\Archivos de programa\SUPERAntiSpyware\SASWINLO.dll
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Contro l\SafeBoot\Minimal\sdauxservice]
@=""
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Contro l\SafeBoot\Minimal\sdcoreservice]
@=""
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Corel Reminder]
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\crsss]
C:\WINDOWS\system32\TxoMoU.Exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper]
2006-02-23 16:45 278528 --a------ D:\Programas\Quicktime\iTunesHelper.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Kvsc3]
2000-12-24 21:51 17968 --a------ C:\WINDOWS\ujnllf.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
2006-12-15 04:23 75520 --a------ C:\Archivos de programa\Java\jre1.5.0_11\bin\jusched.exe
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"5AE17966"=2 (0x2)
"iPodService"=3 (0x3)
R0 wy9jx3zg;wy9jx3z;C:\WINDOWS\system32\DRIVERS\wy9jx 3zg.sys [2004-08-19 11:42]
R2 01gceemoz;01gceemoz;C:\WINDOWS\system32\drivers\01 gceemoz.sys [2004-08-19 11:42]
R2 vnccom;vnccom;C:\WINDOWS\system32\Drivers\vnccom.S YS [2004-06-26 14:22]
R3 vncdrv;vncdrv;C:\WINDOWS\system32\DRIVERS\vncdrv.s ys [2004-06-26 14:22]
S3 rtl8029;Controlador de Windows NT del adaptador Ethernet PCI basado en Realtek RTL8029(AS);C:\WINDOWS\system32\DRIVERS\RTL8029.SY S [2001-08-17 21:12]
S3 WL;WL;C:\DOCUME~1\Presi\CONFIG~1\Temp\tmp3B0.tmp []
S4 5AE17966;5AE17966;C:\WINDOWS\system32\6F7C2501.EXE []
.
************************************************** ************************
catchme 0.3.1333 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-01-05 05:25:07
Windows 5.1.2600 Service Pack 2 NTFS
escaneando procesos ocultos ...
escaneando entradas ocultas de autostart ...
escaneando archivos ocultos ...
el escaneo se completo con exito
archivos ocultos: 0
************************************************** ************************
.
--------------------- DLLs cargados bajo los procesos en ejecuci¢n ---------------------
PROCESS: C:\WINDOWS\system32\winlogon.exe
-> C:\WINDOWS\system32\NavLogon.dll
PROCESS: C:\WINDOWS\Explorer.EXE [6.00.2900.2180]
-> C:\WINDOWS\system32\avwlimn.dll
-> C:\WINDOWS\system32\kvdxslma.dll
.
Tiempo completado: 2008-01-05 5:27:02 - machine was rebooted
C:\ComboFix2.txt ... 2000-12-28 08:52
C:\ComboFix3.txt ... 2007-12-29 04:45
ElPiedra 10/01/08, 00:43:45 Hola, si al parecer hay unos archivos ocultos que no salen de tu sistema a lo que te recomendaría formatear para estar seguros que puedas librarte de este malware.
De todas maneras podes probar con un escaneo con Dr.Web CureIt! (http://www.infospyware.com/Antivirus_gratis/) en modo completo a tu sistema a ver que mas puede encontrar este y con GMER Anti-Rootkit. (http://www.infospyware.com/Anti-Rootkits.htm)
Salu2
| |