| Re: NOD32 detecta Win32/Rootkit.I (troyano) Dejo mi log
Bueno hice todo lo que me dijiste, acá te pego el log que dejó el ComboFix:
ComboFix 07-07-30.2 Cita:
- "Ignacio" 2007-07-31 20:00:44.1 [GMT -4:00] - NTFS
Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.3082.18.Verdadero
* Created a new restore point
((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))
-------\LEGACY_RDRIV
((((((((((((((((((((((((( Files Created from 2007-06-28 to 2007-07-31 )))))))))))))))))))))))))))))))
2007-07-31 19:59 51,200 --a------ C:\WINDOWS\nircmd.exe
2007-07-31 18:20 <DIR> d-------- C:\DOCUME~1\ALLUSE~1\DATOSD~1\SUPERAntiSpyware.com
2007-07-31 18:19 <DIR> d-------- C:\DOCUME~1\Ignacio\DATOSD~1\SUPERAntiSpyware.com
2007-07-31 18:19 <DIR> d-------- C:\Archivos de programa\SUPERAntiSpyware
2007-07-31 18:05 <DIR> d-------- C:\Archivos de programa\CCleaner
2007-07-31 16:27 <DIR> d-------- C:\Archivos de programa\MSECache
2007-07-31 16:04 <DIR> d-------- C:\Archivos de programa\Microsoft Works
2007-07-31 15:53 <DIR> d-------- C:\WINDOWS\SHELLNEW
2007-07-31 15:52 <DIR> d-------- C:\DOCUME~1\ALLUSE~1\DATOSD~1\Microsoft Help
2007-07-31 15:51 <DIR> dr-h----- C:\MSOCache
2007-07-31 15:34 <DIR> d-------- C:\Archivos de programa\PowerISO
2007-07-31 10:30 <DIR> d-------- C:\DOCUME~1\Ignacio\DATOSD~1\Sports Interactive
2007-07-31 09:43 <DIR> d-------- C:\Archivos de programa\Sports Interactive
2007-07-30 18:31 1,368,112 --a------ C:\WINDOWS\vncvnc.exe
2007-07-30 17:40 512,096 --a------ C:\WINDOWS\system32\drivers\amon.sys
2007-07-30 17:40 299,392 --a------ C:\WINDOWS\system32\imon.dll
2007-07-30 17:40 15,424 --a------ C:\WINDOWS\system32\drivers\nod32drv.sys
2007-07-30 17:28 <DIR> d-------- C:\DOCUME~1\ALLUSE~1\DATOSD~1\Lavasoft
2007-07-30 15:03 <DIR> d-------- C:\Archivos de programa\Trend Micro
2007-07-30 14:42 <DIR> d-------- C:\Archivos de programa\FileASSASSIN
2007-07-30 14:38 <DIR> d-------- C:\DOCUME~1\ALLUSE~1\DATOSD~1\Spybot - Search & Destroy
2007-07-30 14:38 <DIR> d-------- C:\Archivos de programa\Lavasoft
2007-07-30 14:16 <DIR> d-------- C:\Archivos de programa\Microsoft CAPICOM 2.1.0.2
2007-07-30 14:02 <DIR> d-------- C:\WINDOWS\system32\es-es
2007-07-30 13:42 <DIR> d-------- C:\WINDOWS\network diagnostic
2007-07-30 11:55 <DIR> d-------- C:\Archivos de programa\MSXML 4.0
2007-07-30 11:15 6,550 --a------ C:\WINDOWS\jautoexp.dat
2007-07-30 11:15 46,352 --a------ C:\WINDOWS\setdebug.exe
2007-07-30 11:15 139,536 --a------ C:\WINDOWS\system32\javaee.dll
2007-07-30 11:14 113 --a------ C:\WINDOWS\system32\zonedon.reg
2007-07-30 11:14 113 --a------ C:\WINDOWS\system32\zonedoff.reg
2007-07-29 23:47 <DIR> d-------- C:\Archivos de programa\Winamp
2007-07-29 23:45 <DIR> d-------- C:\DOCUME~1\Ignacio\DATOSD~1\WinRAR
2007-07-29 23:33 271,224 --a------ C:\WINDOWS\system32\mucltui.dll
2007-07-29 23:32 <DIR> d-------- C:\DOCUME~1\LOCALS~1\Men£ Inicio
2007-07-29 23:31 <DIR> d-------- C:\WINDOWS\Prefetch
2007-07-29 22:59 <DIR> d-------- C:\Archivos de programa\messenger
2007-07-29 22:58 95,424 --------- C:\WINDOWS\system32\drivers\slnthal.sys
2007-07-29 22:58 9,728 --------- C:\WINDOWS\system32\proxycfg.exe
2007-07-29 22:58 870,784 --------- C:\WINDOWS\system32\ati3d1ag.dll
2007-07-29 22:58 86,016 --------- C:\WINDOWS\system32\mdmxsdk.dll
2007-07-29 22:58 78,464 --------- C:\WINDOWS\system32\drivers\usbvideo.sys
2007-07-29 22:58 78,336 --a------ C:\WINDOWS\system32\ieencode.dll
2007-07-29 22:58 73,216 --------- C:\WINDOWS\system32\drivers\atintuxx.sys
2007-07-29 22:58 71,680 --------- C:\WINDOWS\system32\blastcln.exe
2007-07-29 22:58 701,440 --------- C:\WINDOWS\system32\drivers\ati2mtag.sys
2007-07-29 22:58 7,680 --------- C:\WINDOWS\system32\kbdsmsno.dll
2007-07-29 22:58 7,680 --------- C:\WINDOWS\system32\kbdsmsfi.dll
2007-07-29 22:58 7,168 --------- C:\WINDOWS\system32\kbdukx.dll
2007-07-29 22:58 7,168 --------- C:\WINDOWS\system32\kbdno1.dll
2007-07-29 22:58 7,168 --------- C:\WINDOWS\system32\kbdfi1.dll
2007-07-29 22:58 685,056 --------- C:\WINDOWS\system32\drivers\hsfcxts2.sys
2007-07-29 22:58 67,584 --------- C:\WINDOWS\system32\drivers\sdbus.sys
2007-07-29 22:58 63,663 --------- C:\WINDOWS\system32\drivers\ati1rvxx.sys
2007-07-29 22:58 63,488 --------- C:\WINDOWS\system32\drivers\atinxsxx.sys
2007-07-29 22:58 61,952 --------- C:\WINDOWS\system32\logman.exe
2007-07-29 22:58 60,416 --------- C:\WINDOWS\system32\fwcfg.dll
2007-07-29 22:58 6,656 --------- C:\WINDOWS\system32\kbdinmal.dll
2007-07-29 22:58 6,656 --------- C:\WINDOWS\system32\kbdinben.dll
2007-07-29 22:58 6,144 --------- C:\WINDOWS\system32\kbdmlt48.dll
2007-07-29 22:58 6,144 --------- C:\WINDOWS\system32\kbdmlt47.dll
2007-07-29 22:58 6,144 --------- C:\WINDOWS\system32\kbdinbe1.dll
2007-07-29 22:58 6,016 --------- C:\WINDOWS\system32\drivers\smbali.sys
2007-07-29 22:58 59,648 --------- C:\WINDOWS\system32\drivers\rfcomm.sys
2007-07-29 22:58 57,856 --------- C:\WINDOWS\system32\drivers\atinbtxx.sys
2007-07-29 22:58 56,623 --------- C:\WINDOWS\system32\drivers\ati1btxx.sys
2007-07-29 22:58 52,736 --------- C:\WINDOWS\system32\mspmsnsv.dll
2007-07-29 22:58 52,224 --------- C:\WINDOWS\system32\drivers\atinraxx.sys
2007-07-29 22:58 516,768 --------- C:\WINDOWS\system32\ativvaxx.dll
2007-07-29 22:58 50,688 --------- C:\WINDOWS\system32\btpanui.dll
2007-07-29 22:58 5,632 --------- C:\WINDOWS\system32\kbdmaori.dll
2007-07-29 22:58 46,464 --------- C:\WINDOWS\system32\drivers\gagp30kx.sys
2007-07-29 22:58 452,736 --------- C:\WINDOWS\system32\drivers\mtxparhm.sys
2007-07-29 22:58 44,928 --------- C:\WINDOWS\system32\drivers\agpcpq.sys
2007-07-29 22:58 44,672 --------- C:\WINDOWS\system32\drivers\uagp35.sys
2007-07-29 22:58 43,008 --------- C:\WINDOWS\system32\drivers\amdagp.sys
2007-07-29 22:58 42,752 --------- C:\WINDOWS\system32\drivers\alim1541.sys
2007-07-29 22:58 42,368 --------- C:\WINDOWS\system32\drivers\agp440.sys
2007-07-29 22:58 42,240 --------- C:\WINDOWS\system32\drivers\viaagp.sys
2007-07-29 22:58 41,088 --------- C:\WINDOWS\system32\drivers\sisagp.sys
2007-07-29 22:58 404,990 --------- C:\WINDOWS\system32\drivers\slntamr.sys
2007-07-29 22:58 40,320 --------- C:\WINDOWS\system32\drivers\intelppm.sys
2007-07-29 22:58 4,255 --------- C:\WINDOWS\system32\drivers\adv01nt5.dll
2007-07-29 22:58 384,512 --------- C:\WINDOWS\system32\mp4sdmod.dll
2007-07-29 22:58 38,016 --------- C:\WINDOWS\system32\drivers\bthmodem.sys
2007-07-29 22:58 377,984 --------- C:\WINDOWS\system32\ati2dvaa.dll
2007-07-29 22:58 36,463 --------- C:\WINDOWS\system32\drivers\ati1tuxx.sys
2007-07-29 22:58 35,456 --------- C:\WINDOWS\system32\drivers\bthprint.sys
2007-07-29 22:58 34,735 --------- C:\WINDOWS\system32\drivers\ati1xsxx.sys
2007-07-29 22:58 327,168 --------- C:\WINDOWS\system32\drivers\ati2mtaa.sys
2007-07-29 22:58 32,768 --------- C:\WINDOWS\system32\ativtmxx.dll
2007-07-29 22:58 32,285 --------- C:\WINDOWS\system32\hsfcisp2.dll
2007-07-29 22:58 310,272 --------- C:\WINDOWS\system32\mp43dmod.dll
2007-07-29 22:58 31,744 --------- C:\WINDOWS\system32\drivers\atinxbxx.sys
2007-07-29 22:58 30,671 --------- C:\WINDOWS\system32\drivers\ati1raxx.sys
2007-07-29 22:58 30,208 --------- C:\WINDOWS\system32\bthserv.dll
2007-07-29 22:58 30,080 --------- C:\WINDOWS\system32\drivers\rndismpx.sys
2007-07-29 22:58 3,967 --------- C:\WINDOWS\system32\drivers\adv02nt5.dll
2007-07-29 22:58 3,901 --------- C:\WINDOWS\system32\drivers\siint5.dll
2007-07-29 22:58 3,775 --------- C:\WINDOWS\system32\drivers\adv11nt5.dll
(((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))) ))
2007-07-31 09:41 --------- d-------- C:\Archivos de programa\Archivos comunes\InstallShield
2007-07-30 14:36 51068 --a------ C:\WINDOWS\system32\perfc00A.dat
2007-07-30 14:36 362204 --a------ C:\WINDOWS\system32\perfh00A.dat
2007-07-29 22:57 --------- d-------- C:\Archivos de programa\Movie Maker
2007-07-29 22:45 --------- d-------- C:\Archivos de programa\Windows NT
2007-05-16 11:12 683520 --a------ C:\WINDOWS\system32\inetcomm.dll
((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
*Note* empty entries & legit default entries are not shown
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run]
"MagicKey"="C:\ARCHIV~1\MEDIAK~1\MagicKey.exe" [2004-03-15 13:27]
"HP Component Manager"="C:\Archivos de programa\HP\hpcoretech\hpcmpmgr.exe" [2003-12-22 08:38]
"HP Software Update"="C:\Archivos de programa\Hewlett-Packard\HP Software Update\HPWuSchd2.exe" [2004-02-18 13:55]
"Adobe Photo Downloader"="C:\Archivos de programa\Adobe\Photoshop Album Starter Edition\3.2\Apps\apdproxy.exe" [2007-03-09 11:09]
"Adobe Reader Speed Launcher"="C:\Archivos de programa\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2007-05-11 03:06]
"Microsoft Directxsp"="directxbt.exe" []
"WinampAgent"="C:\Archivos de programa\Winamp\winampa.exe" [2007-05-14 18:22]
"nod32kui"="C:\Archivos de programa\Eset\nod32kui.exe" [2007-07-30 17:40]
"PWRISOVM.EXE"="C:\Archivos de programa\PowerISO\PWRISOVM.EXE" [2007-04-09 08:23]
"GrooveMonitor"="C:\Archivos de programa\Microsoft Office\Office12\GrooveMonitor.exe" [2006-10-27 00:47]
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\Run]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-19 15:42]
"SUPERAntiSpyware"="C:\Archivos de programa\SUPERAntiSpyware\SUPERAntiSpyware.exe" [2007-02-27 11:39]
[HKEY_LOCAL_MACHINE\software\microsoft\windows\curr entversion\runservices]
"Microsoft Directxsp"=directxbt.exe
"Iexplore Data2 Center10"=C:\WINDOWS\system32\firestore2.exe
[HKEY_USERS\.default\software\microsoft\windows\cur rentversion\runservices]
"Microsoft Directxsp"=directxbt.exe
[HKEY_USERS\.default\software\microsoft\windows\cur rentversion\run]
"Microsoft Directxsp"=directxbt.exe
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Explorer\ShellExecuteHooks]
"{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA}"= C:\Archivos de programa\SUPERAntiSpyware\SASSEH.DLL [2006-12-20 12:55 77824]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\!SASWinLogon]
C:\Archivos de programa\SUPERAntiSpyware\SASWINLO.dll 2007-02-27 11:39 282624 C:\Archivos de programa\SUPERAntiSpyware\SASWINLO.dll
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Contro l\SafeBoot\Minimal\aawservice]
@="Service"
R1 nod32drv;nod32drv;C:\WINDOWS\system32\drivers\nod3 2drv.sys
R1 SASDIFSV;SASDIFSV;\??\C:\Archivos de programa\SUPERAntiSpyware\SASDIFSV.SYS
R1 SASKUTIL;SASKUTIL;\??\C:\Archivos de programa\SUPERAntiSpyware\SASKUTIL.sys
R1 SCDEmu;SCDEmu;C:\WINDOWS\system32\drivers\SCDEmu.s ys
R2 UxTuneUp;Ampliaci¢n del dise¤o de TuneUp;C:\WINDOWS\System32\svchost.exe -k netsvcs
R2 virus1;changeme1;"C:\WINDOWS\pstore1.exe"
R3 FETNDIS;VIA Rhine Family Fast Ethernet Adapter Driver;C:\WINDOWS\system32\DRIVERS\fetnd5b.sys
R3 SASENUM;SASENUM;\??\C:\Archivos de programa\SUPERAntiSpyware\SASENUM.SYS
S3 Microsoft Office Groove Audit Service;Microsoft Office Groove Audit Service;"C:\Archivos de programa\Microsoft Office\Office12\GrooveAuditService.exe"
S3 msdirectxsp;msdirectxsp;\??\C:\WINDOWS\system32\ms directxsp.sys
S3 odserv;Microsoft Office Diagnostics Service;"C:\Archivos de programa\Archivos comunes\Microsoft Shared\OFFICE12\ODSERV.EXE"
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
UxTuneUp
*Newly Created Service* - SASDIFSV
Contents of the 'Scheduled Tasks' folder
2007-07-30 00:15:56 C:\WINDOWS\Tasks\Mantenimiento con 1 clic.job - C:\Archivos de programa\TuneUp Utilities 2007\SystemOptimizer.exe
************************************************** **********
catchme 0.3.1061 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2007-07-31 20:09:03
Windows 5.1.2600 Service Pack 2 NTFS
scanning hidden processes ...
scanning hidden registry entries ...
scanning hidden files ...
scan completed successfully
hidden files: 0
************************************************** **
Completion time: 2007-07-31 20:13:58 - machine was rebooted
C:\ComboFix-quarantined-files.txt ... 2007-07-31 20:13
--- E O F ---
| Y esto: Cita: Código: 2007-07-31 20:05 280 --a------ C:\Qoobox\Quarantine\Registry_backups\LEGACY_RDRIV.reg.cf
Listado de rutas de carpetas
El n£mero de serie del volumen es D0AB-0B1E
C:\QOOBOX
\---Quarantine
\---Registry_backups
LEGACY_RDRIV.reg.cf
| Igual lo reinicié y me sigue saliendo la misma pantalla de alerta de NOD32 detectando Win32/Rootkit. I.
Qué hago? 
PS: Hice un Scanner con el NOD32 2.7 y me reconoció el virus, me ofrece borrarlo, pero no estoy seguro, quizá sea un archivo importante..
PS 2: Sorry que sea tan n00b, pero qué es el pstore1.exe? pregunté en otro subforo pero me cerraron el tema..
Última edición por nachomuska fecha: 01/08/07 a las 19:28:35.
|
30/07/07, 16:36:17
Temas Similares 
