Foro de InfoSpyware - Foro de Hijackthis - Foro de Virus

Hola!!! Pues visto que tienes el sistema operativo dañado y al no ser tu Windows original no te queda otra que recurrir a una restauración del sistema o al formateo.


Saludos y buena suerte

Bueno, acabo de ver otro post donde decian eliminar el archivo poison.sys de la carpeta system32, lo acabo de hacer y masomenos esta solucionado, ya que solo me aparecen los zumbidos y se abre la ventana de mandar archivos, pero el c:\foto_celular ya no esta en la PC, y no se regenera, alguna idea?

Hola!!! ¿Podías haber avisado de que sólo te quedaba el rootkit? . Si encima de que te intentamos ayudar no colaboras nos lo pones aún más difícil. Regenerarse a no ser de que vuelvas a bajarte el archivo no tiene por qué pasar.

Si no tienes más dudas, damos el tema por cerrado.



Saludos

Les estuve diciendo varias veces, pero al parecer no m entendieron, recien hace poco borre el poison sys, el archivo no se regenera, pero sigue mandando zumbidos y tratando de mandar archivos inexistenntes....

Hola nuevamente!!! Bueno no pasa nada. A lo que vamos mira este enlace y sigue las instrucciones de este http://www.forospyware.com/t107232.html y nos pegas los logs que te generen. La herramienta que, sobre todo, has de ejecutar es el ComboFix.



Saludos y suerte

Bueno, hice todas las instrucciones (el archivo poison.sys de la carpetaa system 32 volió a aparecer y lo mismo pasó con el foto_celular) y este es el log:
(Queria destacar el hecho de que Restaurar Sistema vuelve a activarse solo en ciertos momentos, como cuando reinicio la PC en modo normal, o cuando paso el Elistara)
ComboFix 07-08-17.2 - "Gast¢n" 2007-08-23 20:19:43.3 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.34.3082.18.151 [GMT -3:00]


((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))


C:\foto_celular.scr
C:\foto_celular.zip
C:\WINDOWS\system32\dllcache\klog.dat
C:\WINDOWS\system32\oddysee.exe


((((((((((((((((((((((((( Files Created from 2007-07-23 to 2007-08-23 )))))))))))))))))))))))))))))))


2007-08-23 20:24 23,552 --a--c--- C:\Foto_celular.scr
2007-08-23 20:11 30,720 --a------ C:\WINDOWS\system32\oddysee.exe
2007-08-23 20:11 23,552 --a------ C:\WINDOWS\system32\poison.sys
2007-08-23 19:55 51,200 --a------ C:\WINDOWS\nircmd.exe
2007-08-22 18:25 <DIR> d-------- C:\WINDOWS\system32\ActiveScan
2007-08-22 18:20 <DIR> d----c--- C:\Muestras
2007-08-22 18:12 <DIR> d----c--- C:\BackUpMsnCleaner
2007-08-22 02:14 <DIR> d----c--- C:\Archivos de programa\Windows Live
2007-08-22 02:14 <DIR> d----c--- C:\Archivos de programa\Messenger Plus! Live
2007-08-22 02:11 <DIR> d----c--- C:\Archivos de programa\MSN Messenger
2007-08-22 02:07 <DIR> d----c--- C:\Archivos de programa\MessengerPlus! 3
2007-08-21 00:18 <DIR> d--h----- C:\WINDOWS\system32\GroupPolicy
2007-08-20 21:04 <DIR> d----c--- C:\Archivos de programa\SpywareBlaster
2007-08-20 19:41 <DIR> d----c--- C:\Archivos de programa\SUPERAntiSpyware
2007-08-20 19:40 <DIR> d-------- C:\Archivos de programa\Archivos comunes\Wise Installation Wizard
2007-08-16 18:10 643,072 --a------ C:\WINDOWS\system32\DVDProX2.dll
2007-08-16 17:51 165,405 --a------ C:\WINDOWS\Video Cleaner Uninstaller.exe
2007-08-16 17:51 <DIR> d-------- C:\Archivos de programa\Archivos comunes\River Past
2007-08-16 17:47 86,016 --a------ C:\WINDOWS\system32\dpl100.dll
2007-08-16 17:47 593,920 --a------ C:\WINDOWS\system32\dpuGUI11.dll
2007-08-16 17:47 57,344 --a------ C:\WINDOWS\system32\dpv11.dll
2007-08-16 17:47 3,596,288 --a------ C:\WINDOWS\system32\qt-dx331.dll
2007-08-16 17:47 294,912 --a------ C:\WINDOWS\system32\dpu11.dll
2007-08-16 17:47 200,704 --a------ C:\WINDOWS\system32\ssldivx.dll
2007-08-16 17:47 200,704 --a------ C:\WINDOWS\system32\dtu100.dll
2007-08-16 17:47 1,044,480 --a------ C:\WINDOWS\system32\libdivx.dll
2007-08-16 17:36 5,600 --a------ C:\WINDOWS\system\WINASPI.DLL
2007-08-16 17:36 45,056 --a------ C:\WINDOWS\system32\wnaspi32.dll
2007-08-16 17:36 4,672 --a------ C:\WINDOWS\system\WOWPOST.EXE
2007-08-16 17:36 16,512 --a------ C:\WINDOWS\system32\drivers\aspi32.sys
2007-08-13 04:46 65,536 --a------ C:\WINDOWS\system32\E_S00RP1.EXE
2007-08-13 04:46 122,880 --a------ C:\WINDOWS\system32\SAgent4.exe
2007-08-11 15:27 47,360 --a------ C:\WINDOWS\system32\drivers\pcouffin.sys
2007-08-11 15:27 217,127 --a------ C:\WINDOWS\system32\drv43260.dll
2007-08-11 15:27 208,935 --a------ C:\WINDOWS\system32\drv33260.dll
2007-08-11 15:27 176,165 --a------ C:\WINDOWS\system32\drv23260.dll
2007-08-11 15:27 <DIR> d-------- C:\Archivos de programa\VSO
2007-08-11 15:04 <DIR> d-------- C:\Archivos de programa\Elaborate Bytes
2007-08-10 01:08 <DIR> d-------- C:\Archivos de programa\MySpace
2007-08-08 17:19 446,464 --a------ C:\WINDOWS\system32\downenginesdk.dll
2007-08-07 21:06 58,952 --a------ C:\WINDOWS\system32\MsgPlusLoader.dll
2007-08-02 10:55 <DIR> d-------- C:\Archivos de programa\Google
2007-08-01 18:38 25,544 --a------ C:\WINDOWS\system32\drivers\ElbyCDIO.sys
2007-07-29 10:36 <DIR> d-------- C:\Archivos de programa\FreeRIP3
2007-07-29 09:54 <DIR> d-------- C:\WINDOWS\Prefetch
2007-07-29 09:39 27,165 --a------ C:\WINDOWS\system32\drivers\fetnd5.sys
2007-07-29 09:26 24,661 --a------ C:\WINDOWS\system32\spxcoins.dll
2007-07-29 09:26 13,312 --a------ C:\WINDOWS\system32\irclass.dll
2007-07-27 17:01 <DIR> d-------- C:\WINDOWS\Downloaded Installations
2007-07-26 10:18 <DIR> d-------- C:\Archivos de programa\AltoMP3 Maker


(((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))) ))

2007-08-23 18:48 --------- d-------- C:\Archivos de programa\YVD
2007-08-23 18:48 --------- d-------- C:\Archivos de programa\XviD
2007-08-23 18:48 --------- d-------- C:\Archivos de programa\Windows NT
2007-08-23 18:47 --------- d-------- C:\Archivos de programa\Usb to Serial Driver 1.12.25
2007-08-23 18:47 --------- d-------- C:\Archivos de programa\SMSFull
2007-08-23 18:47 --------- d-------- C:\Archivos de programa\Smart Panel
2007-08-23 18:45 --------- d-------- C:\Archivos de programa\QuickTime
2007-08-23 18:43 --------- d-------- C:\Archivos de programa\PluginLetras
2007-08-23 18:43 --------- d-------- C:\Archivos de programa\Online Services
2007-08-23 18:41 --------- d-------- C:\Archivos de programa\Movie Maker
2007-08-23 18:41 --------- d-------- C:\Archivos de programa\Motorola Phone Tools
2007-08-23 18:39 --------- d-------- C:\Archivos de programa\Microsoft Works
2007-08-23 18:27 --------- d-------- C:\Archivos de programa\Messenger
2007-08-23 18:27 --------- d-------- C:\Archivos de programa\MegauploadToolbar
2007-08-23 18:26 --------- d-------- C:\Archivos de programa\Lightwave
2007-08-23 18:25 --------- d-------- C:\Archivos de programa\K-Lite Codec Pack
2007-08-23 18:21 --------- d-------- C:\Archivos de programa\FileASSASSIN
2007-08-23 18:17 --------- d-------- C:\Archivos de programa\DVD Shrink
2007-08-23 18:17 --------- d-------- C:\Archivos de programa\DVD Decrypter
2007-08-23 18:17 --------- d-------- C:\Archivos de programa\Disk Cleaner
2007-08-23 17:46 --------- d-------- C:\Archivos de programa\Combined Community Codec Pack
2007-08-23 17:45 --------- d-------- C:\Archivos de programa\CDex_150
2007-08-23 17:45 --------- d-------- C:\Archivos de programa\CCleaner
2007-08-23 17:45 --------- d-------- C:\Archivos de programa\Avanquest update
2007-08-23 17:45 --------- d-------- C:\Archivos de programa\Ares
2007-08-23 17:41 --------- d-------- C:\Archivos de programa\Archivos comunes\DAZ
2007-08-23 17:38 --------- d-------- C:\Archivos de programa\amsn
2007-08-23 17:35 --------- d----c--- C:\Archivos de programa\7-Zip
2007-08-23 14:44 2150912 --a------ C:\WINDOWS\system32\ntoskrnl.vir
2007-08-22 20:14 --------- d-------- C:\DOCUME~1\GASTN~1\DATOSD~1\uTorrent
2007-08-22 20:14 --------- d-------- C:\DOCUME~1\GASTN~1\DATOSD~1\Skype
2007-08-22 20:14 --------- d-------- C:\DOCUME~1\GASTN~1\DATOSD~1\MegauploadToolbar
2007-08-22 20:14 --------- d-------- C:\DOCUME~1\GASTN~1\DATOSD~1\Media Player Classic
2007-08-20 19:41 --------- d-------- C:\DOCUME~1\GASTN~1\DATOSD~1\SUPERAntiSpyware.com
2007-08-12 13:56 12464 --a------ C:\WINDOWS\system32\drivers\secdrv.sys
2007-08-08 12:44 65536 --a------ C:\WINDOWS\IFinst27.exe
2007-08-02 13:35 --------- d-------- C:\DOCUME~1\GASTN~1\DATOSD~1\Google
2007-07-30 19:19 92504 --a------ C:\WINDOWS\system32\cdm.dll
2007-07-30 19:19 549720 --a------ C:\WINDOWS\system32\wuapi.dll
2007-07-30 19:19 53080 --a------ C:\WINDOWS\system32\wuauclt.exe
2007-07-30 19:19 43352 --a------ C:\WINDOWS\system32\wups2.dll
2007-07-30 19:19 325976 --a------ C:\WINDOWS\system32\wucltui.dll
2007-07-30 19:19 203096 --a------ C:\WINDOWS\system32\wuweb.dll
2007-07-30 19:19 1712984 --a------ C:\WINDOWS\system32\wuaueng.dll
2007-07-30 19:18 33624 --a------ C:\WINDOWS\system32\wups.dll
2007-07-22 14:12 --------- d-------- C:\Archivos de programa\Windows Media Connect 2
2007-07-21 21:56 --------- d-------- C:\Archivos de programa\DIGITALIC
2007-07-20 08:32 93128 --a------ C:\WINDOWS\system32\ElbyCDIO.dll
2007-07-03 07:29 425984 -ra------ C:\WINDOWS\system32\nowdownloader.exe
2007-07-02 09:55 55949 --a------ C:\WINDOWS\system32\x264-uninstall.exe
2007-07-02 01:02 --------- d-------- C:\Archivos de programa\AVI Codec Pack
2007-06-24 13:50 --------- d--h----- C:\Archivos de programa\InstallShield Installation Information
2007-06-24 13:50 --------- d-------- C:\Archivos de programa\Philips
2007-06-22 22:40 --------- d-------- C:\DOCUME~1\GASTN~1\DATOSD~1\Apple Computer
2007-06-06 11:02 56 --ahsc--- C:\redir.sys
2007-05-23 13:43 1682 --ahs---- C:\WINDOWS\system32\KGyGaAvL.sys
2001-11-23 01:08 712704 -ra------ C:\WINDOWS\inf\OTHER\AUDIO3D.DLL
--------- C:\Archivos de programa\Servicios en línea


((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))


*Note* empty entries & legit default entries are not shown

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-19 10:42]
"swg"="C:\Archivos de programa\Google\GoogleToolbarNotifier\GoogleToolba rNotifier.exe" [2007-08-02 12:20]
"SUPERAntiSpyware"="C:\Archivos de programa\SUPERAntiSpyware\SUPERAntiSpyware.exe" [2007-08-22 16:57]

[HKEY_USERS\.default\software\microsoft\windows\cur rentversion\run]
"MySpaceIM"=C:\Archivos de programa\MySpace\IM\MySpaceIM.exe

C:\Documents and Settings\All Users\Men£ Inicio\Programas\Inicio\
Adobe Gamma.lnk - C:\Archivos de programa\Archivos comunes\Adobe\Calibration\Adobe Gamma Loader.exe [2005-03-16 20:16:50]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Explorer\ShellExecuteHooks]
"{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA}"= C:\Archivos de programa\SUPERAntiSpyware\SASSEH.DLL [2006-12-20 12:55 77824]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\!SASWinLogon]
C:\Archivos de programa\SUPERAntiSpyware\SASWINLO.DLL 2007-08-22 16:57 294912 C:\Archivos de programa\SUPERAntiSpyware\SASWINLO.DLL

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Contro l\SafeBoot\Minimal\sglfb.sys]
@="Driver"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Contro l\SafeBoot\Minimal\tga.sys]
@="Driver"

R0 klick;klick;C:\WINDOWS\system32\Drivers\klick.sys
R0 klin;klin;C:\WINDOWS\system32\Drivers\klin.sys
R0 viamraid;viamraid;C:\WINDOWS\system32\DRIVERS\viam raid.sys
R1 Klmc;Klmc;C:\WINDOWS\system32\drivers\klmc.sys
R3 FETNDIS;Controlador para NT del adaptador Fast Ethernet VIA PCI 10/100Mb;C:\WINDOWS\system32\DRIVERS\fetnd5.sys
R3 ids00196;ids00196;\??\C:\Documents and Settings\All Users\Datos de programa\Kaspersky Anti-Virus Personal\5.0\bases\ids00196.sys
R3 klstm;klstm;\??\C:\Documents and Settings\All Users\Datos de programa\Kaspersky Anti-Virus Personal\5.0\bases\klstm.sys
S3 ids00026;ids00026;\??\C:\Documents and Settings\All Users\Datos de programa\Kaspersky Anti-Virus Personal\5.0\bases\ids00026.sys
S3 Oddysee;Oddysee;\??\C:\WINDOWS\system32\ntoskrnl.e xe:kernel
S4 axsaki;axsaki;C:\WINDOWS\system32\DRIVERS\axsaki.s ys


[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{F9E9A340-D1F1-11D0-821E-POISONIVY2007}]
C:\WINDOWS\system32\dllcache\Barney.exe s

************************************************** ************************

catchme 0.3.1061 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2007-08-23 20:24:50
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...


scan completed successfully
hidden files: 2336

************************************************** ************************

[HKEY_LOCAL_MACHINE\system\ControlSet001\Services\O ddysee]
"ImagePath"="\??\C:\WINDOWS\system32\ntoskrnl.exe: kernel"

Completion time: 2007-08-23 20:26:03 - machine was rebooted
C:\ComboFix-quarantined-files.txt ... 2007-08-23 20:25
C:\ComboFix2.txt ... 2007-08-23 20:12
C:\ComboFix3.txt ... 2007-08-23 20:01

--- E O F ---

Hola, ¿siguen reapareciéndote los malwares tras escanear con ComboFix?
En caso afirmativo, deberás esperar a ver qué dicen las demás personas con respecto a tu problema. Sería bueno que lanzaras tb el Hijackthis y pegases el log para que te lo analizasen en el foro de hijack que hay disponible en infospyware.



Saludos y suerte

entonces es mejor k descargues el mcaffe rootki detective i nos cuentas tus resultados i seria mejor k tu windows lo cambies xk kizas el problema sea del CD de instalacion del windows falso

Ya pasé el anti-rootkit y pasa lo mismo de siempre, reinicio y los rootkit estan de vuelta en la PC...
Estos son los root-kit:
C:\WINDOWS\system32\ntoskrnl.exe:kernel:
C:\WINDOWS\system32\dllcache\explorer.exe
C:\WINDOWS\explorer.exe

Mientras tanto, el oddysee y el poison siguen regenerandose, así como el foto_celular...

entonces tienes k eliminar el odysse i el poison xra k no regenere mas