Foro de InfoSpyware - Foro de Hijackthis - Foro de Virus

Hola.

Soy nuevo en este foro, pero he leido muchas ayudas vuestras, y me acaba de surgir un problema que espero que vosotros me podáis solucionar.

Veréis, hoy le he hecho una revisión a mi PC con el NOD32, y me ha detectado el siguiente mensaje:



Me gustaría saber qué debo hacer, pues siempre que le doy a Desinfectar me dice que hay un error y no me lo desinfecta. No sé que puedo hacer.

Espero vuestra ayuda. Muchas gracias y saludos.

PD: Olvido decir que tengo dos discos duros, y mi sistema operativo es Windows XP Home Edition.

Subo el mensaje para que no se pierda espero que por favor, alguien me ayude. Muchísimas gracias.

Error, porque si te autorespondes, pensamos que tu tema esta siendo atendido.
Ademas, tren en cuenta que entraos de manera voluntaria, por lo que hay que tener paciencia, mas aun, en Semana Santa, que todo el mundo viaja.

Respecto a tu problema, como primer medida, intenta volver atras con Restaurar Sistema, a un punto anterior a la fecha en que se haya colado la infección.
Ademas actualiza tu sistema operativo para conseguir los parches que reparan la vulnerabilidad que permite este tipo de infecciones.

Luego descarga y ejecuta Gmer Anti Rootkit dejando aquí su reporte.

Saludos

Gracias Salba por responderme. En primer lugar disculparme por mi impaciencia pero esto me ha llevado toda la tarde y una solución me desesperaba ya. Lo siento mucho.

Volviendo al tema del maldito problemita, he restaurado el sistema, el sistema operativo ya lo tenía completamente actualizado, pero he vuelto a mirar si habían nuevas actualizaciones y no habían.
El resultado del programa que me has recomendado es de lo más curioso; ¡no me detecta nada!
Aquí te dejo el resultado del análisis:



Espero tu opinión. Mis disculpas de nuevo. ¡Un saludo y gracias!

Hola descarga el Sophos Antirootkit de la misma pagina que te dejo Salba, segun entiendo este detecta ese rootkit.

Saludos.

Hola GuillermoTell

He descargado el programa que me has recomendado pero sigue sin detectarlo. No entiendo por qué ocurre esto.

Un saludo.

PD: NOD32 sigue dándome el mismo aviso.

Por favor realiza el siguiente procedimiento en modo normal:


- Descarga la herramienta ComboFix.exe y guárdala en el escritorio.

• Desactiva temporalmente el Antivirus y/o Antispyware.
• Cierra todas las ventanas abiertas.
• Hacele doble clic al archivo ComboFix.exe y seguí las instrucciones.
• Cuando termine, generara un registro en C:\ComboFix.txt.
  • *Nota* Mientras CF este trabajando no mover el mouse ya que pararía su proceso.
  • *Nota* ComboFix puede reiniciar automáticamente el PC para completar el proceso de eliminación.

• Reinicia y pega el reporte de C:\ComboFix.txt en este mismo mensaje.

Hola.

Aquí está el registro creado por el Combofix.

ComboFix 08-03-20.5 - Eleazar 2008-03-21 3:33:23.1 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.3082.18.407 [GMT 1:00]
Se ejecuta desde: D:\Documents and Settings\Eleazar\Escritorio\ComboFix.exe
* Creado un nuevo punto de restauración

ADVERTENCIA - ESTE EQUIPO NO TIENE INSTALADA LA CONSOLA DE RECUPERACION!
.

(((((((((((((((((( Archivos creados desde 2008-02-21 - 2008-03-21 )))))))))))))))))))))))))))))))))
.

2008-03-21 03:21 . 2008-03-21 03:21 <DIR> d-------- D:\Archivos de programa\Sophos
2008-03-21 02:47 . 2008-03-21 02:47 <DIR> d-------- D:\Documents and Settings\All Users\Datos de programa\SUPERAntiSpyware.com
2008-03-21 02:47 . 2008-03-21 02:47 <DIR> d--h----- D:\Documents and Settings\Administrador\Reciente
2008-03-21 02:47 . 2008-03-21 02:47 <DIR> d-------- D:\Documents and Settings\Administrador\Mis documentos
2008-03-21 02:47 . 2008-03-21 02:47 <DIR> dr------- D:\Documents and Settings\Administrador\Menú Inicio
2008-03-21 02:47 . 2008-03-21 02:47 <DIR> d--h----- D:\Documents and Settings\Administrador\Impresoras
2008-03-21 02:47 . 2008-03-21 02:47 <DIR> d-------- D:\Documents and Settings\Administrador\Favoritos
2008-03-21 02:47 . 2008-03-21 02:47 <DIR> d-------- D:\Documents and Settings\Administrador\Escritorio
2008-03-21 02:47 . 2008-03-21 02:47 <DIR> d--h----- D:\Documents and Settings\Administrador\Entorno de red
2008-03-21 02:47 . 2008-03-21 02:47 <DIR> d-------- D:\Archivos de programa\SUPERAntiSpyware
2008-03-21 02:27 . 2008-03-21 02:27 8,576 --a------ D:\WINDOWS\system32\drivers\hxraovdavmew.sys
2008-03-21 01:01 . 2008-03-21 01:01 <DIR> d-------- D:\WINDOWS\system32\Kaspersky Lab
2008-03-20 23:38 . 2008-03-21 00:46 250 --a------ D:\WINDOWS\gmer.ini
2008-03-20 22:14 . 2008-03-21 02:35 <DIR> d--h----- D:\Documents and Settings\Administrador\Plantillas
2008-03-20 22:14 . 2008-03-21 02:35 <DIR> dr-h----- D:\Documents and Settings\Administrador\Datos de programa
2008-03-20 22:14 . 2008-03-21 02:47 <DIR> d--h----- D:\Documents and Settings\Administrador\Configuración local
2008-03-20 18:21 . 2008-03-20 18:21 <DIR> d-------- D:\Documents and Settings\All Users\Datos de programa\ESET
2008-03-11 00:41 . 2008-03-20 13:28 <DIR> d-------- D:\Documents and Settings\Eleazar\Datos de programa\Bioshock
2008-03-11 00:39 . 2008-03-11 00:39 <DIR> dr-h----- D:\Documents and Settings\Eleazar\Datos de programa\SecuROM
2008-03-11 00:37 . 2007-05-16 16:45 1,124,720 --a------ D:\WINDOWS\system32\D3DCompiler_34.dll
2008-03-11 00:37 . 2007-05-16 16:45 443,752 --a------ D:\WINDOWS\system32\d3dx10_34.dll
2008-03-11 00:37 . 2007-05-31 19:30 266,088 --a------ D:\WINDOWS\system32\xactengine2_8.dll
2008-03-11 00:37 . 2007-05-31 19:29 18,280 --a------ D:\WINDOWS\system32\x3daudio1_2.dll
2008-03-11 00:14 . 2008-03-11 00:24 <DIR> d-------- D:\Archivos de programa\2K Games
2008-03-11 00:13 . 2008-03-11 00:13 <DIR> d-------- D:\Documents and Settings\Eleazar\Datos de programa\InstallShield
2008-03-10 20:25 . 2008-03-10 20:25 108,144 --a------ D:\WINDOWS\system32\CmdLineExt.dll
2008-03-10 07:26 . 2008-03-10 07:26 483 --ah----- D:\WINDOWS\Fix.reg
2008-03-07 19:37 . 2008-03-07 19:37 <DIR> d-------- D:\Archivos de programa\Lionhead Studios
2008-03-07 16:11 . 2008-03-07 16:11 <DIR> d-------- D:\Documents and Settings\All Users\Datos de programa\Apple Computer
2008-03-06 19:32 . 2008-03-06 19:32 <DIR> d-------- D:\Documents and Settings\All Users\Datos de programa\FLEXnet
2008-03-06 19:25 . 2008-03-06 19:25 <DIR> d-------- D:\Archivos de programa\Bonjour
2008-03-06 19:08 . 2008-03-06 19:08 <DIR> d-------- D:\Archivos de programa\Archivos comunes\Macrovision Shared
2008-03-06 01:05 . 2008-03-06 01:05 <DIR> d-------- D:\Documents and Settings\Eleazar\Datos de programa\IDMComp
2008-03-06 01:05 . 2008-03-06 01:05 <DIR> d-------- D:\Archivos de programa\IDM Computer Solutions
2008-03-05 19:12 . 2008-03-05 19:12 <DIR> d-------- D:\Archivos de programa\Archivos comunes\SWF Studio
2008-03-05 19:09 . 2008-03-05 19:09 38 --a------ D:\WINDOWS\avisplitter.INI
2008-03-05 00:26 . 2008-03-06 19:25 <DIR> d-------- D:\Archivos de programa\Archivos comunes\Adobe
2008-03-04 16:19 . 2008-03-04 16:48 <DIR> d-------- D:\Archivos de programa\portal
2008-02-29 14:56 . 2008-02-29 14:56 33,800 --a------ D:\WINDOWS\system32\drivers\epfwtdir.sys
2008-02-29 14:53 . 2008-02-29 14:53 29,704 --a------ D:\WINDOWS\system32\drivers\easdrv.sys
2008-02-29 14:52 . 2008-02-29 14:52 39,944 --a------ D:\WINDOWS\system32\drivers\eamon.sys
2008-02-22 20:43 . 2007-05-16 16:45 3,497,832 --a------ D:\WINDOWS\system32\d3dx9_34.dll
2008-02-21 14:25 . 2008-03-21 02:46 <DIR> d-------- D:\Documents and Settings\Eleazar\Datos de programa\uTorrent
2008-02-21 14:25 . 2008-02-21 19:22 <DIR> d-------- D:\Archivos de programa\uTorrent

.
(((((((((((((((((((((((((((((((((((((( Reporte Find3M )))))))))))))))))))))))))))))))))))))))))))))))))) )
.
2008-03-21 01:48 --------- d-----w D:\Archivos de programa\ESET
2008-03-19 09:04 --------- d-----w D:\Archivos de programa\Java
2008-03-18 18:23 --------- d-----w D:\Archivos de programa\Archivos comunes\InstallShield
2008-03-12 13:19 --------- d-----w D:\Documents and Settings\All Users\Datos de programa\Microsoft Help
2008-03-10 23:14 --------- d--h--w D:\Archivos de programa\InstallShield Installation Information
2008-03-08 20:53 --------- d-----w D:\Documents and Settings\Eleazar\Datos de programa\Ahead
2008-02-20 15:06 --------- d-----w D:\Archivos de programa\AIMP2
2008-02-19 22:06 --------- d-----w D:\Documents and Settings\Eleazar\Datos de programa\Sonic
2008-02-19 22:06 --------- d-----w D:\Documents and Settings\Eleazar\Datos de programa\Leadertech
2008-02-19 22:05 --------- d-----w D:\Documents and Settings\All Users\Datos de programa\InstallShield
2008-02-19 22:04 --------- d-----w D:\Archivos de programa\Sonic
2008-02-19 22:04 --------- d-----w D:\Archivos de programa\Archivos comunes\SureThing Shared
2008-02-18 23:31 --------- d-----w D:\Archivos de programa\Archivos comunes\Java
2008-02-17 19:38 --------- d-----w D:\Archivos de programa\EPSON
2008-02-17 19:38 --------- d-----w D:\Archivos de programa\Archivos comunes\EPSON
2008-02-16 13:27 --------- d-----w D:\Archivos de programa\MSECache
2008-02-16 13:09 --------- d-----w D:\Archivos de programa\MSBuild
2008-02-16 13:09 --------- d-----w D:\Archivos de programa\Microsoft Works
2008-02-16 13:07 --------- d-----w D:\Archivos de programa\Microsoft.NET
2008-02-16 13:04 --------- d-----w D:\Archivos de programa\Microsoft Visual Studio 8
2008-02-16 12:50 --------- d-----w D:\Archivos de programa\Alcohol Soft
2008-02-16 12:48 685,816 ----a-w D:\WINDOWS\system32\drivers\sptd.sys
2008-02-15 20:14 --------- d-----w D:\Documents and Settings\Eleazar\Datos de programa\GRETECH
2008-02-15 20:14 --------- d-----w D:\Documents and Settings\All Users\Datos de programa\GRETECH
2008-02-15 20:13 --------- d-----w D:\Archivos de programa\GRETECH
2008-02-15 19:30 --------- d-----w D:\Archivos de programa\ImTOO
2008-02-15 18:48 --------- d-----w D:\Archivos de programa\Ad Muncher
2008-02-15 18:31 --------- d-----w D:\Archivos de programa\Archivos comunes\Ahead
2008-02-15 18:29 --------- d-----w D:\Documents and Settings\All Users\Datos de programa\Nero
2008-02-15 18:29 --------- d-----w D:\Archivos de programa\Nero
2008-02-14 23:27 --------- d-----w D:\Archivos de programa\K-Lite Codec Pack
2008-02-14 23:17 --------- d-----w D:\Documents and Settings\Eleazar\Datos de programa\Media Player Classic
2008-02-14 23:17 --------- d-----w D:\Archivos de programa\CCleaner
2008-02-14 23:09 --------- d-----w D:\Archivos de programa\Yahoo!
2008-02-14 23:07 --------- d-----w D:\Documents and Settings\Eleazar\Datos de programa\Yahoo!
2008-02-14 23:04 --------- d-----w D:\Archivos de programa\IObit
2008-02-14 23:02 --------- d-----w D:\Archivos de programa\MSXML 6.0
2008-02-14 23:00 --------- d-----w D:\Archivos de programa\ATI Technologies
2008-02-14 20:00 --------- d-----w D:\Archivos de programa\MSXML 4.0
2008-02-14 19:52 --------- d-----w D:\Archivos de programa\Reference Assemblies
2008-02-14 19:47 --------- d-----w D:\Archivos de programa\Windows Media Connect 2
2008-02-14 17:06 --------- d-----w D:\Archivos de programa\C-Media 3D Audio
2008-02-14 16:54 19 ----a-w D:\WINDOWS\system32\drivers\adidsl.cfg
2008-02-14 16:54 --------- d-----w D:\Archivos de programa\Telefonica
2008-02-14 16:54 --------- d-----w D:\Archivos de programa\ADSLUSB_XPUpdate
2008-02-14 16:43 --------- d-----w D:\Archivos de programa\microsoft frontpage
2008-02-14 16:41 --------- d-----w D:\Archivos de programa\Servicios en línea
2008-01-22 21:38 2,845,696 ----a-w D:\WINDOWS\system32\drivers\ati2mtag.sys
2008-01-22 20:44 368,640 ----a-w D:\WINDOWS\system32\ATIDEMGX.dll
2008-01-22 20:43 272,384 ----a-w D:\WINDOWS\system32\ati2dvag.dll
2008-01-22 20:39 307,200 ----a-w D:\WINDOWS\system32\atiiiexx.dll
2008-01-22 20:36 9,949,184 ----a-w D:\WINDOWS\system32\atioglx2.dll
2008-01-22 20:35 43,520 ----a-w D:\WINDOWS\system32\ati2edxx.dll
2008-01-22 20:35 26,112 ----a-w D:\WINDOWS\system32\Ati2mdxx.exe
2008-01-22 20:35 147,456 ----a-w D:\WINDOWS\system32\atipdlxx.dll
2008-01-22 20:35 122,880 ----a-w D:\WINDOWS\system32\Oemdspif.dll
2008-01-22 20:35 122,880 ----a-w D:\WINDOWS\system32\ati2evxx.dll
2008-01-22 20:34 512,000 ----a-w D:\WINDOWS\system32\ati2evxx.exe
2008-01-22 20:33 53,248 ----a-w D:\WINDOWS\system32\ATIDDC.DLL
2008-01-22 20:25 3,121,920 ----a-w D:\WINDOWS\system32\ati3duag.dll
2008-01-22 20:14 1,664,256 ----a-w D:\WINDOWS\system32\ativvaxx.dll
2008-01-22 20:04 46,080 ----a-w D:\WINDOWS\system32\amdpcom32.dll
2008-01-22 20:01 385,024 ----a-w D:\WINDOWS\system32\atikvmag.dll
2008-01-22 19:59 17,408 ----a-w D:\WINDOWS\system32\atitvo32.dll
2008-01-22 19:58 5,435,392 ----a-w D:\WINDOWS\system32\atioglxx.dll
2008-01-22 19:58 49,152 ----a-w D:\WINDOWS\system32\drivers\ati2erec.dll
2008-01-22 19:57 163,840 ----a-w D:\WINDOWS\system32\atiok3x2.dll
2008-01-22 19:53 503,808 ----a-w D:\WINDOWS\system32\ati2cqag.dll
2008-01-22 13:42 593,920 ------w D:\WINDOWS\system32\ati2sgag.exe
2008-01-10 12:16 159,839 ----a-w D:\WINDOWS\system32\xvidvfw.dll
2008-01-10 12:15 755,027 ----a-w D:\WINDOWS\system32\xvidcore.dll
2007-12-24 12:49 7,680 ----a-w D:\WINDOWS\system32\ff_vfw.dll
2001-11-23 04:08 712,704 ----a-r D:\WINDOWS\inf\OTHER\AUDIO3D.DLL
.

((((((((((((((((((((((((((((((((( Cargando Puntos Reg ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Nota* entradas vacías & entradas legítimas predeterminadas no son mostradas

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\Run]
"CTFMON.EXE"="D:\WINDOWS\system32\ctfmon.exe" [2006-03-02 13:00 15360]
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="D:\Archivos de programa\Archivos comunes\Ahead\Lib\NMBgMonitor.exe" [2007-01-15 16:14 147456]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run]
"Cmaudio"="cmicnfg.cpl" []
"Ad Muncher"="D:\Archivos de programa\Ad Muncher\AdMunch.exe" [2006-10-28 08:37 705024]
"NeroFilterCheck"="D:\Archivos de programa\Archivos comunes\Ahead\Lib\NeroCheck.exe" [2006-01-12 15:40 155648]
"GrooveMonitor"="D:\Archivos de programa\Microsoft Office\Office12\GrooveMonitor.exe" [2007-08-24 07:00 33648]
"EPSON Stylus C42 Series"="D:\WINDOWS\System32\spool\DRIVERS\W32X86\ 3\E_S10IC2.exe" [2002-02-19 04:03 74240]
"SunJavaUpdateSched"="D:\Archivos de programa\Java\jre1.6.0_05\bin\jusched.exe" [2008-02-22 04:25 144784]
"ISUSPM Startup"="D:\ARCHIV~1\ARCHIV~1\INSTAL~1\UPDATE~1\I SUSPM.exe" [ ]
"ISUSScheduler"="D:\Archivos de programa\Archivos comunes\InstallShield\UpdateService\issch.exe" [ ]
"Adobe Reader Speed Launcher"="D:\Archivos de programa\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 22:16 39792]
"egui"="D:\Archivos de programa\ESET\ESET NOD32 Antivirus\egui.exe" [2008-02-29 14:54 1443072]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\Cur rentVersion\Run]
"CTFMON.EXE"="D:\WINDOWS\system32\CTFMON.EXE" [2006-03-02 13:00 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\curr entversion\policies\explorer]
"NoResolveSearch"= 1 (0x1)

[HKLM\~\services\sharedaccess\parameters\firewallpo licy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"C:\\Archivos de Programa\\eMule\\emule.exe"=
"D:\\Archivos de programa\\Archivos comunes\\Ahead\\Nero Web\\SetupX.exe"=
"D:\\Archivos de programa\\Microsoft Office\\Office12\\OUTLOOK.EXE"=
"D:\\Archivos de programa\\Microsoft Office\\Office12\\GROOVE.EXE"=
"D:\\Archivos de programa\\Microsoft Office\\Office12\\ONENOTE.EXE"=
"D:\\Archivos de programa\\uTorrent\\uTorrent.exe"=
"D:\\Archivos de programa\\Bonjour\\mDNSResponder.exe"=

R1 epfwtdir;epfwtdir;D:\WINDOWS\system32\DRIVERS\epfw tdir.sys [2008-02-29 14:56]
R3 MEMSWEEP2;MEMSWEEP2;D:\WINDOWS\system32\1D1.tmp []
S2 EsetNod32Fix;Nod32 AV;D:\WINDOWS\Regedit.exe [2006-03-02 13:00]

*Newly Created Service* - LQEPPTHQXUDY
*Newly Created Service* - MEMSWEEP2
*Newly Created Service* - PHOOKS
*Newly Created Service* - SDTHOOK
.
************************************************** ************************

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-03-21 03:34:44
Windows 5.1.2600 Service Pack 2 NTFS

escaneando procesos ocultos ...

escaneando entradas ocultas de autostart ...

escaneando archivos ocultos ...

el escaneo se completo con exito
archivos ocultos: 0

************************************************** ************************

[HKEY_LOCAL_MACHINE\system\ControlSet001\Services\M EMSWEEP2]
"ImagePath"="\??\D:\WINDOWS\system32\1D1.tmp"
.
--------------------- DLLs cargados bajo los procesos en ejecución ---------------------

PROCESS: D:\WINDOWS\explorer.exe
-> D:\Archivos de programa\Ad Muncher\AM27105.dll
.
Tiempo completado: 2008-03-21 3:35:16
.
2008-03-12 13:19:14 --- E O F ---




Un saludo.

Hola Eledark por favor realiza los siguientes pasos en estricto orden:

Paso 1

• Descargar la utilidad MBR.exe en el directorio raíz C:\
• Reiniciar eh iniciar en "Modo a prueba de fallos" (modo seguro)
• Ir a Inicio > Ejecutar > y poner C:\mbr.exe > Aceptar.

Paso 2
En caso de que este detecte el Rootkit genera un reporte similar a este:

Paso 3
Para repararlo, tendremos que volver a repetir el proceso, pero esta vez con el switch -f de la siguiente manera:

• Ir a Inicio > Ejecutar > y poner C:\mbr.exe -f > Aceptar.

Si el Rootkit fue eliminado satisfactoriamente se vera un reporte como este:

Paso 3

• Reiniciar en modo normal y comprobar los resultados realizando un nuevo escaneo con NOD32.
  
  Nos comentas los resultados.

Hola GuillermoTell.

He seguido los pasos tal y como tú me has indicado y este es el log que me ha generado:

Stealth MBR rootkit detector 0.2.2 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
kernel: MBR read successfully
user & kernel MBR OK

Este informe me salió antes de que aplicase el switch -f, pero de todas formas lo apliqué, por si acaso.

Estuve investigando por mi cuenta, y me fijé en un detalle que no comenté, y que posiblemente sea la causa de todo este problema. Verás, al hacer el análisis y concretamente, cuando salta el aviso de infección, oigo un ruido en la torre, el cual parece provenir de la disquetera. Me fijo en qué unidad está analizando el antivirus, y, efectivamente, es en la unidad A:\ donde me da ese aviso.

Espero que esta información complemente al progreso de la investigación.

¡Gracias y un saludo!