Virtumonde - Foro de Spyware

Buscar

		Foro de Spyware » Spyware - Adware - Hijackers - Malwares » Foro Oficial de HijackThis en español
Virtumonde

InfoSpyware sortea una T-Shirts

Participa en el sorteo por una "Camiseta Oficial de InfoSpyware" gracias al amigo Enjuto Mojamuto

Para evitar Virus, Spyware y ventanas emergentes, en InfoSpyware recomendamos navegar con: FIREFOX

Foro Oficial de HijackThis en español Analizamos tu log de HijackThis para eliminar Hijackers, Spyware, Adware, ToolBars, Virus, Troyanos y Malwares en gral. Antes lea las Políticas del Foro de HijackThis.

Página 1 de 2

Herramientas

post #1 (permalink)

25/03/08, 14:24:11

puli_sev

Usuario

Registrado: mar 2008

Ubicación: España

Mensajes: 8

Virtumonde

Hola!

Estoy intentando eliminar el virtumonde, y estoy probando una opción que se me da aqui con "Hijacktthis", "Vundofix" y "Antimalware"

Los síntomas que tiene mi PC los habrán escuchado mil veces: empezó hace meses con pop-ups sin criterio ninguno, a los que no les hice mucho caso (lo sé, lo sé...) Hace unos días empezó a fallar internet y el superantispyware me aviso de un virus, así que decidí hacerle un escaneado y eliminé ciertos archivos. Los dos días que siguen me he dedicado a instalar y pasarle antivirus, y ya poco a poco he ido descubriendo más cosas, como que tengo un virus "Virtumonde" y un "W32\Tilebot-Gen", me dice que el archivo que me falla es el SSQR.DLL y tengo un archivo que se inicia solo llamado "LSA Shellu" (perdón por el vocabulario poco técnico y si estoy diciendo muchas paridas, pero como pueden comprobar no sé mucho del tema), y el pc sigue fallando. He pensado en llevarlo a un tecnico, pero esta gente no se raya mucho, te lo formatean y ya está y la verdad, no me gustaría tener que hacerlo.

Así que estoy probando la opción que se da en esta página. Como en los pasos señala, llego al punto de tener que hacer "Fix checked", y no sé que archivos debo señalar, asi que he copiado el log:

"Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:18:08, on 25/03/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16608)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Archivos de programa\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Archivos de programa\Adobe\Adobe Version Cue CS2\bin\VersionCueCS2.exe
C:\Archivos de programa\Archivos comunes\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Archivos de programa\TOSHIBA\ConfigFree\CFSvcs.exe
C:\Archivos de programa\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\WINDOWS\system32\lcss.exe
C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7Debug\mdm.exe
C:\Archivos de programa\Eset\nod32krn.exe
C:\Archivos de programa\Spyware Doctor\svcntaux.exe
C:\Archivos de programa\Adobe\Adobe Version Cue CS2\data\database\bin\mysqld-nt.exe
C:\Archivos de programa\Spyware Doctor\swdsvc.exe
C:\WINDOWS\system32\svchost.exe
C:\Archivos de programa\Spyware Doctor\SDTrayApp.exe
C:\Archivos de programa\Webroot\Spy Sweeper\SpySweeper.exe
C:\WINDOWS\system32\SearchIndexer.exe
C:\WINDOWS\Fonts\svchost.exe
C:\Archivos de programa\Webroot\Spy Sweeper\SpySweeperUI.exe
C:\WINDOWS\system32\ZoomingHook.exe
C:\Archivos de programa\TOSHIBA\Tvs\TvsTray.exe
C:\Archivos de programa\TOSHIBA\TouchPad\TPTray.exe
C:\Archivos de programa\TOSHIBA\TOSHIBA Controls\TFncKy.exe
C:\WINDOWS\system32\TCtrlIOHook.exe
C:\Archivos de programa\TOSHIBA\TOSHIBA Zooming Utility\SmoothView.exe
C:\Archivos de programa\TOSHIBA\Touch and Launch\PadExe.exe
C:\Archivos de programa\TOSHIBA\ConfigFree\NDSTray.exe
C:\Documents and Settings\PC\lsass.exe
C:\Archivos de programa\iTunes\iTunesHelper.exe
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\igfxpers.exe
C:\Archivos de programa\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\system32\hkcmd.exe
C:\Archivos de programa\Google\Google Desktop Search\GoogleDesktop.exe
C:\WINDOWS\system32\TPSBattM.exe
C:\WINDOWS\system32\dla\tfswctrl.exe
C:\Archivos de programa\TOSHIBA\E-KEY\CeEKey.exe
C:\WINDOWS\VM_STI.EXE
C:\Archivos de programa\Apoint2K\Apoint.exe
C:\WINDOWS\AGRSMMSG.exe
C:\WINDOWS\system\nadlocop.exe
C:\Archivos de programa\Google\Google Desktop Search\GoogleDesktop.exe
C:\Archivos de programa\Adobe\Adobe Version Cue CS2\ControlPanel\VersionCueCS2Tray.exe
C:\Archivos de programa\Adobe\Photoshop Album Starter Edition\3.2\Apps\apdproxy.exe
C:\Archivos de programa\Internet Explorer\IEXPLORE.EXE
C:\Archivos de programa\Adobe\Adobe Acrobat 7.0\Distillr\Acrotray.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Archivos de programa\Google\GoogleToolbarNotifier\GoogleToolba rNotifier.exe
C:\Archivos de programa\iPod\bin\iPodService.exe
C:\Archivos de programa\TOSHIBA\TOSCDSPD\toscdspd.exe
C:\Archivos de programa\SUPERAntiSpyware\SUPERAntiSpyware.exe
C:\Archivos de programa\Skype\Phone\Skype.exe
C:\Archivos de programa\Apoint2K\Apntex.exe
C:\Archivos de programa\Messenger\msmsgs.exe
C:\Archivos de programa\Internet Explorer\iexplore.exe
C:\Archivos de programa\Adobe\Adobe Acrobat 7.0\Acrobat\Acrobat.exe
C:\Archivos de programa\Webroot\Spy Sweeper\SSU.EXE
c:\Archivos de programa\Sophos\Sophos Anti-Virus\SavService.exe
c:\Archivos de programa\Sophos\Sophos Anti-Virus\SAVAdminService.exe
c:\Archivos de programa\Sophos\AutoUpdate\ALsvc.exe
c:\Archivos de programa\Sophos\AutoUpdate\ALMon.exe
C:\Archivos de programa\WinRAR\WinRAR.exe
C:\Archivos de programa\Trend Micro\HijackThis\HijackThis.exe
C:\WINDOWS\system32\SearchProtocolHost.exe
C:\WINDOWS\system32\SearchFilterHost.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.negroogle.es/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
R3 - URLSearchHook: Barra Yahoo! con bloqueador de ventanas emergentes - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O2 - BHO: Aplicación auxiliar de vínculos de Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Archivos comunes\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\archivos de programa\google\googletoolbar3.dll
O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Archivos de programa\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\archivos de programa\google\googletoolbar3.dll
O3 - Toolbar: PDF de Adobe - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Archivos de programa\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [Host Process] C:\WINDOWS\Fonts\svchost.exe
O4 - HKLM\..\Run: [Zooming] ZoomingHook.exe
O4 - HKLM\..\Run: [Tvs] "C:\Archivos de programa\TOSHIBA\Tvs\TvsTray.exe"
O4 - HKLM\..\Run: [TPSMain] TPSMain.exe
O4 - HKLM\..\Run: [TPNF] "C:\Archivos de programa\TOSHIBA\TouchPad\TPTray.exe"
O4 - HKLM\..\Run: [TFncKy] TFncKy.exe
O4 - HKLM\..\Run: [TCtryIOHook] TCtrlIOHook.exe
O4 - HKLM\..\Run: [SVPWUTIL] "C:\Archivos de programa\Toshiba\Windows Utilities\SVPWUTIL.exe" SVPwUTIL
O4 - HKLM\..\Run: [SmoothView] "C:\Archivos de programa\TOSHIBA\TOSHIBA Zooming Utility\SmoothView.exe"
O4 - HKLM\..\Run: [SDTray] "C:\Archivos de programa\Spyware Doctor\SDTrayApp.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [PadTouch] "C:\Archivos de programa\TOSHIBA\Touch and Launch\PadExe.exe"
O4 - HKLM\..\Run: [Option Bib Logo Log] "C:\Documents and Settings\All Users\Datos de programa\LICENSE ADMIN OPTION BIB\remote dupe.exe"
O4 - HKLM\..\Run: [nod32kui] "C:\Archivos de programa\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [NDSTray.exe] NDSTray.exe
O4 - HKLM\..\Run: [iTunesHelper] "C:\Archivos de programa\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [igfxtray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [igfxpers] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [igfxhkcmd] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [HWSetup] "C:\Archivos de programa\TOSHIBA\TOSHIBA Applet\HWSetup.exe" hwSetUP
O4 - HKLM\..\Run: [Google Desktop Search] "C:\Archivos de programa\Google\Google Desktop Search\GoogleDesktop.exe" /startup
O4 - HKLM\..\Run: [dla] C:\WINDOWS\system32\dla\tfswctrl.exe
O4 - HKLM\..\Run: [CeEKEY] "C:\Archivos de programa\TOSHIBA\E-KEY\CeEKey.exe"
O4 - HKLM\..\Run: [BigDogPath] "C:\WINDOWS\VM_STI.EXE" Philips SPC 200NC PC Camera
O4 - HKLM\..\Run: [Apoint] "C:\Archivos de programa\Apoint2K\Apoint.exe"
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [Advanced DHTML Enable] C:\WINDOWS\system\nadlocop.exe
O4 - HKLM\..\Run: [Adobe Version Cue CS2] "C:\Archivos de programa\Adobe\Adobe Version Cue CS2\ControlPanel\VersionCueCS2Tray.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Archivos de programa\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Archivos de programa\Adobe\Photoshop Album Starter Edition\3.2\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [Acrobat Assistant 7.0] "C:\Archivos de programa\Adobe\Adobe Acrobat 7.0\Distillr\Acrotray.exe"
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKLM\..\Run: [SpySweeper] C:\Archivos de programa\Webroot\Spy Sweeper\SpySweeperUI.exe /startintray
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [swg] "C:\Archivos de programa\Google\GoogleToolbarNotifier\GoogleToolba rNotifier.exe"
O4 - HKCU\..\Run: [TOSCDSPD] "C:\Archivos de programa\TOSHIBA\TOSCDSPD\toscdspd.exe"
O4 - HKCU\..\Run: [SUPERAntiSpyware] "C:\Archivos de programa\SUPERAntiSpyware\SUPERAntiSpyware.exe"
O4 - HKCU\..\Run: [Skype] "C:\Archivos de programa\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [NoDNS] "C:\Archivos de programa\\NoDNS\\NoDNS.exe"
O4 - HKCU\..\Run: [Multidvd] C:\DOCUME~1\PC\DATOSD~1\16MOVE~1\DateMfcd.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Archivos de programa\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [JavaCore] "C:\Archivos de programa\\JavaCore\\JavaCore.exe"
O4 - HKCU\..\Run: [eMuleAutoStart] C:\Archivos de programa\eMule\emule.exe -AutoStart
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICIO LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Servicio de red')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: AutoUpdate Monitor.lnk = C:\Archivos de programa\Sophos\AutoUpdate\ALMon.exe
O8 - Extra context menu item: Convertir a PDF de Adobe - res://C:\Archivos de programa\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convertir a PDF existente - res://C:\Archivos de programa\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convertir destino de vínculo a PDF existente - res://C:\Archivos de programa\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convertir destino de vínculo en archivo PDF de Adobe - res://C:\Archivos de programa\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convertir selección a archivo PDF existente - res://C:\Archivos de programa\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convertir selección a PDF de Adobe - res://C:\Archivos de programa\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convertir vínculos seleccionados a PDF de Adobe - res://C:\Archivos de programa\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Convertir vínculos seleccionados a PDF existente - res://C:\Archivos de programa\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_03\bin\npjpi150_03.dll
O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_03\bin\npjpi150_03.dll
O9 - Extra button: Agregar entrada - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Archivos de programa\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra 'Tools' menuitem: &Agregar entrada en Windows Live Writer - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Archivos de programa\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx2.hotmail.com/mail/w2/pr02/resources/MSNPUpld.cab
O16 - DPF: {6218F7B5-0D3A-48BA-AE4C-49DCFA63D400} (CSEQueryObject Object) - http://www.myheritage.es/Genoogle/Components/ActiveX/SearchEngineQuery.dll
O16 - DPF: {67DABFBF-D0AB-41FA-9C46-CC0F21721616} (DivXBrowserPlugin Object) - http://download.divx.com/player/DivXBrowserPlugin.cab
O16 - DPF: {7FC1B346-83E6-4774-8D20-1A6B09B0E737} (Windows Live Photo Upload Control) - http://puli04.spaces.live.com/PhotoUpload/MsnPUpld.cab
O16 - DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} (Zylom Games Player) - http://game05.zylom.com/activex/zylomgamesplayer.cab
O16 - DPF: {CF40ACC5-E1BB-4AFF-AC72-04C2F616BCA7} (get_atlcom Class) - http://www.adobe.com/products/acrobat/nos/gp.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O16 - DPF: {DF780F87-FF2B-4DF8-92D0-73DB16A1543A} (PopCapLoader Object) - http://www.shockwave.com/content/zuma/sis/popcaploader_v10.cab
O17 - HKLM\System\CS1\Services\Tcpip\..\{053495E0-D31E-4CA4-8C15-0CD4DE7796D0}: NameServer = 80.58.61.250,80.58.61.254
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\ARCHIV~1\ARCHIV~1\Skype\SKYPE4~1.DLL
O20 - AppInit_DLLs: C:\ARCHIV~1\Google\GOOGLE~4\GOEC62~1.DLL
O20 - Winlogon Notify: !SASWinLogon - C:\Archivos de programa\SUPERAntiSpyware\SASWINLO.dll
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft - C:\Archivos de programa\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: Adobe LM Service - Adobe Systems - C:\Archivos de programa\Archivos comunes\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Adobe Version Cue CS2 - Adobe Systems Incorporated - C:\Archivos de programa\Adobe\Adobe Version Cue CS2\bin\VersionCueCS2.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Archivos de programa\Archivos comunes\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: ConfigFree Service (CFSvcs) - TOSHIBA CORPORATION - C:\Archivos de programa\TOSHIBA\ConfigFree\CFSvcs.exe
O23 - Service: g35b7z8f6 - Unknown owner - C:\WINDOWS\system32\svshost.exe (file missing)
O23 - Service: GoogleDesktopManager - Google - C:\Archivos de programa\Google\Google Desktop Search\GoogleDesktop.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Archivos de programa\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Servicio del iPod (iPod Service) - Apple Inc. - C:\Archivos de programa\iPod\bin\iPodService.exe
O23 - Service: l65r3r5c0 - Unknown owner - C:\WINDOWS\system32\lcss.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Archivos de programa\Eset\nod32krn.exe
O23 - Service: Indicador del estado de Sophos Anti-Virus (SAVAdminService) - Sophos Plc - c:\Archivos de programa\Sophos\Sophos Anti-Virus\SAVAdminService.exe
O23 - Service: Sophos Anti-Virus (SAVService) - Sophos Plc - c:\Archivos de programa\Sophos\Sophos Anti-Virus\SavService.exe
O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Archivos de programa\Spyware Doctor\svcntaux.exe
O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Archivos de programa\Spyware Doctor\swdsvc.exe
O23 - Service: Sophos AutoUpdate Service - Sophos Plc - c:\Archivos de programa\Sophos\AutoUpdate\ALsvc.exe
O23 - Service: Motor de Spy Sweeper de Webroot (WebrootSpySweeperService) - Webroot Software, Inc. - C:\Archivos de programa\Webroot\Spy Sweeper\SpySweeper.exe

--
End of file - 15809 bytes"

Estoy casi segura de que tengo que seleccionar todos los que ponga {xxxxxx-xxxxx-xxxxx}

Aun asi, podrian ayudarme??

Estoy desesperada tengo todos los antivirus del mundo y no hay forma...

Muchas gracias,
Paula

Última edición por puli_sev fecha: 25/03/08 a las 14:38:17. Razón: Dar más detalles

post #2 (permalink)

25/03/08, 17:29:54

ElPiedra

FS-Admin

Registrado: ene 2005

Ubicación: Miami

Mensajes: 25.832

Re: Virtumonde

Hola puli_sev, te doy la bienvenida al Foro de InfoSpyware.

Paso 1- Descarga, Instala y/o actualiza estas herramientas: (pero no los ejecutes aun)

Paso 2- Con todos los programas cerrados, ejecuta HijackThis y dale

a las siguientes entradas:

O4 - HKLM\..\Run: [Host Process] C:\WINDOWS\Fonts\svchost.exe

O4 - HKLM\..\Run: [Option Bib Logo Log] "C:\Documents and Settings\All Users\Datos de programa\LICENSE ADMIN OPTION BIB\remote dupe.exe"

O4 - HKLM\..\Run: [Advanced DHTML Enable] C:\WINDOWS\system\nadlocop.exe

O4 - HKCU\..\Run: [Multidvd] C:\DOCUME~1\PC\DATOSD~1\16MOVE~1\DateMfcd.exe

O23 - Service: g35b7z8f6 - Unknown owner - C:\WINDOWS\system32\svshost.exe (file missing)

O23 - Service: l65r3r5c0 - Unknown owner - C:\WINDOWS\system32\lcss.exe

Paso 3- Ejecuta estas herramientas, de a una:

Malwarebytes' Anti-Malware
*Nota* Es importante que envíes a "Cuarentena" todo lo que este detecte antes de copiar y pegarnos su reporte.

Antes de usar ComboFix....
Desactiva temporalmente el Antivirus y/o Antispyware.
Cierra todas las ventanas abiertas.
Hacele doble clic al archivo ComboFix.exe y seguí las instrucciones.
Cuando termine, generara un registro en C:\ComboFix.txt.
- *Nota* Mientras CF este trabajando no mover el mouse ya que pararía su proceso.
- *Nota* ComboFix puede reiniciar automáticamente el PC para completar el proceso de eliminación.

Cita:

Atención!! No use ComboFix a menos que se le haya indicado específicamente en su mensaje por un integrante de nuestro Staff. Es una herramienta de gran alcance destinada por su creador a ser usada bajo la orientación y supervisión de un experto, no para uso privado. El uso de ComboFix incorrectamente podría generar problemas en su sistema. Por favor, lea las "Negaciones de la Garantía" de ComboFix.

Paso 4- Descarga CCleaner y ejecútalo usando primero su opción de "Limpiador" para borrar cookies, temporales de Internet y todos los archivos que este te muestre como obsoletos, y luego usa su opción de "Registro" para limpiar todo el registro de Windows (haciendo copia de seguridad).

Reinicia y nos contas los resultados. junto con el reporte de

Paso 5- Reinicia en modo normal y nos dejas los reportes de:

Malwarebytes' Anti-Malware
C:\ComboFix.txt en este mismo mensaje.

**Nota**
- Para mayor comodidad imprime los pasos.
- Recuerda regresar y contarnos los resultados.

Salu2

Novedades del Foro | Antivirus Online | Eliminar Malwares | Políticas del Foro | Blog

* Ayúdanos haciendo una DONACIÓN para poder seguir Ayudando.
* Para evitar Virus y Spywares al navegar por internet, USE FIREFOX !!
* No se resuelven dudas por Privados ni por E-mail, ya que para eso esta el foro.

post #3 (permalink)

25/03/08, 17:54:18

puli_sev

Usuario

Registrado: mar 2008

Ubicación: España

Mensajes: 8

Re: Virtumonde

Muchísimas gracias,

voy a ello.

Última edición por puli_sev fecha: 25/03/08 a las 17:56:50.

post #4 (permalink)

25/03/08, 19:25:35

puli_sev

Usuario

Registrado: mar 2008

Ubicación: España

Mensajes: 8

Re: Virtumonde

Bueno, hecho.

Aunque lo primero que me ha pasado cuando he abierto internet es que me ha saltado un pop-up de CiD...

Aqui tengo los logs:

El del Malware:

"Malwarebytes' Anti-Malware 1.09
Versión de la Base de Datos: 541

Tipo de examen : Examen Completo (C:\|)
Objetos examinados: 122408
Tiempo transcurrido: 50 minute(s), 54 second(s)

Procesos en Memoria Infectados: 0
Módulos en Memoria Infectados: 0
Claves del Registro Infectadas: 14
Valores del Registro Infectados: 3
Elementos de Datos del Registro Infectados: 0
Carpetas Infectadas: 4
Ficheros Infectados: 12

Procesos en Memoria Infectados:
(No se han detectado elementos maliciosos)

Módulos en Memoria Infectados:
(No se han detectado elementos maliciosos)

Claves del Registro Infectadas:
HKEY_CLASSES_ROOT\testcpv6.bho (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{15421b84-3488-49a7-ad18-cbf84a3efaf6} (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\testcpv6.bho.1 (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Uninstall\CPV (Trojan.Downloader) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\BO1jiZmwnF2zhi (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Uninstall\NoDNS (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Software\Microsoft\MS Juan (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Software\xInsiDERexe (Adware.Agent) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Software\Microsoft\affri (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Software\Microsoft\affltid (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\WR (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\affltid (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\affri (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\FCOVM (Trojan.Vundo) -> Quarantined and deleted successfully.

Valores del Registro Infectados:
HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Run\JavaCore (Trojan.Downloader) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\New Windows\Allow\host-domain-lookup.com (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\New Windows\Allow\www.host-domain-lookup.com (Malware.Trace) -> Quarantined and deleted successfully.

Elementos de Datos del Registro Infectados:
(No se han detectado elementos maliciosos)

Carpetas Infectadas:
C:\Archivos de programa\Temporary (Trojan.Agent) -> Quarantined and deleted successfully.
C:\Archivos de programa\JavaCore (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\Archivos de programa\NoDNS (Trojan.Agent) -> Quarantined and deleted successfully.
C:\Archivos de programa\CPV (Trojan.Downloader) -> Quarantined and deleted successfully.

Ficheros Infectados:
C:\Archivos de programa\CPV\CPV7.dll (Trojan.Agent) -> Quarantined and deleted successfully.
C:\Documents and Settings\LocalService\Configuración local\Archivos temporales de Internet\Content.IE5\XOW324XA\newbox[1].gif (Trojan.Agent) -> Quarantined and deleted successfully.
C:\Documents and Settings\LocalService\Configuración local\Archivos temporales de Internet\Content.IE5\XOW324XA\pub[1].gif (Trojan.DownLoader) -> Quarantined and deleted successfully.
C:\WINDOWS\b152.exe (Trojan.Insider) -> Quarantined and deleted successfully.
C:\WINDOWS\b155.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\Archivos de programa\JavaCore\UnInstall.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\Archivos de programa\NoDNS\UnInstall.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system\nadlocop.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system\delnew.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\Fonts\a.zip (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\Documents and Settings\PC\lsass.exe (Heuristic.Reserved.Word.Exploit) -> Quarantined and deleted successfully.
C:\WINDOWS\Fonts\svchost.exe (Heuristic.Reserved.Word.Exploit) -> Quarantined and deleted successfully."

y el del ComboFix:

"ComboFix 08-03-25.1 - PC 2008-03-26 1:03:15.1 - NTFSx86
Se ejecuta desde: C:\Documents and Settings\PC\Escritorio\ComboFix.exe
* Resident AV is active

ADVERTENCIA - ESTE EQUIPO NO TIENE INSTALADA LA CONSOLA DE RECUPERACION!
.

(((((((((((((((((((((((((((((((((((( Otras eliminaciones )))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\Fonts\'
C:\WINDOWS\hosts
C:\WINDOWS\pskt.ini
C:\WINDOWS\system32\mantec~1
C:\WINDOWS\system32\mantec~1\??mantec\
C:\WINDOWS\system32\qqstv.ini
C:\WINDOWS\system32\qqstv.ini2
C:\WINDOWS\system32\rrqss.ini
C:\WINDOWS\system32\rrqss.ini2

.
(((((((((((((((((( Archivos creados desde 2008-02-26 - 2008-03-26 )))))))))))))))))))))))))))))))))
.

2008-03-25 20:17 . 2008-03-25 20:17 <DIR> d-------- C:\Archivos de programa\Trend Micro
2008-03-25 20:07 . 2008-03-25 20:07 <DIR> d-------- C:\Documents and Settings\PC\Datos de programa\Malwarebytes
2008-03-25 20:07 . 2008-03-25 20:07 <DIR> d-------- C:\Documents and Settings\All Users\Datos de programa\Malwarebytes
2008-03-25 20:07 . 2008-03-25 20:07 <DIR> d-------- C:\Archivos de programa\Malwarebytes' Anti-Malware
2008-03-25 19:54 . 2008-03-25 19:54 <DIR> d-------- C:\Archivos de programa\Archivos comunes\Cisco Systems
2008-03-25 19:53 . 2008-03-25 19:53 <DIR> d-------- C:\Documents and Settings\All Users\Datos de programa\Sophos
2008-03-25 19:53 . 2008-03-25 20:04 <DIR> d-------- C:\Archivos de programa\Sophos
2008-03-25 19:53 . 2006-05-08 11:00 15,872 --a------ C:\WINDOWS\system32\SophosBootTasks.exe
2008-03-25 19:48 . 2006-01-05 17:43 80,128 --a------ C:\WINDOWS\system32\drivers\savonaccesscontrol.sys
2008-03-25 19:48 . 2006-01-05 17:43 24,064 --a------ C:\WINDOWS\system32\drivers\savonaccessfilter.sys
2008-03-25 19:45 . 2008-03-25 19:48 <DIR> d-------- C:\stdtsa
2008-03-25 19:28 . 2008-03-25 19:28 <DIR> d-------- C:\Archivos de programa\Lavasoft
2008-03-25 14:36 . 2008-03-26 01:11 54,156 --ah----- C:\WINDOWS\QTFont.qfn
2008-03-25 14:36 . 2008-03-25 14:36 1,409 --a------ C:\WINDOWS\QTFont.for
2008-03-25 14:29 . 2008-03-25 14:28 512,096 --a------ C:\WINDOWS\system32\drivers\amon.sys
2008-03-25 14:29 . 2008-03-25 14:28 298,104 --a------ C:\WINDOWS\system32\imon.dll
2008-03-25 14:29 . 2008-03-25 14:28 15,424 --a------ C:\WINDOWS\system32\drivers\nod32drv.sys
2008-03-25 14:28 . 2008-03-26 01:01 <DIR> d-------- C:\Archivos de programa\ESET
2008-03-25 09:08 . 2008-03-25 09:11 <DIR> d-------- C:\Documents and Settings\All Users\Datos de programa\Lavasoft
2008-03-25 03:06 . 2008-03-25 13:02 354 ---hs---- C:\WINDOWS\system32\otydsqcv.ini
2008-03-25 01:47 . 2008-03-25 01:47 <DIR> d-------- C:\Archivos de programa\Trojan Killer
2008-03-25 01:29 . 2008-03-25 01:29 37,376 --a------ C:\WINDOWS\mrofinu1188.exe.tmp
2008-03-25 01:15 . 2008-03-25 01:15 <DIR> d-------- C:\WINDOWS\system32\Macromed
2008-03-24 01:38 . 2008-03-24 01:38 <DIR> d-------- C:\Documents and Settings\NetworkService\Datos de programa\Webroot
2008-03-24 00:35 . 2008-03-24 00:35 <DIR> d-------- C:\Documents and Settings\LocalService\Datos de programa\Webroot
2008-03-24 00:35 . 2007-03-01 19:54 144,960 --a------ C:\WINDOWS\system32\drivers\ssidrv.sys
2008-03-24 00:35 . 2007-03-01 19:54 22,080 --a------ C:\WINDOWS\system32\drivers\sshrmd.sys
2008-03-24 00:35 . 2007-03-01 19:54 21,056 --a------ C:\WINDOWS\system32\drivers\sskbfd.sys
2008-03-24 00:35 . 2007-03-01 19:54 20,544 --a------ C:\WINDOWS\system32\drivers\SSFS0509.sys
2008-03-24 00:33 . 2008-03-24 00:33 <DIR> d-------- C:\Documents and Settings\All Users\Datos de programa\Webroot
2008-03-24 00:33 . 2008-03-24 00:33 <DIR> d-------- C:\Archivos de programa\Webroot
2008-03-24 00:32 . 2008-03-24 00:32 <DIR> d-------- C:\Documents and Settings\PC\Datos de programa\Webroot
2008-03-21 22:27 . 2008-03-23 16:22 16,560 --a------ C:\WINDOWS\system32\drivers\hosts
2008-03-21 21:34 . 2008-03-21 21:34 147,456 --a------ C:\WINDOWS\system32\vbzip10.dll
2008-03-21 21:29 . 2008-03-25 01:28 <DIR> d-------- C:\WINDOWS\system32\aqVreo18
2008-03-21 21:29 . 2008-03-25 14:13 <DIR> d-------- C:\Temp
2008-03-21 21:29 . 2008-03-21 21:29 30,720 -r-hs---- C:\WINDOWS\system32\lcss.exe
2008-03-20 17:13 . 2008-03-20 17:13 <DIR> d-------- C:\Documents and Settings\PC\Datos de programa\Meridian93
2008-03-12 21:41 . 2008-03-12 21:41 23,392 --a------ C:\WINDOWS\system32\nscompat.tlb
2008-03-12 21:41 . 2008-03-12 21:41 16,832 --a------ C:\WINDOWS\system32\amcompat.tlb
2008-03-09 21:18 . 2008-03-09 21:18 4,096 --a------ C:\WINDOWS\d3dx.dat
2008-03-09 02:54 . 2008-03-09 02:54 <DIR> d-------- C:\WINDOWS\A4CFA95FE042481FAC5CDEAC1E6BD0ED.TMP
2008-03-08 00:03 . 2008-03-08 00:03 <DIR> d--hs---- C:\WINDOWS\ftpcache
2008-03-02 22:18 . 2008-03-02 22:27 <DIR> d--hsc--- C:\Archivos de programa\Archivos comunes\WindowsLiveInstaller

.
(((((((((((((((((((((((((((((((((((((( Reporte Find3M )))))))))))))))))))))))))))))))))))))))))))))))))) )
.
2008-03-26 00:12 --------- d-----w C:\Documents and Settings\PC\Datos de programa\Skype
2008-03-26 00:12 --------- d-----w C:\Archivos de programa\eMule
2008-03-25 11:56 --------- d-----w C:\Archivos de programa\SUPERAntiSpyware
2008-03-25 08:06 --------- d-----w C:\Archivos de programa\Archivos comunes\Wise Installation Wizard
2008-03-25 07:37 --------- d-----w C:\Archivos de programa\Spyware Doctor
2008-03-24 21:18 --------- d-----w C:\Documents and Settings\All Users\Datos de programa\Google Updater
2008-03-24 18:08 --------- d---a-w C:\Documents and Settings\All Users\Datos de programa\TEMP
2008-03-24 17:49 --------- d--h--w C:\Archivos de programa\InstallShield Installation Information
2008-03-23 17:00 --------- d-----w C:\Archivos de programa\Norton Security Scan
2008-03-21 05:32 --------- d-----w C:\Archivos de programa\Archivos comunes\Adobe
2008-03-12 19:37 --------- d-----w C:\Archivos de programa\Windows Media Connect 2
2008-03-12 00:52 --------- d-----w C:\Archivos de programa\ContaHogar
2008-03-07 23:04 --------- d-----w C:\Documents and Settings\PC\Datos de programa\PlayFirst
2008-03-07 22:49 --------- d-----w C:\Archivos de programa\Zylom Games
2008-03-03 22:34 --------- d-----w C:\Archivos de programa\Xvid
2008-03-03 22:34 --------- d-----w C:\Archivos de programa\QuickTime
2008-03-03 22:34 --------- d-----w C:\Archivos de programa\DivX
2008-03-02 21:46 --------- d-----w C:\Documents and Settings\All Users\Datos de programa\WLInstaller
2008-02-28 14:27 --------- d-----w C:\Archivos de programa\Windows Live
2008-02-25 19:59 --------- d-----w C:\Archivos de programa\iTunes
2008-02-25 19:58 --------- d-----w C:\Archivos de programa\iPod
2008-02-18 23:43 --------- d-----w C:\Documents and Settings\PC\Datos de programa\Zylom
2008-02-18 22:05 --------- d-----w C:\Documents and Settings\PC\Datos de programa\Fuzzy Games
2008-02-18 04:41 --------- d-----w C:\Documents and Settings\PC\Datos de programa\16 move
2008-02-18 04:41 --------- d-----w C:\Documents and Settings\All Users\Datos de programa\LICENSE ADMIN OPTION BIB
2008-02-18 04:41 --------- d-----w C:\Archivos de programa\16 move
2008-02-12 15:29 --------- d-----w C:\Archivos de programa\ReflexiveArcade
2008-02-12 13:30 --------- d-----w C:\Archivos de programa\Games
2008-02-11 21:53 --------- d-----w C:\Documents and Settings\All Users\Datos de programa\HipSoft
2008-02-07 01:23 --------- d-----w C:\Documents and Settings\PC\Datos de programa\Jane s Hotel
2008-02-06 17:04 --------- d-----w C:\Documents and Settings\PC\Datos de programa\iWin
2008-02-06 16:41 --------- d-----w C:\Documents and Settings\PC\Datos de programa\iWinArcade
2008-02-01 14:46 729,088 ----a-w C:\WINDOWS\iun6002.exe
2008-02-01 10:17 587,264 ----a-w C:\WINDOWS\WLXPGSS.SCR
2008-01-31 23:00 --------- d-----w C:\Documents and Settings\All Users\Datos de programa\n5-on-69-55-q5-r9
2008-01-08 19:11 28,096 ----a-w C:\Documents and Settings\PC\Datos de programa\GDIPFONTCACHEV1.DAT
2008-01-04 21:59 524,288 ----a-w C:\WINDOWS\system32\DivXsm.exe
2008-01-04 21:58 3,596,288 ----a-w C:\WINDOWS\system32\qt-dx331.dll
2008-01-04 21:58 200,704 ----a-w C:\WINDOWS\system32\ssldivx.dll
2008-01-04 21:58 1,044,480 ----a-w C:\WINDOWS\system32\libdivx.dll
2008-01-04 21:57 823,296 ----a-w C:\WINDOWS\system32\divx_xx0c.dll
2008-01-04 21:57 823,296 ----a-w C:\WINDOWS\system32\divx_xx07.dll
2008-01-04 21:57 81,920 ----a-w C:\WINDOWS\system32\dpl100.dll
2008-01-04 21:57 802,816 ----a-w C:\WINDOWS\system32\divx_xx11.dll
2008-01-04 21:57 682,496 ----a-w C:\WINDOWS\system32\DivX.dll
2008-01-04 21:57 593,920 ----a-w C:\WINDOWS\system32\dpuGUI11.dll
2008-01-04 21:57 57,344 ----a-w C:\WINDOWS\system32\dpv11.dll
2008-01-04 21:57 53,248 ----a-w C:\WINDOWS\system32\dpuGUI10.dll
2008-01-04 21:57 344,064 ----a-w C:\WINDOWS\system32\dpus11.dll
2008-01-04 21:57 294,912 ----a-w C:\WINDOWS\system32\dpu11.dll
2008-01-04 21:57 294,912 ----a-w C:\WINDOWS\system32\dpu10.dll
2008-01-04 21:57 196,608 ----a-w C:\WINDOWS\system32\dtu100.dll
2008-01-04 21:56 156,992 ----a-w C:\WINDOWS\system32\DivXCodecVersionChecker.exe
2008-01-04 21:56 12,288 ----a-w C:\WINDOWS\system32\DivXWMPExtType.dll
.

((((((((((((((((((((((((((((((((( Cargando Puntos Reg ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Nota* entradas vac¡as & entradas leg¡timas predeterminadas no son mostradas

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\Run]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-20 11:00 15360]
"swg"="C:\Archivos de programa\Google\GoogleToolbarNotifier\GoogleToolba rNotifier.exe" [2007-09-07 00:36 68856]
"TOSCDSPD"="C:\Archivos de programa\TOSHIBA\TOSCDSPD\toscdspd.exe" [2005-04-12 09:20 65536]
"SUPERAntiSpyware"="C:\Archivos de programa\SUPERAntiSpyware\SUPERAntiSpyware.exe" [2007-02-27 10:39 1310720]
"Skype"="C:\Archivos de programa\Skype\Phone\Skype.exe" [2007-05-11 12:20 23395880]
"MSMSGS"="C:\Archivos de programa\Messenger\msmsgs.exe" [2004-10-13 17:24 1694208]
"Multidvd"="C:\DOCUME~1\PC\DATOSD~1\16MOVE~1\DateM fcd.exe" [2008-02-18 05:40 426496]
"eMuleAutoStart"="C:\Archivos de programa\eMule\emule.exe" [2007-05-13 15:57 5308416]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run]
"Zooming"="ZoomingHook.exe" [2005-06-06 08:58 24576 C:\WINDOWS\system32\ZoomingHook.exe]
"Tvs"="C:\Archivos de programa\TOSHIBA\Tvs\TvsTray.exe" [2005-04-05 15:25 73728]
"TPSMain"="TPSMain.exe" [2005-08-12 12:48 266240 C:\WINDOWS\system32\TPSMain.exe]
"TPNF"="C:\Archivos de programa\TOSHIBA\TouchPad\TPTray.exe" [2005-08-25 18:11 53248]
"TFncKy"="TFncKy.exe" []
"TCtryIOHook"="TCtrlIOHook.exe" [2005-08-22 15:49 28672 C:\WINDOWS\system32\TCtrlIOHook.exe]
"SVPWUTIL"="C:\Archivos de programa\Toshiba\Windows Utilities\SVPWUTIL.exe" [2004-05-01 12:45 65536]
"SmoothView"="C:\Archivos de programa\TOSHIBA\TOSHIBA Zooming Utility\SmoothView.exe" [2005-05-12 10:16 118784]
"QuickTime Task"="C:\Archivos de programa\QuickTime\qttask.exe" [2008-01-31 23:13 385024]
"PadTouch"="C:\Archivos de programa\TOSHIBA\Touch and Launch\PadExe.exe" [2005-08-30 11:44 1077329]
"nod32kui"="C:\Archivos de programa\Eset\nod32kui.exe" [2008-03-25 14:28 949376]
"NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.e xe" [2001-07-09 10:50 155648]
"NDSTray.exe"="NDSTray.exe" []
"iTunesHelper"="C:\Archivos de programa\iTunes\iTunesHelper.exe" [2008-02-19 13:10 267048]
"igfxtray"="C:\WINDOWS\system32\igfxtray.exe" [2005-07-19 19:09 94208]
"igfxpers"="C:\WINDOWS\system32\igfxpers.exe" [2005-07-19 19:10 114688]
"igfxhkcmd"="C:\WINDOWS\system32\hkcmd.exe" [2005-07-19 19:06 77824]
"HWSetup"="C:\Archivos de programa\TOSHIBA\TOSHIBA Applet\HWSetup.exe" [2004-05-01 12:45 28672]
"Google Desktop Search"="C:\Archivos de programa\Google\Google Desktop Search\GoogleDesktop.exe" [2007-09-15 11:05 1836544]
"dla"="C:\WINDOWS\system32\dla\tfswctrl.exe" [2005-05-31 04:33 122941]
"CeEKEY"="C:\Archivos de programa\TOSHIBA\E-KEY\CeEKey.exe" [2005-09-06 13:04 671744]
"BigDogPath"="C:\WINDOWS\VM_STI.exe" [2004-06-09 15:37 40960]
"Apoint"="C:\Archivos de programa\Apoint2K\Apoint.exe" [2004-03-24 06:40 196608]
"AGRSMMSG"="AGRSMMSG.exe" [2004-12-22 09:10 88358 C:\WINDOWS\agrsmmsg.exe]
"Adobe Version Cue CS2"="C:\Archivos de programa\Adobe\Adobe Version Cue CS2\ControlPanel\VersionCueCS2Tray.exe" [2005-04-06 16:53 856064]
"Adobe Reader Speed Launcher"="C:\Archivos de programa\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 22:16 39792]
"Adobe Photo Downloader"="C:\Archivos de programa\Adobe\Photoshop Album Starter Edition\3.2\Apps\apdproxy.exe" [2007-03-22 15:09 63712]
"Acrobat Assistant 7.0"="C:\Archivos de programa\Adobe\Adobe Acrobat 7.0\Distillr\Acrotray.exe" [2006-01-12 20:52 483328]
"MSConfig"="C:\WINDOWS\PCHealth\HelpCtr\Binaries\M SConfig.exe" [2004-08-20 11:00 159744]
"SpySweeper"="C:\Archivos de programa\Webroot\Spy Sweeper\SpySweeperUI.exe" [2007-03-01 20:20 4865600]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\Cur rentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-20 11:00 15360]
"Picasa Media Detector"="C:\Archivos de programa\Picasa2\PicasaMediaDetector.exe" [2007-09-28 02:17 443968]
"msnmsgr"="C:\Archivos de programa\Windows Live\Messenger\msnmsgr.exe" [2007-10-18 11:34 5724184]

[hkey_local_machine\software\microsoft\windows\curr entversion\explorer\shellexecutehooks]
"{56F9679E-7826-4C84-81F3-532071A8BCC5}"= C:\Archivos de programa\Windows Desktop Search\MSNLNamespaceMgr.dll [2007-02-05 14:39 294400]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\!SASWinLogon]
C:\Archivos de programa\SUPERAntiSpyware\SASWINLO.dll 2007-02-27 10:39 282624 C:\Archivos de programa\SUPERAntiSpyware\SASWINLO.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"=C:\ARCHIV~1\Google\GOOGLE~4\GOEC62~ 1.DLL

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menú Inicio^Programas^Inicio^Adobe Gamma.lnk]

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menú Inicio^Programas^Inicio^Búsqueda en el escritorio de Windows.lnk]

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menú Inicio^Programas^Inicio^Google Updater.lnk]

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menú Inicio^Programas^Inicio^Inicio rápido de Adobe Acrobat.lnk]

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menú Inicio^Programas^Inicio^Inicio rápido de Adobe Reader.lnk]

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menú Inicio^Programas^Inicio^Microsoft Office.lnk]

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menú Inicio^Programas^Inicio^TrayMin300.exe.lnk]

[HKLM\~\startupfolder\C:^Documents and Settings^PC^Menú Inicio^Programas^Inicio^iWin Desktop Alerts.lnk]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LSA Shellu]
C:\Documents and Settings\PC\lsass.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\nvcoi]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\runner1]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Saii]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WindowsServicesStartup]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"aa0n58e3y7t3"=2 (0x2)

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusDisableNotify"=dword:00000001
"UpdatesDisableNotify"=dword:00000001
"AntiVirusOverride"=dword:00000001
"FirewallOverride"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SophosAntiVirus]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpo licy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpo licy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"C:\\Archivos de programa\\Adobe\\Adobe Version Cue CS2\\bin\\VersionCueCS2.exe"=
"C:\\Archivos de programa\\iTunes\\iTunes.exe"=
"C:\\Archivos de programa\\Windows Live\\Messenger\\msnmsgr.exe"=
"C:\\Archivos de programa\\Windows Live\\Messenger\\livecall.exe"=
"C:\\Archivos de programa\\Skype\\Phone\\Skype.exe"=

R1 SAVOnAccess Control;SAVOnAccess Control;C:\WINDOWS\system32\DRIVERS\savonaccesscon trol.sys [2006-01-05 17:43]
R1 SAVOnAccess Filter;SAVOnAccess Filter;C:\WINDOWS\system32\DRIVERS\savonaccessfilt er.sys [2006-01-05 17:43]
S3 tosrfec;Bluetooth ACPI from TOSHIBA;C:\WINDOWS\system32\DRIVERS\tosrfec.sys [2005-03-24 15:36]
S4 g35b7z8f6;g35b7z8f6;"C:\WINDOWS\system32\svshost.e xe" []
S4 l65r3r5c0;l65r3r5c0;"C:\WINDOWS\system32\lcss.exe" [2008-03-21 21:29]

[HKEY_CURRENT_USER\software\microsoft\windows\curre ntversion\explorer\mountpoints2\{01c196ef-ca8c-11dc-99d1-000fb0e0b347}]
\Shell\AutoRun\command - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL wscript.exe WIN31.dll.vbs

[HKEY_CURRENT_USER\software\microsoft\windows\curre ntversion\explorer\mountpoints2\{0cd6f7bb-6aca-11dc-98e8-000fb0e0b347}]
\Shell\AutoRun\command - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL key.exe
\Shell\infected\command - key.exe

[HKEY_CURRENT_USER\software\microsoft\windows\curre ntversion\explorer\mountpoints2\{15945b44-ca6d-11dc-99d0-000fb0e0b347}]
\Shell\AutoOpen\command - E:\.\MSOCache\90000804-6000-11D3-8CFE-0150048383C9\KB915865.exe
\Shell\AutoRun\command - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL .\MSOCache\90000804-6000-11D3-8CFE-0150048383C9\KB915865.exe

[HKEY_CURRENT_USER\software\microsoft\windows\curre ntversion\explorer\mountpoints2\{71dd13da-c59c-11dc-99c9-000fb0e0b347}]
\Shell\AutoOpen\command - .\MSOCache\90000804-6000-11D3-8CFE-0150048383C9\KB915865.exe
\Shell\AutoRun\command - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL .\MSOCache\90000804-6000-11D3-8CFE-0150048383C9\KB915865.exe

[HKEY_CURRENT_USER\software\microsoft\windows\curre ntversion\explorer\mountpoints2\{d0a6d24e-c59b-11dc-99c8-000fb0e0b347}]
\Shell\Auto\command - fun.xls.exe
\Shell\AutoRun\command - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL fun.xls.exe

[HKEY_CURRENT_USER\software\microsoft\windows\curre ntversion\explorer\mountpoints2\{f111145c-cda4-11dc-99d7-000fb0e0b347}]
\Shell\AutoOpen\command - E:\.\MSOCache\90000804-6000-11D3-8CFE-0150048383C9\KB915865.exe
\Shell\AutoRun\command - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL .\MSOCache\90000804-6000-11D3-8CFE-0150048383C9\KB915865.exe

.
Contenido de carpeta 'Tareas Programadas'
"2008-03-24 10:06:05 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job"
- C:\Archivos de programa\Apple Software Update\SoftwareUpdate.exe
"2008-03-26 00:00:02 C:\WINDOWS\Tasks\B2CC68AE942C1BEE.job"
- c:\docume~1\pc\datosd~1\16move~1\build real store.exe
"2008-03-23 17:01:22 C:\WINDOWS\Tasks\Norton Security Scan.job"
- C:\Archivos de programa\Norton Security Scan\Nss.exe
.
************************************************** ************************

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-03-26 01:11:05
Windows 5.1.2600 Service Pack 2 NTFS

escaneando procesos ocultos ...

escaneando entradas ocultas de autostart ...

escaneando archivos ocultos ...

el escaneo se completo con exito
archivos ocultos: 0

************************************************** ************************
.
--------------------- DLLs cargados bajo los procesos en ejecuci¢n ---------------------

PROCESS: C:\WINDOWS\system32\lsass.exe
-> C:\Archivos de programa\Eset\pr_imon.dll
.
------------------------ Other Running Processes ------------------------
.
c:\Archivos de programa\Sophos\Sophos Anti-Virus\SavService.exe
C:\Archivos de programa\Adobe\Adobe Version Cue CS2\bin\VersionCueCS2.exe
C:\Archivos de programa\Archivos comunes\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Archivos de programa\TOSHIBA\ConfigFree\CFSvcs.exe
C:\Archivos de programa\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7Debug\mdm.exe
C:\Archivos de programa\Eset\nod32krn.exe
c:\Archivos de programa\Sophos\Sophos Anti-Virus\SAVAdminService.exe
c:\Archivos de programa\Sophos\AutoUpdate\ALsvc.exe
C:\Archivos de programa\Webroot\Spy Sweeper\SpySweeper.exe
C:\Archivos de programa\Adobe\Adobe Version Cue CS2\data\database\bin\mysqld-nt.exe
C:\WINDOWS\system32\SearchIndexer.exe
C:\Archivos de programa\TOSHIBA\TOSHIBA Controls\TFncKy.exe
C:\Archivos de programa\TOSHIBA\ConfigFree\NDSTray.exe
C:\WINDOWS\system32\TPSBattM.exe
C:\Archivos de programa\iPod\bin\iPodService.exe
C:\Archivos de programa\Apoint2K\Apntex.exe
C:\Archivos de programa\Internet Explorer\IEXPLORE.EXE
C:\Archivos de programa\Sophos\AutoUpdate\ALMon.exe
C:\Archivos de programa\Internet Explorer\IEXPLORE.EXE
.
************************************************** ************************
.
Tiempo completado: 2008-03-26 1:16:31 - machine was rebooted
ComboFix-quarantined-files.txt 2008-03-26 00:16:27
.
2008-03-16 11:27:34 --- E O F --- "

Qué me dices?

Por cierto, en mi casa se usa el Norton, como antivirus, crees que es suficiente? O me recomiendas otro? (para cuando desinstale tooooooodos los q tengo ahora

)

Gracias!

post #5 (permalink)

25/03/08, 20:15:41

ElPiedra

FS-Admin

Registrado: ene 2005

Ubicación: Miami

Mensajes: 25.832

Re: Virtumonde

Hola, vuelve a reiniciar y nos dejas un nuevo reporte de HijackThis.

Salu2

post #6 (permalink)

25/03/08, 21:21:33

puli_sev

Usuario

Registrado: mar 2008

Ubicación: España

Mensajes: 8

Re: Virtumonde

Aquí está, perdón por tardar:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 3:18:02, on 26/03/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16608)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Archivos de programa\Adobe\Adobe Version Cue CS2\bin\VersionCueCS2.exe
C:\Archivos de programa\Archivos comunes\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Archivos de programa\TOSHIBA\ConfigFree\CFSvcs.exe
C:\Archivos de programa\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7Debug\mdm.exe
C:\Archivos de programa\Eset\nod32krn.exe
c:\Archivos de programa\Sophos\Sophos Anti-Virus\SAVAdminService.exe
c:\Archivos de programa\Sophos\AutoUpdate\ALsvc.exe
C:\WINDOWS\system32\svchost.exe
C:\Archivos de programa\Webroot\Spy Sweeper\SpySweeper.exe
C:\Archivos de programa\Adobe\Adobe Version Cue CS2\data\database\bin\mysqld-nt.exe
C:\WINDOWS\system32\SearchIndexer.exe
C:\WINDOWS\system32\ZoomingHook.exe
C:\Archivos de programa\TOSHIBA\Tvs\TvsTray.exe
C:\Archivos de programa\TOSHIBA\TouchPad\TPTray.exe
C:\Archivos de programa\TOSHIBA\TOSHIBA Controls\TFncKy.exe
C:\WINDOWS\system32\TCtrlIOHook.exe
C:\Archivos de programa\TOSHIBA\TOSHIBA Zooming Utility\SmoothView.exe
C:\Archivos de programa\TOSHIBA\Touch and Launch\PadExe.exe
C:\Archivos de programa\TOSHIBA\ConfigFree\NDSTray.exe
C:\Archivos de programa\iTunes\iTunesHelper.exe
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\igfxpers.exe
C:\WINDOWS\system32\hkcmd.exe
C:\Archivos de programa\Google\Google Desktop Search\GoogleDesktop.exe
C:\WINDOWS\system32\dla\tfswctrl.exe
C:\Archivos de programa\TOSHIBA\E-KEY\CeEKey.exe
C:\WINDOWS\VM_STI.EXE
C:\Archivos de programa\Apoint2K\Apoint.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Archivos de programa\Adobe\Adobe Version Cue CS2\ControlPanel\VersionCueCS2Tray.exe
C:\Archivos de programa\Adobe\Reader 8.0\Reader\Reader_sl.exe
C:\Archivos de programa\Adobe\Photoshop Album Starter Edition\3.2\Apps\apdproxy.exe
C:\Archivos de programa\Adobe\Adobe Acrobat 7.0\Distillr\Acrotray.exe
C:\Archivos de programa\Webroot\Spy Sweeper\SpySweeperUI.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Archivos de programa\Google\Google Desktop Search\GoogleDesktop.exe
C:\Archivos de programa\Google\GoogleToolbarNotifier\GoogleToolba rNotifier.exe
C:\Archivos de programa\TOSHIBA\TOSCDSPD\toscdspd.exe
C:\Archivos de programa\SUPERAntiSpyware\SUPERAntiSpyware.exe
C:\Archivos de programa\Skype\Phone\Skype.exe
C:\Archivos de programa\iPod\bin\iPodService.exe
C:\Archivos de programa\Messenger\msmsgs.exe
C:\Archivos de programa\Apoint2K\Apntex.exe
C:\WINDOWS\system32\TPSBattM.exe
C:\Archivos de programa\eMule\emule.exe
C:\Archivos de programa\Internet Explorer\IEXPLORE.EXE
C:\Archivos de programa\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\system32\wuauclt.exe
C:\Archivos de programa\Sophos\AutoUpdate\ALMon.exe
C:\Archivos de programa\Webroot\Spy Sweeper\SSU.EXE
C:\Archivos de programa\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.negroogle.es/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
R3 - URLSearchHook: Barra Yahoo! con bloqueador de ventanas emergentes - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O2 - BHO: Aplicación auxiliar de vínculos de Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Archivos comunes\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\archivos de programa\google\googletoolbar3.dll
O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Archivos de programa\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\archivos de programa\google\googletoolbar3.dll
O3 - Toolbar: PDF de Adobe - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Archivos de programa\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [Zooming] ZoomingHook.exe
O4 - HKLM\..\Run: [Tvs] "C:\Archivos de programa\TOSHIBA\Tvs\TvsTray.exe"
O4 - HKLM\..\Run: [TPSMain] TPSMain.exe
O4 - HKLM\..\Run: [TPNF] "C:\Archivos de programa\TOSHIBA\TouchPad\TPTray.exe"
O4 - HKLM\..\Run: [TFncKy] TFncKy.exe
O4 - HKLM\..\Run: [TCtryIOHook] TCtrlIOHook.exe
O4 - HKLM\..\Run: [SVPWUTIL] "C:\Archivos de programa\Toshiba\Windows Utilities\SVPWUTIL.exe" SVPwUTIL
O4 - HKLM\..\Run: [SmoothView] "C:\Archivos de programa\TOSHIBA\TOSHIBA Zooming Utility\SmoothView.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [PadTouch] "C:\Archivos de programa\TOSHIBA\Touch and Launch\PadExe.exe"
O4 - HKLM\..\Run: [nod32kui] "C:\Archivos de programa\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [NDSTray.exe] NDSTray.exe
O4 - HKLM\..\Run: [iTunesHelper] "C:\Archivos de programa\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [igfxtray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [igfxpers] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [igfxhkcmd] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [HWSetup] "C:\Archivos de programa\TOSHIBA\TOSHIBA Applet\HWSetup.exe" hwSetUP
O4 - HKLM\..\Run: [Google Desktop Search] "C:\Archivos de programa\Google\Google Desktop Search\GoogleDesktop.exe" /startup
O4 - HKLM\..\Run: [dla] C:\WINDOWS\system32\dla\tfswctrl.exe
O4 - HKLM\..\Run: [CeEKEY] "C:\Archivos de programa\TOSHIBA\E-KEY\CeEKey.exe"
O4 - HKLM\..\Run: [BigDogPath] "C:\WINDOWS\VM_STI.EXE" Philips SPC 200NC PC Camera
O4 - HKLM\..\Run: [Apoint] "C:\Archivos de programa\Apoint2K\Apoint.exe"
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [Adobe Version Cue CS2] "C:\Archivos de programa\Adobe\Adobe Version Cue CS2\ControlPanel\VersionCueCS2Tray.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Archivos de programa\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Archivos de programa\Adobe\Photoshop Album Starter Edition\3.2\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [Acrobat Assistant 7.0] "C:\Archivos de programa\Adobe\Adobe Acrobat 7.0\Distillr\Acrotray.exe"
O4 - HKLM\..\Run: [LSA Shellu] C:\Documents and Settings\PC\lsass.exe
O4 - HKLM\..\Run: [SpySweeper] C:\Archivos de programa\Webroot\Spy Sweeper\SpySweeperUI.exe /startintray
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [swg] "C:\Archivos de programa\Google\GoogleToolbarNotifier\GoogleToolba rNotifier.exe"
O4 - HKCU\..\Run: [TOSCDSPD] "C:\Archivos de programa\TOSHIBA\TOSCDSPD\toscdspd.exe"
O4 - HKCU\..\Run: [SUPERAntiSpyware] "C:\Archivos de programa\SUPERAntiSpyware\SUPERAntiSpyware.exe"
O4 - HKCU\..\Run: [Skype] "C:\Archivos de programa\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [MSMSGS] "C:\Archivos de programa\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Multidvd] C:\DOCUME~1\PC\DATOSD~1\16MOVE~1\DateMfcd.exe
O4 - HKCU\..\Run: [eMuleAutoStart] "C:\Archivos de programa\eMule\emule.exe" -AutoStart
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICIO LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Servicio de red')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: AutoUpdate Monitor.lnk = C:\Archivos de programa\Sophos\AutoUpdate\ALMon.exe
O8 - Extra context menu item: Convertir a PDF de Adobe - res://C:\Archivos de programa\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convertir a PDF existente - res://C:\Archivos de programa\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convertir destino de vínculo a PDF existente - res://C:\Archivos de programa\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convertir destino de vínculo en archivo PDF de Adobe - res://C:\Archivos de programa\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convertir selección a archivo PDF existente - res://C:\Archivos de programa\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convertir selección a PDF de Adobe - res://C:\Archivos de programa\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convertir vínculos seleccionados a PDF de Adobe - res://C:\Archivos de programa\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Convertir vínculos seleccionados a PDF existente - res://C:\Archivos de programa\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_03\bin\npjpi150_03.dll
O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_03\bin\npjpi150_03.dll
O9 - Extra button: Agregar entrada - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Archivos de programa\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra 'Tools' menuitem: &Agregar entrada en Windows Live Writer - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Archivos de programa\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx2.hotmail.com/mail/w2/pr02/resources/MSNPUpld.cab
O16 - DPF: {6218F7B5-0D3A-48BA-AE4C-49DCFA63D400} (CSEQueryObject Object) - http://www.myheritage.es/Genoogle/Components/ActiveX/SearchEngineQuery.dll
O16 - DPF: {67DABFBF-D0AB-41FA-9C46-CC0F21721616} (DivXBrowserPlugin Object) - http://download.divx.com/player/DivXBrowserPlugin.cab
O16 - DPF: {7FC1B346-83E6-4774-8D20-1A6B09B0E737} (Windows Live Photo Upload Control) - http://puli04.spaces.live.com/PhotoUpload/MsnPUpld.cab
O16 - DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} (Zylom Games Player) - http://game05.zylom.com/activex/zylomgamesplayer.cab
O16 - DPF: {CF40ACC5-E1BB-4AFF-AC72-04C2F616BCA7} (get_atlcom Class) - http://www.adobe.com/products/acrobat/nos/gp.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O16 - DPF: {DF780F87-FF2B-4DF8-92D0-73DB16A1543A} - http://www.shockwave.com/content/zuma/sis/popcaploader_v10.cab
O17 - HKLM\System\CS1\Services\Tcpip\..\{053495E0-D31E-4CA4-8C15-0CD4DE7796D0}: NameServer = 80.58.61.250,80.58.61.254
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\ARCHIV~1\ARCHIV~1\Skype\SKYPE4~1.DLL
O20 - AppInit_DLLs: C:\ARCHIV~1\Google\GOOGLE~4\GOEC62~1.DLL
O20 - Winlogon Notify: !SASWinLogon - C:\Archivos de programa\SUPERAntiSpyware\SASWINLO.dll
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft - C:\Archivos de programa\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: Adobe LM Service - Adobe Systems - C:\Archivos de programa\Archivos comunes\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Adobe Version Cue CS2 - Adobe Systems Incorporated - C:\Archivos de programa\Adobe\Adobe Version Cue CS2\bin\VersionCueCS2.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Archivos de programa\Archivos comunes\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: ConfigFree Service (CFSvcs) - TOSHIBA CORPORATION - C:\Archivos de programa\TOSHIBA\ConfigFree\CFSvcs.exe
O23 - Service: GoogleDesktopManager - Google - C:\Archivos de programa\Google\Google Desktop Search\GoogleDesktop.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Archivos de programa\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Servicio del iPod (iPod Service) - Apple Inc. - C:\Archivos de programa\iPod\bin\iPodService.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Archivos de programa\Eset\nod32krn.exe
O23 - Service: Indicador del estado de Sophos Anti-Virus (SAVAdminService) - Sophos Plc - c:\Archivos de programa\Sophos\Sophos Anti-Virus\SAVAdminService.exe
O23 - Service: Sophos Anti-Virus (SAVService) - Sophos Plc - c:\Archivos de programa\Sophos\Sophos Anti-Virus\SavService.exe
O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Archivos de programa\Spyware Doctor\svcntaux.exe
O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Archivos de programa\Spyware Doctor\swdsvc.exe
O23 - Service: Sophos AutoUpdate Service - Sophos Plc - c:\Archivos de programa\Sophos\AutoUpdate\ALsvc.exe
O23 - Service: Motor de Spy Sweeper de Webroot (WebrootSpySweeperService) - Webroot Software, Inc. - C:\Archivos de programa\Webroot\Spy Sweeper\SpySweeper.exe

--
End of file - 14322 bytes

post #7 (permalink)

26/03/08, 18:56:56

ElPiedra

FS-Admin

Registrado: ene 2005

Ubicación: Miami

Mensajes: 25.832

Re: Virtumonde

Hola puli_sev,

Descarga la herramienta SDFix y guárdala y descomprimirla en tu escritorio pero no la ejecutes aun.

(Es posible que el antivirus que tengas instalado te advierta de una infección en esta herramienta, es debido al tipo de código pero no te preocupes por ello, permite el paso de la herramienta)

Reinicia eh inicia en "Modo a prueba de fallos" (modo seguro)

Con todos los programas cerrados ejecuta el HijackThis y dale a esta entrada:

O4 - HKLM\..\Run: [LSA Shellu] C:\Documents and Settings\PC\lsass.exe

O4 - HKCU\..\Run: [Multidvd] C:\DOCUME~1\PC\DATOSD~1\16MOVE~1\DateMfcd.exe

Ejecuta SDFix.exe en el escritorio, se creará una nueva carpeta en el escritorio, entra en dicha carpeta y ejecuta el archivo "Runthis.bat" luego, presiona la tecla "Y" para que comience el chequeo, al terminar, se creará un archivo dentro de la carpeta llamado Report.txt, copia y pega lo que indique ese reporte acá.

Descarga CCleaner y ejecútalo usando primero su opción de "Limpiador" para borrar cookies, temporales de Internet y todos los archivos que este te muestre como obsoletos, y luego usa su opción de "Registro" para limpiar todo el registro de Windows (haciendo copia de seguridad).

Reinicia y nos contas los resultados.

Salu2

post #8 (permalink)

27/03/08, 17:03:41

puli_sev

Usuario

Registrado: mar 2008

Ubicación: España

Mensajes: 8

Re: Virtumonde

Hola de nuevo...

he hecho lo qe me dijiste... pero con 1diferencia: en el SDFix no me daba opcion de 'Y', así que pulsé 'A' que era "Create System Report"..., lo pongo en otro post que aqui no cabe...

No me han saltado aun ventanas... xo el SUPERAntiSpyware me sigue detectando cookies de adware

Qué desesperación, por dios!!!Por lo menos ya funciona en condiciones...

Muchísimas gracias de nuevo...

post #9 (permalink)

27/03/08, 17:06:42

puli_sev

Usuario

Registrado: mar 2008

Ubicación: España

Mensajes: 8

Re: Virtumonde

System Report
*************

Run on 27/03/2008 at 11:19

Microsoft Windows XP [Versi¢n 5.1.2600]

Current user is an administrator

Running Processes:

\SystemRoot\System32\smss.exe [636]
\??\C:\WINDOWS\system32\csrss.exe [712]
\??\C:\WINDOWS\system32\winlogon.exe [736]
C:\WINDOWS\system32\services.exe [780]
C:\WINDOWS\system32\lsass.exe [792]
C:\WINDOWS\system32\svchost.exe [980]
C:\WINDOWS\system32\svchost.exe [1024]
C:\WINDOWS\Explorer.EXE [1420]
C:\WINDOWS\system32\svchost.exe [452]

Drivers - Running:

ACPI
ACPIEC
AFD
AgereSoftModem
ALCXWDM
AMON
ApfiltrService
Arp1394
atapi
audstub
Beep
Cdfs
Cdrom
CmBatt
Compbatt
Disk
drvmcdb
drvnddm
Fips
FltMgr
Ftdisk
GEARAspiWDM
Gpc
HidUsb
i8042prt
ialm
Imapi
IntelIde
intelppm
IPSec
isapnp
Iviaspi
Kbdclass
KSecDD
mnmdd
Modem
Mouclass
mouhid
MountMgr
MRxSmb
Msfs
mssmbios
Mup
NDIS
NdisTapi
NdisWan
NDProxy
NetBIOS
NetBT
Netdevio
NIC1394
nod32drv
Npfs
Ntfs
Null
ohci1394
PartMgr
PCI
PCIIde
Pcmcia
Pfc
PptpMiniport
PSched
Ptilink
PxHelp20
RasAcd
Rasl2tp
RasPppoe
Raspti
Rdbss
RDPCDD
redbook
RTL8023xp
SASDIFSV
SASKUTIL
SAVOnAccess
SAVOnAccess
sdbus
sr
SrvcSSIOMngr
sscdbhk5
SSFS0509
SSHRMD
SSIDRV
SSKBFD
ssrtln
swenum
Tcpip
TermDD
tfsnboio
tfsncofs
tfsndrct
tfsndres
tfsnifs
tfsnopio
tfsnpool
tfsnudf
tfsnudfa
tifm21
TPwSav
Tvs
Update
usbehci
usbhub
usbuhci
VgaSave
VolSnap
w29n51
Wanarp
WS2IFSL
WudfPf

Drivers - Stopped:

Abiosdsk
abp480n5
adpu160m
aec
Aha154x
aic78u2
aic78xx
AliIde
amsint
asc
asc3350p
asc3550
AsyncMac
Atdisk
Atmarpc
catchme
cbidf2k
CCDECODE
cd20xrnt
Cdaudio
Changer
CmdIde
Cpqarray
dac960nt
dmboot
dmio
dmload
DMusic
dpti2o
drmkaud
Fastfat
Fdc
Flpydisk
hpn
HTTP
i2omgmt
i2omp
IKFileSec
IKSysFlt
IKSysSec
InCDFs
InCDPass
InCDRm
ini910u
Ip6Fw
IpFilterDriver
IpInIp
IpNat
IRENUM
kbdhid
kmixer
lbrtfdc
mraid35x
MRxDAV
MSKSSRV
MSPCLOCK
MSPQM
MSTEE
NABTSFEC
NdisIP
Ndisuio
NwlnkFlt
NwlnkFwd
Parport
ParVdm
PCIDump
PDCOMP
PDFRAME
PDRELI
PDRFRAME
perc2
perc2hib
ql1080
Ql10wnt
ql12160
ql1240
ql1280
RDPWD
rtl8139
SASENUM
Secdrv
Serial
Sfloppy
Simbad
SLIP
SONYPVU1
Sparrow
splitter
Srv
streamip
swmidi
symc810
symc8xx
sym_hi
sym_u3
sysaudio
TDPIPE
TDTCP
TosIde
tosrfec
Udfs
ultra
usbccgp
USBSTOR
ViaIde
WDICA
wdmaud
WpdUsb
WSTCODEC
WudfRd
ZSMC301b

Services - Running:

DcomLaunch
EventSystem
RpcSs
SENS
winmgmt

Services - Stopped:

aawservice
Adobe
Adobe
Alerter
ALG
Apple
AppMgmt
aspnet_state
AudioSrv
BITS
Browser
CFSvcs
CiSvc
ClipSrv
clr_optimization_v2.0.50727_32
COMSysApp
CryptSvc
Dhcp
dmadmin
dmserver
Dnscache
ERSvc
Eventlog
FastUserSwitchingCompatibility
g35b7z8f6
GoogleDesktopManager
gusvc
helpsvc
HidServ
HTTPFilter
ImapiService
iPod
l65r3r5c0
lanmanserver
lanmanworkstation
LmHosts
MDM
Messenger
mnmsrvc
MSDTC
MSIServer
NetDDE
NetDDEdsdm
Netlogon
Netman
Nla
NOD32krn
NtLmSsp
NtmsSvc
ose
PlugPlay
PolicyAgent
Programador
ProtectedStorage
RasAuto
RasMan
RDSessMgr
RemoteAccess
RpcLocator
RSVP
SamSs
SAVAdminService
SAVService
SCardSvr
Schedule
sdAuxService
sdCoreService
seclogon
SharedAccess
ShellHWDetection
Sophos
Spooler
srservice
SSDPSRV
stisvc
SwPrv
SysmonLog
TapiSrv
TermService
Themes
TrkWks
upnphost
UPS
usnjsvc
VSS
W32Time
WebClient
WebrootSpySweeperService
WLSetupSvc
WmdmPmSN
WmiApSrv
wscsvc
WSearch
wuauserv
WudfSvc
WZCSVC
xmlprov

Files Created/Modified - 60 Days:

C:\

27 Mar 2008 11:17:04 211 A.SHR "C:\boot.ini"
26 Mar 2008 1:16:34 21.543 A.... "C:\ComboFix.txt"
27 Mar 2008 11:12:10 1.063.768.064 A.SH. "C:\hiberfil.sys"
27 Mar 2008 11:12:08 1.598.029.824 A.SH. "C:\pagefile.sys"
27 Mar 2008 11:05:34 1.414.077 A.... "C:\SDFix.exe"

C:\WINDOWS\

27 Mar 2008 11:01:44 0 A.... "C:\WINDOWS\0.log"
25 Mar 2008 13:02:34 1.380 A.... "C:\WINDOWS\BM47cfb3e6.txt"
27 Mar 2008 11:12:12 2.048 A.S.. "C:\WINDOWS\bootstat.dat"
9 Mar 2008 21:18:20 4.096 A....