virtumonde y nod32 - Página 2

		Foro de Spyware ⇒ Spyware - Adware - Hijackers - Malwares ⇒ Foro de Virus y Spywares
virtumonde y nod32

Página 2 de 3

Herramientas

#11 (permalink)

23/04/08, 16:40:38

Havenwood

Usuario

Registrado: abr 2008

Ubicación: Argentina

Mensajes: 20

Re: virtumonde y nod32

**EDITADO**

POR FAVOR!!! pega el reporte aqui:Esto es un virus?

Última edición por <¡D3vIL!> fecha: 23/04/08 a las 16:46:13.

#12 (permalink)

24/04/08, 15:00:39

animalejo74 animalejo74 está offline

Usuario

Registrado: abr 2008

Ubicación: Colombia

Mensajes: 11

Re: virtumonde y nod32

hola Amigos del foro,

Primero les comento que no fue posible hacer el analisis con Kapersky on line
Hice todos los pasos que están en el manual,pero llego hasta la parte donde debe analizar pero se detuvo y no generó ningún reporte,no se si hice algo mal ,pero lo intenté hacer tres veces y siempre fué igual
envio la imagen de la parte hasta donde llegúe

también volví a hacerlo con Combofix, aquí les envio el reporte
ComboFix 08-04-20.2 - Administrador 2008-04-23 21:27:05.4 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.3082.18.380 [GMT -5:00]
Se ejecuta desde: C:\Documents and Settings\Administrador\Escritorio\ComboFix.exe

ADVERTENCIA - ESTE EQUIPO NO TIENE INSTALADA LA CONSOLA DE RECUPERACION!
.

(((((((((((((((((((((((((((((((((((( Otras eliminaciones )))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\cookies.ini
C:\WINDOWS\pskt.ini
C:\WINDOWS\system32\awtrRJyy.dll
C:\WINDOWS\system32\awturRjk.dll
C:\WINDOWS\system32\ddcYoOfd.dll
C:\WINDOWS\system32\dfOoYcdd.ini
C:\WINDOWS\system32\dfOoYcdd.ini2
C:\WINDOWS\system32\ehotgvok.ini
C:\WINDOWS\system32\ehotgvok.ini2
C:\WINDOWS\system32\ehotgvok.tmp
C:\WINDOWS\system32\kovgtohe.dll
C:\WINDOWS\system32\mcrh.tmp
C:\WINDOWS\system32\pmnnKecB.dll
C:\WINDOWS\system32\rqRIcbaA.dll
C:\WINDOWS\system32\velkguac.dll
C:\WINDOWS\system32\xijibwjl.dll
C:\WINDOWS\system32\yyJRrtwa.ini
C:\WINDOWS\system32\yyJRrtwa.ini2

.
(((((((((((((((((( Archivos creados desde 2008-03-24 - 2008-04-24 )))))))))))))))))))))))))))))))))
.

2008-04-23 12:08 . 2008-04-23 12:08 <DIR> d-------- C:\WINDOWS\system32\Kaspersky Lab
2008-04-23 12:08 . 2008-04-23 12:08 <DIR> d-------- C:\Documents and Settings\All Users\Datos de programa\Kaspersky Lab
2008-04-22 21:38 . 2008-04-22 21:38 <DIR> d----c--- C:\_OTMoveIt
2008-04-22 17:29 . 2008-04-22 17:30 1,540,797 ---hs---- C:\WINDOWS\system32\euiofrbv.ini
2008-04-22 17:29 . 2008-04-22 17:29 97,856 --a------ C:\WINDOWS\system32\fgsiuaoy.dll
2008-04-22 17:29 . 2008-04-22 17:29 87,616 --a------ C:\WINDOWS\system32\vbrfoiue.dll
2008-04-22 15:12 . 2008-04-22 17:29 1,540,737 ---hs---- C:\WINDOWS\system32\dtpcoufj.ini
2008-04-22 08:09 . 2008-04-22 08:10 <DIR> d-------- C:\Documents and Settings\Administrador\Datos de programa\VideoEgg
2008-04-21 10:43 . 2007-10-24 01:47 282,112 --a------ C:\WINDOWS\system32\TBD12C.tmp
2008-04-20 21:41 . 2008-04-21 14:17 <DIR> d-------- C:\WINDOWS\system32\config\systemprofile\Configura ción local
2008-04-20 21:41 . 2008-04-21 14:17 <DIR> d-------- C:\Documents and Settings\NetworkService\Configuración local
2008-04-20 21:41 . 2008-04-20 21:41 <DIR> d-------- C:\Documents and Settings\MARIA JOSÉ
2008-04-20 21:41 . <DIR> C:\Documents and Settings\MARIA JOS+\Configuración local
2008-04-20 21:41 . <DIR> C:\Documents and Settings\MARIA JOS+\Configuración local
2008-04-20 21:41 . 2008-04-21 14:17 <DIR> d-------- C:\Documents and Settings\LocalService\Configuración local
2008-04-20 21:41 . 2008-04-21 14:17 <DIR> d-------- C:\Documents and Settings\JULIETH\Configuración local
2008-04-20 21:41 . 2008-04-21 14:17 <DIR> d-------- C:\Documents and Settings\Invitado\Configuración local
2008-04-20 21:41 . 2008-04-21 14:17 <DIR> d-------- C:\Documents and Settings\ALEJANDRO\Configuración local
2008-04-20 21:41 . 2008-04-21 14:17 <DIR> d-------- C:\Documents and Settings\Administrador\Configuración local
2008-04-19 14:14 . 2008-04-19 14:14 <DIR> d-------- C:\Documents and Settings\ALEJANDRO\Datos de programa\Ulead Systems
2008-04-16 19:21 . 2008-04-16 19:21 244 --ah-c--- C:\sqmnoopt05.sqm
2008-04-16 19:21 . 2008-04-16 19:21 232 --ah-c--- C:\sqmdata05.sqm
2008-04-16 10:35 . 2008-04-16 10:34 502,368 --a------ C:\WINDOWS\system32\drivers\amon.sys
2008-04-12 22:04 . 2008-04-17 18:19 <DIR> d-------- C:\Documents and Settings\Invitado\Datos de programa\Wildfire
2008-04-12 13:31 . 2008-04-12 13:31 244 --ah-c--- C:\sqmnoopt04.sqm
2008-04-12 13:31 . 2008-04-12 13:31 232 --ah-c--- C:\sqmdata04.sqm
2008-04-12 12:48 . 2008-04-12 12:48 244 --ah-c--- C:\sqmnoopt03.sqm
2008-04-12 12:48 . 2008-04-12 12:48 232 --ah-c--- C:\sqmdata03.sqm
2008-04-12 12:06 . 2008-04-12 12:06 244 --ah-c--- C:\sqmnoopt02.sqm
2008-04-12 12:06 . 2008-04-12 12:06 232 --ah-c--- C:\sqmdata02.sqm
2008-04-12 07:57 . 2008-04-17 07:39 <DIR> d----c--- C:\Archivos de programa\ESET
2008-04-11 16:32 . 2008-04-11 16:32 <DIR> d-------- C:\Documents and Settings\Invitado\Datos de programa\Zylom Games
2008-04-11 16:32 . 2008-04-11 16:32 <DIR> d-------- C:\Documents and Settings\Invitado\Datos de programa\Zylom
2008-04-11 14:56 . 2008-04-11 14:56 <DIR> d-------- C:\Documents and Settings\Invitado\Datos de programa\Talkback
2008-04-07 08:17 . 2008-04-07 08:22 1,660 --a------ C:\WINDOWS\mozver.dat
2008-04-04 21:26 . 2008-04-04 21:26 83,520 --a------ C:\WINDOWS\system32\xgipfnku.dll
2008-04-04 21:23 . 2008-04-04 21:23 87,104 --a------ C:\WINDOWS\system32\rlekfpww.dll
2008-04-04 15:34 . 2008-04-04 15:34 <DIR> d-------- C:\Documents and Settings\ALEJANDRO\Datos de programa\Talkback
2008-04-04 14:45 . 2008-04-04 14:45 87,104 --a------ C:\WINDOWS\system32\iapayohi.dll
2008-04-02 19:17 . 2008-04-20 14:34 <DIR> d-------- C:\Documents and Settings\JULIETH.DESKTOP
2008-04-02 07:49 . 2008-04-19 08:15 <DIR> d-a------ C:\Documents and Settings\All Users\Datos de programa\TEMP
2008-04-01 15:35 . 2008-04-01 15:35 244 --ah-c--- C:\sqmnoopt01.sqm
2008-04-01 15:35 . 2008-04-01 15:35 232 --ah-c--- C:\sqmdata01.sqm
2008-03-30 14:54 . 2008-04-23 15:11 109,734 --a------ C:\WINDOWS\BM17b3c1af.xml
2008-03-29 11:51 . 2008-03-29 11:51 268 --ah-c--- C:\sqmdata00.sqm
2008-03-29 11:51 . 2008-03-29 11:51 244 --ah-c--- C:\sqmnoopt00.sqm
2008-03-29 08:15 . 2008-03-29 14:25 1,583,817 ---hs---- C:\WINDOWS\system32\evcstngi.ini
2008-03-28 08:29 . 2008-03-28 08:29 <DIR> d-------- C:\Documents and Settings\ALEJANDRO\Datos de programa\CyberLink
2008-03-28 07:28 . 2008-03-28 07:29 <DIR> d-------- C:\Documents and Settings\ALEJANDRO\Contacts
2008-03-27 13:20 . 2008-03-27 13:20 33 --a------ C:\WINDOWS\desktop
2008-03-27 09:54 . 2008-03-27 09:54 <DIR> d-------- C:\WINDOWS\McAfee.com

.
(((((((((((((((((((((((((((((((((((((( Reporte Find3M )))))))))))))))))))))))))))))))))))))))))))))))))) )
.
2008-04-20 18:06 --------- d-----w C:\Archivos de programa\Lexmark X1100 Series
2008-04-16 15:26 --------- d--h--w C:\Archivos de programa\InstallShield Installation Information
2008-04-16 15:26 --------- d-----w C:\Archivos de programa\Panda Security
2008-04-16 15:26 --------- d-----w C:\Archivos de programa\Archivos comunes\Panda Software
2008-04-06 12:46 --------- d-----w C:\Archivos de programa\Nero
2008-04-03 18:45 --------- d-----w C:\Documents and Settings\Administrador\Datos de programa\Talkback
2008-04-03 18:36 --------- d-----w C:\Documents and Settings\JULIETH\Datos de programa\Talkback
2008-03-31 15:30 --------- d-----w C:\Documents and Settings\Administrador\Datos de programa\Wildfire
2008-03-28 12:57 --------- d-----w C:\Documents and Settings\ALEJANDRO\Datos de programa\Wildfire
2008-03-23 02:36 --------- d-----w C:\Documents and Settings\JULIETH\Datos de programa\Wildfire
2008-03-13 14:07 --------- d-----w C:\Documents and Settings\All Users\Datos de programa\sentinel
2008-03-13 13:53 --------- d-----w C:\Documents and Settings\All Users\Datos de programa\McAfee
2008-03-13 13:53 --------- d-----w C:\Archivos de programa\McAfee
2008-03-09 19:10 --------- d-----w C:\Archivos de programa\Xvid
2008-03-08 11:47 --------- d-----w C:\Archivos de programa\Archivos comunes\Ulead Systems
2008-03-08 11:46 --------- d-----w C:\Documents and Settings\All Users\Datos de programa\Ulead Systems
2008-03-02 23:17 --------- d-----w C:\Documents and Settings\All Users\Datos de programa\PlayFirst
2008-03-02 23:17 --------- d-----w C:\Documents and Settings\Administrador\Datos de programa\PlayFirst
2008-03-02 22:32 --------- d-----w C:\Documents and Settings\All Users\Datos de programa\Zylom
.

------- Sigcheck -------

2007-07-29 07:46 579072 237fb93c6b4330d8ee7d2448cf71c5ed C:\WINDOWS\system32\user32.dll

2007-07-29 07:46 2061824 fda9504c4993043ef75ad2f59cd6daba C:\WINDOWS\system32\ntkrnlpa.exe

2007-07-29 07:46 2184576 61bdb2667827d484604c9a09248d6223 C:\WINDOWS\system32\ntoskrnl.exe

2007-07-29 07:45 953856 e9c19fd131d46eb3ef52b7a31ef33a90 C:\WINDOWS\explorer.exe
2007-07-29 07:45 1035776 dbb6b75cc6cb2cf8ec0bafca08aed6be C:\WINDOWS\XPize\Backup\explorer.exe

2004-08-19 08:42 30208 84ad8e1b758c1abea80cfcc087be0ed3 C:\WINDOWS\system32\ctfmon.exe
2004-08-19 08:42 15360 25ecfa69af1563fde8dfd31f9954497a C:\WINDOWS\XPize\Backup\ctfmon.exe
.
((((((((((((((((((((((((((((( snapshot_2008-04-21_14.17.30.89 )))))))))))))))))))))))))))))))))))))))))
.
- 2008-04-21 19

39 2,048 --s-a-w C:\WINDOWS\bootstat.dat
+ 2008-04-24 02:31:43 2,048 --s-a-w C:\WINDOWS\bootstat.dat
+ 2005-05-24 17:27:16 213,048 ----a-w C:\WINDOWS\system32\Kaspersky Lab\Kaspersky Online Scanner\kavss.dll
+ 2007-08-29 20:47:20 94,208 ----a-w C:\WINDOWS\system32\Kaspersky Lab\Kaspersky Online Scanner\kavuninstall.exe
+ 2007-08-29 20:49:54 950,272 ----a-w C:\WINDOWS\system32\Kaspersky Lab\Kaspersky Online Scanner\kavwebscan.dll
.
((((((((((((((((((((((((((((((((( Cargando Puntos Reg ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Nota* entradas vac¡as & entradas leg¡timas predeterminadas no son mostradas

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\Run]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-19 08:42 30208]
"ares"="E:\PROGRAMAS\ARES\Ares.exe" [2007-12-31 09:29 962560]
"L08EXLRD_24674765"="C:\Archivos de programa\Microsoft Student\Microsoft Student con Encarta Premium 2008 DVD\EDICT.exe" [2007-05-23 16:00 351000]
"Yahoo! Pager"="C:\Archivos de programa\Yahoo!\Messenger\YahooMessenger.exe" [2007-12-28 01:45 4670704]
"TaskSwitchXP"="C:\Archivos de programa\TaskSwitchXP\TaskSwitchXP.exe" [2006-08-04 17:29 62976]
"msnmsgr"="C:\Archivos de programa\MSN Messenger\msnmsgr.exe" [2007-12-28 01:34 5674352]
"IndxStoreSvr_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="C:\Archivos de programa\Archivos comunes\Nero\Lib\NMIndexStoreSvr.exe" [2007-12-13 19:10 1688872]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run]
"SoundMan"="SOUNDMAN.EXE" [2006-11-17 05:42 577536 C:\WINDOWS\SOUNDMAN.EXE]
"SiSPower"="SiSPower.dll" [2007-01-23 12:34 53248 C:\WINDOWS\system32\SiSPower.dll]
"Microsoft Spool 23 Service"="spool23.exe" []
"NeroFilterCheck"="C:\Archivos de programa\Archivos comunes\Nero\Lib\NeroCheck.exe" [2007-03-01 14:57 153136]
"NBKeyScan"="C:\Archivos de programa\Nero\Nero8\Nero BackItUp\NBKeyScan.exe" [2007-12-03 14:21 2213160]
"MSN UPSP"="msnupsp.exe" []
"McAfeeUpdaterUI"="C:\Archivos de programa\McAfee\Common Framework\UdaterUI.exe" [2006-11-17 13:39 136768]
"Lexmark X1100 Series"="C:\Archivos de programa\Lexmark X1100 Series\lxbkbmgr.exe" [2003-08-19 06:18 57344]
"nod32kui"="C:\Archivos de programa\Eset\nod32kui.exe" [2008-04-16 10:34 921600]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\Cur rentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-19 08:42 30208]
"Picasa Media Detector"="C:\Archivos de programa\Picasa2\PicasaMediaDetector.exe" [2007-10-23 16:18 443968]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\Cur rentVersion\RunOnce]
"nltide_3"="advpack.dll" [2007-12-06 21:08 124928 C:\WINDOWS\system32\advpack.dll]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\curr entversion\policies\system]
"DisableStatusMessages"= 0 (0x0)

[HKEY_LOCAL_MACHINE\software\microsoft\windows\curr entversion\policies\explorer]
"NoDesktopCleanupWizard"= 1 (0x1)

[HKEY_CURRENT_USER\software\microsoft\windows\curre ntversion\policies\explorer]
"ForceClassicControlPanel"= 1 (0x1)
"NoSMHelp"= 1 (0x1)
"NoSMConfigurePrograms"= 1 (0x1)
"NoSMMyPictures"= 1 (0x1)
"NoResolveTrack"= 1 (0x1)
"NoResolveSearch"= 1 (0x1)

[HKEY_USERS\.default\software\microsoft\windows\cur rentversion\policies\explorer]
"ForceClassicControlPanel"= 1 (0x1)
"NoSMHelp"= 1 (0x1)
"NoSMConfigurePrograms"= 1 (0x1)
"NoSMMyPictures"= 1 (0x1)
"NoResolveTrack"= 1 (0x1)
"NoResolveSearch"= 1 (0x1)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\awturRjk]
awturRjk.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\jkkHAstu]
jkkHAstu.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"msacm.mpegacm"= mpegacm.acm
"msacm.ulmp3acm"= ulmp3acm.acm
"msacm.dvacm"= C:\ARCHIV~1\ARCHIV~1\ULEADS~1\Vio\Dvacm.acm

[HKLM\~\services\sharedaccess\parameters\firewallpo licy\standardprofile]
"DisableNotifications"= 1 (0x1)
"DisableUnicastResponsesToMulticastBroadcast"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpo licy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"C:\\Archivos de programa\\MSN Messenger\\msnmsgr.exe"=
"C:\\Archivos de programa\\MSN Messenger\\livecall.exe"=
"C:\\Archivos de programa\\Yahoo!\\Messenger\\YahooMessenger.exe"=
"C:\\Archivos de programa\\Yahoo!\\Messenger\\YServer.exe"=
"E:\\PROGRAMAS\\ARES\\Ares.exe"=
"C:\\WINDOWS\\system32\\LEXPPS.EXE"=
"C:\\Archivos de programa\\Archivos comunes\\Nero\\Nero Web\\SetupX.exe"=
"C:\\Archivos de programa\\McAfee\\Common Framework\\FrameworkService.exe"=
"C:\\Archivos de programa\\Mozilla Firefox\\firefox.exe"=

R2 UxTuneUp;TuneUp Ampliación del thema;C:\WINDOWS\System32\svchost.exe [2004-08-19 08:43]
R3 usbscan;Controlador de escáner USB;C:\WINDOWS\system32\DRIVERS\usbscan.sys [2007-07-29 14:47]
S2 riode32;riode32;C:\WINDOWS\system32\drivers\riode3 2.sys []
S3 USBSTOR;Dispositivo de almacenamiento masivo de datos USB;C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS [2007-07-29 14:47]

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
UxTuneUp

.
Contenido de carpeta 'Tareas Programadas'
"2008-04-18 22:15:00 C:\WINDOWS\Tasks\Mantenimiento con 1 clic.job"
- C:\Archivos de programa\TuneUp Utilities 2007\SystemOptimizer.exe
.
************************************************** ************************

catchme 0.3.1353 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-04-23 22:08:52
Windows 5.1.2600 Service Pack 2 NTFS

escaneando procesos ocultos ...

escaneando entradas ocultas de autostart ...

escaneando archivos ocultos ...

el escaneo se completo con exito
archivos ocultos: 1

************************************************** ************************
.
------------------------ Other Running Processes ------------------------
.
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\LEXPPS.EXE
C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Archivos de programa\Nero\Nero8\Nero BackItUp\NBService.exe
C:\Archivos de programa\ESET\nod32krn.exe
C:\Archivos de programa\Archivos comunes\Ulead Systems\DVD\ULCDRSvr.exe
C:\Archivos de programa\McAfee\Common Framework\Mctray.exe
C:\Archivos de programa\Archivos comunes\Nero\Lib\NMIndexingService.exe
.
************************************************** ************************
.
Tiempo completado: 2008-04-23 22:13:43 - machine was rebooted [Administrador]
ComboFix-quarantined-files.txt 2008-04-24 03:13:38
ComboFix2.txt 2008-04-21 19:17:53
ComboFix3.txt 2008-04-21 02:41:34

9 dirs 16,194,232,320 bytes libres
12 dirs 16,326,557,696 bytes libres

229 --- E O F --- 2008-04-21 15:47:38

les agradezco mucho su intención de ayudarme ,pero quiero saber a quien le hago caso porque ya hay tres personas que me están tratando de ayudar,¡puede haber algún problema?,¿hago lo que me digan todos o me direcciono solo con uno?

#13 (permalink)

24/04/08, 16:58:28

dlahman77

Usuario Habitual

Registrado: ene 2008

Ubicación: argentina

Mensajes: 1.083

Re: virtumonde y nod32

Hola el que te esta ayudando es <¡D3vIL!> , yo solo te dije los pasos siguientes para que aceleres la desinfeccion, ya que <¡D3vIL!> no estaba conectado en el foro y vos si.
El otro usuario se equiboco en poner el caso de el en el tuyo y fue movido.

Solo uno te esta aydando

Si no podes hacer con kaspersky hacelo con panda online y pega el reporte y espera a que te conteste <¡D3vIL!>

#14 (permalink)

25/04/08, 03:07:53

coroxx

Usuario

Registrado: abr 2008

Ubicación: venezuela

Mensajes: 2

Re: virtumonde y nod32

yo lo elimine con el AVG , descargatelo y actualizalo, prueba a ver luego si te los eliminas quedate con el... solo mi humilde opinion...pasate por mi post que esta mas arriba que el tuyo

#15 (permalink)

25/04/08, 13:07:16

<¡D3vIL!>

Warrior

Registrado: may 2006

Ubicación: Silent hill

Mensajes: 6.342

Re: virtumonde y nod32

Hola animalejo74

Realiza estos:

Descarga KillBox y lo guardas en el escritorio.

Hace doble clic en Killbox.exe para ejecutarlo.
Desde el Killbox ventana, selecciona:
- "Delete on Reboot".
- "All Files".
Copia el texto que se encuentra en el cuadrado más abajo, y pega el texto en el marco "Full Path of File to Delete"

Código:

C:\_OTMoveIt
C:\WINDOWS\system32\euiofrbv.ini
C:\WINDOWS\system32\fgsiuaoy.dll
C:\WINDOWS\system32\vbrfoiue.dll
C:\WINDOWS\system32\dtpcoufj.ini
C:\WINDOWS\system32\TBD12C.tmp
C:\WINDOWS\system32\xgipfnku.dll
C:\WINDOWS\system32\rlekfpww.dll
C:\WINDOWS\system32\iapayohi.dll

Volver a Killbox, ve al menú "File" y selecciona "Paste from Clipboard"
Esto se pega a la "Full Path of File to Delete"
Hace clic en el botón con el círculo rojo y blanco X ( "Eliminar Archivo"), espera unos momentos y luego acepta el mensaje que aparecerá (Tu sistema será reiniciado)
Después de reiniciar, se creará un archivo log.txt ubicado en C:\!KillBox\Logs, ese tal reporte lo pegas aquí
Nota* Si no reinicia el PC automáticamente, debes reiniciarlo tu mismo

Después esto:

Descarga HijackThis 2.0.2, descomprimelo en tú escritorio y lo instalas.
Ve a C:\Archivos de programa\HJT y busca el archivo Hijackthis.exe dale clic derecho y selecciona la opción cambiar nombre...
Vas a cambiar el nombre por Analizador.exe.
Ejecuta Analizador.exe y presiona el botón "Do a system scan and save a logfile"
Analizador.exe (HijackThis) escaneara el sistema y automáticamente se te abrira un block de notas.
Ve al menú "Edición", cliquea sobre "Seleccionar todo" (o utiliza la combinación de teclas Ctrl + E) ve al mismo menú otra vez pero esta vez presiona sobre Copiar (o Ctrl + C).
Pega el reporte en este mismo TEMA!

salu2

Recuerda volver

__________________

<¡D3ViL!>

Novedades del Foro | Antivirus Online | Eliminar Malwares | Políticas del Foro | Blog

* Ayúdanos haciendo una DONACIÓN para poder seguir Ayudando.
* Para evitar Virus y Spywares al navegar por internet, USE FIREFOX !!
* No se resuelven dudas por Privados ni por E-mail, ya que para eso esta el foro.

#16 (permalink)

25/04/08, 15:28:46

animalejo74 animalejo74 está offline

Usuario

Registrado: abr 2008

Ubicación: Colombia

Mensajes: 11

Re: virtumonde y nod32

Hola nuevamente <¡D3vIL!>

Ejecuté KillBox y aquí está el reporte.
Pocket Killbox version 2.0.0.881
Running on Windows XP as Administrador(Administrator)
was started @ Viernes, Abril 25, 2008, 2:02 PM

# 1 [Delete on Reboot]
Path = C:\_OTMoveIt

# 2 [Delete on Reboot]
Path = C:\WINDOWS\system32\euiofrbv.ini

# 3 [Delete on Reboot]
Path = C:\WINDOWS\system32\fgsiuaoy.dll

# 4 [Delete on Reboot]
Path = C:\WINDOWS\system32\vbrfoiue.dll

# 5 [Delete on Reboot]
Path = C:\WINDOWS\system32\dtpcoufj.ini

# 6 [Delete on Reboot]
Path = C:\WINDOWS\system32\TBD12C.tmp

# 7 [Delete on Reboot]
Path = C:\WINDOWS\system32\xgipfnku.dll

# 8 [Delete on Reboot]
Path = C:\WINDOWS\system32\rlekfpww.dll

# 9 [Delete on Reboot]
Path = C:\WINDOWS\system32\iapayohi.dll

I Rebooted @ 2:05:00 PM
Killbox Closed(Exit) @ 2:05:03 PM
__________________________________________________

Luego ejecuté HijackThis y este es el reporte

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 02:16:45 p.m., on 25/04/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16640)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Archivos de programa\Nero\Nero8\Nero BackItUp\NBService.exe
C:\Archivos de programa\Eset\nod32krn.exe
C:\WINDOWS\system32\svchost.exe
C:\Archivos de programa\Archivos comunes\Ulead Systems\DVD\ULCDRSvr.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Archivos de programa\McAfee\Common Framework\UdaterUI.exe
C:\Archivos de programa\Lexmark X1100 Series\lxbkbmgr.exe
C:\Archivos de programa\Eset\nod32kui.exe
C:\WINDOWS\system32\ctfmon.exe
E:\PROGRAMAS\ARES\Ares.exe
C:\Archivos de programa\McAfee\Common Framework\McTray.exe
C:\Archivos de programa\Microsoft Student\Microsoft Student con Encarta Premium 2008 DVD\EDICT.EXE
C:\Archivos de programa\Lexmark X1100 Series\lxbkbmon.exe
C:\Archivos de programa\TaskSwitchXP\TaskSwitchXP.exe
C:\Archivos de programa\MSN Messenger\msnmsgr.exe
C:\Archivos de programa\Archivos comunes\Nero\Lib\NMIndexStoreSvr.exe
C:\Archivos de programa\Archivos comunes\Nero\Lib\NMIndexingService.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Archivos de programa\MSN Messenger\usnsvc.exe
C:\Archivos de programa\Mozilla Firefox\firefox.exe
E:\PROGRAMAS\Hijack\Analizador.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.eltiempo.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.busca7.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: Aplicación auxiliar de vínculos de Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Archivos comunes\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.6.0_02\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\archivos de programa\google\googletoolbar2.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Archivos de programa\Google\GoogleToolbarNotifier\2.0.301.7164 \swg.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\archivos de programa\google\googletoolbar2.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [SiSPower] Rundll32.exe SiSPower.dll,ModeAgent
O4 - HKLM\..\Run: [Microsoft Spool 23 Service] spool23.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Archivos de programa\Archivos comunes\Nero\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [NBKeyScan] "C:\Archivos de programa\Nero\Nero8\Nero BackItUp\NBKeyScan.exe"
O4 - HKLM\..\Run: [MSN UPSP] msnupsp.exe
O4 - HKLM\..\Run: [McAfeeUpdaterUI] "C:\Archivos de programa\McAfee\Common Framework\UdaterUI.exe" /StartedFromRunKey
O4 - HKLM\..\Run: [Lexmark X1100 Series] "C:\Archivos de programa\Lexmark X1100 Series\lxbkbmgr.exe"
O4 - HKLM\..\Run: [nod32kui] "C:\Archivos de programa\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [ares] "E:\PROGRAMAS\ARES\Ares.exe" -h
O4 - HKCU\..\Run: [L08EXLRD_24674765] "C:\Archivos de programa\Microsoft Student\Microsoft Student con Encarta Premium 2008 DVD\EDICT.EXE" -m
O4 - HKCU\..\Run: [Yahoo! Pager] "C:\Archivos de programa\Yahoo!\Messenger\YahooMessenger.exe" -quiet
O4 - HKCU\..\Run: [TaskSwitchXP] C:\Archivos de programa\TaskSwitchXP\TaskSwitchXP.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Archivos de programa\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [IndxStoreSvr_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Archivos de programa\Archivos comunes\Nero\Lib\NMIndexStoreSvr.exe" ASO-616B5711-6DAE-4795-A05F-39A1E5104020
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICIO LOCAL')
O4 - HKUS\S-1-5-19\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'SERVICIO LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Servicio de red')
O4 - HKUS\S-1-5-20\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'Servicio de red')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'Default user')
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~1\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Barra de búsqueda de Encarta - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/eng/partner/default/kavwebscan_unicode.cab
O16 - DPF: {7FC1B346-83E6-4774-8D20-1A6B09B0E737} (Windows Live Photo Upload Control) - http://animalejo74.spaces.live.com/PhotoUpload/MsnPUpld.cab
O16 - DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} (Zylom Games Player) - http://game03.zylom.com/activex/zylomgamesplayer.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - http://download.mcafee.com/molbin/iss-loc/mcfscan/2,2,0,5260/mcfscan.cab
O20 - Winlogon Notify: awturRjk - awturRjk.dll (file missing)
O20 - Winlogon Notify: jkkHAstu - jkkHAstu.dll (file missing)
O23 - Service: Ares Chatroom server (AresChatServer) - Ares Development Group - E:\PROGRAMAS\ARES\chatServer.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Archivos de programa\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: McAfee Framework Service (McAfeeFramework) - McAfee, Inc. - C:\Archivos de programa\McAfee\Common Framework\FrameworkService.exe
O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - C:\Archivos de programa\Nero\Nero8\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Archivos de programa\Archivos comunes\Nero\Lib\NMIndexingService.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Archivos de programa\Eset\nod32krn.exe
O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Archivos de programa\Archivos comunes\Ulead Systems\DVD\ULCDRSvr.exe

--
End of file - 8146 bytes

Nota:
Para terminar te quiero comentar acerca de algo que está pasando cuando empezó tod esto y es que al iniciar el computador la pantalla se agranda, esto lo puedo arregla haciendo click derecho sobre el escitorio y en propiedades de pantalla subo la resolución de pantalla doy aplicar y se pone normal
lo malo es que cada que abro algún programa vueve a agrandarse y tengo que volver a hacer lo mismo hay alguna forma de arreglarlo para siempre

Gracias

Espero tu respuesta

#17 (permalink)

25/04/08, 21:12:13

<¡D3vIL!>

Warrior

Registrado: may 2006

Ubicación: Silent hill

Mensajes: 6.342

Re: virtumonde y nod32

Hola animalejo74

Apaga Restaurar Sistema
Reinicia a prueba de fallos
Con todos los programas cerrados ejecuta HijackThis y dale a estas entradas:
- O4 - HKLM\..\Run: [Microsoft Spool 23 Service] spool23.exe
- O20 - Winlogon Notify: jkkHAstu - jkkHAstu.dll (file missing)
Usa el Ccleaner para limpiar el sistema. Primero utilizá la opción de "Limpiador" para borrar cookies, temporales de Internet y todos los archivos que este te muestre como obsoletos. Luego usa su opción de "Registro" para limpiar todo el registro de Windows (haciendo copia de seguridad).
Reinicia el PC.

Descarga SDFix y guárdala y descomprimirla en tu escritorio pero no la ejecutes aún.
Reinicia eh inicia en "Modo a prueba de fallos"
Ejecuta SDFix.exe en el escritorio, se creará una nueva carpeta en el escritorio, entra en dicha carpeta y ejecuta el archivo "Runthis.bat" luego, presiona la tecla "Y" para que comience el chequeo, al terminar, se creará un archivo dentro de la carpeta llamado Report.txt, copia y pega lo que indique ese reporte acá.
- Nota*1 Es posible que el antivirus que tengas instalado te advierta de una infección en la herramienta SDFix, es debido al tipo de código pero no te preocupes por ello, permite el paso de la herramienta.
- Nota*2 SDFix funcionará solamente en el Windows 2000 y Windows XP en modo seguro (Requiere privilegios de la cuenta del administrador)

PP// peganos un nuevo LOG de HJT

salu2

Recuerda volver y contarnos los resultados

__________________

<¡D3ViL!>

#18 (permalink)

01/05/08, 22:23:24

animalejo74 animalejo74 está offline

Usuario

Registrado: abr 2008

Ubicación: Colombia

Mensajes: 11

Re: virtumonde y nod32

catchme 0.3.1353 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-04-26 08:39:22
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden files ...

IPC error: 2 El sistema no puede hallar el archivo especificado.
scan completed successfully
hidden files: 0

reporte de sdfix

SDFix: Version 1.175
Run by Administrador on 26/04/2008 at 08:40 a.m.

Microsoft Windows XP [Versi¢n 5.1.2600]
Running From: E:\PROGRA~1\SDfix\SDFix

Checking Services :

Name :
riode32

Path :
\??\C:\WINDOWS\system32\drivers\riode32.sys

riode32 - Deleted

Restoring Windows Registry Values
Restoring Windows Default Hosts File
Restoring Missing Security Center Service

reporte hijack
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 02:16:45 p.m., on 25/04/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16640)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Archivos de programa\Nero\Nero8\Nero BackItUp\NBService.exe
C:\Archivos de programa\Eset\nod32krn.exe
C:\WINDOWS\system32\svchost.exe
C:\Archivos de programa\Archivos comunes\Ulead Systems\DVD\ULCDRSvr.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Archivos de programa\McAfee\Common Framework\UdaterUI.exe
C:\Archivos de programa\Lexmark X1100 Series\lxbkbmgr.exe
C:\Archivos de programa\Eset\nod32kui.exe
C:\WINDOWS\system32\ctfmon.exe
E:\PROGRAMAS\ARES\Ares.exe
C:\Archivos de programa\McAfee\Common Framework\McTray.exe
C:\Archivos de programa\Microsoft Student\Microsoft Student con Encarta Premium 2008 DVD\EDICT.EXE
C:\Archivos de programa\Lexmark X1100 Series\lxbkbmon.exe
C:\Archivos de programa\TaskSwitchXP\TaskSwitchXP.exe
C:\Archivos de programa\MSN Messenger\msnmsgr.exe
C:\Archivos de programa\Archivos comunes\Nero\Lib\NMIndexStoreSvr.exe
C:\Archivos de programa\Archivos comunes\Nero\Lib\NMIndexingService.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Archivos de programa\MSN Messenger\usnsvc.exe
C:\Archivos de programa\Mozilla Firefox\firefox.exe
E:\PROGRAMAS\Hijack\Analizador.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.eltiempo.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.busca7.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: Aplicación auxiliar de vínculos de Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Archivos comunes\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.6.0_02\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\archivos de programa\google\googletoolbar2.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Archivos de programa\Google\GoogleToolbarNotifier\2.0.301.7164 \swg.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\archivos de programa\google\googletoolbar2.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [SiSPower] Rundll32.exe SiSPower.dll,ModeAgent
O4 - HKLM\..\Run: [Microsoft Spool 23 Service] spool23.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Archivos de programa\Archivos comunes\Nero\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [NBKeyScan] "C:\Archivos de programa\Nero\Nero8\Nero BackItUp\NBKeyScan.exe"
O4 - HKLM\..\Run: [MSN UPSP] msnupsp.exe
O4 - HKLM\..\Run: [McAfeeUpdaterUI] "C:\Archivos de programa\McAfee\Common Framework\UdaterUI.exe" /StartedFromRunKey
O4 - HKLM\..\Run: [Lexmark X1100 Series] "C:\Archivos de programa\Lexmark X1100 Series\lxbkbmgr.exe"
O4 - HKLM\..\Run: [nod32kui] "C:\Archivos de programa\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [ares] "E:\PROGRAMAS\ARES\Ares.exe" -h
O4 - HKCU\..\Run: [L08EXLRD_24674765] "C:\Archivos de programa\Microsoft Student\Microsoft Student con Encarta Premium 2008 DVD\EDICT.EXE" -m
O4 - HKCU\..\Run: [Yahoo! Pager] "C:\Archivos de programa\Yahoo!\Messenger\YahooMessenger.exe" -quiet
O4 - HKCU\..\Run: [TaskSwitchXP] C:\Archivos de programa\TaskSwitchXP\TaskSwitchXP.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Archivos de programa\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [IndxStoreSvr_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Archivos de programa\Archivos comunes\Nero\Lib\NMIndexStoreSvr.exe" ASO-616B5711-6DAE-4795-A05F-39A1E5104020
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICIO LOCAL')
O4 - HKUS\S-1-5-19\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'SERVICIO LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Servicio de red')
O4 - HKUS\S-1-5-20\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'Servicio de red')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'Default user')
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~1\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Barra de búsqueda de Encarta - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/eng/partner/default/kavwebscan_unicode.cab
O16 - DPF: {7FC1B346-83E6-4774-8D20-1A6B09B0E737} (Windows Live Photo Upload Control) - http://animalejo74.spaces.live.com/PhotoUpload/MsnPUpld.cab
O16 - DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} (Zylom Games Player) - http://game03.zylom.com/activex/zylomgamesplayer.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - http://download.mcafee.com/molbin/iss-loc/mcfscan/2,2,0,5260/mcfscan.cab
O20 - Winlogon Notify: awturRjk - awturRjk.dll (file missing)
O20 - Winlogon Notify: jkkHAstu - jkkHAstu.dll (file missing)
O23 - Service: Ares Chatroom server (AresChatServer) - Ares Development Group - E:\PROGRAMAS\ARES\chatServer.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Archivos de programa\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: McAfee Framework Service (McAfeeFramework) - McAfee, Inc. - C:\Archivos de programa\McAfee\Common Framework\FrameworkService.exe
O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - C:\Archivos de programa\Nero\Nero8\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Archivos de programa\Archivos comunes\Nero\Lib\NMIndexingService.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Archivos de programa\Eset\nod32krn.exe
O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Archivos de programa\Archivos comunes\Ulead Systems\DVD\ULCDRSvr.exe

--
End of file - 8146 bytes

#19 (permalink)

02/05/08, 19:18:10

<¡D3vIL!>

Warrior

Registrado: may 2006

Ubicación: Silent hill

Mensajes: 6.342

Re: virtumonde y nod32

Hola animalejo74

Pegaste el mismo LOG de HJT que el primero, deberias pegar uno nuevo

Primero LOG

Cita:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 02:16:45 p.m., on 25/04/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16640)
Boot mode: Normal

Segundo LOG

Cita:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 02:16:45 p.m., on 25/04/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16640)
Boot mode: Normal

Salu2

__________________

<¡D3ViL!>

#20 (permalink)

03/05/08, 00:46:05

animalejo74 animalejo74 está offline

Usuario

Registrado: abr 2008

Ubicación: Colombia

Mensajes: 11

Re: virtumonde y nod32

hola d3vil

disculpa por la equivocación de hijack , lo volví a hacer y este es el resultado

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 11:30:19 p.m., on 02/05/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16640)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Archivos de programa\Nero\Nero8\Nero BackItUp\NBService.exe
C:\Archivos de programa\Eset\nod32krn.exe
C:\WINDOWS\system32\svchost.exe
C:\Archivos de programa\Archivos comunes\Ulead Systems\DVD\ULCDRSvr.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Archivos de programa\McAfee\Common Framework\UdaterUI.exe
C:\Archivos de programa\Eset\nod32kui.exe
C:\WINDOWS\system32\pctspk.exe
C:\Archivos de programa\McAfee\Common Framework\McTray.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Archivos de programa\TaskSwitchXP\TaskSwitchXP.exe
C:\Archivos de programa\Archivos comunes\Nero\Lib\NMIndexStoreSvr.exe
C:\Archivos de programa\Archivos comunes\Nero\Lib\NMIndexingService.exe
C:\Archivos de programa\MSN Messenger\usnsvc.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\ntvdm.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Archivos de programa\EA GAMES\Need for Speed Most Wanted\speed.exe
E:\PROGRAMAS\ARES\Ares.exe
C:\Archivos de programa\Internet Explorer\iexplore.exe
E:\PROGRAMAS\Hijack\Analizador.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.eltiempo.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.busca7.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
R3 - URLSearchHook: Barra Yahoo! con bloqueador de ventanas emergentes - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Archivos de programa\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Archivos de programa\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Aplicación auxiliar de vínculos de Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Archivos comunes\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.6.0_02\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\archivos de programa\google\googletoolbar2.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Archivos de programa\Google\GoogleToolbarNotifier\2.0.301.7164 \swg.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\archivos de programa\google\googletoolbar2.dll
O3 - Toolbar: Barra Yahoo! con bloqueador de ventanas emergentes - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Archivos de programa\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [SiSPower] Rundll32.exe SiSPower.dll,ModeAgent
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Archivos de programa\Archivos comunes\Nero\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [NBKeyScan] "C:\Archivos de programa\Nero\Nero8\Nero BackItUp\NBKeyScan.exe"
O4 - HKLM\..\Run: [McAfeeUpdaterUI] "C:\Archivos de programa\McAfee\Common Framework\UdaterUI.exe" /StartedFromRunKey
O4 - HKLM\..\Run: [Lexmark X1100 Series] "C:\Archivos de programa\Lexmark X1100 Series\lxbkbmgr.exe"
O4 - HKLM\..\Run: [nod32kui] "C:\Archivos de programa\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKLM\..\Run: [SDFix] E:\PROGRA~1\SDfix\SDFix\RunThis.bat /second
O4 - HKLM\..\Run: [PCTVOICE] pctspk.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [ares] "E:\PROGRAMAS\ARES\Ares.exe" -h
O4 - HKCU\..\Run: [L08EXLRD_24674765] "C:\Archivos de programa\Microsoft Student\Microsoft Student con Encarta Premium 2008 DVD\EDICT.EXE" -m
O4 - HKCU\..\Run: [Yahoo! Pager] "C:\Archivos de programa\Yahoo!\Messenger\YahooMessenger.exe" -quiet
O4 - HKCU\..\Run: [TaskSwitchXP] C:\Archivos de programa\TaskSwitchXP\TaskSwitchXP.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Archivos de programa\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [IndxStoreSvr_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Archivos de programa\Archivos comunes\Nero\Lib\NMIndexStoreSvr.exe" ASO-616B5711-6DAE-4795-A05F-39A1E5104020
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICIO LOCAL')
O4 - HKUS\S-1-5-19\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'SERVICIO LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Servicio de red')
O4 - HKUS\S-1-5-20\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'Servicio de red')
O4 - HKUS\S-1-5-21-725345543-1004336348-682003330-501\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe (User 'Invitado')
O4 - HKUS\S-1-5-21-725345543-1004336348-682003330-501\..\Run: [BM17b3c1af] Rundll32.exe "C:\DOCUME~1\Invitado\CONFIG~1\Temp\xjvgqigv.dll", s (User 'Invitado')
O4 - HKUS\S-1-5-21-725345543-1004336348-682003330-501\..\Run: [1480f233] rundll32.exe "C:\DOCUME~1\Invitado\CONFIG~1\Temp\waldbgow.dll", b (User 'Invitado')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'Default user')
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~1\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Barra de búsqueda de Encarta - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/eng/partner/default/kavwebscan_unicode.cab
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Archivos de programa\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {7FC1B346-83E6-4774-8D20-1A6B09B0E737} (Windows Live Photo Upload Control) - http://animalejo74.spaces.live.com/PhotoUpload/MsnPUpld.cab
O16 - DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} (Zylom Games Player) - http://game03.zylom.com/activex/zylomgamesplayer.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - http://download.mcafee.com/molbin/iss-loc/mcfscan/2,2,0,5260/mcfscan.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{248C01E6-9AB1-431E-8EB3-694E4A60DB8D}: NameServer = 200.91.200.100 200.91.200.101
O17 - HKLM\System\CS1\Services\Tcpip\..\{248C01E6-9AB1-431E-8EB3-694E4A60DB8D}: NameServer = 200.91.200.100 200.91.200.101
O20 - Winlogon Notify: awturRjk - awturRjk.dll (file missing)
O20 - Winlogon Notify: jkkHAstu - jkkHAstu.dll (file missing)
O23 - Service: Ares Chatroom server (AresChatServer) - Ares Development Group - E:\PROGRAMAS\ARES\chatServer.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Archivos de programa\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: McAfee Framework Service (McAfeeFramework) - McAfee, Inc. - C:\Archivos de programa\McAfee\Common Framework\FrameworkService.exe
O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - C:\Archivos de programa\Nero\Nero8\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Archivos de programa\Archivos comunes\Nero\Lib\NMIndexingService.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Archivos de programa\Eset\nod32krn.exe
O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Archivos de programa\Archivos comunes\Ulead Systems\DVD\ULCDRSvr.exe

--
End of file - 9358 bytes

La verdad no entiendo mucho estos reportes pero creo que vamos bien
muchas gracias

Página 2 de 3

« Tema Anterior | Próximo Tema »

Herramientas
Mostrar Versión Imprimible Enviar por Correo

Reglas del foro
no Puedes crear nuevos temas no Puedes responder a temas no Puedes adjuntar archivos no Puedes editar tus mensajes	El código vB está activado Las caritas están activado Código [IMG] está activado Código HTML está desactivado Trackbacks está desactivado Pingbacks está desactivado Refbacks está desactivado

Temas Similares

Tema	Autor	Foro	Respuestas	Último mensaje
Miles de archivos .rar en la carpeta del incoming de emule Worm.W32/Archivarius@P2P	Assasina	Temas Solucionados	36	04/04/08 14:59:10
Nod32 Antivirus + Zone Alarm, o...?	jaco_ma	AntiVirus	3	26/03/08 17:14:40
Problema con kaspersky y nod32	metallivan	Foro de Software	2	22/03/08 00:06:09
FAQs (preguntas frecuentes) del Sorteo de NOD32 Antivirus.	InfoSpyware	Problemas con el foro	2	14/07/05 11:09:00
Sorteo de 10 Antivirus NOD32 Gratis en InfoSpyware	InfoSpyware	Problemas con el foro	401	02/05/05 13:46:56

Todas las horas son GMT -4. La hora es 04:31:10.

InfoSpyware es miembro de ASAP - Alliance of Security Analysis Professionals