Ayuda, creo que tengo un troyano

Buscar

		Foro de Spyware » Spyware - Adware - Hijackers - Malwares » Foro Oficial de HijackThis en español
Ayuda, creo que tengo un troyano

Para evitar Virus, Spyware y otros Malwares, te recomendamos mantenerte informado en: InfoSpyware Blog

Foro Oficial de HijackThis en español Analizamos tu log de HijackThis para eliminar Hijackers, Spyware, Adware, ToolBars, Virus, Troyanos y Malwares en gral. Antes lea las Políticas del Foro de HijackThis.

Enviar a:

Herramientas

post #1

11/08/08, 13:21:03

Franchesco Franchesco está offline

Usuario

Registrado: ago 2005

Ubicación: España

Mensajes: 7

Ayuda, creo que tengo un troyano

Hola! Quería en primer lugar felicitaros por este sitio web en el que creo que haceis un trabajo increible y daros las gracias porque ya alguna vez habeis conseguido ayudarme.
Mi problema es que hablando por el messenger en ocasiones a mis contactos les envio en las conversaciones unos links con lo que creo k es spyware cada cierto tiempo y ademas me salen mensajes cada vez que abro una carpeta, diciendome (en inglés) que tengo achivos currptos en mi wnidows y que me tengo que descargar un antispyware, que al cancelar abren ventanas del explorador a paginas de spyware etc...

Aqui les dejo mi log si por si pueden ayudarme

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:15:54, on 11/08/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Archivos de programa\Lavasoft\Ad-Aware\aawservice.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Archivos de programa\Eset\nod32kui.exe
C:\DOCUME~1\Fran\CONFIG~1\Temp\lsass.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Archivos de programa\Spybot - Search & Destroy\TeaTimer.exe
C:\Archivos de programa\Windows Live\Messenger\MsnMsgr.Exe
C:\Archivos de programa\Messenger\msmsgs.exe
C:\Archivos de programa\eMule\emule.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Archivos de programa\Eset\nod32krn.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\Archivos de programa\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
C:\Archivos de programa\Windows Live\Messenger\usnsvc.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Archivos de programa\Mozilla Firefox\firefox.exe
C:\Archivos de programa\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.es/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: Aplicación auxiliar de vínculos de Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Archivos comunes\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: BitComet ClickCapture - {39F7E362-828A-4B5A-BCAF-5B79BFDFEA60} - C:\Archivos de programa\BitComet\tools\BitCometBHO_1.2.2.28.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Gold.Manager - {67956585-9B5C-4E2B-ABE1-A01BF3046EE1} - C:\WINDOWS\system32\goldmng.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Aplicación auxiliar de inicio de sesión - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [nod32kui] "C:\Archivos de programa\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Archivos de programa\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [amd_dc_opt] C:\Archivos de programa\AMD\Dual-Core Optimizer\amd_dc_opt.exe
O4 - HKLM\..\Run: [SYSTEM.rt32] C:\DOCUME~1\Fran\CONFIG~1\Temp\lsass.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Archivos de programa\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Archivos de programa\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [MSMSGS] "C:\Archivos de programa\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Comrade.exe] C:\Archivos de programa\GameSpy\Comrade\Comrade.exe
O4 - HKCU\..\Run: [ares] "C:\Archivos de programa\Ares\Ares.exe" -h
O4 - HKCU\..\Run: [eMuleAutoStart] C:\Archivos de programa\eMule\emule.exe -AutoStart
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICIO LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Servicio de red')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Startup: hamachi.lnk = C:\Archivos de programa\Hamachi\hamachi.exe
O8 - Extra context menu item: &D&ownload &with BitComet - res://C:\Archivos de programa\BitComet\BitComet.exe/AddLink.htm
O8 - Extra context menu item: &D&ownload all video with BitComet - res://C:\Archivos de programa\BitComet\BitComet.exe/AddVideo.htm
O8 - Extra context menu item: &D&ownload all with BitComet - res://C:\Archivos de programa\BitComet\BitComet.exe/AddAllLink.htm
O9 - Extra button: BitComet - {D18A0B52-D63C-4ed0-AFC6-C1E3DC1AF43A} - res://C:\Archivos de programa\BitComet\tools\BitCometBHO_1.2.2.28.dll/206 (file missing)
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Archivos de programa\Lavasoft\Ad-Aware\aawservice.exe
O23 - Service: Ares Chatroom server (AresChatServer) - Ares Development Group - C:\Archivos de programa\Ares\chatServer.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Archivos de programa\Archivos comunes\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Archivos de programa\Eset\nod32krn.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Archivos de programa\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe

--
End of file - 6074 bytes

InfoSpyware

post #2

11/08/08, 17:24:06

ElPiedra

FS-Admin

Registrado: ene 2005

Ubicación: Miami

Mensajes: 32.856

Re: Ayuda, creo que tengo un troyano

Hola Franchesco,

Paso 1- Descarga, Instala y/o actualiza estas herramientas: (pero no los ejecutes aun)

Paso 2- Con todos los programas cerrados, ejecuta HijackThis y dale

a las siguientes entradas:

O2 - BHO: Gold.Manager - {67956585-9B5C-4E2B-ABE1-A01BF3046EE1} - C:\WINDOWS\system32\goldmng.dll

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O4 - HKLM\..\Run: [SYSTEM.rt32] C:\DOCUME~1\Fran\CONFIG~1\Temp\lsass.exe

O4 - HKCU\..\Run: [Comrade.exe] C:\Archivos de programa\GameSpy\Comrade\Comrade.exe

Paso 3- Ejecuta estas herramientas, de a una:

Malwarebytes' Anti-Malware
*Nota* Es importante que envíes a "Cuarentena" todo lo que este detecte antes de copiar y pegarnos su reporte.

Antes de usar ComboFix....
Desactiva temporalmente el Antivirus y/o Antispyware.
Cierra todas las ventanas abiertas.
Hacele doble clic al archivo ComboFix.exe y seguí las instrucciones.
Cuando termine, generara un registro en C:\ComboFix.txt.
- *Nota* Mientras CF este trabajando no mover el mouse ya que pararía su proceso.
- *Nota* ComboFix puede reiniciar automáticamente el PC para completar el proceso de eliminación.

Cita:

Atención!! No use ComboFix a menos que se le haya indicado específicamente en su mensaje por un integrante de nuestro Staff. Es una herramienta de gran alcance destinada por su creador a ser usada bajo la orientación y supervisión de un experto, no para uso privado. El uso de ComboFix incorrectamente podría generar problemas en su sistema. Por favor, lea las "Negaciones de la Garantía" de ComboFix.

Paso 4- Descarga CCleaner y ejecútalo usando primero su opción de "Limpiador" para borrar cookies, temporales de Internet y todos los archivos que este te muestre como obsoletos, y luego usa su opción de "Registro" para limpiar todo el registro de Windows (haciendo copia de seguridad).

Reinicia y nos contas los resultados. junto con el reporte de

Paso 5- Reinicia en modo normal y nos dejas los reportes de:

Malwarebytes' Anti-Malware
C:\ComboFix.txt en este mismo mensaje.

**Nota**
- Para mayor comodidad imprime los pasos.
- Recuerda regresar y contarnos los resultados.

Salu2

Ausente hasta el 15 de Oct. En viaje al EISI 2009 (Colombia)

Novedades del Foro | Antivirus Online | Eliminar Malwares | Políticas del Foro | Blog

* Ayúdanos haciendo una DONACIÓN para poder seguir Ayudando.
* Infórmate de las ultimas amenazas de la red desde: InfoSpyware Blog
* No se resuelven dudas por Privados ni por E-mail, ya que para eso esta el foro.

post #3

16/08/08, 08:52:06

Franchesco Franchesco está offline

Usuario

Registrado: ago 2005

Ubicación: España

Mensajes: 7

Re: Ayuda, creo que tengo un troyano

Hola! Perdon por no responder antes, pero es que he estado d vacaciones un tiempo. Hice lo que me mandasteis aunque el malware bytes no pudo hacer ciertas acciones porque lo bloqueaba el nod32, ¿creeis que debo repetirlo? De momento el problema parece solucionado, aunque ahora no se por qué muchos iconos han desaparecido, y ahora aparece el icono que indica que no se conoce el programa con el que deben abrirse, ¿sabéis por qué puede ser?

PD: aquí os dejo los logs del malwarebytes y el combofix:

Malwarebytes' Anti-Malware 1.24
Versión de la Base de Datos: 1045
Windows 5.1.2600 Service Pack 2

17:37:56 12/08/2008
mbam-log-8-12-2008 (17-37-53).txt

Tipo de examen : Examen Completo (C:\|)
Objetos examinados: 115777
Tiempo transcurrido: 49 minute(s), 45 second(s)

Procesos en Memoria Infectados: 0
Módulos en Memoria Infectados: 0
Claves del Registro Infectadas: 14
Valores del Registro Infectados: 0
Elementos de Datos del Registro Infectados: 0
Carpetas Infectadas: 1
Ficheros Infectados: 9

Procesos en Memoria Infectados:
(No se han detectado elementos maliciosos)

Módulos en Memoria Infectados:
(No se han detectado elementos maliciosos)

Claves del Registro Infectadas:
HKEY_CLASSES_ROOT\Interface\{967a494a-6aec-4555-9caf-fa6eb00acf91} (Rogue.PestPatrol) -> No action taken.
HKEY_CLASSES_ROOT\Interface\{9692be2f-eb8f-49d9-a11c-c24c1ef734d5} (Rogue.PestPatrol) -> No action taken.
HKEY_CLASSES_ROOT\Typelib\{a8954909-1f0f-41a5-a7fa-3b376d69e226} (Rogue.PestPatrol) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{a3628b71-12f5-82e7-9b56-0d7e91241adb} (Rogue.PestPatrol) -> No action taken.
HKEY_CLASSES_ROOT\Interface\{4937d5d1-2039-409a-bd83-fec9b39b2356} (Trojan.BHO) -> No action taken.
HKEY_CLASSES_ROOT\Interface\{caf9d798-c659-4b9b-8e19-ee27c3d04ee7} (Trojan.BHO) -> No action taken.
HKEY_CLASSES_ROOT\Typelib\{15c7d7ad-a87a-4c0d-9d8b-637fcd3488ef} (Trojan.BHO) -> No action taken.
HKEY_CLASSES_ROOT\bhonew.bho (Trojan.FakeAlert) -> No action taken.
HKEY_CLASSES_ROOT\bhonew.bho.1 (Trojan.FakeAlert) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Uninstall\diablo (Trojan.FakeAlert) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Uninstall\battle.net (Trojan.FakeAlert) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Uninstall\altcompare (Dialer) -> No action taken.
HKEY_CLASSES_ROOT\msvcl1.bhoapp (Adware.BHO) -> No action taken.
HKEY_CLASSES_ROOT\msvcl1.bhoapp.1 (Adware.BHO) -> No action taken.

Valores del Registro Infectados:
(No se han detectado elementos maliciosos)

Elementos de Datos del Registro Infectados:
(No se han detectado elementos maliciosos)

Carpetas Infectadas:
C:\Archivos de programa\altcmd (Trojan.Agent) -> No action taken.

Ficheros Infectados:
C:\Archivos de programa\altcmd\altcmd32.dll (Rogue.PestPatrol) -> No action taken.
C:\Documents and Settings\Fran\Configuración local\Archivos temporales de Internet\Content.IE5\MC84INV5\c-setup[1].exe (Trojan.FakeAlert) -> No action taken.
C:\Documents and Settings\Fran\Configuración local\Temp\INF1F6E.tmp (Trojan.FakeAlert) -> No action taken.
C:\System Volume Information\_restore{383C81FC-6518-4D0A-A22A-A22149D09346}\RP61\A0022171.dll (Trojan.FakeAlert) -> No action taken.
C:\WINDOWS\diabunin.exe (Trojan.FakeAlert) -> No action taken.
C:\WINDOWS\bnetunin.exe (Trojan.FakeAlert) -> No action taken.
C:\WINDOWS\Temp\INF3616.tmp (Trojan.FakeAlert) -> No action taken.
C:\Archivos de programa\altcmd\altcmd.inf (Trojan.Agent) -> No action taken.
C:\Archivos de programa\altcmd\uninstall.bat (Trojan.Agent) -> No action taken.

ComboFix 08-08-11.01 - Fran 2008-08-12 17:40:19.1 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.3082.18.1575 [GMT 2:00]
Se ejecuta desde: C:\Documents and Settings\Fran\Escritorio\ComboFix.exe
* Creado un nuevo punto de restauración
* Resident AV is active

ADVERTENCIA - ESTE EQUIPO NO TIENE INSTALADA LA CONSOLA DE RECUPERACION!
.
/wow section - STAGE 46
El proceso no tiene acceso al archivo porque está siendo utilizado por otro proceso.
El proceso no tiene acceso al archivo porque está siendo utilizado por otro proceso.
El proceso no tiene acceso al archivo porque está siendo utilizado por otro proceso.
El proceso no tiene acceso al archivo porque está siendo utilizado por otro proceso.
El proceso no tiene acceso al archivo porque está siendo utilizado por otro proceso.

(((((((((((((((((( Archivos creados desde 2008-07-12 - 2008-08-12 )))))))))))))))))))))))))))))))))
.

2008-08-12 16:32 . 2008-08-12 16:32 <DIR> d-------- C:\Documents and Settings\Fran\Datos de programa\Malwarebytes
2008-08-12 16:32 . 2008-07-30 20:07 17,144 --a------ C:\WINDOWS\system32\drivers\mbam.sys
2008-08-12 16:31 . 2008-08-12 16:31 <DIR> d-------- C:\Documents and Settings\All Users\Datos de programa\Malwarebytes
2008-08-12 16:31 . 2008-08-12 16:32 <DIR> d-------- C:\Archivos de programa\Malwarebytes' Anti-Malware
2008-08-12 16:31 . 2008-07-30 20:07 38,472 --a------ C:\WINDOWS\system32\drivers\mbamswissarmy.sys
2008-08-10 13:39 . 2008-08-10 13:39 <DIR> d-------- C:\Archivos de programa\Trend Micro
2008-08-07 15:46 . 2008-08-07 15:58 <DIR> d-------- C:\Archivos de programa\Tokimeki Check in!
2008-08-07 02:08 . 2008-08-07 02:08 <DIR> d-------- C:\WINDOWS\Wincra
2008-07-30 21:58 . 2008-07-30 21:58 <DIR> d-------- C:\Archivos de programa\Ares
2008-07-29 23:39 . 2007-06-29 14:47 34,304 --a------ C:\WINDOWS\system32\drivers\AmdLLD.sys
2008-07-29 23:38 . 2008-07-29 23:39 <DIR> d-------- C:\Archivos de programa\AMD
2008-07-28 13:12 . 2006-09-28 16:05 2,414,360 --a------ C:\WINDOWS\system32\d3dx9_31.dll
2008-07-28 13:12 . 2006-09-28 16:05 237,848 --a------ C:\WINDOWS\system32\xactengine2_4.dll
2008-07-28 13:12 . 2006-09-28 16:03 15,128 --a------ C:\WINDOWS\system32\x3daudio1_1.dll
2008-07-28 13:11 . 2008-07-29 23:35 <DIR> d-------- C:\Archivos de programa\Archivos comunes\BioWare
2008-07-28 12:46 . 2008-07-28 14:28 <DIR> d-------- C:\Archivos de programa\Mass Effect
2008-07-25 01:57 . 2008-07-25 01:57 <DIR> d-------- C:\Documents and Settings\All Users\Datos de programa\nView_Profiles
2008-07-23 15:02 . 2008-07-23 15:46 <DIR> d-------- C:\Archivos de programa\NAMCO BANDAI Games
2008-07-23 03:49 . 2008-07-23 03:49 <DIR> d-------- C:\Program Files
2008-07-22 22:00 . 2008-07-22 22:00 <DIR> d-------- C:\Documents and Settings\Fran\Datos de programa\Activision
2008-07-22 21:59 . 2008-07-22 21:59 <DIR> d--hs---- C:\WINDOWS\ftpcache
2008-07-22 12:03 . 2008-07-22 12:03 <DIR> d-------- C:\Archivos de programa\GodLikeMouse
2008-07-19 23:02 . 2008-07-23 19:07 <DIR> d-------- C:\Documents and Settings\Fran\Datos de programa\DivX
2008-07-19 23:00 . 2008-07-19 23:00 <DIR> d-------- C:\Documents and Settings\Fran\Datos de programa\Ashampoo
2008-07-19 23:00 . 2008-07-19 23:00 <DIR> d-------- C:\Documents and Settings\All Users\Datos de programa\ashampoo
2008-07-19 22:59 . 2008-07-19 22:59 <DIR> d-------- C:\Archivos de programa\Ashampoo
2008-07-19 13:33 . 2008-07-19 13:34 <DIR> d-------- C:\Archivos de programa\Archivos comunes\Adobe
2008-07-19 12:05 . 2008-07-24 22:34 297 --a------ C:\WINDOWS\game.ini
2008-07-19 11:56 . 2008-07-22 21:33 <DIR> d-------- C:\Archivos de programa\Activision
2008-07-19 11:52 . 2008-07-19 11:52 <DIR> d-------- C:\Archivos de programa\Alcohol Soft
2008-07-19 11:52 . 2005-04-25 10:43 159,616 --a------ C:\WINDOWS\system32\drivers\Vax347b.sys
2008-07-19 11:52 . 2004-04-30 09:33 5,248 --a------ C:\WINDOWS\system32\drivers\Vax347s.sys
2008-07-19 11:45 . 2008-07-09 10:05 421,888 --a------ C:\WINDOWS\system32\ac3filter.acm
2008-07-19 11:44 . 2008-07-19 11:45 <DIR> d-------- C:\Archivos de programa\AC3Filter
2008-07-19 11:41 . 2008-07-19 11:41 685,816 --a------ C:\WINDOWS\system32\drivers\sptd.sys
2008-07-19 11:31 . 2008-07-19 11:32 <DIR> d-------- C:\Archivos de programa\DivX
2008-07-19 00:11 . 2008-07-19 00:21 <DIR> d-------- C:\Archivos de programa\Imperivm - Las Grandes Batallas de Roma
2008-07-19 00:11 . 2008-07-19 00:12 <DIR> d--h----- C:\Archivos de programa\FX Uninstall Information
2008-07-18 20:39 . 2008-07-18 20:39 587,264 --a------ C:\WINDOWS\WLXPGSS.SCR
2008-07-18 15:15 . 2008-07-18 15:25 <DIR> d-------- C:\Documents and Settings\Fran\Datos de programa\uTorrent
2008-07-18 15:15 . 2008-07-18 15:15 <DIR> d-------- C:\Archivos de programa\uTorrent
2008-07-18 14:40 . 2008-08-12 14:34 <DIR> d-------- C:\Archivos de programa\eMule
2008-07-17 13:43 . 2008-07-17 13:43 <DIR> d-------- C:\Archivos de programa\GameSpy
2008-07-17 13:42 . 2008-07-17 13:43 <DIR> d-------- C:\WINDOWS\system32\URTTemp
2008-07-17 13:41 . 2008-07-17 13:41 22,328 --a------ C:\Documents and Settings\Fran\Datos de programa\PnkBstrK.sys
2008-07-17 13:27 . 2008-07-17 13:27 <DIR> d-------- C:\Archivos de programa\Electronic Arts
2008-07-17 02:23 . 2008-07-17 02:23 2,560 --a------ C:\WINDOWS\system32\bitcometres.dll
2008-07-17 00:56 . 2008-07-17 00:56 <DIR> d-------- C:\Archivos de programa\Zattoo
2008-07-16 21:27 . 2008-07-16 21:27 <DIR> d-------- C:\Defiler Backups
2008-07-16 21:25 . 2008-07-16 21:25 <DIR> d-------- C:\Archivos de programa\TQ Defiler
2008-07-16 15:54 . 2008-07-29 23:42 107,888 --a------ C:\WINDOWS\system32\CmdLineExt.dll
2008-07-16 15:52 . 2006-07-11 18:43 1,060,864 --a------ C:\WINDOWS\system32\mfc71.dll
2008-07-16 15:52 . 2006-07-11 18:35 503,808 --a------ C:\WINDOWS\system32\MSVCP71.dll
2008-07-16 15:52 . 2007-01-01 20:03 40,960 -ra------ C:\WINDOWS\system32\psfind.dll
2008-07-16 15:05 . 2008-08-06 22:52 <DIR> d-------- C:\Archivos de programa\Windows Live Safety Center
2008-07-15 21:37 . 2008-07-19 22:56 <DIR> d-------- C:\Archivos de programa\THQ
2008-07-15 18:38 . 2008-07-23 22:46 <DIR> d-------- C:\Downloads
2008-07-15 18:38 . 2008-07-16 00:16 <DIR> d-------- C:\Archivos de programa\BitComet
2008-07-15 16:01 . 2008-08-10 02:24 <DIR> d-------- C:\Archivos de programa\ESET
2008-07-15 16:01 . 2008-07-15 16:01 512,096 --a------ C:\WINDOWS\system32\drivers\amon.sys
2008-07-15 16:01 . 2008-07-15 16:01 298,104 --a------ C:\WINDOWS\system32\imon.dll
2008-07-15 16:01 . 2008-07-15 16:01 15,424 --a------ C:\WINDOWS\system32\drivers\nod32drv.sys
2008-07-15 03:04 . 2008-07-15 03:04 <DIR> d-------- C:\Documents and Settings\Fran\Datos de programa\Apple Computer
2008-07-15 03:03 . 2008-07-15 03:03 <DIR> d-------- C:\Documents and Settings\All Users\Datos de programa\Apple Computer
2008-07-15 03:03 . 2008-07-15 03:03 <DIR> d-------- C:\Documents and Settings\All Users\Datos de programa\Apple
2008-07-15 03:03 . 2008-07-15 03:03 <DIR> d-------- C:\Archivos de programa\QuickTime
2008-07-15 03:03 . 2008-07-15 03:03 <DIR> d-------- C:\Archivos de programa\Apple Software Update
2008-07-15 02:54 . 2008-07-15 03:08 <DIR> d-------- C:\Documents and Settings\Fran\Datos de programa\GetRightToGo
2008-07-15 00:34 . 2008-07-15 00:34 <DIR> d-------- C:\Archivos de programa\Hero Editor2
2008-07-14 16:44 . 2008-07-14 16:44 <DIR> d-------- C:\Archivos de programa\Microsoft Games
2008-07-14 15:08 . 2008-07-14 15:09 <DIR> d-------- C:\Archivos de programa\Hero Editor
2008-07-14 15:08 . 2008-07-15 00:33 73,216 --a------ C:\WINDOWS\ST6UNST.EXE
2008-07-14 11:02 . 2008-08-11 18:08 <DIR> d-------- C:\Documents and Settings\Fran\Datos de programa\Hamachi
2008-07-14 11:02 . 2008-07-14 11:02 <DIR> d-------- C:\Archivos de programa\Hamachi
2008-07-14 11:02 . 2008-07-14 11:02 25,280 --a------ C:\WINDOWS\system32\drivers\hamachi.sys
2008-07-13 21:52 . 2008-07-13 21:52 <DIR> d-------- C:\Archivos de programa\VUGames
2008-07-13 21:42 . 2008-07-13 21:42 102,400 --a------ C:\WINDOWS\DIIUnin.exe
2008-07-13 21:42 . 2008-07-15 00:44 40,034 --a------ C:\WINDOWS\DIIUnin.dat
2008-07-13 21:42 . 2008-07-13 21:42 2,829 --a------ C:\WINDOWS\DIIUnin.pif
2008-07-13 21:31 . 2008-07-15 00:44 <DIR> d-------- C:\Archivos de programa\Diablo II
2008-07-12 15:04 . 1997-01-16 00:00 71,680 --a------ C:\WINDOWS\ST5UNST.EXE
2008-07-12 15:04 . 1997-01-16 00:00 29,696 --a------ C:\WINDOWS\system32\VB5StKit.dll
2008-07-12 13:36 . 2008-07-12 15:37 <DIR> d-------- C:\Diablo & HellFire
2008-07-12 11:28 . 2008-07-12 12:01 <DIR> d-------- C:\Diablo
2008-07-12 10:56 . 2007-07-09 15:11 584,192 -----c--- C:\WINDOWS\system32\dllcache\rpcrt4.dll
2008-07-12 10:56 . 2008-06-14 19:59 272,512 -----c--- C:\WINDOWS\system32\dllcache\bthport.sys
2008-07-12 10:52 . 2007-12-18 11:51 179,584 -----c--- C:\WINDOWS\system32\dllcache\mrxdav.sys
2008-07-12 10:51 . 2007-12-04 20:41 550,912 -----c--- C:\WINDOWS\system32\dllcache\oleaut32.dll
2008-07-12 10:51 . 2006-05-05 11:41 453,120 -----c--- C:\WINDOWS\system32\dllcache\mrxsmb.sys
2008-07-12 10:51 . 2006-05-05 11:47 174,592 -----c--- C:\WINDOWS\system32\dllcache\rdbss.sys
2008-07-12 10:51 . 2008-02-20 07:35 45,568 -----c--- C:\WINDOWS\system32\dllcache\dnsrslvr.dll
2008-07-12 10:50 . 2008-07-18 01:46 <DIR> d--h----- C:\WINDOWS\$hf_mig$
2008-07-12 10:39 . 2007-07-30 19:19 271,224 --a------ C:\WINDOWS\system32\mucltui.dll
2008-07-12 10:39 . 2007-07-30 19:19 207,736 --a------ C:\WINDOWS\system32\muweb.dll
2008-07-12 10:39 . 2007-07-30 19:18 30,072 --a------ C:\WINDOWS\system32\mucltui.dll.mui
2008-07-12 01:52 . 2007-05-11 00:03 115,999 --a------ C:\WINDOWS\system32\nvapps.xml
2008-07-12 01:51 . 2008-07-12 01:51 <DIR> d-------- C:\WINDOWS\nview
2008-07-12 01:51 . 2007-05-11 00:03 356,352 --a------ C:\WINDOWS\system32\nvudisp.exe
2008-07-12 01:51 . 2007-05-11 00:03 17,431 --a------ C:\WINDOWS\system32\nvdisp.nvu
2008-07-12 00:51 . 2006-11-29 13:06 3,426,072 --a------ C:\WINDOWS\system32\d3dx9_32.dll
2008-07-12 00:50 . 2008-07-12 00:50 <DIR> d-------- C:\Documents and Settings\Fran\Contacts
2008-07-12 00:50 . 2008-07-12 00:50 <DIR> d-------- C:\Archivos de programa\Microsoft SQL Server Compact Edition
2008-07-12 00:45 . 2008-07-12 00:45 <DIR> d-------- C:\Documents and Settings\All Users\Datos de programa\WLInstaller
2008-07-12 00:45 . 2008-07-24 02:48 <DIR> d-------- C:\Archivos de programa\Windows Live
2008-07-12 00:45 . 2008-07-12 00:48 <DIR> d--hsc--- C:\Archivos de programa\Archivos comunes\WindowsLiveInstaller
2008-07-12 00:41 . 2007-07-30 19:19 43,352 --a------ C:\WINDOWS\system32\wups2.dll
2008-07-12 00:41 . 2007-07-30 19:19 38,232 --a------ C:\WINDOWS\system32\wucltui.dll.mui
2008-07-12 00:41 . 2007-07-30 19:18 30,040 --a------ C:\WINDOWS\system32\wuaucpl.cpl.mui
2008-07-12 00:41 . 2007-07-30 19:20 30,040 --a------ C:\WINDOWS\system32\wuapi.dll.mui
2008-07-12 00:41 . 2007-07-30 19:18 20,824 --a------ C:\WINDOWS\system32\wuaueng.dll.mui
2008-07-12 00:36 . 2008-07-12 00:36 0 --a------ C:\WINDOWS\nsreg.dat
2008-07-12 00:35 . 2008-07-12 00:35 <DIR> d---s---- C:\Documents and Settings\Fran\UserData
2008-07-12 00:31 . 2008-07-12 00:32 <DIR> d-------- C:\Documents and Settings\All Users\Datos de programa\Spybot - Search & Destroy
2008-07-12 00:31 . 2008-07-12 00:31 <DIR> d-------- C:\Archivos de programa\Spybot - Search & Destroy
2008-07-12 00:28 . 2008-07-12 00:28 <DIR> d-------- C:\WINDOWS\system32\Lang
2008-07-12 00:28 . 2008-07-12 00:28 940,794 --a------ C:\WINDOWS\system32\LoopyMusic.wav
2008-07-12 00:28 . 2008-07-12 00:28 146,650 --a------ C:\WINDOWS\system32\BuzzingBee.wav
2008-07-12 00:26 . 2008-07-12 00:26 <DIR> d-------- C:\Archivos de programa\Realtek
2008-07-12 00:26 . 2008-07-29 23:38 <DIR> d--h----- C:\Archivos de programa\InstallShield Installation Information
2008-07-12 00:26 . 2008-07-13 21:52 <DIR> d-------- C:\Archivos de programa\Archivos comunes\InstallShield
2008-07-12 00:25 . 2008-07-12 00:26 <DIR> d-------- C:\WINDOWS\system32\RTCOM
2008-07-12 00:24 . 2008-07-29 23:38 <DIR> d----c--- C:\WINDOWS\system32\DRVSTORE
2008-07-12 00:24 . 2008-07-12 00:24 <DIR> d-------- C:\Archivos de programa\DIFX
2008-07-12 00:24 . 2006-10-05 16:35 356,352 --------- C:\WINDOWS\system32\nvuide.exe
2008-07-12 00:24 . 2006-06-18 23:37 43,520 --a------ C:\WINDOWS\system32\drivers\AmdK8.sys

.
(((((((((((((((((((((((((((((((((((((( Reporte Find3M )))))))))))))))))))))))))))))))))))))))))))))))))) )
.
2008-08-06 15:07 505,344 ----a-w C:\WINDOWS\system32\winlogon.exe
2008-07-17 11:41 669,184 ----a-w C:\WINDOWS\system32\pbsvc.exe
2008-07-17 11:41 66,872 ----a-w C:\WINDOWS\system32\PnkBstrA.exe
2008-07-17 11:41 22,328 ----a-w C:\WINDOWS\system32\drivers\PnkBstrK.sys
2008-07-17 11:41 103,736 ----a-w C:\WINDOWS\system32\PnkBstrB.exe
2008-07-11 22:26 315,392 ----a-w C:\WINDOWS\HideWin.exe
2008-07-11 18:02 --------- d-----w C:\Archivos de programa\microsoft frontpage
2008-07-11 18:00 --------- d-----w C:\Archivos de programa\Servicios en línea
2008-06-20 17:41 248,320 ----a-w C:\WINDOWS\system32\mswsock.dll
2008-06-20 10:45 360,320 ----a-w C:\WINDOWS\system32\drivers\tcpip.sys
2008-06-20 10:44 138,368 ----a-w C:\WINDOWS\system32\drivers\afd.sys
2008-06-20 09:52 225,920 ----a-w C:\WINDOWS\system32\drivers\tcpip6.sys
2008-06-18 17:52 161,096 ----a-w C:\WINDOWS\system32\DivXCodecVersionChecker.exe
2008-06-14 17:59 272,512 ------w C:\WINDOWS\system32\drivers\bthport.sys
2008-06-11 00:07 524,288 ----a-w C:\WINDOWS\system32\DivXsm.exe
2008-06-11 00:07 3,596,288 ----a-w C:\WINDOWS\system32\qt-dx331.dll
2008-06-11 00:07 129,784 ------w C:\WINDOWS\system32\pxafs.dll
2008-06-11 00:07 120,056 ------w C:\WINDOWS\system32\pxcpyi64.exe
2008-06-11 00:07 118,520 ------w C:\WINDOWS\system32\pxinsi64.exe
2008-06-11 00:04 200,704 ----a-w C:\WINDOWS\system32\ssldivx.dll
2008-06-11 00:04 1,044,480 ----a-w C:\WINDOWS\system32\libdivx.dll
2008-05-22 22:18 12,288 ----a-w C:\WINDOWS\system32\DivXWMPExtType.dll
2008-05-16 09:58 12,632 ----a-w C:\WINDOWS\system32\lsdelete.exe
.

------- Sigcheck -------

2003-04-24 14:00 519680 830395cbaee46cb02a0777ea25d2c75d C:\WINDOWS\$NtServicePackUninstall$\winlogon.exe
2004-08-19 15:43 505344 fcb59d25d628b4d3181dc816d14679dd C:\WINDOWS\ServicePackFiles\i386\winlogon.exe
2008-08-06 17:07 505344 e870ce8aba525f6a5263693c783f5906 C:\WINDOWS\system32\winlogon.exe
.
((((((((((((((((((((((((((((((((( Cargando Puntos Reg ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Nota* entradas vacías & entradas legítimas predeterminadas no son mostradas

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-19 15:42 15360]
"SpybotSD TeaTimer"="C:\Archivos de programa\Spybot - Search & Destroy\TeaTimer.exe" [2008-07-07 09:42 2156368]
"MsnMsgr"="C:\Archivos de programa\Windows Live\Messenger\MsnMsgr.Exe" [2007-10-18 11:34 5724184]
"MSMSGS"="C:\Archivos de programa\Messenger\msmsgs.exe" [2004-10-13 18:24 1694208]
"ares"="C:\Archivos de programa\Ares\Ares.exe" [2008-02-20 16:33 963072]
"eMuleAutoStart"="C:\Archivos de programa\eMule\emule.exe" [2008-05-11 13:19 5423104]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2007-05-11 00:03 8429568]
"NvMediaCenter"="C:\WINDOWS\system32\NvMcTray. dll" [2007-05-11 00:03 81920]
"nod32kui"="C:\Archivos de programa\Eset\nod32kui.exe" [2008-07-15 16:01 949376]
"Adobe Reader Speed Launcher"="C:\Archivos de programa\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 22:16 39792]
"amd_dc_opt"="C:\Archivos de programa\AMD\Dual-Core Optimizer\amd_dc_opt.exe" [2007-07-23 11:06 77824]
"Malwarebytes Anti-Malware (reboot)"="C:\Archivos de programa\Malwarebytes' Anti-Malware\mbam.exe" [2008-07-30 20:07 1187448]
"SkyTel"="SkyTel.EXE" [2006-05-16 12:04 2879488 C:\WINDOWS\SkyTel.exe]
"RTHDCPL"="RTHDCPL.EXE" [2007-01-30 12:54 16116224 C:\WINDOWS\RTHDCPL.exe]
"nwiz"="nwiz.exe" [2007-05-11 00:03 1626112 C:\WINDOWS\system32\nwiz.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\Cur rentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-19 15:42 15360]

C:\Documents and Settings\Fran\Men£ Inicio\Programas\Inicio\
hamachi.lnk - C:\Archivos de programa\Hamachi\hamachi.exe [2008-07-14 11:02:19 624416]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"msacm.ac3filter"= ac3filter.acm

[HKEY_LOCAL_MACHINE\system\currentcontrolset\contro l\securityproviders]
SecurityProviders msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll,

[HKLM\~\services\sharedaccess\parameters\firewallpo licy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpo licy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Archivos de programa\\Windows Live\\Messenger\\msnmsgr.exe"=
"C:\\Archivos de programa\\Windows Live\\Messenger\\livecall.exe"=
"C:\\Archivos de programa\\Microsoft Games\\Age of Empires II\\age2_x1\\AGE2_X1.ICD"=
"C:\\WINDOWS\\system32\\dplaysvr.exe"=
"C:\\Archivos de programa\\BitComet\\BitComet.exe"=
"C:\\Archivos de programa\\THQ\\Titan Quest\\Titan Quest.exe"=
"C:\\Archivos de programa\\Electronic Arts\\Crytek\\Crysis\\Bin32\\Crysis.exe"=
"C:\\Archivos de programa\\Electronic Arts\\Crytek\\Crysis\\Bin32\\CrysisDedicatedServer .exe"=
"C:\\WINDOWS\\system32\\PnkBstrA.exe"=
"C:\\WINDOWS\\system32\\PnkBstrB.exe"=
"C:\\Archivos de programa\\uTorrent\\uTorrent.exe"=
"C:\\Archivos de programa\\eMule\\emule.exe"=
"C:\\Archivos de programa\\Activision\\X-Men Legends 2\\XMen2.exe"=
"C:\\Archivos de programa\\Activision\\Marvel - Ultimate Alliance\\Game.exe"=
"C:\\Archivos de programa\\Zattoo\\zattood.exe"=
"C:\\Archivos de programa\\Zattoo\\Zattoo1.exe"=
"C:\\Archivos de programa\\NAMCO BANDAI Games\\Warhammer® Mark of Chaos\\Warhammer.exe"=
"C:\\Archivos de programa\\GameSpy\\Comrade\\Comrade.exe"=
"C:\\Archivos de programa\\Mass Effect\\Binaries\\MassEffect.exe"=
"C:\\Archivos de programa\\Mass Effect\\MassEffectLauncher.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpo licy\standardprofile\GloballyOpenPorts\List]
"19889:TCP"= 19889:TCP:BitComet 19889 TCP
"19889:UDP"= 19889:UDP:BitComet 19889 UDP

*Newly Created Service* - CATCHME
*Newly Created Service* - PROCEXP90
.
Contenido de carpeta 'Tareas Programadas'

2008-08-07 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job
- C:\Archivos de programa\Apple Software Update\SoftwareUpdate.exe [2008-04-11 17:57]
.
.
------- Supplementary Scan -------
.
FireFox -: Profile - C:\Documents and Settings\Fran\Datos de programa\Mozilla\Firefox\Profiles\fu3x3vsk.default \

************************************************** ************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-08-12 17:42:10
Windows 5.1.2600 Service Pack 2 NTFS

escaneando procesos ocultos ...

escaneando entradas ocultas de autostart ...

escaneando archivos ocultos ...

el escaneo se completo con exito
archivos ocultos: 0

************************************************** ************************
.
--------------------- DLLs cargados bajo los procesos en ejecución ---------------------

PROCESS: C:\WINDOWS\system32\lsass.exe
-> C:\Archivos de programa\Eset\pr_imon.dll
.
Tiempo completado: 2008-08-12 17:43:22
ComboFix-quarantined-files.txt 2008-08-12 15:42:59

Pre-Run: 9,188,716,544 bytes libres
Post-Run: 9,792,544,768 bytes libres

259 --- E O F --- 2008-08-07 23:21:22

post #4

18/08/08, 21:07:41

ElPiedra

FS-Admin

Registrado: ene 2005

Ubicación: Miami

Mensajes: 32.856

Re: Ayuda, creo que tengo un troyano

Hola, tenes que repetir los pasos con el AV desconectado.

Salu2

Ausente hasta el 15 de Oct. En viaje al EISI 2009 (Colombia)

« Tema Anterior | Próximo Tema »

Herramientas
Mostrar Versión Imprimible Enviar por Correo

Reglas del foro
No puedes crear nuevos temas No puedes responder temas No puedes subir adjuntos No puedes editar tus mensajes BB code is activado Las caritas están activado Código [IMG] está activado Código HTML está desactivado Trackbacks are desactivado Pingbacks are activado Refbacks are activado Políticas del foro

Temas Similares

Tema	Autor	Foro	Respuestas	Último mensaje
creo que tengo un troyano... (Solucionado)	rutiguer	Temas Solucionados	5	30/12/07 20:53:43
Creo que tengo un troyano	asclepiades	Foro de Virus y Spywares	1	30/11/07 14:57:15
Nuevo Usuario con Varios Virus	Hiei	Foro de Virus y Spywares	8	21/04/07 06:35:43
Creo que tengo un troyano	laumalfoy	Foro de Virus y Spywares	8	21/03/06 19:24:35
Saludos foro, creo q tengo un troyano EXPLOIT.WMF (Solucionado)	jgetaran	Temas Solucionados	5	09/01/06 19:03:29

Todas las horas son GMT -4. La hora es 00:38:00.

InfoSpyware es miembro de ASAP - Alliance of Security Analysis Professionals

Foro de InfoSpyware - Foro de Hijackthis - Foro de Virus