• Registrarse
  • Iniciar sesión


  • Resultados 1 al 8 de 8

    win32:rootkit-gen no puedo acceder al disco duro (Solucionado)

    Resumen del tema: win32:rootkit-gen no puedo acceder al disco duro (Solucionado) - hola, el avast me detectó el virus win32:rootkit-gen y aparentemente lo eliminó, sin embargo sigo teniendo los mismos problemas que son: 1. Si clico sobre el icono de la unidad C o D, no me ...

      
    1. #1
      Usuario Avatar de Medinaceli
      Registrado
      sep 2008
      Ubicación
      Barcelona
      Mensajes
      4

      win32:rootkit-gen no puedo acceder al disco duro (Solucionado)

      hola,

      el avast me detectó el virus win32:rootkit-gen y aparentemente lo eliminó, sin embargo sigo teniendo los mismos problemas que son:
      1. Si clico sobre el icono de la unidad C o D, no me deja acceder (me sale Abrir con)
      2. Si elijo la opción mostrar todos los archivos y carpetas ocultos y doy aceptar, al volver a entrar en opciones de carpeta veo que sigue seleccionada la opción no mostrar archivos y carpetas ocultos.
      3. Si en la opción protector de pantalla elijo (ninguno) y doy aceptar, me pasa igual que en el punto anterior (es decir no se cambia).

      He desactivado "restaurar sistema" y he reiniciado en "modo seguro" para pasar el avast y no me ha detectado nada.

      Os envío el informe:

      21/09/2008 16:25:30 SYSTEM 2032 Sign of "Win32:Rootkit-gen [Rtk]" has been found in "C:\1u0o8bnq.cmd" file.
      21/09/2008 16:26:01 SYSTEM 2032 Sign of "Win32:Rootkit-gen [Rtk]" has been found in "D:\1u0o8bnq.cmd" file.
      21/09/2008 16:26:35 SYSTEM 2032 Sign of "Win32:Rootkit-gen [Rtk]" has been found in "C:\1u0o8bnq.cmd" file.
      21/09/2008 16:27:03 SYSTEM 2032 Sign of "Win32:Rootkit-gen [Rtk]" has been found in "D:\1u0o8bnq.cmd" file.
      21/09/2008 16:27:38 SYSTEM 2032 Sign of "Win32:Rootkit-gen [Rtk]" has been found in "C:\1u0o8bnq.cmd" file.
      21/09/2008 16:27:38 SYSTEM 2032 Sign of "Win32:Rootkit-gen [Rtk]" has been found in "D:\1u0o8bnq.cmd" file.
      21/09/2008 16:28:07 SYSTEM 2032 Sign of "Win32:Rootkit-gen [Rtk]" has been found in "C:\1u0o8bnq.cmd" file.
      21/09/2008 16:28:12 SYSTEM 2032 Sign of "Win32:Rootkit-gen [Rtk]" has been found in "D:\1u0o8bnq.cmd" file.
      21/09/2008 16:28:41 SYSTEM 2032 Sign of "Win32:Rootkit-gen [Rtk]" has been found in "C:\1u0o8bnq.cmd" file.
      21/09/2008 16:28:57 SYSTEM 2032 Sign of "Win32:Rootkit-gen [Rtk]" has been found in "D:\1u0o8bnq.cmd" file.
      21/09/2008 16:29:25 SYSTEM 2032 Sign of "Win32:Rootkit-gen [Rtk]" has been found in "C:\1u0o8bnq.cmd" file.
      21/09/2008 16:29:38 SYSTEM 2032 Sign of "Win32:Rootkit-gen [Rtk]" has been found in "D:\1u0o8bnq.cmd" file.
      21/09/2008 16:30:07 SYSTEM 2032 Sign of "Win32:Rootkit-gen [Rtk]" has been found in "C:\1u0o8bnq.cmd" file.
      21/09/2008 16:30:09 SYSTEM 2032 Sign of "Win32:Rootkit-gen [Rtk]" has been found in "D:\1u0o8bnq.cmd" file.
      21/09/2008 16:30:36 SYSTEM 2032 Sign of "Win32:Rootkit-gen [Rtk]" has been found in "C:\1u0o8bnq.cmd" file.
      21/09/2008 16:30:39 SYSTEM 2032 Sign of "Win32:Rootkit-gen [Rtk]" has been found in "D:\1u0o8bnq.cmd" file.
      21/09/2008 16:31:07 SYSTEM 2032 Sign of "Win32:Rootkit-gen [Rtk]" has been found in "C:\1u0o8bnq.cmd" file.
      21/09/2008 16:31:10 SYSTEM 2032 Sign of "Win32:Rootkit-gen [Rtk]" has been found in "D:\1u0o8bnq.cmd" file.
      21/09/2008 16:31:36 SYSTEM 2032 Sign of "Win32:Rootkit-gen [Rtk]" has been found in "C:\1u0o8bnq.cmd" file.
      21/09/2008 16:31:41 SYSTEM 2032 Sign of "Win32:Rootkit-gen [Rtk]" has been found in "D:\1u0o8bnq.cmd" file.
      21/09/2008 16:32:08 SYSTEM 2032 Sign of "Win32:Rootkit-gen [Rtk]" has been found in "C:\1u0o8bnq.cmd" file.
      21/09/2008 16:32:10 SYSTEM 2032 Sign of "Win32:Rootkit-gen [Rtk]" has been found in "D:\1u0o8bnq.cmd" file.
      21/09/2008 18:55:56 SYSTEM 2040 Sign of "Win32:Rootkit-gen [Rtk]" has been found in "C:\WINDOWS\system32\ckvo.exe" file.
      21/09/2008 18:57:17 SYSTEM 2040 Sign of "Win32:Rootkit-gen [Rtk]" has been found in "D:\1u0o8bnq.cmd" file.
      21/09/2008 18:57:42 SYSTEM 2040 Sign of "Win32:Rootkit-gen [Rtk]" has been found in "C:\1u0o8bnq.cmd" file.
      21/09/2008 19:00:10 Jesus Medina 2956 Sign of "Win32:Rootkit-gen [Rtk]" has been found in "D:\System Volume Information\_restore{DAE90D38-621E-4ED8-AE45-C0DE434530B7}\RP382\A0078101.cmd" file.
      21/09/2008 19:00:17 Jesus Medina 2956 Sign of "Win32:Rootkit-gen [Rtk]" has been found in "D:\System Volume Information\_restore{DAE90D38-621E-4ED8-AE45-C0DE434530B7}\RP383\A0078142.cmd" file.
      21/09/2008 19:00:20 Jesus Medina 2956 Sign of "Win32:Rootkit-gen [Rtk]" has been found in "D:\System Volume Information\_restore{DAE90D38-621E-4ED8-AE45-C0DE434530B7}\RP384\A0078263.cmd" file.
      21/09/2008 19:00:30 Jesus Medina 2956 Sign of "Win32:Rootkit-gen [Rtk]" has been found in "D:\System Volume Information\_restore{DAE90D38-621E-4ED8-AE45-C0DE434530B7}\RP384\A0078332.cmd" file.


      Os agradecería cualquier ayuda que podáis darme.

      Medinaceli.

    2. #2
      Ex-Colaborador Avatar de Salba
      Registrado
      ene 2005
      Ubicación
      Argentina
      Mensajes
      8.702

      Re: win32:rootkit-gen no puedo acceder al disco duro

      Hola , te doy la bienvenida al Foro de InfoSpyware.

      Descarga las siguientes herramientas:


      1.- Desactiva Restaurar Sistema (Si esta opción no se puede ejecutar, omita el paso)

      2.- Reinicia en Modo Seguro (Si esta opción se encuentra bloqueda/dañada, omita el paso)

      3.- Ejecuta CCleaner, usando primero su opción de "Limpiador" para borrar cookies, temporales de Internet y todos los archivos que este te muestre como obsoletos, y luego usa su opción de "Registro" para limpiar todo el registro de Windows (haciendo copia de seguridad).

      4.-Ejecuta Malwarebytes' Anti-Malware *(Es importante seleccionar escaneo completo y la opción de quitar lo encontrado)


      Ahora, reinicia en Modo Normal, y haz lo siguiente

      - Descarga la herramienta ComboFix.exe y guárdala en el escritorio.
      • Desactiva temporalmente el Antivirus y/o Antispyware.
      • Cierra todas las ventanas abiertas.
      • Hacele doble clic al archivo ComboFix.exe y seguí las instrucciones.
      • Cuando termine, generara un registro en C:\ComboFix.txt.
        • *Nota* Mientras CF este trabajando no mover el mouse ya que pararía su proceso.
        • *Nota* ComboFix puede reiniciar automáticamente el PC para completar el proceso de eliminación.
      Atención!! No use ComboFix a menos que se le haya indicado específicamente en su mensaje por un integrante de nuestro Staff. Es una herramienta de gran alcance destinada por su creador a ser usada bajo la orientación y supervisión de un experto, no para uso privado. El uso de ComboFix incorrectamente podría generar problemas en su sistema. Por favor, lea las "Negaciones de la Garantía" de ComboFix.
      • Reinicia y pega el reporte de C:\ComboFix.txt en este mismo mensaje, junto con el de Malwarebytes' Anti-Malware.


      Saludos

      Blog | Antivirus Online | Eliminar Malwares | Antivirus Gratis


      * Síguenos en nuestro Twitter y hazte nuestro amigo en Facebook.
      * Infórmate de las ultimas amenazas de la red desde: InfoSpyware Blog
      * No se resuelven dudas por Privados ni por E-mail, ya que para eso esta el foro.

    3. #3
      Usuario Avatar de Medinaceli
      Registrado
      sep 2008
      Ubicación
      Barcelona
      Mensajes
      4

      Re: win32:rootkit-gen no puedo acceder al disco duro

      Hola Salba,

      he seguido los pasos que me indicaste, pero me ha dado miedo dar el último, pues sugieres que utilice una herramienta (llamada ComboFix) que parece un tanto peligrosa. Al comenzar a utilizarla te informa de que ha de ser usada por un experto (cosa que no soy) y que no tiene ninguna garantía. He indagado qué es el famoso ComboFix y he encontrado en este mismo foro a un usuario que se quejaba amargamente de este producto (http://www.forospyware.com/t102676.html).

      ¿Existe realmente algún peligro, pues no tengo respaldada gran parte de la información del disco duro?

      De momento con el Malwarebytes' Anti-Malware he solucionado los problemas de “mostrar archivos y carpetas ocultos” y “quitar el protector de pantalla”, pero continúo sin poder acceder directamente a las unidades C y D.

      El informe del Malwarebytes' Anti-Malware es el siguiente:

      Malwarebytes' Anti-Malware 1.28
      Versión de la Base de Datos: 1200
      Windows 5.1.2600 Service Pack 2

      24/09/2008 8:57:40
      mbam-log-2008-09-24 (08-57-40).txt

      Tipo de examen : Examen Completo (C:\|D:\|)
      Objetos examinados: 162553
      Tiempo transcurrido: 4 hour(s), 5 minute(s), 45 second(s)

      Procesos en Memoria Infectados: 0
      Módulos en Memoria Infectados: 0
      Claves del Registro Infectadas: 2
      Valores del Registro Infectados: 0
      Elementos de Datos del Registro Infectados: 2
      Carpetas Infectadas: 0
      Ficheros Infectados: 2

      Procesos en Memoria Infectados:
      (No se han detectado elementos maliciosos)

      Módulos en Memoria Infectados:
      (No se han detectado elementos maliciosos)

      Claves del Registro Infectadas:
      HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b} (Adware.Agent) -> Quarantined and deleted successfully.
      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{28abc5c0-4fcb-11cf-aax5-81cx1c635612} (Trojan.Agent) -> Quarantined and deleted successfully.

      Valores del Registro Infectados:
      (No se han detectado elementos maliciosos)

      Elementos de Datos del Registro Infectados:
      HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Start_ShowMyDocs (Hijack.StartMenu) -> Bad: (0) Good: (1) -> Quarantined and deleted successfully.
      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue (Hijack.System.Hidden) -> Bad: (0) Good: (1) -> Quarantined and deleted successfully.

      Carpetas Infectadas:
      (No se han detectado elementos maliciosos)

      Ficheros Infectados:
      C:\WINDOWS\system32\ckvo0.dll (Trojan.Agent) -> Quarantined and deleted successfully.
      C:\Archivos de programa\setup.exe (Rogue.Installer) -> Quarantined and deleted successfully.


      Agradezco tu tiempo y alguna orientación,

      Medinaceli

    4. #4
      Ex-Colaborador Avatar de Salba
      Registrado
      ene 2005
      Ubicación
      Argentina
      Mensajes
      8.702

      Re: win32:rootkit-gen no puedo acceder al disco duro

      Si ves la advertencia del Combofix, te dice que debe ser usada por recomendación de alguien del Staff, y bajo supervisión de un experto (que en este caso sería, yo ).
      No hace falta que tu seas el experto.

      La mayoría de los errores de CF, se dan por usuarios que lo usan sin saber cómo hacerlo, o bien creen que se trata de una herramienta mágica, es potente, pero no peligrosa, lo que la hace peligrosa, son manos inexpertas o atrevidas.
      Pero queda a tu criterio si no lo quieres usar, no lo uses.

      MBAM ya ha eliminado algunas cosas, pero faltaría un escaneo on line con Kaspersky para ver que queda

      Blog | Antivirus Online | Eliminar Malwares | Antivirus Gratis


      * Síguenos en nuestro Twitter y hazte nuestro amigo en Facebook.
      * Infórmate de las ultimas amenazas de la red desde: InfoSpyware Blog
      * No se resuelven dudas por Privados ni por E-mail, ya que para eso esta el foro.

    5. #5
      Usuario Avatar de Medinaceli
      Registrado
      sep 2008
      Ubicación
      Barcelona
      Mensajes
      4

      Re: win32:rootkit-gen no puedo acceder al disco duro

      Hola,

      Finalmente he ejecutado el ComboFix, pero antes he realizado un análisis con Kaspersky on-line. Este es el informe:

      Configuración del análisis:
      Analizar usando las siguientes bases: estendidas
      Analizar archivos: verdadero
      Analizar bases de correo: verdadero

      Objetivo a analizar - Mi PC:
      C:\
      D:\
      E:\
      F:\
      H:\

      Estadísticas:
      Número de objeros analizados: 131244
      Virus encontrados: 0
      Objetos infectados: 0 / 0
      Objetos sospechosos: 0
      Duración del análisis: 01:50:09

      Bombre del objeto infectado / Nombre del virus / Última acción
      C:\Archivos de programa\Alwil Software\Avast4\DATA\aswResp.dat Object is locked saltado
      C:\Archivos de programa\Alwil Software\Avast4\DATA\Avast4.db Object is locked saltado
      C:\Archivos de programa\Alwil Software\Avast4\DATA\log\AshWebSv.ws Object is locked saltado
      C:\Archivos de programa\Alwil Software\Avast4\DATA\log\aswMaiSv.log Object is locked saltado
      C:\Archivos de programa\Alwil Software\Avast4\DATA\log\nshield.log Object is locked saltado
      C:\Archivos de programa\Alwil Software\Avast4\DATA\log\selfdef.log Object is locked saltado
      C:\Archivos de programa\Alwil Software\Avast4\DATA\report\Protección residente.txt Object is locked saltado
      C:\Documents and Settings\Jesus Medina\Configuración local\Archivos temporales de Internet\Content.IE5\01Q345UV\bind[2].htm Object is locked saltado
      C:\Documents and Settings\Jesus Medina\Configuración local\Archivos temporales de Internet\Content.IE5\index.dat Object is locked saltado
      C:\Documents and Settings\Jesus Medina\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat Object is locked saltado
      C:\Documents and Settings\Jesus Medina\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat.LOG Object is locked saltado
      C:\Documents and Settings\Jesus Medina\Configuración local\Historial\History.IE5\index.dat Object is locked saltado
      C:\Documents and Settings\Jesus Medina\Configuración local\Temp\~DF684.tmp Object is locked saltado
      C:\Documents and Settings\Jesus Medina\Cookies\index.dat Object is locked saltado
      C:\Documents and Settings\Jesus Medina\NTUSER.DAT Object is locked saltado
      C:\Documents and Settings\Jesus Medina\ntuser.dat.LOG Object is locked saltado
      C:\Documents and Settings\LocalService\Configuración local\Archivos temporales de Internet\Content.IE5\index.dat Object is locked saltado
      C:\Documents and Settings\LocalService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat Object is locked saltado
      C:\Documents and Settings\LocalService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat.LOG Object is locked saltado
      C:\Documents and Settings\LocalService\Configuración local\Historial\History.IE5\index.dat Object is locked saltado
      C:\Documents and Settings\LocalService\Cookies\index.dat Object is locked saltado
      C:\Documents and Settings\LocalService\NTUSER.DAT Object is locked saltado
      C:\Documents and Settings\LocalService\ntuser.dat.LOG Object is locked saltado
      C:\Documents and Settings\NetworkService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat Object is locked saltado
      C:\Documents and Settings\NetworkService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat.LOG Object is locked saltado
      C:\Documents and Settings\NetworkService\NTUSER.DAT Object is locked saltado
      C:\Documents and Settings\NetworkService\ntuser.dat.LOG Object is locked saltado
      C:\System Volume Information\MountPointManagerRemoteDatabase Object is locked saltado
      C:\System Volume Information\_restore{DAE90D38-621E-4ED8-AE45-C0DE434530B7}\RP2\change.log Object is locked saltado
      C:\WINDOWS\Debug\PASSWD.LOG Object is locked saltado
      C:\WINDOWS\SchedLgU.Txt Object is locked saltado
      C:\WINDOWS\SoftwareDistribution\ReportingEvents.log Object is locked saltado
      C:\WINDOWS\Sti_Trace.log Object is locked saltado
      C:\WINDOWS\system32\CatRoot2\edb.log Object is locked saltado
      C:\WINDOWS\system32\CatRoot2\tmp.edb Object is locked saltado
      C:\WINDOWS\system32\config\Antivirus.Evt Object is locked saltado
      C:\WINDOWS\system32\config\AppEvent.Evt Object is locked saltado
      C:\WINDOWS\system32\config\DEFAULT Object is locked saltado
      C:\WINDOWS\system32\config\default.LOG Object is locked saltado
      C:\WINDOWS\system32\config\ODiag.evt Object is locked saltado
      C:\WINDOWS\system32\config\OSession.evt Object is locked saltado
      C:\WINDOWS\system32\config\SAM Object is locked saltado
      C:\WINDOWS\system32\config\SAM.LOG Object is locked saltado
      C:\WINDOWS\system32\config\SecEvent.Evt Object is locked saltado
      C:\WINDOWS\system32\config\SECURITY Object is locked saltado
      C:\WINDOWS\system32\config\SECURITY.LOG Object is locked saltado
      C:\WINDOWS\system32\config\SOFTWARE Object is locked saltado
      C:\WINDOWS\system32\config\software.LOG Object is locked saltado
      C:\WINDOWS\system32\config\SysEvent.Evt Object is locked saltado
      C:\WINDOWS\system32\config\SYSTEM Object is locked saltado
      C:\WINDOWS\system32\config\system.LOG Object is locked saltado
      C:\WINDOWS\system32\h323log.txt Object is locked saltado
      C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR Object is locked saltado
      C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP Object is locked saltado
      C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER Object is locked saltado
      C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP Object is locked saltado
      C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP Object is locked saltado
      C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA Object is locked saltado
      C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP Object is locked saltado
      C:\WINDOWS\Temp\Perflib_Perfdata_660.dat Object is locked saltado
      C:\WINDOWS\Temp\Perflib_Perfdata_790.dat Object is locked saltado
      C:\WINDOWS\Temp\_avast4_\unp90733949.tmp Object is locked saltado
      C:\WINDOWS\Temp\_avast4_\Webshlock.txt Object is locked saltado
      C:\WINDOWS\wiadebug.log Object is locked saltado
      C:\WINDOWS\wiaservc.log Object is locked saltado
      C:\WINDOWS\WindowsUpdate.log Object is locked saltado
      D:\System Volume Information\_restore{DAE90D38-621E-4ED8-AE45-C0DE434530B7}\RP2\change.log Object is locked saltado

      Análisis completado.


      Después he pasado el ComboFix y este es el informe:


      ComboFix 08-09-22.06 - Jesus Medina 2008-09-24 17:44:24.1 - NTFSx86
      Microsoft Windows XP Home Edition 5.1.2600.3.1252.1.3082.18.594 [GMT 2:00]
      Se ejecuta desde: C:\Documents and Settings\Jesus Medina\Escritorio\ComboFix.exe
      * Creado un nuevo punto de restauración

      ADVERTENCIA - ESTE EQUIPO NO TIENE INSTALADA LA CONSOLA DE RECUPERACION!
      .

      (((((((((((((((((((((((((((((((((((( Otras eliminaciones )))))))))))))))))))))))))))))))))))))))))))))))))
      .

      C:\Autorun.inf
      C:\WINDOWS\system32\autorun.ini
      C:\WINDOWS\system32\drivers\npf.sys
      C:\WINDOWS\system32\packet.dll
      C:\WINDOWS\system32\pthreadVC.dll
      C:\WINDOWS\system32\wpcap.dll
      D:\Autorun.inf

      .
      ((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))
      .

      -------\Legacy_NPF
      -------\Service_NPF


      (((((((((((((((((( Archivos creados desde 2008-08-24 - 2008-09-24 )))))))))))))))))))))))))))))))))
      .

      2008-10-19 14:09 . 2008-06-14 19:33 272,512 --------- C:\WINDOWS\system32\drivers\bthport.sys
      2008-10-19 14:09 . 2008-06-14 19:33 272,512 --------- C:\WINDOWS\system32\dllcache\bthport.sys
      2008-10-19 14:09 . 2008-05-08 16:02 203,136 --------- C:\WINDOWS\system32\dllcache\rmcast.sys
      2008-09-24 12:14 . 2008-09-24 12:14 8,840 --a------ C:\WINDOWS\SEC1174.PNF
      2008-09-24 12:11 . 2008-09-24 12:11 <DIR> d-------- C:\WINDOWS\system32\es-es
      2008-09-24 12:11 . 2008-09-24 12:11 <DIR> d-------- C:\WINDOWS\system32\es
      2008-09-24 12:11 . 2008-09-24 12:11 <DIR> d-------- C:\WINDOWS\system32\bits
      2008-09-24 12:11 . 2008-09-24 12:11 <DIR> d-------- C:\WINDOWS\l2schemas
      2008-09-24 12:09 . 2008-09-24 12:11 <DIR> d-------- C:\WINDOWS\ServicePackFiles
      2008-09-24 12:05 . 2008-09-24 12:05 2,948 --a------ C:\WINDOWS\SEC9.PNF
      2008-09-24 12:02 . 2008-09-24 12:02 <DIR> d-------- C:\WINDOWS\EHome
      2008-09-23 19:32 . 2008-09-23 19:32 <DIR> d-------- C:\Documents and Settings\Jesus Medina\Datos de programa\Malwarebytes
      2008-09-23 19:32 . 2008-09-23 19:32 <DIR> d-------- C:\Documents and Settings\All Users\Datos de programa\Malwarebytes
      2008-09-23 19:32 . 2008-09-23 19:32 <DIR> d-------- C:\Archivos de programa\Malwarebytes' Anti-Malware
      2008-09-23 19:32 . 2008-09-10 00:04 38,528 --a------ C:\WINDOWS\system32\drivers\mbamswissarmy.sys
      2008-09-23 19:32 . 2008-09-10 00:03 17,200 --a------ C:\WINDOWS\system32\drivers\mbam.sys
      2008-09-23 12:39 . 2004-07-17 22:55 129,045 --------- C:\WINDOWS\system32\drivers\cxthsfs2.cty
      2008-09-23 12:26 . 2008-04-11 21:05 691,712 --------- C:\WINDOWS\system32\dllcache\inetcomm.dll
      2008-08-30 08:56 . 2008-08-30 08:56 <DIR> d-------- C:\Documents and Settings\Jesus Medina\Datos de programa\Nikon
      2008-08-30 08:55 . 2008-08-30 08:55 <DIR> d-------- C:\Archivos de programa\Nikon
      2008-08-30 08:53 . 2008-08-30 08:53 <DIR> d-------- C:\Documents and Settings\All Users\Datos de programa\Ultima_T15
      2008-08-30 08:53 . 2008-08-30 08:53 <DIR> d-------- C:\Documents and Settings\All Users\Datos de programa\EnterNHelp
      2008-08-30 08:53 . 2008-08-30 08:56 <DIR> d-------- C:\Archivos de programa\Archivos comunes\Nikon
      2008-08-30 08:53 . 2008-08-30 08:53 0 --a------ C:\Documents and Settings\All Users\Datos de programa\PKP_DLbz.DAT

      .
      (((((((((((((((((((((((((((((((((((((( Reporte Find3M )))))))))))))))))))))))))))))))))))))))))))))))))))
      .
      2008-10-01 07:39 --------- d-----w C:\Documents and Settings\Jesus Medina\Datos de programa\AdobeUM
      2008-09-24 15:49 --------- d-----w C:\Archivos de programa\Microsoft AntiSpyware
      2008-08-30 06:55 --------- d--h--w C:\Archivos de programa\InstallShield Installation Information
      2008-08-02 17:58 --------- d-----w C:\Archivos de programa\AutoCAD 2006
      2008-02-09 11:02 840 ----a-w C:\Archivos de programa\ObjectDock.lnk
      .

      ((((((((((((((((((((((((((((((((( Cargando Puntos Reg ))))))))))))))))))))))))))))))))))))))))))))))))))
      .
      .
      *Nota* entradas vac¡as & entradas leg¡timas predeterminadas no son mostradas
      REGEDIT4

      [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks]
      "{34ea1c70-42cc-42c5-aa29-ec58b95a343e}"= "C:\Archivos de programa\myBabylon\tbmyBa.dll" [2008-02-14 1555480]

      [HKEY_CLASSES_ROOT\clsid\{34ea1c70-42cc-42c5-aa29-ec58b95a343e}]

      [HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{34ea1c70-42cc-42c5-aa29-ec58b95a343e}]
      2008-02-14 14:54 1555480 --a------ C:\Archivos de programa\myBabylon\tbmyBa.dll

      [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
      "{34ea1c70-42cc-42c5-aa29-ec58b95a343e}"= "C:\Archivos de programa\myBabylon\tbmyBa.dll" [2008-02-14 1555480]

      [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
      "{34EA1C70-42CC-42C5-AA29-EC58B95A343E}"= "C:\Archivos de programa\myBabylon\tbmyBa.dll" [2008-02-14 1555480]

      [HKEY_CLASSES_ROOT\clsid\{34ea1c70-42cc-42c5-aa29-ec58b95a343e}]

      [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
      "CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2008-04-14 15360]
      "NBJ"="C:\Archivos de programa\Ahead\Nero BackItUp\NBJ.exe" [2004-07-26 1867776]

      [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
      "LaunchApp"="Alaunch" [X]
      "IgfxTray"="C:\WINDOWS\system32\igfxtray.exe" [2005-02-07 155648]
      "HotKeysCmds"="C:\WINDOWS\system32\hkcmd.exe" [2005-02-07 126976]
      "SynTPLpr"="C:\Archivos de programa\Synaptics\SynTP\SynTPLpr.exe" [2004-10-08 98394]
      "SynTPEnh"="C:\Archivos de programa\Synaptics\SynTP\SynTPEnh.exe" [2004-10-08 688218]
      "PCMService"="C:\Archivos de programa\Arcade\PCMService.exe" [2005-03-09 49152]
      "IMJPMIG8.1"="C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" [2004-08-20 208952]
      "MSPY2002"="C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe" [2004-08-20 59392]
      "PHIME2002ASync"="C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE" [2004-08-20 455168]
      "PHIME2002A"="C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE" [2004-08-20 455168]
      "ATIPTA"="C:\Archivos de programa\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2005-04-28 344064]
      "EPM-DM"="c:\acer\epm\epm-dm.exe" [2005-03-28 188416]
      "ePowerManagement"="C:\Acer\ePM\ePM.exe" [2005-03-24 2880512]
      "LManager"="C:\Archivos de programa\Launch Manager\QtZgAcer.EXE" [2005-09-05 319488]
      "eRecoveryService"="C:\Archivos de programa\Acer\eRecovery\Monitor.exe" [2005-06-29 352256]
      "NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 155648]
      "gcasServ"="C:\Archivos de programa\Microsoft AntiSpyware\gcasServ.exe" [2005-11-15 473928]
      "Share-to-Web Namespace Daemon"="c:\Archivos de programa\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe" [2002-04-17 69632]
      "CreativeMouse "="C:\Archivos de programa\NGS Mouse Driver\MouseDrv.exe" [2004-05-15 315392]
      "TkBellExe"="C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe" [2006-12-21 180269]
      "DiskeeperSystray"="C:\Archivos de programa\Executive Software\Diskeeper\DkIcon.exe" [2005-07-26 184408]
      "ISUSPM Startup"="C:\Archivos de programa\Archivos comunes\InstallShield\UpdateService\isuspm.exe" [2005-08-11 249856]
      "ISUSScheduler"="C:\Archivos de programa\Archivos comunes\InstallShield\UpdateService\issch.exe" [2005-08-11 81920]
      "QuickTime Task"="C:\Archivos de programa\QuickTime\qttask.exe" [2008-01-24 155648]

      [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
      "CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2008-04-14 15360]

      [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
      "MSMSGS"="C:\Archivos de programa\Messenger\msmsgs.exe" /background

      [HKEY_LOCAL_MACHINE\software\microsoft\security center]
      "AntiVirusDisableNotify"=dword:00000001

      [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
      "DisableMonitoring"=dword:00000001

      [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
      "%windir%\\system32\\sessmgr.exe"=
      "C:\\Archivos de programa\\Messenger\\MSMSGS.EXE"=
      "C:\\Archivos de programa\\Microsoft Office\\Office12\\OUTLOOK.EXE"=
      "C:\\Archivos de programa\\Bonjour\\mDNSResponder.exe"=
      "C:\\Archivos de programa\\Autodesk\\3ds Max 9\\3dsmax.exe"=
      "C:\\Archivos de programa\\Autodesk\\Backburner\\monitor.exe"=
      "C:\\Archivos de programa\\Autodesk\\Backburner\\manager.exe"=
      "C:\\Archivos de programa\\Autodesk\\Backburner\\server.exe"=
      "C:\\Archivos de programa\\IVT Corporation\\BlueSoleil\\BlueSoleil.exe"=
      "%windir%\\Network Diagnostic\\xpnetdiag.exe"=

      R0 sojubus;sojubus;C:\WINDOWS\system32\DRIVERS\sojubus.sys [2003-10-05 123520]
      R0 sojuscsi;sojuscsi;C:\WINDOWS\system32\DRIVERS\sojuscsi.sys [2003-09-28 5504]
      R1 aswSP;avast! Self Protection;C:\WINDOWS\system32\drivers\aswSP.sys [2008-07-19 78416]
      R2 aswFsBlk;aswFsBlk;C:\WINDOWS\system32\DRIVERS\aswFsBlk.sys [2008-07-19 20560]
      R2 EpmPsd;Acer EPM Power Scheme Driver;C:\WINDOWS\system32\drivers\epm-psd.sys [2004-07-19 4096]
      R2 EpmShd;Acer EPM System Hardware Driver;C:\WINDOWS\system32\drivers\epm-shd.sys [2005-03-24 78208]
      R2 int15.sys;int15.sys;C:\Archivos de programa\Acer\eRecovery\int15.sys [2005-01-13 69632]
      R2 osaio;osaio;C:\WINDOWS\system32\drivers\osaio.sys [2005-06-30 7296]
      R2 osanbm;osanbm;C:\WINDOWS\system32\drivers\osanbm.sys [2005-01-14 4010]

      [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\C]
      \Shell\AutoRun\command - 1u0o8bnq.cmd
      \Shell\explore\Command - 1u0o8bnq.cmd
      \Shell\open\Command - 1u0o8bnq.cmd

      [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\D]
      \Shell\AutoRun\command - 1u0o8bnq.cmd
      \Shell\explore\Command - 1u0o8bnq.cmd
      \Shell\open\Command - 1u0o8bnq.cmd

      [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{6ea3d712-68b9-11db-a205-0013ce7108de}]
      \Shell\AutoRun\command - F:\setup.exe

      [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{909531bc-975f-11dc-a25e-0013ce7108de}]
      \Shell\AutoRun\command - G:\LaunchU3.exe -a

      [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{a61d0bde-5a3f-11dd-a28b-0011675f50c6}]
      \Shell\AutoRun\command - 1u0o8bnq.cmd
      \Shell\explore\Command - 1u0o8bnq.cmd
      \Shell\open\Command - 1u0o8bnq.cmd

      [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{aaf1e4f0-4a79-11dc-a23f-00c09fecdd4d}]
      \Shell\Auto\command - sxs.exe
      \Shell\AutoRun\command - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL sxs.exe
      .
      Contenido de carpeta 'Tareas Programadas'
      .
      .
      ------- Supplementary Scan -------
      .
      R0 -: HKCU-Main,Start Page = hxxp://google.es/
      R1 -: HKCU-Internet Settings,ProxyOverride = *.local
      R1 -: HKCU-SearchURL,(Default) = hxxp://www.google.com/search?q=%s
      O8 -: E&xportar a Microsoft Excel - C:\ARCHIV~1\MICROS~2\Office12\EXCEL.EXE/3000
      .

      **************************************************************************

      catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
      Rootkit scan 2008-09-24 17:48:45
      Windows 5.1.2600 Service Pack 3 NTFS

      escaneando procesos ocultos ...

      escaneando entradas ocultas de autostart ...

      escaneando archivos ocultos ...


      C:\Documents and Settings\Jesus Medina\Configuración local\Datos de programa\ApplicationHistory\acstart16.exe.ba1f78f1.ini.inuse 0 bytes

      el escaneo se completo con exito
      archivos ocultos: 1

      **************************************************************************
      .
      --------------------- DLLs cargados bajo los procesos en ejecuci¢n ---------------------

      PROCESS: C:\WINDOWS\explorer.exe
      -> C:\Archivos de programa\Stardock\ObjectDock\DockShellHook.dll
      .
      ------------------------ Other Running Processes ------------------------
      .
      C:\WINDOWS\system32\ati2evxx.exe
      C:\Archivos de programa\Intel\Wireless\Bin\EvtEng.exe
      C:\Archivos de programa\Intel\Wireless\Bin\S24EvMon.exe
      C:\Archivos de programa\Alwil Software\Avast4\aswUpdSv.exe
      C:\Archivos de programa\Alwil Software\Avast4\ashServ.exe
      C:\Acer\eManager\anbmServ.exe
      C:\Archivos de programa\Archivos comunes\Autodesk Shared\Service\AdskScSrv.exe
      C:\Archivos de programa\IVT Corporation\BlueSoleil\BTNtService.exe
      C:\Archivos de programa\Bonjour\mDNSResponder.exe
      C:\WINDOWS\system32\drivers\CDANTSRV.EXE
      C:\Archivos de programa\Executive Software\Diskeeper\DkService.exe
      C:\Archivos de programa\Autodesk\3ds Max 9\mentalray\satellite\raysat_3dsmax9_32server.exe
      C:\Archivos de programa\Intel\Wireless\Bin\RegSrvc.exe
      C:\Archivos de programa\Alwil Software\Avast4\ashMaiSv.exe
      C:\Archivos de programa\Alwil Software\Avast4\ashWebSv.exe
      C:\WINDOWS\system32\wbem\wmiapsrv.exe
      C:\WINDOWS\system32\ati2evxx.exe
      C:\Archivos de programa\Hewlett-Packard\HP Share-to-Web\hpgs2wnf.exe
      C:\Archivos de programa\Microsoft AntiSpyware\gcasDtServ.exe
      C:\Archivos de programa\Adobe\Acrobat 6.0\Distillr\acrotray.exe
      C:\Archivos de programa\IVT Corporation\BlueSoleil\BlueSoleil.exe
      C:\Archivos de programa\SAGEM\SAGEM F@st 800-840\dslmon.exe
      C:\Archivos de programa\Stardock\ObjectDock\ObjectDock.exe
      .
      **************************************************************************
      .
      Tiempo completado: 2008-09-24 17:52:52 - machine was rebooted [Jesus Medina]
      ComboFix-quarantined-files.txt 2008-09-24 15:52:37

      Pre-Run: 4.195.692.544 bytes libres
      Post-Run: 6,237,433,856 bytes libres

      204 --- E O F --- 2008-09-24 10:15:43



      Al parecer los problemas se han solucionado, pues puedo acceder tanto a la unidad C como a la D, a menos que viendo los informes me digas lo contrario.

      Muchas gracias por tu ayuda.

    6. #6
      Ex-Colaborador Avatar de Salba
      Registrado
      ene 2005
      Ubicación
      Argentina
      Mensajes
      8.702

      Re: win32:rootkit-gen no puedo acceder al disco duro

      Solo quedaría esto:


      1.-Abrir el Notepad (Bloc de Notas)
      • Ir a INICIO > EJECUTAR >
      • Y ahí pones notepad.exe y ACEPTAR

      2.-Ahora copia y pega estos archivos dentro del Notepad

      Código:
      KillAll::
      
      File::
      C:\Documents and Settings\Jesus Medina\Configuración local\Datos de programa\ApplicationHistory\acstart16.exe.ba1f78f1 .ini.inuse
      
      Registry::
      [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\C]
      [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\D]
      [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{6ea3d712-68b9-11db-a205-0013ce7108de}]
      [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{909531bc-975f-11dc-a25e-0013ce7108de}]
      [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{a61d0bde-5a3f-11dd-a28b-0011675f50c6}]
      [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{aaf1e4f0-4a79-11dc-a23f-00c09fecdd4d}]
      3.- Graba este archivo con el nombre CFScript.txt y déjalo en tu escritorio.

      4.- Arrastrar y soltar el archivo CFScript.txt dentro del archivo ComboFix.exe como lo muestra la animación de abajo. Esto activara ComboFix nuevamente.

      • Reinicia tu PC y nos dejas un el nuevo reporte de ComboFix, comentándonos como esta funcionado todo actualmente



      Luego desinstala Combofix de esta manera:

      • Ir a Inicio > Ejecutar
      • Escribir lo siguiente: ComboFix /u como muestra la imagen debajo:

      • Esto activara el desinstalador de ComboFix abriendo su pantalla principal y luego de unos segundos veras ("ComboFix is uninstalled")


      Para evitar este tipo de infecciones te recomiendo usar un navegador mas seguro como Firefox
      Saludos

      Blog | Antivirus Online | Eliminar Malwares | Antivirus Gratis


      * Síguenos en nuestro Twitter y hazte nuestro amigo en Facebook.
      * Infórmate de las ultimas amenazas de la red desde: InfoSpyware Blog
      * No se resuelven dudas por Privados ni por E-mail, ya que para eso esta el foro.

    7. #7
      Usuario Avatar de Medinaceli
      Registrado
      sep 2008
      Ubicación
      Barcelona
      Mensajes
      4

      Re: win32:rootkit-gen no puedo acceder al disco duro

      He ejecutado de nuevo el ComboFix tal y como me decías en el mensaje. Este es el reporte:

      ComboFix 08-09-26.01 - Jesus Medina 2008-09-27 12:33:26.2 - NTFSx86
      Microsoft Windows XP Home Edition 5.1.2600.3.1252.1.3082.18.611 [GMT 2:00]
      Se ejecuta desde: C:\Documents and Settings\Jesus Medina\Escritorio\ComboFix.exe
      Command switches used :: C:\Documents and Settings\Jesus Medina\Escritorio\CFScript.txt
      * Creado un nuevo punto de restauración

      ADVERTENCIA - ESTE EQUIPO NO TIENE INSTALADA LA CONSOLA DE RECUPERACION!

      FILE ::
      C:\Documents and Settings\Jesus Medina\Configuración local\Datos de programa\ApplicationHistory\acstart16.exe.ba1f78f1 .ini.inuse
      .

      (((((((((((((((((( Archivos creados desde 2008-08-27 - 2008-09-27 )))))))))))))))))))))))))))))))))
      .

      2008-10-19 14:09 . 2008-06-14 19:33 272,512 --------- C:\WINDOWS\system32\drivers\bthport.sys
      2008-10-19 14:09 . 2008-06-14 19:33 272,512 --------- C:\WINDOWS\system32\dllcache\bthport.sys
      2008-10-19 14:09 . 2008-05-08 16:02 203,136 --------- C:\WINDOWS\system32\dllcache\rmcast.sys
      2008-09-26 20:28 . 2008-09-26 20:28 <DIR> d-------- C:\Archivos de programa\Alcohol Soft
      2008-09-26 20:22 . 2008-09-26 20:22 716,272 --a------ C:\WINDOWS\system32\drivers\sptd.sys
      2008-09-24 17:52 . 2008-09-24 17:52 <DIR> d-------- C:\WINDOWS\system32\config\systemprofile\Configuración local
      2008-09-24 17:52 . 2008-09-24 17:52 <DIR> d-------- C:\Documents and Settings\NetworkService\Configuración local
      2008-09-24 17:52 . 2008-09-24 17:52 <DIR> d-------- C:\Documents and Settings\LocalService\Configuración local
      2008-09-24 17:52 . 2008-09-24 17:52 <DIR> d-------- C:\Documents and Settings\Jesus Medina\Configuración local
      2008-09-24 17:52 . 2008-09-24 17:52 <DIR> d-------- C:\Documents and Settings\General\Configuración local
      2008-09-24 12:14 . 2008-09-24 12:14 8,840 --a------ C:\WINDOWS\SEC1174.PNF
      2008-09-24 12:11 . 2008-09-24 12:11 <DIR> d-------- C:\WINDOWS\system32\es-es
      2008-09-24 12:11 . 2008-09-24 12:11 <DIR> d-------- C:\WINDOWS\system32\es
      2008-09-24 12:11 . 2008-09-24 12:11 <DIR> d-------- C:\WINDOWS\system32\bits
      2008-09-24 12:11 . 2008-09-24 12:11 <DIR> d-------- C:\WINDOWS\l2schemas
      2008-09-24 12:09 . 2008-09-24 12:11 <DIR> d-------- C:\WINDOWS\ServicePackFiles
      2008-09-24 12:05 . 2008-09-24 12:05 2,948 --a------ C:\WINDOWS\SEC9.PNF
      2008-09-24 12:02 . 2008-09-24 12:02 <DIR> d-------- C:\WINDOWS\EHome
      2008-09-23 19:32 . 2008-09-23 19:32 <DIR> d-------- C:\Documents and Settings\Jesus Medina\Datos de programa\Malwarebytes
      2008-09-23 19:32 . 2008-09-23 19:32 <DIR> d-------- C:\Documents and Settings\All Users\Datos de programa\Malwarebytes
      2008-09-23 19:32 . 2008-09-23 19:32 <DIR> d-------- C:\Archivos de programa\Malwarebytes' Anti-Malware
      2008-09-23 19:32 . 2008-09-10 00:04 38,528 --a------ C:\WINDOWS\system32\drivers\mbamswissarmy.sys
      2008-09-23 19:32 . 2008-09-10 00:03 17,200 --a------ C:\WINDOWS\system32\drivers\mbam.sys
      2008-09-23 12:39 . 2004-07-17 22:55 129,045 --------- C:\WINDOWS\system32\drivers\cxthsfs2.cty
      2008-09-23 12:26 . 2008-04-11 21:05 691,712 --------- C:\WINDOWS\system32\dllcache\inetcomm.dll
      2008-08-30 08:56 . 2008-08-30 08:56 <DIR> d-------- C:\Documents and Settings\Jesus Medina\Datos de programa\Nikon
      2008-08-30 08:55 . 2008-08-30 08:55 <DIR> d-------- C:\Archivos de programa\Nikon
      2008-08-30 08:53 . 2008-08-30 08:53 <DIR> d-------- C:\Documents and Settings\All Users\Datos de programa\Ultima_T15
      2008-08-30 08:53 . 2008-08-30 08:53 <DIR> d-------- C:\Documents and Settings\All Users\Datos de programa\EnterNHelp
      2008-08-30 08:53 . 2008-08-30 08:56 <DIR> d-------- C:\Archivos de programa\Archivos comunes\Nikon
      2008-08-30 08:53 . 2008-08-30 08:53 0 --a------ C:\Documents and Settings\All Users\Datos de programa\PKP_DLbz.DAT

      .
      (((((((((((((((((((((((((((((((((((((( Reporte Find3M )))))))))))))))))))))))))))))))))))))))))))))))))))
      .
      2008-10-01 07:39 --------- d-----w C:\Documents and Settings\Jesus Medina\Datos de programa\AdobeUM
      2008-09-27 10:37 --------- d-----w C:\Archivos de programa\Microsoft AntiSpyware
      2008-09-25 06:57 --------- d-----w C:\Archivos de programa\Photoshop CS3
      2008-09-25 06:37 --------- d-----w C:\Archivos de programa\AutoCAD 2006
      2008-08-30 06:55 --------- d--h--w C:\Archivos de programa\InstallShield Installation Information
      2008-02-09 11:02 840 ----a-w C:\Archivos de programa\ObjectDock.lnk
      .

      ((((((((((((((((((((((((((((( snapshot@2008-09-24_17.52.18.03 )))))))))))))))))))))))))))))))))))))))))
      .
      - 2008-09-19 17:38:29 2,620 --sha-w C:\WINDOWS\system32\KGyGaAvL.sys
      + 2008-09-25 07:31:12 2,620 --sha-w C:\WINDOWS\system32\KGyGaAvL.sys
      + 2008-09-27 10:36:44 16,384 ----atw C:\WINDOWS\Temp\Perflib_Perfdata_104.dat
      + 2008-09-27 10:36:56 16,384 ----atw C:\WINDOWS\Temp\Perflib_Perfdata_324.dat
      .
      ((((((((((((((((((((((((((((((((( Cargando Puntos Reg ))))))))))))))))))))))))))))))))))))))))))))))))))
      .
      .
      *Nota* entradas vac¡as & entradas leg¡timas predeterminadas no son mostradas
      REGEDIT4

      [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks]
      "{34ea1c70-42cc-42c5-aa29-ec58b95a343e}"= "C:\Archivos de programa\myBabylon\tbmyBa.dll" [2008-02-14 1555480]

      [HKEY_CLASSES_ROOT\clsid\{34ea1c70-42cc-42c5-aa29-ec58b95a343e}]

      [HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{34ea1c70-42cc-42c5-aa29-ec58b95a343e}]
      2008-02-14 14:54 1555480 --a------ C:\Archivos de programa\myBabylon\tbmyBa.dll

      [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
      "{34ea1c70-42cc-42c5-aa29-ec58b95a343e}"= "C:\Archivos de programa\myBabylon\tbmyBa.dll" [2008-02-14 1555480]

      [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
      "{34EA1C70-42CC-42C5-AA29-EC58B95A343E}"= "C:\Archivos de programa\myBabylon\tbmyBa.dll" [2008-02-14 1555480]

      [HKEY_CLASSES_ROOT\clsid\{34ea1c70-42cc-42c5-aa29-ec58b95a343e}]

      [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
      "CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2008-04-14 15360]
      "NBJ"="C:\Archivos de programa\Ahead\Nero BackItUp\NBJ.exe" [2004-07-26 1867776]
      "AlcoholAutomount"="C:\Archivos de programa\Alcohol Soft\Alcohol 52\axcmd.exe" [2008-03-20 216520]
      "avast! service GUI component"="C:\Archivos de programa\Alwil Software\Avast4\ashDisp.exe" [2008-07-19 78008]

      [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
      "LaunchApp"="Alaunch" [X]
      "IgfxTray"="C:\WINDOWS\system32\igfxtray.exe" [2005-02-07 155648]
      "HotKeysCmds"="C:\WINDOWS\system32\hkcmd.exe" [2005-02-07 126976]
      "SynTPLpr"="C:\Archivos de programa\Synaptics\SynTP\SynTPLpr.exe" [2004-10-08 98394]
      "SynTPEnh"="C:\Archivos de programa\Synaptics\SynTP\SynTPEnh.exe" [2004-10-08 688218]
      "PCMService"="C:\Archivos de programa\Arcade\PCMService.exe" [2005-03-09 49152]
      "IMJPMIG8.1"="C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" [2004-08-20 208952]
      "MSPY2002"="C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe" [2004-08-20 59392]
      "PHIME2002ASync"="C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE" [2004-08-20 455168]
      "PHIME2002A"="C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE" [2004-08-20 455168]
      "ATIPTA"="C:\Archivos de programa\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2005-04-28 344064]
      "EPM-DM"="c:\acer\epm\epm-dm.exe" [2005-03-28 188416]
      "ePowerManagement"="C:\Acer\ePM\ePM.exe" [2005-03-24 2880512]
      "LManager"="C:\Archivos de programa\Launch Manager\QtZgAcer.EXE" [2005-09-05 319488]
      "eRecoveryService"="C:\Archivos de programa\Acer\eRecovery\Monitor.exe" [2005-06-29 352256]
      "NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 155648]
      "gcasServ"="C:\Archivos de programa\Microsoft AntiSpyware\gcasServ.exe" [2005-11-15 473928]
      "Share-to-Web Namespace Daemon"="c:\Archivos de programa\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe" [2002-04-17 69632]
      "CreativeMouse "="C:\Archivos de programa\NGS Mouse Driver\MouseDrv.exe" [2004-05-15 315392]
      "TkBellExe"="C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe" [2006-12-21 180269]
      "DiskeeperSystray"="C:\Archivos de programa\Executive Software\Diskeeper\DkIcon.exe" [2005-07-26 184408]
      "ISUSPM Startup"="C:\Archivos de programa\Archivos comunes\InstallShield\UpdateService\isuspm.exe" [2005-08-11 249856]
      "ISUSScheduler"="C:\Archivos de programa\Archivos comunes\InstallShield\UpdateService\issch.exe" [2005-08-11 81920]
      "QuickTime Task"="C:\Archivos de programa\QuickTime\qttask.exe" [2008-01-24 155648]

      [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
      "CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2008-04-14 15360]

      [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
      "MSMSGS"="C:\Archivos de programa\Messenger\msmsgs.exe" /background

      [HKEY_LOCAL_MACHINE\software\microsoft\security center]
      "AntiVirusDisableNotify"=dword:00000001

      [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
      "DisableMonitoring"=dword:00000001

      [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
      "%windir%\\system32\\sessmgr.exe"=
      "C:\\Archivos de programa\\Messenger\\MSMSGS.EXE"=
      "C:\\Archivos de programa\\Microsoft Office\\Office12\\OUTLOOK.EXE"=
      "C:\\Archivos de programa\\Bonjour\\mDNSResponder.exe"=
      "C:\\Archivos de programa\\Autodesk\\3ds Max 9\\3dsmax.exe"=
      "C:\\Archivos de programa\\Autodesk\\Backburner\\monitor.exe"=
      "C:\\Archivos de programa\\Autodesk\\Backburner\\manager.exe"=
      "C:\\Archivos de programa\\Autodesk\\Backburner\\server.exe"=
      "C:\\Archivos de programa\\IVT Corporation\\BlueSoleil\\BlueSoleil.exe"=
      "%windir%\\Network Diagnostic\\xpnetdiag.exe"=

      R1 aswSP;avast! Self Protection;C:\WINDOWS\system32\drivers\aswSP.sys [2008-07-19 78416]
      R2 aswFsBlk;aswFsBlk;C:\WINDOWS\system32\DRIVERS\aswFsBlk.sys [2008-07-19 20560]
      R2 EpmPsd;Acer EPM Power Scheme Driver;C:\WINDOWS\system32\drivers\epm-psd.sys [2004-07-19 4096]
      R2 EpmShd;Acer EPM System Hardware Driver;C:\WINDOWS\system32\drivers\epm-shd.sys [2005-03-24 78208]
      R2 int15.sys;int15.sys;C:\Archivos de programa\Acer\eRecovery\int15.sys [2005-01-13 69632]
      R2 osaio;osaio;C:\WINDOWS\system32\drivers\osaio.sys [2005-06-30 7296]
      R2 osanbm;osanbm;C:\WINDOWS\system32\drivers\osanbm.sys [2005-01-14 4010]

      [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{dd878c86-8bf8-11dd-a299-0011675f50c6}]
      \Shell\AutoRun\command - F:\Autoplay.exe -auto
      .
      Contenido de carpeta 'Tareas Programadas'
      .

      **************************************************************************

      catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
      Rootkit scan 2008-09-27 12:37:46
      Windows 5.1.2600 Service Pack 3 NTFS

      escaneando procesos ocultos ...

      escaneando entradas ocultas de autostart ...

      escaneando archivos ocultos ...

      el escaneo se completo con exito
      archivos ocultos: 0

      **************************************************************************
      .
      ------------------------ Other Running Processes ------------------------
      .
      C:\WINDOWS\system32\ati2evxx.exe
      C:\Archivos de programa\Intel\Wireless\Bin\EvtEng.exe
      C:\Archivos de programa\Intel\Wireless\Bin\S24EvMon.exe
      C:\Archivos de programa\Alwil Software\Avast4\aswUpdSv.exe
      C:\Archivos de programa\Alwil Software\Avast4\ashServ.exe
      C:\Acer\eManager\anbmServ.exe
      C:\Archivos de programa\Archivos comunes\Autodesk Shared\Service\AdskScSrv.exe
      C:\Archivos de programa\IVT Corporation\BlueSoleil\BTNtService.exe
      C:\Archivos de programa\Bonjour\mDNSResponder.exe
      C:\WINDOWS\system32\drivers\CDANTSRV.EXE
      C:\Archivos de programa\Executive Software\Diskeeper\DkService.exe
      C:\Archivos de programa\Autodesk\3ds Max 9\mentalray\satellite\raysat_3dsmax9_32server.exe
      C:\Archivos de programa\Intel\Wireless\Bin\RegSrvc.exe
      C:\Archivos de programa\Alcohol Soft\Alcohol 52\StarWind\StarWindServiceAE.exe
      C:\WINDOWS\system32\ati2evxx.exe
      C:\Archivos de programa\Alwil Software\Avast4\ashMaiSv.exe
      C:\Archivos de programa\Alwil Software\Avast4\ashWebSv.exe
      C:\WINDOWS\system32\wbem\wmiapsrv.exe
      C:\Archivos de programa\Hewlett-Packard\HP Share-to-Web\hpgs2wnf.exe
      C:\Archivos de programa\Microsoft AntiSpyware\gcasDtServ.exe
      C:\Archivos de programa\Adobe\Acrobat 6.0\Distillr\acrotray.exe
      C:\Archivos de programa\IVT Corporation\BlueSoleil\BlueSoleil.exe
      C:\Archivos de programa\SAGEM\SAGEM F@st 800-840\dslmon.exe
      C:\Archivos de programa\Stardock\ObjectDock\ObjectDock.exe
      .
      **************************************************************************
      .
      Tiempo completado: 2008-09-27 12:41:41 - machine was rebooted
      ComboFix-quarantined-files.txt 2008-09-27 10:41:27

      Pre-Run: 5.090.168.832 bytes libres
      Post-Run: 5,577,596,928 bytes libres

      179 --- E O F --- 2008-09-24 10:15:43

      De momento va bien la cosa. Perdona no haber escrito antes, pero es que no había mirado el correo.

      Gracias otra vez.

      Medinaceli

    8. #8
      Ex-Colaborador Avatar de Salba
      Registrado
      ene 2005
      Ubicación
      Argentina
      Mensajes
      8.702

      Re: win32:rootkit-gen no puedo acceder al disco duro



      Recuerda desinstalar Combofix como explico más abajo.

      Saludos

      Blog | Antivirus Online | Eliminar Malwares | Antivirus Gratis


      * Síguenos en nuestro Twitter y hazte nuestro amigo en Facebook.
      * Infórmate de las ultimas amenazas de la red desde: InfoSpyware Blog
      * No se resuelven dudas por Privados ni por E-mail, ya que para eso esta el foro.