| |||||||
| Temas Solucionados Casos de HijackThis y Malwares resueltos. (Solo lectura) |
 |
| | Enviar a: | Herramientas |
 | 
16/10/08, 19:41:09
|  |
| ||||
| Problemas con un Backdoor.bot y Broken.OpenCommand (Solucionado) Hola participantes de este excelente foro. Tengo un problema con un virus después que se descargó en mi pc el archivo FXSTALLER.EXE. Seguí las recomendaciones que en este foro dan para solucionar este tipo de inconvenientes. El archivo desapareció pero cuando escaneo con Malwarebytes' Anti-Malware 1.28 me sigue diciendo que hay dos archivos infectados: Malwarebytes' Anti-Malware 1.28 Versión de la Base de Datos: 1270 Windows 5.1.2600 Service Pack 3 16/10/2008 05:22:36 p.m. mbam-log-2008-10-16 (17-22-36).txt Tipo de examen : Examen Rápido Objetos examinados: 54726 Tiempo transcurrido: 5 minute(s), 38 second(s) Procesos en Memoria Infectados: 0 Módulos en Memoria Infectados: 0 Claves del Registro Infectadas: 0 Valores del Registro Infectados: 1 Elementos de Datos del Registro Infectados: 1 Carpetas Infectadas: 0 Ficheros Infectados: 0 Procesos en Memoria Infectados: (No se han detectado elementos maliciosos) Módulos en Memoria Infectados: (No se han detectado elementos maliciosos) Claves del Registro Infectadas: (No se han detectado elementos maliciosos) Valores del Registro Infectados: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run\Windows UDP Control Center (Backdoor.Bot) -> Quarantined and deleted successfully. Elementos de Datos del Registro Infectados: HKEY_CLASSES_ROOT\scrfile\shell\open\command\ (Broken.OpenCommand) -> Bad: ("%1" %*) Good: ("%1" /S) -> Quarantined and deleted successfully. Carpetas Infectadas: (No se han detectado elementos maliciosos) Ficheros Infectados: (No se han detectado elementos maliciosos) Como les digo, ya he seguido las recomendaciones que se han hecho en este foro acerca de este inconveniente, pero cada vez que hago todos los pasos y llegó a hacer el análisis con Malwarebytes' Anti-Malware siempre aparecen estos dos. Que hago??? Por favor ayudenme.  |
| InfoSpyware | ||
| |
|
18/10/08, 17:01:43
| |
| ||||
| Re: Problemas con un Backdoor.bot y Broken.OpenCommand Hola, te doy la bienvenida al foro realiza lo siguiente:  Apaga "Restaurar Sistema" y reinicias tu pc. Inicias en modo seguro. Ejecuta Malwarebytes' Anti-Malware(no olvides actualizarlo antes de ejecutarlo), esta vez realiza un escaneo completo no uno rápido como el que hiciste.Regresa con su reporte y no olvides eliminar todo lo que te encuentra para ello lee el Manual de Malwarebytes' Anti-Malware. Ejecuta drweb cure (manual)(regresas con el reporte que te genere). Ejecuta Ccleaner en sus opciones de limpiador y registro este último pásalo hasta que no te salga nada, cualquier duda lees su manual(no olvides hacer una copia de seguridad). Reinicias en modo normal y realizas un escaneo online con los siguientes antivirus, en el orden en los que te doy:- ESET ONLINE SCANNER(regresas con su reporte). - Panda Active Scan cualquier duda sobre este último lees su manual y pegas el reporte que te da de resultado. Regresas y no olvides comentar como sigue tu pc. Saludos  Novedades del Foro | Antivirus Online | Eliminar Malwares | Políticas del Foro | Blog * Ayúdanos haciendo una DONACIÓN para poder seguir Ayudando. * Infórmate de las ultimas amenazas de la red desde: InfoSpyware Blog * No se resuelven dudas por Privados ni por E-mail, ya que para eso esta el foro. |
|
18/10/08, 20:34:52
| |
| ||||
 Re: Problemas con un Backdoor.bot y Broken.OpenCommand Hola Sikartus, agradezco tu amabilidad al contestar mis inquietudes. Te cuento que los pasos 1 - 5 ya los había realizado tal y como me lo recomiendas. La diferencia es que el sexto paso lo hice con Kaspersky OnLine. Después de realizar todo este procedimiento, volví a ejecutar el escaneo rápido con Malwarebyte's Anti Malware que fué el que pegué. Es por eso mi inquietud. Después de realizar todos estos pasos, porqué persiste la existencia de estos archivos????  Existe un procedimiento diferente para eliminar estos???? Miro en regedit y existe el archivo FXSTALLER.EXE al igual que cuando miro con CCleaner el archivo existe en Inicio:HKLM:Run Windows UDP Control Center fxstaller.exe Te agradezco de antemano cualquier sugerencia que me des |
|
21/10/08, 13:51:35
| |
| ||||
| Re: Problemas con un Backdoor.bot y Broken.OpenCommand CON RESPECTO DEL ULTIMO MENSAJE : Código: Hola, entonces elimina esa entrada con el ccleaner y regresas con los reportes de las herramientas que has ejecutado asi como del esceneo online, un reporte de un escaneo rápido dice muy poco. Regresas con los reportes completos con todo y encabezado Del escaneo con Malwarebytes' Anti Malware: Código: Malwarebytes' Anti-Malware 1.28 Versión de la Base de Datos: 1270 Windows 5.1.2600 Service Pack 3 20/10/2008 02:52:39 p.m. mbam-log-2008-10-20 (14-52-39).txt Tipo de examen : Examen Completo (C:\|) Objetos examinados: 133838 Tiempo transcurrido: 36 minute(s), 22 second(s) Procesos en Memoria Infectados: 0 Módulos en Memoria Infectados: 0 Claves del Registro Infectadas: 0 Valores del Registro Infectados: 1 Elementos de Datos del Registro Infectados: 0 Carpetas Infectadas: 0 Ficheros Infectados: 0 Procesos en Memoria Infectados: (No se han detectado elementos maliciosos) Módulos en Memoria Infectados: (No se han detectado elementos maliciosos) Claves del Registro Infectadas: (No se han detectado elementos maliciosos) Valores del Registro Infectados: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Windows UDP Control Center (Backdoor.Bot) -> Quarantined and deleted successfully. Elementos de Datos del Registro Infectados: (No se han detectado elementos maliciosos) Carpetas Infectadas: (No se han detectado elementos maliciosos) Ficheros Infectados: (No se han detectado elementos maliciosos)  Después de realizar los escaneos Online estos son los resultados: Del ESET Online Scanner Código: # version=4 # OnlineScanner.ocx=1.0.0.635 # OnlineScannerDLLA.dll=1, 0, 0, 79 # OnlineScannerDLLW.dll=1, 0, 0, 78 # OnlineScannerUninstaller.exe=1, 0, 0, 49 # vers_standard_module=3538 (20081020) # vers_arch_module=1.064 (20080214) # vers_adv_heur_module=1.060 (20070601) # EOSSerial=15ac59ac3c7ade469257d36132d0c3ff # end=finished # remove_checked=true # unwanted_checked=true # utc_time=2008-10-21 12:27:28 # local_time=2008-10-20 07:27:28 (-0500, SA Pacific Standard Time) # country="Colombia" # osver=5.1.2600 NT Service Pack 3 # scanned=442083 # found=0 # scan_time=4795 # nod_component=V3 Build:0x30000000 () Código: ;*********************************************************************************************************************************************************************************** ANALYSIS: 2008-10-20 21:17:52 PROTECTIONS: 1 MALWARE: 1 SUSPECTS: 1 ;*********************************************************************************************************************************************************************************** PROTECTIONS Description Version Active Updated ;=================================================================================================================================================================================== ESET Smart Security 3.0 3.0 Yes Yes ;=================================================================================================================================================================================== MALWARE Id Description Type Active Severity Disinfectable Disinfected Location ;=================================================================================================================================================================================== 00377802 Spyware/PeoplePC Spyware No 0 Yes No C:\Program Files\Online Services\PeoplePC\ISP5900\Dll\RAS.DLL ;=================================================================================================================================================================================== SUSPECTS Sent Location 5I ;=================================================================================================================================================================================== No C:\Program Files\EA Sports\FIFA 08\FIFA08.exe 5I ;=================================================================================================================================================================================== VULNERABILITIES Id Severity Description 5I ;=================================================================================================================================================================================== ;=================================================================================================================================================================================== Código: -------------------------------------------------------------------------------- KASPERSKY ONLINE SCANNER 7 REPORT Tuesday, October 21, 2008 Operating System: Microsoft Windows XP Professional Service Pack 3 (build 2600) Kaspersky Online Scanner 7 version: 7.0.25.0 Program database last update: Tuesday, October 21, 2008 02:02:48 Records in database: 1329907 -------------------------------------------------------------------------------- Scan settings: Scan using the following database: extended Scan archives: yes Scan mail databases: yes Scan area - My Computer: C:\ D:\ E:\ Scan statistics: Files scanned: 86601 Threat name: 0 Infected objects: 0 Suspicious objects: 0 Duration of the scan: 02:19:36 No malware has been detected. The scan area is clean. The selected area was scanned. PERO, la dificultad persiste ya que posterior a este procedimiento y después de intentar tantas veces con el CCleaner este sigue presentando esta entrada  la cual he desactivado y borrado decenas de veces con el CCleaner pero no se desaparece y además el ultimo escaneo con el Malwarebytes' dió como resultado lo siguiente: Código: Malwarebytes' Anti-Malware 1.28 Versión de la Base de Datos: 1270 Windows 5.1.2600 Service Pack 3 21/10/2008 12:29:45 a.m. mbam-log-2008-10-21 (00-29-45).txt Tipo de examen : Examen Rápido Objetos examinados: 55612 Tiempo transcurrido: 5 minute(s), 12 second(s) Procesos en Memoria Infectados: 0 Módulos en Memoria Infectados: 0 Claves del Registro Infectadas: 0 Valores del Registro Infectados: 1 Elementos de Datos del Registro Infectados: 0 Carpetas Infectadas: 0 Ficheros Infectados: 0 Procesos en Memoria Infectados: (No se han detectado elementos maliciosos) Módulos en Memoria Infectados: (No se han detectado elementos maliciosos) Claves del Registro Infectadas: (No se han detectado elementos maliciosos) Valores del Registro Infectados: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Windows UDP Control Center (Backdoor.Bot) -> Quarantined and deleted successfully. Elementos de Datos del Registro Infectados: (No se han detectado elementos maliciosos) Carpetas Infectadas: (No se han detectado elementos maliciosos) Ficheros Infectados: (No se han detectado elementos maliciosos) Última edición por wiperezu fecha: 21/10/08 a las 13:55:18. |
|
22/10/08, 01:32:31
| |
| ||||
| Re: Problemas con un Backdoor.bot y Broken.OpenCommand Hola realiza lo siguiente: Ve a Inicio y luego en Ejecutar. En la ventana de Ejecutar escribes msconfig y pulsas en aceptar, luego te vas a la pestaña de inicio y buscas fxstaller.exe y desmarcas la casilla, aplicas y aceptas( te pedira que reinicies lo haces). Tambien ve a inicio - panel de control- agregar y quitar programas busca y desinstala Online Services, luego reinicia tu pc. Finalmente verifica que ya no esten, regresas y me comentas como está todo. Saludos Novedades del Foro | Antivirus Online | Eliminar Malwares | Políticas del Foro | Blog * Ayúdanos haciendo una DONACIÓN para poder seguir Ayudando. * Infórmate de las ultimas amenazas de la red desde: InfoSpyware Blog * No se resuelven dudas por Privados ni por E-mail, ya que para eso esta el foro. |
|
22/10/08, 14:12:40
| |
| ||||
| Re: Problemas con un Backdoor.bot y Broken.OpenCommand Con repecto a Código: Hola realiza lo siguiente: Ve a Inicio y luego en Ejecutar. En la ventana de Ejecutar escribes msconfig y pulsas en aceptar, luego te vas a la pestaña de inicio y buscas fxstaller.exe y desmarcas la casilla, aplicas y aceptas( te pedira que reinicies lo haces). Tambien ve a inicio - panel de control- agregar y quitar programas busca y desinstala Online Services, luego reinicia tu pc. Finalmente verifica que ya no esten, regresas y me comentas como está todo. .Te cuento que relicé el procedimiento que me recomendaste pero no tuvo éxito. Después de intentar muchas veces desmarcar en el msconfig las casillas de fxstaller.exe solamente una se desactivó, pero otra de las opciones persisitió. Esto lo puedes observar en la imagen que obtuve de la ventana de msconfig:  Y también en el registro que tiene CCleaner:  Así que como no se desactivó, utilicé la función regedit para borrar cualquier registro que tuviera fxstaller.exe pero al igual que antes, siempre existe este registro en la misma ubicación:  Para completar la confirmación de que persiste el problema, relicé nuevamente un examen rápido con Malwarebytes' Anti Malware y su resultado fué: Código: Malwarebytes' Anti-Malware 1.28 Versión de la Base de Datos: 1270 Windows 5.1.2600 Service Pack 3 22/10/2008 11:45:04 a.m. mbam-log-2008-10-22 (11-45-04).txt Tipo de examen : Examen Rápido Objetos examinados: 54571 Tiempo transcurrido: 4 minute(s), 28 second(s) Procesos en Memoria Infectados: 0 Módulos en Memoria Infectados: 0 Claves del Registro Infectadas: 0 Valores del Registro Infectados: 1 Elementos de Datos del Registro Infectados: 0 Carpetas Infectadas: 0 Ficheros Infectados: 0 Procesos en Memoria Infectados: (No se han detectado elementos maliciosos) Módulos en Memoria Infectados: (No se han detectado elementos maliciosos) Claves del Registro Infectadas: (No se han detectado elementos maliciosos) Valores del Registro Infectados: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Windows UDP Control Center (Backdoor.Bot) -> Quarantined and deleted successfully. Elementos de Datos del Registro Infectados: (No se han detectado elementos maliciosos) Carpetas Infectadas: (No se han detectado elementos maliciosos) Ficheros Infectados: (No se han detectado elementos maliciosos)  Por otro lado con respecto de desinstalar Online Services no fué posible ya que no existe ningún registro de este programa tal y como se puede observar en las siguientes imagenes tomadas de Add & Remove Programs    Sikartus permiteme agradecerte  por tomarte el tiempo de asesorarme acerca de este inconveniente. Agradezco toda la colaboración que me puedas brindarÚltima edición por wiperezu fecha: 22/10/08 a las 14:20:16. Razón: agragar información |
|
23/10/08, 03:45:20
| |
| ||||
| Re: Problemas con un Backdoor.bot y Broken.OpenCommand HOLA realiza lo siguiente: Descarga en el escritorio SDFix pero no ejecutes todavia. Reinicia en "Modo Seguro" en este modo vuelve a intentar lo siguiente:Cita:
Ejecuta Avira antirootkit de la siguiente manera:• Dirigete a inicio-todos los programas-Avira Rootkit Detection y ejecuta el programa. • Al finalizar haces clic en View report y colocas aqui el reporte que te genero en tu proximo mensaje. Nota: Si tienes problemas en ejecutar el Avira en modo seguro realizalo en modo normal. Ejecuta SDFix.exe en el escritorio, se creará una nueva carpeta en el escritorio, entra en dicha carpeta y ejecuta el archivo "Runthis.bat" luego, presiona la tecla "Y" para que comience el chequeo, al terminar, se creará un archivo dentro de la carpeta llamado Report.txt, copia y pega lo que indique ese reporte acá. Ejecuta Ccleaner en sus opciones de limpiador y registro este último pásalo hasta que no te salga nada, cualquier duda lees su manual(no olvides hacer una copia de seguridad). Finalmente reinicias en modo normal y realizas un escaneo con: F-Secure Online Scanner, te pedirá la instalacion de un control active x permites ello, luego aceptas los terminos y escoges la opción:Full scan system.Verás que son 6 pasos: 1 - License Terms, Scanning Options, Downloading, Scanning. Cleaning y Finish Veo que tienes instalado el Superantispyware como el Spybot. ¿Ambos los has actualizado y has realizado un escaneo a tu pc? ¿Te han detectado algo? Regresas con los reportes y me cuentas como te fue, si aún continúa te recomendaré otras alternativas de solución. Saludos Novedades del Foro | Antivirus Online | Eliminar Malwares | Políticas del Foro | Blog * Ayúdanos haciendo una DONACIÓN para poder seguir Ayudando. * Infórmate de las ultimas amenazas de la red desde: InfoSpyware Blog * No se resuelven dudas por Privados ni por E-mail, ya que para eso esta el foro. |
|
23/10/08, 19:01:07
| |
| ||||
| Re: Problemas con un Backdoor.bot y Broken.OpenCommand Gracias Sikartus por tus valiosas recomendaciones Seguí el procedimiento: Código: Descarga en el escritorio SDFix pero no ejecutes todavia. Reinicia en "Modo Seguro" en este modo vuelve a intentar lo siguiente: Cita: Ve a Inicio y luego en Ejecutar. En la ventana de Ejecutar escribes msconfig y pulsas en aceptar, luego te vas a la pestaña de inicio y buscas fxstaller.exe y desmarcas la casilla, aplicas y aceptas( te pedira que reinicies lo haces). También entra al editor de registo y ubicalo tal cual pegaste la imagen dale click derecho a lo marcado en azul de la figura http://img513.imageshack.us/img513/4772/regeditio9.jpg y dale en eliminar.Si ya lo intentaste esta vez hazlo en modo seguro. Ejecuta Avira antirootkit de la siguiente manera: • Dirigete a inicio-todos los programas-Avira Rootkit Detection y ejecuta el programa. • Al finalizar haces clic en View report y colocas aqui el reporte que te genero en tu proximo mensaje. Nota: Si tienes problemas en ejecutar el Avira en modo seguro realizalo en modo normal. Ejecuta SDFix.exe en el escritorio, se creará una nueva carpeta en el escritorio, entra en dicha carpeta y ejecuta el archivo "Runthis.bat" luego, presiona la tecla "Y" para que comience el chequeo, al terminar, se creará un archivo dentro de la carpeta llamado Report.txt, copia y pega lo que indique ese reporte acá. Ejecuta Ccleaner en sus opciones de limpiador y registro este último pásalo hasta que no te salga nada, cualquier duda lees su manual(no olvides hacer una copia de seguridad). Finalmente reinicias en modo normal y realizas un escaneo con: F-Secure Online Scanner, te pedirá la instalacion de un control active x permites ello, luego aceptas los terminos y escoges la opción:Full scan system. Verás que son 6 pasos: 1 - License Terms, Scanning Options, Downloading, Scanning. Cleaning y Finish Veo que tienes instalado el Superantispyware como el Spybot. ¿Ambos los has actualizado y has realizado un escaneo a tu pc? ¿Te han detectado algo? Regresas con los reportes y me cuentas como te fue, si aún continúa te recomendaré otras alternativas de solución. Saludos con el msconfig y el regedit en modo seguro no se pudo borrar el registro del archivo fxstaller. El programa Avira antirootkit dió el siguiente reporte: Código: Avira AntiRootkit Tool - Beta (1.0.1.17) ======================================================================================================== - Scan started Jueves, 23 de Octubre de 2008 - 13:53:54 p.m. ======================================================================================================== -------------------------------------------------------------------------------------------------------- Configuration: -------------------------------------------------------------------------------------------------------- - [X] Scan files - [X] Scan registry - [X] Scan processes - [ ] Fast scan - Working disk total size : 92.15 GB - Working disk free size : 39.21 GB (42 %) -------------------------------------------------------------------------------------------------------- Scan task finished. No hidden objects detected! -------------------------------------------------------------------------------------------------------- Files: 0/95087 Registry items: 0/494783 Processes: 0/56 Scan time: 00:05:04 -------------------------------------------------------------------------------------------------------- Active processes: - atgofrft.exe (PID 3264) (Avira AntiRootkit Tool - Beta) - wuauclt.exe (PID 2548) - System (PID 4) - smss.exe (PID 1248) - csrss.exe (PID 1296) - winlogon.exe (PID 1332) - services.exe (PID 1376) - lsass.exe (PID 1388) - svchost.exe (PID 1560) - svchost.exe (PID 1608) - svchost.exe (PID 1648) - svchost.exe (PID 1800) - svchost.exe (PID 1828) - spoolsv.exe (PID 296) - explorer.exe (PID 988) - ehtray.exe (PID 1188) - HP Wireless Assistant.exe (PID 1196) - jusched.exe (PID 1212) - rundll32.exe (PID 1240) - SynTPEnh.exe (PID 1280) - QPService.exe (PID 1308) - issch.exe (PID 1352) - QLBCTRL.exe (PID 1392) - acrotray.exe (PID 1712) - Monitor.exe (PID 1768) - rfpicon.exe (PID 1776) - egui.exe (PID 1812) - cpf.exe (PID 1872) - hpwuSchd2.exe (PID 1916) - ctfmon.exe (PID 1968) - NMBgMonitor.exe (PID 1984) - TeaTimer.exe (PID 2024) - daemon.exe (PID 164) - wmpnscfg.exe (PID 220) - hpqimzone.exe (PID 496) - msdtc.exe (PID 580) - cmdagent.exe (PID 680) - ehrecvr.exe (PID 712) - ehSched.exe (PID 732) - ekrn.exe (PID 748) - svchost.exe (PID 784) - LogoMedia TranslateDotNet Server.exe (PID 1024) - LSSrvc.exe (PID 1976) - nvsvc32.exe (PID 2068) - svchost.exe (PID 2176) - svchost.exe (PID 2288) - hpqwmiex.exe (PID 2484) - mcrdsvc.exe (PID 2628) - mqsvc.exe (PID 2720) - wmpnetwk.exe (PID 2880) - mqtgsvc.exe (PID 3464) - wmiprvse.exe (PID 3648) - dllhost.exe (PID 3808) - alg.exe (PID 4088) - ehmsas.exe (PID 2428) - avirarkd.exe (PID 3224) ======================================================================================================== - Scan finished Jueves, 23 de Octubre de 2008 - 13:58:58 p.m. ======================================================================================================== Código: SDFix: Version 1.237
Run by WILL on 23/10/2008 at 02:24 p.m.
Microsoft Windows XP [Version 5.1.2600]
Running From: C:\SDFix
Checking Services :
Restoring Default Security Values
Restoring Default Hosts File
Rebooting
Checking Files :
No Trojan Files Found
Removing Temp Files
ADS Check :
Final Check :
catchme 0.3.1361.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-10-23 14:30:21
Windows 5.1.2600 Service Pack 3 NTFS
scanning hidden processes ...
scanning hidden services & system hive ...
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg]
"s1"=dword:2df9c43f
"s2"=dword:110480d0
"h0"=dword:00000001
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4]
"p0"="C:\Program Files\DAEMON Tools Lite\"
"h0"=dword:00000000
"khjeh"=hex:e5,91,75,c6,b9,ef,ba,9c,e8,17,c0,87,8a,09,fb,1e,98,08,92,f8,5e,..
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001]
"a0"=hex:20,01,00,00,2c,58,11,18,dc,18,e7,b4,44,b5,ec,6e,f0,46,74,de,62,..
"khjeh"=hex:f0,22,1c,d6,a0,42,e9,e2,60,24,fc,53,31,28,f9,0a,31,b5,8d,06,08,..
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40]
"khjeh"=hex:11,1f,94,51,2f,cf,b5,d0,6a,ef,24,b3,bd,a1,53,83,e1,a5,c7,2c,4d,..
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf41]
"khjeh"=hex:bf,60,50,cc,a5,64,f9,d8,6d,cc,66,02,30,fb,36,a1,3b,9e,e2,96,d2,..
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf42]
"khjeh"=hex:cf,a8,d9,05,79,61,54,75,a4,17,91,63,ff,35,f6,0d,8a,70,6e,f3,56,..
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf43]
"khjeh"=hex:cf,a8,d9,05,79,61,54,75,a4,17,91,63,ff,35,f6,0d,8a,70,6e,f3,56,..
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4]
"p0"="C:\Program Files\DAEMON Tools Lite\"
"h0"=dword:00000000
"khjeh"=hex:e5,91,75,c6,b9,ef,ba,9c,e8,17,c0,87,8a,09,fb,1e,98,08,92,f8,5e,..
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001]
"a0"=hex:20,01,00,00,2c,58,11,18,dc,18,e7,b4,44,b5,ec,6e,f0,46,74,de,62,..
"khjeh"=hex:f0,22,1c,d6,a0,42,e9,e2,60,24,fc,53,31,28,f9,0a,31,b5,8d,06,08,..
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40]
"khjeh"=hex:11,1f,94,51,2f,cf,b5,d0,6a,ef,24,b3,bd,a1,53,83,e1,a5,c7,2c,4d,..
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf41]
"khjeh"=hex:bf,60,50,cc,a5,64,f9,d8,6d,cc,66,02,30,fb,36,a1,3b,9e,e2,96,d2,..
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf42]
"khjeh"=hex:cf,a8,d9,05,79,61,54,75,a4,17,91,63,ff,35,f6,0d,8a,70,6e,f3,56,..
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf43]
"khjeh"=hex:cf,a8,d9,05,79,61,54,75,a4,17,91,63,ff,35,f6,0d,8a,70,6e,f3,56,..
scanning hidden registry entries ...
scanning hidden files ...
scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0
Remaining Services :
Authorized Application Key Export:
[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\\WINDOWS\\system32\\mqsvc.exe"="C:\\WINDOWS\\system32\\mqsvc.exe:*:Enabled:Message Queuing"
"C:\\Program Files\\EarthLink TotalAccess\\TaskPanl.exe"="C:\\Program Files\\EarthLink TotalAccess\\TaskPanl.exe:*:Enabled:Earthlink"
"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"C:\\Program Files\\Microsoft Office\\Office12\\OUTLOOK.EXE"="C:\\Program Files\\Microsoft Office\\Office12\\OUTLOOK.EXE:*:Enabled:Microsoft Office Outlook"
"C:\\Program Files\\Microsoft Office\\Office12\\GROOVE.EXE"="C:\\Program Files\\Microsoft Office\\Office12\\GROOVE.EXE:*:Enabled:Microsoft Office Groove"
"C:\\Program Files\\Microsoft Office\\Office12\\ONENOTE.EXE"="C:\\Program Files\\Microsoft Office\\Office12\\ONENOTE.EXE:*:Enabled:Microsoft Office OneNote"
"C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"="C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger"
"C:\\Program Files\\Windows Live\\Messenger\\livecall.exe"="C:\\Program Files\\Windows Live\\Messenger\\livecall.exe:*:Enabled:Windows Live Messenger (Phone)"
"C:\\Program Files\\Messenger\\msmsgs.exe"="C:\\Program Files\\Messenger\\msmsgs.exe:*:Enabled:Windows Messenger"
"C:\\Program Files\\Winamp Remote\\bin\\Orb.exe"="C:\\Program Files\\Winamp Remote\\bin\\Orb.exe:*:Enabled:Orb"
"C:\\Program Files\\Winamp Remote\\bin\\OrbTray.exe"="C:\\Program Files\\Winamp Remote\\bin\\OrbTray.exe:*:Enabled:OrbTray"
"C:\\Program Files\\Winamp Remote\\bin\\OrbStreamerClient.exe"="C:\\Program Files\\Winamp Remote\\bin\\OrbStreamerClient.exe:*:Enabled:Orb Stream Client"
"C:\\Program Files\\Skype\\Phone\\Skype.exe"="C:\\Program Files\\Skype\\Phone\\Skype.exe:*:Enabled:Skype"
[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"C:\\WINDOWS\\system32\\mqsvc.exe"="C:\\WINDOWS\\system32\\mqsvc.exe:*:Enabled:Message Queuing"
"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"="C:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger"
"C:\\Program Files\\Windows Live\\Messenger\\livecall.exe"="C:\\Program Files\\Windows Live\\Messenger\\livecall.exe:*:Enabled:Windows Live Messenger (Phone)"
Remaining Files :
Files with Hidden Attributes :
Sun 13 Apr 2008 1,695,232 ..SH. --- "C:\Program Files\Messenger\msmsgs.exe"
Sun 13 Apr 2008 60,416 A.SH. --- "C:\Program Files\Outlook Express\msimn.exe"
Mon 7 Jul 2008 1,429,840 A.SHR --- "C:\Program Files\Spybot - Search & Destroy\SDUpdate.exe"
Mon 7 Jul 2008 4,891,472 A.SHR --- "C:\Program Files\Spybot - Search & Destroy\SpybotSD.exe"
Mon 18 Aug 2008 1,832,272 A.SHR --- "C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe"
Mon 22 Oct 2007 0 A.SH. --- "C:\WINDOWS\SMINST\HPCD.SYS"
Sun 12 Oct 2008 4,348 A.SH. --- "C:\Documents and Settings\All Users\DRM\DRMv1.bak"
Sun 24 Aug 2008 0 A.SH. --- "C:\Documents and Settings\All Users\DRM\Cache\Indiv01.tmp"
Finished! Código: F-Secure Online Scanner 3.3.1 - Scanning Report - Thursday, October 23, 2008 16:31:45Scanning
Report
Thursday, October 23, 2008 15:10:56 - 16:31:23
Computer name: MYCPQPRE
Scanning type: Scan system for malware, rootkits
Target: C:\
Result: 0 malware found
Statistics
Scanned:
Files: 50132
System: 4349
Not scanned: 8
Actions:
Disinfected: 0
Renamed: 0
Deleted: 0
None: 0
Submitted: 0
Files not scanned:
C:\HIBERFIL.SYS
C:\PAGEFILE.SYS
C:\WINDOWS\SYSTEM32\DRIVERS\SPTD.SYS
C:\WINDOWS\SYSTEM32\CONFIG\DEFAULT
C:\WINDOWS\SYSTEM32\CONFIG\SAM
C:\WINDOWS\SYSTEM32\CONFIG\SECURITY
C:\WINDOWS\SYSTEM32\CONFIG\SOFTWARE
C:\WINDOWS\SYSTEM32\CONFIG\SYSTEM
Options
Scanning engines:
F-Secure USS: 2.30.0
F-Secure Blacklight: 1.0.68
F-Secure Hydra: 2.8.8110, 2008-10-23
F-Secure Pegasus: 1.20.0, 2008-09-21
F-Secure AVP: 7.0.171, 2008-10-23
Scanning options:
Scan defined files: COM EXE SYS OV? BIN SCR DLL SHS HTM HTML HTT VBS JS INF
VXD DO? XL? RTF CPL WIZ HTA PP? PWZ P?T MSO PIF . ACM ASP AX CNV CSC DRV INI
MDB MPD MPP MPT OBD OBT OCX PCI TLB TSP WBK WBT WPC WSH VWP WML BOO HLP TD0
TT6 MSG ASD JSE VBE WSC CHM EML PRC SHB LNK WSF {* PDF ZL? XML ZIP XXX ANI AVB
BAT CMD JPG LSP MAP MHT MIF PHP POT SWF WMF NWS TAR
Use Advanced heuristics
Copyright © 1998-2007 Product support |Send virus sample to F-Secure
F-Secure assumes no responsibility for material created or published by third
parties that F-Secure World Wide Web pages have a link to. Unless you have
clearly stated otherwise, by submitting material to any of our servers, for
example by E-mail or via our F-Secure's CGI E-mail, you agree that the
material you make available may be published in the F-Secure World Wide Pages
or hard-copy publications. You will reach F-Secure public web site by clicking
on underlined links. While doing this, your access will be logged to our
private access statistics with your domain name.This information will not be
given to any third party. You agree not to take action against us in relation
to material that you submit. Unless you have clearly stated otherwise, by
submitting material you warrant that F-Secure may incorporate any concepts
described in it in the F-Secure products/publications without liability.
 este procedimiento no fue eficiente con respecto a la solución del inconveniente planteado.Las herramientas Superantispyware y Spybot las he utilizado varias veces como se recomienda en este foro, pero los resultados que entregan no muestran ninguna amenaza. Seguiré a la espera de tus valiosos aportes para solucionar este inconveniente. |
|
24/10/08, 01:59:58
| |
| ||||
| Re: Problemas con un Backdoor.bot y Broken.OpenCommand HOLA, vaya que nos esta dando pelea ese malware  , ahora realiza lo siguiente:Descarga The Avenger y lo guardas en el escritorio.Sigue los siguientes pasos: - Descomprime Avenger.zip y dale doble click sobre Avenger.exe y dale click en "Aceptar" - Marca la casilla de "Sca for rootkit" y tambien la casilla "automatically disable any rootkits found" - Ahora donde dice "Input Scrip here" copias y pega el contenido del siguiente recuadro: Cita:
Una vez se reinicie, genera un reporte , copias y pegar dicho reporte en tu proxima respuesta. Regresas y me cuentas como te fue. Saludos Novedades del Foro | Antivirus Online | Eliminar Malwares | Políticas del Foro | Blog * Ayúdanos haciendo una DONACIÓN para poder seguir Ayudando. * Infórmate de las ultimas amenazas de la red desde: InfoSpyware Blog * No se resuelven dudas por Privados ni por E-mail, ya que para eso esta el foro. |
|
24/10/08, 13:21:31
| |
| ||||
| Re: Problemas con un Backdoor.bot y Broken.OpenCommand Hola Sikartus, gracias por tus recomendaciones y por tu valioso tiempo. Realicé el ultimo procedimiento que me recomendaste, teniendo en cuenta la aclaración que me hiciste por MP. Los resultados después de tres pruebas fueron PRUEBA 1 Código: Logfile of The Avenger Version 2.0, (c) by Swandog46 http://swandog46.geekstogo.com Platform: Windows XP ******************* Script file opened successfully. Script file read successfully. Backups directory opened successfully at C:\Avenger ******************* Beginning to process script file: Rootkit scan active. No rootkits found! Folder "C:\Program Files\Online Services\PeoplePC" deleted successfully. Error: registry key "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Windows UDP Control Center" not found! Deletion of registry key "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Windows UDP Control Center" failed! Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND) --> the object does not exist Completed script processing. ******************* Finished! Terminate. Código: Logfile of The Avenger Version 2.0, (c) by Swandog46 http://swandog46.geekstogo.com Platform: Windows XP ******************* Script file opened successfully. Script file read successfully. Backups directory opened successfully at C:\Avenger ******************* Beginning to process script file: Rootkit scan active. No rootkits found! Error: registry key "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Windows UDP Control Center" not found! Deletion of registry key "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Windows UDP Control Center" failed! Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND) --> the object does not exist Completed script processing. ******************* Finished! Terminate. Código: Logfile of The Avenger Version 2.0, (c) by Swandog46 http://swandog46.geekstogo.com Platform: Windows XP ******************* Script file opened successfully. Script file read successfully. Backups directory opened successfully at C:\Avenger ******************* Beginning to process script file: Rootkit scan active. No rootkits found! Error: registry key "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Windows UDP Control Center" not found! Deletion of registry key "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Windows UDP Control Center" failed! Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND) --> the object does not exist Completed script processing. ******************* Finished! Terminate. ////////////////////////////////////////// Avenger Pre-Processor log ////////////////////////////////////////// Platform: Windows XP (build 2600, Service Pack 3) Fri Oct 24 10:44:32 2008 10:44:32: Error: Invalid script. A valid script must begin with a command directive. Aborting execution! ////////////////////////////////////////// Logfile of The Avenger Version 2.0, (c) by Swandog46 http://swandog46.geekstogo.com Platform: Windows XP ******************* Script file opened successfully. Script file read successfully. Backups directory opened successfully at C:\Avenger ******************* Beginning to process script file: Rootkit scan active. No rootkits found! Error: registry key "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Windows UDP Control Center" not found! Deletion of registry key "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Windows UDP Control Center" failed! Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND) --> the object does not exist Completed script processing. ******************* Finished! Terminate. Que hago????     :shooti st:   Está muy complicado eliminar este malware      Estaré atento a tu ayuda  |
|
« Tema Anterior
|
Próximo Tema »
| Herramientas | |
| |
| 
Temas Similares | |
| Tema | Autor | Foro | Respuestas | Último mensaje |
| Problemas con IE y posible troyano (Solucionado) | elementdeus | Temas Solucionados | 7 | 02/10/08 10:39:52 |
| Se me congela /bloquea el internet (Solucionado) | cinquemillo | Temas Solucionados | 15 | 23/09/06 13:14:37 |
| Problemas con archivo de sistema?? (Terminado/Formateo) | Chileno2005 | Temas Solucionados | 4 | 22/09/06 11:29:27 |
| no me deja conectarme IE6 | Oliverastro | Foro Oficial de HijackThis en español | 9 | 23/02/06 13:19:07 |
| Ayuda con el log de hijackthis (solucionado) | LaNegru87 | Temas Solucionados | 3 | 23/11/05 01:39:17 |
Todas las horas son GMT -4. La hora es 16:06:55.
