• Registrarse
  • Iniciar sesión


  • Resultados 1 al 6 de 6

    Rootkit-Agent.EL "CDROM.sys" (Solucionado)

    Resumen del tema: Rootkit-Agent.EL "CDROM.sys" (Solucionado) - Hola de nuevo: Después de realizar la limpieza y varios escaneos con distintos antivirus y de consultar múltiples fuentes, he llegado a la conclusión que el problema aparente, sobre el que consulté en una nota ...

      
    1. #1
      Usuario Avatar de Manulicar
      Registrado
      jul 2010
      Ubicación
      La Cabrera (Madrid-España))
      Mensajes
      8

      Rootkit-Agent.EL "CDROM.sys" (Solucionado)

      Hola de nuevo:

      Después de realizar la limpieza y varios escaneos con distintos antivirus y de consultar múltiples fuentes, he llegado a la conclusión que el problema aparente, sobre el que consulté en una nota anterior que ya no encuentro, de las carpetas con atributo de solo lectura (luego ha resultado ser indefinido) no tiene nada que ver con los virus que infectan mi ordenador, sino con Windows.

      El resultado del análisis con AVG que uso habitualmente es el siguiente en lo que se refiere a infecciones:


      El análisis "Analizar todo el equipo" ha finalizado.
      Infecciones;"4";"3";"1"
      Información;"7"
      Carpetas seleccionadas para el análisis:;"Analizar todo el equipo"
      Análisis iniciado:;"jueves, 08 de julio de 2010, 21:13:44"
      Ha finalizado el análisis:;"jueves, 08 de julio de 2010, 22:02:30 (48 minuto(s) 45 segundo(s))"
      Total de objetos analizados:;"438960"
      Usuario que inició el análisis:;"Usuario"

      Infecciones
      Archivo;"Infección";"Resultado"
      C:\WINDOWS\system32\services.exe (864):\memory_00d90000;"Troyano Rootkit-Agent.EM";"Es necesario reiniciar para finalizar la acción"
      C:\WINDOWS\system32\services.exe (864);"Troyano Rootkit-Agent.EM";"Es necesario reiniciar para finalizar la acción"
      C:\WINDOWS\system32\drivers\cdrom.sys;"Troyano Rootkit-Agent.EL";"Objeto autorizado (archivo de sistema/archivo esencial que no se debe eliminar)"
      C:\WINDOWS\system32\dllcache\cdrom.sys;"Troyano Rootkit-Agent.EL";"Mover a la bóveda de virus"


      Este resultado concuerda con el obtenido con Kaspersky, aunque no en la denominación del virus


      --------------------------------------------------------------------------------
      KASPERSKY ONLINE SCANNER 7.0: scan report
      Thursday, July 8, 2010
      Operating system: Microsoft Windows XP Home Edition Service Pack 3 (build 2600)
      Kaspersky Online Scanner version: 7.0.26.13
      Last database update: Thursday, July 08, 2010 10:25:38
      Records in database: 4242567
      --------------------------------------------------------------------------------

      Scan settings:
      scan using the following database: extended
      Scan archives: yes
      Scan e-mail databases: yes

      Scan area - My Computer:
      C:\
      D:\
      E:\
      F:\

      Scan statistics:
      Objects scanned: 92105
      Threats found: 1
      Infected objects found: 2
      Suspicious objects found: 0
      Scan duration: 02:26:09


      File name / Threat / Threats count
      C:\WINDOWS\system32\dllcache\cdrom.sys Infected: Virus.Win32.Protector.g 1
      C:\WINDOWS\system32\drivers\cdrom.sys Infected: Virus.Win32.Protector.g 1

      Selected area has been scanned.


      Tambien parece corresponder al ultimo virus detectado por ESET y no corregido

      C:\Archivos de programa\WinRAR\Default.SFX probablemente una variante de Win32/Agent Troyano no se ha podido desinfectar - archivo eliminado - puesto en Cuarentena
      C:\Software&Drivers\Adobe\PS-CS3\adobe cs3 español OK\CS3_Keygens\CS3_Keygens\Adobe CS3 Flash Keygen.exe probablemente una variante de Win32/Agent Troyano no se ha podido desinfectar - archivo eliminado - puesto en Cuarentena
      C:\Software&Drivers\Compresores\Compresores.exe probablemente una variante de Win32/Agent Troyano eliminado - puesto en Cuarentena
      C:\Software&Drivers\Compresores\WINZIP 8.1 WINRAR WINACE 2.11 En Español los tres +Cracker\Compresores.exe probablemente una variante de Win32/Agent Troyano eliminado - puesto en Cuarentena
      C:\Software&Drivers\Compresores\WINZIP 8.1 WINRAR WINACE 2.11 En Español los tres +Cracker\WinRAR v2.9 Final Español\Español.exe probablemente una variante de Win32/Agent Troyano eliminado - puesto en Cuarentena
      C:\WINDOWS\system32\cooper.mine una variante de Win32/Kryptik.FHX Troyano no se ha podido desinfectar - archivo eliminado - puesto en Cuarentena
      C:\WINDOWS\system32\dllcache\user32.dll Win32/Pinit virus desinfectado - puesto en Cuarentena
      C:\WINDOWS\system32\drivers\390.exe una variante de Win32/Kryptik.FHX Troyano no se ha podido desinfectar - archivo eliminado - puesto en Cuarentena
      C:\WINDOWS\system32\drivers\718.exe una variante de Win32/Kryptik.FHX Troyano no se ha podido desinfectar - archivo eliminado - puesto en Cuarentena
      C:\WINDOWS\system32\drivers\828.exe una variante de Win32/Kryptik.FHX Troyano no se ha podido desinfectar - archivo eliminado - puesto en Cuarentena
      C:\WINDOWS\system32\drivers\843.exe una variante de Win32/Kryptik.FHX Troyano no se ha podido desinfectar - archivo eliminado - puesto en Cuarentena
      C:\WINDOWS\system32\drivers\859.exe una variante de Win32/Kryptik.FHX Troyano no se ha podido desinfectar - archivo eliminado - puesto en Cuarentena
      C:\WINDOWS\system32\drivers\cdrom.sys Win32/Protector.I virus no es posible su desinfección


      Tambien BitDefender detecta un virus en el mismo archivo:

      ID de la Máquina: F873D446

      C:\WINDOWS\system32\ddeml3.dll - No ha podido ser analizado


      ¡Encontrado 1 archivo infectado!
      --------------------------------

      C:\WINDOWS\system32\DRIVERS\cdrom.sys --> Rootkit.Kobcka.Patched.Gen
      --> HKLM\System\ControlSet001\services\Cdrom\"ImagePath"




      Llego a la conclusión que despues del proceso que he seguido me ha quedado una infección en el archivo cdrom.sys que luego reinfecta otros.

      Alguien puede indicamer como deshacerme de este virus.

      Saludos.
      Manulicar

    2. #2
      Moderador Gral.
      Avatar de Tyny's
      Registrado
      may 2008
      Ubicación
      Argentina
      Mensajes
      14.609

      Re: Virus Troyano Rootkit-Agent.EL (¿y Em?)

      Buenas Manulicar.


      El driver que se encuentra infectado corresponde al controlador de la lectora. Si es eliminado falllara la lectora podemos intentar repararlo. ¿Tendes cd de instalacion de windows?


      - Descarga la herramienta ComboFix.exe y guárdala en el escritorio.


      • Desactiva temporalmente el Antivirus y/o Antispyware.
      • Cierra todas las ventanas abiertas.
      • Hacele doble clic al archivo ComboFix.exe y seguí las instrucciones.Importante instalar Recovery Console.
      • Cuando termine, generara un registro en C:\ComboFix.txt.
        • *Nota* Mientras CF este trabajando no mover el mouse ya que pararía su proceso.
        • *Nota* ComboFix puede reiniciar automáticamente el PC para completar el proceso de eliminación.






      Atención!! No use ComboFix a menos que se le haya indicado específicamente en su mensaje por un integrante de nuestro Staff. Es una herramienta de gran alcance destinada por su creador a ser usada bajo la orientación y supervisión de un experto, no para uso privado. El uso de ComboFix incorrectamente podría generar problemas en su sistema. Por favor, lea las "Negaciones de la Garantía" de ComboFix.
      • Reinicia y pega el reporte de C:\ComboFix.txt en este mismo mensaje.Comentando como esta funcionado tu sistema.
      If on your journey, you should encounter God, God will be cut!


      * Síguenos en nuestro Twitter y hazte nuestro amigo en Facebook.
      * Infórmate de las ultimas amenazas de la red desde: InfoSpyware Blog
      * No se resuelven dudas por Privados ni por E-mail, ya que para eso esta el foro.

    3. #3
      Usuario Avatar de Manulicar
      Registrado
      jul 2010
      Ubicación
      La Cabrera (Madrid-España))
      Mensajes
      8

      Re: Virus Troyano Rootkit-Agent.EL (¿y Em?)

      Hola Tyny's.
      Muchas gracias por tu interés.

      Afortunadamente y después de varias horas de búsqueda he encontrado el disco de instalación de Windows XP (mi mujer me había "ordenado" las estanterías donde guardo estas cosas y estaba en otra caja).
      El portátil llevaba originalmente el Windows Vista, pero como le compré para usar con mi equipo de astrofotografia y muchos de mis programas no funcionaban con esta versión, pedí que me instalaran el XP. Lo hicieron pagando un suplemento, pero me entregaron este disco con sus certificados y claves, por lo que creo que llegado el caso podrá utilizarse.
      Como desconozco el riesgo de lo que vamos a hacer, lo primero que voy a realizar es volcar todos los archivos que el ordenador contiene a un disco externo.
      Esta tarde (en España) cuando mis obligaciones me lo permitan realizaré los procesos que me has indicado e informaré de los resultados.

      Saludos.
      Manulicar

    4. #4
      Usuario Avatar de Manulicar
      Registrado
      jul 2010
      Ubicación
      La Cabrera (Madrid-España))
      Mensajes
      8

      Re: Virus Troyano Rootkit-Agent.EL (¿y Em?)

      Hola de nuevo:
      El proceso parece que ha dado un buen resultado.
      Después de aplicarlo, y después de reinstalar AVG, dado que lo he tenido que desinstalar antes de aplicar Combo, dado que no encontraba modo de detenerlo, no ha detectado ninguna infección mientras ayer detectaba las 4 infecciones que indicaba en mi primera nota.
      Parece que Combo también ha actuado sobre los residuos que parecían quedar de una infección que tuve hace ya bastante tiempo trasmitida por una memoria USB.

      El log de Combo es el siguiente:

      ComboFix 10-07-08.02 - Usuario 09/07/2010 20:52:56.2.2 - x86
      Microsoft Windows XP Home Edition 5.1.2600.3.1252.34.3082.18.1015.610 [GMT 2:00]
      Running from: c:\documents and settings\Usuario\Escritorio\ComboFix.exe
      .

      ((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))
      .

      c:\windows\system32\h7t.wt
      c:\windows\system32\hgtd.ruy
      D:\resycled
      d:\resycled\boot.com
      E:\resycled
      e:\resycled\boot.com

      Infected copy of c:\windows\system32\drivers\cdrom.sys was found and disinfected
      Restored copy from - c:\windows\ServicePackFiles\i386\cdrom.sys

      .
      ((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))
      .

      -------\Legacy_msqpdxserv.sys
      -------\Service_msqpdxserv.sys


      ((((((((((((((((((((((((( Files Created from 2010-06-09 to 2010-07-09 )))))))))))))))))))))))))))))))
      .

      2010-07-09 07:54 . 2010-07-09 07:54 360584 ----a-w- c:\documents and settings\All Users\Datos de programa\avg9\update\backup\avgtdix.sys
      2010-07-09 07:54 . 2010-07-09 07:54 333192 ----a-w- c:\documents and settings\All Users\Datos de programa\avg9\update\backup\avgldx86.sys
      2010-07-09 07:54 . 2010-07-09 07:54 28424 ----a-w- c:\documents and settings\All Users\Datos de programa\avg9\update\backup\avgmfx86.sys
      2010-07-09 07:51 . 2010-07-08 16:43 877848 ----a-w- c:\documents and settings\All Users\Datos de programa\avg9\update\backup\avgupd.exe
      2010-07-09 07:50 . 2010-07-08 16:43 798488 ----a-w- c:\documents and settings\All Users\Datos de programa\avg9\update\backup\avginet.dll
      2010-07-09 07:50 . 2010-07-08 16:43 610072 ----a-w- c:\documents and settings\All Users\Datos de programa\avg9\update\backup\avgiproxy.exe
      2010-07-09 07:50 . 2010-07-08 16:43 1657112 ----a-w- c:\documents and settings\All Users\Datos de programa\avg9\update\backup\avgupd.dll
      2010-07-08 16:43 . 2010-07-09 18:31 -------- d-----w- c:\documents and settings\All Users\Datos de programa\avg9
      2010-07-08 13:47 . 2010-07-08 13:47 664 ----a-w- c:\windows\system32\d3d9caps.dat
      2010-07-08 07:51 . 2010-07-08 07:51 -------- d-----w- c:\archivos de programa\ESET
      2010-07-06 19:54 . 2010-07-06 19:54 -------- d-----w- c:\archivos de programa\Trend Micro
      2010-07-06 16:04 . 2009-06-30 07:37 28552 ----a-w- c:\windows\system32\drivers\pavboot.sys
      2010-07-06 16:03 . 2010-07-06 16:03 -------- d-----w- c:\archivos de programa\Panda Security
      2010-07-06 13:38 . 2010-05-26 08:45 18816 ------w- c:\windows\system32\SAVRKBootTasks.sys
      2010-07-06 10:34 . 2010-07-06 10:34 -------- d-----w- c:\archivos de programa\Sophos
      2010-07-06 10:19 . 2009-02-09 11:23 111104 ----a-w- c:\windows\system32\services.exe
      2010-07-06 09:04 . 2010-07-06 20:47 579584 -c--a-w- c:\windows\system32\dllcache\user32.dll
      2010-07-05 16:18 . 2010-07-05 16:18 84480 --sha-r- c:\windows\system32\ddeml3.dll
      2010-06-24 15:11 . 2010-04-12 15:29 411368 ----a-w- c:\windows\system32\deployJava1.dll
      2010-06-24 14:30 . 2010-05-06 10:33 743424 -c----w- c:\windows\system32\dllcache\iedvtool.dll
      2010-06-21 20:52 . 2008-03-21 11:57 14640 ------w- c:\windows\system32\spmsgXP_2k3.dll
      2010-06-21 20:52 . 2009-07-09 09:46 1112288 ----a-r- c:\windows\system32\WdfCoinstaller01007.dll
      2010-06-21 20:52 . 2009-07-09 09:46 62592 ----a-r- c:\windows\system32\drivers\silabser.sys
      2010-06-21 20:52 . 2009-07-09 09:46 17920 ----a-r- c:\windows\system32\drivers\silabenm.sys
      2010-06-21 20:40 . 2008-02-12 10:10 43520 ----a-w- c:\windows\system32\seletekinstall.dll
      2010-06-21 20:40 . 2004-05-05 22:03 69632 ----a-w- c:\windows\system32\MLRuntime.dll
      2010-06-21 20:40 . 2010-06-21 20:40 -------- d-----w- c:\archivos de programa\Seletek

      .
      (((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
      .
      .

      ((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
      .
      .
      *Note* empty entries & legit default entries are not shown
      REGEDIT4

      [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
      "swg"="c:\archivos de programa\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2007-09-29 68856]
      "SpybotSD TeaTimer"="c:\archivos de programa\Spybot - Search & Destroy\TeaTimer.exe" [2009-03-05 2260480]
      "SUPERAntiSpyware"="c:\archivos de programa\SUPERAntiSpyware\SUPERAntiSpyware.exe" [2010-06-29 2403568]

      [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
      "ThpSrv"="thpsrv" [X]
      "CFSServ.exe"="CFSServ.exe -NoClient" [X]
      "NDSTray.exe"="NDSTray.exe" [BU]
      "igfxtray"="c:\windows\system32\igfxtray.exe" [2007-09-21 94208]
      "igfxhkcmd"="c:\windows\system32\hkcmd.exe" [2007-09-21 77824]
      "igfxpers"="c:\windows\system32\igfxpers.exe" [2007-09-21 118784]
      "Apoint"="c:\archivos de programa\Apoint2K\Apoint.exe" [2007-09-21 196608]
      "RTHDCPL"="RTHDCPL.EXE" [2007-09-21 16207360]
      "SkyTel"="SkyTel.EXE" [2007-09-21 1448960]
      "TPSMain"="TPSMain.exe" [2006-05-23 299008]
      "TPSODDCtl"="TPSODDCtl.exe" [2006-05-23 102400]
      "00THotkey"="c:\windows\system32\00THotkey.exe" [2006-05-18 253952]
      "000StTHK"="000StTHK.exe" [2001-06-23 24576]
      "SmoothView"="c:\archivos de programa\TOSHIBA\TOSHIBA Zooming Utility\SmoothView.exe" [2005-05-12 118784]
      "Adobe Reader Speed Launcher"="c:\archivos de programa\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-10-15 39792]
      "QuickTime Task"="c:\archivos de programa\QuickTime\QTTask.exe" [2009-11-10 417792]
      "SunJavaUpdateSched"="c:\archivos de programa\Archivos comunes\Java\Java Update\jusched.exe" [2010-02-18 248040]

      [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
      "CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

      [hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]
      "{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA}"= "c:\archivos de programa\SUPERAntiSpyware\SASSEH.DLL" [2008-05-13 77824]

      [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\!SASWinLogon]
      2009-09-03 22:21 548352 ----a-w- c:\archivos de programa\SUPERAntiSpyware\SASWINLO.DLL

      [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys]
      @="Driver"

      [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
      "EnableFirewall"= 0 (0x0)

      [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
      "%windir%\\system32\\sessmgr.exe"=
      "%windir%\\Network Diagnostic\\xpnetdiag.exe"=
      "c:\\Archivos de programa\\Bonjour\\mDNSResponder.exe"=
      "c:\\WINDOWS\\system32\\mmc.exe"=

      R0 pavboot;pavboot;c:\windows\system32\drivers\pavboot.sys [06/07/2010 18:04 28552]
      R0 Thpdrv;TOSHIBA HDD Protection Driver;c:\windows\system32\drivers\thpdrv.sys [27/12/2004 23:31 16384]
      R0 Thpevm;TOSHIBA HDD Protection - Shock Sensor Driver;c:\windows\system32\drivers\Thpevm.sys [13/11/2004 12:24 6144]
      R1 hwinterface;hwinterface;c:\windows\system32\drivers\hwinterface.sys [24/09/2007 17:53 3026]
      R1 SASDIFSV;SASDIFSV;c:\archivos de programa\SUPERAntiSpyware\sasdifsv.sys [17/02/2010 20:25 12872]
      R1 SASKUTIL;SASKUTIL;c:\archivos de programa\SUPERAntiSpyware\SASKUTIL.SYS [10/05/2010 20:41 67656]
      R1 SAVRKBootTasks;Boot Tasks Driver;c:\windows\system32\SAVRKBootTasks.sys [06/07/2010 15:38 18816]
      R2 ApogeeIO;Apogee Port I/O;c:\windows\system32\drivers\apogeeio.sys [01/06/2005 12:07 5314]
      R2 io.sys;IO.DLL Driver;c:\windows\system32\drivers\io.sys [24/09/2007 17:11 5152]
      R2 MaxImIO;MaxIm Port I/O;c:\windows\system32\drivers\maximio.sys [01/06/2005 12:07 7610]
      S2 gupdate;Google Update Service (gupdate);c:\archivos de programa\Google\Update\GoogleUpdate.exe [23/09/2009 22:52 133104]
      S3 CAMQHY;CAMQHY;c:\windows\system32\drivers\qhy8_io.sys [25/05/2009 18:08 12290]
      S3 camvid20;Philips ToUcam Camera; Video;c:\windows\system32\drivers\camdrv21.sys [24/09/2007 17:50 223232]
      S3 libusb0;QHY5;c:\windows\system32\drivers\libusb0.sys [09/09/2008 18:28 28672]
      S3 LUN13BA.sys;LUN13BA.sys;c:\windows\system32\drivers\LUN13BA.sys [09/09/2008 18:28 18304]
      S3 MEMSWEEP2;MEMSWEEP2;\??\c:\windows\system32\31.tmp --> c:\windows\system32\31.tmp [?]
      S3 QHY600;QHY600;c:\windows\system32\drivers\qhy8_base.sys [25/05/2009 18:08 14592]
      S3 QHY8BASE;QHY8BASE;c:\windows\system32\drivers\QHY8BASE.sys [13/05/2010 18:53 22656]
      S3 SASENUM;SASENUM;c:\archivos de programa\SUPERAntiSpyware\SASENUM.SYS [17/02/2010 20:15 12872]
      S3 silabenm;Seletek Armadillo Serial Port Enumerator Driver;c:\windows\system32\drivers\silabenm.sys [21/06/2010 22:52 17920]
      S3 silabser;Seletek Armadillo Driver;c:\windows\system32\drivers\silabser.sys [21/06/2010 22:52 62592]
      .
      Contents of the 'Scheduled Tasks' folder

      2010-07-09 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
      - c:\archivos de programa\Google\Update\GoogleUpdate.exe [2009-09-23 20:52]

      2010-07-09 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
      - c:\archivos de programa\Google\Update\GoogleUpdate.exe [2009-09-23 20:52]

      2010-07-09 c:\windows\Tasks\User_Feed_Synchronization-{97F521E5-4B0E-4341-A07C-41C9B03EAE20}.job
      - c:\windows\system32\msfeedssync.exe [2006-10-17 02:31]
      .
      .
      ------- Supplementary Scan -------
      .
      uStart Page = about:blank
      uSearchMigratedDefaultURL = hxxp://www.google.com/search?q={searchTerms}&sourceid=ie7&rls=com.microsoft:en-US&ie=utf8&oe=utf8
      uSearchAssistant = hxxp://www.google.com/ie
      uSearchURL,(Default) = hxxp://www.google.com/search?q=%s
      IE: E&xportar a Microsoft Excel - c:\archiv~1\MICROS~2\Office10\EXCEL.EXE/3000
      FF - ProfilePath - c:\documents and settings\Usuario\Datos de programa\Mozilla\Firefox\Profiles\0fydml0u.default\
      FF - component: c:\documents and settings\Usuario\Datos de programa\Mozilla\Firefox\Profiles\0fydml0u.default\extensions\{e001c731-5e37-4538-a5cb-8168736a2360}\components\qscanff.dll
      FF - plugin: c:\archivos de programa\Google\Google Earth\plugin\npgeplugin.dll
      FF - plugin: c:\archivos de programa\Google\Update\1.2.183.23\npGoogleOneClick8.dll
      FF - plugin: c:\archivos de programa\Mozilla Firefox\plugins\npdeployJava1.dll
      FF - plugin: c:\documents and settings\Usuario\Datos de programa\Mozilla\Firefox\Profiles\0fydml0u.default\extensions\{e001c731-5e37-4538-a5cb-8168736a2360}\plugins\npqscan.dll
      FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\

      ---- FIREFOX POLICIES ----
      FF - user.js: yahoo.homepage.dontask - truec:\archivos de programa\Mozilla Firefox\greprefs\all.js - pref("ui.use_native_colors", true);
      c:\archivos de programa\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.lu", true);
      c:\archivos de programa\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.nu", true);
      c:\archivos de programa\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.nz", true);
      c:\archivos de programa\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgberp4a5d4ar", true);
      c:\archivos de programa\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--p1ai", true);
      c:\archivos de programa\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbayh7gpa", true);
      c:\archivos de programa\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.tel", true);
      c:\archivos de programa\Mozilla Firefox\greprefs\all.js - pref("network.auth.force-generic-ntlm", false);
      c:\archivos de programa\Mozilla Firefox\greprefs\all.js - pref("network.proxy.type", 5);
      c:\archivos de programa\Mozilla Firefox\greprefs\all.js - pref("dom.ipc.plugins.timeoutSecs", 45);
      c:\archivos de programa\Mozilla Firefox\greprefs\all.js - pref("svg.smil.enabled", false);
      c:\archivos de programa\Mozilla Firefox\greprefs\all.js - pref("accelerometer.enabled", true);
      c:\archivos de programa\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.allow_unrestricted_renego_everywhere__temporarily_available_pref", true);
      c:\archivos de programa\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.renego_unrestricted_hosts", "");
      c:\archivos de programa\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.treat_unsafe_negotiation_as_broken", false);
      c:\archivos de programa\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.require_safe_negotiation", false);
      c:\archivos de programa\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.name", "chrome://browser/locale/browser.properties");
      c:\archivos de programa\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.description", "chrome://browser/locale/browser.properties");
      c:\archivos de programa\Mozilla Firefox\defaults\pref\firefox.js - pref("plugins.update.notifyUser", false);
      c:\archivos de programa\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled.nptest.dll", true);
      c:\archivos de programa\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled.npswf32.dll", true);
      c:\archivos de programa\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled.npctrl.dll", true);
      c:\archivos de programa\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled.npqtplugin.dll", true);
      c:\archivos de programa\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled", false);
      .

      **************************************************************************

      catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
      Rootkit scan 2010-07-09 20:57
      Windows 5.1.2600 Service Pack 3 NTFS

      scanning hidden processes ...

      scanning hidden autostart entries ...

      scanning hidden files ...

      scan completed successfully
      hidden files: 0

      **************************************************************************

      [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\MEMSWEEP2]
      "ImagePath"="\??\c:\windows\system32\31.tmp"
      .
      --------------------- LOCKED REGISTRY KEYS ---------------------

      [HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\IMAIL]
      @DACL=(02 0000)
      "Installed"="1"
      @=""

      [HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\MAPI]
      @DACL=(02 0000)
      "NoChange"="1"
      "Installed"="1"
      @=""

      [HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\MSFS]
      @DACL=(02 0000)
      "Installed"="1"
      @=""
      .
      --------------------- DLLs Loaded Under Running Processes ---------------------

      - - - - - - - > 'winlogon.exe'(812)
      c:\archivos de programa\SUPERAntiSpyware\SASWINLO.DLL
      c:\windows\system32\WININET.dll

      - - - - - - - > 'explorer.exe'(292)
      c:\windows\system32\WININET.dll
      c:\windows\system32\webcheck.dll
      c:\windows\system32\TPwrCfg.DLL
      c:\windows\system32\TPwrReg.dll
      c:\windows\system32\TPSTrace.DLL
      .
      ------------------------ Other Running Processes ------------------------
      .
      c:\windows\system32\rundll32.exe
      c:\archivos de programa\Bonjour\mDNSResponder.exe
      c:\archivos de programa\TOSHIBA\ConfigFree\CFSvcs.exe
      c:\archivos de programa\Java\jre6\bin\jqs.exe
      c:\windows\system32\ThpSrv.exe
      c:\windows\system32\wbem\wmiapsrv.exe
      c:\archivos de programa\TOSHIBA\ConfigFree\NDSTray.exe
      c:\windows\system32\thpsrv.exe
      c:\windows\RTHDCPL.EXE
      c:\windows\SkyTel.EXE
      c:\windows\system32\TPSMain.exe
      c:\windows\system32\TPSBattM.exe
      c:\archivos de programa\Apoint2K\Apntex.exe
      c:\archivos de programa\OpenOffice.org 2.2\program\soffice.exe
      c:\archivos de programa\OpenOffice.org 2.2\program\soffice.BIN
      .
      **************************************************************************
      .
      Completion time: 2010-07-09 21:01:52 - machine was rebooted
      ComboFix-quarantined-files.txt 2010-07-09 19:01

      Pre-Run: 12.173.279.232 bytes libres
      Post-Run: 12.076.560.384 bytes libres

      - - End Of File - - 2BC0290A33BC10D10EBCC9E04F110244


      Me queda por comprobar que mi equipo de control del telescopio y astrofotografía funcionan adecuadamente, cosa que espero que ocurra, dado que aun con la infección no habían resultado afectados, hasta el momento, con lo que este episodio quedará terminado.
      Expreso mi profundo agradecimiento a Tyny's.

      Saludos.

      Manulicar

    5. #5
      Moderador Gral.
      Avatar de Tyny's
      Registrado
      may 2008
      Ubicación
      Argentina
      Mensajes
      14.609

      Re: Virus Troyano Rootkit-Agent.EL (¿y Em?)

      Buenas.

      Cualquier problema nos consultas por la otra PC.

      Para terminar solo te quedaría desinstalar CF de la siguiente manera:


      • Ir a Inicio > Ejecutar
      • Escribir lo siguiente: ComboFix /Uninstall como muestra la imagen debajo:


      • Esto activara el desinstalador de ComboFix abriendo su pantalla principal y luego de unos segundos veras ("ComboFix is uninstalled")



      Si este procedimiento Falla Descarga OTC.exe en el escritorio. Lo ejecutas y presionas Cleanup.



      Consejos Utiles







      ____________________________

      **Tema solucionado** Si queres reabrir el tema hace clic aquique un moderador atendera tu consulta.

      Por último te recomiendo suscribirte por email al feed de nuestro Blog de InfoSpyware para estar al tanto de las nuevas amenazas que circulan por la red y así en un futuro puedas prevenirlas.
      Saludos.
      Atentamente
      El Equipo de InfoSpyware
      www.infospyware.com
      www.forospyware.com

      Twitter: @InfoSpyware
      If on your journey, you should encounter God, God will be cut!


      * Síguenos en nuestro Twitter y hazte nuestro amigo en Facebook.
      * Infórmate de las ultimas amenazas de la red desde: InfoSpyware Blog
      * No se resuelven dudas por Privados ni por E-mail, ya que para eso esta el foro.

    6. #6
      Usuario Avatar de Manulicar
      Registrado
      jul 2010
      Ubicación
      La Cabrera (Madrid-España))
      Mensajes
      8

      Re: Rootkit-Agent.EL "CDROM.sys" (Solucionado)

      Hola de nuevo:
      He completado el proceso de desinstalación de ComboFix sin ninguna incidencia.

      Saludos.

      Manulicar