• Registrarse
  • Iniciar sesión


  • Página 1 de 2 12 ÚltimoÚltimo
    Resultados 1 al 10 de 17

    Suceso extraño en escritorio + actualizaciones XP tras desinfectar sirefef.EV

    Hola, me acabo de registrar. mi conocimiento creo que es medio-bajo os paso a relatar mi caso. Lo primero y al final entendereis porque comienzo por esto deciros que hace unos 5 meses queria ordenar ...

    1. #1
      Usuario Avatar de elnico
      Registrado
      feb 2013
      Ubicación
      españa-hospitalet
      Mensajes
      9

      Suceso extraño en escritorio + actualizaciones XP tras desinfectar sirefef.EV

      Hola, me acabo de registrar. mi conocimiento creo que es medio-bajo os paso a relatar mi caso.

      Lo primero y al final entendereis porque comienzo por esto deciros que hace unos 5 meses queria ordenar unos archivos por la opcion modificado y como esta solo está en el escritorio "uso XP" pase los archivos y lo hice.
      hasta entonces yo tenia el escritorio ordenado en forma de cuadrado ocupando todos los laterales, al darle a lo de modificado se me alinearon a la izquierda por columnas, cuando acabé volvi a ordenar los archivos como los tenia al principio y sin problemas.

      no se si desde que volvi a cerrar el pc o al cabo de unos dias cada vez que encendia me aparecian los archivos en el escritorio a la izquierda y al ordenarlos se volvian a poner a la izquierda, pensé que habria modificado algo del registro y lo dejé por imposible.

      estareis pensando que me está contando este si esto va de virus..... al final lo entendereis

      hace unos dias cai en la cuenta de que windows hacia bastante tiempo que no me mandaba actualizaciones del XP pero como el NOD32 tampoco me avisaba de que estaban, normalmente me avisaba de que existian pero no estaban instaladas y yo procedia a instalarlas, pense que estos de microsoft habian dejado de actualizarlo.

      Vamos al tema:

      Ayer me entro el sirefef.EV, fue navegando o descargando con el utorrent. me saltó un antivirus que supongo que seria un señuelo, lo paré y me salian mensajes de que estaba superinfectado y tal. no me dejaba abrir ningun programa pero con un poco de maña y velocidad logré restaurar el equipo a una posicion anterior.

      al restaurar y reiniciar, el nod me decia que el sirefef estaba en la memoria operativa, que lo ponia en cuarentena pero que al ser usado por otro programa debia reiniciar para poder desinfectar.

      reiniciaba y me volvia a salir lo mismo, la ejecucion en tiempo real del nod se ponia inactiva igual que el antivirus y antiespia y con el sirefef me decia todo el rato que lo detectaba pero que debia reiniciar.

      empece a buscar como sacar el sirefef y en vuestro foro vi lo del combofix, yo como soy un echao palante lo descargué y lo ejecuté.

      El programa se ejecutó y limpió lo que debia, al ejecutar el nod dice que la cosa está limpia. me borró algunos registros y creo que me modificó el firewall de windows pero ese no es el tema, ya se que ese programa hay que usarlo bajo supervision etc,

      lo alucinante es que despues de meses el escritorio volvio a su estado original y empezarom a aparecer las actualizaciones de XP, desde ayer he instalado ya mas de 60.

      La pregunta es.........

      Tenia un virus anterior al sirefef que me controlaba el escritorio y hacia que no bajaran las actualizaciones??

      y de paso saber si el combofix se ha instalado en algun lado o es solo un ejecutable.

      Gracias por la ayuda de antemano

    2. #2
      Moderador Gral.
      Avatar de @Javier_HF
      Registrado
      jun 2006
      Ubicación
      Spain.
      Mensajes
      21.692

      Re: Suceso extraño en escritorio + actualizaciones XP tras desinfectar sirefef.EV

      Buenas elnico. al Foro.

      Temas que interesa revisar y leer :

      Consejos para antes de publicar un nuevo mensaje.

      Políticas del Foro de InfoSpyware.

      Políticas Foro Oficial de HijackThis en español.

      ¿Cómo subir imágenes al Foro? *TUTORIAL*
      ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

      Atención!! No use ComboFix a menos que se le haya indicado específicamente en su mensaje por un integrante de nuestro Staff. Es una herramienta de gran alcance destinada por su creador a ser usada bajo la orientación y supervisión de un experto, no para uso privado. El uso de ComboFix incorrectamente podría generar problemas en su sistema. Por favor, lea las "Negaciones de la Garantía" de ComboFix.
      Veo que NO hacemos mucho caso a lo que se indica acerca de ComboFix.

      En relación a lo que comentas que te ha pasado, sobre el tema de los iconos, suele deberse a que se han bloqueado las claves del registro, que guardan esa informacion, y eso suele venir por una infección.

      Y si el equipo no hacia actualizaciones también seria por la infección que tenias.

      Esta infección lógicamente seria anterior a la que comentas que has tenido y ComboFix solucionó.

      ComboFix cuando se termina de usar y se comprueba que ya está todo en orden, se debe desinstalar, pero antes de hacerlo e indicarte como, pon el informe que tendrás generado en C:\ComboFix.txt, así revisamos como hiciste los pasos y que te salió.

      Saludos.
      Quien no lo intenta no lo consigue | ;-)

      * Síguenos en nuestro Twitter y hazte nuestro amigo en Facebook.
      * Infórmate de las ultimas amenazas de la red desde: InfoSpyware Blog
      * No se resuelven dudas por Privados ni por E-mail, ya que para eso esta el foro.

    3. #3
      Usuario Avatar de elnico
      Registrado
      feb 2013
      Ubicación
      españa-hospitalet
      Mensajes
      9

      Re: Suceso extraño en escritorio + actualizaciones XP tras desinfectar sirefef.EV

      Ahi tienes el reporte: Gracias por la ayuda. he pasado el malware-bytes despues del combofix y me ha encontrado 2 troyanos mas. ¿ el malware-bytes se puede usar de antivirus o me recomiendas otro???

      ComboFix 13-02-15.01 - Pepe 17/02/2013 21:34:00.1.2 - x86
      Microsoft Windows XP Home Edition 5.1.2600.3.1252.34.3082.18.1536.850 [GMT 1:00]
      Running from: C:\Documents and Settings\Pepe\Escritorio\ComboFix.exe
      AV: ESET NOD32 Antivirus 4.2 *Disabled/Updated* {E5E70D32-0101-4F12-8FB0-D96ACA4F34C0}


      ((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))


      C:\Archivos de programa\kikin
      C:\Archivos de programa\kikin\default_settings.xml
      C:\Archivos de programa\kikin\file_list.txt
      C:\Archivos de programa\kikin\ie_kikin.dll
      C:\Archivos de programa\kikin\kikin.ico
      C:\Archivos de programa\kikin\KikinBroker.exe
      C:\Archivos de programa\kikin\uninst.exe
      C:\Documents and Settings\All Users\Datos de programa\78520901E27EB3660000785190B3B6CB
      C:\Documents and Settings\All Users\Datos de programa\78520901E27EB3660000785190B3B6CB\78520901E27EB3660000785190B3B6CB
      C:\Documents and Settings\Pepe\Datos de programa\desktop.ini
      C:\Documents and Settings\Pepe\Datos de programa\kikin
      C:\Documents and Settings\Pepe\Datos de programa\kikin\ff_kkes.xml
      C:\Documents and Settings\Pepe\Datos de programa\kikin\ie_configuration.xml
      C:\Documents and Settings\Pepe\Datos de programa\kikin\ie_kkes.xml
      C:\Documents and Settings\Pepe\Datos de programa\kikin\ie_settings.xml
      C:\Documents and Settings\Pepe\WINDOWS
      C:\Recycle.Bin
      C:\Recycle.Bin\444E12774B7A1DB
      C:\RECYCLER\S-1-5-18\$c11aaa9643508df230a63c7e2b2d9352\@
      C:\RECYCLER\S-1-5-18\$c11aaa9643508df230a63c7e2b2d9352\n
      C:\RECYCLER\S-1-5-18\$c11aaa9643508df230a63c7e2b2d9352\U\00000001.@
      C:\RECYCLER\S-1-5-18\$c11aaa9643508df230a63c7e2b2d9352\U\80000000.@
      C:\RECYCLER\S-1-5-18\$c11aaa9643508df230a63c7e2b2d9352\U\800000cb.@
      C:\RECYCLER\S-1-5-21-1547161642-1275210071-725345543-1004\$c11aaa9643508df230a63c7e2b2d9352\@
      C:\RECYCLER\S-1-5-21-1547161642-1275210071-725345543-1004\$c11aaa9643508df230a63c7e2b2d9352\n
      C:\WINDOWS\Installer\{c11aaa96-4350-8df2-30a6-3c7e2b2d9352}\@
      C:\WINDOWS\Installer\{c11aaa96-4350-8df2-30a6-3c7e2b2d9352}\U\00000001.@
      C:\WINDOWS\Installer\{c11aaa96-4350-8df2-30a6-3c7e2b2d9352}\U\80000000.@
      C:\WINDOWS\Installer\{c11aaa96-4350-8df2-30a6-3c7e2b2d9352}\U\800000cb.@
      C:\WINDOWS\system\BCBSMP35.BPL
      C:\WINDOWS\system32\drivers\f53aa7674f9b7a74.sys
      C:\WINDOWS\system32\URTTemp
      C:\WINDOWS\system32\URTTemp\fusion.dll
      C:\WINDOWS\system32\URTTemp\mscoree.dll
      C:\WINDOWS\system32\URTTemp\mscoree.dll.local
      C:\WINDOWS\system32\URTTemp\mscorsn.dll
      C:\WINDOWS\system32\URTTemp\mscorwks.dll
      C:\WINDOWS\system32\URTTemp\msvcr71.dll
      C:\WINDOWS\system32\URTTemp\regtlib.exe


      ((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))
      .

      -------\Legacy_SYSHOST32
      -------\Service_syshost32
      -------\Legacy_f53aa7674f9b7a74
      -------\Service_f53aa7674f9b7a74


      ((((((((((((((((((((((((( Files Created from 2013-01-17 to 2013-02-17 )))))))))))))))))))))))))))))))


      .


      (((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))

      2012-07-14 00:15:45 . 2012-08-18 12:20:30 136672 ----a-w- C:\Archivos de programa\mozilla firefox\components\browsercomps.dll


      ((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))


      *Note* empty entries & legit default entries are not shown
      REGEDIT4

      [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
      "ASUS Probe"="C:\Archivos de programa\ASUS\Probe\AsusProb.exe" [2002-12-06 15:07:48 617984]
      "ATIPTA"="C:\Archivos de programa\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2004-03-23 16:15:00 335872]
      "zBrowser Launcher"="C:\Archivos de programa\Logitech\iTouch\iTouch.exe" [2002-05-29 00:59:00 520192]
      "EM_EXEC"="C:\ARCHIV~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE" [2002-05-24 08:50:00 28672]
      "GrooveMonitor"="C:\Archivos de programa\Microsoft Office\Office12\GrooveMonitor.exe" [2009-02-26 17:36:46 30040]
      "Easy-PrintToolBox"="C:\Archivos de programa\Canon\Easy-PrintToolBox\BJPSMAIN.EXE" [2004-01-14 0102 409600]
      "Logitech Hardware Abstraction Layer"="KHALMNPR.EXE" [2008-02-29 01:12:38 76304]
      "Kernel and Hardware Abstraction Layer"="KHALMNPR.EXE" [2008-02-29 01:12:38 76304]
      "Adobe Reader Speed Launcher"="C:\Archivos de programa\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2009-02-27 1528 35696]
      "QuickTime Task"="C:\Archivos de programa\QuickTime\qttask.exe" [2008-03-28 21:37:20 413696]
      "egui"="C:\Archivos de programa\ESET\ESET NOD32 Antivirus\egui.exe" [2011-01-12 15:41:24 2219184]

      [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
      "CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2008-04-14 02:18:53 15360]

      C:\Documents and Settings\All Users\Menú Inicio\Programas\Inicio\
      Logitech SetPoint.lnk - C:\Archivos de programa\Logitech\SetPoint\SetPoint.exe [2008-8-26 805392]

      [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\LBTWlgn]
      2008-05-02 00:42:30 72208 ----a-w- c:\Archivos de programa\Archivos comunes\Logitech\Bluetooth\LBTWLgn.dll

      [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys]
      @="Driver"

      [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WdfLoadGroup]
      @=""

      [HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menú Inicio^Programas^Inicio^PHOTOfunSTUDIO.lnk]
      path=C:\Documents and Settings\All Users\Menú Inicio\Programas\Inicio\PHOTOfunSTUDIO.lnk
      backup=C:\WINDOWS\pss\PHOTOfunSTUDIO.lnkCommon Startup

      [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NokiaMServer]
      C:\Archivos de programa\Archivos comunes\Nokia\MPlatform\NokiaMServer [X]

      [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ArcSoft Connection Service]
      2007-10-11 06:45:52 31232 ----a-w- C:\Archivos de programa\Archivos comunes\ArcSoft\Connection Service\Bin\ACDaemon.exe

      [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AutoStartNPSAgent]
      2010-01-18 20:39:31 102400 ----a-w- C:\Archivos de programa\Samsung\Samsung New PC Studio\NPSAgent.exe

      [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}]
      2007-01-15 15:14:54 147456 ----a-w- C:\Archivos de programa\Archivos comunes\Ahead\Lib\NMBgMonitor.exe

      [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Delete USB Error Key]
      2007-07-24 11:58:44 126976 ----a-w- C:\Archivos de programa\Samsung\Samsung New PC Studio\USB Drivers\SPS3_USB_Driver_Setup.exe

      [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MsnMsgr]
      2010-04-16 21:12:38 3872080 ----a-w- C:\Archivos de programa\Windows Live\Messenger\msnmsgr.exe

      [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
      2006-01-12 14:40:44 155648 ----a-w- C:\Archivos de programa\Archivos comunes\Ahead\Lib\NeroCheck.exe

      [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PC Suite Tray]
      2010-05-14 08:32:30 1479680 ----a-w- C:\Archivos de programa\Nokia\Nokia PC Suite 7\PCSuite.exe

      [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
      2008-03-28 21:37:20 413696 ----a-w- C:\Archivos de programa\QuickTime\QTTask.exe

      [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SpybotSD TeaTimer]
      2008-01-28 10:43:40 2097488 --sha-r- C:\Archivos de programa\Spybot - Search & Destroy\TeaTimer.exe

      [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
      2009-07-19 20:11:47 148888 ----a-w- C:\Archivos de programa\Java\jre6\bin\jusched.exe

      [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Telefonica]
      2005-10-06 16:44:48 192512 ----a-w- C:\Archivos de programa\Telefonica\bin\sprtcmd.exe

      [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
      "EnableFirewall"= 0 (0x0)

      [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
      "%windir%\\system32\\sessmgr.exe"=

      R1 ehdrv;ehdrv;C:\WINDOWS\system32\drivers\ehdrv.sys [21/12/2010 15:04:06 115008]
      R1 epfwtdir;epfwtdir;C:\WINDOWS\system32\drivers\epfwtdir.sys [21/12/2010 13:47:38 94872]
      R2 BBSvc;BingBar Service;C:\Archivos de programa\Microsoft\BingBar\7.1.391.0\BBSvc.EXE [11/06/2012 16:22:16 193616]
      R2 ekrn;ESET Service;C:\Archivos de programa\ESET\ESET NOD32 Antivirus\ekrn.exe [12/01/2011 16:41:42 810144]
      R2 FsUsbExService;FsUsbExService;C:\WINDOWS\system32\FsUsbExService.Exe [18/01/2010 20:20:14 233472]
      R3 FsUsbExDisk;FsUsbExDisk;C:\WINDOWS\system32\FsUsbExDisk.Sys [18/01/2010 20:20:14 36608]
      S0 sptd;sptd;C:\WINDOWS\system32\drivers\sptd.sys [31/01/2008 15:07:49 716272]
      S3 ASUSHWIO;ASUSHWIO;\??\C:\WINDOWS\system32\drivers\ASUSHWIO.sys --> C:\WINDOWS\system32\drivers\ASUSHWIO.sys [?]
      S3 BBUpdate;BBUpdate;C:\Archivos de programa\Microsoft\BingBar\7.1.391.0\SeaPort.EXE [11/06/2012 16:22:16 240208]
      S3 CFcatchme;CFcatchme;\??\C:\ComboFix\CFcatchme.sys --> C:\ComboFix\CFcatchme.sys [?]
      S3 dg_ssudbus;SAMSUNG Mobile USB Composite Device Driver (DEVGURU Ver.);C:\WINDOWS\system32\drivers\ssudbus.sys [13/10/2012 18:20:21 83168]
      S3 nmwcdnsu;Nokia USB Flashing Phone Parent;C:\WINDOWS\system32\drivers\nmwcdnsu.sys [21/07/2010 14:25:33 137344]
      S3 nmwcdnsuc;Nokia USB Flashing Generic;C:\WINDOWS\system32\drivers\nmwcdnsuc.sys [21/07/2010 14:25:35 8320]
      S3 ssudmdm;SAMSUNG Mobile USB Modem Drivers (DEVGURU Ver.);C:\WINDOWS\system32\drivers\ssudmdm.sys [13/10/2012 18:20:22 181344]

      --- Other Services/Drivers In Memory ---

      *NewlyCreated* - BITS
      *NewlyCreated* - FSUSBEXDISK
      *NewlyCreated* - WUAUSERV

      [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
      getPlusHelper REG_MULTI_SZ getPlusHelper

      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
      UxTuneUp

      [HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{8A69D345-D564-463c-AFF1-A69D9E530F96}]
      2013-02-02 10:02:03 1607120 ----a-w- C:\Archivos de programa\Google\Chrome\Application\24.0.1312.57\Installer\chrmstp.exe

      Contents of the 'Scheduled Tasks' folder

      2013-01-12 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job
      - C:\Archivos de programa\Apple Software Update\SoftwareUpdate.exe [2007-08-29 12:57:52 . 2007-08-29 12:57:52]

      2013-02-17 C:\WINDOWS\Tasks\GoogleUpdateTaskMachineCore.job
      - C:\Archivos de programa\Google\Update\GoogleUpdate.exe [2012-01-22 20:32:36 . 2012-01-22 20:32:32]

      2013-02-17 C:\WINDOWS\Tasks\GoogleUpdateTaskMachineUA.job
      - C:\Archivos de programa\Google\Update\GoogleUpdate.exe [2012-01-22 20:32:36 . 2012-01-22 20:32:32]


      ------- Supplementary Scan -------

      uStart Page = about:blank
      IE: Adición a la lista de impresión de Easy-WebPrint - C:\Archivos de programa\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
      IE: E&xportar a Microsoft Excel - C:\ARCHIV~1\MICROS~2\Office12\EXCEL.EXE/3000
      IE: Impresión a alta velocidad de Easy-WebPrint - C:\Archivos de programa\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
      IE: Impresión de Easy-WebPrint - C:\Archivos de programa\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
      IE: Vista previa de Easy-WebPrint - C:\Archivos de programa\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
      IE: {{0F7195C2-6713-4d93-A1BC-DA5FA33F0A65} - {E601996F-E400-41CA-804B-CD6373A7EEE2} - C:\Archivos de programa\kikin\ie_kikin.dll
      TCP: DhcpNameServer = 80.58.61.250 80.58.61.254
      FF - ProfilePath - C:\Documents and Settings\Pepe\Datos de programa\Mozilla\Firefox\Profiles\omp8ylym.default\
      FF - ExtSQL: !HIDDEN! 2009-09-04 07:21; {20a82645-c095-46ed-80e3-08825760534b}; C:\WINDOWS\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension

      - - - - ORPHANS REMOVED - - - -

      BHO-{E601996F-E400-41CA-804B-CD6373A7EEE2} - C:\Archivos de programa\kikin\ie_kikin.dll
      HKLM-Run-NPSStartup - (no file)
      MSConfigStartUp-Adobe Reader Speed Launcher - C:\Archivos de programa\Adobe\Reader 8.0\Reader\Reader_sl.exe
      AddRemove-01_Simmental - C:\Archivos de programa\Samsung\USB Drivers\01_Simmental\Uninstall.exe
      AddRemove-02_Siberian - C:\Archivos de programa\Samsung\USB Drivers\02_Siberian\Uninstall.exe
      AddRemove-03_Swallowtail - C:\Archivos de programa\Samsung\USB Drivers\03_Swallowtail\Uninstall.exe
      AddRemove-04_semseyite - C:\Archivos de programa\Samsung\USB Drivers\04_semseyite\Uninstall.exe
      AddRemove-07_Schorl - C:\Archivos de programa\Samsung\USB Drivers\07_Schorl\Uninstall.exe
      AddRemove-09_Hsp - C:\Archivos de programa\Samsung\USB Drivers\09_Hsp\Uninstall.exe
      AddRemove-11_HSP_Plus_Default - C:\Archivos de programa\Samsung\USB Drivers\11_HSP_Plus_Default\Uninstall.exe
      AddRemove-16_Shrewsbury - C:\Archivos de programa\Samsung\USB Drivers\16_Shrewsbury\Uninstall.exe
      AddRemove-20_NXP_Driver - C:\Archivos de programa\Samsung\USB Drivers\20_NXP_Driver\Uninstall.exe
      AddRemove-24_flashusbdriver - C:\Archivos de programa\Samsung\USB Drivers\24_flashusbdriver\Uninstall.exe
      AddRemove-25_escape - C:\Archivos de programa\Samsung\USB Drivers\25_escape\Uninstall.exe
      AddRemove-{E4A71A41-BCC8-480a-9E69-0DA29CBA7ECA} - C:\Archivos de programa\kikin\uninst.exe

    4. #4
      Usuario Avatar de elnico
      Registrado
      feb 2013
      Ubicación
      españa-hospitalet
      Mensajes
      9
      he editado borrando porque se habia copiado 2 veces el reporte.

      Pd: el avatar es un perico del español no???

      jajaja es buenisimo, yo soy socio perico

      ********************************************************


      Te dejo los 2 informes posteriores al combofix del malware:

      1------------

      Malwarebytes Anti-Malware (Versión de Prueba) 1.70.0.1100
      Malwarebytes : Free anti-malware download

      Versión de la Base de Datos: v2013.02.18.10

      Windows XP Service Pack 3 x86 NTFS
      Internet Explorer 7.0.5730.13
      Pepe :: MAZIN [administrador]

      Protección: Habilitado

      18/02/2013 20:23:52
      mbam-log-2013-02-18 (20-23-52).txt

      Tipos de Análisis: Análisis Rápido
      Opciones de análisis activado: Memoria | Inicio | Registro | Sistema de archivos | Heurística/Extra | Heurística/Shuriken | PUP | PUM
      Opciones de análisis desactivados: P2P
      Objetos examinados: 199367
      Tiempo transcurrido: 5 minuto(s), 26 segundo(s)

      Procesos en Memoria Detectados: 0
      (No se han detectado elementos maliciosos)

      Módulos de Memoria Detectados: 0
      (No se han detectado elementos maliciosos)

      Claves del Registro Detectados: 0
      (No se han detectado elementos maliciosos)

      Valores del Registro Detectados: 0
      (No se han detectado elementos maliciosos)

      Elementos de Datos del Registro Detectados: 0
      (No se han detectado elementos maliciosos)

      Carpetas Detectadas: 0
      (No se han detectado elementos maliciosos)

      Archivos Detectados: 3
      C:\Documents and Settings\Pepe\Datos de programa\ntuser.dat (Misused.Legit) -> En cuarentena y eliminado con éxito.
      C:\Documents and Settings\Pepe\Datos de programa\WMPRWISE.EXE (Trojan.Phex.THAGen9) -> En cuarentena y eliminado con éxito.
      C:\WINDOWS\Installer\{EAD301E9-B473-1F98-20A6-22A10045CDDC}\syshost.exe (Trojan.Phex.THAGen9) -> En cuarentena y eliminado con éxito.

      fin)



      2-------------

      Malwarebytes Anti-Malware (Versión de Prueba) 1.70.0.1100
      Malwarebytes : Free anti-malware download

      Versión de la Base de Datos: v2013.02.18.10

      Windows XP Service Pack 3 x86 NTFS
      Internet Explorer 7.0.5730.13
      Pepe :: MAZIN [administrador]

      Protección: Habilitado

      18/02/2013 21:06:17
      mbam-log-2013-02-18 (21-06-17).txt

      Tipos de Análisis: Análisis Completo (A:\|C:\|D:\|E:\|F:\|)
      Opciones de análisis activado: Memoria | Inicio | Registro | Sistema de archivos | Heurística/Extra | Heurística/Shuriken | PUP | PUM
      Opciones de análisis desactivados: P2P
      Objetos examinados: 331789
      Tiempo transcurrido: 1 hora(s), 18 minuto(s), 52 segundo(s)

      Procesos en Memoria Detectados: 0
      (No se han detectado elementos maliciosos)

      Módulos de Memoria Detectados: 0
      (No se han detectado elementos maliciosos)

      Claves del Registro Detectados: 0
      (No se han detectado elementos maliciosos)

      Valores del Registro Detectados: 0
      (No se han detectado elementos maliciosos)

      Elementos de Datos del Registro Detectados: 0
      (No se han detectado elementos maliciosos)

      Carpetas Detectadas: 0
      (No se han detectado elementos maliciosos)

      Archivos Detectados: 19
      C:\Documents and Settings\Pepe\Mis documentos\No instalados\Progs\Tv internet\UUTV_Setup_2007.exe (PUP.Uusee) -> En cuarentena y eliminado con éxito.
      C:\Qoobox\Quarantine\C\RECYCLER\S-1-5-18\$c11aaa9643508df230a63c7e2b2d9352\n.vir (Rootkit.0Access.EPS) -> En cuarentena y eliminado con éxito.
      C:\Qoobox\Quarantine\C\RECYCLER\S-1-5-18\$c11aaa9643508df230a63c7e2b2d9352\U\800000cb.@.vir (Rootkit.0Access) -> En cuarentena y eliminado con éxito.
      C:\Qoobox\Quarantine\C\RECYCLER\S-1-5-21-1547161642-1275210071-725345543-1004\$c11aaa9643508df230a63c7e2b2d9352\n.vir (Rootkit.0Access.EPS) -> En cuarentena y eliminado con éxito.
      C:\Qoobox\Quarantine\C\WINDOWS\Installer\{c11aaa96-4350-8df2-30a6-3c7e2b2d9352}\U\80000000.@.vir (Trojan.Small) -> En cuarentena y eliminado con éxito.
      C:\Qoobox\Quarantine\C\WINDOWS\Installer\{c11aaa96-4350-8df2-30a6-3c7e2b2d9352}\U\800000cb.@.vir (Rootkit.0Access) -> En cuarentena y eliminado con éxito.
      C:\System Volume Information\_restore{10032D63-65BC-49CC-8C07-B77F8AAF3FA6}\RP1260\A0098474.exe (Malware.Packer.SGX1) -> En cuarentena y eliminado con éxito.
      C:\System Volume Information\_restore{10032D63-65BC-49CC-8C07-B77F8AAF3FA6}\RP1222\A0094897.exe (Trojan.Bublik) -> En cuarentena y eliminado con éxito.
      D:\Mi Torrnet\Intorrent\Nod 32\NOD32 3.0.551.0 Final (serial+parche+spanish) [www.topetorrent.com]\Nod32Patch.exe (Trojan.Agent) -> En cuarentena y eliminado con éxito.
      D:\Mi Torrnet\Intorrent\Nod 32\NOD32.UFO.Abduccion.[2008].Full.[WwW.TodoCVCD.CoM].Por.Gamolama\NOD32.UFO.Abduccion.[2008].Full.[WwW.TodoCVCD.CoM].Por.Gamolama\Seriales & Crack\Crack.exe (Trojan.Agent) -> En cuarentena y eliminado con éxito.
      E:\System Volume Information\_restore{64FB9BBB-456C-46FD-B75C-4476FE5EA71E}\RP538\A0075162.exe (PUP.RiskWareTool.CK) -> En cuarentena y eliminado con éxito.
      E:\System Volume Information\_restore{64FB9BBB-456C-46FD-B75C-4476FE5EA71E}\RP540\A0075750.exe (PUP.RiskWareTool.CK) -> En cuarentena y eliminado con éxito.
      E:\System Volume Information\_restore{64FB9BBB-456C-46FD-B75C-4476FE5EA71E}\RP540\A0076983.exe (PUP.Hacktool.Patcher) -> En cuarentena y eliminado con éxito.
      E:\System Volume Information\_restore{A2617686-7F94-4AE8-AB0D-D47A8F18E291}\RP34\A0002668.exe (RiskWare.Tool.CK) -> En cuarentena y eliminado con éxito.
      E:\System Volume Information\_restore{A2617686-7F94-4AE8-AB0D-D47A8F18E291}\RP34\A0002833.exe (PUP.Uusee) -> En cuarentena y eliminado con éxito.
      E:\System Volume Information\_restore{A2617686-7F94-4AE8-AB0D-D47A8F18E291}\RP38\A0003158.exe (Malware.Packer.Gen) -> En cuarentena y eliminado con éxito.
      E:\System Volume Information\_restore{A2617686-7F94-4AE8-AB0D-D47A8F18E291}\RP38\A0003161.exe (Malware.Packer.Gen) -> En cuarentena y eliminado con éxito.
      E:\System Volume Information\_restore{A2617686-7F94-4AE8-AB0D-D47A8F18E291}\RP38\A0003164.exe (Malware.Packer.Gen) -> En cuarentena y eliminado con éxito.
      E:\System Volume Information\_restore{A2617686-7F94-4AE8-AB0D-D47A8F18E291}\RP88\A0006455.exe (PUP.Uusee) -> En cuarentena y eliminado con éxito.

      fin)
      Última edición por @Javier_HF fecha: 19/02/13 a las 17:32:36 Razón: Unir mensajes.

    5. #5
      Moderador Gral.
      Avatar de @Javier_HF
      Registrado
      jun 2006
      Ubicación
      Spain.
      Mensajes
      21.692

      Re: Suceso extraño en escritorio + actualizaciones XP tras desinfectar sirefef.EV

      Cita Originalmente publicado por elnico Ver Mensaje
      Pd: el avatar es un perico del español no???

      jajaja es buenisimo, yo soy socio perico
      Efectivamente, acertaste, tienes buena vista, aunque siendo socio era normal que acertaras.

      Ahora verifiquemos que no queda nada raro por tu equipo, sigue estos pasos :

      Descarga Malwarebytes Anti-Rootkit (Beta) y descomprimes el contenido en tu escritorio.

      • Abre la carpeta Mbar, haces doble clic en el archivo Mbar.exe
      • En la ventana que saldrá pulsas en "Next".
      • Pulsar en "Update", y cuando termine en "Next"
      • Ahora inicias el análisis pulsando en el botón "Scan"
      • Al terminar, si existe infección pulsamos en "CleanUp" y si no hay infección pulsamos en ""Exit"


      Al terminar busca en la carpeta Mbar, y abres los archivos mbar-log.txt y system-log.txt, nos copias el contenido en la siguiente respuesta y comentas resultados.

      Saludos.
      Quien no lo intenta no lo consigue | ;-)

      * Síguenos en nuestro Twitter y hazte nuestro amigo en Facebook.
      * Infórmate de las ultimas amenazas de la red desde: InfoSpyware Blog
      * No se resuelven dudas por Privados ni por E-mail, ya que para eso esta el foro.

    6. #6
      Usuario Avatar de elnico
      Registrado
      feb 2013
      Ubicación
      españa-hospitalet
      Mensajes
      9

      Re: Suceso extraño en escritorio + actualizaciones XP tras desinfectar sirefef.EV

      Ahi van los reportes, recuerda que debo desinstalar el combofix:

      ---------------------------------------
      Malwarebytes Anti-Rootkit BETA 1.01.0.1020

      (c) Malwarebytes Corporation 2011-2012

      OS version: 5.1.2600 Windows XP Service Pack 3 x86

      Account is Administrative

      Internet Explorer version: 7.0.5730.13

      Java version: 1.6.0_14

      File system is: NTFS
      Disk drives: C:\ DRIVE_FIXED, D:\ DRIVE_FIXED, E:\ DRIVE_FIXED
      CPU speed: 3.006000 GHz
      Memory total: 1610117120, free: 910725120

      ------------ Kernel report ------------
      02/20/2013 20:54:30
      ------------ Loaded modules -----------
      \WINDOWS\system32\ntoskrnl.exe
      \WINDOWS\system32\hal.dll
      \WINDOWS\system32\KDCOM.DLL
      \WINDOWS\system32\BOOTVID.dll
      ACPI.sys
      \WINDOWS\system32\DRIVERS\WMILIB.SYS
      isapnp.sys
      pci.sys
      \WINDOWS\System32\Drivers\SCSIPORT.SYS
      pciide.sys
      \WINDOWS\system32\DRIVERS\PCIIDEX.SYS
      MountMgr.sys
      ftdisk.sys
      PartMgr.sys
      siside.sys
      VolSnap.sys
      atapi.sys
      disk.sys
      \WINDOWS\system32\DRIVERS\CLASSPNP.SYS
      fltmgr.sys
      sr.sys
      PxHelp20.sys
      KSecDD.sys
      WudfPf.sys
      Ntfs.sys
      NDIS.sys
      uagp35.sys
      sisperf.sys
      sisidex.sys
      SISAGPX.sys
      Mup.sys
      \SystemRoot\system32\DRIVERS\intelppm.sys
      \SystemRoot\system32\DRIVERS\ati2mtag.sys
      \SystemRoot\system32\DRIVERS\VIDEOPRT.SYS
      \SystemRoot\system32\DRIVERS\fdc.sys
      \SystemRoot\system32\DRIVERS\parport.sys
      \SystemRoot\system32\DRIVERS\serial.sys
      \SystemRoot\system32\DRIVERS\serenum.sys
      \SystemRoot\system32\drivers\msmpu401.sys
      \SystemRoot\system32\drivers\portcls.sys
      \SystemRoot\system32\drivers\drmk.sys
      \SystemRoot\system32\drivers\ks.sys
      \SystemRoot\system32\DRIVERS\imapi.sys
      \SystemRoot\system32\drivers\Afc.sys
      \SystemRoot\system32\DRIVERS\cdrom.sys
      \SystemRoot\system32\DRIVERS\redbook.sys
      \SystemRoot\system32\drivers\smwdm.sys
      \SystemRoot\system32\drivers\aeaudio.sys
      \SystemRoot\system32\DRIVERS\usbohci.sys
      \SystemRoot\system32\DRIVERS\USBPORT.SYS
      \SystemRoot\system32\DRIVERS\usbehci.sys
      \SystemRoot\system32\DRIVERS\sisnic.sys
      \SystemRoot\system32\DRIVERS\audstub.sys
      \SystemRoot\system32\DRIVERS\rasl2tp.sys
      \SystemRoot\system32\DRIVERS\ndistapi.sys
      \SystemRoot\system32\DRIVERS\ndiswan.sys
      \SystemRoot\system32\DRIVERS\raspppoe.sys
      \SystemRoot\system32\DRIVERS\raspptp.sys
      \SystemRoot\system32\DRIVERS\TDI.SYS
      \SystemRoot\system32\DRIVERS\psched.sys
      \SystemRoot\system32\DRIVERS\msgpc.sys
      \SystemRoot\system32\DRIVERS\ptilink.sys
      \SystemRoot\system32\DRIVERS\raspti.sys
      \SystemRoot\system32\DRIVERS\termdd.sys
      \SystemRoot\system32\DRIVERS\kbdclass.sys
      \SystemRoot\system32\DRIVERS\mouclass.sys
      \SystemRoot\system32\DRIVERS\swenum.sys
      \SystemRoot\system32\DRIVERS\update.sys
      \SystemRoot\system32\DRIVERS\mssmbios.sys
      \SystemRoot\System32\Drivers\NDProxy.SYS
      \SystemRoot\system32\DRIVERS\flpydisk.sys
      \SystemRoot\system32\DRIVERS\usbhub.sys
      \SystemRoot\system32\DRIVERS\USBD.SYS
      \SystemRoot\System32\Drivers\Fs_Rec.SYS
      \SystemRoot\System32\Drivers\Null.SYS
      \SystemRoot\System32\Drivers\Beep.SYS
      \SystemRoot\system32\DRIVERS\ehdrv.sys
      \SystemRoot\system32\DRIVERS\HIDPARSE.SYS
      \SystemRoot\System32\drivers\vga.sys
      \SystemRoot\System32\Drivers\mnmdd.SYS
      \SystemRoot\System32\DRIVERS\RDPCDD.sys
      \SystemRoot\System32\Drivers\Msfs.SYS
      \SystemRoot\System32\Drivers\Npfs.SYS
      \SystemRoot\system32\DRIVERS\rasacd.sys
      \SystemRoot\system32\DRIVERS\ipsec.sys
      \SystemRoot\system32\DRIVERS\tcpip.sys
      \SystemRoot\system32\DRIVERS\netbt.sys
      \SystemRoot\system32\DRIVERS\wanarp.sys
      \SystemRoot\system32\DRIVERS\ipnat.sys
      \SystemRoot\system32\DRIVERS\epfwtdir.sys
      \SystemRoot\System32\drivers\ws2ifsl.sys
      \SystemRoot\System32\drivers\afd.sys
      \SystemRoot\system32\DRIVERS\netbios.sys
      \SystemRoot\system32\DRIVERS\rdbss.sys
      \SystemRoot\system32\DRIVERS\mrxsmb.sys
      \SystemRoot\System32\Drivers\Fips.SYS
      \SystemRoot\system32\DRIVERS\usbccgp.sys
      \SystemRoot\system32\DRIVERS\hidusb.sys
      \SystemRoot\system32\DRIVERS\HIDCLASS.SYS
      \SystemRoot\system32\DRIVERS\LHidFilt.Sys
      \SystemRoot\system32\DRIVERS\WDFLDR.SYS
      \SystemRoot\system32\DRIVERS\Wdf01000.sys
      \SystemRoot\system32\DRIVERS\kbdhid.sys
      \SystemRoot\system32\DRIVERS\LKbdFlt2.sys
      \SystemRoot\system32\DRIVERS\mouhid.sys
      \SystemRoot\system32\DRIVERS\LMouFilt.Sys
      \SystemRoot\system32\DRIVERS\LMouFlt2.sys
      \SystemRoot\System32\Drivers\Cdfs.SYS
      \SystemRoot\System32\Drivers\dump_atapi.sys
      \SystemRoot\System32\Drivers\dump_WMILIB.SYS
      \SystemRoot\System32\win32k.sys
      \SystemRoot\System32\drivers\Dxapi.sys
      \SystemRoot\System32\watchdog.sys
      \SystemRoot\System32\drivers\dxg.sys
      \SystemRoot\System32\drivers\dxgthk.sys
      \SystemRoot\System32\ati2dvag.dll
      \SystemRoot\System32\ati2cqag.dll
      \SystemRoot\System32\atikvmag.dll
      \SystemRoot\System32\ati3duag.dll
      \SystemRoot\System32\ativvaxx.dll
      \SystemRoot\System32\ATMFD.DLL
      \SystemRoot\system32\DRIVERS\eamon.sys
      \??\C:\WINDOWS\system32\drivers\mbam.sys
      \SystemRoot\system32\DRIVERS\fssfltr_tdi.sys
      \SystemRoot\system32\DRIVERS\ndisuio.sys
      \SystemRoot\system32\DRIVERS\mrxdav.sys
      \SystemRoot\System32\Drivers\ParVdm.SYS
      \??\C:\WINDOWS\system32\drivers\aslm75.sys
      \SystemRoot\system32\DRIVERS\srv.sys
      \SystemRoot\system32\drivers\wdmaud.sys
      \SystemRoot\system32\drivers\sysaudio.sys
      \??\C:\WINDOWS\system32\FsUsbExDisk.SYS
      \SystemRoot\System32\Drivers\HTTP.sys
      \SystemRoot\system32\drivers\kmixer.sys
      \??\C:\WINDOWS\system32\drivers\mbamchameleon.sys
      \??\C:\WINDOWS\system32\drivers\mbamswissarmy.sys
      \WINDOWS\system32\ntdll.dll
      ----------- End -----------
      <<<1>>>
      Upper Device Name: \Device\Harddisk2\DR2
      Upper Device Object: 0xffffffff898d7ab8
      Upper Device Driver Name: \Driver\Disk\
      Lower Device Name: \Device\Ide\IdeDeviceP1T1L0-20\
      Lower Device Object: 0xffffffff898d8d98
      Lower Device Driver Name: \Driver\atapi\
      Driver name found: atapi
      Initialization returned 0x0
      Load Function returned 0x0
      <<<1>>>
      Upper Device Name: \Device\Harddisk1\DR1
      Upper Device Object: 0xffffffff898a7ab8
      Upper Device Driver Name: \Driver\Disk\
      Lower Device Name: \Device\Ide\IdeDeviceP0T1L0-c\
      Lower Device Object: 0xffffffff898c1b00
      Lower Device Driver Name: \Driver\atapi\
      Driver name found: atapi
      <<<1>>>
      Upper Device Name: \Device\Harddisk0\DR0
      Upper Device Object: 0xffffffff898a8ab8
      Upper Device Driver Name: \Driver\Disk\
      Lower Device Name: \Device\Ide\IdeDeviceP0T0L0-4\
      Lower Device Object: 0xffffffff898db940
      Lower Device Driver Name: \Driver\atapi\
      Driver name found: atapi
      Downloaded database version: v2013.02.20.07
      Initializing...
      Done!
      <<<2>>>
      Device number: 0, partition: 1
      Physical Sector Size: 512
      Drive: 0, DevicePointer: 0xffffffff898a8ab8, DeviceName: \Device\Harddisk0\DR0\, DriverName: \Driver\Disk\
      --------- Disk Stack ------
      DevicePointer: 0xffffffff898d8920, DeviceName: Unknown, DriverName: \Driver\sisperf\
      DevicePointer: 0xffffffff898c1e08, DeviceName: Unknown, DriverName: \Driver\PartMgr\
      DevicePointer: 0xffffffff898a8ab8, DeviceName: \Device\Harddisk0\DR0\, DriverName: \Driver\Disk\
      DevicePointer: 0xffffffff898e23d0, DeviceName: \Device\0000005e\, DriverName: \Driver\ACPI\
      DevicePointer: 0xffffffff898db940, DeviceName: \Device\Ide\IdeDeviceP0T0L0-4\, DriverName: \Driver\atapi\
      ------------ End ----------
      Alternate DeviceName: Unknown, DriverName: \Driver\PartMgr\
      Upper DeviceData: 0xffffffffe15f7c08, 0xffffffff898a8ab8, 0xffffffff88ecaab8
      Lower DeviceData: 0xffffffffe17f9e80, 0xffffffff898db940, 0xffffffff88e5e2e8
      <<<3>>>
      Volume: C:
      File system type: NTFS
      SectorSize = 512, ClusterSize = 4096, MFTRecordSize = 1024, MFTIndexSize = 4096 bytes
      Scanning directory: C:\WINDOWS\system32\drivers...
      <<<2>>>
      Device number: 0, partition: 1
      <<<3>>>
      Volume: C:
      File system type: NTFS
      SectorSize = 512, ClusterSize = 4096, MFTRecordSize = 1024, MFTIndexSize = 4096 bytes
      Done!
      Drive 0
      Scanning MBR on drive 0...
      Inspecting partition table:
      MBR Signature: 55AA
      Disk Signature: C7BFC7BF

      Partition information:

      Partition 0 type is Primary (0x7)
      Partition is ACTIVE.
      Partition starts at LBA: 63 Numsec = 240091362
      Partition file system is NTFS
      Partition is bootable

      Partition 1 type is Empty (0x0)
      Partition is NOT ACTIVE.
      Partition starts at LBA: 0 Numsec = 0

      Partition 2 type is Empty (0x0)
      Partition is NOT ACTIVE.
      Partition starts at LBA: 0 Numsec = 0

      Partition 3 type is Empty (0x0)
      Partition is NOT ACTIVE.
      Partition starts at LBA: 0 Numsec = 0

      Disk Size: 122942324736 bytes
      Sector size: 512 bytes

      Scanning physical sectors of unpartitioned space on drive 0 (1-62-240101728-240121728)...
      Physical Sector Size: 512
      Drive: 1, DevicePointer: 0xffffffff898a7ab8, DeviceName: \Device\Harddisk1\DR1\, DriverName: \Driver\Disk\
      --------- Disk Stack ------
      DevicePointer: 0xffffffff898c0920, DeviceName: Unknown, DriverName: \Driver\sisperf\
      DevicePointer: 0xffffffff898a6e08, DeviceName: Unknown, DriverName: \Driver\PartMgr\
      DevicePointer: 0xffffffff898a7ab8, DeviceName: \Device\Harddisk1\DR1\, DriverName: \Driver\Disk\
      DevicePointer: 0xffffffff898aeb80, DeviceName: \Device\0000005f\, DriverName: \Driver\ACPI\
      DevicePointer: 0xffffffff898c1b00, DeviceName: \Device\Ide\IdeDeviceP0T1L0-c\, DriverName: \Driver\atapi\
      ------------ End ----------
      Alternate DeviceName: Unknown, DriverName: \Driver\PartMgr\
      Upper DeviceData: 0xffffffffe1d96180, 0xffffffff898a7ab8, 0xffffffff88da2ab8
      Lower DeviceData: 0xffffffffe2589ad0, 0xffffffff898c1b00, 0xffffffff88cc2900
      Drive 1
      Scanning MBR on drive 1...
      Inspecting partition table:
      MBR Signature: 55AA
      Disk Signature: 39A36C8B

      Partition information:

      Partition 0 type is Primary (0x7)
      Partition is ACTIVE.
      Partition starts at LBA: 63 Numsec = 488392002
      Partition file system is NTFS
      Partition is not bootable

      Partition 1 type is Empty (0x0)
      Partition is NOT ACTIVE.
      Partition starts at LBA: 0 Numsec = 0

      Partition 2 type is Empty (0x0)
      Partition is NOT ACTIVE.
      Partition starts at LBA: 0 Numsec = 0

      Partition 3 type is Empty (0x0)
      Partition is NOT ACTIVE.
      Partition starts at LBA: 0 Numsec = 0

      Disk Size: 250059350016 bytes
      Sector size: 512 bytes

      Physical Sector Size: 512
      Drive: 2, DevicePointer: 0xffffffff898d7ab8, DeviceName: \Device\Harddisk2\DR2\, DriverName: \Driver\Disk\
      --------- Disk Stack ------
      DevicePointer: 0xffffffff898a4920, DeviceName: Unknown, DriverName: \Driver\sisperf\
      DevicePointer: 0xffffffff898a6bf0, DeviceName: Unknown, DriverName: \Driver\PartMgr\
      DevicePointer: 0xffffffff898d7ab8, DeviceName: \Device\Harddisk2\DR2\, DriverName: \Driver\Disk\
      DevicePointer: 0xffffffff898c4350, DeviceName: \Device\00000061\, DriverName: \Driver\ACPI\
      DevicePointer: 0xffffffff898d8d98, DeviceName: \Device\Ide\IdeDeviceP1T1L0-20\, DriverName: \Driver\atapi\
      ------------ End ----------
      Alternate DeviceName: Unknown, DriverName: \Driver\PartMgr\
      Upper DeviceData: 0xffffffffe13cf330, 0xffffffff898d7ab8, 0xffffffff88301320
      Lower DeviceData: 0xffffffffe1967c08, 0xffffffff898d8d98, 0xffffffff88f33850
      Drive 2
      Scanning MBR on drive 2...
      Inspecting partition table:
      MBR Signature: 55AA
      Disk Signature: 36A092

      Partition information:

      Partition 0 type is Primary (0x7)
      Partition is ACTIVE.
      Partition starts at LBA: 63 Numsec = 625137282
      Partition file system is NTFS
      Partition is bootable

      Partition 1 type is Empty (0x0)
      Partition is NOT ACTIVE.
      Partition starts at LBA: 0 Numsec = 0

      Partition 2 type is Empty (0x0)
      Partition is NOT ACTIVE.
      Partition starts at LBA: 0 Numsec = 0

      Partition 3 type is Empty (0x0)
      Partition is NOT ACTIVE.
      Partition starts at LBA: 0 Numsec = 0

      Disk Size: 320072933376 bytes
      Sector size: 512 bytes

      Done!
      Performing system, memory and registry scan...
      Infected: c:\WINDOWS\Installer\{c11aaa96-4350-8df2-30a6-3c7e2b2d9352}\L --> [Backdoor.0Access]
      Infected: c:\WINDOWS\Installer\{c11aaa96-4350-8df2-30a6-3c7e2b2d9352}\U --> [Backdoor.0Access]
      Done!
      Scan finished
      Creating System Restore point...
      Scheduling clean up...
      <<<2>>>
      Device number: 0, partition: 1
      <<<3>>>
      Volume: C:
      File system type: NTFS
      SectorSize = 512, ClusterSize = 4096, MFTRecordSize = 1024, MFTIndexSize = 4096 bytes
      Removal successful. No system shutdown is required.
      =======================================




      El mbar-log

      Malwarebytes Anti-Rootkit BETA 1.01.0.1020
      Malwarebytes : Free anti-malware download

      Database version: v2013.02.20.07

      Windows XP Service Pack 3 x86 NTFS
      Internet Explorer 7.0.5730.13
      Pepe :: MAZIN [administrator]

      20/02/2013 21:25:48
      mbar-log-2013-02-20 (21-25-48).txt

      Scan type: Quick scan
      Scan options enabled: Memory | Startup | Registry | File System | Heuristics/Extra | Heuristics/Shuriken | PUP | PUM | P2P
      Scan options disabled:
      Objects scanned: 27696
      Time elapsed: 30 minute(s), 5 second(s)

      Memory Processes Detected: 0
      (No malicious items detected)

      Memory Modules Detected: 0
      (No malicious items detected)

      Registry Keys Detected: 0
      (No malicious items detected)

      Registry Values Detected: 0
      (No malicious items detected)

      Registry Data Items Detected: 0
      (No malicious items detected)

      Folders Detected: 2
      c:\WINDOWS\Installer\{c11aaa96-4350-8df2-30a6-3c7e2b2d9352}\L (Backdoor.0Access) -> Delete on reboot.
      c:\WINDOWS\Installer\{c11aaa96-4350-8df2-30a6-3c7e2b2d9352}\U (Backdoor.0Access) -> Delete on reboot.

      Files Detected: 0
      (No malicious items detected)

      (end)

    7. #7
      Moderador Gral.
      Avatar de @Javier_HF
      Registrado
      jun 2006
      Ubicación
      Spain.
      Mensajes
      21.692

      Re: Suceso extraño en escritorio + actualizaciones XP tras desinfectar sirefef.EV

      Como has visto el proceso encontró infecciones, y ahora dinos como sigue el problema que tenias inicialmente con el equipo.???

      Saludos.
      Quien no lo intenta no lo consigue | ;-)

      * Síguenos en nuestro Twitter y hazte nuestro amigo en Facebook.
      * Infórmate de las ultimas amenazas de la red desde: InfoSpyware Blog
      * No se resuelven dudas por Privados ni por E-mail, ya que para eso esta el foro.

    8. #8
      Usuario Avatar de elnico
      Registrado
      feb 2013
      Ubicación
      españa-hospitalet
      Mensajes
      9

      Re: Suceso extraño en escritorio + actualizaciones XP tras desinfectar sirefef.EV

      Lo del escritorio esta arreglado y ya me bajan las actualizaciones. parece que todo esta ok

    9. #9
      Moderador Gral.
      Avatar de @Javier_HF
      Registrado
      jun 2006
      Ubicación
      Spain.
      Mensajes
      21.692

      Re: Suceso extraño en escritorio + actualizaciones XP tras desinfectar sirefef.EV

      Realiza este otro proceso para verificar si queda algun resto :

      Ejecuta un análisis con >> ESET Online, al finalizar guardas el informe.

      Reinicia tu PC, y nos pones el informe de Eset Online.

      Acuérdate de comentarnos como funciona tu equipo.

      Saludos, Javier.
      Quien no lo intenta no lo consigue | ;-)

      * Síguenos en nuestro Twitter y hazte nuestro amigo en Facebook.
      * Infórmate de las ultimas amenazas de la red desde: InfoSpyware Blog
      * No se resuelven dudas por Privados ni por E-mail, ya que para eso esta el foro.

    10. #10
      Usuario Avatar de elnico
      Registrado
      feb 2013
      Ubicación
      españa-hospitalet
      Mensajes
      9

      Re: Suceso extraño en escritorio + actualizaciones XP tras desinfectar sirefef.EV

      Voy a pasar el antivirus pero cada vez que que arranco el pc el ad-aware me avisa de un intento de modificacion del registro por un archivo que creo que es del combofix.

      a ver si me explicas como desinstalarlo. Te dejo el reporte del ad


      Archivo de registro de Ad-Watch exportado a 21/02/2013
      Número total de eventos:4
      ===============================================
      21/02/2013 21:09:15 - Definitions file SE1R298 16.10.2008 loaded successfully.
      Build:SE1R298 16.10.2008
      Total Signatures :490374
      Target Families :2408
      Target Categories :6
      CSI data Size :1072496

      File Size :19476623

      ===============================================
      21/02/2013 21:09:15 - User preferences file loaded.
      Ad-Watch preference file loaded.
      Applying user settings
      C:\Documents and Settings\Pepe\Datos de programa\Lavasoft\Ad-Aware\awsettings.awc
      Initialization complete.




      ===============================================
      21/02/2013 21:09:16 - Archivo de sitios cargado.
      Archivo de sitios cargado correctamente.
      C:\Archivos de programa\Lavasoft\Ad-Aware SE Professional\sites.txt
      Entradas totales: 3223





      ===============================================
      21/02/2013 21:16:35 - Detectada una modificación del registro
      Raíz:HKEY_LOCAL_MACHINE
      Clave:Software\Microsoft\Windows\CurrentVersion\Run
      Valor:DWQueuedReporting
      Dato:
      Nuevo dato:"C:\ARCHIV~1\ARCHIV~1\MICROS~1\DW\dwtrig20.exe" -t



      ===============================================

    Página 1 de 2 12 ÚltimoÚltimo