Foro Spyware
> Foro Spyware > Seguridad informatica > Foro de Virus y Spywares > Posible infección
Etiquetas Registrarse Ayuda Miembros Calendario Marcar Foros Como Leídos

Posible infección

Este es un debate sobre Posible infección escrito en el foro Foro de Virus y Spywares, parte de la categoria Seguridad informatica ; Hola, es la primera vez que participo en el foro y no tengo mucha idea. Desde ayer estoy mosqueada con ...

Foro de Virus y Spywares Foro dedicado a la Ayuda con Malware: Virus - Spywares - Troyanos - Adwares - Worms - Hijackers - Dialers - Rootkits - Keylogger - etc. Expón el problema en este foro.

Respuesta
Página 1 de 4 1 23 Last »

 

Herramientas Desplegado
  #1  
Antiguo 26-may-2010, 11:03
Junior Member
  
Fecha de Ingreso: mayo-2010
Mensajes: 17
Predeterminado Posible infección
Hola, es la primera vez que participo en el foro y no tengo mucha idea.

Desde ayer estoy mosqueada con mi miniportátil porque saltó la ventana del antivirus (McAfee de Telefónica) diciendo que había detectado "patched user32", sin ninguna acción y me indicaba un objeto, y el ordenador estaba medio bloqueado con mensajes de DrWatson y Explorer que tenían que cerrarse.

Desde la ventana de Programas Potencialmente no Deseados le di a borrar al objeto. No sé si antes o después de esto, me di cuenta de que me salía en la barra de herramientas que el Firewall de Windows estaba desactivado y lo volví a activar de nuevo. Reinicié y me salió mensaje de error del Kernel, y a partir de entonces no puedo activar el Firewall.

Si lo intento desde la barra de herramientas (centro de seguridad), me dice que no lo puede activar, que lo intente desde el Panel de Control. Si lo hago desde el Panel de Control, no me deja abrirlo y me dice que no puede mostrar orque no se está ejecutando el servicio asociado. Y si lo intento desde Servicios, me dice que el sistema no puede hallar el archivo especificado.

Para colmo de mi paranoia, hoy recibo un mail de servidores.net con el asunto: "VIRUS (Trojan.Generic.Bredolab.3232) in mail TO YOU from
<quietssf1@wolfram.com>", que no sé si es una tontería, pero no suelo recibir mensajes de este tipo.

Siento todo este rollo, pero necesitaría que alguien me ayudara a solucionarlo (a ser posible con explicaciones para casi-tontos) y verificar si está infectado o no, ya que necesito usar el ordenador de forma habitual.

Muchas gracias.
Responder Citando
  #2  
Antiguo 26-may-2010, 16:44
Avatar de jbex
Administrador
  
Fecha de Ingreso: octubre-2007
Ubicación: Enkarterri - Las Encartaciones
Mensajes: 2.341
Predeterminado Respuesta: Posible infección
Hola blumen, empieza por restaurar el sistema a un momento anterior al problema que mencionas.

No indicas cual es tu SO, así que te dejo unos enlaces:
TRUCO Restaurar sistema en Windows XP
Restaurar sistema en Windows Vista
Restaurar sistema en Windows 7 | Windows 7

Descarga instala, actualiza y corre el Malwarebytes' Anti-Malware

Un saludo
__________________
Recuerda que antes de crear un tema o responder, debes leer las normas de uso de foro, para hacer un uso correcto del mismo.
¡Esto es un foro y no un móvil, cuida la escritura.!
Responder Citando
  #3  
Antiguo 26-may-2010, 19:28
Junior Member
  
Fecha de Ingreso: mayo-2010
Mensajes: 17
Predeterminado Respuesta: Posible infección
Gracias por contestar. Se me olvidó comentar que el SO es Windows XP y que le había dado a Restaurar el sistema.

He pasado el Malwarebytes' Anti-Malware que me comentaste y me aparecen varios objetos infectados, entre ellos claves de registro. No he tenido experiencia con virus hasta ahora y no tengo ni idea. ¿Se podría solucionar eliminando todo lo infectado o me podría cargar algo importante?

Gracias de nuevo.

--------- Incluyo parte del log, ¿sería de utilidad que incluyera todo el log con las Claves del Registro Infectadas? ---------
Claves del Registro Infectadas: 9
Valores del Registro Infectados: 1
Elementos de Datos del Registro Infectados: 1
Carpetas Infectadas: 1
Archivos Infectados: 14


Valores del Registro Infectados:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Network\uid (Malware.Trace) -> No action taken.

Elementos de Datos del Registro Infectados:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell (Hijack.Shell) -> Bad: (Explorer.exe RUNDLL32.EXE WSHBP) Good: (Explorer.exe) -> No action taken.

Carpetas Infectadas:
C:\WINDOWS\system32\lowsec (Stolen.data) -> No action taken.

Archivos Infectados:
c:\WINDOWS\system32\nylllze.dll (Trojan.BHO.H) -> No action taken.
C:\WINDOWS\system32\cooper.mine (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\htui32.dll (Trojan.Tracur) -> No action taken.
C:\WINDOWS\system32\msfldn32.exe (Trojan.Dropper) -> No action taken.
C:\WINDOWS\system32\drivers\nlmsmy.sys (Rootkit.Agent) -> No action taken.
C:\Documents and Settings\usuario\Configuración local\Temp\~TM4A3.tmp (Trojan.Downloader) -> No action taken.
C:\Documents and Settings\usuario\Configuración local\Temp\bohvby.exe (Virus.Virut) -> No action taken.
C:\Documents and Settings\usuario\Configuración local\Temp\daiu49ahx.exe (Trojan.Agent) -> No action taken.
C:\Documents and Settings\usuario\Configuración local\Temp\mwcsxnreoa.tmp (Trojan.Tracur) -> No action taken.
C:\Documents and Settings\usuario\Configuración local\Temp\wgvyd.exe (Virus.Virut) -> No action taken.
C:\Documents and Settings\usuario\Configuración local\Temp\001.exe (Trojan.Dropper) -> No action taken.
C:\Documents and Settings\usuario\Configuración local\Temp\1F0.tmp (Backdoor.Bot) -> No action taken.
C:\Documents and Settings\usuario\Configuración local\Temp\1F1.tmp (Trojan.Dropper) -> No action taken.
C:\Documents and Settings\usuario\Configuración local\Temp\837.exe (Trojan.Dropper) -> No action taken.
Última edición por blumen; 26-may-2010 a las 19:38. Razón: añadir info
Responder Citando
  #4  
Antiguo 26-may-2010, 20:22
Avatar de jbex
Administrador
  
Fecha de Ingreso: octubre-2007
Ubicación: Enkarterri - Las Encartaciones
Mensajes: 2.341
Predeterminado Respuesta: Posible infección
Hola blumen, si has restaurado el sistema y te salen aun infecciones al pasar el Malwarebytes' Anti-Malware, es que ya el sistema lo tenias infectado.

No tengas miedo en eliminar los archivos y claves del registro que te indica Malwarebytes' Anti-Malware, hasta el día de hoy no he encontrado a nadie al que le haya dado problemas dicho programa.
Mi consejo es que realices todos los pasos que indicamos en este hilo Consejos antes de pegar su log de HijackThis
Un saludo
__________________
Recuerda que antes de crear un tema o responder, debes leer las normas de uso de foro, para hacer un uso correcto del mismo.
¡Esto es un foro y no un móvil, cuida la escritura.!
Responder Citando
  #5  
Antiguo 02-jun-2010, 16:01
Junior Member
  
Fecha de Ingreso: mayo-2010
Mensajes: 17
Predeterminado Respuesta: Posible infección
Hola de nuevo: Estoy siguiendo los pasos que me aconsejaste: en modo seguro ya le pasé los antivirus: SpyBot S&D, SUPERAntiSpyware, Malwarebytes' Anti-Malware, ATF-Cleaner. Y después de más de 4 horas ejecutándose el Mwav Free Scan me aparece un mensaje de error:

----------
A problem has occured in eScan(DB Scanner. A file containing error information has been created at C:\DOCUMEN~1\usuario\CONFIG~1\Temp\eScan(DScanne r.dmp. You are strongly encouraged to send the file to the developers of the application for further investigation of the error.
------------

Más el mensaje de si quiero enviar informe de error a Microsoft. ¿Qué debo hacer? ¿Tengo que empezar de nuevo con este antivirus o seguir el resto de pasos?

Muchas gracias.
Responder Citando
  #6  
Antiguo 02-jun-2010, 16:29
Avatar de jbex
Administrador
  
Fecha de Ingreso: octubre-2007
Ubicación: Enkarterri - Las Encartaciones
Mensajes: 2.341
Predeterminado Respuesta: Posible infección
Sigue el resto de los pasos y si quieres envía el archivo como se te indica a los desarrolladores.

Cuando termines esos pasos, descarga el ComboFix y nos pones su log

Un saludo

PD: me acabo de fijar que editaste y pusiste información extra.
Cita:
Carpetas Infectadas:
C:\WINDOWS\system32\lowsec (Stolen.data) -> No action taken.

Archivos Infectados:
c:\WINDOWS\system32\nylllze.dll (Trojan.BHO.H) -> No action taken.
C:\WINDOWS\system32\cooper.mine (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\htui32.dll (Trojan.Tracur) -> No action taken.
C:\WINDOWS\system32\msfldn32.exe (Trojan.Dropper) -> No action taken.
C:\WINDOWS\system32\drivers\nlmsmy.sys (Rootkit.Agent) -> No action taken.
C:\Documents and Settings\usuario\Configuración local\Temp\~TM4A3.tmp (Trojan.Downloader) -> No action taken.
C:\Documents and Settings\usuario\Configuración local\Temp\bohvby.exe (Virus.Virut) -> No action taken.
C:\Documents and Settings\usuario\Configuración local\Temp\daiu49ahx.exe (Trojan.Agent) -> No action taken.
C:\Documents and Settings\usuario\Configuración local\Temp\mwcsxnreoa.tmp (Trojan.Tracur) -> No action taken.
C:\Documents and Settings\usuario\Configuración local\Temp\wgvyd.exe (Virus.Virut) -> No action taken.
C:\Documents and Settings\usuario\Configuración local\Temp\001.exe (Trojan.Dropper) -> No action taken.
C:\Documents and Settings\usuario\Configuración local\Temp\1F0.tmp (Backdoor.Bot) -> No action taken.
C:\Documents and Settings\usuario\Configuración local\Temp\1F1.tmp (Trojan.Dropper) -> No action taken.
C:\Documents and Settings\usuario\Configuración local\Temp\837.exe (Trojan.Dropper) -> No action taken.
Tienes que volver a correrlo y marcar elimine lo encontrado
__________________
Recuerda que antes de crear un tema o responder, debes leer las normas de uso de foro, para hacer un uso correcto del mismo.
¡Esto es un foro y no un móvil, cuida la escritura.!
Responder Citando
  #7  
Antiguo 02-jun-2010, 18:35
Junior Member
  
Fecha de Ingreso: mayo-2010
Mensajes: 17
Predeterminado Respuesta: Posible infección
Gracias.
Seguiré con los pasos. El mensaje lo edité al poco de publicarlo, antes de saber cuándo debía añadir los logs, por lo tanto no tienen valor al ser lo primero que eliminé.
Responder Citando
  #8  
Antiguo 02-jun-2010, 22:42
Junior Member
  
Fecha de Ingreso: mayo-2010
Mensajes: 17
Predeterminado Respuesta: Posible infección
Disculpad que sea tan pesada. Ya pasé a reiniciar en el modo normal y estoy en el paso de ejecutar antivirus online. De momento el BitDefender Online me dio el proceso winlogon.exe (756) afectado por Trojan.Proxy.Sebov.B y el Panda Active me ha dado 3 archivos infectados. Pero no tengo la opción de eliminarlos de forma online. Mientras, me ha saltado varios pop-up de mi MacAffe del proceso Iexplorer.exe.
Acción: Desbordamiento de búfer bloqueado
Estado: Este archivo no es seguro
Módulo: Ws2_32.socket
No tengo abierto el Internet Explorer, pero en el Administrador de Tareas sigue estando un proceso IEXPLORER.EXE en SYSTEM sin consumir CPU y unos 4.000KB de memoria. Si intento terminar el proceso me sale de nuevo el mensaje de desbordamiento, y sigue activo.
Mi duda es si debo hacer algo con este proceso ahora mismo o bien dejarlo hasta que termine con todos los pasos.
Gracias.
Responder Citando
  #9  
Antiguo 04-jun-2010, 09:50
Avatar de facaor
Expertos HijackThis
  
Fecha de Ingreso: octubre-2008
Ubicación: En un punto del planeta tierra
Mensajes: 1.603
Predeterminado Respuesta: Posible infección
Pasa: ComboFix y haz tambien: Sacar un log de Hijackthis para su análisis en el foro . Un saludo
__________________
Responder Citando
  #10  
Antiguo 04-jun-2010, 22:08
Junior Member
  
Fecha de Ingreso: mayo-2010
Mensajes: 17
Predeterminado Respuesta: Posible infección
Muchas graacias. Adjunto el log de ComboFix. Antes de ejecutarlo, deshabilité mi McAffee de telefónica desde "servicios", espero no haberme cargado nada :-s
Mientras se ejecutaba, salió un mensaje diciendo que "PEV.exe ha detectado un problema y debe cerrarse", le dí a 'depurar' y siguió ejecutando.

Voy a desinstalar ComboFix y probar con HijackThis.

Gracias de nuevo.

----------------------------

ComboFix 10-06-03.01 - usuario 04/06/2010 21:20:01.1.1 - x86
Microsoft Windows XP Home Edition 5.1.2600.3.1252.34.3082.18.1015.588 [GMT 2:00]
Running from: d:\distr\_____ComboFix\ComboFix.exe
AV: Total Protection *On-access scanning disabled* (Updated) {8C354827-2F54-4E28-90DC-AD391E77808C}

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
.

((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\documents and settings\All Users\Documentos\Settings
c:\windows\regedit.com
c:\windows\system32\896799033.dat
c:\windows\system32\drivers\zrtzuxis.sys
c:\windows\system32\taskmgr.com
c:\windows\system32\Thumbs.db

Infected copy of c:\windows\system32\drivers\tcpip.sys was found and disinfected
Restored copy from - Kitty had a snack
.
((((((((((((((((((((((((( Files Created from 2010-05-04 to 2010-06-04 )))))))))))))))))))))))))))))))
.

2010-06-04 19:22 . 2010-06-04 19:22 -------- d-----w- c:\windows\LastGood
2010-06-04 09:20 . 2010-06-04 09:20 -------- d---a-w- c:\windows\rundll16.exe
2010-06-04 09:20 . 2010-06-04 09:20 -------- d---a-w- c:\windows\logo1_.exe
2010-06-02 20:54 . 2010-06-02 20:54 -------- d-----w- c:\documents and settings\All Users\Datos de programa\F-Secure
2010-06-02 18:24 . 2009-06-30 07:37 28552 ----a-w- c:\windows\system32\drivers\pavboot.sys
2010-06-02 18:22 . 2010-06-02 18:22 -------- d-----w- c:\archivos de programa\Panda Security
2010-06-02 17:59 . 2010-06-02 18:05 -------- d-----w- c:\documents and settings\usuario\Datos de programa\QuickScan
2010-06-02 08:45 . 2010-06-02 08:47 5256973 ----a-w- c:\windows\REGBK00.ZIP
2010-06-01 19:51 . 2010-06-01 19:51 503808 ----a-w- c:\documents and settings\usuario\Datos de programa\Sun\Java\Deployment\cache\6.0\46\f84c6ae-435db022-n\msvcp71.dll
2010-06-01 19:51 . 2010-06-01 19:51 348160 ----a-w- c:\documents and settings\usuario\Datos de programa\Sun\Java\Deployment\cache\6.0\46\f84c6ae-435db022-n\msvcr71.dll
2010-06-01 19:51 . 2010-06-01 19:51 499712 ----a-w- c:\documents and settings\usuario\Datos de programa\Sun\Java\Deployment\cache\6.0\46\f84c6ae-435db022-n\jmc.dll
2010-05-27 14:09 . 2010-05-27 14:09 -------- d---a-w- c:\windows\VDLL.DLL
2010-05-27 14:09 . 2010-05-27 14:09 -------- d---a-w- c:\windows\system32\runouce.exe
2010-05-27 14:09 . 2010-05-27 14:09 -------- d---a-w- c:\windows\RUNDL132.EXE
2010-05-27 14:09 . 2010-05-27 14:09 -------- d---a-w- c:\windows\logo_1.exe
2010-05-27 14:02 . 2010-05-27 14:02 632064 ----a-w- c:\windows\system32\msvcr80.dll
2010-05-27 14:02 . 2010-05-27 14:02 554240 ----a-w- c:\windows\system32\msvcp80.dll
2010-05-27 14:02 . 2010-05-27 14:02 34048 ----a-w- c:\windows\system32\eEmpty.exe
2010-05-27 14:02 . 2008-04-14 12:00 152064 ----a-w- c:\windows\R.COM
2010-05-27 14:02 . 2008-04-14 12:00 141312 ----a-w- c:\windows\system32\T.COM
2010-05-27 14:02 . 2010-05-27 14:02 -------- d-----w- c:\archivos de programa\Archivos comunes\MicroWorld
2010-05-27 14:02 . 2010-05-27 14:02 -------- d-----w- c:\documents and settings\All Users\Datos de programa\MicroWorld
2010-05-27 13:58 . 2010-05-27 13:59 -------- d-----w- c:\archivos de programa\CCleaner
2010-05-27 13:54 . 2010-06-04 18:12 63488 ----a-w- c:\documents and settings\usuario\Datos de programa\SUPERAntiSpyware.com\SUPERAntiSpyware\SDD LLS\SD10006.dll
2010-05-27 13:54 . 2010-05-27 13:54 52224 ----a-w- c:\documents and settings\usuario\Datos de programa\SUPERAntiSpyware.com\SUPERAntiSpyware\SDD LLS\SD10005.dll
2010-05-27 13:54 . 2010-06-04 18:12 117760 ----a-w- c:\documents and settings\usuario\Datos de programa\SUPERAntiSpyware.com\SUPERAntiSpyware\SDD LLS\UIREPAIR.DLL
2010-05-27 13:53 . 2010-05-27 13:53 -------- d-----w- c:\documents and settings\usuario\Datos de programa\SUPERAntiSpyware.com
2010-05-27 13:53 . 2010-05-27 13:53 -------- d-----w- c:\documents and settings\All Users\Datos de programa\SUPERAntiSpyware.com
2010-05-27 13:52 . 2010-05-27 13:52 -------- d-----w- c:\archivos de programa\SUPERAntiSpyware
2010-05-27 13:29 . 2010-05-28 08:48 -------- d-----w- c:\documents and settings\All Users\Datos de programa\Spybot - Search & Destroy
2010-05-27 13:29 . 2010-05-27 13:46 -------- d-----w- c:\archivos de programa\Spybot - Search & Destroy
2010-05-26 16:56 . 2010-05-26 16:56 -------- d-----w- c:\documents and settings\usuario\Datos de programa\Malwarebytes
2010-05-26 16:55 . 2010-04-29 13:39 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2010-05-26 16:55 . 2010-05-26 16:55 -------- d-----w- c:\documents and settings\All Users\Datos de programa\Malwarebytes
2010-05-26 16:55 . 2010-04-29 13:39 20952 ----a-w- c:\windows\system32\drivers\mbam.sys
2010-05-26 16:55 . 2010-05-26 17:18 -------- d-----w- c:\archivos de programa\Malwarebytes' Anti-Malware
2010-05-26 08:09 . 2010-05-26 08:09 -------- d-s---w- c:\documents and settings\NetworkService\UserData
2010-05-25 19:58 . 2010-05-25 19:58 -------- d-----w- c:\windows\system32\wbem\Repository
2010-05-19 09:17 . 2010-05-19 09:17 -------- d-----w- c:\archivos de programa\ratDVD
2010-05-18 20:13 . 2010-05-18 20:13 1802240 ----a-w- c:\documents and settings\usuario\Datos de programa\GRETECH\GomPlayer\GrLauncherTempSetup.exe
2010-05-18 20:13 . 2007-03-22 10:46 126976 ----a-w- c:\documents and settings\usuario\Datos de programa\GRETECH\GomPlayer\GrLauncher.exe

.
(((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))) ))
.
2010-06-02 17:51 . 2008-07-09 18:14 69112 ----a-w- c:\windows\system32\perfc00A.dat
2010-06-02 17:51 . 2008-07-09 18:14 440278 ----a-w- c:\windows\system32\perfh00A.dat
2010-05-22 06:29 . 2010-02-22 21:45 -------- d-----w- c:\archivos de programa\JDownloader
2010-05-11 10:25 . 2009-10-08 12:04 -------- d-----w- c:\documents and settings\usuario\Datos de programa\EditPlus 3
2010-04-22 12:20 . 2009-04-22 00:17 14716 ----a-w- c:\documents and settings\usuario\Datos de programa\wklnhst.dat
2010-04-19 18:49 . 2009-05-16 13:10 1 ----a-w- c:\documents and settings\usuario\Datos de programa\StarOffice8\user\uno_packages\cache\stamp .sys
2010-04-19 17:36 . 2009-04-21 13:24 -------- d-----w- c:\documents and settings\usuario\Datos de programa\StarOffice8
2010-04-14 13:17 . 2009-12-05 21:50 79488 ----a-w- c:\documents and settings\usuario\Datos de programa\Sun\Java\jre1.6.0_17\gtapi.dll
2008-09-29 16:26 . 2009-10-10 21:09 114559 ----a-w- c:\archivos de programa\Photoshop CS4 — Lisez-moi.pdf
2008-09-29 16:02 . 2009-10-10 21:09 111058 ----a-w- c:\archivos de programa\Photoshop CS4 - Bitte lesen.pdf
2008-09-18 16:21 . 2009-10-10 21:09 95242 ----a-w- c:\archivos de programa\Leia-me do Photoshop CS4.pdf
2008-09-17 00:08 . 2009-10-10 21:09 65686 ----a-w- c:\archivos de programa\Photoshop CS4 Read Me.pdf
2008-09-11 16:50 . 2009-10-10 21:09 112190 ----a-w- c:\archivos de programa\Lees mij voor Photoshop CS4.pdf
2008-09-11 16:50 . 2009-10-10 21:09 111313 ----a-w- c:\archivos de programa\Leggimi di Photoshop CS4.pdf
2008-09-11 16:47 . 2009-10-10 21:09 103148 ----a-w- c:\archivos de programa\Léame de Photoshop CS4.pdf
2008-05-07 08:34 . 2008-07-14 12:53 15523560 ----a-w- c:\archivos de programa\U1 Setup.exe
.

((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown
REGEDIT4

[HKEY_LOCAL_MACHINE\software\microsoft\windows\curr entversion\explorer\shelliconoverlayidentifiers\1T ortoiseNormal]
@="{C5994560-53D9-4125-87C9-F193FC689CB2}"
[HKEY_CLASSES_ROOT\CLSID\{C5994560-53D9-4125-87C9-F193FC689CB2}]
2009-08-13 17:55 85768 ----a-w- c:\archivos de programa\Archivos comunes\TortoiseOverlays\TortoiseOverlays.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows\curr entversion\explorer\shelliconoverlayidentifiers\2T ortoiseModified]
@="{C5994561-53D9-4125-87C9-F193FC689CB2}"
[HKEY_CLASSES_ROOT\CLSID\{C5994561-53D9-4125-87C9-F193FC689CB2}]
2009-08-13 17:55 85768 ----a-w- c:\archivos de programa\Archivos comunes\TortoiseOverlays\TortoiseOverlays.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows\curr entversion\explorer\shelliconoverlayidentifiers\3T ortoiseConflict]
@="{C5994562-53D9-4125-87C9-F193FC689CB2}"
[HKEY_CLASSES_ROOT\CLSID\{C5994562-53D9-4125-87C9-F193FC689CB2}]
2009-08-13 17:55 85768 ----a-w- c:\archivos de programa\Archivos comunes\TortoiseOverlays\TortoiseOverlays.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows\curr entversion\explorer\shelliconoverlayidentifiers\4T ortoiseLocked]
@="{C5994563-53D9-4125-87C9-F193FC689CB2}"
[HKEY_CLASSES_ROOT\CLSID\{C5994563-53D9-4125-87C9-F193FC689CB2}]
2009-08-13 17:55 85768 ----a-w- c:\archivos de programa\Archivos comunes\TortoiseOverlays\TortoiseOverlays.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows\curr entversion\explorer\shelliconoverlayidentifiers\5T ortoiseReadOnly]
@="{C5994564-53D9-4125-87C9-F193FC689CB2}"
[HKEY_CLASSES_ROOT\CLSID\{C5994564-53D9-4125-87C9-F193FC689CB2}]
2009-08-13 17:55 85768 ----a-w- c:\archivos de programa\Archivos comunes\TortoiseOverlays\TortoiseOverlays.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows\curr entversion\explorer\shelliconoverlayidentifiers\6T ortoiseDeleted]
@="{C5994565-53D9-4125-87C9-F193FC689CB2}"
[HKEY_CLASSES_ROOT\CLSID\{C5994565-53D9-4125-87C9-F193FC689CB2}]
2009-08-13 17:55 85768 ----a-w- c:\archivos de programa\Archivos comunes\TortoiseOverlays\TortoiseOverlays.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows\curr entversion\explorer\shelliconoverlayidentifiers\7T ortoiseAdded]
@="{C5994566-53D9-4125-87C9-F193FC689CB2}"
[HKEY_CLASSES_ROOT\CLSID\{C5994566-53D9-4125-87C9-F193FC689CB2}]
2009-08-13 17:55 85768 ----a-w- c:\archivos de programa\Archivos comunes\TortoiseOverlays\TortoiseOverlays.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows\curr entversion\explorer\shelliconoverlayidentifiers\8T ortoiseIgnored]
@="{C5994567-53D9-4125-87C9-F193FC689CB2}"
[HKEY_CLASSES_ROOT\CLSID\{C5994567-53D9-4125-87C9-F193FC689CB2}]
2009-08-13 17:55 85768 ----a-w- c:\archivos de programa\Archivos comunes\TortoiseOverlays\TortoiseOverlays.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows\curr entversion\explorer\shelliconoverlayidentifiers\9T ortoiseUnversioned]
@="{C5994568-53D9-4125-87C9-F193FC689CB2}"
[HKEY_CLASSES_ROOT\CLSID\{C5994568-53D9-4125-87C9-F193FC689CB2}]
2009-08-13 17:55 85768 ----a-w- c:\archivos de programa\Archivos comunes\TortoiseOverlays\TortoiseOverlays.dll

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\Run]
"SpybotSD TeaTimer"="c:\archivos de programa\Spybot - Search & Destroy\TeaTimer.exe" [2009-03-05 2260480]
"SUPERAntiSpyware"="c:\archivos de programa\SUPERAntiSpyware\SUPERAntiSpyware.exe" [2010-05-18 2397424]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2007-09-24 104984]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2007-09-24 121368]
"Persistence"="c:\windows\system32\igfxpers.ex e" [2007-09-24 100888]
"AsusTray"="c:\archivos de programa\EeePC\ACPI\AsTray.exe" [2008-06-03 98304]
"AsusACPIServer"="c:\archivos de programa\EeePC\ACPI\AsAcpiSvr.exe" [2008-06-03 479232]
"AsusEPCMonitor"="c:\archivos de programa\EeePC\ACPI\AsEPCMon.exe" [2008-05-20 94208]
"SunJavaUpdateSched"="c:\archivos de programa\Java\jre6\bin\jusched.exe" [2009-05-19 148888]
"MVS Splash"="c:\archivos de programa\McAfee\Managed VirusScan\Agent\Splash.exe" [2009-05-17 468288]
"McAfee Managed Services Tray"="c:\archivos de programa\McAfee\Managed VirusScan\Agent\StartMyagtTry.exe" [2009-05-17 87360]
"RTHDCPL"="RTHDCPL.EXE" [2008-06-13 16871936]
"SoundMan"="SOUNDMAN.EXE" [2006-07-21 86016]
"AlcWzrd"="ALCWZRD.EXE" [2006-05-04 2808832]
"AdobeCS4ServiceManager"="c:\archivos de programa\Archivos comunes\Adobe\CS4ServiceManager\CS4ServiceManager. exe" [2008-08-14 611712]
"Adobe Reader Speed Launcher"="c:\archivos de programa\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-10-14 39792]
"QuickTime Task"="c:\archivos de programa\QuickTime\QTTask.exe" [2009-11-10 417792]
"iTunesHelper"="c:\archivos de programa\iTunes\iTunesHelper.exe" [2010-01-22 141608]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\Cur rentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
"msnmsgr"="c:\archivos de programa\Windows Live\Messenger\msnmsgr.exe" [2007-10-18 5724184]

c:\documents and settings\All Users\Men£ Inicio\Programas\Inicio\
Monitor Apache Servers.lnk - c:\archivos de programa\Apache Group\Apache2\bin\ApacheMonitor.exe [2006-7-27 41042]
SuperHybridEngine.lnk - c:\archivos de programa\Asus\EeePC\Super Hybrid Engine\SuperHybridEngine.exe [2008-7-14 303104]

[hkey_local_machine\software\microsoft\windows\curr entversion\explorer\ShellExecuteHooks]
"{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA}"= "c:\archivos de programa\SUPERAntiSpyware\SASSEH.DLL" [2008-05-13 77824]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\!SASWinLogon]
2009-09-03 22:21 548352 ----a-w- c:\archivos de programa\SUPERAntiSpyware\SASWINLO.DLL

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
2008-10-14 23:04 39792 ----a-w- c:\archivos de programa\Adobe\Reader 8.0\Reader\reader_sl.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Alcmtr]
2005-05-03 16:43 69632 ----a-w- c:\windows\Alcmtr.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AlcWzrd]
2006-05-04 14:26 2808832 ----a-w- c:\windows\alcwzrd.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MsnMsgr]
2007-10-18 09:34 5724184 ----a-w- c:\archivos de programa\Windows Live\Messenger\msnmsgr.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SoundMan]
2006-07-21 14:14 86016 ----a-w- c:\windows\SoundMan.exe

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\McAfeeAntiVirus]
"DisableMonitoring"=dword:00000001

R0 pavboot;pavboot;c:\windows\system32\drivers\pavboo t.sys [02/06/2010 20:24 28552]
R1 SASDIFSV;SASDIFSV;c:\archivos de programa\SUPERAntiSpyware\sasdifsv.sys [17/02/2010 20:25 12872]
R1 SASKUTIL;SASKUTIL;c:\archivos de programa\SUPERAntiSpyware\SASKUTIL.SYS [10/05/2010 20:41 67656]
R2 EngineServer;EngineServer;c:\archivos de programa\McAfee\Managed VirusScan\VScan\EngineServer.exe [29/09/2009 21:30 14144]
R2 myAgtSvc;Servicio de prtección antivirus y antisoftware espía de McAfee;c:\archivos de programa\McAfee\Managed VirusScan\Agent\myAgtSvc.exe [29/09/2009 21:25 175704]
.
Contents of the 'Scheduled Tasks' folder

2010-06-04 c:\windows\Tasks\Comprobar actualizaciones de Windows Live Toolbar.job
- c:\archivos de programa\Windows Live Toolbar\MSNTBUP.EXE [2007-10-19 09:20]
.
.
------- Supplementary Scan -------
.
uStart Page = hxxp://eeepc.asus.com/global
uInternet Connection Wizard,ShellNext = hxxp://eeepc.asus.com/global
IE: &Windows Live Search - c:\archivos de programa\Windows Live Toolbar\msntb.dll/search.htm
Trusted Zone: //about.htm/
Trusted Zone: //Exclude.htm/
Trusted Zone: //LanguageSelection.htm/
Trusted Zone: //Message.htm/
Trusted Zone: //MyAgttryCmd.htm/
Trusted Zone: //MyAgttryNag.htm/
Trusted Zone: //MyNotification.htm/
Trusted Zone: //NOCLessUpdate.htm/
Trusted Zone: //quarantine.htm/
Trusted Zone: //ScanNow.htm/
Trusted Zone: //strings.vbs/
Trusted Zone: //Template.htm/
Trusted Zone: //Update.htm/
Trusted Zone: //VirFound.htm/
Trusted Zone: mcafee.com\*
Trusted Zone: mcafeeasap.com\betavscan
Trusted Zone: mcafeeasap.com\vs
Trusted Zone: mcafeeasap.com\www
TCP: {9AEBE353-0D70-4482-A29B-F29DC50A6344} = 194.224.52.4,194.224.52.6
FF - ProfilePath - c:\documents and settings\usuario\Datos de programa\Mozilla\Firefox\Profiles\l5ud6m9z.default \
FF - prefs.js: browser.startup.homepage - hxxp://www.google.es

---- FIREFOX POLICIES ----
c:\archivos de programa\Mozilla Firefox\greprefs\all.js - pref("ui.use_native_colors", true);
c:\archivos de programa\Mozilla Firefox\greprefs\all.js - pref("network.auth.force-generic-ntlm", false);
c:\archivos de programa\Mozilla Firefox\greprefs\all.js - pref("svg.smil.enabled", false);
c:\archivos de programa\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.allow_unrestricted_renego_every where__temporarily_available_pref", true);
c:\archivos de programa\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.renego_unrestricted_hosts", "");
c:\archivos de programa\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.treat_unsafe_negotiation_as_bro ken", false);
c:\archivos de programa\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.require_safe_negotiation", false);
c:\archivos de programa\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.name", "chrome://browser/locale/browser.properties");
c:\archivos de programa\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.description", "chrome://browser/locale/browser.properties");
c:\archivos de programa\Mozilla Firefox\defaults\pref\firefox.js - pref("plugins.update.notifyUser", false);
.
- - - - ORPHANS REMOVED - - - -

BHO-{5006001C-1DEA-4069-8D0C-320F0826B2F8} - (no file)
ShellIconOverlayIdentifiers-{5006001C-1DEA-4069-8D0C-320F0826B2F8} - (no file)
HKCU-Run-AdobeBridge - (no file)
AddRemove-MVS - c:\archiv~1\McAfee\MANAGE~1\Agent\myinx



************************************************** ************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, GMER - Rootkit Detector and Remover
Rootkit scan 2010-06-04 21:38
Windows 5.1.2600 Service Pack 3 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden files: 0

************************************************** ************************
.
--------------------- DLLs Loaded Under Running Processes ---------------------

- - - - - - - > 'winlogon.exe'(756)
c:\archivos de programa\SUPERAntiSpyware\SASWINLO.DLL
.
Completion time: 2010-06-04 21:44:13
ComboFix-quarantined-files.txt 2010-06-04 19:44

Pre-Run: 6.414.921.728 bytes libres
Post-Run: 6.666.346.496 bytes libres

- - End Of File - - 316209E995D657EC51D0F5F8CA19D162
Responder Citando
Respuesta
Página 1 de 4 1 23 Last »

Marcadores

Etiquetas
infeccion


« Tema Anterior | Próximo Tema »
Herramientas
Desplegado
Mode Lineal Mode Lineal

Normas de Publicación
No puedes crear nuevos temas
No puedes responder temas
No puedes subir archivos adjuntos
No puedes editar tus mensajes
Los Códigos BB están Activado
Las Caritas están Activado
[IMG] está Activado
El Código HTML está Desactivado
Trackbacks are Desactivado
Pingbacks are Desactivado
Refbacks are Desactivado
Ir al Foro

Temas Similares

Tema Autor Foro Respuestas Último mensaje
Infección por archivos musicales marga Noticias 0 04-sep-2009 15:12
Posible infección en en boot de Windows darker_001 Foro de Virus y Spywares 4 19-ago-2009 19:02
infeccion memoria operativa chihuahuamaria Foro de Virus y Spywares 3 24-dic-2008 15:50
Infeccion kore Logs de HijackThis 2 18-may-2008 11:37
Infeccion en el dia de los enamorados marga Noticias 0 13-feb-2008 13:54


La franja horaria es GMT +2. Ahora son las 20:45.