Tech Support Forum - View Single Post - Brower Hijacked !! Auto closes browser and/or opens unsolicited pages. Virtumondo??

maikelekiam · 11-08-2008, 03:07 AM

ok

ComboFix 08-11-07.01 - Administrador 2008-11-08 0:12:36.3 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.3.1252.34.3082.18.237 [GMT 1:00]
Se ejecuta desde: c:\documents and settings\Administrador\Escritorio\ComboFix.exe
* Resident AV is active

ADVERTENCIA - ESTE EQUIPO NO TIENE INSTALADA LA CONSOLA DE RECUPERACION!
.

(((((((((((((((((((((((((((((((((((( Otras eliminaciones )))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\windows\system32\ckpkavtp.dll
c:\windows\system32\djntzp.dll
c:\windows\system32\egbxonrr.dll
c:\windows\system32\exgswwwn.dll
c:\windows\system32\fevlkf.dll
c:\windows\system32\fmxvfa.dll
c:\windows\system32\fwgvxswc.dll
c:\windows\system32\gkguew.dll
c:\windows\system32\gulpmvsl.ini
c:\windows\system32\ikjbpkhh.ini
c:\windows\system32\inmcvccj.ini
c:\windows\system32\islhurjm.dll
c:\windows\system32\jgqaho.dll
c:\windows\system32\jkkLDuTm.dll
c:\windows\system32\jwouqwfw.ini
c:\windows\system32\lmjedsbq.dll
c:\windows\system32\ltmikd.dll
c:\windows\system32\mccckmdv.dll
c:\windows\system32\mTuDLkkj.ini
c:\windows\system32\mTuDLkkj.ini2
c:\windows\system32\nkosawwn.dll
c:\windows\system32\ohranuer.dll
c:\windows\system32\ooctev.dll
c:\windows\system32\oqlyxf.dll
c:\windows\system32\pzxonv.dll
c:\windows\system32\qhxvti.dll
c:\windows\system32\qlxkemdw.dll
c:\windows\system32\qwpyunwq.dll
c:\windows\system32\rfhmqshg.dll
c:\windows\system32\rlxgaikj.ini
c:\windows\system32\rsbhqlhl.ini
c:\windows\system32\rypdtjjr.ini
c:\windows\system32\sgnxfoif.dll
c:\windows\system32\sootwuuc.ini
c:\windows\system32\tspjkyny.dll
c:\windows\system32\vscvswrh.dll
c:\windows\system32\wdffpv.dll
c:\windows\system32\wfwquowj.dll
c:\windows\system32\wfyribsd.ini
c:\windows\system32\wqqfcwob.ini
c:\windows\system32\yjsccw.dll
c:\windows\system32\ynykjpst.ini
c:\windows\system32\yrquqenn.ini
c:\windows\system32\zjxlfk.dll
c:\windows\system32\zzkntq.dll

.
(((((((((((((((((( Archivos creados desde 2008-10-07 - 2008-11-07 )))))))))))))))))))))))))))))))))
.

2008-11-04 21:47 . 2008-11-04 21:47 <DIR> d-------- C:\rsit
2008-11-04 21:36 . 2008-11-04 21:38 250 --a------ c:\windows\gmer.ini
2008-10-27 20:04 . 2008-11-04 21:47 <DIR> d-------- c:\archivos de programa\Trend Micro
2008-10-27 20:03 . 2008-10-27 20:03 812,344 --a------ C:\HJTInstall.exe
2008-10-12 12:25 . 2008-10-12 12:25 <DIR> d-------- C:\Program Files
2008-10-12 10:29 . 2008-10-12 12:24 <DIR> d-------- c:\archivos de programa\EsetOnlineScanner
2008-10-12 09:44 . 2008-10-12 09:45 <DIR> d-------- c:\archivos de programa\Malwarebytes' Anti-Malware
2008-10-12 09:44 . 2008-09-09 23:04 38,528 --a------ c:\windows\system32\drivers\mbamswissarmy.sys
2008-10-12 09:44 . 2008-09-09 23:03 17,200 --a------ c:\windows\system32\drivers\mbam.sys
2008-10-12 09:28 . 2008-10-12 09:28 <DIR> d-------- c:\documents and settings\Administrador\Datos de programa\Malwarebytes
2008-10-12 09:27 . 2008-10-12 09:27 <DIR> d-------- c:\documents and settings\All Users\Datos de programa\Malwarebytes
2008-10-11 20:22 . 2008-10-11 20:22 95 --a------ c:\windows\wininit.ini
2008-10-11 19:48 . 2008-10-11 19:53 <DIR> d-------- c:\documents and settings\All Users\Datos de programa\Spybot - Search & Destroy
2008-10-11 19:48 . 2008-10-11 19:48 <DIR> d-------- c:\archivos de programa\Spybot - Search & Destroy
2008-10-09 17:05 . 2008-10-09 17:05 <DIR> d-------- c:\archivos de programa\ScanSoft
2008-10-09 17:00 . 2008-10-09 17:01 <DIR> d-------- c:\archivos de programa\Microsoft AutoRoute
2008-10-07 20:43 . 2008-10-07 20:43 <DIR> d-------- c:\windows\system32\xircom
2008-10-07 20:43 . 2008-10-07 20:43 <DIR> d-------- c:\windows\system32\restore
2008-10-07 20:43 . 2008-10-07 20:43 <DIR> d-------- c:\windows\srchasst
2008-10-07 20:43 . 2008-10-07 20:43 <DIR> d-------- c:\windows\msagent
2008-10-07 20:43 . 2008-10-07 20:43 <DIR> d-------- c:\archivos de programa\microsoft frontpage
2008-10-07 20:26 . 2008-10-07 20:26 <DIR> d-------- c:\windows\system32\oobe
2008-10-07 20:26 . 2008-10-07 20:26 <DIR> d-------- c:\windows\system32\es
2008-10-07 20:26 . 2008-10-07 20:26 <DIR> d-------- c:\windows\system32\bits
2008-10-07 20:26 . 2008-10-07 20:26 <DIR> d-------- c:\windows\l2schemas
2008-10-07 20:23 . 2008-10-07 20:27 <DIR> d-------- c:\windows\ServicePackFiles
2008-10-07 20:16 . 2008-10-07 20:27 <DIR> d-------- c:\windows\EHome

.
(((((((((((((((((((((((((((((((((((((( Reporte Find3M )))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-11-07 23:11 --------- d-----w c:\documents and settings\All Users\Datos de programa\Google Updater
2008-11-04 20:21 --------- d-----w c:\archivos de programa\ElcomSoft
2008-10-28 19:36 --------- d-----w c:\archivos de programa\Eset
2008-10-12 08:10 --------- d-----w c:\archivos de programa\PDF Password Remover v2.5
2008-10-12 08:10 --------- d-----w c:\archivos de programa\Google
2008-10-10 22:38 90,112 ----a-w c:\windows\DUMP6d24.tmp
2008-10-10 22:37 98,304 ----a-w c:\windows\DUMP2334.tmp
2008-10-10 22:36 98,304 ----a-w c:\windows\DUMP3407.tmp
2008-10-10 21:11 --------- d-----w c:\documents and settings\Administrador\Datos de programa\uTorrent
2008-10-07 19:43 96,384 ----a-w c:\windows\system32\drivers\sptd9725.sys
2008-09-30 18:13 --------- d-----w c:\archivos de programa\Picasa2
2008-09-17 17:17 --------- d-----w c:\documents and settings\Administrador\Datos de programa\Ahead
.

((((((((((((((((((((((((((((( snapshot@2008-10-28_20.42.41.23 )))))))))))))))))))))))))))))))))))))))))
.
+ 2008-11-04 20:36:55 884,736 ----a-w c:\windows\gmer.dll
+ 2008-04-17 20:13:02 811,008 ----a-w c:\windows\gmer.exe
+ 2008-11-04 20:36:56 85,969 ----a-w c:\windows\system32\drivers\gmer.sys
- 2008-10-28 19:40:47 53,248 ----a-w c:\windows\temp\catchme.dll
+ 2008-11-07 23:16:28 53,248 ----a-w c:\windows\temp\catchme.dll
.
((((((((((((((((((((((((((((((((( Cargando Puntos Reg ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Nota* entradas vacías & entradas legítimas predeterminadas no son mostradas
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"nod32kui"="c:\archivos de programa\Eset\nod32kui.exe" [2008-06-04 921600]
"SoundMAXPnP"="c:\archivos de programa\Analog Devices\SoundMAX\SMax4PNP.exe" [2004-10-14 1388544]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2004-10-08 155648]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2004-10-08 126976]
"THotkey"="c:\archivos de programa\Toshiba\Toshiba Applet\thotkey.exe" [2004-12-14 368640]
"64769aed"="c:\windows\system32\tspjkyny.dll" [BU]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

c:\documents and settings\All Users\Men£ Inicio\Programas\Inicio\
RAMASST.lnk - c:\windows\system32\RAMASST.exe [2008-06-05 155648]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"DisableStatusMessages"= 0 (0x0)

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]
"NoDesktopCleanupWizard"= 1 (0x1)
"ForceClassicControlPanel"= 1 (0x1)

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]
"NoSMHelp"= 1 (0x1)
"NoSMConfigurePrograms"= 1 (0x1)
"NoSMMyPictures"= 1 (0x1)
"NoResolveTrack"= 1 (0x1)
"NoResolveSearch"= 1 (0x1)

[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]
"NoSMHelp"= 1 (0x1)
"NoSMConfigurePrograms"= 1 (0x1)
"NoSMMyPictures"= 1 (0x1)
"NoResolveTrack"= 1 (0x1)
"NoResolveSearch"= 1 (0x1)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon]
"UIHost"=hex(2):58,50,69,7a,65,5f,4c,6f,67,6f,6e,2e,65,78,65,00

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"=jgqaho.dll ltmikd.dll yjsccw.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"VIDC.X264"= x264vfw.dll
"VIDC.3iv2"= 3ivxVfWCodec.dll

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"DisableUnicastResponsesToMulticastBroadcast"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Archivos de programa\\Skype\\Phone\\Skype.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Archivos de programa\\Malwarebytes' Anti-Malware\\mbam.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"57214:TCP"= 57214:TCP:Pando P2P TCP Listening Port
"57214:UDP"= 57214:UDP:Pando P2P UDP Listening Port
"4662:TCP"= 4662:TCP:uTORRENT

S2 gupdate1c8e071a1913dc0;Google Update Service (gupdate1c8e071a1913dc0);c:\archivos de programa\Google\Update\GoogleUpdate.exe [2008-08-29 133104]
S3 iscFlash;iscFlash;c:\windows\Temp\isc10tmp\iscflash.sys [ ]
S3 mpr_freader;MPR FileReader Driver;c:\archivos de programa\Multi Password Recovery\mpr_freader.sys [ ]
S3 USBSTOR;Dispositivo de almacenamiento masivo de datos USB;c:\windows\system32\DRIVERS\USBSTOR.SYS [2008-04-13 26368]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{9e6caec0-3340-11dd-ab62-963b1372dd69}]
\Shell\AutoRun\command - F:\AutoRun.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{9e6caec2-3340-11dd-ab62-963b1372dd69}]
\Shell\AutoRun\command - F:\AutoRun.exe
.
Contenido de carpeta 'Tareas Programadas'

2008-11-07 c:\windows\Tasks\GoogleUpdateTaskMachine.job
- c:\archivos de programa\Google\Update\GoogleUpdate.exe [2008-08-29 23:42]
.
- - - - HUÉRFANOS ELIMINADOS - - - -

BHO-{3a1b5168-e70f-44d3-9374-2d7e2ee2d181} - c:\windows\system32\yjsccw.dll
BHO-{4FC43E8F-827D-4EDB-9EBD-54B7B90D6D31} - c:\windows\system32\jkkLDuTm.dll

.
------- Análisis Suplementario -------
.
FireFox -: Profile - c:\documents and settings\Administrador\Datos de programa\Mozilla\Firefox\Profiles\n1ai0fhk.default\
FireFox -: prefs.js - STARTUP.HOMEPAGE - www.google.es
FF -: plugin - c:\archivos de programa\Adobe\Acrobat 7.0\Reader\browser\nppdf32.dll
FF -: plugin - c:\archivos de programa\Google\Google Earth Plugin\npgeplugin.dll
FF -: plugin - c:\archivos de programa\Google\Google Updater\2.4.1368.5602\npCIDetect13.dll
FF -: plugin - c:\archivos de programa\Google\Update\1.2.131.25\npGoogleOneClick6.dll
FF -: plugin - c:\archivos de programa\Java\jre1.5.0_07\bin\NPJava11.dll
FF -: plugin - c:\archivos de programa\Java\jre1.5.0_07\bin\NPJava12.dll
FF -: plugin - c:\archivos de programa\Java\jre1.5.0_07\bin\NPJava13.dll
FF -: plugin - c:\archivos de programa\Java\jre1.5.0_07\bin\NPJava14.dll
FF -: plugin - c:\archivos de programa\Java\jre1.5.0_07\bin\NPJava32.dll
FF -: plugin - c:\archivos de programa\Java\jre1.5.0_07\bin\NPJPI150_07.dll
FF -: plugin - c:\archivos de programa\Java\jre1.5.0_07\bin\NPOJI610.dll
FF -: plugin - c:\archivos de programa\Picasa2\npPicasa2.dll
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-11-08 00:16:29
Windows 5.1.2600 Service Pack 3 NTFS

escaneando procesos ocultos ...

escaneando entradas ocultas de autostart ...

escaneando archivos ocultos ...

C:\sccfg.sys 370 bytes

el escaneo se completo con exito
archivos ocultos: 1

**************************************************************************
.
--------------------- DLLs cargados bajo los procesos en ejecución ---------------------

PROCESOS: c:\windows\system32\lsass.exe
-> c:\archivos de programa\Eset\pr_imon.dll
.
------------------------ Otros procesos en ejecución ------------------------
.
c:\windows\system32\DVDRAMSV.exe
c:\archivos de programa\Google\Common\Google Updater\GoogleUpdaterService.exe
c:\archivos de programa\Eset\nod32krn.exe
c:\archivos de programa\CyberLink\Shared files\RichVideo.exe
c:\archivos de programa\Analog Devices\SoundMAX\SMAgent.exe
c:\archivos de programa\toshiba\TOSHIBA Applet\TAPPSRV.exe
c:\windows\system32\wdfmgr.exe
c:\windows\system32\wscntfy.exe
.
**************************************************************************
.
Tiempo completado: 2008-11-08 0:18:34 - Reiniciando la máquina
ComboFix-quarantined-files.txt 2008-11-07 23:18:28
ComboFix2.txt 2008-10-28 20:02:19
ComboFix3.txt 2008-10-28 19:43:22

Pre-Run: 16,424,349,696 bytes libres
Post-Run: 16,414,814,208 bytes libres

229 --- E O F --- 2008-10-09 17:30:22

11-08-2008, 03:07 AM	#5 (permalink)
maikelekiam Registered User Join Date: Sep 2006 Posts: 14 OS: xp	Re: Brower Hijacked !! Auto closes browser and/or opens unsolicited pages. Virtumondo ok ComboFix 08-11-07.01 - Administrador 2008-11-08 0:12:36.3 - NTFSx86 Microsoft Windows XP Professional 5.1.2600.3.1252.34.3082.18.237 [GMT 1:00] Se ejecuta desde: c:\documents and settings\Administrador\Escritorio\ComboFix.exe * Resident AV is active ADVERTENCIA - ESTE EQUIPO NO TIENE INSTALADA LA CONSOLA DE RECUPERACION! . (((((((((((((((((((((((((((((((((((( Otras eliminaciones ))))))))))))))))))))))))))))))))))))))))))))))))) . c:\windows\system32\ckpkavtp.dll c:\windows\system32\djntzp.dll c:\windows\system32\egbxonrr.dll c:\windows\system32\exgswwwn.dll c:\windows\system32\fevlkf.dll c:\windows\system32\fmxvfa.dll c:\windows\system32\fwgvxswc.dll c:\windows\system32\gkguew.dll c:\windows\system32\gulpmvsl.ini c:\windows\system32\ikjbpkhh.ini c:\windows\system32\inmcvccj.ini c:\windows\system32\islhurjm.dll c:\windows\system32\jgqaho.dll c:\windows\system32\jkkLDuTm.dll c:\windows\system32\jwouqwfw.ini c:\windows\system32\lmjedsbq.dll c:\windows\system32\ltmikd.dll c:\windows\system32\mccckmdv.dll c:\windows\system32\mTuDLkkj.ini c:\windows\system32\mTuDLkkj.ini2 c:\windows\system32\nkosawwn.dll c:\windows\system32\ohranuer.dll c:\windows\system32\ooctev.dll c:\windows\system32\oqlyxf.dll c:\windows\system32\pzxonv.dll c:\windows\system32\qhxvti.dll c:\windows\system32\qlxkemdw.dll c:\windows\system32\qwpyunwq.dll c:\windows\system32\rfhmqshg.dll c:\windows\system32\rlxgaikj.ini c:\windows\system32\rsbhqlhl.ini c:\windows\system32\rypdtjjr.ini c:\windows\system32\sgnxfoif.dll c:\windows\system32\sootwuuc.ini c:\windows\system32\tspjkyny.dll c:\windows\system32\vscvswrh.dll c:\windows\system32\wdffpv.dll c:\windows\system32\wfwquowj.dll c:\windows\system32\wfyribsd.ini c:\windows\system32\wqqfcwob.ini c:\windows\system32\yjsccw.dll c:\windows\system32\ynykjpst.ini c:\windows\system32\yrquqenn.ini c:\windows\system32\zjxlfk.dll c:\windows\system32\zzkntq.dll . (((((((((((((((((( Archivos creados desde 2008-10-07 - 2008-11-07 ))))))))))))))))))))))))))))))))) . 2008-11-04 21:47 . 2008-11-04 21:47 <DIR> d-------- C:\rsit 2008-11-04 21:36 . 2008-11-04 21:38 250 --a------ c:\windows\gmer.ini 2008-10-27 20:04 . 2008-11-04 21:47 <DIR> d-------- c:\archivos de programa\Trend Micro 2008-10-27 20:03 . 2008-10-27 20:03 812,344 --a------ C:\HJTInstall.exe 2008-10-12 12:25 . 2008-10-12 12:25 <DIR> d-------- C:\Program Files 2008-10-12 10:29 . 2008-10-12 12:24 <DIR> d-------- c:\archivos de programa\EsetOnlineScanner 2008-10-12 09:44 . 2008-10-12 09:45 <DIR> d-------- c:\archivos de programa\Malwarebytes' Anti-Malware 2008-10-12 09:44 . 2008-09-09 23:04 38,528 --a------ c:\windows\system32\drivers\mbamswissarmy.sys 2008-10-12 09:44 . 2008-09-09 23:03 17,200 --a------ c:\windows\system32\drivers\mbam.sys 2008-10-12 09:28 . 2008-10-12 09:28 <DIR> d-------- c:\documents and settings\Administrador\Datos de programa\Malwarebytes 2008-10-12 09:27 . 2008-10-12 09:27 <DIR> d-------- c:\documents and settings\All Users\Datos de programa\Malwarebytes 2008-10-11 20:22 . 2008-10-11 20:22 95 --a------ c:\windows\wininit.ini 2008-10-11 19:48 . 2008-10-11 19:53 <DIR> d-------- c:\documents and settings\All Users\Datos de programa\Spybot - Search & Destroy 2008-10-11 19:48 . 2008-10-11 19:48 <DIR> d-------- c:\archivos de programa\Spybot - Search & Destroy 2008-10-09 17:05 . 2008-10-09 17:05 <DIR> d-------- c:\archivos de programa\ScanSoft 2008-10-09 17:00 . 2008-10-09 17:01 <DIR> d-------- c:\archivos de programa\Microsoft AutoRoute 2008-10-07 20:43 . 2008-10-07 20:43 <DIR> d-------- c:\windows\system32\xircom 2008-10-07 20:43 . 2008-10-07 20:43 <DIR> d-------- c:\windows\system32\restore 2008-10-07 20:43 . 2008-10-07 20:43 <DIR> d-------- c:\windows\srchasst 2008-10-07 20:43 . 2008-10-07 20:43 <DIR> d-------- c:\windows\msagent 2008-10-07 20:43 . 2008-10-07 20:43 <DIR> d-------- c:\archivos de programa\microsoft frontpage 2008-10-07 20:26 . 2008-10-07 20:26 <DIR> d-------- c:\windows\system32\oobe 2008-10-07 20:26 . 2008-10-07 20:26 <DIR> d-------- c:\windows\system32\es 2008-10-07 20:26 . 2008-10-07 20:26 <DIR> d-------- c:\windows\system32\bits 2008-10-07 20:26 . 2008-10-07 20:26 <DIR> d-------- c:\windows\l2schemas 2008-10-07 20:23 . 2008-10-07 20:27 <DIR> d-------- c:\windows\ServicePackFiles 2008-10-07 20:16 . 2008-10-07 20:27 <DIR> d-------- c:\windows\EHome . (((((((((((((((((((((((((((((((((((((( Reporte Find3M ))))))))))))))))))))))))))))))))))))))))))))))))))) . 2008-11-07 23:11 --------- d-----w c:\documents and settings\All Users\Datos de programa\Google Updater 2008-11-04 20:21 --------- d-----w c:\archivos de programa\ElcomSoft 2008-10-28 19:36 --------- d-----w c:\archivos de programa\Eset 2008-10-12 08:10 --------- d-----w c:\archivos de programa\PDF Password Remover v2.5 2008-10-12 08:10 --------- d-----w c:\archivos de programa\Google 2008-10-10 22:38 90,112 ----a-w c:\windows\DUMP6d24.tmp 2008-10-10 22:37 98,304 ----a-w c:\windows\DUMP2334.tmp 2008-10-10 22:36 98,304 ----a-w c:\windows\DUMP3407.tmp 2008-10-10 21:11 --------- d-----w c:\documents and settings\Administrador\Datos de programa\uTorrent 2008-10-07 19:43 96,384 ----a-w c:\windows\system32\drivers\sptd9725.sys 2008-09-30 18:13 --------- d-----w c:\archivos de programa\Picasa2 2008-09-17 17:17 --------- d-----w c:\documents and settings\Administrador\Datos de programa\Ahead . ((((((((((((((((((((((((((((( snapshot@2008-10-28_20.42.41.23 ))))))))))))))))))))))))))))))))))))))))) . + 2008-11-04 20:36:55 884,736 ----a-w c:\windows\gmer.dll + 2008-04-17 20:13:02 811,008 ----a-w c:\windows\gmer.exe + 2008-11-04 20:36:56 85,969 ----a-w c:\windows\system32\drivers\gmer.sys - 2008-10-28 19:40:47 53,248 ----a-w c:\windows\temp\catchme.dll + 2008-11-07 23:16:28 53,248 ----a-w c:\windows\temp\catchme.dll . ((((((((((((((((((((((((((((((((( Cargando Puntos Reg )))))))))))))))))))))))))))))))))))))))))))))))))) . . Nota entradas vacías & entradas legítimas predeterminadas no son mostradas REGEDIT4 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "nod32kui"="c:\archivos de programa\Eset\nod32kui.exe" [2008-06-04 921600] "SoundMAXPnP"="c:\archivos de programa\Analog Devices\SoundMAX\SMax4PNP.exe" [2004-10-14 1388544] "IgfxTray"="c:\windows\system32\igfxtray.exe" [2004-10-08 155648] "HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2004-10-08 126976] "THotkey"="c:\archivos de programa\Toshiba\Toshiba Applet\thotkey.exe" [2004-12-14 368640] "64769aed"="c:\windows\system32\tspjkyny.dll" [BU] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360] c:\documents and settings\All Users\Men£ Inicio\Programas\Inicio\ RAMASST.lnk - c:\windows\system32\RAMASST.exe [2008-06-05 155648] [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system] "DisableStatusMessages"= 0 (0x0) [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer] "NoDesktopCleanupWizard"= 1 (0x1) "ForceClassicControlPanel"= 1 (0x1) [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer] "NoSMHelp"= 1 (0x1) "NoSMConfigurePrograms"= 1 (0x1) "NoSMMyPictures"= 1 (0x1) "NoResolveTrack"= 1 (0x1) "NoResolveSearch"= 1 (0x1) [HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer] "NoSMHelp"= 1 (0x1) "NoSMConfigurePrograms"= 1 (0x1) "NoSMMyPictures"= 1 (0x1) "NoResolveTrack"= 1 (0x1) "NoResolveSearch"= 1 (0x1) [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon] "UIHost"=hex(2):58,50,69,7a,65,5f,4c,6f,67,6f,6e,2e,65,78,65,00 [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows] "AppInit_DLLs"=jgqaho.dll ltmikd.dll yjsccw.dll [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32] "VIDC.X264"= x264vfw.dll "VIDC.3iv2"= 3ivxVfWCodec.dll [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile] "DisableUnicastResponsesToMulticastBroadcast"= 0 (0x0) [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\\system32\\sessmgr.exe"= "c:\\Archivos de programa\\Skype\\Phone\\Skype.exe"= "%windir%\\Network Diagnostic\\xpnetdiag.exe"= "c:\\Archivos de programa\\Malwarebytes' Anti-Malware\\mbam.exe"= [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List] "57214:TCP"= 57214:TCP:Pando P2P TCP Listening Port "57214:UDP"= 57214:UDP:Pando P2P UDP Listening Port "4662:TCP"= 4662:TCP:uTORRENT S2 gupdate1c8e071a1913dc0;Google Update Service (gupdate1c8e071a1913dc0);c:\archivos de programa\Google\Update\GoogleUpdate.exe [2008-08-29 133104] S3 iscFlash;iscFlash;c:\windows\Temp\isc10tmp\iscflash.sys [ ] S3 mpr_freader;MPR FileReader Driver;c:\archivos de programa\Multi Password Recovery\mpr_freader.sys [ ] S3 USBSTOR;Dispositivo de almacenamiento masivo de datos USB;c:\windows\system32\DRIVERS\USBSTOR.SYS [2008-04-13 26368] [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{9e6caec0-3340-11dd-ab62-963b1372dd69}] \Shell\AutoRun\command - F:\AutoRun.exe [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{9e6caec2-3340-11dd-ab62-963b1372dd69}] \Shell\AutoRun\command - F:\AutoRun.exe . Contenido de carpeta 'Tareas Programadas' 2008-11-07 c:\windows\Tasks\GoogleUpdateTaskMachine.job - c:\archivos de programa\Google\Update\GoogleUpdate.exe [2008-08-29 23:42] . - - - - HUÉRFANOS ELIMINADOS - - - - BHO-{3a1b5168-e70f-44d3-9374-2d7e2ee2d181} - c:\windows\system32\yjsccw.dll BHO-{4FC43E8F-827D-4EDB-9EBD-54B7B90D6D31} - c:\windows\system32\jkkLDuTm.dll . ------- Análisis Suplementario ------- . FireFox -: Profile - c:\documents and settings\Administrador\Datos de programa\Mozilla\Firefox\Profiles\n1ai0fhk.default\ FireFox -: prefs.js - STARTUP.HOMEPAGE - www.google.es FF -: plugin - c:\archivos de programa\Adobe\Acrobat 7.0\Reader\browser\nppdf32.dll FF -: plugin - c:\archivos de programa\Google\Google Earth Plugin\npgeplugin.dll FF -: plugin - c:\archivos de programa\Google\Google Updater\2.4.1368.5602\npCIDetect13.dll FF -: plugin - c:\archivos de programa\Google\Update\1.2.131.25\npGoogleOneClick6.dll FF -: plugin - c:\archivos de programa\Java\jre1.5.0_07\bin\NPJava11.dll FF -: plugin - c:\archivos de programa\Java\jre1.5.0_07\bin\NPJava12.dll FF -: plugin - c:\archivos de programa\Java\jre1.5.0_07\bin\NPJava13.dll FF -: plugin - c:\archivos de programa\Java\jre1.5.0_07\bin\NPJava14.dll FF -: plugin - c:\archivos de programa\Java\jre1.5.0_07\bin\NPJava32.dll FF -: plugin - c:\archivos de programa\Java\jre1.5.0_07\bin\NPJPI150_07.dll FF -: plugin - c:\archivos de programa\Java\jre1.5.0_07\bin\NPOJI610.dll FF -: plugin - c:\archivos de programa\Picasa2\npPicasa2.dll . ************************************************************************ catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-11-08 00:16:29 Windows 5.1.2600 Service Pack 3 NTFS escaneando procesos ocultos ... escaneando entradas ocultas de autostart ... escaneando archivos ocultos ... C:\sccfg.sys 370 bytes el escaneo se completo con exito archivos ocultos: 1 ********************************************************************** . --------------------- DLLs cargados bajo los procesos en ejecución --------------------- PROCESOS: c:\windows\system32\lsass.exe -> c:\archivos de programa\Eset\pr_imon.dll . ------------------------ Otros procesos en ejecución ------------------------ . c:\windows\system32\DVDRAMSV.exe c:\archivos de programa\Google\Common\Google Updater\GoogleUpdaterService.exe c:\archivos de programa\Eset\nod32krn.exe c:\archivos de programa\CyberLink\Shared files\RichVideo.exe c:\archivos de programa\Analog Devices\SoundMAX\SMAgent.exe c:\archivos de programa\toshiba\TOSHIBA Applet\TAPPSRV.exe c:\windows\system32\wdfmgr.exe c:\windows\system32\wscntfy.exe . ************************************************************************ . Tiempo completado: 2008-11-08 0:18:34 - Reiniciando la máquina ComboFix-quarantined-files.txt 2008-11-07 23:18:28 ComboFix2.txt 2008-10-28 20:02:19 ComboFix3.txt 2008-10-28 19:43:22 Pre-Run: 16,424,349,696 bytes libres Post-Run: 16,414,814,208 bytes libres 229 --- E O F --- 2008-10-09 17:30:22