que archivos debo eliminar soy nuevo

[freddy1285]

Logfile of Trend Micro HijackThis v2.0.0 (BETA)

Scan saved at 09:59:34 p.m., on 28/04/2008

Platform: Windows XP SP2 (WinNT 5.01.2600)

Boot mode: Normal



Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\SYSTEM32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\System32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Archivos de programa\Archivos comunes\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe

C:\Archivos de programa\Grisoft\AVG Anti-Spyware 7.5\guard.exe

C:\Archivos de programa\NCH Software\BroadCam\broadCam.exe

C:\WINDOWS\system32\cisvc.exe

C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7Debug\mdm.exe

C:\WINDOWS\system32\HPZipm12.exe

C:\Archivos de programa\Archivos comunes\Protexis\License Service\PSIService.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\SYSTEM32\Ati2evxx.exe

C:\WINDOWS\Explorer.EXE

C:\Archivos de programa\Grisoft\AVG Anti-Spyware 7.5\avgas.exe

C:\Archivos de programa\Windows Live\Messenger\MsnMsgr.Exe

C:\Archivos de programa\Ares\Ares.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Archivos de programa\Hewlett-Packard\Digital Imaging\bin\hpqtra08.exe

C:\Archivos de programa\Orbitdownloader\orbitdm.exe

C:\Archivos de programa\Orbitdownloader\orbitnet.exe

C:\Archivos de programa\Windows Live\Messenger\usnsvc.exe

C:\WINDOWS\SYSTEM32\cidaemon.exe

C:\ARCHIV~1\MOZILL~1\FIREFOX.EXE

C:\Archivos de programa\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe

C:\Documents and Settings\Fredy Cabrera\Escritorio\HiJackThis_v2.exe

C:\WINDOWS\system32\wuauclt.exe



R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

O2 - BHO: btorbit.com - {000123B4-9B42-4900-B3F7-F4B073EFC214} - C:\Archivos de programa\Orbitdownloader\orbitcth.dll

O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll

O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Archivos de programa\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized

O4 - HKLM\..\Run: [Win2x] C:\WINDOWS\system32\Win2x.exe

O4 - HKLM\..\Run: [HP Software Update] C:\Archivos de programa\Hewlett-Packard\HP Software Update\HPWuSchd2.exe

O4 - HKCU\..\Run: [MsnMsgr] "C:\Archivos de programa\Windows Live\Messenger\MsnMsgr.Exe" /background

O4 - HKCU\..\Run: [ares] "C:\Archivos de programa\Ares\Ares.exe" -h

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Archivos de programa\Hewlett-Packard\Digital Imaging\bin\hpqtra08.exe

O4 - Global Startup: Inicio rápido de Adobe Reader.lnk = C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O4 - Global Startup: Orbit.lnk = C:\Archivos de programa\Orbitdownloader\orbitdm.exe

O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~3\Office12\REFIEBAR.DLL

O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll

O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll

O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll

O16 - DPF: {6B75345B-AA36-438A-BBE6-4078B4C6984D} (HpProductDetection Class) - http://h20270.www2.hp.com/ediags/gmn2/install/HPProductDetection.cab

O16 - DPF: {6F15128C-E66A-490C-B848-5000B5ABEEAC} (HP Download Manager) - https://h20436.www2.hp.com/ediags/dex/secure/HPDEXAXO.cab

O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (MSN Games - Installer) - http://messenger.zone.msn.com/binary/ZIntro.cab56649.cab

O22 - SharedTaskScheduler: Precargador Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\System32\browseui.dll

O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Archivos de programa\Archivos comunes\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe

O23 - Service: Ares Chatroom server (AresChatServer) - Ares Development Group - C:\Archivos de programa\Ares\chatServer.exe

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe

O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Archivos de programa\Grisoft\AVG Anti-Spyware 7.5\guard.exe

O23 - Service: AVP - Kaspersky Lab - C:\Archivos de programa\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe

O23 - Service: BroadCam Service (BroadCamService) - Unknown owner - C:\Archivos de programa\NCH Software\BroadCam\broadCam.exe

O23 - Service: Servicio del administrador de discos lógicos (dmadmin) - Unknown owner - C:\WINDOWS\System32\dmadmin.exe

O23 - Service: Registro de sucesos (Eventlog) - Unknown owner - C:\WINDOWS\system32\services.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Archivos de programa\Archivos comunes\InstallShield\Driver\1150\Intel 32\IDriverT.exe

O23 - Service: Servicio COM de grabación de CD de IMAPI (ImapiService) - Unknown owner - C:\WINDOWS\System32\imapi.exe

O23 - Service: Escritorio remoto compartido de NetMeeting (mnmsrvc) - Unknown owner - C:\WINDOWS\System32\mnmsrvc.exe

O23 - Service: Plug and Play (PlugPlay) - Unknown owner - C:\WINDOWS\system32\services.exe

O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

O23 - Service: ProtexisLicensing - Unknown owner - C:\Archivos de programa\Archivos comunes\Protexis\License Service\PSIService.exe

O23 - Service: Administrador de sesión de Ayuda de escritorio remoto (RDSessMgr) - Unknown owner - C:\WINDOWS\system32\sessmgr.exe

O23 - Service: Tarjeta inteligente (SCardSvr) - Unknown owner - C:\WINDOWS\System32\SCardSvr.exe

O23 - Service: Registros y alertas de rendimiento (SysmonLog) - Unknown owner - C:\WINDOWS\system32\smlogsvc.exe

O23 - Service: Instantáneas de volumen (VSS) - Unknown owner - C:\WINDOWS\System32\vssvc.exe

O23 - Service: Win2x - Unknown owner - C:\WINDOWS\system32\save.exe (file missing)

O23 - Service: Adaptador de rendimiento de WMI (WmiApSrv) - Unknown owner - C:\WINDOWS\System32\wbem\wmiapsrv.exe

O23 - Service: Servicio de uso compartido de red del Reproductor de Windows Media (WMPNetworkSvc) - Unknown owner - C:\Archivos de programa\Windows Media Player\WMPNetwk.exe



--

End of file - 6372 bytes

[msc hotline sat]

Pues envianos estos dos ficheros y los analizaremos:



C:\WINDOWS\system32\Win2x.exe



C:\WINDOWS\system32\save.exe (este puede estar oculto- https://foros.zonavirus.com/viewtopic.php?f=5&t=13245 )



para ello:



[b]¿Como enviar las muestras a zonavirus? - Para ello recordar[/b]:

https://foros.zonavirus.com/viewtopic.php?f=5&t=14253





saludos



ms, 27-05-2008

[msc hotline sat]

y buscando al respecto, veo esta informacion:


[quote]W32.blasterworm

Nombre: W32.EFECTO.A y W32.EFECTO.B



W32.EFECTO.A es un ejecutable de 122,880 bytes compilado con Microsoft Visual Basic 6.0.



Al ejecutarse, W32.EFECTO.A se copia en <System32>\Win2x.exe y <System32>\save.exe



Crea entradas en el registro para ejecutar Win2x.exe al inicio del sistema y save.exe durante la ejecución de cualquier tarea de impresión:



Inhabilita el acceso al Editor de Registro de Windows y al Administrador de Tareas. Impide la ejecución de cajas de diálogo MSDOS, inhabilita el acceso al comando CMD.



Oculta las carpetas de la raíz del disco C y cambia sus atributos a Readonly y Hidden.



Crea una gran cantidad de copias del troyano en la raíz del disco C con íconos de carpeta y nombres similares a los de las carpetas existentes para confundir al usuario y proporcionar la reinfección del sistema utilizando al propio usuario.



Intercepta el servicio de impresión tal que sustituye al mismo con el archivo del troyano
[/quote]

Y [b][i]casualmente[/i][/b] :wink: aparecen los dos ficheros en tu log ...



Si quieres, subelos al virustotal y saldremos de dudas: https://www.virustotal.com/es/



y nos posteas el resultado, gracias



saludos



ms, 27-05-2008