Report SIDFix:
SDFix: Version 1.183 Run by ANMA1 on lun 19/05/2008 at 14:14
Microsoft Windows 2000 [Versi¢n 5.00.2195]
Running From: C:\DOCUME~1\ANMA1\MISDOC~1\DESCAR~1\SDFix\SDFix
Checking Services :
Restoring Windows Registry Values
Restoring Windows Default Hosts File
Rebooting
Checking Files :
Trojan Files Found:
C:\Documents and Settings\ANMA1\cftmon.exe - Deleted
C:\Documents and Settings\Default User\cftmon.exe - Deleted
C:\WINNT\system32\cdplayer.exe - Deleted
C:\WINNT\system32\drivers\spools.exe - Deleted
Removing Temp Files
ADS Check :
Final Check :
catchme 0.3.1359.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer,
http://www.gmer.netRootkit scan 2008-05-19 14:28:04
Windows 5.0.2195 Service Pack 4 NTFS
scanning hidden processes ...
scanning hidden services & system hive ...
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg]
"s0"=dword:800c9232
"s1"=dword:47cc00bc
"s2"=dword:759b809f
"h0"=dword:00000001
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4]
"p0"="C:\Archivos de programa\DAEMON Tools\"
"h0"=dword:00000000
"khjeh"=hex:6d,dd,aa,fd,13,ae,7a,a7,4f,4e,e0,16,e2,58,9a,e2,04,ad,3b,d7,96,..
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001]
"a0"=hex:20,01,00,00,68,bb,b4,00,59,04,d8,c0,f0,ae,82,32,0c,b8,b8,27,6e,..
"khjeh"=hex:90,47,1d,f0,95,06,ad,cf,3c,ef,da,3d,8b,21,b1,a9,54,8b,69,a5,ad,..
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40]
"khjeh"=hex:bb,19,9c,91,92,e9,ad,05,a8,53,30,05,fd,f2,3f,c8,04,0d,16,32,4f,..
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4]
"p0"="C:\Archivos de programa\DAEMON Tools\"
"h0"=dword:00000000
"khjeh"=hex:6d,dd,aa,fd,13,ae,7a,a7,4f,4e,e0,16,e2,58,9a,e2,04,ad,3b,d7,96,..
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001]
"a0"=hex:20,01,00,00,68,bb,b4,00,59,04,d8,c0,f0,ae,82,32,0c,b8,b8,27,6e,..
"khjeh"=hex:90,47,1d,f0,95,06,ad,cf,3c,ef,da,3d,8b,21,b1,a9,54,8b,69,a5,ad,..
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40]
"khjeh"=hex:bb,19,9c,91,92,e9,ad,05,a8,53,30,05,fd,f2,3f,c8,04,0d,16,32,4f,..
scanning hidden registry entries ...
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=""
"DeviceNotSelectedTimeout"="15"
"GDIProcessHandleQuota"=dword:00002710
"Spooler"="yes"
"swapdisk"=""
"TransmissionRetryTimeout"="90"
"USERProcessHandleQuota"=dword:00002710
scanning hidden files ...
scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0
Remaining Services :
Remaining Files :
File Backups: - C:\DOCUME~1\ANMA1\MISDOC~1\DESCAR~1\SDFix\SDFix\backups\backups.zip
Files with Hidden Attributes :
Fri 30 Aug 2002 57,344 A.SH. --- "C:\Archivos de programa\Outlook Express\msimn.exe"
Thu 6 Mar 2008 23,040 ...H. --- "C:\Documents and Settings\ANMA1\Datos de programa\Microsoft\Word\~WRL0196.tmp"
Thu 6 Mar 2008 23,040 ...H. --- "C:\Documents and Settings\ANMA1\Datos de programa\Microsoft\Word\~WRL0665.tmp"
Thu 6 Mar 2008 26,112 ...H. --- "C:\Documents and Settings\ANMA1\Datos de programa\Microsoft\Word\~WRL0690.tmp"
Thu 6 Mar 2008 22,016 ...H. --- "C:\Documents and Settings\ANMA1\Datos de programa\Microsoft\Word\~WRL1175.tmp"
Wed 5 Mar 2008 19,456 ...H. --- "C:\Documents and Settings\ANMA1\Datos de programa\Microsoft\Word\~WRL1232.tmp"
Wed 5 Mar 2008 19,456 ...H. --- "C:\Documents and Settings\ANMA1\Datos de programa\Microsoft\Word\~WRL1265.tmp"
Thu 6 Mar 2008 25,088 ...H. --- "C:\Documents and Settings\ANMA1\Datos de programa\Microsoft\Word\~WRL2011.tmp"
Wed 5 Mar 2008 19,456 ...H. --- "C:\Documents and Settings\ANMA1\Datos de programa\Microsoft\Word\~WRL2133.tmp"
Thu 6 Mar 2008 23,040 ...H. --- "C:\Documents and Settings\ANMA1\Datos de programa\Microsoft\Word\~WRL2414.tmp"
Thu 6 Mar 2008 24,576 ...H. --- "C:\Documents and Settings\ANMA1\Datos de programa\Microsoft\Word\~WRL2507.tmp"
Wed 5 Mar 2008 19,456 ...H. --- "C:\Documents and Settings\ANMA1\Datos de programa\Microsoft\Word\~WRL2602.tmp"
Wed 5 Mar 2008 19,968 ...H. --- "C:\Documents and Settings\ANMA1\Datos de programa\Microsoft\Word\~WRL2743.tmp"
Wed 5 Mar 2008 21,504 ...H. --- "C:\Documents and Settings\ANMA1\Datos de programa\Microsoft\Word\~WRL3166.tmp"
Wed 5 Mar 2008 21,504 ...H. --- "C:\Documents and Settings\ANMA1\Datos de programa\Microsoft\Word\~WRL3389.tmp"
Thu 6 Mar 2008 25,600 ...H. --- "C:\Documents and Settings\ANMA1\Datos de programa\Microsoft\Word\~WRL3835.tmp"
Finished!Report Hijack:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15:53:27, on 19/05/2008
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Boot mode: Normal
Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Archivos de programa\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\Archivos de programa\ESET\ESET NOD32 Antivirus\ekrn.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\tcpsvcs.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\inetsrv\inetinfo.exe
C:\WINNT\Explorer.EXE
C:\WINNT\system32\notepad.exe
C:\Archivos de programa\Java\jre1.6.0_05\bin\jusched.exe
C:\Archivos de programa\ESET\ESET NOD32 Antivirus\egui.exe
C:\Archivos de programa\Mozilla Firefox\firefox.exe
C:\Archivos de programa\Trend Micro\HijackThis\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http:\\www.google.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
http://www.google.es/R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http:\\www.irm-sa.es
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer proporcionado por IRM S.A.
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: DAPHelper Class - {0000CC75-ACF3-4cac-A0A9-DD3868E06852} - C:\Archivos de programa\DAP\DAPBHO.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.6.0_05\bin\ssv.dll
O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: @msdxmLC.dll,-1[arroba]1033,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O3 - Toolbar: DAP Bar - {62999427-33FC-4baf-9C9C-BCE6BD127F08} - C:\Archivos de programa\DAP\DAPIEBar.dll (file missing)
O3 - Toolbar: PDF de Adobe - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Archivos de programa\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKLM\..\Run: [egui] "C:\Archivos de programa\ESET\ESET NOD32 Antivirus\egui.exe" /hide /waitservice
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [NodLogin] C:\Archivos de programa\ESET\ESET NOD32 Antivirus\nodlogin.exe
O4 - HKCU\..\Run: [updateMgr] "C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AdobeUpdateManager.exe" AcPro7_0_7 -reboot 1
O4 - HKUS\.DEFAULT\..\Run: [internat.exe] internat.exe (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [^SetupICWDesktop] C:\Archivos de programa\Internet Explorer\Connection Wizard\icwconn1.exe /desktop (User 'Default user')
O8 - Extra context menu item: &Download with &DAP - C:\ARCHIV~1\DAP\dapextie.htm
O8 - Extra context menu item: Convertir a PDF de Adobe - res://C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convertir a PDF existente - res://C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convertir destino de vínculo a PDF existente - res://C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convertir destino de vínculo en archivo PDF de Adobe - res://C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convertir selección a archivo PDF existente - res://C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convertir selección a PDF de Adobe - res://C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convertir vínculos seleccionados a PDF de Adobe - res://C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Convertir vínculos seleccionados a PDF existente - res://C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Download &all with DAP - C:\ARCHIV~1\DAP\dapextie2.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: Run DAP - {669695BC-A811-4A9D-8CDF-BA8C795F261C} - C:\ARCHIV~1\DAP\DAP.EXE
O14 - IERESET.INF: START_PAGE_URL=http:\\www.irm-sa.es
O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) -
http://downloads.ewido.net/ewidoOnlineScan.cabO16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) -
http://gfx2.hotmail.com/mail/w2/resources/MSNPUpld.cabO16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) -
http://www.update.microsoft.com/windowsupd...b?1194374503570O18 - Filter hijack: text/html - {DC186800-657F-11D4-B0B5-0050BABFC904} - C:\WINNT\system32\urwnon.dll
O18 - Filter: text/plain - {DC186800-657F-11D4-B0B5-0050BABFC904} - C:\WINNT\system32\urwnon.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Archivos de programa\Archivos comunes\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Ares Chatroom server (AresChatServer) - Ares Development Group - C:\Archivos de programa\Ares\chatServer.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Archivos de programa\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Servicio del administrador de discos lógicos (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: Eset HTTP Server (EhttpSrv) - Unknown owner - C:\Archivos de programa\ESET\ESET NOD32 Antivirus\EHttpSrv.exe (file missing)
O23 - Service: Eset Service (ekrn) - ESET - C:\Archivos de programa\ESET\ESET NOD32 Antivirus\ekrn.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Archivos de programa\Archivos comunes\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Programador de tareas (Schedule) - Unknown owner - C:\WINNT\system32\drivers\spools.exe (file missing)
O23 - Service: TuneUp Drive Defrag Service (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINNT\System32\TuneUpDefragService.exe
--
End of file - 6952 bytes
Si con esto ha quedado ya limpio de troyanos me gustaria saber q puedo hacer con el otro ordenador, en el que no tengo internet y no podria actualizar los antispyware, antivirus, etc... Si se puede hacer algo le pasare el hijackthis y pego el log. Gracias!
Ayuda con troyano. 2 ordenadores infectados!, troyano como ftp34.dll
May 15 2008, 03:33 PM
en un nuevo tema
