Este archivo que nombro en la descripcion photo.zip, son unas imagenes que acepte via msn,la realidad es que no me hubiese dado cuenta que lo tenia sino es que un contacto me avisa que estoy mandando un virus,encontre ese archivo y lo aanaliza en Virus total ( luego lo eliminé)
Este es el resultado:
Análisis del archivo photo.zip recibido el 14.07.2008 19:31:28 (CET)
Estado actual: análisis terminado
Resultado: 20/33 (60.61%)
resultados
Motor antivirus Versión Última actualización Resultado
AhnLab-V3 2008.7.11.0 2008.07.14 -
AntiVir 7.8.0.64 2008.07.14 TR/Crypt.XPACK.Gen
Authentium 5.1.0.4 2008.07.14 -
Avast 4.8.1195.0 2008.07.14 -
AVG 7.5.0.516 2008.07.14 -
BitDefender 7.2 2008.07.14 Win32.Worm.Slenfbot.AD
CAT-QuickHeal 9.50 2008.07.14 Trojan.Mondera.gen
ClamAV 0.93.1 2008.07.14 Trojan.Vundo-5354
DrWeb 4.44.0.09170 2008.07.14 Trojan.Virtumod.based.18
eSafe 7.0.17.0 2008.07.14 Win32.Mondera.gen
eTrust-Vet 31.6.5954 2008.07.14 -
Ewido 4.0 2008.07.14 -
F-Prot 4.4.4.56 2008.07.14 -
F-Secure 7.60.13501.0 2008.07.14 Trojan.Win32.Mondera.gen
Fortinet 3.14.0.0 2008.07.14 PossibleThreat
GData 2.0.7306.1023 2008.07.14 Trojan.Win32.Mondera.gen
Ikarus T3.1.1.26.0 2008.07.14 Trojan.Win32.Mondera
Kaspersky 7.0.0.125 2008.07.14 Trojan.Win32.Mondera.gen
McAfee 5338 2008.07.14 -
Microsoft 1.3704 2008.07.14 Worm:Win32/Slenping.I
NOD32v2 3266 2008.07.14 Win32/Agent.NLY
Norman 5.80.02 2008.07.14 W32/Vundo.DIU
Panda 9.0.0.4 2008.07.14 -
Prevx1 V2 2008.07.14 Malicious Software
Rising 20.53.02.00 2008.07.14 -
Sophos 4.31.0 2008.07.14 Mal/Generic-A
Sunbelt 3.1.1536.1 2008.07.12 -
Symantec 10 2008.07.14 Backdoor.Trojan
TheHacker 6.2.96.379 2008.07.14 -
TrendMicro 8.700.0.1004 2008.07.14 TROJ_MONDERA.AT
VBA32 3.12.6.9 2008.07.13 Trojan.Win32.Mondera.gen
VirusBuster 4.5.11.0 2008.07.14 -
Webwasher-Gateway 6.6.2 2008.07.14 Trojan.Crypt.XPACK.Gen
Información adicional
File size: 19633 bytes
MD5...: ff3ae809233ca3aa02ad1d5badab32c5
SHA1..: 259382a17c94e378a2ecaf7aa07c0fb93790750a
SHA256: 1de67840f1d9180cf5579e5f1672041958b4f03572370ae01675bd12c934e940
SHA512: 6c240695863e2fc4aa65fe882c6214cbecdd31cd5ad92d00c015b9981c74d5f6
333a72c19e5aa70c2c1ce09c846426e4c03acecdfe5a1e0f0ebbb0dcb2562ca6
PEiD..: -
PEInfo: -
Prevx info:
http://info.prevx.com/aboutprogramtext.asp...DBF14003FED110Cpackers (Kaspersky): PE_Patch.UPX, UPX
packers (F-Prot): UPX
Elimine archivos temporales y de java tambien, pasé Avg antispyware y este es el resultado:
---------------------------------------------------------
AVG Anti-Spyware - Informe del análisis
---------------------------------------------------------
+ Creado en: 10:03:00 22-05-2008
+ Resultado del análisis:
C:\Documents and Settings\Jaime Pinto\Escritorio\EvID4226Patch.exe -> Not-A-Virus.Hacktool.EvID : Omitidos.
::Fin del informe
Aquí analisis online con Kaspersky.
-------------------------------------------------------------------------------
KASPERSKY ONLINE SCANNER INFORME
martes, 15 de julio de 2008 20:48:56
Sistema operativo: Microsoft Windows XP Professional, Service Pack 2 (Build 2600)
Kaspersky Online Scanner versión: 5.0.84.1
Ultima actualización: 15/07/2008
Registros en la base antivirus: 853370
-------------------------------------------------------------------------------
Configuración del análisis:
Analizar usando las siguientes bases: standard
Analizar archivos: verdadero
Analizar bases de correo: verdadero
Objetivo a analizar - Mi PC:
C:\
D:\
Estadísticas:
Número de objeros analizados: 127097
Virus encontrados: 1
Objetos infectados: 6 / 0
Objetos sospechosos: 0
Duración del análisis: 01:58:28
Bombre del objeto infectado / Nombre del virus / Última acción
C:\Archivos de programa\Alwil Software\Avast4\DATA\aswResp.dat Object is locked saltado
C:\Archivos de programa\Alwil Software\Avast4\DATA\Avast4.db Object is locked saltado
C:\Archivos de programa\Alwil Software\Avast4\DATA\integ\avast.int Object is locked saltado
C:\Archivos de programa\Alwil Software\Avast4\DATA\log\nshield.log Object is locked saltado
C:\Archivos de programa\Alwil Software\Avast4\DATA\log\selfdef.log Object is locked saltado
C:\Documents and Settings\All Users\Datos de programa\Microsoft\Network\Downloader\qmgr0.dat Object is locked saltado
C:\Documents and Settings\All Users\Datos de programa\Microsoft\Network\Downloader\qmgr1.dat Object is locked saltado
C:\Documents and Settings\Jaime Pinto\Configuración local\Archivos temporales de Internet\AntiPhishing\B3BB5BBA-E7D5-40AB-A041-A5B1C0B26C8F.dat Object is locked saltado
C:\Documents and Settings\Jaime Pinto\Configuración local\Archivos temporales de Internet\Content.IE5\index.dat Object is locked saltado
C:\Documents and Settings\Jaime Pinto\Configuración local\Datos de programa\Microsoft\Messenger\jimoxuita[arroba]hotmail.com\SharingMetadata\Logs\Dfsr00005.log Object is locked saltado
C:\Documents and Settings\Jaime Pinto\Configuración local\Datos de programa\Microsoft\Messenger\jimoxuita[arroba]hotmail.com\SharingMetadata\pending.dat Object is locked saltado
C:\Documents and Settings\Jaime Pinto\Configuración local\Datos de programa\Microsoft\Messenger\jimoxuita[arroba]hotmail.com\SharingMetadata\Working\database_9C60_28A7_6028_89DA\dfsr.db Object is locked saltado
C:\Documents and Settings\Jaime Pinto\Configuración local\Datos de programa\Microsoft\Messenger\jimoxuita[arroba]hotmail.com\SharingMetadata\Working\database_9C60_28A7_6028_89DA\fsr.log Object is locked saltado
C:\Documents and Settings\Jaime Pinto\Configuración local\Datos de programa\Microsoft\Messenger\jimoxuita[arroba]hotmail.com\SharingMetadata\Working\database_9C60_28A7_6028_89DA\fsrtmp.log Object is locked saltado
C:\Documents and Settings\Jaime Pinto\Configuración local\Datos de programa\Microsoft\Messenger\jimoxuita[arroba]hotmail.com\SharingMetadata\Working\database_9C60_28A7_6028_89DA\tmp.edb Object is locked saltado
C:\Documents and Settings\Jaime Pinto\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat Object is locked saltado
C:\Documents and Settings\Jaime Pinto\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat.LOG Object is locked saltado
C:\Documents and Settings\Jaime Pinto\Configuración local\Datos de programa\Microsoft\Windows Live Contacts\jimoxuita[arroba]hotmail.com\real\members.stg Object is locked saltado
C:\Documents and Settings\Jaime Pinto\Configuración local\Datos de programa\Microsoft\Windows Live Contacts\jimoxuita[arroba]hotmail.com\shadow\members.stg Object is locked saltado
C:\Documents and Settings\Jaime Pinto\Configuración local\Datos de programa\Mozilla\Firefox\Profiles\g2pj3bi7.default\Cache\_CACHE_001_ Object is locked saltado
C:\Documents and Settings\Jaime Pinto\Configuración local\Datos de programa\Mozilla\Firefox\Profiles\g2pj3bi7.default\Cache\_CACHE_002_ Object is locked saltado
C:\Documents and Settings\Jaime Pinto\Configuración local\Datos de programa\Mozilla\Firefox\Profiles\g2pj3bi7.default\Cache\_CACHE_003_ Object is locked saltado
C:\Documents and Settings\Jaime Pinto\Configuración local\Datos de programa\Mozilla\Firefox\Profiles\g2pj3bi7.default\Cache\_CACHE_MAP_ Object is locked saltado
C:\Documents and Settings\Jaime Pinto\Configuración local\Datos de programa\Mozilla\Firefox\Profiles\g2pj3bi7.default\urlclassifier3.sqlite Object is locked saltado
C:\Documents and Settings\Jaime Pinto\Configuración local\Historial\History.IE5\index.dat Object is locked saltado
C:\Documents and Settings\Jaime Pinto\Configuración local\Temp\Perflib_Perfdata_d40.dat Object is locked saltado
C:\Documents and Settings\Jaime Pinto\Configuración local\Temp\photo.zip/photo1226.jpeg-www.myspace.com Infectados: Trojan.Win32.Mondera.gen saltado
C:\Documents and Settings\Jaime Pinto\Configuración local\Temp\photo.zip ZIP: infectado - 1 saltado
C:\Documents and Settings\Jaime Pinto\Configuración local\Temp\~DF5CAD.tmp Object is locked saltado
C:\Documents and Settings\Jaime Pinto\Configuración local\Temp\~DF5CC7.tmp Object is locked saltado
C:\Documents and Settings\Jaime Pinto\Configuración local\Temp\~DF9D3F.tmp Object is locked saltado
C:\Documents and Settings\Jaime Pinto\Configuración local\Temp\~DF9D53.tmp Object is locked saltado
C:\Documents and Settings\Jaime Pinto\Cookies\index.dat Object is locked saltado
C:\Documents and Settings\Jaime Pinto\Datos de programa\Mozilla\Firefox\Profiles\g2pj3bi7.default\cert8.db Object is locked saltado
C:\Documents and Settings\Jaime Pinto\Datos de programa\Mozilla\Firefox\Profiles\g2pj3bi7.default\content-prefs.sqlite Object is locked saltado
C:\Documents and Settings\Jaime Pinto\Datos de programa\Mozilla\Firefox\Profiles\g2pj3bi7.default\cookies.sqlite Object is locked saltado
C:\Documents and Settings\Jaime Pinto\Datos de programa\Mozilla\Firefox\Profiles\g2pj3bi7.default\downloads.sqlite Object is locked saltado
C:\Documents and Settings\Jaime Pinto\Datos de programa\Mozilla\Firefox\Profiles\g2pj3bi7.default\formhistory.sqlite Object is locked saltado
C:\Documents and Settings\Jaime Pinto\Datos de programa\Mozilla\Firefox\Profiles\g2pj3bi7.default\key3.db Object is locked saltado
C:\Documents and Settings\Jaime Pinto\Datos de programa\Mozilla\Firefox\Profiles\g2pj3bi7.default\parent.lock Object is locked saltado
C:\Documents and Settings\Jaime Pinto\Datos de programa\Mozilla\Firefox\Profiles\g2pj3bi7.default\permissions.sqlite Object is locked saltado
C:\Documents and Settings\Jaime Pinto\Datos de programa\Mozilla\Firefox\Profiles\g2pj3bi7.default\places.sqlite Object is locked saltado
C:\Documents and Settings\Jaime Pinto\Datos de programa\Mozilla\Firefox\Profiles\g2pj3bi7.default\places.sqlite-journal Object is locked saltado
C:\Documents and Settings\Jaime Pinto\Datos de programa\Mozilla\Firefox\Profiles\g2pj3bi7.default\places.sqlite-stmtjrnl Object is locked saltado
C:\Documents and Settings\Jaime Pinto\Datos de programa\Mozilla\Firefox\Profiles\g2pj3bi7.default\search.sqlite Object is locked saltado
C:\Documents and Settings\Jaime Pinto\Mis documentos\Mis archivos recibidos\photo.zip/photo1226.jpeg-www.myspace.com Infectados: Trojan.Win32.Mondera.gen saltado
C:\Documents and Settings\Jaime Pinto\Mis documentos\Mis archivos recibidos\photo.zip ZIP: infectado - 1 saltado
C:\Documents and Settings\Jaime Pinto\ntuser.dat Object is locked saltado
C:\Documents and Settings\Jaime Pinto\ntuser.dat.LOG Object is locked saltado
C:\Documents and Settings\Jaime Pinto\vkfbbg.exe Infectados: Trojan.Win32.Mondera.gen saltado
C:\Documents and Settings\LocalService\Configuración local\Archivos temporales de Internet\Content.IE5\index.dat Object is locked saltado
C:\Documents and Settings\LocalService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat Object is locked saltado
C:\Documents and Settings\LocalService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat.LOG Object is locked saltado
C:\Documents and Settings\LocalService\Configuración local\Historial\History.IE5\index.dat Object is locked saltado
C:\Documents and Settings\LocalService\Cookies\index.dat Object is locked saltado
C:\Documents and Settings\LocalService\NTUSER.DAT Object is locked saltado
C:\Documents and Settings\LocalService\ntuser.dat.LOG Object is locked saltado
C:\Documents and Settings\NetworkService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat Object is locked saltado
C:\Documents and Settings\NetworkService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat.LOG Object is locked saltado
C:\Documents and Settings\NetworkService\NTUSER.DAT Object is locked saltado
C:\Documents and Settings\NetworkService\ntuser.dat.LOG Object is locked saltado
C:\System Volume Information\MountPointManagerRemoteDatabase Object is locked saltado
C:\System Volume Information\_restore{888E9416-BEEF-4634-95FB-E0ACE0748587}\RP107\change.log Object is locked saltado
C:\WINDOWS\Debug\PASSWD.LOG Object is locked saltado
C:\WINDOWS\SchedLgU.Txt Object is locked saltado
C:\WINDOWS\SoftwareDistribution\DataStore\DataStore.edb Object is locked saltado
C:\WINDOWS\SoftwareDistribution\DataStore\Logs\edb.log Object is locked saltado
C:\WINDOWS\SoftwareDistribution\DataStore\Logs\tmp.edb Object is locked saltado
C:\WINDOWS\SoftwareDistribution\ReportingEvents.log Object is locked saltado
C:\WINDOWS\Sti_Trace.log Object is locked saltado
C:\WINDOWS\system32\CatRoot2\edb.log Object is locked saltado
C:\WINDOWS\system32\CatRoot2\tmp.edb Object is locked saltado
C:\WINDOWS\system32\config\Antivirus.Evt Object is locked saltado
C:\WINDOWS\system32\config\AppEvent.Evt Object is locked saltado
C:\WINDOWS\system32\config\default Object is locked saltado
C:\WINDOWS\system32\config\default.LOG Object is locked saltado
C:\WINDOWS\system32\config\Internet.evt Object is locked saltado
C:\WINDOWS\system32\config\ODiag.evt Object is locked saltado
C:\WINDOWS\system32\config\OSession.evt Object is locked saltado
C:\WINDOWS\system32\config\SAM Object is locked saltado
C:\WINDOWS\system32\config\SAM.LOG Object is locked saltado
C:\WINDOWS\system32\config\SecEvent.Evt Object is locked saltado
C:\WINDOWS\system32\config\SECURITY Object is locked saltado
C:\WINDOWS\system32\config\SECURITY.LOG Object is locked saltado
C:\WINDOWS\system32\config\software Object is locked saltado
C:\WINDOWS\system32\config\software.LOG Object is locked saltado
C:\WINDOWS\system32\config\SysEvent.Evt Object is locked saltado
C:\WINDOWS\system32\config\system Object is locked saltado
C:\WINDOWS\system32\config\system.LOG Object is locked saltado
C:\WINDOWS\system32\h323log.txt Object is locked saltado
C:\WINDOWS\system32\LogFiles\WUDF\WUDFTrace.etl Object is locked saltado
C:\WINDOWS\system32\tvaj.exe Infectados: Trojan.Win32.Mondera.gen saltado
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR Object is locked saltado
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP Object is locked saltado
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER Object is locked saltado
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP Object is locked saltado
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP Object is locked saltado
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA Object is locked saltado
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP Object is locked saltado
C:\WINDOWS\Temp\Perflib_Perfdata_5c8.dat Object is locked saltado
C:\WINDOWS\Temp\Perflib_Perfdata_6bc.dat Object is locked saltado
C:\WINDOWS\wiadebug.log Object is locked saltado
C:\WINDOWS\wiaservc.log Object is locked saltado
C:\WINDOWS\WindowsUpdate.log Object is locked saltado
Análisis completado.
Aqui les dejo mi log de hijackthis,
Logfile of Trend Micro HijackThis v2.0.0 (BETA)
Scan saved at 20:52:01, on 15-07-2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Archivos de programa\Lavasoft\Ad-Aware\aawservice.exe
C:\Archivos de programa\Alwil Software\Avast4\aswUpdSv.exe
C:\Archivos de programa\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Archivos de programa\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\Archivos de programa\M-Audio Fast Track\GBInst.exe
C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7DEBUG\mdm.exe
C:\Archivos de programa\CDBurnerXP\NMSAccessU.exe
C:\Archivos de programa\CyberLink\Shared Files\RichVideo.exe
C:\WINDOWS\system32\svchost.exe
C:\Archivos de programa\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\ARCHIV~1\ALWILS~1\Avast4\ashDisp.exe
C:\Archivos de programa\Java\jre1.6.0_05\bin\jusched.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Archivos de programa\Windows Live\Messenger\msnmsgr.exe
C:\Archivos de programa\Messenger\msmsgs.exe
C:\WINDOWS\BricoPacks\Crystal Clear\YzToolbar\YzToolBar.exe
C:\Archivos de programa\Windows Live\Messenger\usnsvc.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\ntvdm.exe
C:\DOCUME~1\JAIMEP~1\CONFIG~1\Temp\Rar$EX00.906\HiJackThis_v2.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
http://www.google.cl/R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL =
http://go.microsoft.com/fwlink/?LinkId=69157R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL =
http://go.microsoft.com/fwlink/?LinkId=54896R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page =
http://go.microsoft.com/fwlink/?LinkId=54896R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
http://go.microsoft.com/fwlink/?LinkId=69157R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
R3 - URLSearchHook: Barra Yahoo! con bloqueador de ventanas emergentes - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\Documents and Settings\Jaime Pinto\vkfbbg.exe \o
O2 - BHO: Aplicación auxiliar de vínculos de Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Archivos comunes\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\ARCHIV~1\MICROS~2\Office12\GRA8E1~1.DLL
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.6.0_05\bin\ssv.dll
O2 - BHO: Windows Live Aplicación auxiliar de inicio de sesión - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O3 - Toolbar: Barra Yahoo! con bloqueador de ventanas emergentes - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O4 - HKLM\..\Run: [ATIPTA] "C:\Archivos de programa\ATI Technologies\ATI Control Panel\atiptaxx.exe"
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [avast!] C:\ARCHIV~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Archivos de programa\Grisoft\AVG Anti-Spyware 7.5\_avgas.exe" /minimized
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Archivos de programa\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [TkBellExe] "C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Archivos de programa\Archivos comunes\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [LanguageShortcut] "C:\Archivos de programa\CyberLink\PowerDVD\Language\Language.exe"
O4 - HKLM\..\Run: [tvaj] C:\WINDOWS\system32\tvaj.exe \j
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Archivos de programa\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [MSMSGS] "C:\Archivos de programa\Messenger\msmsgs.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICIO LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Servicio de red')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: Y'z Toolbar.lnk = C:\WINDOWS\BricoPacks\Crystal Clear\YzToolbar\YzToolBar.exe
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: Enlace de descarga usando Mega Manager... - C:\Archivos de programa\Megaupload\Mega Manager\mm_file.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\WINDOWS\system32\shdocvw.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\WINDOWS\system32\shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) -
http://www.kaspersky.com/kos/spanish/kavwebscan_unicode.cabO16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) -
http://downloads.ewido.net/ewidoOnlineScan.cabO16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (Installation Support) - C:\Archivos de programa\Yahoo!\Common\Yinsthelper.dll
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) -
http://gfx2.hotmail.com/mail/w2/resources/MSNPUpld.cabO16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} -
http://download.bitdefender.com/resources/scan8/oscan8.cabO16 - DPF: {5ED80217-570B-4DA9-BF44-BE107C0EC166} (Windows Live Safety Center Base Module) -
http://cdn.scan.onecare.live.com/resource/...wlscbase370.cabO16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) -
http://www.update.microsoft.com/windowsupd...b?1200370267609O16 - DPF: {6E5E167B-1566-4316-B27F-0DDAB3484CF7} (Image Uploader Control) -
http://www.esfoto.cl/ImageUploader4.cabO16 - DPF: {C9386579-3C0F-4713-82C6-5BA8088C7C8D} (Windows Live SkyDrive Upload Tool) -
https://secure.shared.live.com/Pa6vGqB728Ax....RichUpload.cabO16 - DPF: {CF40ACC5-E1BB-4AFF-AC72-04C2F616BCA7} (get_atlcom Class) -
http://www.adobe.com/products/acrobat/nos/gp.cabO16 - DPF: {FE0BD779-44EE-4A4B-AA2E-743C63F2E5E6} (IWinAmpActiveX Class) -
http://pdl.stream.aol.com/downloads/aol/unagi/ampx_en_dl.cabO17 - HKLM\System\CCS\Services\Tcpip\..\{EF93213D-9E3F-4996-A533-95ACC9B67FBC}: NameServer = 216.155.73.40,216.155.73.41
O17 - HKLM\System\CCS\Services\Tcpip\..\{FE4B6AA2-FF2A-4F8B-A7D2-6B36C9F992DF}: NameServer = 216.155.73.40 216.155.72.38
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\ARCHIV~1\MICROS~2\Office12\GR99D3~1.DLL
O22 - SharedTaskScheduler: Precargador Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Demonio de caché de las categorías de componente - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Archivos de programa\Lavasoft\Ad-Aware\aawservice.exe
O23 - Service: Ares Chatroom server (AresChatServer) - Ares Development Group - C:\Archivos de programa\Ares\chatServer.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Archivos de programa\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Archivos de programa\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Archivos de programa\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Archivos de programa\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Archivos de programa\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Servicio del administrador de discos lógicos (dmadmin) - Unknown owner - C:\WINDOWS\System32\dmadmin.exe
O23 - Service: Registro de sucesos (Eventlog) - Unknown owner - C:\WINDOWS\system32\services.exe
O23 - Service: Fast Track Installer (FastTrackInstallerService) - Nemesis - C:\Archivos de programa\M-Audio Fast Track\GBInst.exe
O23 - Service: Administrador de Google Desktop 5.7.802.22438 (GoogleDesktopManager-022208-143751) - Google - C:\Archivos de programa\Google\Google Desktop Search\GoogleDesktop.exe
O23 - Service: Servicio COM de grabación de CD de IMAPI (ImapiService) - Unknown owner - C:\WINDOWS\system32\imapi.exe
O23 - Service: Escritorio remoto compartido de NetMeeting (mnmsrvc) - Unknown owner - C:\WINDOWS\system32\mnmsrvc.exe
O23 - Service: NBService - Nero AG - C:\Archivos de programa\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Archivos de programa\Archivos comunes\Ahead\Lib\NMIndexingService.exe
O23 - Service: NMSAccessU - Unknown owner - C:\Archivos de programa\CDBurnerXP\NMSAccessU.exe
O23 - Service: Plug and Play (PlugPlay) - Unknown owner - C:\WINDOWS\system32\services.exe
O23 - Service: Administrador de sesión de Ayuda de escritorio remoto (RDSessMgr) - Unknown owner - C:\WINDOWS\system32\sessmgr.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Archivos de programa\CyberLink\Shared Files\RichVideo.exe
O23 - Service: Tarjeta inteligente (SCardSvr) - Unknown owner - C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: ServiceLayer - Nokia. - C:\Archivos de programa\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: Registros y alertas de rendimiento (SysmonLog) - Unknown owner - C:\WINDOWS\system32\smlogsvc.exe
O23 - Service: Instantáneas de volumen (VSS) - Unknown owner - C:\WINDOWS\System32\vssvc.exe
O23 - Service: Adaptador de rendimiento de WMI (WmiApSrv) - Unknown owner - C:\WINDOWS\system32\wbem\wmiapsrv.exe
O23 - Service: Servicio de uso compartido de red del Reproductor de Windows Media (WMPNetworkSvc) - Unknown owner - C:\Archivos de programa\Windows Media Player\WMPNetwk.exe
--
End of file - 11570 bytes
Log de un amigo, photo.zip infectado
Jul 16 2008, 01:26 PM
