Tema: ¡No hay quién pueda con este troyano! System32:TratBHO (Solucionado)
Ver Mensaje Individual
  #9 (permalink)  
Antiguo 15/01/2008, 12:02
fjsaras
 
Fecha de Ingreso: enero-2008
Mensajes: 35
Antigüedad: 17 años
Puntos: 0
Re: ¡No hay quién pueda con este troyano!.
Y aquí la segunda parte:


2007-12-29 18:47 . 2004-12-10 19:43 1,047,552 --a------ C:\WINDOWS\system32\mfc71u.dll
2007-12-29 18:47 . 2007-12-29 18:47 28,352 --a------ C:\WINDOWS\system32\drivers\MxlW2k.sys
2007-12-29 16:04 . 2007-12-29 16:04 <DIR> d-------- C:\Documents and Settings\Saras Zubizarreta\Datos de programa\Yahoo!
2007-12-29 15:49 . 2007-12-29 16:23 <DIR> d-------- C:\WINDOWS\system32\oodag
2007-12-29 15:49 . 2007-12-29 15:49 0 --a------ C:\WINDOWS\oodcnt.INI
2007-12-29 15:47 . 2007-12-29 15:47 <DIR> d-------- C:\Archivos de programa\OO Software
2007-12-28 22:36 . 2007-12-28 22:36 <DIR> d-------- C:\WINDOWS\Downloaded Installations
2007-12-28 21:53 . 2007-12-28 21:53 0 --a------ C:\WINDOWS\system32\mapisvc.inf
2007-12-25 21:25 . 2007-12-25 21:25 <DIR> d-------- C:\Documents and Settings\Usuario.PC0023\Datos de programa\Yahoo!
2007-12-21 22:37 . 2007-12-21 22:37 <DIR> d-------- C:\Documents and Settings\Usuario.PC0023\Datos de programa\Media Player Classic
2007-12-20 22:59 . 2007-12-20 22:59 <DIR> d-------- C:\Archivos de programa\K-Lite Codec Pack
2007-12-20 22:59 . 2007-07-25 14:24 1,559,040 --a------ C:\WINDOWS\system32\xvidcore.dll
2007-12-20 22:59 . 2006-09-24 16:11 389,120 --a------ C:\WINDOWS\system32\lameACM.acm
2007-12-20 22:59 . 2007-03-10 12:51 282,624 --a------ C:\WINDOWS\system32\xvidvfw.dll
2007-12-20 22:59 . 2004-01-25 17:18 217,088 --a------ C:\WINDOWS\system32\yv12vfw.dll

.
(((((((((((((((((((((((((((((((((((((( Reporte Find3M )))))))))))))))))))))))))))))))))))))))))))))))))) )
.
2008-01-15 15:27 196,608 ----a-w C:\WINDOWS\system32\drivers\aStandard.bin
2008-01-15 00:02 --------- d--h--w C:\Archivos de programa\InstallShield Installation Information
2008-01-15 00:02 --------- d-----w C:\Archivos de programa\Google
2008-01-15 00:02 --------- d-----w C:\Archivos de programa\Archivos comunes\Logitech
2008-01-13 15:19 --------- d-----w C:\Documents and Settings\Usuario.PC0023\Datos de programa\Lavasoft
2008-01-10 19:03 --------- d-----w C:\Archivos de programa\DivX
2007-12-29 17:47 --------- d-----w C:\Archivos de programa\Musicmatch
2007-12-28 21:36 --------- d-----w C:\Archivos de programa\Archivos comunes\Adobe
2007-12-25 20:27 --------- d-----w C:\Documents and Settings\All Users.WINDOWS\Datos de programa\Yahoo! Companion
2007-12-12 02:01 --------- d-----w C:\Documents and Settings\All Users.WINDOWS\Datos de programa\Microsoft Help
2007-12-11 01:10 --------- d-----w C:\Archivos de programa\Lphant
2007-12-09 16:04 --------- d-----w C:\Documents and Settings\All Users.WINDOWS\Datos de programa\Avg7
2007-12-02 18:10 --------- d-----w C:\Archivos de programa\CCleaner
2007-11-24 19:18 --------- d-----w C:\Archivos de programa\Codebox
2007-11-21 23:30 --------- d-----w C:\Archivos de programa\winLAME
2007-11-21 00:48 --------- d-----w C:\Archivos de programa\MSXML 6.0
2007-11-20 22:37 --------- d-----w C:\Documents and Settings\Usuario.PC0023\Datos de programa\AdobeUM
2007-11-20 22:25 --------- d-----w C:\Archivos de programa\Archivos comunes\SWF Studio
2007-05-24 21:51 0 ---ha-w C:\Documents and Settings\Saras Zubizarreta\hpothb07.dat
.
Código: 
<pre>
----a-w            15,360 2008-01-08 13:05:57  C:\WINDOWS\system32\ctfmon .exe
</pre>

((((((((((((((((((((((((((((( snapshot@2008-01-15_14.38.55,64 )))))))))))))))))))))))))))))))))))))))))
.
- 2008-01-15 13:36:21 1,413,120 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\00000001\NTUSER.DAT
+ 2008-01-15 17:42:23 1,413,120 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\00000001\NTUSER.DAT
- 2008-01-15 13:36:21 8,192 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\00000002\UsrClass.dat
+ 2008-01-15 17:42:23 8,192 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\00000002\UsrClass.dat
- 2008-01-15 13:36:21 1,413,120 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\00000003\NTUSER.DAT
+ 2008-01-15 17:42:23 1,413,120 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\00000003\NTUSER.DAT
- 2008-01-15 13:36:21 8,192 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\00000004\UsrClass.dat
+ 2008-01-15 17:42:23 8,192 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\00000004\UsrClass.dat
- 2008-01-15 13:36:21 7,020,544 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\00000005\NTUSER.DAT
+ 2008-01-15 17:42:23 7,028,736 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\00000005\NTUSER.DAT
- 2008-01-15 13:36:21 360,448 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\00000006\UsrClass.dat
+ 2008-01-15 17:42:23 360,448 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\00000006\UsrClass.dat
+ 2008-01-15 17:46:58 16,384 ----atw C:\WINDOWS\Temp\Perflib_Perfdata_6c4.dat
.
((((((((((((((((((((((((((((((((( Cargando Puntos Reg ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Nota* entradas vac¡as & entradas leg¡timas predeterminadas no son mostradas

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-19 14:42 15360]
"googletalk"="C:\Archivos de programa\Google\Google Talk\googletalk.exe" [2007-11-21 03:11 3293184]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run]
"RTHDCPL"="RTHDCPL.EXE" [2006-05-04 08:59 16206848 C:\WINDOWS\RTHDCPL.exe]
"SkyTel"="SkyTel.EXE" [2006-04-24 08:20 1448960 C:\WINDOWS\SkyTel.exe]
"Logitech Utility"="Logi_MwX.Exe" [2003-06-30 08:50 19968 C:\WINDOWS\LOGI_MWX.EXE]
"OODefragTray"="C:\WINDOWS\system32\oodtray.ex e" [2008-01-13 16:09 2512392]
"avast!"="C:\ARCHIV~1\ALWILS~1\Avast4\ashDisp. exe" [2007-12-04 14:00 79224]
"TrojanScanner"="C:\Archivos de programa\Trojan Remover\Trjscan.exe" [2008-01-14 03:08 735824]
"zBrowser Launcher"="C:\Archivos de programa\Logitech\iTouch\iTouch.exe" [2004-03-18 09:33 892928]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\Cur rentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-19 14:42 15360]

[HKEY_CURRENT_USER\software\microsoft\windows\curre ntversion\policies\explorer\run]
"System Patcher"= BTCPatcher.exe

[hkey_local_machine\software\microsoft\windows\curr entversion\explorer\shellexecutehooks]
"{56F9679E-7826-4C84-81F3-532071A8BCC5}"= C:\Archivos de programa\Windows Desktop Search\MSNLNamespaceMgr.dll [2007-02-05 15:39 294400]

R1 ATMhelpr;ATMhelpr;C:\WINDOWS\system32\drivers\ATMh elpr.sys [1997-06-17 03:00]
R3 hpusbfd;Hewlett-Packard USB Filter Class;C:\WINDOWS\system32\DRIVERS\hpusbfd.sys [2002-05-22 08:40]
R3 USBSTOR;Dispositivo de almacenamiento masivo de datos USB;C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS [2004-08-03 22:08]
R3 Video3D;ASUS Video3D Service;C:\WINDOWS\system32\Drivers\Video3D32.sys [2006-09-29 09:06]
S3 usbscan;Controlador de escáner USB;C:\WINDOWS\system32\DRIVERS\usbscan.sys [2004-08-03 21:58]

.
************************************************** ************************

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-01-15 18:47:53
Windows 5.1.2600 Service Pack 2 NTFS

escaneando procesos ocultos ...

escaneando entradas ocultas de autostart ...

escaneando archivos ocultos ...

el escaneo se completo con exito
archivos ocultos: 0

************************************************** ************************
.
Tiempo completado: 2008-01-15 18:50:15 - machine was rebooted
ComboFix-quarantined-files.txt 2008-01-15 17:50:13
ComboFix2.txt 2008-01-15 13:49:37
ComboFix3.txt 2008-01-15 13:39:13
.
2008-01-09 11:48:54 --- E O F ---