View Single Post
  #10  
Old June 22nd, 2013, 09:47 PM
rrodulfo rrodulfo is offline
Senior Member
 
Join Date: Sep 2006
O/S: Windows XP Pro
Location: Monterrey, Nuevo Leon, Mexico
Posts: 159
Combofix log

ComboFix 13-06-22.01 - Rafael Rodulfo 22/06/2013 13:54:56.1.1 - x86
Microsoft Windows XP Professional 5.1.2600.3.1252.52.3082.18.2030.1283 [GMT -5:00]
Running from: d:\mis documentos\Dropbox\Downloads\Cybertechhelp\Combofi x\ComboFix.exe
AV: ESET Smart Security 6.0 *Enabled/Updated* {E5E70D32-0101-4F12-8FB0-D96ACA4F34C0}
FW: Cortafuegos personal de ESET *Enabled* {E5E70D32-0101-4340-86A3-A7B0F1C8FFE0}
* Created a new restore point
* Resident AV is active
.
.
.
((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\docume~1\RAFAEL~1\CONFIG~1\Temp\mfdwl.dll
c:\documents and settings\Rafael Rodulfo\Configuración local\Temp\mfdwl.dll
.
.
((((((((((((((((((((((((( Files Created from 2013-05-22 to 2013-06-22 )))))))))))))))))))))))))))))))
.
.
2013-06-18 17:58 . 2013-06-18 18:03 -------- d-----w- C:\Cotizador_Unico
2013-06-12 22:44 . 2013-06-12 22:44 -------- d-----w- C:\OKIDATA
2013-06-12 21:57 . 2013-06-12 21:59 -------- d-----w- C:\MetLife Cotizadores
2013-06-12 16:00 . 2013-06-12 16:00 -------- d-----w- C:\CanonMF
2013-06-09 14:23 . 2013-06-09 14:23 -------- d-----r- C:\MSOCache
.
.
.
(((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))) ))
.
2013-05-07 22:27 . 2013-01-12 18:57 43520 ----a-w- c:\windows\system32\licmgr10.dll
2013-05-07 22:27 . 2013-01-12 18:55 920064 ----a-w- c:\windows\system32\wininet.dll
2013-05-07 22:27 . 2013-01-12 18:54 1469440 ----a-w- c:\windows\system32\inetcpl.cpl
2013-05-07 21:53 . 2013-01-12 18:50 385024 ----a-w- c:\windows\system32\html.iec
2013-05-03 05:39 . 2013-01-12 18:58 2195968 ----a-w- c:\windows\system32\ntoskrnl.exe
2013-05-03 05:39 . 2010-12-10 02:44 2072576 ----a-w- c:\windows\system32\ntkrnlpa.exe
2013-04-30 06:28 . 2013-04-30 06:28 102448 ----a-w- c:\windows\system32\drivers\RapportKELL.sys
2013-04-12 14:01 . 2013-01-12 18:52 1876480 ----a-w- c:\windows\system32\win32k.sys
.
.
------- Sigcheck -------
Note: Unsigned files aren't necessarily malware.
.
[-] 2011-07-12 . 474D3DCCB57DEFCD917311EEC47204B9 . 361600 . . [5.1.2600.6009] . . c:\windows\system32\drivers\tcpip.sys
.
((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown
REGEDIT4
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\curr entversion\explorer\shelliconoverlayidentifiers\Dr opboxExt1]
@="{FB314ED9-A251-47B7-93E1-CDD82E34AF8B}"
[HKEY_CLASSES_ROOT\CLSID\{FB314ED9-A251-47B7-93E1-CDD82E34AF8B}]
2013-06-05 17:17 130736 ----a-w- c:\documents and settings\Rafael Rodulfo\Datos de programa\Dropbox\bin\DropboxExt.19.dll
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\curr entversion\explorer\shelliconoverlayidentifiers\Dr opboxExt2]
@="{FB314EDA-A251-47B7-93E1-CDD82E34AF8B}"
[HKEY_CLASSES_ROOT\CLSID\{FB314EDA-A251-47B7-93E1-CDD82E34AF8B}]
2013-06-05 17:17 130736 ----a-w- c:\documents and settings\Rafael Rodulfo\Datos de programa\Dropbox\bin\DropboxExt.19.dll
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\curr entversion\explorer\shelliconoverlayidentifiers\Dr opboxExt3]
@="{FB314EDB-A251-47B7-93E1-CDD82E34AF8B}"
[HKEY_CLASSES_ROOT\CLSID\{FB314EDB-A251-47B7-93E1-CDD82E34AF8B}]
2013-06-05 17:17 130736 ----a-w- c:\documents and settings\Rafael Rodulfo\Datos de programa\Dropbox\bin\DropboxExt.19.dll
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\curr entversion\explorer\shelliconoverlayidentifiers\Dr opboxExt4]
@="{FB314EDC-A251-47B7-93E1-CDD82E34AF8B}"
[HKEY_CLASSES_ROOT\CLSID\{FB314EDC-A251-47B7-93E1-CDD82E34AF8B}]
2013-06-05 17:17 130736 ----a-w- c:\documents and settings\Rafael Rodulfo\Datos de programa\Dropbox\bin\DropboxExt.19.dll
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run]
"igfxtray"="c:\windows\system32\igfxtray.exe" [2005-07-19 94208]
"igfxhkcmd"="c:\windows\system32\hkcmd.exe" [2005-07-19 77824]
"igfxpers"="c:\windows\system32\igfxpers.exe" [2005-07-19 114688]
"SynTPEnh"="c:\archivos de programa\Synaptics\SynTP\SynTPEnh.exe" [2009-02-06 1430824]
"Adobe ARM"="c:\archivos de programa\Archivos comunes\Adobe\ARM\1.0\AdobeARM.exe" [2013-05-11 958576]
"egui"="c:\archivos de programa\ESET\ESET Smart Security\egui.exe" [2013-03-21 5078504]
"HP Software Update"="c:\archivos de programa\HP\HP Software Update\HPWuSchd2.exe" [2007-03-12 49152]
"AhnLab Online Security Personal"="c:\archivos de programa\AhnLab\ASP\AOSPersonal\aosrun.exe" [2012-08-08 437760]
"APSDaemon"="c:\archivos de programa\Archivos comunes\Apple\Apple Application Support\APSDaemon.exe" [2013-04-22 59720]
"iTunesHelper"="c:\archivos de programa\iTunes\iTunesHelper.exe" [2013-05-31 152392]
"LogitechCommunicationsManager"="c:\archivos de programa\Archivos comunes\LogiShrd\LComMgr\Communications_Helper.exe " [2007-05-17 505368]
"LogitechQuickCamRibbon"="c:\archivos de programa\Logitech\QuickCam10\QuickCam10.exe" [2007-05-17 780312]
"SunJavaUpdateSched"="c:\archivos de programa\Archivos comunes\Java\Java Update\jusched.exe" [2012-09-17 254896]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\Cur rentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
.
c:\documents and settings\Rafael Rodulfo\Menú Inicio\Programas\Inicio\
Dropbox.lnk - c:\documents and settings\Rafael Rodulfo\Datos de programa\Dropbox\bin\Dropbox.exe /systemstartup [2013-6-5 27370808]
Trillian.lnk - c:\archivos de programa\Trillian\trillian.exe [2013-6-17 2606448]
.
c:\documents and settings\Rafael Rodulfo\Menú Inicio\Programas\Inicio\
Dropbox.lnk - c:\documents and settings\Rafael Rodulfo\Datos de programa\Dropbox\bin\Dropbox.exe /systemstartup [2013-6-5 27370808]
Trillian.lnk - c:\archivos de programa\Trillian\trillian.exe [2013-6-17 2606448]
.
c:\documents and settings\Rafael Rodulfo\Menú Inicio\Programas\Inicio\
Dropbox.lnk - c:\documents and settings\Rafael Rodulfo\Datos de programa\Dropbox\bin\Dropbox.exe /systemstartup [2013-6-5 27370808]
Trillian.lnk - c:\archivos de programa\Trillian\trillian.exe [2013-6-17 2606448]
.
c:\documents and settings\All Users\Menú Inicio\Programas\Inicio\
HP Digital Imaging Monitor.lnk - c:\archivos de programa\HP\Digital Imaging\bin\hpqtra08.exe [2007-3-11 210520]
Inicio rápido de HP Photosmart Premier.lnk - c:\archivos de programa\HP\Digital Imaging\bin\hpqthb08.exe -s [2006-2-10 73728]
SideACT!.lnk - c:\archivos de programa\ACT\SideACT.exe /s [2013-6-11 278589]
Windows Search.lnk - c:\archivos de programa\Windows Desktop Search\WindowsSearch.exe /startup [2013-6-8 123904]
.
c:\documents and settings\Rafael Rodulfo\Menú Inicio\Programas\Inicio\
Dropbox.lnk - c:\documents and settings\Rafael Rodulfo\Datos de programa\Dropbox\bin\Dropbox.exe /systemstartup [2013-6-5 27370808]
Trillian.lnk - c:\archivos de programa\Trillian\trillian.exe [2013-6-17 2606448]
.
[hkey_local_machine\software\microsoft\windows\curr entversion\explorer\ShellExecuteHooks]
"{56F9679E-7826-4C84-81F3-532071A8BCC5}"= "c:\archivos de programa\Windows Desktop Search\MSNLNamespaceMgr.dll" [2011-07-12 304128]
.
[HKEY_LOCAL_MACHINE\system\currentcontrolset\contro l\securityproviders]
SecurityProviders msapsspc.dll, schannel.dll, credssp.dll, digest.dll, msnsspc.dll
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Contro l\SafeBoot\Minimal\Wdf01000.sys]
@="Driver"
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Contro l\SafeBoot\Minimal\WudfSvc]
@="Service"
.
[HKLM\~\services\sharedaccess\parameters\firewallpo licy\standardprofile]
"EnableFirewall"= 0 (0x0)
.
[HKLM\~\services\sharedaccess\parameters\firewallpo licy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"%windir%\\system32\\sessmgr.exe"=
"c:\\Archivos de programa\\Microsoft Office\\Office12\\OUTLOOK.EXE"=
"c:\\Documents and Settings\\Rafael Rodulfo\\Datos de programa\\Dropbox\\bin\\Dropbox.exe"=
"c:\\Archivos de programa\\Archivos comunes\\Apple\\Apple Application Support\\WebKit2WebProcess.exe"=
"c:\\Archivos de programa\\Bonjour\\mDNSResponder.exe"=
"c:\\Archivos de programa\\iTunes\\iTunes.exe"=
"c:\\Archivos de programa\\Skype\\Phone\\Skype.exe"=
.
[HKLM\~\services\sharedaccess\parameters\firewallpo licy\standardprofile\GloballyOpenPorts\List]
"5985:TCP"= 5985:TCP:*isabled:Administración remota de Windows
.
R0 mv61xxmm;mv61xxmm;c:\windows\system32\drivers\mv61 xxmm.sys [12/01/2013 13:58 13616]
R0 mv64xxmm;mv64xxmm;c:\windows\system32\drivers\mv64 xxmm.sys [12/01/2013 13:58 5632]
R0 mvxxmm;mvxxmm;c:\windows\system32\drivers\mvxxmm.s ys [12/01/2013 13:52 13616]
R0 RapportKELL;RapportKELL;c:\windows\system32\driver s\RapportKELL.sys [30/04/2013 01:28 102448]
R0 RDUMMY;RDUMMY;c:\windows\system32\drivers\rdummy.s ys [12/01/2013 13:50 4096]
R0 sptd;sptd;\SystemRoot\\SystemRoot\System32\Drivers \sptd.sys --> \SystemRoot\\SystemRoot\System32\Drivers\sptd.sys [?]
R1 AMonTDnt;AMonTDnt;c:\windows\system32\drivers\Amon TDNt.sys [13/06/2013 09:56 96936]
R1 ehdrv;ehdrv;c:\windows\system32\drivers\ehdrv.sys [10/01/2013 09:25 122240]
R1 RapportCerberus_51755;RapportCerberus_51755;c:\doc uments and settings\All Users\Datos de programa\Trusteer\Rapport\store\exts\RapportCerber us\baseline\RapportCerberus32_51755.sys [12/06/2013 17:32 317112]
R1 RapportEI;RapportEI;c:\archivos de programa\Trusteer\Rapport\bin\RapportEI.sys [30/04/2013 01:28 103120]
R1 RapportPG;RapportPG;c:\archivos de programa\Trusteer\Rapport\bin\RapportPG.sys [30/04/2013 01:28 174320]
R2 ekrn;ESET Service;c:\archivos de programa\ESET\ESET Smart Security\ekrn.exe [21/03/2013 15:19 1341664]
R2 RapportMgmtService;Rapport Management Service;c:\archivos de programa\Trusteer\Rapport\bin\RapportMgmtService.e xe [30/04/2013 01:28 1124632]
R2 XobniService;XobniService;c:\archivos de programa\Xobni\XobniService.exe [09/04/2012 19:32 62184]
R3 AhnRghNt;AhnRghNt;c:\windows\system32\drivers\AhnR ghNT.sys [13/06/2013 09:51 62784]
R3 AOS2Service;AOS2Service;c:\archivos de programa\AhnLab\ASP\Smart Update i\aos2svc.exe [13/06/2013 09:51 155128]
R3 ATamptNt_aos;ATamptNt_aos;c:\archiv~1\AhnLab\ASP\S MARTU~1\ATamptNt.sys [13/06/2013 09:51 187224]
R3 CdmDrvNt;CdmDrvNt;c:\windows\system32\drivers\CdmD rvNT.sys [13/06/2013 09:51 19616]
R3 MfFWEnt;MfFWEnt;c:\archivos de programa\AhnLab\ASP\MyFirewall 4.0\MfFWENt.sys [13/06/2013 09:50 101368]
R3 MfIPSEnt;MfIPSEnt;c:\archivos de programa\AhnLab\ASP\MyFirewall 4.0\MfIPSENt.sys [13/06/2013 09:50 121536]
R3 Mkd2kfNt;Mkd2kfNt;c:\windows\system32\drivers\mkd2 kfnt.sys [13/06/2013 09:56 127064]
S1 DumpDrv;Crash Dump Driver;c:\windows\system32\drivers\dumpdrv.sys [12/01/2013 13:54 9472]
S2 SkypeUpdate;Skype Updater;c:\archivos de programa\Skype\Updater\Updater.exe [03/06/2013 16:21 162408]
S3 AhnFlt2K;AhnFlt2K;c:\windows\system32\drivers\AhnF lt2k.sys [13/06/2013 09:51 53088]
S3 AhnRec2K;AhnRec2K;c:\windows\system32\drivers\AhnR ec2k.sys [13/06/2013 09:51 21824]
S3 Mkd2Nadr;Mkd2Nadr;c:\windows\system32\drivers\Mkd2 Nadr.sys [13/06/2013 09:56 92376]
.
--- Other Services/Drivers In Memory ---
.
*NewlyCreated* - ATAMPTNT_AOS
*NewlyCreated* - WS2IFSL
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
Winmgmt REG_MULTI_SZ winmgmt
HPZ12 REG_MULTI_SZ Pml Driver HPZ12 Net Driver HPZ12
hpdevmgmt REG_MULTI_SZ hpqcxs08 hpqddsvc
.
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{5fd399c0-a70a-11d1-9948-00c04f98bbc9}]
2011-07-12 20:33 128512 ----a-w- c:\windows\system32\advpack.dll
.
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{8A69D345-D564-463c-AFF1-A69D9E530F96}]
2013-06-20 22:13 1165776 ----a-w- c:\archivos de programa\Google\Chrome\Application\27.0.1453.116\I nstaller\chrmstp.exe
.
Contents of the 'Scheduled Tasks' folder
.
2013-06-22 c:\windows\Tasks\Adobe Flash Player Updater.job
- c:\windows\system32\Macromed\Flash\FlashPlayerUpda teService.exe [2013-06-09 16:49]
.
2013-06-13 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\archivos de programa\Apple Software Update\SoftwareUpdate.exe [2011-06-01 22:57]
.
2013-06-22 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\archivos de programa\Google\Update\GoogleUpdate.exe [2013-06-10 23:07]
.
2013-06-22 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\archivos de programa\Google\Update\GoogleUpdate.exe [2013-06-10 23:07]
.
.
------- Supplementary Scan -------
.
uStart Page = hxxp://www.contactognp.com.mx/
uInternet Settings,ProxyOverride = *.local
IE: E&xportar a Microsoft Excel - c:\archiv~1\MICROS~2\Office12\EXCEL.EXE/3000
TCP: DhcpNameServer = 10.128.128.128
.
- - - - ORPHANS REMOVED - - - -
.
Notify-RailNotification - winlogonnotification.dll\0\0
SafeBoot-WudfPf
SafeBoot-WudfRd
.
.
.
************************************************** ************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2013-06-22 14:05
Windows 5.1.2600 Service Pack 3 NTFS
.
scanning hidden processes ...
.
scanning hidden autostart entries ...
.
scanning hidden files ...
.
scan completed successfully
hidden files: 0
.
************************************************** ************************
.
--------------------- LOCKED REGISTRY KEYS ---------------------
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{73C9DFA 0-750D-11E1-B0C4-0800200C9A66}]
@Denied: (A 2) (Everyone)
@="FlashBroker"
"LocalizedString"="@c:\\WINDOWS\\system32\\Macrome d\\Flash\\FlashUtil32_11_7_700_224_ActiveX.exe,-101"
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{73C9DFA 0-750D-11E1-B0C4-0800200C9A66}\Elevation]
"Enabled"=dword:00000001
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{73C9DFA 0-750D-11E1-B0C4-0800200C9A66}\LocalServer32]
@="c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUt il32_11_7_700_224_ActiveX.exe"
.
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{73C9DFA 0-750D-11E1-B0C4-0800200C9A66}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
.
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{6AE 38AE0-750C-11E1-B0C4-0800200C9A66}]
@Denied: (A 2) (Everyone)
@="IFlashBroker5"
.
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{6AE 38AE0-750C-11E1-B0C4-0800200C9A66}\ProxyStubClsid32]
@="{00020424-0000-0000-C000-000000000046}"
.
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{6AE 38AE0-750C-11E1-B0C4-0800200C9A66}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
"Version"="1.0"
.
--------------------- DLLs Loaded Under Running Processes ---------------------
.
- - - - - - - > 'winlogon.exe'(952)
c:\windows\system32\winlogonnotification.dll
.
- - - - - - - > 'explorer.exe'(7124)
c:\windows\system32\WININET.dll
c:\archivos de programa\Archivos comunes\Logishrd\LVMVFM\LVPrcInj.dll
c:\archivos de programa\AhnLab\ASP\Smart Update i\aosmon.dll
c:\windows\system32\mkd25hk.dll
c:\documents and settings\Rafael Rodulfo\Datos de programa\Dropbox\bin\DropboxExt.19.dll
c:\docume~1\RAFAEL~1\CONFIG~1\Temp\mfdwl.dll
c:\windows\system32\msi.dll
c:\windows\system32\webcheck.dll
c:\windows\system32\wpdshserviceobj.dll
c:\windows\system32\portabledevicetypes.dll
c:\windows\system32\portabledeviceapi.dll
.
------------------------ Other Running Processes ------------------------
.
c:\archivos de programa\Intel\WiFi\bin\S24EvMon.exe
c:\archivos de programa\Archivos comunes\LogiShrd\LVMVFM\LVPrcSrv.exe
c:\archivos de programa\Archivos comunes\Apple\Mobile Device Support\AppleMobileDeviceService.exe
c:\archivos de programa\Bonjour\mDNSResponder.exe
c:\archivos de programa\Java\jre6\bin\jqs.exe
c:\archivos de programa\Archivos comunes\LogiShrd\LVCOMSER\LVComSer.exe
c:\archivos de programa\Archivos comunes\LogiShrd\LVCOMSER\LVComSer.exe
c:\windows\system32\SearchIndexer.exe
c:\windows\system32\wbem\wmiapsrv.exe
c:\windows\system32\igfxsrvc.exe
c:\archivos de programa\iPod\bin\iPodService.exe
c:\archivos de programa\ACT\SideACT.exe
c:\archivos de programa\Windows Desktop Search\WindowsSearch.exe
c:\documents and settings\Rafael Rodulfo\Datos de programa\Dropbox\bin\Dropbox.exe
c:\windows\system32\SearchProtocolHost.exe
c:\archivos de programa\Archivos comunes\Logishrd\LQCVFX\COCIManager.exe
c:\archivos de programa\HP\Digital Imaging\bin\hpqimzone.exe
c:\archivos de programa\HP\Digital Imaging\bin\hpqSTE08.exe
c:\archivos de programa\trillian\plugins\skypekit.exe
c:\archivos de programa\AhnLab\ASP\Smart Update i\aoslog.exe
c:\archivos de programa\Archivos comunes\Java\Java Update\jucheck.exe
c:\archivos de programa\AhnLab\ASP\MyFirewall 4.0\aosrts.exe
c:\windows\system32\SearchFilterHost.exe
.
************************************************** ************************
.
Completion time: 2013-06-22 14:18:47 - machine was rebooted
ComboFix-quarantined-files.txt 2013-06-22 19:18
.
Pre-Run: 13,035,315,200 bytes libres
Post-Run: 13,163,905,024 bytes libres
.
WindowsXP-KB310994-SP2-Pro-BootDisk-ENU.exe
[Boot Loader]
timeout=2
Default=multi(0)disk(0)rdisk(0)partition(1)\WINDOW S
[Operating Systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
UnsupportedDebug="do not select this" /debug
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Micro soft Windows XP Professional" /noexecute=optin /fastdetect
.
- - End Of File - - A81040BD5FC66A48D99A23FE61BD66D6
792F61657FECE3D17A9122B4EE282847
Reply With Quote