Posible infección

blumen · #11 04-jun-2010, 22:15

Una duda sobre cómo desinstalar ComboFix.

Estoy siguiendo los pasos: Inicio -- ejecutar -- escribo ComboFix /u Pero parece que en lugar de instalar vuelve a instalare de nuevo, y me vuelve a decir que no tengo 'Microsoft Windows recovery console' por lo que he parado el proceso y no lo voy a desinstalar hasta que me confirméis que así es correcto.

facaor · #12 04-jun-2010, 23:25

1.-Abre el Notepad (Bloc de Notas)

* Ir a INICIO > EJECUTAR >
* Y ahí pones notepad.exe y ACEPTAR

2.-Ahora copia y pega estos archivos dentro del Notepad

Código:

KillAll::

File::
c:\windows\rundll16.exe
c:\windows\logo1_.exe
c:\windows\logo_1.exe
c:\windows\REGBK00.ZIP
c:\windows\VDLL.DLL
c:\windows\system32\runouce.exe
c:\windows\RUNDL132.EXE
c:\windows\system32\eEmpty.exe

Folder:: 
C:\WINDOWS\LastGood

3.- Graba este archivo con el nombre CFScript.txt ,déjalo en tu escritorio y reinicia en Modo Seguro.

4.-A continuación arrastrar y soltar el archivo CFScript.txt dentro del archivo ComboFix.exe como lo muestra la animación de abajo. Esto activara ComboFix nuevamente.

Pegas el report y un nuevo log de Hijackthis

blumen · #13 04-jun-2010, 23:43

Cita:

Iniciado por facaor

Pegas el report y un nuevo log de Hijackthis

Perdona mi torpeza, aún no he instalado Hijackthis porque pensé que era necesario haber desinstalado antes ComboFix. ¿Puedo ejecutarlo teniendo aún ComboFix?
Gracias.

facaor · #14 04-jun-2010, 23:50

Nada tranquilo, ya lo instalaras después. Primero haz lo que te puse del combo. Y después instala y sube el reporte del Hijackthis. Un saludo.

blumen · #15 05-jun-2010, 00:37

He seguido los pasos que me comentabas con ComboFix. Después de llegar a "Complete Stage_50", se ha reiniciado solo al modo normal, por lo que no sé si el reporte es válido o no.

Mañana instalaré Hijackthis y copiaré el reporte, pero antes tengo varias dudas:

- ¿Es necesario que desinstale ya ComboFix?
- Cuando desinstale Combo, es normal que me salgan mensajes como si fuera a instalarlo y ejecutarlo y siga diiciendo que no tengo 'Recovery console'?

- ¿Necesito hacer algo con la 'Recovery Console'?

- y por último, el log de Hijackthis, ¿tengo que pegarlo en un mensaje nuevo en otro foro o mejor dejarlo todo aquí?

Muchas gracias por la ayuda.
Saludos.

---------------------------

ComboFix 10-06-03.01 - usuario 05/06/2010 0:01.2.1 - x86 MINIMAL
Microsoft Windows XP Home Edition 5.1.2600.3.1252.34.3082.18.1015.788 [GMT 2:00]
Running from: d:\distr\_____ComboFix\ComboFix.exe
Command switches used :: c:\documents and settings\usuario\Escritorio\CFScript.txt
AV: Total Protection *On-access scanning disabled* (Updated) {8C354827-2F54-4E28-90DC-AD391E77808C}

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!

FILE ::
"c:\windows\logo_1.exe"
"c:\windows\logo1_.exe"
"c:\windows\REGBK00.ZIP"
"c:\windows\RUNDL132.EXE"
"c:\windows\rundll16.exe"
"c:\windows\system32\eEmpty.exe"
"c:\windows\system32\runouce.exe"
"c:\windows\VDLL.DLL"
.

((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\windows\REGBK00.ZIP
c:\windows\system32\eEmpty.exe

.
((((((((((((((((((((((((( Files Created from 2010-05-04 to 2010-06-04 )))))))))))))))))))))))))))))))
.

2010-06-04 09:20 . 2010-06-04 09:20 -------- d---a-w- c:\windows\rundll16.exe
2010-06-04 09:20 . 2010-06-04 09:20 -------- d---a-w- c:\windows\logo1_.exe
2010-06-02 20:54 . 2010-06-02 20:54 -------- d-----w- c:\documents and settings\All Users\Datos de programa\F-Secure
2010-06-02 18:24 . 2009-06-30 07:37 28552 ----a-w- c:\windows\system32\drivers\pavboot.sys
2010-06-02 18:22 . 2010-06-02 18:22 -------- d-----w- c:\archivos de programa\Panda Security
2010-06-02 17:59 . 2010-06-02 18:05 -------- d-----w- c:\documents and settings\usuario\Datos de programa\QuickScan
2010-06-01 19:51 . 2010-06-01 19:51 503808 ----a-w- c:\documents and settings\usuario\Datos de programa\Sun\Java\Deployment\cache\6.0\46\f84c6ae-435db022-n\msvcp71.dll
2010-06-01 19:51 . 2010-06-01 19:51 348160 ----a-w- c:\documents and settings\usuario\Datos de programa\Sun\Java\Deployment\cache\6.0\46\f84c6ae-435db022-n\msvcr71.dll
2010-06-01 19:51 . 2010-06-01 19:51 499712 ----a-w- c:\documents and settings\usuario\Datos de programa\Sun\Java\Deployment\cache\6.0\46\f84c6ae-435db022-n\jmc.dll
2010-05-27 14:09 . 2010-05-27 14:09 -------- d---a-w- c:\windows\VDLL.DLL
2010-05-27 14:09 . 2010-05-27 14:09 -------- d---a-w- c:\windows\system32\runouce.exe
2010-05-27 14:09 . 2010-05-27 14:09 -------- d---a-w- c:\windows\RUNDL132.EXE
2010-05-27 14:09 . 2010-05-27 14:09 -------- d---a-w- c:\windows\logo_1.exe
2010-05-27 14:02 . 2010-05-27 14:02 632064 ----a-w- c:\windows\system32\msvcr80.dll
2010-05-27 14:02 . 2010-05-27 14:02 554240 ----a-w- c:\windows\system32\msvcp80.dll
2010-05-27 14:02 . 2008-04-14 12:00 152064 ----a-w- c:\windows\R.COM
2010-05-27 14:02 . 2008-04-14 12:00 141312 ----a-w- c:\windows\system32\T.COM
2010-05-27 14:02 . 2010-05-27 14:02 -------- d-----w- c:\archivos de programa\Archivos comunes\MicroWorld
2010-05-27 14:02 . 2010-05-27 14:02 -------- d-----w- c:\documents and settings\All Users\Datos de programa\MicroWorld
2010-05-27 13:58 . 2010-05-27 13:59 -------- d-----w- c:\archivos de programa\CCleaner
2010-05-27 13:54 . 2010-06-04 18:12 63488 ----a-w- c:\documents and settings\usuario\Datos de programa\SUPERAntiSpyware.com\SUPERAntiSpyware\SDD LLS\SD10006.dll
2010-05-27 13:54 . 2010-05-27 13:54 52224 ----a-w- c:\documents and settings\usuario\Datos de programa\SUPERAntiSpyware.com\SUPERAntiSpyware\SDD LLS\SD10005.dll
2010-05-27 13:54 . 2010-06-04 18:12 117760 ----a-w- c:\documents and settings\usuario\Datos de programa\SUPERAntiSpyware.com\SUPERAntiSpyware\SDD LLS\UIREPAIR.DLL
2010-05-27 13:53 . 2010-05-27 13:53 -------- d-----w- c:\documents and settings\usuario\Datos de programa\SUPERAntiSpyware.com
2010-05-27 13:53 . 2010-05-27 13:53 -------- d-----w- c:\documents and settings\All Users\Datos de programa\SUPERAntiSpyware.com
2010-05-27 13:52 . 2010-05-27 13:52 -------- d-----w- c:\archivos de programa\SUPERAntiSpyware
2010-05-27 13:29 . 2010-05-28 08:48 -------- d-----w- c:\documents and settings\All Users\Datos de programa\Spybot - Search & Destroy
2010-05-27 13:29 . 2010-05-27 13:46 -------- d-----w- c:\archivos de programa\Spybot - Search & Destroy
2010-05-26 16:56 . 2010-05-26 16:56 -------- d-----w- c:\documents and settings\usuario\Datos de programa\Malwarebytes
2010-05-26 16:55 . 2010-04-29 13:39 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2010-05-26 16:55 . 2010-05-26 16:55 -------- d-----w- c:\documents and settings\All Users\Datos de programa\Malwarebytes
2010-05-26 16:55 . 2010-04-29 13:39 20952 ----a-w- c:\windows\system32\drivers\mbam.sys
2010-05-26 16:55 . 2010-05-26 17:18 -------- d-----w- c:\archivos de programa\Malwarebytes' Anti-Malware
2010-05-26 08:09 . 2010-05-26 08:09 -------- d-s---w- c:\documents and settings\NetworkService\UserData
2010-05-25 19:58 . 2010-05-25 19:58 -------- d-----w- c:\windows\system32\wbem\Repository
2010-05-19 09:17 . 2010-05-19 09:17 -------- d-----w- c:\archivos de programa\ratDVD
2010-05-18 20:13 . 2010-05-18 20:13 1802240 ----a-w- c:\documents and settings\usuario\Datos de programa\GRETECH\GomPlayer\GrLauncherTempSetup.exe
2010-05-18 20:13 . 2007-03-22 10:46 126976 ----a-w- c:\documents and settings\usuario\Datos de programa\GRETECH\GomPlayer\GrLauncher.exe

.
(((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))) ))
.
2010-06-04 21:38 . 2008-07-09 18:14 68696 ----a-w- c:\windows\system32\perfc00A.dat
2010-06-04 21:38 . 2008-07-09 18:14 439680 ----a-w- c:\windows\system32\perfh00A.dat
2010-05-22 06:29 . 2010-02-22 21:45 -------- d-----w- c:\archivos de programa\JDownloader
2010-05-11 10:25 . 2009-10-08 12:04 -------- d-----w- c:\documents and settings\usuario\Datos de programa\EditPlus 3
2010-04-22 12:20 . 2009-04-22 00:17 14716 ----a-w- c:\documents and settings\usuario\Datos de programa\wklnhst.dat
2010-04-19 18:49 . 2009-05-16 13:10 1 ----a-w- c:\documents and settings\usuario\Datos de programa\StarOffice8\user\uno_packages\cache\stamp .sys
2010-04-19 17:36 . 2009-04-21 13:24 -------- d-----w- c:\documents and settings\usuario\Datos de programa\StarOffice8
2010-04-14 13:17 . 2009-12-05 21:50 79488 ----a-w- c:\documents and settings\usuario\Datos de programa\Sun\Java\jre1.6.0_17\gtapi.dll
2008-09-29 16:26 . 2009-10-10 21:09 114559 ----a-w- c:\archivos de programa\Photoshop CS4 — Lisez-moi.pdf
2008-09-29 16:02 . 2009-10-10 21:09 111058 ----a-w- c:\archivos de programa\Photoshop CS4 - Bitte lesen.pdf
2008-09-18 16:21 . 2009-10-10 21:09 95242 ----a-w- c:\archivos de programa\Leia-me do Photoshop CS4.pdf
2008-09-17 00:08 . 2009-10-10 21:09 65686 ----a-w- c:\archivos de programa\Photoshop CS4 Read Me.pdf
2008-09-11 16:50 . 2009-10-10 21:09 112190 ----a-w- c:\archivos de programa\Lees mij voor Photoshop CS4.pdf
2008-09-11 16:50 . 2009-10-10 21:09 111313 ----a-w- c:\archivos de programa\Leggimi di Photoshop CS4.pdf
2008-09-11 16:47 . 2009-10-10 21:09 103148 ----a-w- c:\archivos de programa\Léame de Photoshop CS4.pdf
2008-05-07 08:34 . 2008-07-14 12:53 15523560 ----a-w- c:\archivos de programa\U1 Setup.exe
.

((((((((((((((((((((((((((((( SnapShot@2010-06-04_19.38.36 )))))))))))))))))))))))))))))))))))))))))
.
+ 2010-06-04 22:15 . 2010-06-04 22:15 16384 c:\windows\temp\Perflib_Perfdata_760.dat
+ 2008-07-09 18:14 . 2010-06-04 21:38 52764 c:\windows\system32\perfc009.dat
+ 2010-06-04 19:21 . 2010-06-04 20:03 5832 c:\windows\SoftwareDistribution\EventCache\{2EAFBB 60-9AB6-441C-AE91-86AD5E03F784}.bin
+ 2008-07-09 18:14 . 2010-06-04 21:38 380350 c:\windows\system32\perfh009.dat
.
((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown
REGEDIT4

[HKEY_LOCAL_MACHINE\software\microsoft\windows\curr entversion\explorer\shelliconoverlayidentifiers\1T ortoiseNormal]
@="{C5994560-53D9-4125-87C9-F193FC689CB2}"
[HKEY_CLASSES_ROOT\CLSID\{C5994560-53D9-4125-87C9-F193FC689CB2}]
2009-08-13 17:55 85768 ----a-w- c:\archivos de programa\Archivos comunes\TortoiseOverlays\TortoiseOverlays.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows\curr entversion\explorer\shelliconoverlayidentifiers\2T ortoiseModified]
@="{C5994561-53D9-4125-87C9-F193FC689CB2}"
[HKEY_CLASSES_ROOT\CLSID\{C5994561-53D9-4125-87C9-F193FC689CB2}]
2009-08-13 17:55 85768 ----a-w- c:\archivos de programa\Archivos comunes\TortoiseOverlays\TortoiseOverlays.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows\curr entversion\explorer\shelliconoverlayidentifiers\3T ortoiseConflict]
@="{C5994562-53D9-4125-87C9-F193FC689CB2}"
[HKEY_CLASSES_ROOT\CLSID\{C5994562-53D9-4125-87C9-F193FC689CB2}]
2009-08-13 17:55 85768 ----a-w- c:\archivos de programa\Archivos comunes\TortoiseOverlays\TortoiseOverlays.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows\curr entversion\explorer\shelliconoverlayidentifiers\4T ortoiseLocked]
@="{C5994563-53D9-4125-87C9-F193FC689CB2}"
[HKEY_CLASSES_ROOT\CLSID\{C5994563-53D9-4125-87C9-F193FC689CB2}]
2009-08-13 17:55 85768 ----a-w- c:\archivos de programa\Archivos comunes\TortoiseOverlays\TortoiseOverlays.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows\curr entversion\explorer\shelliconoverlayidentifiers\5T ortoiseReadOnly]
@="{C5994564-53D9-4125-87C9-F193FC689CB2}"
[HKEY_CLASSES_ROOT\CLSID\{C5994564-53D9-4125-87C9-F193FC689CB2}]
2009-08-13 17:55 85768 ----a-w- c:\archivos de programa\Archivos comunes\TortoiseOverlays\TortoiseOverlays.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows\curr entversion\explorer\shelliconoverlayidentifiers\6T ortoiseDeleted]
@="{C5994565-53D9-4125-87C9-F193FC689CB2}"
[HKEY_CLASSES_ROOT\CLSID\{C5994565-53D9-4125-87C9-F193FC689CB2}]
2009-08-13 17:55 85768 ----a-w- c:\archivos de programa\Archivos comunes\TortoiseOverlays\TortoiseOverlays.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows\curr entversion\explorer\shelliconoverlayidentifiers\7T ortoiseAdded]
@="{C5994566-53D9-4125-87C9-F193FC689CB2}"
[HKEY_CLASSES_ROOT\CLSID\{C5994566-53D9-4125-87C9-F193FC689CB2}]
2009-08-13 17:55 85768 ----a-w- c:\archivos de programa\Archivos comunes\TortoiseOverlays\TortoiseOverlays.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows\curr entversion\explorer\shelliconoverlayidentifiers\8T ortoiseIgnored]
@="{C5994567-53D9-4125-87C9-F193FC689CB2}"
[HKEY_CLASSES_ROOT\CLSID\{C5994567-53D9-4125-87C9-F193FC689CB2}]
2009-08-13 17:55 85768 ----a-w- c:\archivos de programa\Archivos comunes\TortoiseOverlays\TortoiseOverlays.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows\curr entversion\explorer\shelliconoverlayidentifiers\9T ortoiseUnversioned]
@="{C5994568-53D9-4125-87C9-F193FC689CB2}"
[HKEY_CLASSES_ROOT\CLSID\{C5994568-53D9-4125-87C9-F193FC689CB2}]
2009-08-13 17:55 85768 ----a-w- c:\archivos de programa\Archivos comunes\TortoiseOverlays\TortoiseOverlays.dll

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\Run]
"SpybotSD TeaTimer"="c:\archivos de programa\Spybot - Search & Destroy\TeaTimer.exe" [2009-03-05 2260480]
"SUPERAntiSpyware"="c:\archivos de programa\SUPERAntiSpyware\SUPERAntiSpyware.exe" [2010-05-18 2397424]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2007-09-24 104984]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2007-09-24 121368]
"Persistence"="c:\windows\system32\igfxpers.ex e" [2007-09-24 100888]
"AsusTray"="c:\archivos de programa\EeePC\ACPI\AsTray.exe" [2008-06-03 98304]
"AsusACPIServer"="c:\archivos de programa\EeePC\ACPI\AsAcpiSvr.exe" [2008-06-03 479232]
"AsusEPCMonitor"="c:\archivos de programa\EeePC\ACPI\AsEPCMon.exe" [2008-05-20 94208]
"SunJavaUpdateSched"="c:\archivos de programa\Java\jre6\bin\jusched.exe" [2009-05-19 148888]
"MVS Splash"="c:\archivos de programa\McAfee\Managed VirusScan\Agent\Splash.exe" [2009-05-17 468288]
"McAfee Managed Services Tray"="c:\archivos de programa\McAfee\Managed VirusScan\Agent\StartMyagtTry.exe" [2009-05-17 87360]
"RTHDCPL"="RTHDCPL.EXE" [2008-06-13 16871936]
"SoundMan"="SOUNDMAN.EXE" [2006-07-21 86016]
"AlcWzrd"="ALCWZRD.EXE" [2006-05-04 2808832]
"AdobeCS4ServiceManager"="c:\archivos de programa\Archivos comunes\Adobe\CS4ServiceManager\CS4ServiceManager. exe" [2008-08-14 611712]
"Adobe Reader Speed Launcher"="c:\archivos de programa\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-10-14 39792]
"QuickTime Task"="c:\archivos de programa\QuickTime\QTTask.exe" [2009-11-10 417792]
"iTunesHelper"="c:\archivos de programa\iTunes\iTunesHelper.exe" [2010-01-22 141608]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\Cur rentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
"msnmsgr"="c:\archivos de programa\Windows Live\Messenger\msnmsgr.exe" [2007-10-18 5724184]

c:\documents and settings\All Users\Men£ Inicio\Programas\Inicio\
Monitor Apache Servers.lnk - c:\archivos de programa\Apache Group\Apache2\bin\ApacheMonitor.exe [2006-7-27 41042]
SuperHybridEngine.lnk - c:\archivos de programa\Asus\EeePC\Super Hybrid Engine\SuperHybridEngine.exe [2008-7-14 303104]

[hkey_local_machine\software\microsoft\windows\curr entversion\explorer\ShellExecuteHooks]
"{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA}"= "c:\archivos de programa\SUPERAntiSpyware\SASSEH.DLL" [2008-05-13 77824]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\!SASWinLogon]
2009-09-03 22:21 548352 ----a-w- c:\archivos de programa\SUPERAntiSpyware\SASWINLO.DLL

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
2008-10-14 23:04 39792 ----a-w- c:\archivos de programa\Adobe\Reader 8.0\Reader\reader_sl.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Alcmtr]
2005-05-03 16:43 69632 ----a-w- c:\windows\Alcmtr.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AlcWzrd]
2006-05-04 14:26 2808832 ----a-w- c:\windows\alcwzrd.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MsnMsgr]
2007-10-18 09:34 5724184 ----a-w- c:\archivos de programa\Windows Live\Messenger\msnmsgr.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SoundMan]
2006-07-21 14:14 86016 ----a-w- c:\windows\SoundMan.exe

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\McAfeeAntiVirus]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpo licy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Archivos de programa\\McAfee\\Managed VirusScan\\Agent\\myAgtSvc.exe"=

R0 pavboot;pavboot;c:\windows\system32\drivers\pavboo t.sys [02/06/2010 20:24 28552]
R1 SASDIFSV;SASDIFSV;c:\archivos de programa\SUPERAntiSpyware\sasdifsv.sys [17/02/2010 20:25 12872]
R1 SASKUTIL;SASKUTIL;c:\archivos de programa\SUPERAntiSpyware\SASKUTIL.SYS [10/05/2010 20:41 67656]
R2 EngineServer;EngineServer;c:\archivos de programa\McAfee\Managed VirusScan\VScan\EngineServer.exe [29/09/2009 21:30 14144]
R2 myAgtSvc;Servicio de prtección antivirus y antisoftware espía de McAfee;c:\archivos de programa\McAfee\Managed VirusScan\Agent\myAgtSvc.exe [29/09/2009 21:25 175704]
.
Contents of the 'Scheduled Tasks' folder

2010-06-04 c:\windows\Tasks\Comprobar actualizaciones de Windows Live Toolbar.job
- c:\archivos de programa\Windows Live Toolbar\MSNTBUP.EXE [2007-10-19 09:20]
.
.
------- Supplementary Scan -------
.
uStart Page = hxxp://eeepc.asus.com/global
uInternet Connection Wizard,ShellNext = hxxp://eeepc.asus.com/global
IE: &Windows Live Search - c:\archivos de programa\Windows Live Toolbar\msntb.dll/search.htm
Trusted Zone: //about.htm/
Trusted Zone: //Exclude.htm/
Trusted Zone: //LanguageSelection.htm/
Trusted Zone: //Message.htm/
Trusted Zone: //MyAgttryCmd.htm/
Trusted Zone: //MyAgttryNag.htm/
Trusted Zone: //MyNotification.htm/
Trusted Zone: //NOCLessUpdate.htm/
Trusted Zone: //quarantine.htm/
Trusted Zone: //ScanNow.htm/
Trusted Zone: //strings.vbs/
Trusted Zone: //Template.htm/
Trusted Zone: //Update.htm/
Trusted Zone: //VirFound.htm/
Trusted Zone: mcafee.com\*
Trusted Zone: mcafeeasap.com\betavscan
Trusted Zone: mcafeeasap.com\vs
Trusted Zone: mcafeeasap.com\www
TCP: {9AEBE353-0D70-4482-A29B-F29DC50A6344} = 194.224.52.4,194.224.52.6
FF - ProfilePath - c:\documents and settings\usuario\Datos de programa\Mozilla\Firefox\Profiles\l5ud6m9z.default \
FF - prefs.js: browser.startup.homepage - hxxp://www.google.es

---- FIREFOX POLICIES ----
c:\archivos de programa\Mozilla Firefox\greprefs\all.js - pref("ui.use_native_colors", true);
c:\archivos de programa\Mozilla Firefox\greprefs\all.js - pref("network.auth.force-generic-ntlm", false);
c:\archivos de programa\Mozilla Firefox\greprefs\all.js - pref("svg.smil.enabled", false);
c:\archivos de programa\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.allow_unrestricted_renego_every where__temporarily_available_pref", true);
c:\archivos de programa\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.renego_unrestricted_hosts", "");
c:\archivos de programa\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.treat_unsafe_negotiation_as_bro ken", false);
c:\archivos de programa\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.require_safe_negotiation", false);
c:\archivos de programa\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.name", "chrome://browser/locale/browser.properties");
c:\archivos de programa\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.description", "chrome://browser/locale/browser.properties");
c:\archivos de programa\Mozilla Firefox\defaults\pref\firefox.js - pref("plugins.update.notifyUser", false);
.
- - - - ORPHANS REMOVED - - - -

BHO-{5006001C-1DEA-4069-8D0C-320F0826B2F8} - (no file)

************************************************** ************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, GMER - Rootkit Detector and Remover
Rootkit scan 2010-06-05 00:15
Windows 5.1.2600 Service Pack 3 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden files: 0

************************************************** ************************
.
--------------------- DLLs Loaded Under Running Processes ---------------------

- - - - - - - > 'winlogon.exe'(784)
c:\archivos de programa\SUPERAntiSpyware\SASWINLO.DLL

- - - - - - - > 'explorer.exe'(2712)
c:\archivos de programa\Archivos comunes\TortoiseOverlays\TortoiseOverlays.dll
c:\archivos de programa\TortoiseSVN\bin\TortoiseStub.dll
c:\archivos de programa\TortoiseSVN\bin\TortoiseSVN.dll
c:\archivos de programa\TortoiseSVN\bin\intl3_tsvn.dll
c:\archivos de programa\Archivos comunes\Adobe\Acrobat\ActiveX\PDFShell.dll
c:\archivos de programa\Archivos comunes\Adobe\Acrobat\ActiveX\PDFShell.ESP
.
------------------------ Other Running Processes ------------------------
.
c:\archivos de programa\Apache Group\Apache2\bin\Apache.exe
c:\archivos de programa\Archivos comunes\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
c:\archivos de programa\Archivos comunes\InterVideo\RegMgr\iviRegMgr.exe
c:\archivos de programa\Java\jre6\bin\jqs.exe
c:\archivos de programa\Apache Group\Apache2\bin\Apache.exe
c:\windows\system32\wdfmgr.exe
c:\windows\system32\wscntfy.exe
c:\archivos de programa\TortoiseSVN\bin\TSVNCache.exe
c:\windows\system32\igfxsrvc.exe
c:\windows\system32\igfxext.exe
c:\archivos de programa\McAfee\Managed VirusScan\Agent\myAgtTry.exe
c:\windows\RTHDCPL.EXE
c:\archivos de programa\iPod\bin\iPodService.exe
.
************************************************** ************************
.
Completion time: 2010-06-05 00:23:54 - machine was rebooted
ComboFix-quarantined-files.txt 2010-06-04 22:23
ComboFix2.txt 2010-06-04 19:44

Pre-Run: 6.432.575.488 bytes libres
Post-Run: 6.400.790.528 bytes libres

- - End Of File - - FFF8C4ED4AF77804EE5C176E423A8654

jbex · #16 05-jun-2010, 11:41

Descarga http://www.magic-pack.com/argente/Ar...0Utilities.exe actualizarlo y ejecutarlo.
Seguidamente pasas el combofix y nos pones los logs.
Un saludo

facaor · #17 05-jun-2010, 15:13

1.- Desactiva Restarurar sistema

2.- Descarga OTMoveIt3 (si ya lo tienes, no hace falta que lo vuelvas a descargar) lo guardas en el Escritorio

3.- Reinicias en Modo a prueba de fallos, y haces:
• Haz un doble clic sobre OTMoveIt.exe para ejecutarlo.
• Asegurate que este marcado "Unregister Dll's and Ocx's".
• Copia el texto que se encuentra en el cuadrado más abajo, y pega el texto en el marco de izquierdo de OTMoveIt nombrado Paste List of Filas / Folders to be moved.
• (archivos que van en cita)

:files
c:\windows\rundll16.exe
c:\windows\logo1_.exe
c:\windows\logo_1.exe
c:\windows\REGBK00.ZIP
c:\windows\VDLL.DLL
c:\windows\system32\runouce.exe
c:\windows\RUNDL132.EXE
c:\windows\system32\eEmpty.exe
C:\WINDOWS\LastGood
c:\windows\REGBK00.ZIP

Haz clic en MoveIt! Para lanzar la supresión.
• Cuando el resultado aparece en el marco Results, haz clic en Exit.

Envía el informe (reporte) de OTMoveIt situado sobre C: \ _OTMoveIt\MovedFiles....tx

blumen · #18 05-jun-2010, 17:21

Cita:

Iniciado por jbex

Descarga http://www.magic-pack.com/argente/Ar...0Utilities.exe actualizarlo y ejecutarlo.
Seguidamente pasas el combofix y nos pones los logs.
Un saludo

Adjunto el log de ComboFix. ¿Continúo con los pasos indicados por facaor ahora?

Gracias.

------------------------

ComboFix 10-06-03.01 - usuario 05/06/2010 17:04:27.3.1 - x86
Microsoft Windows XP Home Edition 5.1.2600.3.1252.34.3082.18.1015.592 [GMT 2:00]
Running from: d:\distr\_____ComboFix\ComboFix.exe
AV: Total Protection *On-access scanning disabled* (Updated) {8C354827-2F54-4E28-90DC-AD391E77808C}
.

((((((((((((((((((((((((( Files Created from 2010-05-05 to 2010-06-05 )))))))))))))))))))))))))))))))
.

2010-06-05 13:50 . 2010-06-05 14:55 -------- d-----w- c:\archivos de programa\Argente Utilities
2010-06-02 20:54 . 2010-06-02 20:54 -------- d-----w- c:\documents and settings\All Users\Datos de programa\F-Secure
2010-06-02 18:24 . 2009-06-30 07:37 28552 ----a-w- c:\windows\system32\drivers\pavboot.sys
2010-06-02 18:22 . 2010-06-02 18:22 -------- d-----w- c:\archivos de programa\Panda Security
2010-06-02 17:59 . 2010-06-02 18:05 -------- d-----w- c:\documents and settings\usuario\Datos de programa\QuickScan
2010-05-27 14:09 . 2010-05-27 14:09 -------- d---a-w- c:\windows\VDLL.DLL
2010-05-27 14:09 . 2010-05-27 14:09 -------- d---a-w- c:\windows\system32\runouce.exe
2010-05-27 14:09 . 2010-05-27 14:09 -------- d---a-w- c:\windows\RUNDL132.EXE
2010-05-27 14:09 . 2010-05-27 14:09 -------- d---a-w- c:\windows\logo_1.exe
2010-05-27 14:02 . 2010-05-27 14:02 632064 ----a-w- c:\windows\system32\msvcr80.dll
2010-05-27 14:02 . 2010-05-27 14:02 554240 ----a-w- c:\windows\system32\msvcp80.dll
2010-05-27 14:02 . 2010-05-27 14:02 -------- d-----w- c:\archivos de programa\Archivos comunes\MicroWorld
2010-05-27 14:02 . 2010-05-27 14:02 -------- d-----w- c:\documents and settings\All Users\Datos de programa\MicroWorld
2010-05-27 13:58 . 2010-05-27 13:59 -------- d-----w- c:\archivos de programa\CCleaner
2010-05-27 13:54 . 2010-06-04 18:12 63488 ----a-w- c:\documents and settings\usuario\Datos de programa\SUPERAntiSpyware.com\SUPERAntiSpyware\SDD LLS\SD10006.dll
2010-05-27 13:54 . 2010-05-27 13:54 52224 ----a-w- c:\documents and settings\usuario\Datos de programa\SUPERAntiSpyware.com\SUPERAntiSpyware\SDD LLS\SD10005.dll
2010-05-27 13:54 . 2010-06-04 18:12 117760 ----a-w- c:\documents and settings\usuario\Datos de programa\SUPERAntiSpyware.com\SUPERAntiSpyware\SDD LLS\UIREPAIR.DLL
2010-05-27 13:53 . 2010-05-27 13:53 -------- d-----w- c:\documents and settings\usuario\Datos de programa\SUPERAntiSpyware.com
2010-05-27 13:53 . 2010-05-27 13:53 -------- d-----w- c:\documents and settings\All Users\Datos de programa\SUPERAntiSpyware.com
2010-05-27 13:52 . 2010-05-27 13:52 -------- d-----w- c:\archivos de programa\SUPERAntiSpyware
2010-05-27 13:29 . 2010-06-05 14:55 -------- d-----w- c:\documents and settings\All Users\Datos de programa\Spybot - Search & Destroy
2010-05-27 13:29 . 2010-05-27 13:46 -------- d-----w- c:\archivos de programa\Spybot - Search & Destroy
2010-05-26 16:56 . 2010-05-26 16:56 -------- d-----w- c:\documents and settings\usuario\Datos de programa\Malwarebytes
2010-05-26 16:55 . 2010-04-29 13:39 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2010-05-26 16:55 . 2010-05-26 16:55 -------- d-----w- c:\documents and settings\All Users\Datos de programa\Malwarebytes
2010-05-26 16:55 . 2010-04-29 13:39 20952 ----a-w- c:\windows\system32\drivers\mbam.sys
2010-05-26 16:55 . 2010-05-26 17:18 -------- d-----w- c:\archivos de programa\Malwarebytes' Anti-Malware
2010-05-26 08:09 . 2010-05-26 08:09 -------- d-s---w- c:\documents and settings\NetworkService\UserData
2010-05-25 19:58 . 2010-05-25 19:58 -------- d-----w- c:\windows\system32\wbem\Repository
2010-05-19 09:17 . 2010-05-19 09:17 -------- d-----w- c:\archivos de programa\ratDVD
2010-05-18 20:13 . 2010-05-18 20:13 1802240 ----a-w- c:\documents and settings\usuario\Datos de programa\GRETECH\GomPlayer\GrLauncherTempSetup.exe
2010-05-18 20:13 . 2007-03-22 10:46 126976 ----a-w- c:\documents and settings\usuario\Datos de programa\GRETECH\GomPlayer\GrLauncher.exe

.
(((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))) ))
.
2010-06-05 14:55 . 2009-04-22 00:12 -------- d-----w- c:\documents and settings\usuario\Datos de programa\Skype
2010-06-04 21:38 . 2008-07-09 18:14 68696 ----a-w- c:\windows\system32\perfc00A.dat
2010-06-04 21:38 . 2008-07-09 18:14 439680 ----a-w- c:\windows\system32\perfh00A.dat
2010-05-22 06:29 . 2010-02-22 21:45 -------- d-----w- c:\archivos de programa\JDownloader
2010-05-11 10:25 . 2009-10-08 12:04 -------- d-----w- c:\documents and settings\usuario\Datos de programa\EditPlus 3
2010-04-22 12:20 . 2009-04-22 00:17 14716 ----a-w- c:\documents and settings\usuario\Datos de programa\wklnhst.dat
2010-04-19 18:49 . 2009-05-16 13:10 1 ----a-w- c:\documents and settings\usuario\Datos de programa\StarOffice8\user\uno_packages\cache\stamp .sys
2010-04-19 17:36 . 2009-04-21 13:24 -------- d-----w- c:\documents and settings\usuario\Datos de programa\StarOffice8
2010-04-14 13:17 . 2009-12-05 21:50 79488 ----a-w- c:\documents and settings\usuario\Datos de programa\Sun\Java\jre1.6.0_17\gtapi.dll
2008-09-29 16:26 . 2009-10-10 21:09 114559 ----a-w- c:\archivos de programa\Photoshop CS4 — Lisez-moi.pdf
2008-09-29 16:02 . 2009-10-10 21:09 111058 ----a-w- c:\archivos de programa\Photoshop CS4 - Bitte lesen.pdf
2008-09-18 16:21 . 2009-10-10 21:09 95242 ----a-w- c:\archivos de programa\Leia-me do Photoshop CS4.pdf
2008-09-17 00:08 . 2009-10-10 21:09 65686 ----a-w- c:\archivos de programa\Photoshop CS4 Read Me.pdf
2008-09-11 16:50 . 2009-10-10 21:09 112190 ----a-w- c:\archivos de programa\Lees mij voor Photoshop CS4.pdf
2008-09-11 16:50 . 2009-10-10 21:09 111313 ----a-w- c:\archivos de programa\Leggimi di Photoshop CS4.pdf
2008-09-11 16:47 . 2009-10-10 21:09 103148 ----a-w- c:\archivos de programa\Léame de Photoshop CS4.pdf
2008-05-07 08:34 . 2008-07-14 12:53 15523560 ----a-w- c:\archivos de programa\U1 Setup.exe
.

((((((((((((((((((((((((((((( SnapShot@2010-06-04_19.38.36 )))))))))))))))))))))))))))))))))))))))))
.
+ 2010-06-05 13:45 . 2010-06-05 13:45 16384 c:\windows\temp\Perflib_Perfdata_780.dat
+ 2008-07-09 18:14 . 2010-06-04 21:38 52764 c:\windows\system32\perfc009.dat
+ 2010-06-04 19:21 . 2010-06-05 14:13 2474 c:\windows\SoftwareDistribution\EventCache\{2EAFBB 60-9AB6-441C-AE91-86AD5E03F784}.bin
+ 2008-07-09 18:14 . 2010-06-04 21:38 380350 c:\windows\system32\perfh009.dat
.
((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown
REGEDIT4

[HKEY_LOCAL_MACHINE\software\microsoft\windows\curr entversion\explorer\shelliconoverlayidentifiers\1T ortoiseNormal]
@="{C5994560-53D9-4125-87C9-F193FC689CB2}"
[HKEY_CLASSES_ROOT\CLSID\{C5994560-53D9-4125-87C9-F193FC689CB2}]
2009-08-13 17:55 85768 ----a-w- c:\archivos de programa\Archivos comunes\TortoiseOverlays\TortoiseOverlays.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows\curr entversion\explorer\shelliconoverlayidentifiers\2T ortoiseModified]
@="{C5994561-53D9-4125-87C9-F193FC689CB2}"
[HKEY_CLASSES_ROOT\CLSID\{C5994561-53D9-4125-87C9-F193FC689CB2}]
2009-08-13 17:55 85768 ----a-w- c:\archivos de programa\Archivos comunes\TortoiseOverlays\TortoiseOverlays.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows\curr entversion\explorer\shelliconoverlayidentifiers\3T ortoiseConflict]
@="{C5994562-53D9-4125-87C9-F193FC689CB2}"
[HKEY_CLASSES_ROOT\CLSID\{C5994562-53D9-4125-87C9-F193FC689CB2}]
2009-08-13 17:55 85768 ----a-w- c:\archivos de programa\Archivos comunes\TortoiseOverlays\TortoiseOverlays.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows\curr entversion\explorer\shelliconoverlayidentifiers\4T ortoiseLocked]
@="{C5994563-53D9-4125-87C9-F193FC689CB2}"
[HKEY_CLASSES_ROOT\CLSID\{C5994563-53D9-4125-87C9-F193FC689CB2}]
2009-08-13 17:55 85768 ----a-w- c:\archivos de programa\Archivos comunes\TortoiseOverlays\TortoiseOverlays.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows\curr entversion\explorer\shelliconoverlayidentifiers\5T ortoiseReadOnly]
@="{C5994564-53D9-4125-87C9-F193FC689CB2}"
[HKEY_CLASSES_ROOT\CLSID\{C5994564-53D9-4125-87C9-F193FC689CB2}]
2009-08-13 17:55 85768 ----a-w- c:\archivos de programa\Archivos comunes\TortoiseOverlays\TortoiseOverlays.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows\curr entversion\explorer\shelliconoverlayidentifiers\6T ortoiseDeleted]
@="{C5994565-53D9-4125-87C9-F193FC689CB2}"
[HKEY_CLASSES_ROOT\CLSID\{C5994565-53D9-4125-87C9-F193FC689CB2}]
2009-08-13 17:55 85768 ----a-w- c:\archivos de programa\Archivos comunes\TortoiseOverlays\TortoiseOverlays.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows\curr entversion\explorer\shelliconoverlayidentifiers\7T ortoiseAdded]
@="{C5994566-53D9-4125-87C9-F193FC689CB2}"
[HKEY_CLASSES_ROOT\CLSID\{C5994566-53D9-4125-87C9-F193FC689CB2}]
2009-08-13 17:55 85768 ----a-w- c:\archivos de programa\Archivos comunes\TortoiseOverlays\TortoiseOverlays.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows\curr entversion\explorer\shelliconoverlayidentifiers\8T ortoiseIgnored]
@="{C5994567-53D9-4125-87C9-F193FC689CB2}"
[HKEY_CLASSES_ROOT\CLSID\{C5994567-53D9-4125-87C9-F193FC689CB2}]
2009-08-13 17:55 85768 ----a-w- c:\archivos de programa\Archivos comunes\TortoiseOverlays\TortoiseOverlays.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows\curr entversion\explorer\shelliconoverlayidentifiers\9T ortoiseUnversioned]
@="{C5994568-53D9-4125-87C9-F193FC689CB2}"
[HKEY_CLASSES_ROOT\CLSID\{C5994568-53D9-4125-87C9-F193FC689CB2}]
2009-08-13 17:55 85768 ----a-w- c:\archivos de programa\Archivos comunes\TortoiseOverlays\TortoiseOverlays.dll

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\Run]
"SpybotSD TeaTimer"="c:\archivos de programa\Spybot - Search & Destroy\TeaTimer.exe" [2009-03-05 2260480]
"SUPERAntiSpyware"="c:\archivos de programa\SUPERAntiSpyware\SUPERAntiSpyware.exe" [2010-05-18 2397424]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2007-09-24 104984]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2007-09-24 121368]
"Persistence"="c:\windows\system32\igfxpers.ex e" [2007-09-24 100888]
"AsusTray"="c:\archivos de programa\EeePC\ACPI\AsTray.exe" [2008-06-03 98304]
"AsusACPIServer"="c:\archivos de programa\EeePC\ACPI\AsAcpiSvr.exe" [2008-06-03 479232]
"AsusEPCMonitor"="c:\archivos de programa\EeePC\ACPI\AsEPCMon.exe" [2008-05-20 94208]
"SunJavaUpdateSched"="c:\archivos de programa\Java\jre6\bin\jusched.exe" [2009-05-19 148888]
"MVS Splash"="c:\archivos de programa\McAfee\Managed VirusScan\Agent\Splash.exe" [2009-05-17 468288]
"McAfee Managed Services Tray"="c:\archivos de programa\McAfee\Managed VirusScan\Agent\StartMyagtTry.exe" [2009-05-17 87360]
"RTHDCPL"="RTHDCPL.EXE" [2008-06-13 16871936]
"SoundMan"="SOUNDMAN.EXE" [2006-07-21 86016]
"AlcWzrd"="ALCWZRD.EXE" [2006-05-04 2808832]
"AdobeCS4ServiceManager"="c:\archivos de programa\Archivos comunes\Adobe\CS4ServiceManager\CS4ServiceManager. exe" [2008-08-14 611712]
"Adobe Reader Speed Launcher"="c:\archivos de programa\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-10-14 39792]
"QuickTime Task"="c:\archivos de programa\QuickTime\QTTask.exe" [2009-11-10 417792]
"iTunesHelper"="c:\archivos de programa\iTunes\iTunesHelper.exe" [2010-01-22 141608]
"Argente Utilities"="c:\archivos de programa\Argente Utilities\Argente Utilities.exe" [2010-03-06 1415732]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\Cur rentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
"msnmsgr"="c:\archivos de programa\Windows Live\Messenger\msnmsgr.exe" [2007-10-18 5724184]

c:\documents and settings\All Users\Men£ Inicio\Programas\Inicio\
Monitor Apache Servers.lnk - c:\archivos de programa\Apache Group\Apache2\bin\ApacheMonitor.exe [2006-7-27 41042]
SuperHybridEngine.lnk - c:\archivos de programa\Asus\EeePC\Super Hybrid Engine\SuperHybridEngine.exe [2008-7-14 303104]

[hkey_local_machine\software\microsoft\windows\curr entversion\explorer\ShellExecuteHooks]
"{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA}"= "c:\archivos de programa\SUPERAntiSpyware\SASSEH.DLL" [2008-05-13 77824]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\!SASWinLogon]
2009-09-03 22:21 548352 ----a-w- c:\archivos de programa\SUPERAntiSpyware\SASWINLO.DLL

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
2008-10-14 23:04 39792 ----a-w- c:\archivos de programa\Adobe\Reader 8.0\Reader\reader_sl.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Alcmtr]
2005-05-03 16:43 69632 ----a-w- c:\windows\Alcmtr.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AlcWzrd]
2006-05-04 14:26 2808832 ----a-w- c:\windows\alcwzrd.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MsnMsgr]
2007-10-18 09:34 5724184 ----a-w- c:\archivos de programa\Windows Live\Messenger\msnmsgr.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SoundMan]
2006-07-21 14:14 86016 ----a-w- c:\windows\SoundMan.exe

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\McAfeeAntiVirus]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpo licy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Archivos de programa\\McAfee\\Managed VirusScan\\Agent\\myAgtSvc.exe"=

R0 pavboot;pavboot;c:\windows\system32\drivers\pavboo t.sys [02/06/2010 20:24 28552]
R1 SASDIFSV;SASDIFSV;c:\archivos de programa\SUPERAntiSpyware\sasdifsv.sys [17/02/2010 20:25 12872]
R1 SASKUTIL;SASKUTIL;c:\archivos de programa\SUPERAntiSpyware\SASKUTIL.SYS [10/05/2010 20:41 67656]
R2 EngineServer;EngineServer;c:\archivos de programa\McAfee\Managed VirusScan\VScan\EngineServer.exe [29/09/2009 21:30 14144]
S2 myAgtSvc;Servicio de prtección antivirus y antisoftware espía de McAfee;c:\archivos de programa\McAfee\Managed VirusScan\Agent\myAgtSvc.exe [29/09/2009 21:25 175704]
.
Contents of the 'Scheduled Tasks' folder

2010-06-05 c:\windows\Tasks\Comprobar actualizaciones de Windows Live Toolbar.job
- c:\archivos de programa\Windows Live Toolbar\MSNTBUP.EXE [2007-10-19 09:20]
.
.
------- Supplementary Scan -------
.
uStart Page = hxxp://eeepc.asus.com/global
uInternet Connection Wizard,ShellNext = hxxp://eeepc.asus.com/global
IE: &Windows Live Search - c:\archivos de programa\Windows Live Toolbar\msntb.dll/search.htm
Trusted Zone: //about.htm/
Trusted Zone: //Exclude.htm/
Trusted Zone: //LanguageSelection.htm/
Trusted Zone: //Message.htm/
Trusted Zone: //MyAgttryCmd.htm/
Trusted Zone: //MyAgttryNag.htm/
Trusted Zone: //MyNotification.htm/
Trusted Zone: //NOCLessUpdate.htm/
Trusted Zone: //quarantine.htm/
Trusted Zone: //ScanNow.htm/
Trusted Zone: //strings.vbs/
Trusted Zone: //Template.htm/
Trusted Zone: //Update.htm/
Trusted Zone: //VirFound.htm/
Trusted Zone: mcafee.com\*
Trusted Zone: mcafeeasap.com\betavscan
Trusted Zone: mcafeeasap.com\vs
Trusted Zone: mcafeeasap.com\www
TCP: {9AEBE353-0D70-4482-A29B-F29DC50A6344} = 194.224.52.4,194.224.52.6
FF - ProfilePath - c:\documents and settings\usuario\Datos de programa\Mozilla\Firefox\Profiles\l5ud6m9z.default \
FF - prefs.js: browser.startup.homepage - hxxp://www.google.es

---- FIREFOX POLICIES ----
c:\archivos de programa\Mozilla Firefox\greprefs\all.js - pref("ui.use_native_colors", true);
c:\archivos de programa\Mozilla Firefox\greprefs\all.js - pref("network.auth.force-generic-ntlm", false);
c:\archivos de programa\Mozilla Firefox\greprefs\all.js - pref("svg.smil.enabled", false);
c:\archivos de programa\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.allow_unrestricted_renego_every where__temporarily_available_pref", true);
c:\archivos de programa\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.renego_unrestricted_hosts", "");
c:\archivos de programa\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.treat_unsafe_negotiation_as_bro ken", false);
c:\archivos de programa\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl.require_safe_negotiation", false);
c:\archivos de programa\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.name", "chrome://browser/locale/browser.properties");
c:\archivos de programa\Mozilla Firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.description", "chrome://browser/locale/browser.properties");
c:\archivos de programa\Mozilla Firefox\defaults\pref\firefox.js - pref("plugins.update.notifyUser", false);
.

************************************************** ************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, GMER - Rootkit Detector and Remover
Rootkit scan 2010-06-05 17:12
Windows 5.1.2600 Service Pack 3 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden files: 0

************************************************** ************************
.
--------------------- DLLs Loaded Under Running Processes ---------------------

- - - - - - - > 'winlogon.exe'(784)
c:\archivos de programa\SUPERAntiSpyware\SASWINLO.DLL

- - - - - - - > 'explorer.exe'(4768)
c:\archivos de programa\Archivos comunes\TortoiseOverlays\TortoiseOverlays.dll
c:\archivos de programa\TortoiseSVN\bin\TortoiseStub.dll
c:\archivos de programa\TortoiseSVN\bin\TortoiseSVN.dll
c:\archivos de programa\TortoiseSVN\bin\intl3_tsvn.dll
.
Completion time: 2010-06-05 17:16:47
ComboFix-quarantined-files.txt 2010-06-05 15:16
ComboFix2.txt 2010-06-04 22:23
ComboFix3.txt 2010-06-04 19:44

Pre-Run: 6.491.365.376 bytes libres
Post-Run: 6.460.252.160 bytes libres

WindowsXP-KB310994-SP2-Home-BootDisk-ENU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOW S
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Micro soft Windows XP Home Edition" /noexecute=optin /fastdetect

- - End Of File - - E6DCE430400F2E3ADBA5659A72EB9C27

jbex · #19 05-jun-2010, 18:28

Si continúa con las indicaciones que te dio facaor ya que aun mantienes los archivos infectados, que te indica a eliminar

blumen · #20 05-jun-2010, 18:54

He descargado OTMoveIt3, lo he guardado en el Escritorio. He reiniciado en Modo Seguro, le doy doble click en el icono OTM.exe para ejecutarlo y las opciones que me aparecen en la pantalla son: 'Movelt!', 'Clean Up!' y 'Exit'.
Debajo solo aparece en amarillo: "Paste Instructions for Items to be Moved" y en verde: "Results". No aparece nada más, no hay opción "Unregister Dll's and Ocx's".

Un saludo.

Herramientas
Mostrar Versión Imprimible Enviar por Correo
Desplegado
Mode Lineal Cambiar a Modo Hibrido Cambiar a Modo Hilado

Temas Similares
Tema	Autor	Foro	Respuestas	Último mensaje
Infección por archivos musicales	marga	Noticias	0	04-sep-2009 15:12
Posible infección en en boot de Windows	darker_001	Foro de Virus y Spywares	4	19-ago-2009 19:02
infeccion memoria operativa	chihuahuamaria	Foro de Virus y Spywares	3	24-dic-2008 15:50
Infeccion	kore	Logs de HijackThis	2	18-may-2008 11:37
Infeccion en el dia de los enamorados	marga	Noticias	0	13-feb-2008 13:54

Posible infección

Temas Similares