Infección.

**mark1972** · 09/07/2012, 18:15

Buenas tardes!
soy nuevo en el foro y les doy las gracias por la magnifica labor que realizan!
Tengo un pc de sobremesa con w7 ultimate sp1, kaspersky av internet edition, malware bytes, cc cleaner, advanced system care pro.

No entiendo nada de programación, pero si que sigo tutoriales, etc etc.
hace días que internet me va lento o se queda enganchado, he seguido los pasos básicos de comprobación que Uds. recomiendan iexplorer exe-malwarebyts-pandacloud-cc cleaner

no me da ningún error.
hoy me he interesado por el comando netstat, y dentro de lo que he visto en varios tutoriales, sin tener nada abierto de internet(salvo kaspersky) me salían un montón de procesos abiertos, pero me he perdido en los tutoriales que veo que son bastante incompletos en estos aspectos.

mi pregunta es la siguiente:

¿Algún experto de entre Uds. puede mediante sus instrucciones definirme los pasos a seguir para comprobar realmente el estado de mi maquina?
Yo seguiré los pasos indicados y remitiré los rportes obtenidos.
Saludos y gracias de antemano.

**jbex** · 09/07/2012, 21:30

Hola mark1972, cómo veo te gusta aprender e ir viendo y comprobando tu el SO, descarga Descargar Sysinternals Suite | Utilidades - Sistemas Operativos el cual te va a dar mucha información de lo que ocurre en tu sistema y la red ( Autoruns y TCPView).

Posiblemente tengas una infección, descarga e instala el ComboFix y nos dejas su reporte, en tu próxima respuesta.

Un saludo

**mark1972** · 10/07/2012, 09:08

Buenos días jbex!
Siguiendo tus indicaciones he descargado combofix, lo he ejecutado con kaspersky deshabilitado y con internet habilitado, te paso el report.
Al intentar desinstalar combofix y poner en ejecutar combofix /u, en lugar de desinstalar me ha empezado el proceso otra vez, he cerrado la ventana y he ido a C:, entonces he eliminado manualmente los archivos con los nombres combofix, he habilitado kaspersky, y he pasado cc cleaner ( ¿es correcto?).
Respecto a sysinternals suite lo he descargado y he visto que son pequeños programas ejecutables, con sus instrucciones en ingles ( tu enlace no funcionaba y lo he bajado de trucos windows), que me recomiendas con este programa, que ejecute todos los programas de la carpeta? me lo has recomendado para ver el manual?, ya me dirás algo!

ComboFix 12-07-10.01 - User 10/07/2012 8:32.1.2 - x86
Microsoft Windows 7 Ultimate 6.1.7601.1.1252.34.3082.18.2200.1414 [GMT 2:00]
Running from: c:\users\User\Desktop\ComboFix.exe
AV: Kaspersky Internet Security *Disabled/Updated* {2EAA32A5-1EE1-1B22-95DA-337730C6E984}
FW: Kaspersky Internet Security *Disabled* {1691B380-548E-1A7A-BE85-9A42CE15AEFF}
SP: Kaspersky Internet Security *Disabled/Updated* {95CBD341-38DB-14AC-AF6A-08054B41A339}
SP: Windows Defender *Enabled/Updated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
* Created a new restore point
.
.
((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\users\User\AppData\Local\datos.txt
c:\windows\7Loader.TAG
c:\windows\system32\uxtFA28.tmp
.
.
((((((((((((((((((((((((( Files Created from 2012-06-10 to 2012-07-10 )))))))))))))))))))))))))))))))
.
.
2012-07-10 06:39 . 2012-07-10 06:39 -------- d-----w- c:\users\Default\AppData\Local\temp
2012-07-09 12:51 . 2012-07-10 06:36 56200 ----a-w- c:\programdata\Microsoft\Windows Defender\Definition Updates\{47AE75B1-C191-405A-9D76-5C1A38A5C0F4}\offreg.dll
2012-07-06 11:06 . 2012-05-31 03:41 6762896 ----a-w- c:\programdata\Microsoft\Windows Defender\Definition Updates\{47AE75B1-C191-405A-9D76-5C1A38A5C0F4}\mpengine.dll
2012-07-04 08:34 . 2012-07-04 08:34 -------- d-----w- c:\programdata\Ask
2012-06-24 09:36 . 2012-06-24 09:36 -------- d-----w- c:\program files\Common Files\EZB Systems
2012-06-23 13:21 . 2007-04-24 00:50 25896 ----a-w- c:\windows\system32\drivers\RtlProt.sys
2012-06-23 13:20 . 2012-06-23 13:20 -------- d-----w- c:\windows\OPTIONS
2012-06-23 13:20 . 2007-11-09 03:10 288768 ----a-w- c:\windows\system\rtl8187B.sys
2012-06-23 13:20 . 2012-06-23 13:20 -------- d-----w- c:\windows\system32\REALTEK USB Wireless LAN Driver and Utility
2012-06-22 05:45 . 2012-06-02 22:19 53784 ----a-w- c:\windows\system32\wuauclt.exe
2012-06-22 05:45 . 2012-06-02 22:19 45080 ----a-w- c:\windows\system32\wups2.dll
2012-06-22 05:45 . 2012-06-02 22:12 2422272 ----a-w- c:\windows\system32\wucltux.dll
2012-06-22 05:45 . 2012-06-02 22:19 1933848 ----a-w- c:\windows\system32\wuaueng.dll
2012-06-22 05:45 . 2012-06-02 22:19 35864 ----a-w- c:\windows\system32\wups.dll
2012-06-22 05:45 . 2012-06-02 22:19 577048 ----a-w- c:\windows\system32\wuapi.dll
2012-06-22 05:45 . 2012-06-02 22:12 88576 ----a-w- c:\windows\system32\wudriver.dll
2012-06-22 05:45 . 2012-06-02 13:19 171904 ----a-w- c:\windows\system32\wuwebv.dll
2012-06-22 05:45 . 2012-06-02 13:12 33792 ----a-w- c:\windows\system32\wuapp.exe
2012-06-21 14:07 . 2012-06-21 14:07 514560 ----a-w- c:\windows\system32\qdvd.dll
2012-06-20 10:33 . 2012-06-24 09:46 -------- d-----w- c:\program files\UltraISO
2012-06-13 08:58 . 2012-06-13 08:58 -------- d-----w- c:\users\User\AppData\Local\Macromedia
2012-06-13 08:06 . 2012-06-13 08:06 -------- d-sh--w- c:\windows\system32\%APPDATA%
2012-06-13 05:56 . 2012-04-07 11:26 2342400 ----a-w- c:\windows\system32\msi.dll
2012-06-13 05:56 . 2012-05-15 01:05 2343936 ----a-w- c:\windows\system32\win32k.sys
2012-06-13 05:56 . 2012-04-26 04:45 58880 ----a-w- c:\windows\system32\rdpwsx.dll
2012-06-13 05:56 . 2012-04-26 04:45 129536 ----a-w- c:\windows\system32\rdpcorekmts.dll
2012-06-13 05:56 . 2012-04-26 04:41 8192 ----a-w- c:\windows\system32\rdrmemptylst.exe
2012-06-13 05:56 . 2012-05-01 04:44 164352 ----a-w- c:\windows\system32\profsvc.dll
2012-06-13 05:56 . 2012-04-24 04:36 140288 ----a-w- c:\windows\system32\cryptsvc.dll
2012-06-13 05:56 . 2012-04-24 04:36 1158656 ----a-w- c:\windows\system32\crypt32.dll
2012-06-13 05:56 . 2012-04-24 04:36 103936 ----a-w- c:\windows\system32\cryptnet.dll
.
.
.
(((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))) ))
.
2012-07-01 10:22 . 2012-04-03 07:12 426184 ----a-w- c:\windows\system32\FlashPlayerApp.exe
2012-07-01 10:22 . 2011-06-17 08:24 70344 ----a-w- c:\windows\system32\FlashPlayerCPLApp.cpl
2012-04-18 18:56 . 2012-04-18 18:56 94208 ----a-w- c:\windows\system32\QuickTimeVR.qtx
2012-04-18 18:56 . 2012-04-18 18:56 69632 ----a-w- c:\windows\system32\QuickTime.qts
2012-06-14 22:19 . 2012-07-05 11:02 85472 ----a-w- c:\program files\mozilla firefox\components\browsercomps.dll
.
.
((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown
REGEDIT4
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run]
"AVP"="c:\program files\Kaspersky Lab\Kaspersky Internet Security 2012\avp.exe" [2011-04-24 202296]
"Adobe ARM"="c:\program files\Common Files\Adobe\ARM\1.0\AdobeARM.exe" [2012-01-02 843712]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2012-03-27 37296]
"AdobeCS6ServiceManager"="c:\program files\Common Files\Adobe\CS6ServiceManager\CS6ServiceManager.ex e" [2012-05-07 1073312]
"AdobeAAMUpdater-1.0"="c:\program files\Common Files\Adobe\OOBE\PDApp\UWA\UpdaterStartupUtility.e xe" [2012-04-04 446392]
"APSDaemon"="c:\program files\common files\apple\apple application support\apsdaemon.exe" [2012-02-20 59240]
"GrooveMonitor"="c:\program files\microsoft office\office12\groovemonitor.exe" [2009-02-26 30040]
"Malwarebytes' Anti-Malware (reboot)"="c:\program files\Malwarebytes' Anti-Malware\mbam.exe" [2012-04-04 981680]
"NBAgent"="c:\program files\Nero\Nero 10\Nero BackItUp\NBAgent.exe" [2010-03-26 1234216]
"NeroFilterCheck"="c:\program files\Common Files\Ahead\Lib\NeroCheck.exe" [2006-01-12 155648]
"QuickTime Task"="c:\program files\quicktime\qttask.exe" [2012-04-18 421888]
"SwitchBoard"="c:\program files\Common Files\Adobe\SwitchBoard\SwitchBoard.exe" [2010-02-19 517096]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\Cur rentVersion\Run]
"Advanced SystemCare 5"="c:\program files\IObit\Advanced SystemCare 5\ASCTray.exe" [2012-05-28 288128]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\curr entversion\policies\system]
"ConsentPromptBehaviorAdmin"= 5 (0x5)
"ConsentPromptBehaviorUser"= 3 (0x3)
"EnableUIADesktopToggle"= 0 (0x0)
"EnableLinkedConnections"= 1 (0x1)
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"aux"=wdmaud.drv
.
R2 gupdate;Servicio de Google Update (gupdate);c:\program files\Google\Update\GoogleUpdate.exe [x]
R2 PavProc;Panda Process Protection Driver;c:\windows\system32\DRIVERS\PavProc.sys [x]
R3 gupdatem;Servicio de Google Update (gupdatem);c:\program files\Google\Update\GoogleUpdate.exe [x]
R3 MBAMSwissArmy;MBAMSwissArmy;c:\windows\system32\dr ivers\mbamswissarmy.sys [x]
R3 NAUpdate;Nero Update;c:\program files\Nero\Update\NASvc.exe [x]
R3 RdpVideoMiniport;Remote Desktop Video Miniport Driver;c:\windows\system32\drivers\rdpvideominipor t.sys [x]
R3 RTL8187B;Adaptador de red inalámbrica USB 2.0 Realtek RTL8187B 802.11b/g 54Mbps;c:\windows\system32\DRIVERS\RTL8187B.sys [x]
R3 RtlProt;RtlProt;c:\windows\System32\Drivers\RtlPro t.sys [x]
R3 SwitchBoard;SwitchBoard;c:\program files\Common Files\Adobe\SwitchBoard\SwitchBoard.exe [x]
R3 Synth3dVsc;Synth3dVsc;c:\windows\system32\drivers\ synth3dvsc.sys [x]
R3 TsUsbFlt;TsUsbFlt;c:\windows\system32\drivers\tsus bflt.sys [x]
R3 tsusbhub;tsusbhub;c:\windows\system32\drivers\tsus bhub.sys [x]
R3 VGPU;VGPU;c:\windows\system32\drivers\rdvgkmd.sys [x]
R3 WatAdminSvc;Servicio de tecnologías de activación de Windows;c:\windows\system32\Wat\WatAdminSvc.exe [x]
S0 13022022;13022022 Boot Guard Driver;c:\windows\system32\DRIVERS\13022022.sys [x]
S0 89149082;89149082 Boot Guard Driver;c:\windows\system32\DRIVERS\89149082.sys [x]
S1 13022021;13022021;c:\windows\system32\DRIVERS\1302 2021.sys [x]
S1 89149081;89149081;c:\windows\system32\DRIVERS\8914 9081.sys [x]
S1 kl2;kl2;c:\windows\system32\DRIVERS\kl2.sys [x]
S1 KLIM6;Kaspersky Anti-Virus NDIS 6 Filter;c:\windows\system32\DRIVERS\klim6.sys [x]
S1 ShldDrv;Panda File Shield Driver;c:\windows\system32\DRIVERS\ShlDrv51.sys [x]
S2 AdvancedSystemCareService5;Advanced SystemCare Service 5;c:\program files\IObit\Advanced SystemCare 5\ASCService.exe [x]
S3 klmouflt;Kaspersky Lab KLMOUFLT;c:\windows\system32\DRIVERS\klmouflt.sys [x]
S3 RTL8167;Realtek 8167 NT Driver;c:\windows\system32\DRIVERS\Rt86win7.sys [x]
.
.
--- Other Services/Drivers In Memory ---
.
*NewlyCreated* - WS2IFSL
.
Contents of the 'Scheduled Tasks' folder
.
2012-04-23 c:\windows\Tasks\Epson Printer Software Downloader.job
- c:\program files\EPSON\EPAPDL\E_SAPDL2.EXE [2009-05-26 10:43]
.
2012-04-23 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files\Google\Update\GoogleUpdate.exe [2011-06-27 09:48]
.
2012-04-23 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files\Google\Update\GoogleUpdate.exe [2011-06-27 09:48]
.
.
------- Supplementary Scan -------
.
uStart Page = about:blank
mStart Page = about:blank
IE: Agregar al componente Anti-Banner - c:\program files\Kaspersky Lab\Kaspersky Internet Security 2012\ie_banner_deny.htm
IE: E&xportar a Microsoft Excel - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
TCP: DhcpNameServer = 192.168.2.1
TCP: Interfaces\{324D2246-8FEF-4EA2-9FB8-BA7313ED48C5}: NameServer = 8.8.8.8,8.8.4.4
FF - ProfilePath - c:\users\User\AppData\Roaming\Mozilla\Firefox\Prof iles\ji3g2oco.default\
FF - user.js: browser.cache.memory.capacity - 65536
FF - user.js: browser.chrome.favicons - false
FF - user.js: browser.display.show_image_placeholders - true
FF - user.js: browser.turbo.enabled - true
FF - user.js: browser.urlbar.autocomplete.enabled - true
FF - user.js: browser.urlbar.autofill - true
FF - user.js: browser.xul.error_pages.enabled - true
FF - user.js: content.interrupt.parsing - true
FF - user.js: content.max.tokenizing.time - 3000000
FF - user.js: content.maxtextrun - 8191
FF - user.js: content.notify.backoffcount - 5
FF - user.js: content.notify.interval - 750000
FF - user.js: content.notify.ontimer - true
FF - user.js: content.switch.threshold - 750000
FF - user.js: network.http.max-connections - 32
FF - user.js: network.http.max-connections-per-server - 8
FF - user.js: network.http.max-persistent-connections-per-proxy - 8
FF - user.js: network.http.max-persistent-connections-per-server - 4
FF - user.js: network.http.pipelining - true
FF - user.js: network.http.pipelining.maxrequests - 8
FF - user.js: network.http.proxy.pipelining - true
FF - user.js: network.http.request.max-start-delay - 0
FF - user.js: nglayout.initialpaint.delay - 0
FF - user.js: plugin.expose_full_path - true
FF - user.js: ui.submenuDelay - 0
.
- - - - ORPHANS REMOVED - - - -
.
HKCU-Run-AdobeBridge - (no file)
.
.
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\M psSvc]
"ImagePath"="."
.
--------------------- LOCKED REGISTRY KEYS ---------------------
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\PC W\Security]
@Denied: (Full) (Everyone)
.
------------------------ Other Running Processes ------------------------
.
c:\windows\system32\nvvsvc.exe
c:\windows\system32\nvvsvc.exe
c:\windows\system32\taskhost.exe
c:\windows\system32\conhost.exe
.
************************************************** ************************
.
Completion time: 2012-07-10 08:46:04 - machine was rebooted
ComboFix-quarantined-files.txt 2012-07-10 06:46
.
Pre-Run: 244.722.024.448 bytes libres
Post-Run: 244.610.097.152 bytes libres
.
- - End Of File - - C2403D89E2F2FEA2C6690CBB6BE52940

Totalmente incomprensible y fuera de mi alcance para mi!
Saludos.

**jbex** · 10/07/2012, 16:32

Eliminar Combofix no es buena idea, hasta haber terminado con la infección y ya no sernos necesario es recomendable mantenerlo. Ya no tiene vuelta atrás, así que intenta eliminar desde modo seguro la carpeta que te señalo en negrita: c:\windows\system32\%APPDATA%

Si vieras no te fuera posible instala nuevamente el Combofix y sigue las siguientes instrucciones:

- Abre el notepad - no utilice otro tipo de editor de texto que el Bloc de notas o el script fallará.

- Clic en inicio -> ejecutar y escribe: notepad.exe

- Clic en aceptar

- Copia/pega el texto de la casilla de abajo en el notepad:

Código:

KillAll::

Folder::

c:\windows\system32\%APPDATA%

- Ve a la ventana del Bloc de notas y haz clic en Editar -> Pegar

- A continuación, haz clic en Archivo -> Guardar

- Nombre del archivo CFScript.txt

- Guarde el archivo en el escritorio

- Arrastra el archivo que acaba de crear ... CFScript.txt y soltar en el icono principal ComboFix.exe como se indica a continuación.

- Espera a que ComboFix termine de ejecutarse.

- Esto iniciará de nuevo ComboFix.

Después de reiniciar el sistema (en caso de que pida reiniciar), pega el contenido de Combofix.txt en la próxima respuesta.

Envía a analizar a los siguientes archivos a https://www.virustotal.com/:

S0 13022022;13022022 Boot Guard Driver;c:\windows\system32\DRIVERS\13022022.sys [x]
S0 89149082;89149082 Boot Guard Driver;c:\windows\system32\DRIVERS\89149082.sys [x]
S1 13022021;13022021;c:\windows\system32\DRIVERS\1302 2021.sys [x]
S1 89149081;89149081;c:\windows\system32\DRIVERS\8914 9081.sys [x]

Sobre el paquete de utilidades Sysinternals Suite, dispones de Autoruns (información del sistema) y TCPView (información de red).

Un saludo

**mark1972** · 10/07/2012, 20:10

Muchas gracias por tu rapidez y colaboración!
Como me has dicho que no era buena idea quitar combofix, en lugar de abrir en modo seguro, he vuelto a instalarlo y he seguido tus pasos con el bloc de notas etc.
Esta vez lo dejo instalado hasta que me digas!

Aquí te dejo el report:

ComboFix 12-07-10.01 - User 10/07/2012 19:31:53.3.2 - x86
Microsoft Windows 7 Ultimate 6.1.7601.1.1252.34.3082.18.2200.1288 [GMT 2:00]
Running from: c:\users\User\Desktop\ComboFix.exe
Command switches used :: c:\users\User\Desktop\CFScript.txt
AV: Kaspersky Internet Security *Disabled/Updated* {2EAA32A5-1EE1-1B22-95DA-337730C6E984}
FW: Kaspersky Internet Security *Disabled* {1691B380-548E-1A7A-BE85-9A42CE15AEFF}
SP: Kaspersky Internet Security *Disabled/Updated* {95CBD341-38DB-14AC-AF6A-08054B41A339}
SP: Windows Defender *Enabled/Updated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
.
.
((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\windows\system32\%APPDATA%
c:\windows\system32\%APPDATA%\Microsoft\Windows\IE TldCache\index.dat
.
Infected copy of c:\windows\system32\userinit.exe was found and disinfected
Restored copy from - c:\windows\erdnt\cache\userinit.exe
.
.
((((((((((((((((((((((((( Files Created from 2012-06-10 to 2012-07-10 )))))))))))))))))))))))))))))))
.
.
2012-07-10 17:41 . 2012-07-10 17:42 -------- d-----w- c:\users\User\AppData\Local\temp
2012-07-10 17:41 . 2012-07-10 17:41 -------- d-----w- c:\users\Default\AppData\Local\temp
2012-07-09 12:51 . 2012-07-10 06:36 56200 ----a-w- c:\programdata\Microsoft\Windows Defender\Definition Updates\{47AE75B1-C191-405A-9D76-5C1A38A5C0F4}\offreg.dll
2012-07-06 11:06 . 2012-05-31 03:41 6762896 ----a-w- c:\programdata\Microsoft\Windows Defender\Definition Updates\{47AE75B1-C191-405A-9D76-5C1A38A5C0F4}\mpengine.dll
2012-07-04 08:34 . 2012-07-04 08:34 -------- d-----w- c:\programdata\Ask
2012-06-24 09:36 . 2012-06-24 09:36 -------- d-----w- c:\program files\Common Files\EZB Systems
2012-06-23 13:21 . 2007-04-24 00:50 25896 ----a-w- c:\windows\system32\drivers\RtlProt.sys
2012-06-23 13:20 . 2012-06-23 13:20 -------- d-----w- c:\windows\OPTIONS
2012-06-23 13:20 . 2007-11-09 03:10 288768 ----a-w- c:\windows\system\rtl8187B.sys
2012-06-22 05:45 . 2012-06-02 22:19 53784 ----a-w- c:\windows\system32\wuauclt.exe
2012-06-22 05:45 . 2012-06-02 22:19 45080 ----a-w- c:\windows\system32\wups2.dll
2012-06-22 05:45 . 2012-06-02 22:12 2422272 ----a-w- c:\windows\system32\wucltux.dll
2012-06-22 05:45 . 2012-06-02 22:19 1933848 ----a-w- c:\windows\system32\wuaueng.dll
2012-06-22 05:45 . 2012-06-02 22:19 35864 ----a-w- c:\windows\system32\wups.dll
2012-06-22 05:45 . 2012-06-02 22:19 577048 ----a-w- c:\windows\system32\wuapi.dll
2012-06-22 05:45 . 2012-06-02 22:12 88576 ----a-w- c:\windows\system32\wudriver.dll
2012-06-22 05:45 . 2012-06-02 13:19 171904 ----a-w- c:\windows\system32\wuwebv.dll
2012-06-22 05:45 . 2012-06-02 13:12 33792 ----a-w- c:\windows\system32\wuapp.exe
2012-06-21 14:07 . 2012-06-21 14:07 514560 ----a-w- c:\windows\system32\qdvd.dll
2012-06-20 10:33 . 2012-06-24 09:46 -------- d-----w- c:\program files\UltraISO
2012-06-13 08:58 . 2012-06-13 08:58 -------- d-----w- c:\users\User\AppData\Local\Macromedia
2012-06-13 05:56 . 2012-04-07 11:26 2342400 ----a-w- c:\windows\system32\msi.dll
2012-06-13 05:56 . 2012-05-15 01:05 2343936 ----a-w- c:\windows\system32\win32k.sys
2012-06-13 05:56 . 2012-04-26 04:45 58880 ----a-w- c:\windows\system32\rdpwsx.dll
2012-06-13 05:56 . 2012-04-26 04:45 129536 ----a-w- c:\windows\system32\rdpcorekmts.dll
2012-06-13 05:56 . 2012-04-26 04:41 8192 ----a-w- c:\windows\system32\rdrmemptylst.exe
2012-06-13 05:56 . 2012-05-01 04:44 164352 ----a-w- c:\windows\system32\profsvc.dll
2012-06-13 05:56 . 2012-04-24 04:36 140288 ----a-w- c:\windows\system32\cryptsvc.dll
2012-06-13 05:56 . 2012-04-24 04:36 1158656 ----a-w- c:\windows\system32\crypt32.dll
2012-06-13 05:56 . 2012-04-24 04:36 103936 ----a-w- c:\windows\system32\cryptnet.dll
.
.
.
(((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))) ))
.
2012-07-01 10:22 . 2012-04-03 07:12 426184 ----a-w- c:\windows\system32\FlashPlayerApp.exe
2012-07-01 10:22 . 2011-06-17 08:24 70344 ----a-w- c:\windows\system32\FlashPlayerCPLApp.cpl
2012-04-18 18:56 . 2012-04-18 18:56 94208 ----a-w- c:\windows\system32\QuickTimeVR.qtx
2012-04-18 18:56 . 2012-04-18 18:56 69632 ----a-w- c:\windows\system32\QuickTime.qts
2012-06-14 22:19 . 2012-07-05 11:02 85472 ----a-w- c:\program files\mozilla firefox\components\browsercomps.dll
.
.
((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown
REGEDIT4
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\Run]
"Advanced SystemCare 5"="c:\program files\IObit\Advanced SystemCare 5\ASCTray.exe" [2012-05-28 288128]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run]
"AVP"="c:\program files\Kaspersky Lab\Kaspersky Internet Security 2012\avp.exe" [2011-04-24 202296]
"Adobe ARM"="c:\program files\Common Files\Adobe\ARM\1.0\AdobeARM.exe" [2012-01-02 843712]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2012-03-27 37296]
"AdobeCS6ServiceManager"="c:\program files\Common Files\Adobe\CS6ServiceManager\CS6ServiceManager.ex e" [2012-05-07 1073312]
"AdobeAAMUpdater-1.0"="c:\program files\Common Files\Adobe\OOBE\PDApp\UWA\UpdaterStartupUtility.e xe" [2012-04-04 446392]
"APSDaemon"="c:\program files\common files\apple\apple application support\apsdaemon.exe" [2012-02-20 59240]
"GrooveMonitor"="c:\program files\microsoft office\office12\groovemonitor.exe" [2009-02-26 30040]
"Malwarebytes' Anti-Malware (reboot)"="c:\program files\Malwarebytes' Anti-Malware\mbam.exe" [2012-04-04 981680]
"NBAgent"="c:\program files\Nero\Nero 10\Nero BackItUp\NBAgent.exe" [2010-03-26 1234216]
"NeroFilterCheck"="c:\program files\Common Files\Ahead\Lib\NeroCheck.exe" [2006-01-12 155648]
"QuickTime Task"="c:\program files\quicktime\qttask.exe" [2012-04-18 421888]
"SwitchBoard"="c:\program files\Common Files\Adobe\SwitchBoard\SwitchBoard.exe" [2010-02-19 517096]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\Cur rentVersion\Run]
"Advanced SystemCare 5"="c:\program files\IObit\Advanced SystemCare 5\ASCTray.exe" [2012-05-28 288128]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\curr entversion\policies\system]
"ConsentPromptBehaviorAdmin"= 5 (0x5)
"ConsentPromptBehaviorUser"= 3 (0x3)
"EnableUIADesktopToggle"= 0 (0x0)
"EnableLinkedConnections"= 1 (0x1)
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"aux"=wdmaud.drv
.
R2 gupdate;Servicio de Google Update (gupdate);c:\program files\Google\Update\GoogleUpdate.exe [x]
R2 PavProc;Panda Process Protection Driver;c:\windows\system32\DRIVERS\PavProc.sys [x]
R3 EA;EA;c:\users\User\AppData\Local\Temp\EA.exe [x]
R3 gupdatem;Servicio de Google Update (gupdatem);c:\program files\Google\Update\GoogleUpdate.exe [x]
R3 MBAMSwissArmy;MBAMSwissArmy; [x]
R3 NAUpdate;Nero Update;c:\program files\Nero\Update\NASvc.exe [x]
R3 RdpVideoMiniport;Remote Desktop Video Miniport Driver;c:\windows\system32\drivers\rdpvideominipor t.sys [x]
R3 RTL8187B;Adaptador de red inalámbrica USB 2.0 Realtek RTL8187B 802.11b/g 54Mbps;c:\windows\system32\DRIVERS\RTL8187B.sys [x]
R3 RtlProt;RtlProt;c:\windows\System32\Drivers\RtlPro t.sys [x]
R3 SwitchBoard;SwitchBoard;c:\program files\Common Files\Adobe\SwitchBoard\SwitchBoard.exe [x]
R3 Synth3dVsc;Synth3dVsc;c:\windows\system32\drivers\ synth3dvsc.sys [x]
R3 TsUsbFlt;TsUsbFlt;c:\windows\system32\drivers\tsus bflt.sys [x]
R3 tsusbhub;tsusbhub;c:\windows\system32\drivers\tsus bhub.sys [x]
R3 VGPU;VGPU;c:\windows\system32\drivers\rdvgkmd.sys [x]
R3 WatAdminSvc;Servicio de tecnologías de activación de Windows;c:\windows\system32\Wat\WatAdminSvc.exe [x]
S0 13022022;13022022 Boot Guard Driver;c:\windows\system32\DRIVERS\13022022.sys [x]
S0 89149082;89149082 Boot Guard Driver;c:\windows\system32\DRIVERS\89149082.sys [x]
S1 13022021;13022021;c:\windows\system32\DRIVERS\1302 2021.sys [x]
S1 89149081;89149081;c:\windows\system32\DRIVERS\8914 9081.sys [x]
S1 kl2;kl2;c:\windows\system32\DRIVERS\kl2.sys [x]
S1 KLIM6;Kaspersky Anti-Virus NDIS 6 Filter;c:\windows\system32\DRIVERS\klim6.sys [x]
S1 ShldDrv;Panda File Shield Driver;c:\windows\system32\DRIVERS\ShlDrv51.sys [x]
S2 AdvancedSystemCareService5;Advanced SystemCare Service 5;c:\program files\IObit\Advanced SystemCare 5\ASCService.exe [x]
S3 klmouflt;Kaspersky Lab KLMOUFLT;c:\windows\system32\DRIVERS\klmouflt.sys [x]
S3 RTL8167;Realtek 8167 NT Driver;c:\windows\system32\DRIVERS\Rt86win7.sys [x]
.
.
Contents of the 'Scheduled Tasks' folder
.
2012-04-23 c:\windows\Tasks\Epson Printer Software Downloader.job
- c:\program files\EPSON\EPAPDL\E_SAPDL2.EXE [2009-05-26 10:43]
.
2012-04-23 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\program files\Google\Update\GoogleUpdate.exe [2011-06-27 09:48]
.
2012-04-23 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\program files\Google\Update\GoogleUpdate.exe [2011-06-27 09:48]
.
.
------- Supplementary Scan -------
.
uStart Page = about:blank
mStart Page = about:blank
IE: Agregar al componente Anti-Banner - c:\program files\Kaspersky Lab\Kaspersky Internet Security 2012\ie_banner_deny.htm
IE: E&xportar a Microsoft Excel - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
TCP: DhcpNameServer = 192.168.2.1
TCP: Interfaces\{324D2246-8FEF-4EA2-9FB8-BA7313ED48C5}: NameServer = 8.8.8.8,8.8.4.4
FF - ProfilePath - c:\users\User\AppData\Roaming\Mozilla\Firefox\Prof iles\ji3g2oco.default\
FF - user.js: browser.cache.memory.capacity - 65536
FF - user.js: browser.chrome.favicons - false
FF - user.js: browser.display.show_image_placeholders - true
FF - user.js: browser.turbo.enabled - true
FF - user.js: browser.urlbar.autocomplete.enabled - true
FF - user.js: browser.urlbar.autofill - true
FF - user.js: browser.xul.error_pages.enabled - true
FF - user.js: content.interrupt.parsing - true
FF - user.js: content.max.tokenizing.time - 3000000
FF - user.js: content.maxtextrun - 8191
FF - user.js: content.notify.backoffcount - 5
FF - user.js: content.notify.interval - 750000
FF - user.js: content.notify.ontimer - true
FF - user.js: content.switch.threshold - 750000
FF - user.js: network.http.max-connections - 32
FF - user.js: network.http.max-connections-per-server - 8
FF - user.js: network.http.max-persistent-connections-per-proxy - 8
FF - user.js: network.http.max-persistent-connections-per-server - 4
FF - user.js: network.http.pipelining - true
FF - user.js: network.http.pipelining.maxrequests - 8
FF - user.js: network.http.proxy.pipelining - true
FF - user.js: network.http.request.max-start-delay - 0
FF - user.js: nglayout.initialpaint.delay - 0
FF - user.js: plugin.expose_full_path - true
FF - user.js: ui.submenuDelay - 0
.
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\M psSvc]
"ImagePath"="."
.
--------------------- LOCKED REGISTRY KEYS ---------------------
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\PC W\Security]
@Denied: (Full) (Everyone)
.
------------------------ Other Running Processes ------------------------
.
c:\windows\system32\nvvsvc.exe
c:\windows\system32\nvvsvc.exe
c:\windows\system32\taskhost.exe
c:\windows\system32\sppsvc.exe
c:\windows\system32\conhost.exe
.
************************************************** ************************
.
Completion time: 2012-07-10 19:46:46 - machine was rebooted
ComboFix-quarantined-files.txt 2012-07-10 17:46
ComboFix2.txt 2012-07-10 06:46
.
Pre-Run: 243.132.223.488 bytes libres
Post-Run: 243.057.901.568 bytes libres
.
- - End Of File - - 50E7801FE11E53859B606120BCB71895

-----------------------------------------------------------------------------------------------------

Ahora te dejo los reportes delos archivos analizados en virustotal.

SHA256: a3f8d9139142391d5f68aeb75a501243852a487f084f5aa75c 03eb173d2b8935
SHA1: cd7300ae608db1ca6583736b9648cf36b476f832
MD5: a305fad3719c5db0c13d1c2bfd08a04d
Tamaño: 36.5 KB ( 37392 bytes )
Nombre: 13022022.sys
Tipo: Win32 DLL
Detecciones: 0 / 42
Fecha de análisis: 2012-07-10 17:55:14 UTC ( hace 0 minutos )
0
0
Más detalles
Antivirus Resultado Actualización
AhnLab-V3 - 20120710
AntiVir - 20120710
Antiy-AVL - 20120710
Avast - 20120710
AVG - 20120710
BitDefender - 20120710
ByteHero - 20120613
CAT-QuickHeal - 20120710
ClamAV - 20120710
Commtouch - 20120710
Comodo - 20120710
DrWeb - 20120710
Emsisoft - 20120710
eSafe - 20120708
F-Prot - 20120710
F-Secure - 20120710
Fortinet - 20120710
GData - 20120710
Ikarus - 20120710
Jiangmin - 20120710
K7AntiVirus - 20120710
Kaspersky - 20120710
McAfee - 20120710
McAfee-GW-Edition - 20120710
Microsoft - 20120710
NOD32 - 20120710
Norman - 20120710
nProtect - 20120710
Panda - 20120710
PCTools - 20120710
Rising - 20120710
Sophos - 20120710
SUPERAntiSpyware - 20120710
Symantec - 20120710
TheHacker - 20120710
TotalDefense - 20120710
TrendMicro - 20120710
TrendMicro-HouseCall - 20120710
VBA32 - 20120710
VIPRE - 20120710
ViRobot - 20120710
VirusBuster - 20120710
__________________________________________________ ___________________________________

SHA256: a3f8d9139142391d5f68aeb75a501243852a487f084f5aa75c 03eb173d2b8935
SHA1: cd7300ae608db1ca6583736b9648cf36b476f832
MD5: a305fad3719c5db0c13d1c2bfd08a04d
Tamaño: 36.5 KB ( 37392 bytes )
Nombre: 89149082.sys
Tipo: Win32 DLL
Detecciones: 0 / 42
Fecha de análisis: 2012-07-10 17:58:25 UTC ( hace 0 minutos )
0
0
Más detalles
Antivirus Resultado Actualización
AhnLab-V3 - 20120710
AntiVir - 20120710
Antiy-AVL - 20120710
Avast - 20120710
AVG - 20120710
BitDefender - 20120710
ByteHero - 20120704
CAT-QuickHeal - 20120710
ClamAV - 20120710
Commtouch - 20120710
Comodo - 20120710
DrWeb - 20120710
Emsisoft - 20120710
eSafe - 20120708
F-Prot - 20120710
F-Secure - 20120710
Fortinet - 20120710
GData - 20120710
Ikarus - 20120710
Jiangmin - 20120710
K7AntiVirus - 20120710
Kaspersky - 20120710
McAfee - 20120710
McAfee-GW-Edition - 20120710
Microsoft - 20120710
NOD32 - 20120710
Norman - 20120710
nProtect - 20120710
Panda - 20120710
PCTools - 20120710
Rising - 20120710
Sophos - 20120710
SUPERAntiSpyware - 20120710
Symantec - 20120710
TheHacker - 20120710
TotalDefense - 20120710
TrendMicro - 20120710
TrendMicro-HouseCall - 20120710
VBA32 - 20120710
VIPRE - 20120710
ViRobot - 20120710
VirusBuster - 20120710

---------------------------------------------------------------------------------------

SHA256: 16b77fb533986ca6119f1307e52a4d0b863043c3fee572df20 c0bc0115cf68d8
Nombre: 13022021.sys
Detecciones: 0 / 42
Fecha de análisis: 2012-07-10 18:00:52 UTC ( hace 0 minutos )
0
0
Más detalles
Antivirus Resultado Actualización
AhnLab-V3 - 20120705
AntiVir - 20120705
Antiy-AVL - 20120705
Avast - 20120705
AVG - 20120705
BitDefender - 20120705
ByteHero - 20120704
CAT-QuickHeal - 20120705
ClamAV - 20120705
Commtouch - 20120705
Comodo - 20120705
DrWeb - 20120706
Emsisoft - 20120705
eSafe - 20120705
F-Prot - 20120705
F-Secure - 20120706
Fortinet - 20120705
GData - 20120705
Ikarus - 20120705
Jiangmin - 20120705
K7AntiVirus - 20120705
Kaspersky - 20120705
McAfee - 20120706
McAfee-GW-Edition - 20120705
Microsoft - 20120705
NOD32 - 20120705
Norman - 20120705
nProtect - 20120706
Panda - 20120705
PCTools - 20120705
Rising - 20120705
Sophos - 20120705
SUPERAntiSpyware - 20120705
Symantec - 20120706
TheHacker - 20120704
TotalDefense - 20120705
TrendMicro - 20120706
TrendMicro-HouseCall - 20120705
VBA32 - 20120705
VIPRE - 20120705
ViRobot - 20120705
VirusBuster - 20120705

--------------------------------------------------------------------------------------------------

SHA256: 16b77fb533986ca6119f1307e52a4d0b863043c3fee572df20 c0bc0115cf68d8
Nombre: 89149081.sys
Detecciones: 0 / 42
Fecha de análisis: 2012-07-10 18:03:07 UTC ( hace 1 minuto )
0
0
Más detalles
Antivirus Resultado Actualización
AhnLab-V3 - 20120710
AntiVir - 20120710
Antiy-AVL - 20120710
Avast - 20120710
AVG - 20120710
BitDefender - 20120710
ByteHero - 20120704
CAT-QuickHeal - 20120710
ClamAV - 20120710
Commtouch - 20120710
Comodo - 20120710
DrWeb - 20120710
Emsisoft - 20120710
eSafe - 20120708
F-Prot - 20120710
F-Secure - 20120710
Fortinet - 20120710
GData - 20120710
Ikarus - 20120710
Jiangmin - 20120710
K7AntiVirus - 20120710
Kaspersky - 20120710
McAfee - 20120710
McAfee-GW-Edition - 20120710
Microsoft - 20120710
NOD32 - 20120710
Norman - 20120710
nProtect - 20120710
Panda - 20120710
PCTools - 20120710
Rising - 20120710
Sophos - 20120710
SUPERAntiSpyware - 20120710
Symantec - 20120710
TheHacker - 20120710
TotalDefense - 20120710
TrendMicro - 20120710
TrendMicro-HouseCall - 20120710
VBA32 - 20120710
VIPRE - 20120710
ViRobot - 20120710
VirusBuster - 20120710

----------------------------------------------------------------------------------------

Bueno, espero tus noticias, de nuevo gracias por la paciencia y el interés, yo también colaboro de forma altruista en el foro todoexpertos (cada uno es bueno en lo suyo) y sé lo que es!

Saludos!

**jbex** · 13/07/2012, 11:51

Hola mark1972, no tienes que agradecerme nada, lo hago encantado. Y cómo mencionas que tu también ayudas en un foro, sabrás que es una satisfacción el poder ayudar a alguien, simplemente por el hecho de ayudarlo sin más. Máxime hoy día donde prima mas el dinero y egoísmo.

Dispones de Kaspersky Internet Security el contiene Antivirus, Antispam y firewall. Pero veo (se me paso comentártelo en mi anterior respuesta) que tienes instalado Malwarebytes' Anti-Malware. No es buena idea tenerlos activos a ambos, yo desactivaría el servicio de Malwarebytes' Anti-Malware, lo pasaría de automático a manual y cada 15/20 días le haría un escaneo al sistema ( Desactivar servicios Windows 7 | Trucos Windows 7 ).

Veo que el ComboFix ha hecho su trabajo y ha limpiado el sistema, ahora si puedes eliminarlo. Seguidamente activa tu antivirus, actualizarlo y escanea el sistema.

Un saludo

Infección.

Herramientas

Visualizar

Infección.

Re: Infección.

Re: Infección.

Re: Infección.

Re: Infección.

Re: Infección.

Temas similares

Posible infeccion

¿Infeccion de Virus?

Posible infección

Infeccion

Infeccion en el dia de los enamorados

Permisos de publicación