No se como sacarlo, les dejo mi log.

Estado
Cerrado para nuevas respuestas

mume

Nuevo Miembro
Miembro
Les comento que actualice windows, y pase nod 32 y no detecto nada, pero sigue molestando.

Desde ya muchas gracias.

Logfile of Trend Micro HijackThis v2.0.0 (BETA)

Scan saved at 06:02:54 p.m., on 23/03/2009

Platform: Windows XP SP3 (WinNT 5.01.2600)

Boot mode: Normal

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Archivos de programa\Java\jre6\bin\jqs.exe

C:\WINDOWS\system32\userinit.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\ctfmon.exe

C:\Archivos de programa\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

C:\Archivos de programa\Windows Live\Messenger\msnmsgr.exe

C:\Archivos de programa\Internet Explorer\IEXPLORE.EXE

C:\WINDOWS\system32\6BUhw7MW.exe

C:\Archivos de programa\Internet Explorer\iexplore.exe

C:\Archivos de programa\WinRAR\WinRAR.exe

C:\DOCUME~1\a1\CONFIG~1\Temp\Rar$EX00.516\HiJackThis_v2.exe

O2 - BHO: Aplicación auxiliar de vínculos de Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Archivos comunes\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Archivos de programa\Archivos comunes\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll

O2 - BHO: XML module - {500BCA15-57A7-4eaf-8143-8C619470B13D} - C:\WINDOWS\system32\msxml71.dll

O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre6\bin\ssv.dll

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Archivos de programa\Google\Google Toolbar\GoogleToolbar.dll

O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Archivos de programa\Google\GoogleToolbarNotifier\5.0.926.3450\swg.dll

O2 - BHO: Google Dictionary Compression sdch - {C84D72FE-E17D-4195-BB24-76C02E2E7C4E} - C:\Archivos de programa\Google\Google Toolbar\Component\fastsearch_219B3E1547538286.dll

O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Archivos de programa\Java\jre6\bin\jp2ssv.dll

O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Archivos de programa\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll

O3 - Toolbar: &Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Archivos de programa\Google\Google Toolbar\GoogleToolbar.dll

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [swg] C:\Archivos de programa\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

O4 - HKCU\..\Run: [msnmsgr] "C:\Archivos de programa\Windows Live\Messenger\msnmsgr.exe" /background

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICIO LOCAL')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Servicio de red')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O16 - DPF: {56762DEC-6B0D-4AB4-A8AD-989993B5D08B} (OnlineScanner Control) - http://www.eset.eu/buxus/docs/OnlineScanner.cab

O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scan8/oscan8.cab

O23 - Service: Ares Chatroom server (AresChatServer) - Ares Development Group - C:\Archivos de programa\Ares\chatServer.exe

O23 - Service: Servicio del administrador de discos lógicos (dmadmin) - Unknown owner - C:\WINDOWS\System32\dmadmin.exe

O23 - Service: Registro de sucesos (Eventlog) - Unknown owner - C:\WINDOWS\system32\services.exe

O23 - Service: Google Updater Service (gusvc) - Google - C:\Archivos de programa\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: Servicio COM de grabación de CD de IMAPI (ImapiService) - Unknown owner - C:\WINDOWS\system32\imapi.exe

O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Archivos de programa\Java\jre6\bin\jqs.exe

O23 - Service: Escritorio remoto compartido de NetMeeting (mnmsrvc) - Unknown owner - C:\WINDOWS\system32\mnmsrvc.exe

O23 - Service: Plug and Play (PlugPlay) - Unknown owner - C:\WINDOWS\system32\services.exe

O23 - Service: Administrador de sesión de Ayuda de escritorio remoto (RDSessMgr) - Unknown owner - C:\WINDOWS\system32\sessmgr.exe

O23 - Service: Tarjeta inteligente (SCardSvr) - Unknown owner - C:\WINDOWS\System32\SCardSvr.exe

O23 - Service: Registros y alertas de rendimiento (SysmonLog) - Unknown owner - C:\WINDOWS\system32\smlogsvc.exe

O23 - Service: Instantáneas de volumen (VSS) - Unknown owner - C:\WINDOWS\System32\vssvc.exe

O23 - Service: Adaptador de rendimiento de WMI (WmiApSrv) - Unknown owner - C:\WINDOWS\system32\wbem\wmiapsrv.exe

--

End of file - 5380 bytes
 

yosoydoug

Ex- Mod
Miembro
Realiza los siguientes pasos y nos pasas los resultados:

1º Actualiza tu sistema Aqui (Si no te deja actualizar pasa al siguiente paso)

Buscar actualizaciones con Windows Update

2º Borra todas las cookies y el registro con CCleaner

Descargar CCleaner | Utilidades - Análisis y Optimización

3º Vete a Inicio- Panel de Control--> Java (si usas Java) y elimina todos los archivos temporales.

4º Borrar archivos temporales--> Desde Inicio, Ejecutar, escribe %TEMP%, pulsa Enter y elimina todo el contenido.

5º Pásale el Malwarebytes AntiMalware. (Actualizalo, y al acabar el Scaneo elije la opción eliminar, después guarda el report y lo pegas) [Si tienes algúna duda aquí tienes un Manual de Malwarebytes AntiMalware]

Descarga MalwareBytes Anti-Malware

Manual

Manual de Malwarebytes Anti-Malware

6º Ademas, haz un scan on line: Los mejores antivirus online

Debes usar el Internet Explorer y aceptar los active x

Le pones que elimine lo que te detecte.

Nos copias ese reporte, el del Malwarebytes Antimalware y un nuevo log del hijackthis.

Saludos
 

mume

Nuevo Miembro
Miembro
Malwarebytes' Anti-Malware 1.34

Versión de la Base de Datos: 1890

Windows 5.1.2600 Service Pack 3

23/03/2009 08:08:03 p.m.

mbam-log-2009-03-23 (20-08-03).txt

Tipo de examen : Examen Rápido

Objetos examinados: 60776

Tiempo transcurrido: 3 minute(s), 0 second(s)

Procesos en Memoria Infectados: 0

Módulos en Memoria Infectados: 1

Claves del Registro Infectadas: 8

Valores del Registro Infectados: 0

Elementos de Datos del Registro Infectados: 2

Carpetas Infectadas: 0

Ficheros Infectados: 2

Procesos en Memoria Infectados:

(No se han detectado elementos maliciosos)

Módulos en Memoria Infectados:

C:\WINDOWS\system32\msxml71.dll (Trojan.FakeAlert) -> Delete on reboot.

Claves del Registro Infectadas:

HKEY_CLASSES_ROOT\xml.xml (Trojan.FakeAlert) -> Quarantined and deleted successfully.

HKEY_CLASSES_ROOT\CLSID\{500bca15-57a7-4eaf-8143-8c619470b13d} (Trojan.FakeAlert) -> Quarantined and deleted successfully.

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{500bca15-57a7-4eaf-8143-8c619470b13d} (Trojan.FakeAlert) -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{500bca15-57a7-4eaf-8143-8c619470b13d} (Trojan.FakeAlert) -> Quarantined and deleted successfully.

HKEY_CLASSES_ROOT\xml.xml.1 (Trojan.FakeAlert) -> Quarantined and deleted successfully.

HKEY_CLASSES_ROOT\Typelib\{60af7e75-d08e-fef7-4ae6-aab98e03212d} (Trojan.FakeAlert) -> Quarantined and deleted successfully.

HKEY_CURRENT_USER\SOFTWARE\Cognac (Rogue.Multiple) -> Quarantined and deleted successfully.

HKEY_CURRENT_USER\SOFTWARE\XML (Trojan.FakeAlert) -> Quarantined and deleted successfully.

Valores del Registro Infectados:

Scan Info







Scanned Files

158926



Infected Files

0

















Virus Detected







No virus found.
 

Caito

Ex- Mod
Miembro
Podrías explicar qué problema tienes

- Además pon un nuevo log del hijack

Saludos

Caito
 

mume

Nuevo Miembro
Miembro
te cuento que tengo un virus que hace ssaltar una advertencia de seguridad,con el siguiente mensaje, WARNING! YOU HAVE A SECURITY PROBLEM, y ademas se abren varias paginas relacionadas, ya actualice el sitema les dejo otro log.

Gracias por la ayuda.

Logfile of Trend Micro HijackThis v2.0.0 (BETA)

Scan saved at 06:16:02 p.m., on 25/03/2009

Platform: Windows XP SP3 (WinNT 5.01.2600)

Boot mode: Normal

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Archivos de programa\Java\jre6\bin\jqs.exe

C:\WINDOWS\system32\userinit.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\ctfmon.exe

C:\Archivos de programa\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

C:\Archivos de programa\Windows Live\Messenger\msnmsgr.exe

C:\WINDOWS\system32\wuauclt.exe

C:\Archivos de programa\WinRAR\WinRAR.exe

C:\DOCUME~1\a1\CONFIG~1\Temp\Rar$EX00.453\HiJackThis_v2.exe

O2 - BHO: Aplicación auxiliar de vínculos de Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Archivos comunes\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Archivos de programa\Archivos comunes\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll

O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre6\bin\ssv.dll

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Archivos de programa\Google\Google Toolbar\GoogleToolbar.dll

O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Archivos de programa\Google\GoogleToolbarNotifier\5.0.926.3450\swg.dll

O2 - BHO: Google Dictionary Compression sdch - {C84D72FE-E17D-4195-BB24-76C02E2E7C4E} - C:\Archivos de programa\Google\Google Toolbar\Component\fastsearch_219B3E1547538286.dll

O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Archivos de programa\Java\jre6\bin\jp2ssv.dll

O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Archivos de programa\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll

O3 - Toolbar: &Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Archivos de programa\Google\Google Toolbar\GoogleToolbar.dll

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [swg] C:\Archivos de programa\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

O4 - HKCU\..\Run: [msnmsgr] "C:\Archivos de programa\Windows Live\Messenger\msnmsgr.exe" /background

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICIO LOCAL')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Servicio de red')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/spanish/kavwebscan_unicode.cab

O16 - DPF: {56762DEC-6B0D-4AB4-A8AD-989993B5D08B} (OnlineScanner Control) - http://www.eset.eu/buxus/docs/OnlineScanner.cab

O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scan8/oscan8.cab

O23 - Service: Ares Chatroom server (AresChatServer) - Ares Development Group - C:\Archivos de programa\Ares\chatServer.exe

O23 - Service: Servicio del administrador de discos lógicos (dmadmin) - Unknown owner - C:\WINDOWS\System32\dmadmin.exe

O23 - Service: Registro de sucesos (Eventlog) - Unknown owner - C:\WINDOWS\system32\services.exe

O23 - Service: Google Updater Service (gusvc) - Google - C:\Archivos de programa\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: Servicio COM de grabación de CD de IMAPI (ImapiService) - Unknown owner - C:\WINDOWS\system32\imapi.exe

O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Archivos de programa\Java\jre6\bin\jqs.exe

O23 - Service: Escritorio remoto compartido de NetMeeting (mnmsrvc) - Unknown owner - C:\WINDOWS\system32\mnmsrvc.exe

O23 - Service: Plug and Play (PlugPlay) - Unknown owner - C:\WINDOWS\system32\services.exe

O23 - Service: Administrador de sesión de Ayuda de escritorio remoto (RDSessMgr) - Unknown owner - C:\WINDOWS\system32\sessmgr.exe

O23 - Service: Tarjeta inteligente (SCardSvr) - Unknown owner - C:\WINDOWS\System32\SCardSvr.exe

O23 - Service: Registros y alertas de rendimiento (SysmonLog) - Unknown owner - C:\WINDOWS\system32\smlogsvc.exe

O23 - Service: Instantáneas de volumen (VSS) - Unknown owner - C:\WINDOWS\System32\vssvc.exe

O23 - Service: Adaptador de rendimiento de WMI (WmiApSrv) - Unknown owner - C:\WINDOWS\system32\wbem\wmiapsrv.exe

--

End of file - 5304 bytes

Malwarebytes' Anti-Malware 1.34

Versión de la Base de Datos: 1890

Windows 5.1.2600 Service Pack 3

25/03/2009 06:21:59 p.m.

mbam-log-2009-03-25 (18-21-59).txt

Tipo de examen : Examen Rápido

Objetos examinados: 60458

Tiempo transcurrido: 3 minute(s), 38 second(s)

Procesos en Memoria Infectados: 0

Módulos en Memoria Infectados: 0

Claves del Registro Infectadas: 0

Valores del Registro Infectados: 0

Elementos de Datos del Registro Infectados: 2

Carpetas Infectadas: 0

Ficheros Infectados: 0

Procesos en Memoria Infectados:

(No se han detectado elementos maliciosos)

Módulos en Memoria Infectados:

(No se han detectado elementos maliciosos)

Claves del Registro Infectadas:

(No se han detectado elementos maliciosos)

Valores del Registro Infectados:

(No se han detectado elementos maliciosos)

Elementos de Datos del Registro Infectados:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Trojan.Agent) -> Data: c:\windows\system32\userinit.exe -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Trojan.Agent) -> Data: system32\userinit.exe -> Quarantined and deleted successfully.

Carpetas Infectadas:

(No se han detectado elementos maliciosos)

Sigue todo igual... no puedo solucianarlo.
 

Caito

Ex- Mod
Miembro
Descarga la utilidad ComboFix.exe (Windows 98/ME/2000/XP)

Combofix.exe

Desactiva temporalmente el Antivirus y/o Antispyware.

Cierra todas las ventanas abiertas.



*Nota* Mientras CF este trabajando no mover el mouse ya que pararía su proceso.

*Nota* ComboFix puede reiniciar automáticamente el PC para completar el proceso de eliminación.

-Ejecuta ComboFix.exe para iniciar el programa.

-Se abrirá la ventana del programa en modo MS-DOS. Pulsa inmediatamente la tecla "Y" (Yes) y después sobre ENTER para iniciar el proceso de detección y limpieza.

-Los iconos del Escritorio desaparecerán (esto es normal) y aparecerá el mensaje "Performing a scan of your machine".

- A continuación, aparecerá el mensaje "Preparing a log report" "This takes a while. So, please be patient".

-Seguidamente, aparecerán los mensajes "Almost done..." "A report of Combofix's actions would be produced at C:\Combofix.txt".

-Se paciente y espera a que la ventana del programa se cierre sola y se muestre el archivo C:\Combofix.txt. Los iconos del Escritorio volverán a su sitio sin necesidad de tener que reiniciar el PC.

-Por último, el informe combofix.txt mostrará los archivos detectados y eliminados, ese tal reporte lo pegas acá

- Además pon un nuevo log del hijack

Saludos

Caito
 

mume

Nuevo Miembro
Miembro
segui todos los pasos, pero esta todo muy lento... no se si estaré limpio, espero tu respusta.

Gracias.

ComboFix 09-03-23.01 - a1 2009-03-25 20:49:37.1 - NTFSx86

Microsoft Windows XP Professional 5.1.2600.3.1252.34.3082.18.767.507 [GMT -3:00]

Running from: d:\programas\V-Rally2 Expert Edition\CDEuro\58\ComboFix.exe

* Created a new restore point

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!

.

((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))

.

c:\windows\system32\dumphive.exe

c:\windows\system32\IEDFix.exe

c:\windows\system32\Process.exe

c:\windows\system32\SrchSTS.exe

c:\windows\system32\tmp.reg

c:\windows\system32\VACFix.exe

c:\windows\system32\VCCLSID.exe

c:\windows\system32\WS2Fix.exe

.

((((((((((((((((((((((((( Files Created from 2009-02-25 to 2009-03-25 )))))))))))))))))))))))))))))))

.

2009-03-23 20:02 . 2009-02-11 10:19 38,496 --a------ c:\windows\system32\drivers\mbamswissarmy.sys

2009-03-23 20:02 . 2009-02-11 10:19 15,504 --a------ c:\windows\system32\drivers\mbam.sys

2009-03-23 17:57 . 2009-03-23 17:57 <DIR> d-------- c:\documents and settings\a1\DoctorWeb

2009-03-23 11:00 . 2009-03-23 11:00 <DIR> dr------- c:\documents and settings\NetworkService\Favoritos

2009-03-23 09:14 . 2009-03-23 09:14 75,776 --a------ c:\windows\system32\6BUhw7MW.exe

2009-03-16 21:39 . 2009-03-16 21:39 <DIR> d-------- c:\documents and settings\a1\Datos de programa\GRETECH

2009-03-16 21:39 . 2009-03-16 21:39 <DIR> d-------- c:\archivos de programa\GRETECH

2009-03-07 17:31 . 2009-03-07 16:31 410,984 --a------ c:\windows\system32\deploytk.dll

2009-03-07 17:31 . 2009-03-07 16:31 73,728 --a------ c:\windows\system32\javacpl.cpl

2009-03-07 02:00 . 2009-03-07 02:01 <DIR> d-------- c:\archivos de programa\anywebcam

2009-03-07 01:58 . 2009-03-07 01:58 <DIR> d-------- c:\windows\Sun

2009-03-07 01:57 . 2009-03-07 16:31 <DIR> d-------- c:\archivos de programa\Java

2009-03-07 01:57 . 2009-03-07 01:57 <DIR> d-------- c:\archivos de programa\Archivos comunes\Java

2009-02-25 20:33 . 2009-02-25 20:33 <DIR> d-------- c:\archivos de programa\Panda Security

2009-02-25 20:24 . 2009-02-25 20:33 <DIR> d--h----- c:\documents and settings\a1\Recent(2)

.

(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2009-03-23 13:11 --------- d-----w c:\archivos de programa\EsetOnlineScanner

2009-03-23 12:14 53,248 ----a-w c:\windows\system32\userinit.exe

2009-02-20 21:26 --------- d--h--w c:\archivos de programa\InstallShield Installation Information

2009-02-20 21:25 --------- d-----w c:\archivos de programa\Archivos comunes\InstallShield

2009-02-15 23:42 --------- d-----w c:\archivos de programa\Mobile Partner

2009-02-13 22:27 --------- d-----w c:\documents and settings\a1\Datos de programa\InterTrust

2009-02-09 14:06 1,846,912 ----a-w c:\windows\system32\win32k.sys

2009-02-07 02:22 --------- d-----w c:\documents and settings\All Users\Datos de programa\QuickTime

.

------- Sigcheck -------

2004-08-20 09:00 25088 7b30b4d55b4562c733a5ddf6d6f72b3f c:\windows\$NtServicePackUninstall$\userinit.exe

2008-04-13 23:19 26624 f5b8745b9a90eaf17e30c0574e049aa3 c:\windows\ServicePackFiles\i386\userinit.exe

2009-03-23 09:14 53248 445c86c81fba3d9f2854f358104b9146 c:\windows\system32\userinit.exe

.

((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))

.

.

*Note* empty entries & legit default entries are not shown

REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2008-04-13 15360]

"swg"="c:\archivos de programa\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2008-10-12 68856]

"msnmsgr"="c:\archivos de programa\Windows Live\Messenger\msnmsgr.exe" [2007-10-18 5724184]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-13 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]

"vidc.I420"= c:\archiv~1\codecp~1\i263\i263_32.drv

"vidc.DIV3"= c:\archiv~1\codecp~1\divx3\divxc32.dll

"vidc.DIV4"= c:\archiv~1\codecp~1\divx412\divx.dll

"vidc.DIVX"= c:\archiv~1\codecp~1\divx511\divx.dll

"vidc.xvid"= c:\archiv~1\codecp~1\xvid\xvid.dll

"vidc.fvfw"= c:\archiv~1\codecp~1\ffvfw\ffvfw.dll

"msacm.avis"= c:\archiv~1\codecp~1\ffvfw\ffvfw.dll

"vidc.MPG4"= c:\archiv~1\codecp~1\mpeg4\mpg4c32.dll

"vidc.MP42"= c:\archiv~1\codecp~1\mpeg4\mpg4c32.dll

"vidc.MP43"= c:\archiv~1\codecp~1\mpeg4\mpg4c32.dll

"VIDC.MJPG"= c:\archiv~1\codecp~1\picvideo\pvmjpg21.dll

"VIDC.PIMJ"= c:\archiv~1\codecp~1\picvideo\pvljpg20.dll

"VIDC.PVW2"= c:\archiv~1\codecp~1\picvideo\pvwv220.dll

"VIDC.SJPG"= c:\archiv~1\codecp~1\pmmjpeg\pmmjpeg.dll

"vidc.MJPX"= c:\archiv~1\codecp~1\m3jpegv3\m3jpeg32.dll

"vidc.dmb1"= c:\archiv~1\codecp~1\m3jpegv3\m3jpeg32.dll

"VIDC.HFYU"= c:\archiv~1\codecp~1\huffyuv\huffyuv.dll

"VIDC.ZLIB"= c:\archiv~1\codecp~1\lcljp\avizlib.dll

"VIDC.MSZH"= c:\archiv~1\codecp~1\lcljp\avimszh.dll

"vidc.MVW1"= c:\archiv~1\codecp~1\aware\icmw_32.dll

"vidc.dvmc"= c:\archiv~1\codecp~1\mcdv\mcdvd_32.dll

"vidc.VP31"= c:\archiv~1\codecp~1\on2vp3\vp31vfw.dll

"vidc.VP60"= c:\archiv~1\codecp~1\on2vp6\vp6vfw.dll

"vidc.VP61"= c:\archiv~1\codecp~1\on2vp6\vp6vfw.dll

"vidc.3IV2"= c:\archiv~1\codecp~1\3ivx\3ivxvf~1.dll

"vidc.I263"= c:\archiv~1\codecp~1\i263\i263_32.drv

"msacm.imc"= c:\archiv~1\codecp~1\i263\imc32.acm

"VIDC.YMPG"= c:\archiv~1\codecp~1\ympeg\ympgcdc.dll

"msacm.ympgacm"= c:\archiv~1\codecp~1\ympeg\ympgacm.acm

"VIDC.WMV3"= c:\archiv~1\codecp~1\wm9\wmv9vcm.dll

"msacm.lameacm"= c:\archiv~1\codecp~1\mp3lame\lameacm.acm

"msacm.atrac3"= c:\archiv~1\codecp~1\atrac3\atrac3.acm

"msacm.qmpeg"= c:\archiv~1\codecp~1\qmpeg\qmpeg.acm

"msacm.uleaddv"= c:\archiv~1\codecp~1\uleaddv\dvacm.acm

"msacm.vorbis"= c:\archiv~1\codecp~1\vorbis\vorbis.acm

"msacm.divxa32"= msaud32_divx.acm

"msacm.msaudio2"= c:\archiv~1\codecp~1\wma\msaud32h.acm

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\KernelFaultCheck]

c:\windows\system32\dumprep 0 -k [X]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]

--a------ 2008-06-12 02:38 34672 c:\archivos de programa\Adobe\Reader 9.0\Reader\reader_sl.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CTFMON.EXE]

--a------ 2008-04-13 23:18 15360 c:\windows\system32\ctfmon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS]

---hs---- 2008-04-13 23:19 1695232 c:\archivos de programa\Messenger\msmsgs.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MsnMsgr]

--a------ 2007-10-18 11:34 5724184 c:\archivos de programa\Windows Live\Messenger\msnmsgr.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RoxioAudioCentral]

--a------ 2003-02-26 16:50 253952 c:\archivos de programa\Roxio\Easy CD Creator 6\AudioCentral\RxMon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RoxioDragToDisc]

--a------ 2003-02-27 04:36 757760 c:\archivos de programa\Roxio\Easy CD Creator 6\DragToDisc\DrgToDsc.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RoxioEngineUtility]

--a------ 2003-02-27 05:31 69632 c:\archivos de programa\Archivos comunes\Roxio Shared\System\EngUtil.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]

--a------ 2009-03-07 16:31 136600 c:\archivos de programa\Java\jre6\bin\jusched.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\swg]

--a------ 2008-10-12 22:44 68856 c:\archivos de programa\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SoundMan]

--a------ 2004-06-18 05:31 67584 c:\windows\SOUNDMAN.EXE

[HKEY_LOCAL_MACHINE\software\microsoft\security center]

"AntiVirusOverride"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"c:\\WINDOWS\\system32\\sessmgr.exe"=

"%windir%\\system32\\sessmgr.exe"=

"c:\\WINDOWS\\Network Diagnostic\\xpnetdiag.exe"=

"c:\\Archivos de programa\\Windows Live\\Messenger\\msnmsgr.exe"=

"c:\\Archivos de programa\\Windows Live\\Messenger\\livecall.exe"=

"c:\\Archivos de programa\\Panicware\\Don't Panic! 40\\dp.exe"=

"c:\\Archivos de programa\\Ares\\Ares.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]

"11323:TCP"= 11323:TCP:*xDDisabled:BitComet 11323

"11323:UDP"= 11323:UDP:*xDDisabled:BitComet 11323

"8324:TCP"= 8324:TCP:*xDDisabled:BitComet 8324

"8324:UDP"= 8324:UDP:*xDDisabled:BitComet 8324

R3 MBAMSwissArmy;MBAMSwissArmy;c:\windows\system32\drivers\mbamswissarmy.sys [2009-03-23 38496]

--- Other Services/Drivers In Memory ---

*NewlyCreated* - MBAMSWISSARMY

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{4afe36b2-fa30-11dd-8b0a-001109929ac2}]

\Shell\AutoRun\command - K:\AutoRun.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{4afe36b3-fa30-11dd-8b0a-001109929ac2}]

\Shell\AutoRun\command - K:\AutoRun.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{4afe36b6-fa30-11dd-8b0a-cfa27bbd63d7}]

\Shell\AutoRun\command - K:\AutoRun.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{753ff9ca-f55c-11dd-8af4-ff121aac11a4}]

\Shell\AutoRun\command - G:\AutoRun.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{77d059ca-f6ea-11dd-8afc-ae504151f7a3}]

\Shell\AutoRun\command - G:\AutoRun.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{8d9a3e45-fa3f-11dd-8b0b-8caf5da327ca}]

\Shell\AutoRun\command - K:\AutoRun.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{8d9a3e46-fa3f-11dd-8b0b-8caf5da327ca}]

\Shell\AutoRun\command - K:\AutoRun.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{a7bdec7e-f62c-11dd-8afa-d14a9a9f47a1}]

\Shell\AutoRun\command - K:\AutoRun.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{bf02ae6a-fa23-11dd-8b09-001109929ac2}]

\Shell\AutoRun\command - K:\AutoRun.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{bf02ae6d-fa23-11dd-8b09-001109929ac2}]

\Shell\AutoRun\command - K:\AutoRun.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{d8767f74-fbb4-11dd-8b17-e3482a5239d0}]

\Shell\AutoRun\command - G:\AutoRun.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{d8767f75-fbb4-11dd-8b17-e3482a5239d0}]

\Shell\AutoRun\command - G:\AutoRun.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{e406a898-fbb2-11dd-8b16-b6126f41aaa4}]

\Shell\AutoRun\command - G:\AutoRun.exe

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{e406a899-fbb2-11dd-8b16-b6126f41aaa4}]

\Shell\AutoRun\command - G:\AutoRun.exe

.

Contents of the 'Scheduled Tasks' folder

2009-03-23 c:\windows\Tasks\At1.job

- c:\windows\system32\6BUhw7MW.exe [2009-03-23 09:14]

2009-03-23 c:\windows\Tasks\At10.job

- c:\windows\system32\6BUhw7MW.exe [2009-03-23 09:14]

2009-03-23 c:\windows\Tasks\At11.job

- c:\windows\system32\6BUhw7MW.exe [2009-03-23 09:14]

2009-03-23 c:\windows\Tasks\At12.job

- c:\windows\system32\6BUhw7MW.exe [2009-03-23 09:14]

2009-03-24 c:\windows\Tasks\At13.job

- c:\windows\system32\6BUhw7MW.exe [2009-03-23 09:14]

2009-03-25 c:\windows\Tasks\At14.job

- c:\windows\system32\6BUhw7MW.exe [2009-03-23 09:14]

2009-03-25 c:\windows\Tasks\At15.job

- c:\windows\system32\6BUhw7MW.exe [2009-03-23 09:14]

2009-03-25 c:\windows\Tasks\At16.job

- c:\windows\system32\6BUhw7MW.exe [2009-03-23 09:14]

2009-03-23 c:\windows\Tasks\At17.job

- c:\windows\system32\6BUhw7MW.exe [2009-03-23 09:14]

2009-03-23 c:\windows\Tasks\At18.job

- c:\windows\system32\6BUhw7MW.exe [2009-03-23 09:14]

2009-03-23 c:\windows\Tasks\At19.job

- c:\windows\system32\6BUhw7MW.exe [2009-03-23 09:14]

2009-03-23 c:\windows\Tasks\At2.job

- c:\windows\system32\6BUhw7MW.exe [2009-03-23 09:14]

2009-03-25 c:\windows\Tasks\At20.job

- c:\windows\system32\6BUhw7MW.exe [2009-03-23 09:14]

2009-03-25 c:\windows\Tasks\At21.job

- c:\windows\system32\6BUhw7MW.exe [2009-03-23 09:14]

2009-03-24 c:\windows\Tasks\At22.job

- c:\windows\system32\6BUhw7MW.exe [2009-03-23 09:14]

2009-03-24 c:\windows\Tasks\At23.job

- c:\windows\system32\6BUhw7MW.exe [2009-03-23 09:14]

2009-03-24 c:\windows\Tasks\At24.job

- c:\windows\system32\6BUhw7MW.exe [2009-03-23 09:14]

2009-03-23 c:\windows\Tasks\At3.job

- c:\windows\system32\6BUhw7MW.exe [2009-03-23 09:14]

2009-03-23 c:\windows\Tasks\At4.job

- c:\windows\system32\6BUhw7MW.exe [2009-03-23 09:14]

2009-03-23 c:\windows\Tasks\At5.job

- c:\windows\system32\6BUhw7MW.exe [2009-03-23 09:14]

2009-03-23 c:\windows\Tasks\At6.job

- c:\windows\system32\6BUhw7MW.exe [2009-03-23 09:14]

2009-03-23 c:\windows\Tasks\At7.job

- c:\windows\system32\6BUhw7MW.exe [2009-03-23 09:14]

2009-03-23 c:\windows\Tasks\At8.job

- c:\windows\system32\6BUhw7MW.exe [2009-03-23 09:14]

2009-03-23 c:\windows\Tasks\At9.job

- c:\windows\system32\6BUhw7MW.exe [2009-03-23 09:14]

2009-03-23 c:\windows\Tasks\Mis imágenes.job

- c:\documents and settings\All Users\Documentos\Mis im []

.

- - - - ORPHANS REMOVED - - - -

MSConfigStartUp-AVG8_TRAY - c:\archiv~1\AVG\AVG8\avgtray.exe

MSConfigStartUp-Cognac - c:\docume~1\a1\CONFIG~1\Temp\3693.exe

MSConfigStartUp-egui - c:\archivos de programa\ESET\ESET NOD32 Antivirus\egui.exe

MSConfigStartUp-nod32kui - c:\archivos de programa\Eset\nod32kui.exe

MSConfigStartUp-QuickTime Task - e:\10mo album - truenotierra (2006)\MANAL - CRONOLOGIA\NUEVA CARPETA\qttask.exe

.

------- Supplementary Scan -------

.

uStart Page = hxxp://www.google.com.ar/

IE: E&xportar a Microsoft Excel - c:\archiv~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2009-03-25 20:51:19

Windows 5.1.2600 Service Pack 3 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully

hidden files: 0

**************************************************************************

.

--------------------- LOCKED REGISTRY KEYS ---------------------

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components\h–€|ÿÿÿÿ¤•€|ù•9~*]

"A0C0AC1900063D11C8EF10054038389C"="C?\\WINDOWS\\system32\\FM20ENU.DLL"

.

Completion time: 2009-03-25 20:53:02

ComboFix-quarantined-files.txt 2009-03-25 23:52:53

Pre-Run: 4.578.521.088 bytes libres

Post-Run: 4,704,997,376 bytes libres

252 --- E O F --- 2009-03-21 20:19:17

Logfile of Trend Micro HijackThis v2.0.0 (BETA)

Scan saved at 08:56:31 p.m., on 25/03/2009

Platform: Windows XP SP3 (WinNT 5.01.2600)

Boot mode: Normal

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Archivos de programa\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

C:\Archivos de programa\Panicware\Don't Panic! 40\dp.exe

C:\Archivos de programa\CCleaner\ccleaner.exe

C:\WINDOWS\system32\SNDVOL32.EXE

C:\WINDOWS\explorer.exe

C:\Archivos de programa\Internet Explorer\iexplore.exe

C:\Archivos de programa\WinRAR\WinRAR.exe

C:\DOCUME~1\a1\CONFIG~1\Temp\Rar$EX00.406\HiJackThis_v2.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

O2 - BHO: Aplicación auxiliar de vínculos de Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Archivos comunes\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Archivos de programa\Archivos comunes\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll

O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre6\bin\ssv.dll

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Archivos de programa\Google\Google Toolbar\GoogleToolbar.dll

O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Archivos de programa\Google\GoogleToolbarNotifier\5.0.926.3450\swg.dll

O2 - BHO: Google Dictionary Compression sdch - {C84D72FE-E17D-4195-BB24-76C02E2E7C4E} - C:\Archivos de programa\Google\Google Toolbar\Component\fastsearch_219B3E1547538286.dll

O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Archivos de programa\Java\jre6\bin\jp2ssv.dll

O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Archivos de programa\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll

O3 - Toolbar: &Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Archivos de programa\Google\Google Toolbar\GoogleToolbar.dll

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [swg] C:\Archivos de programa\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

O4 - HKCU\..\Run: [msnmsgr] "C:\Archivos de programa\Windows Live\Messenger\msnmsgr.exe" /background

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/spanish/kavwebscan_unicode.cab

O16 - DPF: {56762DEC-6B0D-4AB4-A8AD-989993B5D08B} (OnlineScanner Control) - http://www.eset.eu/buxus/docs/OnlineScanner.cab

O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scan8/oscan8.cab

O23 - Service: Ares Chatroom server (AresChatServer) - Ares Development Group - C:\Archivos de programa\Ares\chatServer.exe

O23 - Service: Servicio del administrador de discos lógicos (dmadmin) - Unknown owner - C:\WINDOWS\System32\dmadmin.exe

O23 - Service: Registro de sucesos (Eventlog) - Unknown owner - C:\WINDOWS\system32\services.exe

O23 - Service: Google Updater Service (gusvc) - Google - C:\Archivos de programa\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: Servicio COM de grabación de CD de IMAPI (ImapiService) - Unknown owner - C:\WINDOWS\system32\imapi.exe

O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Archivos de programa\Java\jre6\bin\jqs.exe

O23 - Service: Escritorio remoto compartido de NetMeeting (mnmsrvc) - Unknown owner - C:\WINDOWS\system32\mnmsrvc.exe

O23 - Service: Plug and Play (PlugPlay) - Unknown owner - C:\WINDOWS\system32\services.exe

O23 - Service: Administrador de sesión de Ayuda de escritorio remoto (RDSessMgr) - Unknown owner - C:\WINDOWS\system32\sessmgr.exe

O23 - Service: Tarjeta inteligente (SCardSvr) - Unknown owner - C:\WINDOWS\System32\SCardSvr.exe

O23 - Service: Registros y alertas de rendimiento (SysmonLog) - Unknown owner - C:\WINDOWS\system32\smlogsvc.exe

O23 - Service: Instantáneas de volumen (VSS) - Unknown owner - C:\WINDOWS\System32\vssvc.exe

O23 - Service: Adaptador de rendimiento de WMI (WmiApSrv) - Unknown owner - C:\WINDOWS\system32\wbem\wmiapsrv.exe

--

End of file - 5480 bytes
 

Caito

Ex- Mod
Miembro
Baja este programa:

Dr.Web CureIt

Dr.Web CureIt!

Manual:Dr. Web CureIt

Doble click en drweb-cureit.exe

Clic en Star para que comience el scaneo

Al principio verifica la memoria y tienes que cliquear Yes cuando te pregunte si quieres que tal archivo sea curado (cure it ),esto es un scan rápido

Tambien te puede aparecer un pop up ofreciendo la posibilidad de comprar el programa ,solo elimina ese pop up y sigue…

Cuando ese scan termine haz clic en Options > Change settings

Elige la solapa Scan y destildas "Heuristic analysis".

Ahora vuelve a la ventana principal y eliges los discos a scanear:

elige “All Drives”,un punto rojo te indica cuales elegiste

Haz clic en la flecha verde ubicada a la derecha y comenzará el scaneo

Click 'Yes to all' si te pregunta si quieres “Cure” o “Move “ los archivos

Cuando el scaneo termine te fijas en los archivos encontrados y junto a ellos se halla un ícono trata de cliquear en ese y si puedes cliquea en otro ícono a la derecha y elige Move incurable

Esto pondrá esos archivos en “%userprofile%\DoctorWeb\quarantaine-folder”si no han podido “curarse”.

Ahora en el Menu principal clic en File y elige save report list

Guarda ese reporte en tu escritorio (el nombre será DrWeb.csv)

Cierra el programa.

Pon ese reporte y un nuevo log

saludos

caito
 

mume

Nuevo Miembro
Miembro
segui todos los pasos, te dejo todos los reportes, espero tu respuesta.

gracias.

6buhw7mw.exe c:\windows\system32 Trojan.DownLoad.25695 Eliminado.

Process.exe.vir C:\Qoobox\Quarantine\C\WINDOWS\system32 Tool.Prockill

A0119602.exe C:\System Volume Information\_restore{2BC8105D-7544-4B5F-84F8-9E4BC00A9B2F}\RP250 Tool.Prockill

A0121721.exe C:\System Volume Information\_restore{2BC8105D-7544-4B5F-84F8-9E4BC00A9B2F}\RP250 Trojan.DownLoad.25695 Eliminado.

elisoft codec pack 14 0 (spanish) install.exe\#setuppath#\divx511\fsg_4104.exe D:\Incoming\elisoft codec pack 14 0 (spanish) install.exe Adware.Gator

elisoft codec pack 14 0 (spanish) install.exe D:\Incoming Contenedor con objetos infectados Movido.

ComboFix.exe/data002\32788R22FWJFW\psexec.cfexe D:\programas\V-Rally2 Expert Edition\CDEuro\58\ComboFix.exe/data002 Program.PsExec.171

data002 D:\programas\V-Rally2 Expert Edition\CDEuro\58 Archivo comprimido contiene objetos infectados

ComboFix.exe D:\programas\V-Rally2 Expert Edition\CDEuro\58 Contenedor con objetos infectados Movido.

A0121764.exe\#setuppath#\divx511\fsg_4104.exe D:\System Volume Information\_restore{2BC8105D-7544-4B5F-84F8-9E4BC00A9B2F}\RP250\A0121764.exe Adware.Gator

A0121764.exe D:\System Volume Information\_restore{2BC8105D-7544-4B5F-84F8-9E4BC00A9B2F}\RP250 Contenedor con objetos infectados Movido.

A0121765.exe/data002\32788R22FWJFW\psexec.cfexe D:\System Volume Information\_restore{2BC8105D-7544-4B5F-84F8-9E4BC00A9B2F}\RP250\A0121765.exe/data002 Program.PsExec.171

data002 D:\System Volume Information\_restore{2BC8105D-7544-4B5F-84F8-9E4BC00A9B2F}\RP250 Archivo comprimido contiene objetos infectados

A0121765.exe D:\System Volume Information\_restore{2BC8105D-7544-4B5F-84F8-9E4BC00A9B2F}\RP250 Contenedor con objetos infectados Movido.

SmitfraudFix.exe\SmitfraudFix\Process.exe E:\SmitfraudFix\SmitfraudFix.exe Tool.Prockill

SmitfraudFix.exe\SmitfraudFix\restart.exe E:\SmitfraudFix\SmitfraudFix.exe Tool.ShutDown.14

SmitfraudFix.exe E:\SmitfraudFix Archivo comprimido contiene objetos infectados Movido.

Process.exe E:\SmitfraudFix\SmitfraudFix Tool.Prockill

restart.exe E:\SmitfraudFix\SmitfraudFix Tool.ShutDown.14

A0118210.exe\SmitfraudFix\Process.exe E:\System Volume Information\_restore{2BC8105D-7544-4B5F-84F8-9E4BC00A9B2F}\RP245\A0118210.exe Tool.Prockill

A0118210.exe\SmitfraudFix\restart.exe E:\System Volume Information\_restore{2BC8105D-7544-4B5F-84F8-9E4BC00A9B2F}\RP245\A0118210.exe Tool.ShutDown.14

A0118210.exe E:\System Volume Information\_restore{2BC8105D-7544-4B5F-84F8-9E4BC00A9B2F}\RP245 Archivo comprimido contiene objetos infectados Movido.

A0118217.exe E:\System Volume Information\_restore{2BC8105D-7544-4B5F-84F8-9E4BC00A9B2F}\RP245 Tool.Prockill

A0118219.exe E:\System Volume Information\_restore{2BC8105D-7544-4B5F-84F8-9E4BC00A9B2F}\RP245 Tool.ShutDown.14

A0121766.exe\SmitfraudFix\Process.exe E:\System Volume Information\_restore{2BC8105D-7544-4B5F-84F8-9E4BC00A9B2F}\RP250\A0121766.exe Tool.Prockill

A0121766.exe\SmitfraudFix\restart.exe E:\System Volume Information\_restore{2BC8105D-7544-4B5F-84F8-9E4BC00A9B2F}\RP250\A0121766.exe Tool.ShutDown.14

A0121766.exe E:\System Volume Information\_restore{2BC8105D-7544-4B5F-84F8-9E4BC00A9B2F}\RP250 Archivo comprimido contiene objetos infectados Movido.

Logfile of Trend Micro HijackThis v2.0.0 (BETA)

Scan saved at 01:12:22 p.m., on 27/03/2009

Platform: Windows XP SP3 (WinNT 5.01.2600)

Boot mode: Normal

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Archivos de programa\Windows Live\Messenger\msnmsgr.exe

C:\Archivos de programa\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Archivos de programa\Panicware\Don't Panic! 40\dp.exe

C:\Documents and Settings\a1\Configuración local\Archivos temporales de Internet\Content.IE5\UDOWWYWK\cureit[1].exe

C:\DOCUME~1\a1\CONFIG~1\Temp\RarSFX0\_start.exe

C:\DOCUME~1\a1\CONFIG~1\Temp\RarSFX0\setup.exe

C:\Archivos de programa\CCleaner\ccleaner.exe

C:\WINDOWS\explorer.exe

C:\WINDOWS\system32\rundll32.exe

C:\Archivos de programa\Internet Explorer\iexplore.exe

C:\Archivos de programa\Microsoft Office\OFFICE11\EXCEL.EXE

C:\Archivos de programa\WinRAR\WinRAR.exe

C:\DOCUME~1\a1\CONFIG~1\Temp\Rar$EX00.547\HiJackThis_v2.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

O2 - BHO: Aplicación auxiliar de vínculos de Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Archivos comunes\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Archivos de programa\Archivos comunes\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll

O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre6\bin\ssv.dll

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Archivos de programa\Google\Google Toolbar\GoogleToolbar.dll

O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Archivos de programa\Google\GoogleToolbarNotifier\5.0.926.3450\swg.dll

O2 - BHO: Google Dictionary Compression sdch - {C84D72FE-E17D-4195-BB24-76C02E2E7C4E} - C:\Archivos de programa\Google\Google Toolbar\Component\fastsearch_219B3E1547538286.dll

O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Archivos de programa\Java\jre6\bin\jp2ssv.dll

O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Archivos de programa\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll

O3 - Toolbar: &Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Archivos de programa\Google\Google Toolbar\GoogleToolbar.dll

O4 - HKCU\..\Run: [msnmsgr] "C:\Archivos de programa\Windows Live\Messenger\msnmsgr.exe" /background

O4 - HKCU\..\Run: [swg] C:\Archivos de programa\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe

O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/spanish/kavwebscan_unicode.cab

O16 - DPF: {56762DEC-6B0D-4AB4-A8AD-989993B5D08B} (OnlineScanner Control) - http://www.eset.eu/buxus/docs/OnlineScanner.cab

O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scan8/oscan8.cab

O23 - Service: Ares Chatroom server (AresChatServer) - Ares Development Group - C:\Archivos de programa\Ares\chatServer.exe

O23 - Service: Servicio del administrador de discos lógicos (dmadmin) - Unknown owner - C:\WINDOWS\System32\dmadmin.exe

O23 - Service: Registro de sucesos (Eventlog) - Unknown owner - C:\WINDOWS\system32\services.exe

O23 - Service: Google Updater Service (gusvc) - Google - C:\Archivos de programa\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: Servicio COM de grabación de CD de IMAPI (ImapiService) - Unknown owner - C:\WINDOWS\system32\imapi.exe

O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Archivos de programa\Java\jre6\bin\jqs.exe

O23 - Service: Escritorio remoto compartido de NetMeeting (mnmsrvc) - Unknown owner - C:\WINDOWS\system32\mnmsrvc.exe

O23 - Service: Plug and Play (PlugPlay) - Unknown owner - C:\WINDOWS\system32\services.exe

O23 - Service: Administrador de sesión de Ayuda de escritorio remoto (RDSessMgr) - Unknown owner - C:\WINDOWS\system32\sessmgr.exe

O23 - Service: Tarjeta inteligente (SCardSvr) - Unknown owner - C:\WINDOWS\System32\SCardSvr.exe

O23 - Service: Registros y alertas de rendimiento (SysmonLog) - Unknown owner - C:\WINDOWS\system32\smlogsvc.exe

O23 - Service: Instantáneas de volumen (VSS) - Unknown owner - C:\WINDOWS\System32\vssvc.exe

O23 - Service: Adaptador de rendimiento de WMI (WmiApSrv) - Unknown owner - C:\WINDOWS\system32\wbem\wmiapsrv.exe

--

End of file - 5815 bytes
 

mume

Nuevo Miembro
Miembro
sigue apareciendo la advertecia de seguridad, y apareciendo paginas de antivirus y demas... la verdad no se que hacer.
 

mume

Nuevo Miembro
Miembro
Bueno aparentemente esta todo solucionado, caito sos un maestro, mil gracias! y les dejo un abrazo.
 

Caito

Ex- Mod
Miembro
Nos alegra que lo hayas arreglado

Damos por solucionado este tema

Saludos

Caito
 
Estado
Cerrado para nuevas respuestas
Arriba Pie