Ver la Versión Completa : problemas con procesos y ventanas cid
shakratelo 11/03/08, 15:55:03 por favor ayudenme cada rato me salen las ventanas de cid ademas la computadora corre lentisimo y los juegos y cosas q requieren de la tarjeta de video ya he intentado borrar el registro y eso y nada.......ademas aparecen unos procesos q yo ni sale BN y un numero normalmente entre el 1 y el 19 es decir, BN1, BN19 Y ASI y tambien unos errores del svchost.exe q me salen al prender el cpu (yo se q este programa se ejecuta varias veces pero a mi me sale como 10 y tambien el ieplore.exe)
aqui una imagen de mi administrador de tareas para q vean
http://img296.imageshack.us/img296/5823/image1vf4.jpg
aqui esta mi log
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 03:17:47 p.m., on 11/03/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Archivos de programa\Microsoft Office\Office12\GrooveMonitor.exe
C:\Archivos de programa\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Archivos de programa\Internet Explorer\iexplore.exe
C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\TEMP\BN19.tmp
C:\WINDOWS\System32\svchost.exe
C:\Archivos de programa\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\taskmgr.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Archivos de programa\Trend Micro\HijackThis\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://my.freeze.com/?s=playtoadgeneral&g=1&pc=43698&bd1=51&bd2=51&bd3=180&ipc=VE&sd1=51&sd2=51&sd3=208
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://aba.cantv.net/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings,ProxyServer = localhost:8081
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
R3 - URLSearchHook: (no name) - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O2 - BHO: (no name) - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - (no file)
O2 - BHO: Aplicación auxiliar de vínculos de Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Archivos comunes\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: IeCatch5 Class - {2F364306-AA45-47B5-9F9D-39A8B94E7EF7} - C:\ARCHIV~1\FlashGet\jccatch.dll
O2 - BHO: Megaupload Toolbar - {4E7BD74F-2B8D-469E-CCB0-B130EEDBE97C} - C:\ARCHIV~1\MEGAUP~1\MEGAUP~1.DLL
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\ARCHIV~1\MICROS~2\Office12\GRA8E1~1.DLL
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: (no name) - {F156768E-81EF-470C-9057-481BA8380DBA} - (no file)
O3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file)
O3 - Toolbar: Megaupload Toolbar - {4E7BD74F-2B8D-469E-CCB0-B130EEDBE97C} - C:\ARCHIV~1\MEGAUP~1\MEGAUP~1.DLL
O3 - Toolbar: (no name) - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O4 - HKLM\..\Run: [GrooveMonitor] "C:\Archivos de programa\Microsoft Office\Office12\GrooveMonitor.exe"
O4 - HKLM\..\Run: [1 mags 16 more] C:\Documents and Settings\All Users\Datos de programa\Admin Inter 1 Mags\heart face.exe
O4 - HKLM\..\Run: [Glock Suite 1.1] C:\WINDOWS\system32\glock32.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [amva] C:\WINDOWS\system32\amvo.exe
O4 - HKCU\..\Run: [LogIdol] C:\DOCUME~1\Javier\DATOSD~1\Chinknob\SafeSaveDumb. exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICIO LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Servicio de red')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: &Search - http://edits.mywebsearch.com/toolbaredits/menusearch.jhtml?p=ZU
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Enviar a OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\ARCHIV~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: &Enviar a OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\ARCHIV~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\WINDOWS\system32\shdocvw.dll
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\WINDOWS\system32\shdocvw.dll
O14 - IERESET.INF: START_PAGE_URL=http://aba.cantv.net/
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} -
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\ARCHIV~1\MICROS~2\Office12\GR99D3~1.DLL
O20 - Winlogon Notify: !SASWinLogon - C:\Archivos de programa\SUPERAntiSpyware\SASWINLO.dll
O20 - Winlogon Notify: LogCrypt - C:\WINDOWS\SYSTEM32\LogCrypt.dll
O20 - Winlogon Notify: WLCtrl32 - C:\WINDOWS\SYSTEM32\WLCtrl32.dll
O23 - Service: Ares Chatroom server (AresChatServer) - Ares Development Group - C:\Archivos de programa\Ares\chatServer.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Archivos de programa\Archivos comunes\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe (file missing)
O23 - Service: RDPSSW32 - Unknown owner - C:\WINDOWS\System32\RDPSSW32.EXE (file missing)
O23 - Service: Windows User Mode Driver Framework (UMWdf) - Unknown owner - C:\WINDOWS\system32\wdfmgr.exe (file missing)
--
End of file - 6246 bytes
ElPiedra 11/03/08, 16:57:07 Hola shakratelo,
Paso 1- Descarga estas herramientas pero no las ejecutes aun:
ComboFix.exe (http://www.forospyware.com/sUBs/ComboFix.exe)
Malwarebytes' Anti-Malware
Paso 2- Con todos los programas cerrados ejecuta el HijackThis y dale "FIX Cheked" a estas entradas:
O2 - BHO: (no name) - {F156768E-81EF-470C-9057-481BA8380DBA} - (no file)
O4 - HKLM\..\Run: [1 mags 16 more] C:\Documents and Settings\All Users\Datos de programa\Admin Inter 1 Mags\heart face.exe
O4 - HKCU\..\Run: [amva] C:\WINDOWS\system32\amvo.exe
O4 - HKCU\..\Run: [LogIdol] C:\DOCUME~1\Javier\DATOSD~1\Chinknob\SafeSaveDumb. exe
O8 - Extra context menu item: &Search - http://edits.mywebsearch.com/toolbaredits/menusearch.jhtml?p=ZU
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} -
O20 - Winlogon Notify: LogCrypt - C:\WINDOWS\SYSTEM32\LogCrypt.dll
O20 - Winlogon Notify: WLCtrl32 - C:\WINDOWS\SYSTEM32\WLCtrl32.dll
O23 - Service: RDPSSW32 - Unknown owner - C:\WINDOWS\System32\RDPSSW32.EXE (file missing)
Paso 3- Ejecuta estas herramientas, de a una:
.:sas_icon:. Malwarebytes' Anti-Malware
.:cf_icon:. Antes de usar ComboFix....
Desactiva temporalmente el Antivirus y/o Antispyware.
Cierra todas las ventanas abiertas.
Hacele doble clic al archivo ComboFix.exe y seguí las instrucciones.
Cuando termine, generara un registro en C:\ComboFix.txt.
*Nota* Mientras CF este trabajando no mover el mouse ya que pararía su proceso.
*Nota* ComboFix puede reiniciar automáticamente el PC para completar el proceso de eliminación.
Atención!! No use ComboFix a menos que se le haya indicado específicamente en su mensaje por un integrante de nuestro Staff (http://www.forospyware.com/showgroups.php). Es una herramienta de gran alcance destinada por su creador a ser usada bajo la orientación y supervisión de un experto, no para uso privado. El uso de ComboFix incorrectamente podría generar problemas en su sistema. Por favor, lea las "Negaciones de la Garantía" de ComboFix.
Paso 4- Descarga CCleaner (http://www.forospyware.com/t105564.html) y ejecútalo usando primero su opción de "Limpiador" para borrar cookies, temporales de Internet y todos los archivos que este te muestre como obsoletos, y luego usa su opción de "Registro" para limpiar todo el registro de Windows (haciendo copia de seguridad).
Reinicia y nos contas los resultados. junto con el reporte de
Paso 5- Reinicia en modo normal y nos dejas los reportes de:
Malwarebytes' Anti-Malware
C:\ComboFix.txt en este mismo mensaje.
**Nota**
- Para mayor comodidad imprime los pasos.
- Recuerda regresar y contarnos los resultados.
Salu2
shakratelo 11/03/08, 18:33:57 bueno ya hice todo lo q me pediste y hasta ahora nada anda mal pero sigo con los problemas de los procesos BN
http://img225.imageshack.us/img225/5051/image1ca0.jpg
y me sigen saliendo los problemas con el svchost al prender la computadora
aqui esta el log de malwarebytes
Malwarebytes' Anti-Malware 1.08
Versión de la Base de Datos: 479
Tipo de examen : Examen Completo (A:\|C:\|)
Objetos examinados: 91752
Tiempo transcurrido: 15 minute(s), 53 second(s)
Procesos en Memoria Infectados: 1
Módulos en Memoria Infectados: 1
Claves del Registro Infectadas: 8
Valores del Registro Infectados: 4
Elementos de Datos del Registro Infectados: 0
Carpetas Infectadas: 0
Ficheros Infectados: 15
Procesos en Memoria Infectados:
c:\WINDOWS\Temp\BN1B.tmp (Trojan.Dropper) -> Unloaded process successfully.
Módulos en Memoria Infectados:
C:\WINDOWS\system32\WLCtrl32.dll (Trojan.Agent) -> Unloaded module successfully.
Claves del Registro Infectadas:
HKEY_CLASSES_ROOT\CLSID\{147a976f-eee1-4377-8ea7-4716e4cdd239} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{56256a51-b582-467e-b8d4-7786eda79ae0} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{56256a51-b582-467e-b8d4-7786eda79ae0} (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\u sb2_04 (Rootkit.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\u sb2_04 (Rootkit.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\usb2_04 (Rootkit.Agent) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Multimedia\W MPlayer\Schemes\f3pss (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\runtime (Rootkit.Agent) -> Quarantined and deleted successfully.
Valores del Registro Infectados:
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\New Windows\Allow\host-domain-lookup.com (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\New Windows\Allow\mysearchnow.com (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\New Windows\Allow\www.host-domain-lookup.com (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\New Windows\Allow\www.mysearchnow.com (Malware.Trace) -> Quarantined and deleted successfully.
Elementos de Datos del Registro Infectados:
(No se han detectado elementos maliciosos)
Carpetas Infectadas:
(No se han detectado elementos maliciosos)
Ficheros Infectados:
c:\WINDOWS\Temp\BN1B.tmp (Trojan.Dropper) -> Quarantined and deleted successfully.
C:\oufddh.exe (Spyware.OnlineGames) -> Quarantined and deleted successfully.
C:\WINDOWS\Temp\130984.exe (Trojan.Dropper) -> Quarantined and deleted successfully.
C:\WINDOWS\Temp\BN16.tmp (Trojan.Dropper) -> Quarantined and deleted successfully.
C:\WINDOWS\Temp\BN19.tmp (Trojan.Dropper) -> Quarantined and deleted successfully.
C:\WINDOWS\Temp\BN1A.tmp (Trojan.Dropper) -> Quarantined and deleted successfully.
C:\WINDOWS\Temp\BN3.tmp (Trojan.Dropper) -> Quarantined and deleted successfully.
C:\WINDOWS\Temp\BN7.tmp (Trojan.Dropper) -> Quarantined and deleted successfully.
C:\WINDOWS\Temp\BN9.tmp (Trojan.Dropper) -> Quarantined and deleted successfully.
C:\WINDOWS\Temp\BNB.tmp (Trojan.Dropper) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\drivers\nkv2.sys (Rootkit.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\WLCtrl32.dll (Trojan.Agent) -> Delete on reboot.
C:\WINDOWS\system32\WLCtrl32.dl_ (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\LogCrypt.dll (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\8_exception.nls (Trojan.Tibs) -> Quarantined and deleted successfully.
el de combofix
ComboFix 08-03-10.1 - Javier 2008-03-11 17:39:08.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.3082.18.256 [GMT -4:00]
Se ejecuta desde: C:\Documents and Settings\Javier\Escritorio\ \Respaldo De Todo\Respaldo Total(Programas)\ComboFix.exe
ADVERTENCIA - ESTE EQUIPO NO TIENE INSTALADA LA CONSOLA DE RECUPERACION!
.
(((((((((((((((((((((((((((((((((((( Otras eliminaciones )))))))))))))))))))))))))))))))))))))))))))))))))
.
C:\80avp08.com
C:\Autorun.inf
C:\semo2x.exe
C:\WINDOWS\system32\5_exception.nls
C:\WINDOWS\system32\amvo.exe
C:\WINDOWS\system32\amvo0.dll
C:\WINDOWS\system32\amvo1.dll
C:\WINDOWS\system32\drivers\symavc32.sys
C:\WINDOWS\system32\winsusrm.dll
C:\WINDOWS\Temp\131078.exe
C:\WINDOWS\Temp\152593.exe
C:\WINDOWS\Temp\153203.exe
.
(((((((((((((((((( Archivos creados desde 2008-02-11 - 2008-03-11 )))))))))))))))))))))))))))))))))
.
2008-03-11 17:42 . 2008-03-11 17:42 11,776 --a------ C:\WINDOWS\system32\WLCtrl32.dl_
2008-03-11 17:16 . 2008-03-11 17:16 <DIR> d-------- C:\Documents and Settings\Javier\Datos de programa\Malwarebytes
2008-03-11 17:16 . 2008-03-11 17:16 <DIR> d-------- C:\Documents and Settings\All Users\Datos de programa\Malwarebytes
2008-03-11 17:16 . 2008-03-11 17:16 <DIR> d-------- C:\Archivos de programa\Malwarebytes' Anti-Malware
2008-03-11 15:15 . 2008-03-11 13:18 103,310 -r-hs---- C:\22wcb21o.exe
2008-03-09 21:55 . 2008-03-09 21:55 <DIR> d-------- C:\WINDOWS\nview
2008-03-09 21:55 . 2007-12-05 01:41 356,352 --a------ C:\WINDOWS\system32\nvudisp.exe
2008-03-09 21:55 . 2008-03-09 21:56 163,353 --a------ C:\WINDOWS\system32\nvapps.xml
2008-03-09 21:55 . 2007-12-05 01:41 17,737 --a------ C:\WINDOWS\system32\nvdisp.nvu
2008-03-09 21:50 . 2008-03-09 21:50 <DIR> d-------- C:\NVIDIA
2008-03-09 19:47 . 2008-03-09 19:47 <DIR> d-------- C:\Documents and Settings\Javier\SystemRequirementsLab
2008-03-09 13:32 . 2004-08-19 10:29 469,007 -ra------ C:\txtsetup.sif
2008-03-09 13:32 . 2004-08-03 17:00 261,904 -ra------ C:\$LDR$
2008-03-07 14:42 . 2008-03-08 13:32 102,536 -r-hs---- C:\v.com
2008-03-06 12:23 . 2008-03-06 12:23 107,849 -r-hs---- C:\a3g3.bat
2008-03-05 17:22 . 2008-03-05 17:21 106,249 -r-hs---- C:\ta2.cmd
2008-03-05 01:24 . 2008-03-05 01:24 <DIR> d-------- C:\Archivos de programa\JayPaRaDoX
2008-03-04 18:44 . 2008-03-10 22:18 <DIR> d-------- C:\Archivos de programa\Counter-Strike 1.6
2008-03-04 10:53 . 2008-03-04 10:52 107,272 -r-hs---- C:\8.bat
2008-03-03 23:57 . 2008-03-04 00:09 <DIR> d-------- C:\Documents and Settings\Javier\Datos de programa\Hamachi
2008-03-03 23:57 . 2008-03-03 23:57 17,480 --a------ C:\WINDOWS\system32\drivers\hamachi.sys
2008-03-03 21:32 . 2008-03-03 23:36 <DIR> d-------- C:\Archivos de programa\Valve
2008-03-01 12:13 . 2008-03-03 10:29 108,058 -r-hs---- C:\x6.bat
2008-02-29 21:23 . 2008-03-01 13:26 <DIR> d-------- C:\Archivos de programa\BYOND
2008-02-29 21:20 . 2008-02-29 21:20 <DIR> d--h----- C:\WINDOWS\PIF
2008-02-29 17:54 . 2008-02-29 17:54 <DIR> d-------- C:\Archivos de programa\Chinknob
2008-02-29 17:53 . 2008-02-29 17:53 <DIR> d-------- C:\Archivos de programa\Circle Developement
2008-02-27 11:17 . 2008-02-29 17:42 107,155 -r-hs---- C:\fppg1.exe
2008-02-26 12:23 . 2008-02-26 12:22 107,475 -r-hs---- C:\u2.cmd
2008-02-23 23:49 . 2008-02-23 23:49 <DIR> d-------- C:\Archivos de programa\Game_Maker7
2008-02-23 23:49 . 2008-02-23 23:49 0 --ah----- C:\WINDOWS\SwSys2.bmp
2008-02-23 23:49 . 2008-02-23 23:49 0 --ah----- C:\WINDOWS\SwSys1.bmp
2008-02-23 22:41 . 2008-02-23 22:41 <DIR> d-------- C:\Archivos de programa\Game_Maker5
2008-02-19 12:15 . 2008-02-18 20:25 105,441 -r-hs---- C:\gumkrhf.bat
2008-02-18 20:26 . 2008-02-18 20:25 105,441 -r-hs---- C:\8ng8w.com
2008-02-18 20:23 . 2008-02-18 20:23 <DIR> d-------- C:\Documents and Settings\Administrador\Datos de programa\MEGAUPLOADTOOLBAR
2008-02-18 20:22 . 2008-02-18 20:23 <DIR> d--hs---- C:\Documents and Settings\Administrador\Reciente
2008-02-18 20:22 . 2007-12-01 22:28 <DIR> d--h----- C:\Documents and Settings\Administrador\Plantillas
2008-02-18 20:22 . 2008-02-18 20:23 <DIR> d---s---- C:\Documents and Settings\Administrador\Mis documentos
2008-02-18 20:22 . 2007-12-01 17:21 <DIR> dr------- C:\Documents and Settings\Administrador\Men£ Inicio
2008-02-18 20:22 . 2007-12-01 17:21 <DIR> d--h----- C:\Documents and Settings\Administrador\Impresoras
2008-02-18 20:22 . 2008-02-18 20:23 <DIR> d---s---- C:\Documents and Settings\Administrador\Favoritos
2008-02-18 20:22 . 2007-12-01 17:21 <DIR> d-------- C:\Documents and Settings\Administrador\Escritorio
2008-02-18 20:22 . 2007-12-01 17:21 <DIR> d--h----- C:\Documents and Settings\Administrador\Entorno de red
2008-02-18 20:22 . 2008-02-18 20:23 <DIR> dr-h----- C:\Documents and Settings\Administrador\Datos de programa
2008-02-18 20:22 . 2008-02-18 20:23 <DIR> d--h----- C:\Documents and Settings\Administrador\Configuraci¢n local
2008-02-16 11:39 . 2007-01-18 08:00 3,968 --a------ C:\WINDOWS\system32\drivers\AvgArCln.sys
2008-02-16 11:36 . 2008-02-16 11:36 <DIR> d-------- C:\Documents and Settings\All Users\Datos de programa\Yahoo! Companion
2008-02-16 11:23 . 2008-03-11 17:42 <DIR> d-------- C:\WINDOWS\system32\config\systemprofile\Datos de programa\MEGAUPLOADTOOLBAR
2008-02-15 13:57 . 2008-03-11 17:41 11,776 --a------ C:\WINDOWS\system32\WLCtrl32.dll
2008-02-13 11:07 . 2008-02-13 11:07 102,211 -r-hs---- C:\x.com
2008-02-12 23:27 . 2008-02-12 23:36 <DIR> d-------- C:\Archivos de programa\Platform Studio
2008-02-12 23:24 . 2008-02-12 23:24 <DIR> d-------- C:\WINDOWS\system32\URTTemp
2008-02-11 10:14 . 2008-02-11 10:13 104,140 -r-hs---- C:\0hct8ybw.bat
.
(((((((((((((((((((((((((((((((((((((( Reporte Find3M )))))))))))))))))))))))))))))))))))))))))))))))))) )
.
2008-03-11 21:42 26,496 ----a-w C:\WINDOWS\system32\drivers\Sbj32.sys
2008-03-11 19:20 --------- d-----w C:\Documents and Settings\Javier\Datos de programa\MegauploadToolbar
2008-03-10 21:16 --------- d-----w C:\Archivos de programa\MSN Messenger
2008-03-08 20:43 --------- d-----w C:\Archivos de programa\SUPERAntiSpyware
2008-02-29 21:55 --------- d-----w C:\Documents and Settings\Javier\Datos de programa\Chinknob
2008-02-29 21:54 --------- d-----w C:\Documents and Settings\All Users\Datos de programa\Admin Inter 1 Mags
2008-02-29 21:53 --------- d-----w C:\Archivos de programa\Messenger Plus! Live
2008-02-28 03:44 --------- d-----w C:\Documents and Settings\All Users\Datos de programa\Microsoft Help
2008-02-27 00:53 --------- d-----w C:\Archivos de programa\SpywareBlaster
2008-02-24 02:41 796,672 -c--a-w C:\WINDOWS\GPInstall.exe
2008-02-23 03:07 --------- d-----w C:\Archivos de programa\EA GAMES
2008-02-22 01:50 22,328 ----a-w C:\WINDOWS\system32\drivers\PnkBstrK.sys
2008-02-15 17:58 103,461 --sh--r C:\d6fagcs8.cmd
2008-02-14 17:16 104,813 --sh--r C:\3wcxx91.cmd
2008-02-05 22:07 103,673 --sh--r C:\188qsm.bat
2008-02-05 03:30 --------- d-----w C:\Archivos de programa\Regseeker
2008-02-05 02:50 --------- d-----w C:\Documents and Settings\All Users\Datos de programa\NVIDIA
2008-02-05 02:47 --------- d--h--w C:\Archivos de programa\InstallShield Installation Information
2008-02-05 01:35 103,367 --sh--r C:\2ifetri.cmd
2008-02-03 04:22 --------- d-----w C:\Archivos de programa\Lineage II
2008-02-03 04:21 --------- d-----w C:\Archivos de programa\Archivos comunes\Adobe
2008-02-03 04:18 --------- d-----w C:\Archivos de programa\Archivos comunes\Wise Installation Wizard
2008-02-02 14:11 --------- d-----w C:\Archivos de programa\Electronic Arts
2008-02-02 14:07 --------- d-----w C:\Archivos de programa\DAEMON Tools
2008-02-02 13:55 --------- d-----w C:\Archivos de programa\Alcohol Soft
2008-02-02 13:52 715,248 ----a-w C:\WINDOWS\system32\drivers\sptd.sys
2008-02-02 13:33 104,644 --sh--r C:\i.cmd
2008-02-01 22:13 --------- d-----w C:\Documents and Settings\Javier\Datos de programa\Humanbalance
2008-02-01 22:13 --------- d-----w C:\Archivos de programa\GraphicsGale
2008-01-31 18:07 104,080 --sh--r C:\h.cmd
2008-01-28 15:27 104,734 --sh--r C:\ylr.exe
2008-01-28 14:24 105,293 --sh--r C:\xo8wr9.exe
2008-01-26 03:27 --------- d-----w C:\Archivos de programa\Ares
2008-01-24 21:00 104,822 --sh--r C:\qd.cmd
2008-01-22 15:54 105,313 --sh--r C:\xn1i9x.com
2008-01-22 15:54 105,313 --sh--r C:\awda2.exe
2008-01-17 20:02 105,525 --sh--r C:\m1t8ta.com
2008-01-17 04:23 --------- d-----w C:\Documents and Settings\Javier\Datos de programa\’O‰ºŒ“¬‹äŠy•”
2008-01-17 04:20 --------- d-----w C:\Archivos de programa\UnH Solutions
2008-01-16 14:09 104,863 --sh--r C:\juok3st.bat
2008-01-15 00:17 --------- d-----w C:\Archivos de programa\Java
2008-01-15 00:14 --------- d-----w C:\Archivos de programa\Archivos comunes\Java
2008-01-14 22:51 105,698 --sh--r C:\d.com
2008-01-11 19:28 --------- d-----w C:\Documents and Settings\Javier\Datos de programa\Uniblue
2008-01-09 04:29 21,760 ----a-w C:\WINDOWS\Xho64.sys
2007-12-28 18:41 104,507 --sh--r C:\xfoolavp.com
2007-12-27 22:57 105,048 --sh--r C:\dosocom.com
2007-12-27 14:39 105,958 --sh--r C:\usdeiect.com
2007-12-20 15:48 125,629 --sh--r C:\uxdeiect.com
2007-12-18 04:40 123,873 --sh--r C:\n1deiect.com
2006-05-06 16:42 7,260,160 -c--a-w C:\Archivos de programa\mozilla firefox\plugins\libvlc.dll
2007-12-03 20:18 31,740 -csh--r C:\WINDOWS\system32\avpo1.dll
.
((((((((((((((((((((((((((((((((( Cargando Puntos Reg ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Nota* entradas vacías & entradas legítimas predeterminadas no son mostradas
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-19 09:42 15360]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run]
"GrooveMonitor"="C:\Archivos de programa\Microsoft Office\Office12\GrooveMonitor.exe" [2006-10-27 00:47 31016]
"Glock Suite 1.1"="C:\WINDOWS\system32\glock32.exe" [2008-03-11 17:43 4096]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2007-12-05 01:41 8523776]
"nwiz"="nwiz.exe" [2007-12-05 01:41 1626112 C:\WINDOWS\system32\nwiz.exe]
"NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2007-12-05 01:41 81920]
"UserFaultCheck"="C:\WINDOWS\system32\dumprep 0 -u" [ ]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\Cur rentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-19 09:42 15360]
[HKEY_LOCAL_MACHINE\software\microsoft\windows\curr entversion\policies\explorer]
"NoResolveSearch"= 1 (0x1)
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\!SASWinLogon]
C:\Archivos de programa\SUPERAntiSpyware\SASWINLO.dll 2007-04-19 13:41 294912 C:\Archivos de programa\SUPERAntiSpyware\SASWINLO.dll
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\WLCtrl32]
WLCtrl32.dll 2008-03-11 17:41 11776 C:\WINDOWS\system32\WLCtrl32.dll
[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusDisableNotify"=dword:00000001
"UpdatesDisableNotify"=dword:00000001
[HKLM\~\services\sharedaccess\parameters\firewallpo licy\standardprofile]
"EnableFirewall"= 0 (0x0)
[HKLM\~\services\sharedaccess\parameters\firewallpo licy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Archivos de programa\\Microsoft Office\\Office12\\OUTLOOK.EXE"=
"C:\\Archivos de programa\\Microsoft Office\\Office12\\GROOVE.EXE"=
"C:\\Archivos de programa\\Microsoft Office\\Office12\\ONENOTE.EXE"=
"C:\\Archivos de programa\\MSN Messenger\\msnmsgr.exe"=
"C:\\Archivos de programa\\MSN Messenger\\livecall.exe"=
R0 Sbj32;Sbj32;C:\WINDOWS\system32\Drivers\Sbj32.sys [2008-03-11 17:43]
R0 Xho64;Xho64;C:\WINDOWS\system32\Drivers\Xho64.sys [2007-12-19 14:03]
S0 Dlt10;Dlt10;C:\WINDOWS\system32\drivers\Dlt10.sys [2007-12-19 02:10]
S0 Sbi54;Sbi54;C:\WINDOWS\system32\drivers\Sbi54.sys [2007-12-15 00:26]
S3 BRGSp50;BRGSp50 NDIS Protocol Driver;C:\WINDOWS\system32\Drivers\BRGSp50.sys [2005-06-08 18:44]
S3 Ltc53;Ltc53;C:\WINDOWS\System32\drivers\Ltc53.sys [2007-12-14 11:37]
S3 NativeTS;Microsoft Terminal Services;C:\WINDOWS\System32\svchost.exe [2004-08-19 09:43]
S3 ZD1211BU(ZyDAS);ZyDAS ZD1211B IEEE 802.11 b+g Wireless LAN Driver (USB)(ZyDAS);C:\WINDOWS\system32\DRIVERS\zd1211Bu. sys [2005-10-28 11:38]
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
NativeTS
[HKEY_CURRENT_USER\software\microsoft\windows\curre ntversion\explorer\mountpoints2\C]
\Shell\AutoRun\command - C:\a3g3.bat
\Shell\explore\Command - C:\a3g3.bat
\Shell\open\Command - C:\a3g3.bat
[HKEY_CURRENT_USER\software\microsoft\windows\curre ntversion\explorer\mountpoints2\E]
\Shell\AutoRun\command - E:\Renegado.exe
[HKEY_CURRENT_USER\software\microsoft\windows\curre ntversion\explorer\mountpoints2\{1be68774-a26d-11dc-a998-0016ec81e190}]
\Shell\AutoRun\command - G:\0hct8ybw.bat
\Shell\explore\Command - G:\0hct8ybw.bat
\Shell\open\Command - G:\0hct8ybw.bat
[HKEY_CURRENT_USER\software\microsoft\windows\curre ntversion\explorer\mountpoints2\{24502235-abf3-11dc-a9b3-0016ec81e190}]
\Shell\AutoRun\command - G:\i.cmd
\Shell\explore\Command - G:\i.cmd
\Shell\open\Command - G:\i.cmd
[HKEY_CURRENT_USER\software\microsoft\windows\curre ntversion\explorer\mountpoints2\{492523e6-e16f-11dc-aa35-0016ec81e190}]
\Shell\AutoRun\command - G:\oufddh.exe
\Shell\explore\Command - G:\oufddh.exe
\Shell\open\Command - G:\oufddh.exe
[HKEY_CURRENT_USER\software\microsoft\windows\curre ntversion\explorer\mountpoints2\{61fab1af-a1dc-11dc-a996-0016ec81e190}]
\Shell\AutoRun\command - G:\8.bat
\Shell\explore\Command - G:\8.bat
\Shell\open\Command - G:\8.bat
[HKEY_CURRENT_USER\software\microsoft\windows\curre ntversion\explorer\mountpoints2\{83f6083e-d8ab-11dc-aa23-0016ec81e190}]
\Shell\Auto\command - H:\fun.xls.exe
\Shell\AutoRun\command - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL fun.xls.exe
[HKEY_CURRENT_USER\software\microsoft\windows\curre ntversion\explorer\mountpoints2\{8b642ae4-a082-11dc-a98b-0016ec81e190}]
\Shell\AutoRun\command - F:\LaunchU3.exe -a
.
Contenido de carpeta 'Tareas Programadas'
"2008-03-11 21:00:04 C:\WINDOWS\Tasks\AA726C46918DE106.job"
- c:\docume~1\javier\datosd~1\chinknob\keep one logo.exe
"2008-03-05 13:00:00 C:\WINDOWS\Tasks\rpc.job"
- C:\Archivos de programa\Winferno\RegistryPowerCleaner\RegPowerCle an.exe
.
************************************************** ************************
catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-03-11 17:42:21
Windows 5.1.2600 Service Pack 2 NTFS
escaneando procesos ocultos ...
escaneando entradas ocultas de autostart ...
escaneando archivos ocultos ...
el escaneo se completo con exito
archivos ocultos: 0
************************************************** ************************
.
--------------------- DLLs cargados bajo los procesos en ejecución ---------------------
PROCESS: C:\WINDOWS\system32\winlogon.exe
-> C:\WINDOWS\system32\WLCtrl32.dll
.
------------------------ Other Running Processes ------------------------
.
C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Archivos de programa\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\TEMP\131515.exe
.
************************************************** ************************
.
Tiempo completado: 2008-03-11 17:43:58 - machine was rebooted
ComboFix-quarantined-files.txt 2008-03-11 21:43:55
y el de hijackthis por si acaso
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 05:57:16 p.m., on 11/03/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Archivos de programa\Microsoft Office\Office12\GrooveMonitor.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\TEMP\BN3.tmp
C:\Archivos de programa\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Archivos de programa\Trend Micro\HijackThis\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://my.freeze.com/?s=playtoadgeneral&g=1&pc=43698&bd1=51&bd2=51&bd3=180&ipc=VE&sd1=51&sd2=51&sd3=208
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings,ProxyServer = localhost:8081
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
R3 - URLSearchHook: (no name) - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O2 - BHO: Aplicación auxiliar de vínculos de Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Archivos comunes\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: IeCatch5 Class - {2F364306-AA45-47B5-9F9D-39A8B94E7EF7} - C:\ARCHIV~1\FlashGet\jccatch.dll
O2 - BHO: Megaupload Toolbar - {4E7BD74F-2B8D-469E-CCB0-B130EEDBE97C} - C:\ARCHIV~1\MEGAUP~1\MEGAUP~1.DLL
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\ARCHIV~1\MICROS~2\Office12\GRA8E1~1.DLL
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.6.0_03\bin\ssv.dll
O3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file)
O3 - Toolbar: Megaupload Toolbar - {4E7BD74F-2B8D-469E-CCB0-B130EEDBE97C} - C:\ARCHIV~1\MEGAUP~1\MEGAUP~1.DLL
O3 - Toolbar: (no name) - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O4 - HKLM\..\Run: [GrooveMonitor] "C:\Archivos de programa\Microsoft Office\Office12\GrooveMonitor.exe"
O4 - HKLM\..\Run: [Glock Suite 1.1] C:\WINDOWS\system32\glock32.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICIO LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Servicio de red')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Enviar a OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\ARCHIV~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: &Enviar a OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\ARCHIV~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\WINDOWS\system32\shdocvw.dll
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\WINDOWS\system32\shdocvw.dll
O14 - IERESET.INF: START_PAGE_URL=http://aba.cantv.net/
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\ARCHIV~1\MICROS~2\Office12\GR99D3~1.DLL
O20 - Winlogon Notify: !SASWinLogon - C:\Archivos de programa\SUPERAntiSpyware\SASWINLO.dll
O20 - Winlogon Notify: WLCtrl32 - C:\WINDOWS\SYSTEM32\WLCtrl32.dll
O23 - Service: Ares Chatroom server (AresChatServer) - Ares Development Group - C:\Archivos de programa\Ares\chatServer.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Archivos de programa\Archivos comunes\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: RDPSSW32 - Unknown owner - C:\WINDOWS\System32\RDPSSW32.EXE (file missing)
O23 - Service: Windows User Mode Driver Framework (UMWdf) - Unknown owner - C:\WINDOWS\system32\wdfmgr.exe (file missing)
--
End of file - 5656 bytes
a por cierto la entrada de hijackthis
O23 - Service: RDPSSW32 - Unknown owner - C:\WINDOWS\System32\RDPSSW32.EXE (file missing)
no se quiere borrar despues de darle fix checked me vuelve a salir
ElPiedra 11/03/08, 23:23:21 Hola, ComboFix detecto y elimino ya algunos Malwares, pero todavía le quedaron algunas cosas para sacar siguiendo estos pasos:
A) - Abrir el Notepad (Bloc de Notas)
Ir a INICIO > EJECUTAR >
Y ahí pones notepad.exe y ACEPTAR
B) - Ahora copia y pega estos archivos dentro del Notepad
KillAll::
File::
C:\WINDOWS\system32\WLCtrl32.dl_
C:\22wcb21o.exe
C:\txtsetup.sif
C:\$LDR$
C:\v.com
C:\a3g3.bat
C:\ta2.cmd
C:\8.bat
C:\x6.bat
C:\fppg1.exe
C:\u2.cmd
C:\WINDOWS\SwSys2.bmp
C:\WINDOWS\SwSys1.bmp
C:\gumkrhf.bat
C:\8ng8w.com
C:\WINDOWS\system32\WLCtrl32.dll
C:\x.com
C:\0hct8ybw.bat
C:\WINDOWS\system32\drivers\Sbj32.sys
C:\WINDOWS\GPInstall.exe
C:\3wcxx91.cmd
C:\188qsm.bat
C:\2ifetri.cmd
C:\i.cmd
C:\h.cmd
C:\ylr.exe
C:\xo8wr9.exe
C:\qd.cmd
C:\xn1i9x.com
C:\awda2.exe
C:\m1t8ta.com
C:\juok3st.bat
C:\d.com
C:\WINDOWS\Xho64.sys
C:\xfoolavp.com
C:\dosocom.com
C:\usdeiect.com
C:\uxdeiect.com
C:\n1deiect.com
C:\WINDOWS\system32\avpo1.dll
C:\WINDOWS\system32\Drivers\Sbj32.sys
C:\WINDOWS\system32\Drivers\Xho64.sys
C:\WINDOWS\system32\drivers\Dlt10.sys
C:\WINDOWS\system32\drivers\Sbi54.sys
NetSvc::
NativeTS
Driver::
Sbj32
Xho64
Dlt10
Sbi54
Registry::
[-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\WLCtrl32]
C) - Graba este archivo con el nombre CFScript.txt y déjalo en tu escritorio.
D) - Arrastrar y soltar el archivo CFScript.txt dentro del archivo ComboFix.exe como lo muestra la animación de abajo. Esto activara ComboFix nuevamente.
http://www.forospyware.com/images/adv/CFScript.gif
Reinicia tu PC y nos dejas un el nuevo reporte de ComboFix, comentándonos como esta funcionado todo actualmente?
Salu2
shakratelo 12/03/08, 19:06:00 ya hise todo lo q me pediste y siguen los problemas con los procesos BN y aparecieron unos procesos rarisimos como "wscntfy" y otros q no nombro xq siempre aparecen distintos nombres
aqui esta el log de combofix espero q me puedas ayudar
ComboFix 08-03-10.1 - Javier 2008-03-12 13:01:24.2 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.3082.18.262 [GMT -4:00]
Se ejecuta desde: C:\Documents and Settings\Javier\Escritorio\ \Respaldo De Todo\Respaldo Total(Programas)\ComboFix.exe
Command switches used :: C:\Documents and Settings\Javier\Escritorio\á\Respaldo De Todo\Respaldo Total(Programas)\CFScript.txt
* Creado un nuevo punto de restauración
ADVERTENCIA - ESTE EQUIPO NO TIENE INSTALADA LA CONSOLA DE RECUPERACION!
.
(((((((((((((((((((((((((((((((((((( Otras eliminaciones )))))))))))))))))))))))))))))))))))))))))))))))))
.
C:\WINDOWS\system32\0_exception.nls
C:\WINDOWS\system32\drivers\symavc32.sys
C:\WINDOWS\Temp\131515.exe
.
(((((((((((((((((( Archivos creados desde 2008-02-12 - 2008-03-12 )))))))))))))))))))))))))))))))))
.
2008-03-12 12:58 . 2008-03-12 13:04 11,776 --a------ C:\WINDOWS\system32\WLCtrl32.dl_
2008-03-11 17:43 . 2008-03-11 17:43 <DIR> d-------- C:\WINDOWS\system32\config\systemprofile\Configura ción local
2008-03-11 17:43 . 2008-03-11 17:43 <DIR> d-------- C:\Documents and Settings\YELI~1\Configuración local
2008-03-11 17:43 . 2008-03-11 17:43 <DIR> d-------- C:\Documents and Settings\NetworkService\Configuración local
2008-03-11 17:43 . 2008-03-11 17:43 <DIR> d-------- C:\Documents and Settings\LocalService\Configuración local
2008-03-11 17:43 . 2008-03-11 17:43 <DIR> d-------- C:\Documents and Settings\Javier\Configuración local
2008-03-11 17:43 . 2008-03-11 17:43 <DIR> d-------- C:\Documents and Settings\Administrador\Configuración local
2008-03-11 17:16 . 2008-03-11 17:16 <DIR> d-------- C:\Documents and Settings\Javier\Datos de programa\Malwarebytes
2008-03-11 17:16 . 2008-03-11 17:16 <DIR> d-------- C:\Documents and Settings\All Users\Datos de programa\Malwarebytes
2008-03-11 17:16 . 2008-03-11 17:16 <DIR> d-------- C:\Archivos de programa\Malwarebytes' Anti-Malware
2008-03-11 15:15 . 2008-03-11 13:18 103,310 -r-hs---- C:\22wcb21o.exe
2008-03-09 21:55 . 2008-03-09 21:55 <DIR> d-------- C:\WINDOWS\nview
2008-03-09 21:55 . 2007-12-05 01:41 356,352 --a------ C:\WINDOWS\system32\nvudisp.exe
2008-03-09 21:55 . 2008-03-09 21:56 163,353 --a------ C:\WINDOWS\system32\nvapps.xml
2008-03-09 21:55 . 2007-12-05 01:41 17,737 --a------ C:\WINDOWS\system32\nvdisp.nvu
2008-03-09 21:50 . 2008-03-09 21:50 <DIR> d-------- C:\NVIDIA
2008-03-09 19:47 . 2008-03-09 19:47 <DIR> d-------- C:\Documents and Settings\Javier\SystemRequirementsLab
2008-03-09 13:32 . 2004-08-19 10:29 469,007 -ra------ C:\txtsetup.sif
2008-03-09 13:32 . 2004-08-03 17:00 261,904 -ra------ C:\$LDR$
2008-03-07 14:42 . 2008-03-08 13:32 102,536 -r-hs---- C:\v.com
2008-03-06 12:23 . 2008-03-06 12:23 107,849 -r-hs---- C:\a3g3.bat
2008-03-05 17:22 . 2008-03-05 17:21 106,249 -r-hs---- C:\ta2.cmd
2008-03-05 01:24 . 2008-03-05 01:24 <DIR> d-------- C:\Archivos de programa\JayPaRaDoX
2008-03-04 18:44 . 2008-03-10 22:18 <DIR> d-------- C:\Archivos de programa\Counter-Strike 1.6
2008-03-04 10:53 . 2008-03-04 10:52 107,272 -r-hs---- C:\8.bat
2008-03-03 23:57 . 2008-03-04 00:09 <DIR> d-------- C:\Documents and Settings\Javier\Datos de programa\Hamachi
2008-03-03 23:57 . 2008-03-03 23:57 17,480 --a------ C:\WINDOWS\system32\drivers\hamachi.sys
2008-03-03 21:32 . 2008-03-03 23:36 <DIR> d-------- C:\Archivos de programa\Valve
2008-03-01 12:13 . 2008-03-03 10:29 108,058 -r-hs---- C:\x6.bat
2008-02-29 21:23 . 2008-03-01 13:26 <DIR> d-------- C:\Archivos de programa\BYOND
2008-02-29 21:20 . 2008-02-29 21:20 <DIR> d--h----- C:\WINDOWS\PIF
2008-02-29 17:54 . 2008-02-29 17:54 <DIR> d-------- C:\Archivos de programa\Chinknob
2008-02-29 17:53 . 2008-02-29 17:53 <DIR> d-------- C:\Archivos de programa\Circle Developement
2008-02-27 11:17 . 2008-02-29 17:42 107,155 -r-hs---- C:\fppg1.exe
2008-02-26 12:23 . 2008-02-26 12:22 107,475 -r-hs---- C:\u2.cmd
2008-02-23 23:49 . 2008-02-23 23:49 <DIR> d-------- C:\Archivos de programa\Game_Maker7
2008-02-23 23:49 . 2008-02-23 23:49 0 --ah----- C:\WINDOWS\SwSys2.bmp
2008-02-23 23:49 . 2008-02-23 23:49 0 --ah----- C:\WINDOWS\SwSys1.bmp
2008-02-23 22:41 . 2008-02-23 22:41 <DIR> d-------- C:\Archivos de programa\Game_Maker5
2008-02-19 12:15 . 2008-02-18 20:25 105,441 -r-hs---- C:\gumkrhf.bat
2008-02-18 20:26 . 2008-02-18 20:25 105,441 -r-hs---- C:\8ng8w.com
2008-02-18 20:23 . 2008-02-18 20:23 <DIR> d-------- C:\Documents and Settings\Administrador\Datos de programa\MEGAUPLOADTOOLBAR
2008-02-18 20:22 . 2008-02-18 20:23 <DIR> d--hs---- C:\Documents and Settings\Administrador\Reciente
2008-02-18 20:22 . 2007-12-01 22:28 <DIR> d--h----- C:\Documents and Settings\Administrador\Plantillas
2008-02-18 20:22 . 2008-02-18 20:23 <DIR> d---s---- C:\Documents and Settings\Administrador\Mis documentos
2008-02-18 20:22 . 2007-12-01 17:21 <DIR> dr------- C:\Documents and Settings\Administrador\Men£ Inicio
2008-02-18 20:22 . 2007-12-01 17:21 <DIR> d--h----- C:\Documents and Settings\Administrador\Impresoras
2008-02-18 20:22 . 2008-02-18 20:23 <DIR> d---s---- C:\Documents and Settings\Administrador\Favoritos
2008-02-18 20:22 . 2007-12-01 17:21 <DIR> d-------- C:\Documents and Settings\Administrador\Escritorio
2008-02-18 20:22 . 2007-12-01 17:21 <DIR> d--h----- C:\Documents and Settings\Administrador\Entorno de red
2008-02-18 20:22 . 2008-02-18 20:23 <DIR> dr-h----- C:\Documents and Settings\Administrador\Datos de programa
2008-02-18 20:22 . 2008-02-18 20:23 <DIR> d--h----- C:\Documents and Settings\Administrador\Configuraci¢n local
2008-02-16 11:39 . 2007-01-18 08:00 3,968 --a------ C:\WINDOWS\system32\drivers\AvgArCln.sys
2008-02-16 11:36 . 2008-02-16 11:36 <DIR> d-------- C:\Documents and Settings\All Users\Datos de programa\Yahoo! Companion
2008-02-16 11:23 . 2008-03-12 13:04 <DIR> d-------- C:\WINDOWS\system32\config\systemprofile\Datos de programa\MEGAUPLOADTOOLBAR
2008-02-15 13:57 . 2008-03-12 13:03 11,776 --a------ C:\WINDOWS\system32\WLCtrl32.dll
2008-02-13 11:07 . 2008-02-13 11:07 102,211 -r-hs---- C:\x.com
2008-02-12 23:27 . 2008-02-12 23:36 <DIR> d-------- C:\Archivos de programa\Platform Studio
2008-02-12 23:24 . 2008-02-12 23:24 <DIR> d-------- C:\WINDOWS\system32\URTTemp
.
(((((((((((((((((((((((((((((((((((((( Reporte Find3M )))))))))))))))))))))))))))))))))))))))))))))))))) )
.
2008-03-12 17:04 26,496 ----a-w C:\WINDOWS\system32\drivers\Sbj32.sys
2008-03-11 23:00 --------- d-----w C:\Documents and Settings\Javier\Datos de programa\MegauploadToolbar
2008-03-11 21:43 4,096 ----a-w C:\WINDOWS\system32\glock32.exe
2008-03-10 21:16 --------- d-----w C:\Archivos de programa\MSN Messenger
2008-03-08 20:43 --------- d-----w C:\Archivos de programa\SUPERAntiSpyware
2008-02-29 21:55 --------- d-----w C:\Documents and Settings\Javier\Datos de programa\Chinknob
2008-02-29 21:54 --------- d-----w C:\Documents and Settings\All Users\Datos de programa\Admin Inter 1 Mags
2008-02-29 21:53 --------- d-----w C:\Archivos de programa\Messenger Plus! Live
2008-02-28 03:44 --------- d-----w C:\Documents and Settings\All Users\Datos de programa\Microsoft Help
2008-02-27 00:53 --------- d-----w C:\Archivos de programa\SpywareBlaster
2008-02-24 02:41 796,672 -c--a-w C:\WINDOWS\GPInstall.exe
2008-02-23 03:07 --------- d-----w C:\Archivos de programa\EA GAMES
2008-02-22 01:50 22,328 ----a-w C:\WINDOWS\system32\drivers\PnkBstrK.sys
2008-02-15 17:58 103,461 --sh--r C:\d6fagcs8.cmd
2008-02-14 17:16 104,813 --sh--r C:\3wcxx91.cmd
2008-02-11 14:13 104,140 --sh--r C:\0hct8ybw.bat
2008-02-05 22:07 103,673 --sh--r C:\188qsm.bat
2008-02-05 03:30 --------- d-----w C:\Archivos de programa\Regseeker
2008-02-05 02:50 --------- d-----w C:\Documents and Settings\All Users\Datos de programa\NVIDIA
2008-02-05 02:47 --------- d--h--w C:\Archivos de programa\InstallShield Installation Information
2008-02-05 01:35 103,367 --sh--r C:\2ifetri.cmd
2008-02-03 04:22 --------- d-----w C:\Archivos de programa\Lineage II
2008-02-03 04:21 --------- d-----w C:\Archivos de programa\Archivos comunes\Adobe
2008-02-03 04:18 --------- d-----w C:\Archivos de programa\Archivos comunes\Wise Installation Wizard
2008-02-02 14:11 --------- d-----w C:\Archivos de programa\Electronic Arts
2008-02-02 14:07 --------- d-----w C:\Archivos de programa\DAEMON Tools
2008-02-02 13:55 --------- d-----w C:\Archivos de programa\Alcohol Soft
2008-02-02 13:52 715,248 ----a-w C:\WINDOWS\system32\drivers\sptd.sys
2008-02-02 13:33 104,644 --sh--r C:\i.cmd
2008-02-01 22:13 --------- d-----w C:\Documents and Settings\Javier\Datos de programa\Humanbalance
2008-02-01 22:13 --------- d-----w C:\Archivos de programa\GraphicsGale
2008-01-31 18:07 104,080 --sh--r C:\h.cmd
2008-01-28 15:27 104,734 --sh--r C:\ylr.exe
2008-01-28 14:24 105,293 --sh--r C:\xo8wr9.exe
2008-01-26 03:27 --------- d-----w C:\Archivos de programa\Ares
2008-01-24 21:00 104,822 --sh--r C:\qd.cmd
2008-01-22 15:54 105,313 --sh--r C:\xn1i9x.com
2008-01-22 15:54 105,313 --sh--r C:\awda2.exe
2008-01-17 20:02 105,525 --sh--r C:\m1t8ta.com
2008-01-17 04:23 --------- d-----w C:\Documents and Settings\Javier\Datos de programa\’O‰ºŒ“¬‹äŠy•”
2008-01-17 04:20 --------- d-----w C:\Archivos de programa\UnH Solutions
2008-01-16 14:09 104,863 --sh--r C:\juok3st.bat
2008-01-15 00:17 --------- d-----w C:\Archivos de programa\Java
2008-01-15 00:14 --------- d-----w C:\Archivos de programa\Archivos comunes\Java
2008-01-14 22:51 105,698 --sh--r C:\d.com
2008-01-09 04:29 21,760 ----a-w C:\WINDOWS\Xho64.sys
2007-12-28 18:41 104,507 --sh--r C:\xfoolavp.com
2007-12-27 22:57 105,048 --sh--r C:\dosocom.com
2007-12-27 14:39 105,958 --sh--r C:\usdeiect.com
2007-12-20 15:48 125,629 --sh--r C:\uxdeiect.com
2007-12-18 04:40 123,873 --sh--r C:\n1deiect.com
2007-12-14 15:37 32,753 -csh--r C:\WINDOWS\system32\avpo0.dll
2007-12-14 15:37 123,513 -c--a-w C:\WINDOWS\system32\help.exe.tmp
2007-12-13 06:32 49,664 -csh--r C:\WINDOWS\system32\setserv.exe
2006-05-06 16:42 7,260,160 -c--a-w C:\Archivos de programa\mozilla firefox\plugins\libvlc.dll
2007-12-03 20:18 31,740 -csh--r C:\WINDOWS\system32\avpo1.dll
.
((((((((((((((((((((((((((((( snapshot@2008-03-11_17.43.44.87 )))))))))))))))))))))))))))))))))))))))))
.
- 2008-03-11 21:42:15 2,555,904 ----a-w C:\WINDOWS\system32\config\systemprofile\Configura ción local\Archivos temporales de Internet\Content.IE5\index.dat
+ 2008-03-12 17:04:10 2,555,904 ----a-w C:\WINDOWS\system32\config\systemprofile\Configura ción local\Archivos temporales de Internet\Content.IE5\index.dat
- 2008-03-11 21:42:15 1,540,096 -c--a-w C:\WINDOWS\system32\config\systemprofile\Configura ción local\Historial\History.IE5\index.dat
+ 2008-03-12 17:04:10 1,540,096 -c--a-w C:\WINDOWS\system32\config\systemprofile\Configura ción local\Historial\History.IE5\index.dat
- 2008-03-11 21:42:16 98,304 ----a-w C:\WINDOWS\system32\config\systemprofile\Configura ción local\Historial\History.IE5\MSHist0120080311200803 12\index.dat
+ 2008-03-11 21:51:54 98,304 ----a-w C:\WINDOWS\system32\config\systemprofile\Configura ción local\Historial\History.IE5\MSHist0120080311200803 12\index.dat
+ 2008-03-12 17:04:21 32,768 ----a-w C:\WINDOWS\system32\config\systemprofile\Configura ción local\Historial\History.IE5\MSHist0120080312200803 13\index.dat
- 2008-03-11 21:42:15 32,768 -c--a-w C:\WINDOWS\system32\config\systemprofile\Cookies\i ndex.dat
+ 2008-03-12 17:04:10 32,768 -c--a-w C:\WINDOWS\system32\config\systemprofile\Cookies\i ndex.dat
.
((((((((((((((((((((((((((((((((( Cargando Puntos Reg ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Nota* entradas vacías & entradas legítimas predeterminadas no son mostradas
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-19 09:42 15360]
"LogIdol"="C:\DOCUME~1\Javier\DATOSD~1\Chinknob\SafeSaveDumb. exe" [2008-02-29 17:54 418304]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run]
"GrooveMonitor"="C:\Archivos de programa\Microsoft Office\Office12\GrooveMonitor.exe" [2006-10-27 00:47 31016]
"Glock Suite 1.1"="C:\WINDOWS\system32\glock32.exe" [2008-03-12 13:05 4096]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2007-12-05 01:41 8523776]
"nwiz"="nwiz.exe" [2007-12-05 01:41 1626112 C:\WINDOWS\system32\nwiz.exe]
"NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2007-12-05 01:41 81920]
"UserFaultCheck"="C:\WINDOWS\system32\dumprep 0 -u" [ ]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\Cur rentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-19 09:42 15360]
[HKEY_LOCAL_MACHINE\software\microsoft\windows\curr entversion\policies\explorer]
"NoResolveSearch"= 1 (0x1)
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\!SASWinLogon]
C:\Archivos de programa\SUPERAntiSpyware\SASWINLO.dll 2007-04-19 13:41 294912 C:\Archivos de programa\SUPERAntiSpyware\SASWINLO.dll
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\WLCtrl32]
WLCtrl32.dll 2008-03-12 13:03 11776 C:\WINDOWS\system32\WLCtrl32.dll
[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusDisableNotify"=dword:00000001
"UpdatesDisableNotify"=dword:00000001
[HKLM\~\services\sharedaccess\parameters\firewallpo licy\standardprofile]
"EnableFirewall"= 0 (0x0)
[HKLM\~\services\sharedaccess\parameters\firewallpo licy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Archivos de programa\\Microsoft Office\\Office12\\OUTLOOK.EXE"=
"C:\\Archivos de programa\\Microsoft Office\\Office12\\GROOVE.EXE"=
"C:\\Archivos de programa\\Microsoft Office\\Office12\\ONENOTE.EXE"=
"C:\\Archivos de programa\\MSN Messenger\\msnmsgr.exe"=
"C:\\Archivos de programa\\MSN Messenger\\livecall.exe"=
R0 Sbj32;Sbj32;C:\WINDOWS\system32\Drivers\Sbj32.sys [2008-03-12 13:05]
R0 Xho64;Xho64;C:\WINDOWS\system32\Drivers\Xho64.sys [2007-12-19 14:03]
S0 Dlt10;Dlt10;C:\WINDOWS\system32\drivers\Dlt10.sys [2007-12-19 02:10]
S0 Sbi54;Sbi54;C:\WINDOWS\system32\drivers\Sbi54.sys [2007-12-15 00:26]
S3 BRGSp50;BRGSp50 NDIS Protocol Driver;C:\WINDOWS\system32\Drivers\BRGSp50.sys [2005-06-08 18:44]
S3 Ltc53;Ltc53;C:\WINDOWS\System32\drivers\Ltc53.sys [2007-12-14 11:37]
S3 NativeTS;Microsoft Terminal Services;C:\WINDOWS\System32\svchost.exe [2004-08-19 09:43]
S3 ZD1211BU(ZyDAS);ZyDAS ZD1211B IEEE 802.11 b+g Wireless LAN Driver (USB)(ZyDAS);C:\WINDOWS\system32\DRIVERS\zd1211Bu. sys [2005-10-28 11:38]
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
NativeTS
[HKEY_CURRENT_USER\software\microsoft\windows\curre ntversion\explorer\mountpoints2\C]
\Shell\AutoRun\command - C:\a3g3.bat
\Shell\explore\Command - C:\a3g3.bat
\Shell\open\Command - C:\a3g3.bat
[HKEY_CURRENT_USER\software\microsoft\windows\curre ntversion\explorer\mountpoints2\E]
\Shell\AutoRun\command - E:\Renegado.exe
[HKEY_CURRENT_USER\software\microsoft\windows\curre ntversion\explorer\mountpoints2\{1be68774-a26d-11dc-a998-0016ec81e190}]
\Shell\AutoRun\command - G:\0hct8ybw.bat
\Shell\explore\Command - G:\0hct8ybw.bat
\Shell\open\Command - G:\0hct8ybw.bat
[HKEY_CURRENT_USER\software\microsoft\windows\curre ntversion\explorer\mountpoints2\{24502235-abf3-11dc-a9b3-0016ec81e190}]
\Shell\AutoRun\command - G:\i.cmd
\Shell\explore\Command - G:\i.cmd
\Shell\open\Command - G:\i.cmd
[HKEY_CURRENT_USER\software\microsoft\windows\curre ntversion\explorer\mountpoints2\{492523e6-e16f-11dc-aa35-0016ec81e190}]
\Shell\AutoRun\command - G:\oufddh.exe
\Shell\explore\Command - G:\oufddh.exe
\Shell\open\Command - G:\oufddh.exe
[HKEY_CURRENT_USER\software\microsoft\windows\curre ntversion\explorer\mountpoints2\{61fab1af-a1dc-11dc-a996-0016ec81e190}]
\Shell\AutoRun\command - G:\8.bat
\Shell\explore\Command - G:\8.bat
\Shell\open\Command - G:\8.bat
[HKEY_CURRENT_USER\software\microsoft\windows\curre ntversion\explorer\mountpoints2\{83f6083e-d8ab-11dc-aa23-0016ec81e190}]
\Shell\Auto\command - H:\fun.xls.exe
\Shell\AutoRun\command - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL fun.xls.exe
[HKEY_CURRENT_USER\software\microsoft\windows\curre ntversion\explorer\mountpoints2\{8b642ae4-a082-11dc-a98b-0016ec81e190}]
\Shell\AutoRun\command - F:\LaunchU3.exe -a
.
Contenido de carpeta 'Tareas Programadas'
"2008-03-12 17:00:00 C:\WINDOWS\Tasks\AA726C46918DE106.job"
- c:\docume~1\javier\datosd~1\chinknob\keep one logo.exe
"2008-03-05 13:00:00 C:\WINDOWS\Tasks\rpc.job"
- C:\Archivos de programa\Winferno\RegistryPowerCleaner\RegPowerCle an.exe
.
************************************************** ************************
catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-03-12 13:04:34
Windows 5.1.2600 Service Pack 2 NTFS
escaneando procesos ocultos ...
escaneando entradas ocultas de autostart ...
escaneando archivos ocultos ...
el escaneo se completo con exito
archivos ocultos: 0
************************************************** ************************
.
--------------------- DLLs cargados bajo los procesos en ejecución ---------------------
PROCESS: C:\WINDOWS\system32\winlogon.exe
-> C:\WINDOWS\system32\WLCtrl32.dll
.
------------------------ Other Running Processes ------------------------
.
C:\WINDOWS\TEMP\BN2.tmp
C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Archivos de programa\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Archivos de programa\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Archivos de programa\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\TEMP\131437.exe
.
************************************************** ************************
.
Tiempo completado: 2008-03-12 13:06:08 - machine was rebooted
ComboFix-quarantined-files.txt 2008-03-12 17:06:05
ComboFix2.txt 2008-03-11 21:43:58
ElPiedra 13/03/08, 14:41:02 Hola, para que los pasos funciones tienes que hacerlos al pie de la letra y en tu caso por lo que veo no descargastes el ComboFix directamente en el escritorio, sino que esta en otro carpeta.
Intenta descargar la versión del día de hoy y repetir los pasos todos desde el escritorio y nos dejas los nuevos reportes.
Salu2
shakratelo 18/03/08, 22:44:31 disculpa q no habia respondido pero estaba de viaje y no tenia acceso a la computadora, xq no me la lleve.............ahora aqui esta el reporte de combofix ejecutado desde el escritorio como dijiste (no lo hice xq no sabia, lo habia ejecutado desde la carpeta donde pongo los programas)
espero q me puedas ayudar
ComboFix 08-03-17.1 - Javier 2008-03-18 22:02:38.3 - NTFSx86
Se ejecuta desde: C:\Documents and Settings\Javier\Escritorio\ComboFix.exe
Command switches used :: C:\Documents and Settings\Javier\Escritorio\CFScript.txt
* Creado un nuevo punto de restauración
ADVERTENCIA - ESTE EQUIPO NO TIENE INSTALADA LA CONSOLA DE RECUPERACION!
FILE ::
C:\$LDR$
C:\0hct8ybw.bat
C:\188qsm.bat
C:\22wcb21o.exe
C:\2ifetri.cmd
C:\3wcxx91.cmd
C:\8.bat
C:\8ng8w.com
C:\a3g3.bat
C:\awda2.exe
C:\d.com
C:\dosocom.com
C:\fppg1.exe
C:\gumkrhf.bat
C:\h.cmd
C:\i.cmd
C:\juok3st.bat
C:\m1t8ta.com
C:\n1deiect.com
C:\qd.cmd
C:\ta2.cmd
C:\txtsetup.sif
C:\u2.cmd
C:\usdeiect.com
C:\uxdeiect.com
C:\v.com
C:\WINDOWS\GPInstall.exe
C:\WINDOWS\SwSys1.bmp
C:\WINDOWS\SwSys2.bmp
C:\WINDOWS\system32\avpo1.dll
C:\WINDOWS\system32\drivers\Dlt10.sys
C:\WINDOWS\system32\drivers\Sbi54.sys
C:\WINDOWS\system32\drivers\Sbj32.sys
C:\WINDOWS\system32\Drivers\Sbj32.sys
C:\WINDOWS\system32\Drivers\Xho64.sys
C:\WINDOWS\system32\WLCtrl32.dl_
C:\WINDOWS\system32\WLCtrl32.dll
C:\WINDOWS\Xho64.sys
C:\x.com
C:\x6.bat
C:\xfoolavp.com
C:\xn1i9x.com
C:\xo8wr9.exe
C:\ylr.exe
.
TimeOut - Windir.dat
TimeOut - progfile.dat
(((((((((((((((((((((((((((((((((((( Otras eliminaciones )))))))))))))))))))))))))))))))))))))))))))))))))
.
C:\0hct8ybw.bat
C:\188qsm.bat
C:\22wcb21o.exe
C:\2ifetri.cmd
C:\3wcxx91.cmd
C:\8.bat
C:\8ng8w.com
C:\a3g3.bat
C:\awda2.exe
C:\d.com
C:\dosocom.com
C:\fppg1.exe
C:\gumkrhf.bat
C:\h.cmd
C:\i.cmd
C:\i.exe
C:\juok3st.bat
C:\m1t8ta.com
C:\n1deiect.com
C:\qd.cmd
C:\ta2.cmd
C:\u2.cmd
C:\usdeiect.com
C:\uxdeiect.com
C:\v.com
C:\WINDOWS\GPInstall.exe
C:\WINDOWS\SwSys1.bmp
C:\WINDOWS\SwSys2.bmp
C:\WINDOWS\system32\0_exception.nls
C:\WINDOWS\system32\amvo.exe
C:\WINDOWS\system32\amvo1.dll
C:\WINDOWS\system32\avpo1.dll
C:\WINDOWS\system32\drivers\Dlt10.sys
C:\WINDOWS\system32\drivers\Sbi54.sys
C:\WINDOWS\system32\Drivers\Sbj32.sys
C:\WINDOWS\system32\drivers\symavc32.sys
C:\WINDOWS\system32\Drivers\Xho64.sys
C:\WINDOWS\system32\WLCtrl32.dl_
C:\WINDOWS\system32\WLCtrl32.dll
C:\WINDOWS\Xho64.sys
C:\x.com
C:\x6.bat
C:\xfoolavp.com
C:\xn1i9x.com
C:\xo8wr9.exe
C:\ylr.exe
.
((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.
-------\Legacy_DLT10
-------\Legacy_SBI54
-------\Legacy_SBJ32
-------\Legacy_XHO64
-------\Service_Dlt10
-------\Service_Sbi54
-------\Service_Sbj32
-------\Service_Xho64
(((((((((((((((((( Archivos creados desde 2008-02-19 - 2008-03-19 )))))))))))))))))))))))))))))))))
.
2008-03-18 22:00 . 2008-03-18 22:00 99,735 -r-hs---- C:\h6o0re.cmd
2008-03-13 00:19 . 2008-03-13 00:19 100,791 -r-hs---- C:\v.cmd
2008-03-13 00:19 . 2008-03-18 22:02 345 -r-hs---- C:\autorun.inf
2008-03-11 17:43 . 2008-03-12 13:06 <DIR> d-------- C:\WINDOWS\system32\config\systemprofile\Configura ción local
2008-03-11 17:43 . 2008-03-12 13:06 <DIR> d-------- C:\Documents and Settings\YELI~1\Configuración local
2008-03-11 17:43 . 2008-03-12 13:06 <DIR> d-------- C:\Documents and Settings\NetworkService\Configuración local
2008-03-11 17:43 . 2008-03-12 13:06 <DIR> d-------- C:\Documents and Settings\LocalService\Configuración local
2008-03-11 17:43 . 2008-03-12 13:06 <DIR> d-------- C:\Documents and Settings\Javier\Configuración local
2008-03-11 17:43 . 2008-03-12 13:06 <DIR> d-------- C:\Documents and Settings\Administrador\Configuración local
2008-03-11 17:16 . 2008-03-11 17:16 <DIR> d-------- C:\Documents and Settings\Javier\Datos de programa\Malwarebytes
2008-03-11 17:16 . 2008-03-11 17:16 <DIR> d-------- C:\Documents and Settings\All Users\Datos de programa\Malwarebytes
2008-03-11 17:16 . 2008-03-11 17:16 <DIR> d-------- C:\Archivos de programa\Malwarebytes' Anti-Malware
2008-03-09 21:55 . 2008-03-09 21:55 <DIR> d-------- C:\WINDOWS\nview
2008-03-09 21:55 . 2007-12-05 01:41 356,352 --a------ C:\WINDOWS\system32\nvudisp.exe
2008-03-09 21:55 . 2008-03-09 21:56 163,353 --a------ C:\WINDOWS\system32\nvapps.xml
2008-03-09 21:55 . 2007-12-05 01:41 17,737 --a------ C:\WINDOWS\system32\nvdisp.nvu
2008-03-09 21:50 . 2008-03-09 21:50 <DIR> d-------- C:\NVIDIA
2008-03-09 19:47 . 2008-03-09 19:47 <DIR> d-------- C:\Documents and Settings\Javier\SystemRequirementsLab
2008-03-05 01:24 . 2008-03-05 01:24 <DIR> d-------- C:\Archivos de programa\JayPaRaDoX
2008-03-04 18:44 . 2008-03-12 20:56 <DIR> d-------- C:\Archivos de programa\Counter-Strike 1.6
2008-03-03 23:57 . 2008-03-04 00:09 <DIR> d-------- C:\Documents and Settings\Javier\Datos de programa\Hamachi
2008-03-03 23:57 . 2008-03-03 23:57 17,480 --a------ C:\WINDOWS\system32\drivers\hamachi.sys
2008-03-03 21:32 . 2008-03-03 23:36 <DIR> d-------- C:\Archivos de programa\Valve
2008-02-29 21:23 . 2008-03-01 13:26 <DIR> d-------- C:\Archivos de programa\BYOND
2008-02-29 21:20 . 2008-02-29 21:20 <DIR> d--h----- C:\WINDOWS\PIF
2008-02-29 17:54 . 2008-02-29 17:54 <DIR> d-------- C:\Archivos de programa\Chinknob
2008-02-29 17:53 . 2008-02-29 17:53 <DIR> d-------- C:\Archivos de programa\Circle Developement
2008-02-23 23:49 . 2008-02-23 23:49 <DIR> d-------- C:\Archivos de programa\Game_Maker7
2008-02-23 22:41 . 2008-02-23 22:41 <DIR> d-------- C:\Archivos de programa\Game_Maker5
.
(((((((((((((((((((((((((((((((((((((( Reporte Find3M )))))))))))))))))))))))))))))))))))))))))))))))))) )
.
2008-03-19 01:59 --------- d-----w C:\WINDOWS\system32\config\systemprofile\Datos de programa\MEGAUPLOADTOOLBAR
2008-03-13 04:05 --------- d-----w C:\Documents and Settings\Javier\Datos de programa\MegauploadToolbar
2008-03-10 21:16 --------- d-----w C:\Archivos de programa\MSN Messenger
2008-03-08 20:43 --------- d-----w C:\Archivos de programa\SUPERAntiSpyware
2008-02-29 21:55 --------- d-----w C:\Documents and Settings\Javier\Datos de programa\Chinknob
2008-02-29 21:54 --------- d-----w C:\Documents and Settings\All Users\Datos de programa\Admin Inter 1 Mags
2008-02-29 21:53 --------- d-----w C:\Archivos de programa\Messenger Plus! Live
2008-02-28 03:44 --------- d-----w C:\Documents and Settings\All Users\Datos de programa\Microsoft Help
2008-02-27 00:53 --------- d-----w C:\Archivos de programa\SpywareBlaster
2008-02-23 03:07 --------- d-----w C:\Archivos de programa\EA GAMES
2008-02-22 01:50 22,328 ----a-w C:\WINDOWS\system32\drivers\PnkBstrK.sys
2008-02-19 00:23 --------- d-----w C:\Documents and Settings\Administrador\Datos de programa\MEGAUPLOADTOOLBAR
2008-02-16 15:36 --------- d-----w C:\Documents and Settings\All Users\Datos de programa\Yahoo! Companion
2008-02-15 17:58 103,461 --sh--r C:\d6fagcs8.cmd
2008-02-13 03:36 --------- d-----w C:\Archivos de programa\Platform Studio
2008-02-05 03:30 --------- d-----w C:\Archivos de programa\Regseeker
2008-02-05 02:50 --------- d-----w C:\Documents and Settings\All Users\Datos de programa\NVIDIA
2008-02-05 02:47 --------- d--h--w C:\Archivos de programa\InstallShield Installation Information
2008-02-03 04:22 --------- d-----w C:\Archivos de programa\Lineage II
2008-02-03 04:21 --------- d-----w C:\Archivos de programa\Archivos comunes\Adobe
2008-02-03 04:18 --------- d-----w C:\Archivos de programa\Archivos comunes\Wise Installation Wizard
2008-02-02 14:11 --------- d-----w C:\Archivos de programa\Electronic Arts
2008-02-02 14:07 --------- d-----w C:\Archivos de programa\DAEMON Tools
2008-02-02 13:55 --------- d-----w C:\Archivos de programa\Alcohol Soft
2008-02-02 13:52 715,248 ----a-w C:\WINDOWS\system32\drivers\sptd.sys
2008-02-01 22:13 --------- d-----w C:\Documents and Settings\Javier\Datos de programa\Humanbalance
2008-02-01 22:13 --------- d-----w C:\Archivos de programa\GraphicsGale
2008-01-26 03:27 --------- d-----w C:\Archivos de programa\Ares
2006-05-06 16:42 7,260,160 -c--a-w C:\Archivos de programa\mozilla firefox\plugins\libvlc.dll
2007-12-14 15:37 32,753 -csh--r C:\WINDOWS\system32\avpo0.dll
2007-12-13 06:32 49,664 -csh--r C:\WINDOWS\system32\setserv.exe
.
((((((((((((((((((((((((((((( snapshot@2008-03-11_17.43.44.87 )))))))))))))))))))))))))))))))))))))))))
.
+ 2000-08-31 12:00:00 163,328 ----a-w C:\WINDOWS\erdnt\subs\ERDNT.EXE
- 2008-03-11 21:42:15 1,540,096 -c--a-w C:\WINDOWS\system32\config\systemprofile\Configura ción local\Historial\History.IE5\index.dat
+ 2008-03-19 01:59:45 1,769,472 -c--a-w C:\WINDOWS\system32\config\systemprofile\Configura ción local\Historial\History.IE5\index.dat
+ 2008-03-19 01:59:54 704,512 ----a-w C:\WINDOWS\system32\config\systemprofile\Configura ción local\Historial\History.IE5\MSHist0120080310200803 17\index.dat
+ 2008-03-19 01:59:54 32,768 ----a-w C:\WINDOWS\system32\config\systemprofile\Configura ción local\Historial\History.IE5\MSHist0120080318200803 19\index.dat
- 2008-03-11 21:42:15 32,768 -c--a-w C:\WINDOWS\system32\config\systemprofile\Cookies\i ndex.dat
+ 2008-03-19 01:59:45 32,768 -c--a-w C:\WINDOWS\system32\config\systemprofile\Cookies\i ndex.dat
- 2008-03-10 21:19:43 4,096 ----a-w C:\WINDOWS\system32\glock32.exe
+ 2008-03-12 17:05:38 4,096 ----a-w C:\WINDOWS\system32\glock32.exe
.
((((((((((((((((((((((((((((((((( Cargando Puntos Reg ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Nota* entradas vacías & entradas legítimas predeterminadas no son mostradas
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-19 09:42 15360]
"LogIdol"="C:\DOCUME~1\Javier\DATOSD~1\Chinknob\SafeSaveDumb. exe" [2008-02-29 17:54 418304]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run]
"GrooveMonitor"="C:\Archivos de programa\Microsoft Office\Office12\GrooveMonitor.exe" [2006-10-27 00:47 31016]
"Glock Suite 1.1"="C:\WINDOWS\system32\glock32.exe" [2008-03-12 13:05 4096]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2007-12-05 01:41 8523776]
"nwiz"="nwiz.exe" [2007-12-05 01:41 1626112 C:\WINDOWS\system32\nwiz.exe]
"NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2007-12-05 01:41 81920]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\Cur rentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-19 09:42 15360]
[HKEY_LOCAL_MACHINE\software\microsoft\windows\curr entversion\policies\explorer]
"NoResolveSearch"= 1 (0x1)
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\!SASWinLogon]
C:\Archivos de programa\SUPERAntiSpyware\SASWINLO.dll 2007-04-19 13:41 294912 C:\Archivos de programa\SUPERAntiSpyware\SASWINLO.dll
[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusDisableNotify"=dword:00000001
"UpdatesDisableNotify"=dword:00000001
[HKLM\~\services\sharedaccess\parameters\firewallpo licy\standardprofile]
"EnableFirewall"= 0 (0x0)
[HKLM\~\services\sharedaccess\parameters\firewallpo licy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Archivos de programa\\Microsoft Office\\Office12\\OUTLOOK.EXE"=
"C:\\Archivos de programa\\Microsoft Office\\Office12\\GROOVE.EXE"=
"C:\\Archivos de programa\\Microsoft Office\\Office12\\ONENOTE.EXE"=
"C:\\Archivos de programa\\MSN Messenger\\msnmsgr.exe"=
"C:\\Archivos de programa\\MSN Messenger\\livecall.exe"=
S3 BRGSp50;BRGSp50 NDIS Protocol Driver;C:\WINDOWS\system32\Drivers\BRGSp50.sys [2005-06-08 18:44]
S3 Ltc53;Ltc53;C:\WINDOWS\System32\drivers\Ltc53.sys [2007-12-14 11:37]
S3 NativeTS;Microsoft Terminal Services;C:\WINDOWS\System32\svchost.exe [2004-08-19 09:43]
S3 ZD1211BU(ZyDAS);ZyDAS ZD1211B IEEE 802.11 b+g Wireless LAN Driver (USB)(ZyDAS);C:\WINDOWS\system32\DRIVERS\zd1211Bu. sys [2005-10-28 11:38]
[HKEY_CURRENT_USER\software\microsoft\windows\curre ntversion\explorer\mountpoints2\C]
\Shell\AutoRun\command - C:\a3g3.bat
\Shell\explore\Command - C:\a3g3.bat
\Shell\open\Command - C:\a3g3.bat
[HKEY_CURRENT_USER\software\microsoft\windows\curre ntversion\explorer\mountpoints2\E]
\Shell\AutoRun\command - E:\Renegado.exe
[HKEY_CURRENT_USER\software\microsoft\windows\curre ntversion\explorer\mountpoints2\{1be68774-a26d-11dc-a998-0016ec81e190}]
\Shell\AutoRun\command - H:\v.cmd
\Shell\explore\Command - H:\v.cmd
\Shell\open\Command - H:\v.cmd
[HKEY_CURRENT_USER\software\microsoft\windows\curre ntversion\explorer\mountpoints2\{24502235-abf3-11dc-a9b3-0016ec81e190}]
\Shell\AutoRun\command - G:\i.cmd
\Shell\explore\Command - G:\i.cmd
\Shell\open\Command - G:\i.cmd
[HKEY_CURRENT_USER\software\microsoft\windows\curre ntversion\explorer\mountpoints2\{492523e6-e16f-11dc-aa35-0016ec81e190}]
\Shell\AutoRun\command - G:\oufddh.exe
\Shell\explore\Command - G:\oufddh.exe
\Shell\open\Command - G:\oufddh.exe
[HKEY_CURRENT_USER\software\microsoft\windows\curre ntversion\explorer\mountpoints2\{61fab1af-a1dc-11dc-a996-0016ec81e190}]
\Shell\AutoRun\command - G:\v.cmd
\Shell\explore\Command - G:\v.cmd
\Shell\open\Command - G:\v.cmd
[HKEY_CURRENT_USER\software\microsoft\windows\curre ntversion\explorer\mountpoints2\{83f6083e-d8ab-11dc-aa23-0016ec81e190}]
\Shell\Auto\command - H:\fun.xls.exe
\Shell\AutoRun\command - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL fun.xls.exe
[HKEY_CURRENT_USER\software\microsoft\windows\curre ntversion\explorer\mountpoints2\{8b642ae4-a082-11dc-a98b-0016ec81e190}]
\Shell\AutoRun\command - F:\LaunchU3.exe -a
.
Contenido de carpeta 'Tareas Programadas'
"2008-03-19 02:00:00 C:\WINDOWS\Tasks\AA726C46918DE106.job"
- c:\docume~1\javier\datosd~1\chinknob\keep one logo.exe
"2008-03-05 13:00:00 C:\WINDOWS\Tasks\rpc.job"
- C:\Archivos de programa\Winferno\RegistryPowerCleaner\RegPowerCle an.exe
.
************************************************** ************************
catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-03-18 22:07:22
Windows 5.1.2600 Service Pack 2 NTFS
escaneando procesos ocultos ...
escaneando entradas ocultas de autostart ...
escaneando archivos ocultos ...
el escaneo se completo con exito
archivos ocultos: 0
************************************************** ************************
.
------------------------ Other Running Processes ------------------------
.
C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Archivos de programa\Internet Explorer\iexplore.exe
C:\Archivos de programa\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\wscntfy.exe
.
************************************************** ************************
.
Tiempo completado: 2008-03-18 22:08:41 - machine was rebooted
ComboFix-quarantined-files.txt 2008-03-19 02:08:38
ComboFix2.txt 2008-03-11 21:43:58
ElPiedra 19/03/08, 19:24:16 Hola, ComboFix ya se encargo de eliminar los archivos de malwares encontrados en tu PC, por lo que tendrías que comentarnos como esta funcionado todo luego de reiniciar ?
Salu2
shakratelo 20/03/08, 16:38:42 bueno ya no he tenido mas problemas, exepto por las ventanas cid ..las cuales siguen saliendo
ElPiedra 20/03/08, 20:43:35 Hola, tendrías que dejarnos un nuevo reporte de HJT y no reiniciar hasta que te marque las entradas a eliminar ya que estas pueden cambiar.
Salu2
shakratelo 23/03/08, 22:58:19 aqui esta el log
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 10:24:18 p.m., on 23/03/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Archivos de programa\Microsoft Office\Office12\GrooveMonitor.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Archivos de programa\Internet Explorer\iexplore.exe
C:\Archivos de programa\Internet Explorer\iexplore.exe
C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Archivos de programa\MSN Messenger\msnmsgr.exe
C:\Archivos de programa\MSN Messenger\usnsvc.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Archivos de programa\Trend Micro\HijackThis\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://my.freeze.com/?s=playtoadgeneral&g=1&pc=43698&bd1=51&bd2=51&bd3=180&ipc=VE&sd1=51&sd2=51&sd3=208
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings,ProxyServer = localhost:8081
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
R3 - URLSearchHook: (no name) - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O2 - BHO: Aplicación auxiliar de vínculos de Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Archivos comunes\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: IeCatch5 Class - {2F364306-AA45-47B5-9F9D-39A8B94E7EF7} - C:\ARCHIV~1\FlashGet\jccatch.dll
O2 - BHO: Megaupload Toolbar - {4E7BD74F-2B8D-469E-CCB0-B130EEDBE97C} - C:\ARCHIV~1\MEGAUP~1\MEGAUP~1.DLL
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\ARCHIV~1\MICROS~2\Office12\GRA8E1~1.DLL
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.6.0_03\bin\ssv.dll
O3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file)
O3 - Toolbar: Megaupload Toolbar - {4E7BD74F-2B8D-469E-CCB0-B130EEDBE97C} - C:\ARCHIV~1\MEGAUP~1\MEGAUP~1.DLL
O3 - Toolbar: (no name) - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O4 - HKLM\..\Run: [GrooveMonitor] "C:\Archivos de programa\Microsoft Office\Office12\GrooveMonitor.exe"
O4 - HKLM\..\Run: [Glock Suite 1.1] C:\WINDOWS\system32\glock32.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [LogIdol] C:\DOCUME~1\Javier\DATOSD~1\Chinknob\SafeSaveDumb. exe
O4 - HKCU\..\Run: [amva] C:\WINDOWS\system32\amvo.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICIO LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Servicio de red')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Enviar a OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\ARCHIV~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: &Enviar a OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\ARCHIV~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\WINDOWS\system32\shdocvw.dll
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\WINDOWS\system32\shdocvw.dll
O14 - IERESET.INF: START_PAGE_URL=http://aba.cantv.net/
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\ARCHIV~1\MICROS~2\Office12\GR99D3~1.DLL
O20 - Winlogon Notify: !SASWinLogon - C:\Archivos de programa\SUPERAntiSpyware\SASWINLO.dll
O23 - Service: Ares Chatroom server (AresChatServer) - Ares Development Group - C:\Archivos de programa\Ares\chatServer.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Archivos de programa\Archivos comunes\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: RDPSSW32 - Unknown owner - C:\WINDOWS\System32\RDPSSW32.EXE (file missing)
O23 - Service: Windows User Mode Driver Framework (UMWdf) - Unknown owner - C:\WINDOWS\system32\wdfmgr.exe (file missing)
--
End of file - 5691 bytes
ElPiedra 24/03/08, 15:38:10 Hola shakratelo,
Paso 1- Descargar y actualizar las siguientes herramientas:
NoLop (http://www.forospyware.com/t45.html)
SUPERAntiSpyware
IniRem 2.0 (http://www.forospyware.com/292293-post8.html)
CCleaner (http://www.forospyware.com/t39511.html)
Paso 2- Reiniciar en Modo Seguro (http://www.forospyware.com/47-post4.html).
Paso 3- Con todos los programas cerrados ejecuta el HijackThis y dale "FIX Cheked" a estas entradas:
O4 - HKCU\..\Run: [LogIdol] C:\DOCUME~1\Javier\DATOSD~1\Chinknob\SafeSaveDumb. exe
O4 - HKCU\..\Run: [amva] C:\WINDOWS\system32\amvo.exe
Paso 4- Sin reiniciar, ejecutar de a una, estas herramientas:
NoLop.exe (guarda su reporte)
SUPERAntiSpyware
**NOTA**Para ejecutar la herramienta NoLop siga estos pasos
Hacer Doble-click al archivo NoLop.exe para activarlo.
Presione el botón "Search and Destroy" y espere a que termine el análisis.
Recibirá un mensaje, presione sobre "Aceptar"
Presionar en "Reboot" para reiniciar el equipo.
Nota* Utiliza la herramienta IniRem 2.0 para limpiar tu archivo Host.
Paso 5- Ejecutar CCleaner usando primero su opción de "Limpiador" para borrar cookies, temporales de Internet y todos los archivos que este te muestre como obsoletos, y luego usa su opción de "Registro" para limpiar todo el registro de Windows (haciendo copia de seguridad).
Reinicia y nos contas los resultados.
**Nota**
- Para mayor comodidad imprime los pasos.
- Recuerda regresar y contarnos los resultados.
Salu2
| |