Foro de InfoSpyware - Foro de Hijackthis - Foro de Virus

Saludos al foro y espero vuestra ayuda.

Tengo Windows XP (Pro) y como antivirus TrendMicro OfficeScan (actualizado).

Sé que me entraron unos cuantos troyanos (OfficeScan los detectaba, me redirigía a páginas web, etc.). Además de los problemas de los troyanos había perdido la capacidad de actuar como administrador (Ej. al ir a Mi Pc>Agregar o quitar programas dice “Esta operación ha sido cancelada debido a las restricciones especificadas para este equipo. Póngase en contacto con el administrador del sistema”, No me aparece el “panel de control”, etc.)

He seguido, hasta donde he podido, los 11 pasos. Revisado y limpiado con SpyBot S&D (actualizado) y SpyrawareBlaster + limpieza con CCleaner. Detectaron unas cuantas cookies, algún dialer, y un par de troyanos.
Después de esto:
1) Me sigue apareciendo el triángulo amarillo abajo-derecha que dice que “Your computer is infected” y redirige hacia un sospechoso sitio para limpiar el spyware (al que no he ido) y de vez en cuando (4-5 minutos) “Warning! Potencial Spyware Operation” que ofrece ir a otro sitio por el estilo.
2) Sigo sin tener los privilegios de administrador. No sé como se hace para abrir una cuenta nueva como administrador, dado que me ha quitado esa posibilidad en la que tenía.
3) No puedo activar/desactivar restaurar sistema. Cuando hago Inicio > ejecutar > C:\WINDOWS\SYSTEM32\Restore\rstrui.exe me dice: "Restaurar sistema desactivado ¿Desea activarlo ahora?" Si le digo SI, dice "Esta operación ha sido cancelada debido a las restricciones especificadas para este equipo. Póngase en contacto con el administrador del sistema"

Desesperado he pasado el HiJackThis y pongo aquí el log a la espera de ayuda. Gracias por anticipado


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:58:22, on 03/09/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\S24EvMon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\ZCfgSvc.exe
C:\WINDOWS\Explorer.exe
C:\WINDOWS\System32\1XConfig.exe
C:\WINDOWS\system32\printer.exe
C:\Archivos de programa\Trend Micro\OfficeScan Client\pccntmon.exe
C:\Archivos de programa\QuickTime\qttask.exe
C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Archivos de programa\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7Debug\mdm.exe
C:\Archivos de programa\Trend Micro\OfficeScan Client\ntrtscan.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\System32\RegSrvc.exe
C:\WINDOWS\System32\svchost.exe
C:\Archivos de programa\Trend Micro\OfficeScan Client\tmlisten.exe
C:\Archivos de programa\Webroot\Spy Sweeper\SpySweeper.exe
C:\WINDOWS\TEMP\PQ1409.EXE
C:\Archivos de programa\Trend Micro\OfficeScan Client\OfcPfwSvc.exe
C:\Archivos de programa\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.euro.dell.com/countries/es/esp/gen/default.htm
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings,ProxyServer = http=169.254.218.23
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
R3 - URLSearchHook: Barra Yahoo! con bloqueador de ventanas emergentes - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\system32\printer.exe
O3 - Toolbar: PDF de Adobe - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [OfficeScanNT Monitor] "C:\Archivos de programa\Trend Micro\OfficeScan Client\pccntmon.exe" -HideWindow
O4 - HKLM\..\Run: [NvCplDaemon] "RUNDLL32.EXE" C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [TkBellExe] "C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [WinAVX] C:\WINDOWS\system32\WinAvXX.exe
O4 - HKLM\..\Run: [startdrv] C:\WINDOWS\Temp\startdrv.exe
O4 - HKLM\..\Run: [SpySweeper] "C:\Archivos de programa\Webroot\Spy Sweeper\SpySweeperUI.exe" /startintray
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [WinAVX] C:\WINDOWS\system32\WinAvXX.exe
O4 - HKCU\..\Run: [SUPERAntiSpyware] "C:\Archivos de programa\SUPERAntiSpyware\SUPERAntiSpyware.exe"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICIO LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Servicio de red')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Startup: system.exe
O4 - Global Startup: autorun.exe
O7 - HKLM\Software\Microsoft\Windows\CurrentVersion\Pol icies\System, DisableRegedit=1
O8 - Extra context menu item: Convertir a PDF de Adobe - res://C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convertir a PDF existente - res://C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convertir destino de vínculo a PDF existente - res://C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convertir destino de vínculo en archivo PDF de Adobe - res://C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convertir selección a archivo PDF existente - res://C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convertir selección a PDF de Adobe - res://C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convertir vínculos seleccionados a PDF de Adobe - res://C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Convertir vínculos seleccionados a PDF existente - res://C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~3\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll (file missing)
O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll (file missing)
O9 - Extra button: Crear un favorito móvil - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Archivos de programa\Microsoft ActiveSync\inetrepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Archivos de programa\Microsoft ActiveSync\inetrepl.dll
O9 - Extra 'Tools' menuitem: Crear un favorito móvil... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Archivos de programa\Microsoft ActiveSync\inetrepl.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Archivos de programa\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - http://download.mcafee.com/molbin/iss-loc/mcfscan/2,2,0,5110/mcfscan.cab
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = ad.uc3m.es
O17 - HKLM\Software\..\Telephony: DomainName = ad.uc3m.es
O17 - HKLM\System\CCS\Services\Tcpip\..\{0ED71D89-75C3-472F-95AB-90C37097D118}: NameServer = 163.117.1.40,163.117.131.35,163.117.18.31,163.117. 131.43
O17 - HKLM\System\CCS\Services\Tcpip\..\{29882893-6C24-42D0-8A78-C9B151C32E05}: NameServer = 163.117.131.35,163.117.1.40,163.117.131.31,163.117 .131.43
O17 - HKLM\System\CCS\Services\Tcpip\..\{4A0FC0BC-49B0-42AF-8F1F-4C7AC8E203A2}: NameServer = 163.117.1.40,163.117.131.35,163.117.18.31,163.117. 131.43
O17 - HKLM\System\CCS\Services\Tcpip\..\{D8D810B8-2834-4DFC-8319-0838C2D41A17}: NameServer = 163.117.131.35,163.117.1.40
O17 - HKLM\System\CCS\Services\Tcpip\..\{F0ED98DE-7455-4F5B-8D08-00773FA52FAA}: NameServer = 163.117.1.40,163.117.131.35,163.117.18.31,163.117. 131.43
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = ad.uc3m.es
O17 - HKLM\System\CS1\Services\Tcpip\..\{0ED71D89-75C3-472F-95AB-90C37097D118}: NameServer = 163.117.1.40,163.117.131.35,163.117.18.31,163.117. 131.43
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = ad.uc3m.es
O17 - HKLM\System\CS2\Services\Tcpip\..\{0ED71D89-75C3-472F-95AB-90C37097D118}: NameServer = 163.117.1.40,163.117.131.35,163.117.18.31,163.117. 131.43
O20 - AppInit_DLLs: C:\WINDOWS\system32\hadjajr.ini
O20 - Winlogon Notify: !SASWinLogon - C:\Archivos de programa\SUPERAntiSpyware\SASWINLO.dll
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Archivos de programa\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: Adobe LM Service - Adobe Systems - C:\Archivos de programa\Archivos comunes\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Archivos de programa\Archivos comunes\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Archivos de programa\iPod\bin\iPodService.exe
O23 - Service: Intel NCS NetService (NetSvc) - Intel(R) Corporation - C:\Archivos de programa\Intel\NCS\Sync\NetSvc.exe
O23 - Service: OfficeScanNT RealTime Scan (ntrtscan) - Trend Micro Inc. - C:\Archivos de programa\Trend Micro\OfficeScan Client\ntrtscan.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: OfficeScanNT Personal Firewall (OfcPfwSvc) - Trend Micro Inc. - C:\Archivos de programa\Trend Micro\OfficeScan Client\OfcPfwSvc.exe
O23 - Service: RegSrvc - Intel Corporation - C:\WINDOWS\System32\RegSrvc.exe
O23 - Service: Spectrum24 Event Monitor (S24EventMonitor) - Intel Corporation - C:\WINDOWS\System32\S24EvMon.exe
O23 - Service: Detector de OfficeScanNT (tmlisten) - Trend Micro Inc. - C:\Archivos de programa\Trend Micro\OfficeScan Client\tmlisten.exe
O23 - Service: Motor de Spy Sweeper de Webroot (WebrootSpySweeperService) - Webroot Software, Inc. - C:\Archivos de programa\Webroot\Spy Sweeper\SpySweeper.exe

--
End of file - 9326 bytes

Hola ffffernando,

Paso 1- Descarga estas herramientas pero no las ejecutes aun:

• DelPSGuard 4.6.7
• SUPERAntiSpyware

Paso 2- Reinicia eh inicia en "Modo a prueba de fallos" (modo seguro)

Paso 3- Con todos los programas cerrados ejecuta HijackThis y dale "FIX Cheked" a estas entradas:


F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\system32\printer.exe

O4 - HKLM\..\Run: [WinAVX] C:\WINDOWS\system32\WinAvXX.exe

O4 - HKLM\..\Run: [startdrv] C:\WINDOWS\Temp\startdrv.exe

O4 - HKCU\..\Run: [WinAVX] C:\WINDOWS\system32\WinAvXX.exe

O4 - Startup: system.exe
O4 - Global Startup: autorun.exe

O7 - HKLM\Software\Microsoft\Windows\CurrentVersion\Pol icies\System, DisableRegedit=1

O20 - AppInit_DLLs: C:\WINDOWS\system32\hadjajr.ini


Paso 4- Ejecuta estas herramientas, de a una:

• DelPSGuard.exe <- Guarda su reporte.
• SUPERAntiSpyware

Paso 5- Descarga CCleaner y ejecútalo usando primero su opción de "Limpiador" para borrar cookies, temporales de Internet y todos los archivos que este te muestre como obsoletos, y luego usa su opción de "Registro" para limpiar todo el registro de Windows (haciendo copia de seguridad).


Reinicia y nos contas los resultados junto a un nuevo reporte de HJT y DelPSGuard.

Salu2

Hola y gracias por la ayuda.
He seguido los pasos que me sugeriste y:

Paso el Hijackthis y le doy a lo que me dijiste. El report es:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 8:50:40, on 04/09/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Safe mode

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\Archivos de programa\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\WINDOWS\system32\svchost.exe
C:\Archivos de programa\Webroot\Spy Sweeper\SpySweeper.exe
C:\WINDOWS\system32\ZCfgSvc.exe
C:\WINDOWS\Explorer.exe
C:\WINDOWS\system32\printer.exe
C:\Archivos de programa\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.euro.dell.com/countries/es/esp/gen/default.htm
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings,ProxyServer = http=169.254.218.23
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
R3 - URLSearchHook: Barra Yahoo! con bloqueador de ventanas emergentes - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\system32\printer.exe
O3 - Toolbar: PDF de Adobe - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [OfficeScanNT Monitor] "C:\Archivos de programa\Trend Micro\OfficeScan Client\pccntmon.exe" -HideWindow
O4 - HKLM\..\Run: [NvCplDaemon] "RUNDLL32.EXE" C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [TkBellExe] "C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [WinAVX] C:\WINDOWS\system32\WinAvXX.exe
O4 - HKLM\..\Run: [startdrv] C:\WINDOWS\Temp\startdrv.exe
O4 - HKLM\..\Run: [ccApp] "C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [osCheck] "C:\Archivos de programa\Norton AntiVirus\osCheck.exe"
O4 - HKLM\..\Run: [SpySweeper] C:\Archivos de programa\Webroot\Spy Sweeper\SpySweeperUI.exe /startintray
O4 - HKLM\..\RunServices: [DJSNetCN] "C:\Archivos de programa\Archivos comunes\Symantec Shared\OPC\{31011D49-D90C-4da0-878B-78D28AD507AF}\DJSNETCN.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [WinAVX] C:\WINDOWS\system32\WinAvXX.exe
O4 - HKCU\..\Run: [SUPERAntiSpyware] "C:\Archivos de programa\SUPERAntiSpyware\SUPERAntiSpyware.exe"
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Servicio de red')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Startup: system.exe
O4 - Global Startup: autorun.exe
O7 - HKLM\Software\Microsoft\Windows\CurrentVersion\Pol icies\System, DisableRegedit=1
O8 - Extra context menu item: Convertir a PDF de Adobe - res://C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convertir a PDF existente - res://C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convertir destino de vínculo a PDF existente - res://C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convertir destino de vínculo en archivo PDF de Adobe - res://C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convertir selección a archivo PDF existente - res://C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convertir selección a PDF de Adobe - res://C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convertir vínculos seleccionados a PDF de Adobe - res://C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Convertir vínculos seleccionados a PDF existente - res://C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~3\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll (file missing)
O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll (file missing)
O9 - Extra button: Crear un favorito móvil - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Archivos de programa\Microsoft ActiveSync\inetrepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Archivos de programa\Microsoft ActiveSync\inetrepl.dll
O9 - Extra 'Tools' menuitem: Crear un favorito móvil... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Archivos de programa\Microsoft ActiveSync\inetrepl.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Archivos de programa\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - http://download.mcafee.com/molbin/iss-loc/mcfscan/2,2,0,5110/mcfscan.cab
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = ad.uc3m.es
O17 - HKLM\Software\..\Telephony: DomainName = ad.uc3m.es
O17 - HKLM\System\CCS\Services\Tcpip\..\{0ED71D89-75C3-472F-95AB-90C37097D118}: NameServer = 163.117.1.40,163.117.131.35,163.117.18.31,163.117. 131.43
O17 - HKLM\System\CCS\Services\Tcpip\..\{29882893-6C24-42D0-8A78-C9B151C32E05}: NameServer = 163.117.131.35,163.117.1.40,163.117.131.31,163.117 .131.43
O17 - HKLM\System\CCS\Services\Tcpip\..\{4A0FC0BC-49B0-42AF-8F1F-4C7AC8E203A2}: NameServer = 163.117.1.40,163.117.131.35,163.117.18.31,163.117. 131.43
O17 - HKLM\System\CCS\Services\Tcpip\..\{D8D810B8-2834-4DFC-8319-0838C2D41A17}: NameServer = 163.117.131.35,163.117.1.40
O17 - HKLM\System\CCS\Services\Tcpip\..\{F0ED98DE-7455-4F5B-8D08-00773FA52FAA}: NameServer = 163.117.1.40,163.117.131.35,163.117.18.31,163.117. 131.43
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = ad.uc3m.es
O17 - HKLM\System\CS1\Services\Tcpip\..\{0ED71D89-75C3-472F-95AB-90C37097D118}: NameServer = 163.117.1.40,163.117.131.35,163.117.18.31,163.117. 131.43
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = ad.uc3m.es
O17 - HKLM\System\CS2\Services\Tcpip\..\{0ED71D89-75C3-472F-95AB-90C37097D118}: NameServer = 163.117.1.40,163.117.131.35,163.117.18.31,163.117. 131.43
O20 - AppInit_DLLs: C:\WINDOWS\system32\hadjajr.ini
O20 - Winlogon Notify: !SASWinLogon - C:\Archivos de programa\SUPERAntiSpyware\SASWINLO.dll
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Archivos de programa\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: Adobe LM Service - Adobe Systems - C:\Archivos de programa\Archivos comunes\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Automatic LiveUpdate Scheduler - Symantec Corporation - C:\Archivos de programa\Symantec\LiveUpdate\ALUSchedulerSvc.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSvcHst.exe
O23 - Service: Symantec Internet Security Password Validation (ccISPwdSvc) - Symantec Corporation - C:\Archivos de programa\Norton AntiVirus\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSvcHst.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Archivos de programa\Archivos comunes\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Archivos de programa\iPod\bin\iPodService.exe
O23 - Service: LiveUpdate - Symantec Corporation - C:\ARCHIV~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
O23 - Service: Intel NCS NetService (NetSvc) - Intel(R) Corporation - C:\Archivos de programa\Intel\NCS\Sync\NetSvc.exe
O23 - Service: OfficeScanNT RealTime Scan (ntrtscan) - Trend Micro Inc. - C:\Archivos de programa\Trend Micro\OfficeScan Client\ntrtscan.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: OfficeScanNT Personal Firewall (OfcPfwSvc) - Trend Micro Inc. - C:\Archivos de programa\Trend Micro\OfficeScan Client\OfcPfwSvc.exe
O23 - Service: RegSrvc - Intel Corporation - C:\WINDOWS\System32\RegSrvc.exe
O23 - Service: Spectrum24 Event Monitor (S24EventMonitor) - Intel Corporation - C:\WINDOWS\System32\S24EvMon.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\CCPD-LC\symlcsvc.exe
O23 - Service: Symantec AppCore Service (SymAppCore) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\AppCore\AppSvc32.exe
O23 - Service: Detector de OfficeScanNT (tmlisten) - Trend Micro Inc. - C:\Archivos de programa\Trend Micro\OfficeScan Client\tmlisten.exe
O23 - Service: Motor de Spy Sweeper de Webroot (WebrootSpySweeperService) - Webroot Software, Inc. - C:\Archivos de programa\Webroot\Spy Sweeper\SpySweeper.exe

--
End of file - 9809 bytes



Paso el DelPSGuard 4.6.7 veo que no ha podido con el printer.exe
El report es:

DelPSGuard v 4.6.7
by www.ForoSpyware.com
Escaneo a las: 8:54:38,27, 04/09/2007
SO: Microsoft Windows XP [Versi¢n 5.1.2600]


»»»»»»»»»»»» Carpetas y Archivos infectados »»»»»»»»»»»»

C:\WINDOWS\system32 \?_exception.nls ...: ! Eliminado ! :...
C:\WINDOWS\system32 \hanonvt.ini ...: ! Eliminado ! :...
Problemas con la eliminacion C:\WINDOWS\system32 \printer.exe
C:\WINDOWS\system32 \WinAvXX.exe ...: ! Eliminado ! :...
C:\WINDOWS\system32 \drivers\fad.sys ...: ! Eliminado ! :...
\system.exe ...: ! Eliminado ! :...

»»»»»»»»»»»» Programas Malwares »»»»»»»»»»»»


»»»»»»»»»»»» FIN »»»»»»»»»»»»

Lo vuelvo a pasar y sigue sin poder con él (nuevo report)

DelPSGuard v 4.6.7
by www.ForoSpyware.com
Escaneo a las: 8:56:09,40, 04/09/2007
SO: Microsoft Windows XP [Versi¢n 5.1.2600]


»»»»»»»»»»»» Carpetas y Archivos infectados »»»»»»»»»»»»

Problemas con la eliminacion C:\WINDOWS\system32 \printer.exe

»»»»»»»»»»»» Programas Malwares »»»»»»»»»»»»


»»»»»»»»»»»» FIN »»»»»»»»»»»»


Paso el SUPERAAntispyware, detecta un montón de trackincookies que borro.
Paso el CCleaner tal y como me dijiste. Encuentra un montón de entradas a quitar. En muchas de ellas dice que son “Estas referencias a menudo son olividadas después de la desinstalación del programa”, lo cual parece cierto, por los nombres.


Lo vuelvo a arrancar "normal", veo que he perdido el tapiz (he leído que debía pasar). Espero un rato y ni me sale el triángulo amarillo, ni me aparece lo del "Warning! Potential spyware ..", pero sigo sin poder actuar como administrador (no aparece el panel de control, no puedo poner/quitar programas, incluso el icono para quitar hardware, el pendrive, me dice lo de "Esta operación ha sido cancelada debido a las restricciones especificadas para este equipo. Póngase en contacto con el administrador del sistema"


Ya sé que no era necesario, pero por si sirve de ayuda, he vuelto a pasar el Hijackthis. El report que da es:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 10:43:07, on 04/09/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\S24EvMon.exe
C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSvcHst.exe
C:\Archivos de programa\Archivos comunes\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\ZCfgSvc.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\1XConfig.exe
C:\Archivos de programa\Trend Micro\OfficeScan Client\pccntmon.exe
C:\Archivos de programa\QuickTime\qttask.exe
C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe
C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe
C:\Archivos de programa\Webroot\Spy Sweeper\SpySweeperUI.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Archivos de programa\SUPERAntiSpyware\SUPERAntiSpyware.exe
C:\Archivos de programa\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\Archivos de programa\Symantec\LiveUpdate\ALUSchedulerSvc.exe
C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7Debug\mdm.exe
C:\Archivos de programa\Trend Micro\OfficeScan Client\ntrtscan.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\System32\RegSrvc.exe
C:\WINDOWS\System32\svchost.exe
C:\Archivos de programa\Trend Micro\OfficeScan Client\tmlisten.exe
C:\Archivos de programa\Webroot\Spy Sweeper\SpySweeper.exe
C:\Archivos de programa\Trend Micro\OfficeScan Client\OfcPfwSvc.exe
C:\WINDOWS\TEMP\GVAA8A.EXE
C:\ARCHIV~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
C:\Archivos de programa\Webroot\Spy Sweeper\SSU.EXE
C:\Archivos de programa\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings,ProxyServer = http=169.254.218.23
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
R3 - URLSearchHook: Barra Yahoo! con bloqueador de ventanas emergentes - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O3 - Toolbar: PDF de Adobe - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [OfficeScanNT Monitor] "C:\Archivos de programa\Trend Micro\OfficeScan Client\pccntmon.exe" -HideWindow
O4 - HKLM\..\Run: [NvCplDaemon] "RUNDLL32.EXE" C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [TkBellExe] "C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [ccApp] "C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [osCheck] "C:\Archivos de programa\Norton AntiVirus\osCheck.exe"
O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u
O4 - HKLM\..\Run: [SpySweeper] "C:\Archivos de programa\Webroot\Spy Sweeper\SpySweeperUI.exe" /startintray
O4 - HKLM\..\RunServices: [DJSNetCN] "C:\Archivos de programa\Archivos comunes\Symantec Shared\OPC\{31011D49-D90C-4da0-878B-78D28AD507AF}\DJSNETCN.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SUPERAntiSpyware] "C:\Archivos de programa\SUPERAntiSpyware\SUPERAntiSpyware.exe"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICIO LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Servicio de red')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: Convertir a PDF de Adobe - res://C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convertir a PDF existente - res://C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convertir destino de vínculo a PDF existente - res://C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convertir destino de vínculo en archivo PDF de Adobe - res://C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convertir selección a archivo PDF existente - res://C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convertir selección a PDF de Adobe - res://C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convertir vínculos seleccionados a PDF de Adobe - res://C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Convertir vínculos seleccionados a PDF existente - res://C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~3\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\shdocvw.dll
O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\shdocvw.dll
O9 - Extra button: Crear un favorito móvil - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Archivos de programa\Microsoft ActiveSync\inetrepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Archivos de programa\Microsoft ActiveSync\inetrepl.dll
O9 - Extra 'Tools' menuitem: Crear un favorito móvil... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Archivos de programa\Microsoft ActiveSync\inetrepl.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Archivos de programa\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - http://download.mcafee.com/molbin/iss-loc/mcfscan/2,2,0,5110/mcfscan.cab
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = ad.uc3m.es
O17 - HKLM\Software\..\Telephony: DomainName = ad.uc3m.es
O17 - HKLM\System\CCS\Services\Tcpip\..\{0ED71D89-75C3-472F-95AB-90C37097D118}: NameServer = 163.117.1.40,163.117.131.35,163.117.18.31,163.117. 131.43
O17 - HKLM\System\CCS\Services\Tcpip\..\{29882893-6C24-42D0-8A78-C9B151C32E05}: NameServer = 163.117.131.35,163.117.1.40,163.117.131.31,163.117 .131.43
O17 - HKLM\System\CCS\Services\Tcpip\..\{4A0FC0BC-49B0-42AF-8F1F-4C7AC8E203A2}: NameServer = 163.117.1.40,163.117.131.35,163.117.18.31,163.117. 131.43
O17 - HKLM\System\CCS\Services\Tcpip\..\{D8D810B8-2834-4DFC-8319-0838C2D41A17}: NameServer = 163.117.131.35,163.117.1.40
O17 - HKLM\System\CCS\Services\Tcpip\..\{F0ED98DE-7455-4F5B-8D08-00773FA52FAA}: NameServer = 163.117.1.40,163.117.131.35,163.117.18.31,163.117. 131.43
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = ad.uc3m.es
O17 - HKLM\System\CS1\Services\Tcpip\..\{0ED71D89-75C3-472F-95AB-90C37097D118}: NameServer = 163.117.1.40,163.117.131.35,163.117.18.31,163.117. 131.43
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = ad.uc3m.es
O17 - HKLM\System\CS2\Services\Tcpip\..\{0ED71D89-75C3-472F-95AB-90C37097D118}: NameServer = 163.117.1.40,163.117.131.35,163.117.18.31,163.117. 131.43
O20 - Winlogon Notify: !SASWinLogon - C:\Archivos de programa\SUPERAntiSpyware\SASWINLO.dll
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Archivos de programa\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: Adobe LM Service - Adobe Systems - C:\Archivos de programa\Archivos comunes\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Automatic LiveUpdate Scheduler - Symantec Corporation - C:\Archivos de programa\Symantec\LiveUpdate\ALUSchedulerSvc.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSvcHst.exe
O23 - Service: Symantec Internet Security Password Validation (ccISPwdSvc) - Symantec Corporation - C:\Archivos de programa\Norton AntiVirus\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSvcHst.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Archivos de programa\Archivos comunes\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Archivos de programa\iPod\bin\iPodService.exe
O23 - Service: LiveUpdate - Symantec Corporation - C:\ARCHIV~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
O23 - Service: Intel NCS NetService (NetSvc) - Intel(R) Corporation - C:\Archivos de programa\Intel\NCS\Sync\NetSvc.exe
O23 - Service: OfficeScanNT RealTime Scan (ntrtscan) - Trend Micro Inc. - C:\Archivos de programa\Trend Micro\OfficeScan Client\ntrtscan.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: OfficeScanNT Personal Firewall (OfcPfwSvc) - Trend Micro Inc. - C:\Archivos de programa\Trend Micro\OfficeScan Client\OfcPfwSvc.exe
O23 - Service: RegSrvc - Intel Corporation - C:\WINDOWS\System32\RegSrvc.exe
O23 - Service: Spectrum24 Event Monitor (S24EventMonitor) - Intel Corporation - C:\WINDOWS\System32\S24EvMon.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\CCPD-LC\symlcsvc.exe
O23 - Service: Symantec AppCore Service (SymAppCore) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\AppCore\AppSvc32.exe
O23 - Service: Detector de OfficeScanNT (tmlisten) - Trend Micro Inc. - C:\Archivos de programa\Trend Micro\OfficeScan Client\tmlisten.exe
O23 - Service: Motor de Spy Sweeper de Webroot (WebrootSpySweeperService) - Webroot Software, Inc. - C:\Archivos de programa\Webroot\Spy Sweeper\SpySweeper.exe

--
End of file - 10564 bytes

Gracias de nuevo, y a ver si me puedes echar una mano con lo que queda.

Hola,

El log de HJT esta limpio y sobre al archivo que no puede sacar DPSG lo podrias sacar usando "FileASSASSIN"

C:\WINDOWS\system32\printer.exe

• Descarga la herramienta ComboFix.exe y guárdala tu escritorio.
• Hace doble-click en el archivo combofix.exe y seguí los avisos.
• Cuando termine este generara un reporte que tendrías que pegar en este mismo mensaje.
  • Nota* Puede que algunos Antivirus como Panda detecten un falso positivo en ComboFix pero no hay que preocuparse por esto.

Reinicia y nos contas los resultados.

Salu2

Hola y gracias de nuevo.
He seguido los pasos que me sugeristes y esto es lo que ha pasado:
1) Paso el FileASSASSIN que me dijiste (je! buen nombre) y dice que el printer.exe se lo ha cargado.
2) Paso el Combofix.exe y este es el log que da

ComboFix 07-08-30.3 - "FML" 2007-09-05 8:18:44.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.34.3082.18.116 [GMT 2:00]


((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))


C:\~.exe
C:\110789.exe
C:\140632.exe
C:\141012.exe
C:\148733.exe
C:\148854.exe
C:\162253.exe
C:\18956127.exe
C:\18957068.exe
C:\195671.exe
C:\199016.exe
C:\200087.exe
C:\212034.exe
C:\212335.exe
C:\229209.exe
C:\235138.exe
C:\236800.exe
C:\238172.exe
C:\275976.exe
C:\276167.exe
C:\296155.exe
C:\2969710.exe
C:\2970471.exe
C:\297157.exe
C:\332147.exe
C:\375419.exe
C:\381929.exe
C:\38382.exe
C:\390120.exe
C:\720114849.DLL
C:\720114850.dll
C:\833678.exe
C:\WINDOWS\system32\printer.exe


((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))


-------\LEGACY_NPF
-------\LEGACY_RUNTIME
-------\LEGACY_RUNTIME2
-------\NPF
-------\runtime


((((((((((((((((((((((((( Files Created from 2007-08-05 to 2007-09-05 )))))))))))))))))))))))))))))))


2007-09-05 08:16 51,200 --a------ C:\WINDOWS\nircmd.exe
2007-09-05 08:12 <DIR> d-------- C:\Archivos de programa\FileASSASSIN
2007-09-04 11:38 707,270 --a------ C:\aiepr.EXE
2007-09-04 08:54 <DIR> d-------- C:\Archivos de programa\DelPSGuard
2007-09-04 00:00 <DIR> d-------- C:\Archivos de programa\Norton AntiVirus
2007-09-03 23:59 48,776 --a------ C:\WINDOWS\SYSTEM32\S32EVNT1.DLL
2007-09-03 23:59 115,000 --a------ C:\WINDOWS\SYSTEM32\DRIVERS\SYMEVENT.SYS
2007-09-03 16:58 <DIR> d-------- C:\WINDOWS\McAfee.com
2007-09-03 16:50 76,560 --a------ C:\WINDOWS\SYSTEM32\DRIVERS\tmcomm.sys
2007-09-03 16:37 <DIR> d-------- C:\DOCUME~1\ALLUSE~1\DATOSD~1\Yahoo! Companion
2007-09-03 14:47 0 --a------ C:\WINDOWS\SYSTEM32\CMMGR32.EXE
2007-09-03 14:47 0 --a------ C:\WINDOWS\ORUN32.EXE
2007-09-03 14:33 <DIR> d-------- C:\DOCUME~1\ALLUSE~1\DATOSD~1\SUPERAntiSpyware.com
2007-09-03 14:32 <DIR> d-------- C:\DOCUME~1\FML\DATOSD~1\SUPERAntiSpyware.com
2007-09-03 14:32 <DIR> d-------- C:\Archivos de programa\SUPERAntiSpyware
2007-09-03 14:19 <DIR> d-------- C:\Archivos de programa\Yahoo!
2007-09-03 14:19 <DIR> d-------- C:\Archivos de programa\CCleaner
2007-09-03 12:22 <DIR> d-------- C:\Archivos de programa\SpywareBlaster
2007-09-03 12:16 <DIR> d-------- C:\DOCUME~1\ALLUSE~1\DATOSD~1\Spybot - Search & Destroy
2007-09-03 11:58 <DIR> d-------- C:\DOCUME~1\NETWOR~1\DATOSD~1\Webroot
2007-09-03 11:14 <DIR> d-------- C:\DOCUME~1\LOCALS~1\DATOSD~1\Webroot
2007-09-03 11:13 23,864 --a------ C:\WINDOWS\SYSTEM32\DRIVERS\sskbfd.sys
2007-09-03 11:13 21,816 --a------ C:\WINDOWS\SYSTEM32\DRIVERS\sshrmd.sys
2007-09-03 11:13 20,280 --a------ C:\WINDOWS\SYSTEM32\DRIVERS\SSFS0BB8.sys
2007-09-03 11:13 163,128 --a------ C:\WINDOWS\SYSTEM32\DRIVERS\ssidrv.sys
2007-09-03 11:13 1,521,464 --a------ C:\WINDOWS\WRSetup.dll
2007-09-03 11:13 <DIR> d-------- C:\DOCUME~1\FML\DATOSD~1\Webroot
2007-09-03 11:13 <DIR> d-------- C:\DOCUME~1\ALLUSE~1\DATOSD~1\Webroot
2007-09-03 11:13 <DIR> d-------- C:\Archivos de programa\Webroot
2007-09-03 10:39 18,320 --a------ C:\smtpdrv.sys
2007-08-29 07:47 17,108 --a------ C:\SYSTEM.VIR
2007-08-29 00:39 1 --a------ C:\WINDOWS\SYSTEM32\ps.dat
2007-08-29 00:28 51,712 --a------ C:\WINDOWS\SYSTEM32\muslki.dll
2007-08-28 16:30 94,344 --a------ C:\MailSpectre.VIR
2007-08-28 13:26 94,344 --a------ C:\MailSpectre.exe
2007-08-28 13:25 17,024 --a------ C:\PRINTER.VIR
2007-08-28 07:35 17,024 --a------ C:\PRINTER.EXE
2007-08-27 23:08 17,024 --a------ C:\WINAVXX.EXE
2007-08-26 23:56 68,754 --a------ C:\us0105.VIR
2007-08-26 23:56 68,752 --a------ C:\wn441.VIR
2007-08-26 23:54 2,109 --a------ C:\ms07-017[1].VIR
2007-08-24 08:22 6,272 --a------ C:\hanonvt_7d8.VIR
2007-08-24 08:22 6,272 --a------ C:\hanonvt_1bc.VIR
2007-08-24 08:22 6,272 --a------ C:\hanonvt_160.VIR
2007-08-24 08:22 6,272 --a------ C:\hanonvt_158.VIR
2007-08-24 08:22 6,272 --a------ C:\hanonvt_144.VIR
2007-08-23 03:03 6,272 --a------ C:\hanonvt.VIR
2007-08-23 02:11 77,458 --a------ C:\us0105.exe
2007-08-23 02:10 77,456 --a------ C:\wn441.exe
2007-08-22 12:15 5,776 --a------ C:\runtime.VIR
2007-08-22 12:15 29,196 --a------ C:\ip6fw.VIR
2007-08-22 08:51 5,776 --a------ C:\runtime.sys
2007-08-22 08:51 29,196 --a------ C:\ip6fw.sys
2007-08-17 11:04 <DIR> d-------- C:\DOCUME~1\FML\.housecall6.6
2007-08-17 10:42 27,284 --a------ C:\pa_0189.VIR
2007-08-17 10:42 27,284 --a------ C:\pa_0189.exe


(((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))) ))

2007-09-05 08:41 --------- d-------- C:\Archivos de programa\Archivos comunes\Symantec Shared
2007-09-04 00:54 --------- d-------- C:\Archivos de programa\Symantec
2007-09-04 00:53 806 --a------ C:\WINDOWS\system32\drivers\SYMEVENT.INF
2007-09-04 00:53 8014 --a------ C:\WINDOWS\system32\drivers\SYMEVENT.CAT
2007-09-04 00:12 --------- d-------- C:\DOCUME~1\ALLUSE~1\DATOSD~1\Symantec
2007-09-03 17:36 --------- d-------- C:\Archivos de programa\QuickTime
2007-09-03 10:35 --------- d-------- C:\Archivos de programa\Trend Micro
2007-08-18 09:21 9344 --a------ C:\WINDOWS\system32\drivers\NSDriver.sys
2007-08-18 09:21 8320 --a------ C:\WINDOWS\system32\drivers\AWRTRD.sys
2007-08-17 10:40 5120 --a------ C:\WINDOWS\csrss.dll
2007-07-30 19:19 92504 --a------ C:\WINDOWS\system32\dllcache\cdm.dll
2007-07-30 19:19 92504 --a------ C:\WINDOWS\system32\cdm.dll
2007-07-30 19:19 549720 --a------ C:\WINDOWS\system32\wuapi.dll
2007-07-30 19:19 549720 --a------ C:\WINDOWS\system32\dllcache\wuapi.dll
2007-07-30 19:19 53080 --a------ C:\WINDOWS\system32\wuauclt.exe
2007-07-30 19:19 53080 --a------ C:\WINDOWS\system32\dllcache\wuauclt.exe
2007-07-30 19:19 43352 --a------ C:\WINDOWS\system32\wups2.dll
2007-07-30 19:19 325976 --a------ C:\WINDOWS\system32\wucltui.dll
2007-07-30 19:19 325976 --a------ C:\WINDOWS\system32\dllcache\wucltui.dll
2007-07-30 19:19 203096 --a------ C:\WINDOWS\system32\wuweb.dll
2007-07-30 19:19 203096 --a------ C:\WINDOWS\system32\dllcache\wuweb.dll
2007-07-30 19:19 1712984 --a------ C:\WINDOWS\system32\wuaueng.dll
2007-07-30 19:19 1712984 --a------ C:\WINDOWS\system32\dllcache\wuaueng.dll
2007-07-30 19:18 33624 --a------ C:\WINDOWS\system32\wups.dll
2007-07-30 19:18 33624 --a------ C:\WINDOWS\system32\dllcache\wups.dll
2007-07-29 08:43 2855 --a------ C:\zzUWA6PY_0001_N91M2107NetInstaller.PIF
2007-07-29 08:43 10177 --a------ C:\counter[1].VIR
2007-07-25 20:42 --------- d-------- C:\Archivos de programa\AppsPro
2007-07-23 06:53 --------- d-------- C:\DOCUME~1\ALLUSE~1\DATOSD~1\Lavasoft
2007-07-23 06:53 --------- d-------- C:\Archivos de programa\Lavasoft
2007-07-23 01:25 --------- d-------- C:\Archivos de programa\Archivos comunes\Wise Installation Wizard
2007-07-20 13:44 --------- d-------- C:\Archivos de programa\Suncycle
2007-07-20 12:20 --------- d-------- C:\Archivos de programa\SecureW2
2007-06-26 16:09 661504 --------- C:\WINDOWS\system32\dllcache\wininet.dll
2007-06-26 15:56 851968 --------- C:\WINDOWS\system32\dllcache\vgx.dll
2007-06-26 08:09 1104896 --a------ C:\WINDOWS\system32\msxml3.dll
2007-06-26 08:09 1104896 --------- C:\WINDOWS\system32\dllcache\msxml3.dll
2007-06-19 15:30 282112 --a------ C:\WINDOWS\system32\gdi32.dll
2007-06-19 15:30 282112 --------- C:\WINDOWS\system32\dllcache\gdi32.dll
2007-06-14 20:09 96768 --------- C:\WINDOWS\system32\dllcache\inseng.dll
2007-06-14 20:09 616448 --------- C:\WINDOWS\system32\dllcache\urlmon.dll
2007-06-14 20:09 55808 --------- C:\WINDOWS\system32\dllcache\extmgr.dll
2007-06-14 20:09 532480 --------- C:\WINDOWS\system32\dllcache\mstime.dll
2007-06-14 20:09 474624 --------- C:\WINDOWS\system32\dllcache\shlwapi.dll
2007-06-14 20:09 449024 --------- C:\WINDOWS\system32\dllcache\mshtmled.dll
2007-06-14 20:09 39424 --------- C:\WINDOWS\system32\dllcache\pngfilt.dll
2007-06-14 20:09 357888 --------- C:\WINDOWS\system32\dllcache\dxtmsft.dll
2007-06-14 20:09 3079680 --------- C:\WINDOWS\system32\dllcache\mshtml.dll
2007-06-14 20:09 251392 --------- C:\WINDOWS\system32\dllcache\iepeers.dll
2007-06-14 20:09 205312 --------- C:\WINDOWS\system32\dllcache\dxtrans.dll
2007-06-14 20:09 16384 --------- C:\WINDOWS\system32\dllcache\jsproxy.dll
2007-06-14 20:09 151552 --------- C:\WINDOWS\system32\dllcache\cdfview.dll
2007-06-14 20:09 1495040 --------- C:\WINDOWS\system32\dllcache\shdocvw.dll
2007-06-14 20:09 146432 --------- C:\WINDOWS\system32\dllcache\msrating.dll
2007-06-14 20:09 1056256 --------- C:\WINDOWS\system32\dllcache\danim.dll
2007-06-14 20:09 1023488 --------- C:\WINDOWS\system32\dllcache\browseui.dll
2007-06-14 16:07 18432 --------- C:\WINDOWS\system32\dllcache\iedw.exe
2007-06-13 15:22 1035776 --a------ C:\WINDOWS\explorer.exe
2007-06-13 15:22 1035776 --------- C:\WINDOWS\system32\dllcache\explorer.exe
2007-03-12 18:26 3018824 --a------ C:\DOCUME~1\FML\DATOSD~1\prg.exe


((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))


*Note* empty entries & legit default entries are not shown

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run]
"OfficeScanNT Monitor"="C:\Archivos de programa\Trend Micro\OfficeScan Client\pccntmon.exe" [2007-01-09 15:59]
"NvCplDaemon"="RUNDLL32.exe" [2004-08-20 00:43 C:\WINDOWS\SYSTEM32\rundll32.exe]
"QuickTime Task"="C:\Archivos de programa\QuickTime\qttask.exe" [2006-07-21 16:52]
"TkBellExe"="C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe" [2007-03-26 16:44]
"ccApp"="C:\Archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe" [2006-06-17 06:05]
"osCheck"="C:\Archivos de programa\Norton AntiVirus\osCheck.exe" [2006-06-18 00:00]
"UserFaultCheck"="C:\WINDOWS\system32\dumprep 0 -u" []
"SpySweeper"="C:\Archivos de programa\Webroot\Spy Sweeper\SpySweeperUI.exe" [2007-07-19 22:54]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\Run]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-20 00:42]
"SUPERAntiSpyware"="C:\Archivos de programa\SUPERAntiSpyware\SUPERAntiSpyware.exe" [2007-02-27 11:39]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\curr entversion\runservices]
"DJSNetCN"="C:\Archivos de programa\Archivos comunes\Symantec Shared\OPC\{31011D49-D90C-4da0-878B-78D28AD507AF}\DJSNETCN.exe"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Explorer\ShellExecuteHooks]
"{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA}"= C:\Archivos de programa\SUPERAntiSpyware\SASSEH.DLL [2006-12-20 12:55 77824]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\!SASWinLogon]
C:\Archivos de programa\SUPERAntiSpyware\SASWINLO.dll 2007-02-27 11:39 282624 C:\Archivos de programa\SUPERAntiSpyware\SASWINLO.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\Sebring]
C:\WINDOWS\System32\LgNotify.dll 2003-06-20 09:03 110592 C:\WINDOWS\SYSTEM32\LgNotify.dll

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Documents and Settings^All Users^Menú Inicio^Programas^Inicio^Digital Line Detect.lnk]
path=C:\Documents and Settings\All Users\Menú Inicio\Programas\Inicio\Digital Line Detect.lnk
backup=C:\WINDOWS\pss\Digital Line Detect.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Documents and Settings^All Users^Menú Inicio^Programas^Inicio^Inicio rápido de Adobe Acrobat.lnk]
path=C:\Documents and Settings\All Users\Menú Inicio\Programas\Inicio\Inicio rápido de Adobe Acrobat.lnk
backup=C:\WINDOWS\pss\Inicio rápido de Adobe Acrobat.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Documents and Settings^All Users^Menú Inicio^Programas^Inicio^Microsoft Office.lnk]
path=C:\Documents and Settings\All Users\Menú Inicio\Programas\Inicio\Microsoft Office.lnk
backup=C:\WINDOWS\pss\Microsoft Office.lnkCommon Startup


[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvCplDaemon]
RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\OfficeScanNT Monitor]
"C:\Archivos de programa\Trend Micro\OfficeScan Client\pccntmon.exe" -HideWindow

R0 SSFS0BB8;Spy Sweeper File System Filer Driver: 0BB8;C:\WINDOWS\system32\Drivers\SSFS0BB8.SYS
R2 ntrtscan;OfficeScanNT RealTime Scan;"C:\Archivos de programa\Trend Micro\OfficeScan Client\ntrtscan.exe"
R2 tmlisten;Detector de OfficeScanNT;"C:\Archivos de programa\Trend Micro\OfficeScan Client\tmlisten.exe"
R2 TmPreFilter;Trend Micro PreFilter;\??\C:\Archivos de programa\Trend Micro\OfficeScan Client\TmPreFlt.sys
R3 kbstuff;SMS Virtual Input Device;C:\WINDOWS\system32\DRIVERS\kbstuff5.sys
R3 w70n51;Controlador Intel(R) PRO/Wireless 7100 Adapter;C:\WINDOWS\system32\DRIVERS\w70n51.sys
S1 smtpdrv;smtpdrv;C:\WINDOWS\system32\DRIVERS\smtpdr v.sys
S4 idisw2km;idisw2km;C:\WINDOWS\system32\DRIVERS\idis w2km.sys


Contents of the 'Scheduled Tasks' folder
2007-09-03 22:51:16 C:\WINDOWS\Tasks\Norton AntiVirus - Run Full System Scan - FML.job - C:\ARCHIV~1\NORTON~1\Navw32.exe
2007-09-03 09:13:46 C:\WINDOWS\Tasks\wrSpySweeperTrialSweep.job - C:\Archivos de programa\Webroot\Spy Sweeper\SpySweeperUI.exe

************************************************** ************************

catchme 0.3.1061 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2007-09-05 08:41:27
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden files: 0

************************************************** ************************

Completion time: 2007-09-05 8:47:40
C:\ComboFix-quarantined-files.txt ... 2007-09-05 08:47

--- E O F ---

Ahora reparo que en c:\ tengo un montón de ficheros que se llaman:
runtime.V?? (?? son números incluyendo un VIR),
hanonvt_1??.VIR (esto del hanon me suena de virus, ¿es asi?), fecha de 23/08 en plena infección
de ipf6fw.v?? fecha de ayer a las 8:00 cuando estba con la limpieza (no hago más con el ordenador que la limpieza, escribo desde otro).


Veo que ha vuelto el panel de control, que puedo quitar programas y que me deja quitar hardware (lo del pendrive).

¿Debo considerar que ya está todo solucionado?

Gracias de nuevo

Si, solo te quedaría borrar todos esos que dicen .VIR ya que son los archivos de malwares que están renombrados por CF para que estos no se puedan ejecutar.

Borras sos, todos los temporales y todo lo referente a CF y haces una buena limpieza con CCleaner para dejar todo en orden.

Salu2