Foro de InfoSpyware - Foro de Hijackthis - Foro de Virus

Pues los resultados de google, se rediereccionan a search-daily o maxifiles , o a otros buscadores. He leido posts similares pero no logro arreglar el problema, os paso report hijackthis.


Logfile of HijackThis v1.99.1
Scan saved at 19:56:59, on 01/10/2007
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Archivos de programa\D-Tools\daemon.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIA CE.EXE
C:\Archivos de programa\Java\jre1.5.0_09\bin\jusched.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Archivos de programa\Microsoft Student\Microsoft Student 2006 - DVD\EDICT.EXE
C:\Archivos de programa\Messenger\msmsgs.exe
C:\Archivos de programa\Kerio\Personal Firewall 4\kpf4ss.exe
C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\svchost.exe
C:\Archivos de programa\Kerio\Personal Firewall 4\kpf4gui.exe
C:\Archivos de programa\Kerio\Personal Firewall 4\kpf4gui.exe
C:\Archivos de programa\Internet Explorer\IEXPLORE.EXE
C:\Archivos de programa\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Documents and Settings\tienda\Escritorio\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.5.0_09\bin\ssv.dll
O2 - BHO: (no name) - {7B1BB909-18C4-4151-AE68-682B68E63131} - c:\windows\system32\bebabeb.dll
O2 - BHO: (no name) - {EF2F0EBC-0B7D-4BCB-A71D-CD96A9C815D9} - c:\windows\system32\wdmgyhpj.dll
O2 - BHO: (no name) - {F16A8BCA-A4C3-4A68-A15F-04CBBD54B6A1} - c:\windows\system32\mtviksxn.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Archivos de programa\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [EPSON Stylus DX3800 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIA CE.EXE /P26 "EPSON Stylus DX3800 Series" /O6 "USB001" /M "Stylus DX3800"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Archivos de programa\Java\jre1.5.0_09\bin\jusched.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [L06EXLRD_1394244] "C:\Archivos de programa\Microsoft Student\Microsoft Student 2006 - DVD\EDICT.EXE" -m
O4 - HKCU\..\Run: [MSMSGS] "C:\Archivos de programa\Messenger\msmsgs.exe" /background
O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~3\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_09\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_09\bin\ssv.dll
O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/spanish/kavwebscan_unicode.cab
O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - http://downloads.ewido.net/ewidoOnlineScan.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O20 - Winlogon Notify: !SASWinLogon - C:\Archivos de programa\SUPERAntiSpyware\SASWINLO.dll
O20 - Winlogon Notify: adrfggxs - C:\WINDOWS\SYSTEM32\bebabeb.dll
O23 - Service: Ares Chatroom server (AresChatServer) - Ares Development Group - C:\Archivos de programa\Ares\chatServer.exe
O23 - Service: Kerio Personal Firewall 4 (KPF4) - Kerio Technologies - C:\Archivos de programa\Kerio\Personal Firewall 4\kpf4ss.exe

Hola romeo44, te doy la bienvenida al Foro de InfoSpyware

Estas usando una versión antigua de HijackThis, por lo que descarga y ejecuta la nueva versión de
*HijackThis 2.0.2 para generar y dejarnos un nuevo log en este mismo mensaje.

Salu2

perdón, fue un error con las prisas, ahí va.

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 9:16:28, on 02/10/2007
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Archivos de programa\D-Tools\daemon.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIA CE.EXE
C:\Archivos de programa\Java\jre1.5.0_09\bin\jusched.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Archivos de programa\Microsoft Student\Microsoft Student 2006 - DVD\EDICT.EXE
C:\Archivos de programa\Messenger\msmsgs.exe
C:\Archivos de programa\Kerio\Personal Firewall 4\kpf4ss.exe
C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\svchost.exe
C:\Archivos de programa\Kerio\Personal Firewall 4\kpf4gui.exe
C:\Archivos de programa\Kerio\Personal Firewall 4\kpf4gui.exe
C:\Documents and Settings\tienda\Escritorio\programas tienda\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.5.0_09\bin\ssv.dll
O2 - BHO: (no name) - {7B1BB909-18C4-4151-AE68-682B68E63131} - c:\windows\system32\bebabeb.dll
O2 - BHO: (no name) - {EF2F0EBC-0B7D-4BCB-A71D-CD96A9C815D9} - c:\windows\system32\wdmgyhpj.dll
O2 - BHO: (no name) - {F16A8BCA-A4C3-4A68-A15F-04CBBD54B6A1} - c:\windows\system32\mtviksxn.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Archivos de programa\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [EPSON Stylus DX3800 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIA CE.EXE /P26 "EPSON Stylus DX3800 Series" /O6 "USB001" /M "Stylus DX3800"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Archivos de programa\Java\jre1.5.0_09\bin\jusched.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [L06EXLRD_1394244] "C:\Archivos de programa\Microsoft Student\Microsoft Student 2006 - DVD\EDICT.EXE" -m
O4 - HKCU\..\Run: [MSMSGS] "C:\Archivos de programa\Messenger\msmsgs.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICIO LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Servicio de red')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~3\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_09\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_09\bin\ssv.dll
O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/spanish/kavwebscan_unicode.cab
O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - http://downloads.ewido.net/ewidoOnlineScan.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O20 - Winlogon Notify: !SASWinLogon - C:\Archivos de programa\SUPERAntiSpyware\SASWINLO.dll
O20 - Winlogon Notify: adrfggxs - C:\WINDOWS\SYSTEM32\bebabeb.dll
O23 - Service: Ares Chatroom server (AresChatServer) - Ares Development Group - C:\Archivos de programa\Ares\chatServer.exe
O23 - Service: Kerio Personal Firewall 4 (KPF4) - Kerio Technologies - C:\Archivos de programa\Kerio\Personal Firewall 4\kpf4ss.exe

--
End of file - 4490 bytes

Hola romeo44,

Paso 1- Descarga estas herramientas pero no las ejecutes aun:

• SUPERAntiSpyware
• ComboFix.exe

Paso 2- Con todos los programas cerrados ejecuta el HijackThis y dale "FIX Cheked" a estas entradas:


O2 - BHO: (no name) - {7B1BB909-18C4-4151-AE68-682B68E63131} - c:\windows\system32\bebabeb.dll

O2 - BHO: (no name) - {EF2F0EBC-0B7D-4BCB-A71D-CD96A9C815D9} - c:\windows\system32\wdmgyhpj.dll

O2 - BHO: (no name) - {F16A8BCA-A4C3-4A68-A15F-04CBBD54B6A1} - c:\windows\system32\mtviksxn.dll

O20 - Winlogon Notify: adrfggxs - C:\WINDOWS\SYSTEM32\bebabeb.dll



Paso 3- Reinicia eh inicia en "Modo a prueba de fallos" (modo seguro)

Paso 4- Ejecuta estas herramientas, de a una:

• SUPERAntiSpyware

Paso 5- Descarga CCleaner y ejecútalo usando primero su opción de "Limpiador" para borrar cookies, temporales de Internet y todos los archivos que este te muestre como obsoletos, y luego usa su opción de "Registro" para limpiar todo el registro de Windows (haciendo copia de seguridad).

Reinicia y nos contas los resultados. junto con el reporte de CF.

Salu2

gracias ante todo, pero sigo los pasos y el combofix se se cierra cuando empieza a escanear. con lo que no acaba de funcionar y no me saca report, le paso el superantispyware me detecta el bebabeb.dll y en principio lo borra pero sigue ahí, el ccleaner tambien lo paso. y sigo igual.
además ahora me sale un aviso Windows security alert diciendo: your computer may be at risk , click here to instal antivirus software y me direcciona a traves de ventanas emergentes a Virusalarma.

paso otro report de hijackthis por si sirve de algo.
Nota:( he instalado, a pesar de como está el pc, un software bluetooth supongo que lo vereis)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 10:04, on 2007-10-04
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Archivos de programa\D-Tools\daemon.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIA CE.EXE
C:\Archivos de programa\Java\jre1.5.0_09\bin\jusched.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Archivos de programa\Microsoft Student\Microsoft Student 2006 - DVD\EDICT.EXE
C:\Archivos de programa\Messenger\msmsgs.exe
C:\Archivos de programa\Toshiba\Bluetooth Toshiba Stack\TosBtMng.exe
C:\Archivos de programa\Toshiba\Bluetooth Toshiba Stack\TosA2dp.exe
C:\Archivos de programa\Toshiba\Bluetooth Toshiba Stack\TosBtHid.exe
C:\Archivos de programa\Kerio\Personal Firewall 4\kpf4ss.exe
C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\svchost.exe
C:\Archivos de programa\Toshiba\Bluetooth Toshiba Stack\TosBtSrv.exe
C:\Archivos de programa\Kerio\Personal Firewall 4\kpf4gui.exe
C:\Archivos de programa\Toshiba\Bluetooth Toshiba Stack\TosBtHsp.exe
C:\Archivos de programa\Kerio\Personal Firewall 4\kpf4gui.exe
C:\Archivos de programa\Internet Explorer\IEXPLORE.EXE
C:\Documents and Settings\tienda\Escritorio\programas tienda\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.5.0_09\bin\ssv.dll
O2 - BHO: (no name) - {7B1BB909-18C4-4151-AE68-682B68E63131} - c:\windows\system32\bebabeb.dll
O2 - BHO: (no name) - {EF2F0EBC-0B7D-4BCB-A71D-CD96A9C815D9} - c:\windows\system32\wdmgyhpj.dll
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Archivos de programa\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [EPSON Stylus DX3800 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIA CE.EXE /P26 "EPSON Stylus DX3800 Series" /O6 "USB001" /M "Stylus DX3800"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Archivos de programa\Java\jre1.5.0_09\bin\jusched.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [L06EXLRD_1394244] "C:\Archivos de programa\Microsoft Student\Microsoft Student 2006 - DVD\EDICT.EXE" -m
O4 - HKCU\..\Run: [MSMSGS] "C:\Archivos de programa\Messenger\msmsgs.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICIO LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Servicio de red')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Bluetooth Manager.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~3\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_09\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_09\bin\ssv.dll
O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/spanish/kavwebscan_unicode.cab
O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - http://downloads.ewido.net/ewidoOnlineScan.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O20 - Winlogon Notify: !SASWinLogon - C:\Archivos de programa\SUPERAntiSpyware\SASWINLO.dll
O20 - Winlogon Notify: adrfggxs - C:\WINDOWS\SYSTEM32\bebabeb.dll
O23 - Service: Ares Chatroom server (AresChatServer) - Ares Development Group - C:\Archivos de programa\Ares\chatServer.exe
O23 - Service: Kerio Personal Firewall 4 (KPF4) - Kerio Technologies - C:\Archivos de programa\Kerio\Personal Firewall 4\kpf4ss.exe
O23 - Service: TOSHIBA Bluetooth Service - TOSHIBA CORPORATION - C:\Archivos de programa\Toshiba\Bluetooth Toshiba Stack\TosBtSrv.exe

--
End of file - 4884 bytes

Veo a lo lejos un format que se acerca....

salu2

he bajado otro link de comobofix y sí, ha funcionado, el reporte es este:

Lo único que lo he realizado en modo normal, igual debería hacberlo hecho en modo a prueba de fallos:


ComboFix 07-10-04.6 - tienda 2007-10-04 13:22:43.2 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.1.1252.1.3082.18.640 [GMT 2:00]
Se ejecuta desde: C:\Documents and Settings\tienda\Escritorio\ComboFix.exe
.

(((((((((((((((((((((((((((((((((((( Otras eliminaciones )))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\system32\drivers\roppqtbg.sys

.
(((((((((((((((((( Archivos creados desde 2007-09-04 - 2007-10-04 )))))))))))))))))))))))))))))))))
.

2007-10-03 09:23 7,552 --a--c--- C:\WINDOWS\system32\dllcache\sonypvu1.sys
2007-10-03 09:23 7,552 --a------ C:\WINDOWS\system32\drivers\SONYPVU1.SYS
2007-10-02 20:00 73,600 --a------ C:\WINDOWS\system32\drivers\Tosrfhid.sys
2007-10-02 20:00 64,896 --a------ C:\WINDOWS\system32\drivers\tosrfcom.sys
2007-10-02 20:00 53,504 --a------ C:\WINDOWS\system32\drivers\TosRfSnd.sys
2007-10-02 20:00 41,600 --a------ C:\WINDOWS\system32\drivers\tosporte.sys
2007-10-02 20:00 40,960 --a------ C:\WINDOWS\system32\drivers\tosrfusb.sys
2007-10-02 20:00 36,480 --a------ C:\WINDOWS\system32\drivers\tosrfbnp.sys
2007-10-02 20:00 18,612 --a------ C:\WINDOWS\system32\drivers\tosrfnds.sys
2007-10-02 20:00 113,792 --a------ C:\WINDOWS\system32\drivers\tosrfbd.sys
2007-10-02 20:00 <DIR> d----c--- C:\WINDOWS\system32\DRVSTORE
2007-10-02 20:00 <DIR> d-------- C:\Archivos de programa\Toshiba
2007-10-02 12:04 741,632 --a------ C:\WINDOWS\system32\mvpsrhzd.dat
2007-10-02 12:04 35,584 --a------ C:\WINDOWS\system32\axoujvre.dat
2007-10-02 12:04 34,560 --a------ C:\WINDOWS\system32\zcbsqqny.dat
2007-10-02 12:04 118,528 --a------ C:\WINDOWS\system32\ijfdagup.dat
2007-09-28 11:01 51,200 --a------ C:\WINDOWS\NirCmd.exe
2007-09-28 10:54 <DIR> d-------- C:\Archivos de programa\DelPSGuard
2007-09-28 09:40 <DIR> d-------- C:\Documents and Settings\tienda\Datos de programa\SUPERAntiSpyware.com
2007-09-28 09:40 <DIR> d-------- C:\Documents and Settings\All Users\Datos de programa\SUPERAntiSpyware.com
2007-09-28 09:40 <DIR> d-------- C:\Archivos de programa\SUPERAntiSpyware
2007-09-27 19:25 <DIR> d-------- C:\Documents and Settings\tienda\Datos de programa\Lavasoft
2007-09-27 19:25 <DIR> d-------- C:\Archivos de programa\Lavasoft
2007-09-26 12:57 <DIR> d-------- C:\Archivos de programa\CCleaner
2007-09-26 10:24 <DIR> d-------- C:\WINDOWS\ERUNT
2007-09-05 19:53 <DIR> d-------- C:\Documents and Settings\tienda\.housecall6.6
2007-09-05 13:10 104,071 --a------ C:\WINDOWS\system32\wdmgyhpj.dll

.
(((((((((((((((((((((((((((((((((((((( Reporte Find3M )))))))))))))))))))))))))))))))))))))))))))))))))) )
.
2007-10-03 12:14 81408 --a------ C:\WINDOWS\system32\bebabeb.dll
2007-10-01 19:01 --------- d-------- C:\Archivos de programa\D-Tools
2007-09-28 09:49 73728 --a------ C:\WINDOWS\system32\bjzgwsma.dll
2007-09-28 09:49 123904 --a------ C:\WINDOWS\system32\ewpmwzsg.dll
2007-09-28 09:39 --------- d-------- C:\Archivos de programa\Archivos comunes\Wise Installation Wizard
2007-09-07 17:33 --------- d-------- C:\Documents and Settings\tienda\Datos de programa\AdobeUM
2007-07-11 19:58 684567 --a------ C:\WINDOWS\system32\libeay32.dll
2007-07-11 19:58 147729 --a------ C:\WINDOWS\system32\libssl32.dll
2007-07-04 11:27 122368 --a------ C:\WINDOWS\system32\ewpmwzs.dll
C:\WINDOWS\system32\drivers\ofshvmop.sys
2005-09-02 10:58:42 8 --sh--r C:\WINDOWS\system32\B174AF8FBD.sys
2005-09-02 11:01:33 848 --sha-w C:\WINDOWS\system32\KGyGaAvL.sys
.

((((((((((((((((((((((((((((( snapshot_2007-09-28_110407,77 )))))))))))))))))))))))))))))))))))))))))
.
----a-w 135,168 2007-09-28 07:06:08 C:\WINDOWS\catchme.exe
----a-r 4,398 2007-10-02 18:00:22 C:\WINDOWS\Installer\{CEBB6BFB-D708-4F99-A633-BC2600E01EF6}\ARPPRODUCTICON.exe
----a-w 270,336 2006-12-05 08:49:42 C:\WINDOWS\system32\LCWizard.dll
----a-w 844,800 2007-07-22 16:39:27 C:\WINDOWS\system32\swreg.exe
----a-w 167,936 2006-12-08 09:05:04 C:\WINDOWS\system32\TBTMon.dll
----a-w 94,208 2006-12-04 13:58:40 C:\WINDOWS\system32\tbtmon98Language.dll
----a-w 139,264 2006-08-10 13:00:44 C:\WINDOWS\system32\TBTMonUI.dll
----a-w 61,440 2003-11-13 12:43:14 C:\WINDOWS\system32\TosAcpiAPI.dll
----a-w 53,248 2006-08-04 18:33:26 C:\WINDOWS\system32\TosAvAPI.dll
----a-w 90,112 2006-06-08 19:18:50 C:\WINDOWS\system32\TosAvctAPI.dll
----a-w 131,072 2007-01-18 09:37:26 C:\WINDOWS\system32\TosAvdtAPI.dll
----a-w 102,400 2006-04-19 11:49:34 C:\WINDOWS\system32\TosBdAPI.dll
----a-w 114,688 2006-12-05 11:05:06 C:\WINDOWS\system32\TosBtAcc.dll
----a-w 73,728 2006-05-10 09:13:40 C:\WINDOWS\system32\TosBtAerialAPI.dll
----a-w 167,936 2006-11-25 06:33:44 C:\WINDOWS\system32\TosBtAPI.dll
----a-w 106,496 2006-08-03 11:30:58 C:\WINDOWS\system32\TosBtCapApi.dll
----a-w 77,824 2006-05-10 09:05:56 C:\WINDOWS\system32\TosBtECCAPI.dll
----a-w 1,880,064 2006-12-05 11:12:20 C:\WINDOWS\system32\TosBtExt.dll
----a-w 94,208 2006-12-01 17:47:14 C:\WINDOWS\system32\TosBtHcrpAPI.dll
----a-w 53,248 2006-08-01 19:01:42 C:\WINDOWS\system32\TosBTHFPAPI.dll
----a-w 49,152 2006-08-01 19:03:50 C:\WINDOWS\system32\TosBtHSPAPI.dll
----a-w 151,552 2006-06-01 18:32:34 C:\WINDOWS\system32\TosBtObexApi.dll
----a-w 110,592 2006-11-21 17:37:16 C:\WINDOWS\system32\TosBtSDDB.dll
----a-w 569,344 2006-12-05 12:05:18 C:\WINDOWS\system32\tosBtShell.dll
----a-w 65,536 2005-07-22 19:30:20 C:\WINDOWS\system32\TosCommAPI.dll
----a-w 69,632 2006-08-10 11:09:32 C:\WINDOWS\system32\TosGnsAPI.dll
----a-w 65,536 2005-11-08 18:07:18 C:\WINDOWS\system32\TosHidAPI.dll
----a-w 65,536 2001-09-26 13:15:44 C:\WINDOWS\system32\TosLaneAPI.dll
----a-w 61,440 2007-01-17 07:53:40 C:\WINDOWS\system32\TosSndAPI.dll
----a-w 487,424 2007-01-18 15:08:04 C:\WINDOWS\system32\TosSndPlug.dll
----a-w 32,768 2007-10-04 07:52:47 C:\WINDOWS\system32\config\systemprofile\Configura ción local\Archivos temporales de Internet\Content.IE5\index.dat
----a-w 32,768 2007-10-04 07:52:47 C:\WINDOWS\system32\config\systemprofile\Configura ción local\Historial\History.IE5\index.dat
----a-w 32,768 2007-10-04 07:52:47 C:\WINDOWS\system32\config\systemprofile\Cookies\i ndex.dat
-c--a-w 3,712 2005-07-11 16:58:00 C:\WINDOWS\system32\DRVSTORE\toshidpt_26E3BE5992EC 9A00CFDEA8BE0C424743F133FEC7\Toshidpt.sys
-c--a-w 41,600 2006-10-10 17:33:00 C:\WINDOWS\system32\DRVSTORE\tosporte_E6A1E0CBCA68 0CD394A3D76A1621828745E553F2\tosporte.sys
-c--a-w 113,792 2006-11-30 17:55:00 C:\WINDOWS\system32\DRVSTORE\tosrfbd_6088A6CC7E86B 1E488D026B0924B7959BA946B2E\tosrfbd.sys
-c--a-w 36,480 2006-11-20 15:55:16 C:\WINDOWS\system32\DRVSTORE\tosrfbnp_DF76E77A8AA9 01AD8E1F2B9E5767152317C7638A\tosrfbnp.sys
-c--a-w 64,896 2005-08-01 14:45:00 C:\WINDOWS\system32\DRVSTORE\tosrfcom_3923E629AD95 2A5AB1B43A91FA8A667C1E31464F\tosrfcom.sys
-c--a-w 73,600 2006-10-05 14:07:46 C:\WINDOWS\system32\DRVSTORE\tosrfhid_A0A94D039F58 71848A0B5AA00277115DA86403C0\Tosrfhid.sys
-c--a-w 18,612 2005-01-06 11:42:00 C:\WINDOWS\system32\DRVSTORE\tosrfnds_2BDC22AA8712 C036D8C102AEC03CCEB1F2514A6D\tosrfnds.sys
-c--a-w 53,504 2006-11-22 14:09:22 C:\WINDOWS\system32\DRVSTORE\tosrfsnd_47D65FB4C441 709F41C109B7D7A1976B603C2A42\TosRfSnd.sys
-c--a-w 40,960 2006-10-27 22:29:10 C:\WINDOWS\system32\DRVSTORE\tosrfusb_9E12C237F656 C31DFCD05C2DEAA0FBB039BD86C5\tosrfusb.sys
.
----a-w 109,056 2007-07-19 22:47:22 C:\WINDOWS\catchme.exe
----a-w 279,552 2007-07-22 16:39:27 C:\WINDOWS\system32\swreg.exe
----a-w 32,768 2007-09-28 08:57:41 C:\WINDOWS\system32\config\systemprofile\Configura ción local\Archivos temporales de Internet\Content.IE5\index.dat
----a-w 32,768 2007-09-28 08:57:41 C:\WINDOWS\system32\config\systemprofile\Configura ción local\Historial\History.IE5\index.dat
----a-w 32,768 2007-09-28 08:57:41 C:\WINDOWS\system32\config\systemprofile\Cookies\i ndex.dat
.
((((((((((((((((((((((((((((((((( Cargando Puntos Reg ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Nota* entradas vacías & entradas legítimas predeterminadas no son mostradas

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{7B1BB909-18C4-4151-AE68-682B68E63131}]
2007-10-03 12:14 81408 --a------ c:\windows\system32\bebabeb.dll

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{EF2F0EBC-0B7D-4BCB-A71D-CD96A9C815D9}]
2007-09-05 13:10 104071 --a------ c:\windows\system32\wdmgyhpj.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run]
"NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.e xe" [2001-07-09 11:50]
"DAEMON Tools-1033"="C:\Archivos de programa\D-Tools\daemon.exe" [2004-03-12 22:43]
"EPSON Stylus DX3800 Series"="C:\WINDOWS\System32\spool\DRIVERS\W32X86\ 3\E_FATIACE.exe" [2005-02-08 06:00]
"SunJavaUpdateSched"="C:\Archivos de programa\Java\jre1.5.0_09\bin\jusched.exe" [2006-10-12 04:10]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\Run]
"ctfmon.exe"="C:\WINDOWS\System32\ctfmon.exe" [2002-09-24 14:00]
"L06EXLRD_1394244"="C:\Archivos de programa\Microsoft Student\Microsoft Student 2006 - DVD\EDICT.exe" [2005-06-04 18:03]
"MSMSGS"="C:\Archivos de programa\Messenger\msmsgs.exe" [2002-08-20 15:08]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Explorer\ShellExecuteHooks]
"{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA}"= C:\Archivos de programa\SUPERAntiSpyware\SASSEH.DLL [2006-12-20 13:55 77824]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\!SASWinLogon]
C:\Archivos de programa\SUPERAntiSpyware\SASWINLO.dll 2007-04-19 13:41 294912 C:\Archivos de programa\SUPERAntiSpyware\SASWINLO.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\adrfggxs]
bebabeb.dll 2007-10-03 12:14 81408 C:\WINDOWS\system32\bebabeb.dll

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Documents and Settings^All Users^Menú Inicio^Programas^Inicio^Update_0707_KB77012.exe]
path=C:\Documents and Settings\All Users\Menú Inicio\Programas\Inicio\Update_0707_KB77012.exe
backup=C:\WINDOWS\pss\Update_0707_KB77012.exeCommo n Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\avzkxt32drc]
C:\WINDOWS\system32\avzkxt32drc.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\hcenter]
"C:\Archivos de programa\Support.com\bin\tgcmd.exe" /server /startmonitor

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\L06EXLRD_438941]
"C:\Archivos de programa\Microsoft Student\Microsoft Student 2006 - DVD\EDICT.EXE" -m

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS]
"C:\Archivos de programa\Messenger\msmsgs.exe" /background

R0 d346bus;d346bus;C:\WINDOWS\System32\DRIVERS\d346bu s.sys
R0 d346prt;d346prt;C:\WINDOWS\System32\Drivers\d346pr t.sys
R0 ukbnhuyt;Microsoft RPC API Helper;C:\WINDOWS\System32\drivers\ofshvmop.sys
R1 fwdrv;Firewall Driver;C:\WINDOWS\System32\drivers\fwdrv.sys
R2 njjhmdex;PCI Bus p2ae8 Monitor;C:\WINDOWS\System32\svchost.exe -k netsvcs
R2 TOSHIBA Bluetooth Service;TOSHIBA Bluetooth Service;C:\Archivos de programa\Toshiba\Bluetooth Toshiba Stack\TosBtSrv.exe

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
njjhmdex

.
************************************************** ************************

catchme 0.3.1169 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2007-10-04 13:24:51
Windows 5.1.2600 Service Pack 1 NTFS

escaneando procesos ocultos ...

escaneando entradas ocultas de autostart ...

escaneando archivos ocultos ...

el escaneo se completo con exito
archivos ocultos: 0

************************************************** ************************
.
Tiempo completado: 2007-10-04 13:25:47
C:\ComboFix-quarantined-files.txt ... 2007-10-04 13:25
C:\ComboFix2.txt ... 2007-09-28 11:04
.
--- E O F ---
espero noticias

gracias a EL piedra y colaboradores del foro.

Hola, ComboFix detecto y elimino ya algunos Malwares, pero todavía le quedaron algunas cosas para sacar siguiendo estos pasos:

1.-Abrir el Notepad

• Clic en INICIO > EJECUTAR >
• Y ahí pones notepad.exe y ACEPTAR

2.- Ahora copia y pega estos archivos dentro del Notepad

3.- Graba este archivo con el nombre CFScript.txt

4.- Arrastra y soltar el archivo CFScript.txt dentro del archivo ComboFix.exe como lo muestra la animación de abajo. Esto activara ComboFix nuevamente.



Reinicia y nos contas los resultados. junto con un nuevo reporte de ComboFix.

Salu2

Perdón por la tardanza, pero no he tenido un momento hasta ahora.
Ahí va el reporte de combofix, siguiendo tus consejos.

Ahora me redirige al enlace que corresponde. Perfecto!!!
Ya no sale el icono amarillo de actualiza antivirus.

Mi pregunta es si está limpio o debo hacer algo más.
y que hace hijackthis cuando le das a fix en las entradas marcadas?
pues hago un scan y siguen saliendo las entradas de antes, con sus archivos bebabeb.dll y todo lo demás igual.


Gracias por todo.

Salu2.


ComboFix 07-10-04.6 - tienda 2007-10-06 11:42:50.3 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.1.1252.1.3082.18.640 [GMT 2:00]
Se ejecuta desde: C:\Documents and Settings\tienda\Escritorio\ComboFix.exe
Command switches used :: C:\Documents and Settings\tienda\Escritorio\CFScript.txt

FILE::
C:\WINDOWS\system32\wdmgyhpj.dll
.

(((((((((((((((((((((((((((((((((((( Otras eliminaciones )))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\system32\wdmgyhpj.dll . . . . Fallo al eliminar

.
(((((((((((((((((( Archivos creados desde 2007-09-06 - 2007-10-06 )))))))))))))))))))))))))))))))))
.

2007-10-03 09:23 7,552 --a--c--- C:\WINDOWS\system32\dllcache\sonypvu1.sys
2007-10-03 09:23 7,552 --a------ C:\WINDOWS\system32\drivers\SONYPVU1.SYS
2007-10-02 20:00 73,600 --a------ C:\WINDOWS\system32\drivers\Tosrfhid.sys
2007-10-02 20:00 64,896 --a------ C:\WINDOWS\system32\drivers\tosrfcom.sys
2007-10-02 20:00 53,504 --a------ C:\WINDOWS\system32\drivers\TosRfSnd.sys
2007-10-02 20:00 41,600 --a------ C:\WINDOWS\system32\drivers\tosporte.sys
2007-10-02 20:00 40,960 --a------ C:\WINDOWS\system32\drivers\tosrfusb.sys
2007-10-02 20:00 36,480 --a------ C:\WINDOWS\system32\drivers\tosrfbnp.sys
2007-10-02 20:00 18,612 --a------ C:\WINDOWS\system32\drivers\tosrfnds.sys
2007-10-02 20:00 113,792 --a------ C:\WINDOWS\system32\drivers\tosrfbd.sys
2007-10-02 20:00 <DIR> d----c--- C:\WINDOWS\system32\DRVSTORE
2007-10-02 20:00 <DIR> d-------- C:\Archivos de programa\Toshiba
2007-10-02 12:04 741,632 --a------ C:\WINDOWS\system32\mvpsrhzd.dat
2007-10-02 12:04 35,584 --a------ C:\WINDOWS\system32\axoujvre.dat
2007-10-02 12:04 34,560 --a------ C:\WINDOWS\system32\zcbsqqny.dat
2007-10-02 12:04 118,528 --a------ C:\WINDOWS\system32\ijfdagup.dat
2007-09-28 11:01 51,200 --a------ C:\WINDOWS\NirCmd.exe
2007-09-28 10:54 <DIR> d-------- C:\Archivos de programa\DelPSGuard
2007-09-28 09:40 <DIR> d-------- C:\Documents and Settings\tienda\Datos de programa\SUPERAntiSpyware.com
2007-09-28 09:40 <DIR> d-------- C:\Documents and Settings\All Users\Datos de programa\SUPERAntiSpyware.com
2007-09-28 09:40 <DIR> d-------- C:\Archivos de programa\SUPERAntiSpyware
2007-09-27 19:25 <DIR> d-------- C:\Documents and Settings\tienda\Datos de programa\Lavasoft
2007-09-27 19:25 <DIR> d-------- C:\Archivos de programa\Lavasoft
2007-09-26 12:57 <DIR> d-------- C:\Archivos de programa\CCleaner
2007-09-26 10:24 <DIR> d-------- C:\WINDOWS\ERUNT

.
(((((((((((((((((((((((((((((((((((((( Reporte Find3M )))))))))))))))))))))))))))))))))))))))))))))))))) )
.
2007-10-03 12:14 81408 --a------ C:\WINDOWS\system32\bebabeb.dll
2007-10-01 19:01 --------- d-------- C:\Archivos de programa\D-Tools
2007-09-28 09:49 73728 --a------ C:\WINDOWS\system32\bjzgwsma.dll
2007-09-28 09:49 123904 --a------ C:\WINDOWS\system32\ewpmwzsg.dll
2007-09-28 09:39 --------- d-------- C:\Archivos de programa\Archivos comunes\Wise Installation Wizard
2007-09-07 17:33 --------- d-------- C:\Documents and Settings\tienda\Datos de programa\AdobeUM
2007-09-05 13:10 103930 --a------ C:\WINDOWS\system32\wdmgyhpj.dll
2007-07-11 19:58 684567 --a------ C:\WINDOWS\system32\libeay32.dll
2007-07-11 19:58 147729 --a------ C:\WINDOWS\system32\libssl32.dll
C:\WINDOWS\system32\drivers\ofshvmop.sys
2005-09-02 10:58:42 8 --sh--r C:\WINDOWS\system32\B174AF8FBD.sys
2005-09-02 11:01:33 848 --sha-w C:\WINDOWS\system32\KGyGaAvL.sys
.

((((((((((((((((((((((((((((( snapshot_2007-09-28_110407,77 )))))))))))))))))))))))))))))))))))))))))
.
----a-w 135,168 2007-09-28 07:06:08 C:\WINDOWS\catchme.exe
----a-r 4,398 2007-10-02 18:00:22 C:\WINDOWS\Installer\{CEBB6BFB-D708-4F99-A633-BC2600E01EF6}\ARPPRODUCTICON.exe
----a-w 270,336 2006-12-05 08:49:42 C:\WINDOWS\system32\LCWizard.dll
----a-w 844,800 2007-07-22 16:39:27 C:\WINDOWS\system32\swreg.exe
----a-w 167,936 2006-12-08 09:05:04 C:\WINDOWS\system32\TBTMon.dll
----a-w 94,208 2006-12-04 13:58:40 C:\WINDOWS\system32\tbtmon98Language.dll
----a-w 139,264 2006-08-10 13:00:44 C:\WINDOWS\system32\TBTMonUI.dll
----a-w 61,440 2003-11-13 12:43:14 C:\WINDOWS\system32\TosAcpiAPI.dll
----a-w 53,248 2006-08-04 18:33:26 C:\WINDOWS\system32\TosAvAPI.dll
----a-w 90,112 2006-06-08 19:18:50 C:\WINDOWS\system32\TosAvctAPI.dll
----a-w 131,072 2007-01-18 09:37:26 C:\WINDOWS\system32\TosAvdtAPI.dll
----a-w 102,400 2006-04-19 11:49:34 C:\WINDOWS\system32\TosBdAPI.dll
----a-w 114,688 2006-12-05 11:05:06 C:\WINDOWS\system32\TosBtAcc.dll
----a-w 73,728 2006-05-10 09:13:40 C:\WINDOWS\system32\TosBtAerialAPI.dll
----a-w 167,936 2006-11-25 06:33:44 C:\WINDOWS\system32\TosBtAPI.dll
----a-w 106,496 2006-08-03 11:30:58 C:\WINDOWS\system32\TosBtCapApi.dll
----a-w 77,824 2006-05-10 09:05:56 C:\WINDOWS\system32\TosBtECCAPI.dll
----a-w 1,880,064 2006-12-05 11:12:20 C:\WINDOWS\system32\TosBtExt.dll
----a-w 94,208 2006-12-01 17:47:14 C:\WINDOWS\system32\TosBtHcrpAPI.dll
----a-w 53,248 2006-08-01 19:01:42 C:\WINDOWS\system32\TosBTHFPAPI.dll
----a-w 49,152 2006-08-01 19:03:50 C:\WINDOWS\system32\TosBtHSPAPI.dll
----a-w 151,552 2006-06-01 18:32:34 C:\WINDOWS\system32\TosBtObexApi.dll
----a-w 110,592 2006-11-21 17:37:16 C:\WINDOWS\system32\TosBtSDDB.dll
----a-w 569,344 2006-12-05 12:05:18 C:\WINDOWS\system32\tosBtShell.dll
----a-w 65,536 2005-07-22 19:30:20 C:\WINDOWS\system32\TosCommAPI.dll
----a-w 69,632 2006-08-10 11:09:32 C:\WINDOWS\system32\TosGnsAPI.dll
----a-w 65,536 2005-11-08 18:07:18 C:\WINDOWS\system32\TosHidAPI.dll
----a-w 65,536 2001-09-26 13:15:44 C:\WINDOWS\system32\TosLaneAPI.dll
----a-w 61,440 2007-01-17 07:53:40 C:\WINDOWS\system32\TosSndAPI.dll
----a-w 487,424 2007-01-18 15:08:04 C:\WINDOWS\system32\TosSndPlug.dll
----a-w 32,768 2007-10-06 09:26:35 C:\WINDOWS\system32\config\systemprofile\Configura ción local\Archivos temporales de Internet\Content.IE5\index.dat
----a-w 32,768 2007-10-06 09:26:35 C:\WINDOWS\system32\config\systemprofile\Configura ción local\Historial\History.IE5\index.dat
----a-w 32,768 2007-10-06 09:26:35 C:\WINDOWS\system32\config\systemprofile\Cookies\i ndex.dat
-c--a-w 3,712 2005-07-11 16:58:00 C:\WINDOWS\system32\DRVSTORE\toshidpt_26E3BE5992EC 9A00CFDEA8BE0C424743F133FEC7\Toshidpt.sys
-c--a-w 41,600 2006-10-10 17:33:00 C:\WINDOWS\system32\DRVSTORE\tosporte_E6A1E0CBCA68 0CD394A3D76A1621828745E553F2\tosporte.sys
-c--a-w 113,792 2006-11-30 17:55:00 C:\WINDOWS\system32\DRVSTORE\tosrfbd_6088A6CC7E86B 1E488D026B0924B7959BA946B2E\tosrfbd.sys
-c--a-w 36,480 2006-11-20 15:55:16 C:\WINDOWS\system32\DRVSTORE\tosrfbnp_DF76E77A8AA9 01AD8E1F2B9E5767152317C7638A\tosrfbnp.sys
-c--a-w 64,896 2005-08-01 14:45:00 C:\WINDOWS\system32\DRVSTORE\tosrfcom_3923E629AD95 2A5AB1B43A91FA8A667C1E31464F\tosrfcom.sys
-c--a-w 73,600 2006-10-05 14:07:46 C:\WINDOWS\system32\DRVSTORE\tosrfhid_A0A94D039F58 71848A0B5AA00277115DA86403C0\Tosrfhid.sys
-c--a-w 18,612 2005-01-06 11:42:00 C:\WINDOWS\system32\DRVSTORE\tosrfnds_2BDC22AA8712 C036D8C102AEC03CCEB1F2514A6D\tosrfnds.sys
-c--a-w 53,504 2006-11-22 14:09:22 C:\WINDOWS\system32\DRVSTORE\tosrfsnd_47D65FB4C441 709F41C109B7D7A1976B603C2A42\TosRfSnd.sys
-c--a-w 40,960 2006-10-27 22:29:10 C:\WINDOWS\system32\DRVSTORE\tosrfusb_9E12C237F656 C31DFCD05C2DEAA0FBB039BD86C5\tosrfusb.sys
.
----a-w 109,056 2007-07-19 22:47:22 C:\WINDOWS\catchme.exe
----a-w 279,552 2007-07-22 16:39:27 C:\WINDOWS\system32\swreg.exe
----a-w 32,768 2007-09-28 08:57:41 C:\WINDOWS\system32\config\systemprofile\Configura ción local\Archivos temporales de Internet\Content.IE5\index.dat
----a-w 32,768 2007-09-28 08:57:41 C:\WINDOWS\system32\config\systemprofile\Configura ción local\Historial\History.IE5\index.dat
----a-w 32,768 2007-09-28 08:57:41 C:\WINDOWS\system32\config\systemprofile\Cookies\i ndex.dat
.
((((((((((((((((((((((((((((((((( Cargando Puntos Reg ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Nota* entradas vacías & entradas legítimas predeterminadas no son mostradas

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{7B1BB909-18C4-4151-AE68-682B68E63131}]
2007-10-03 12:14 81408 --a------ c:\windows\system32\bebabeb.dll

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{EF2F0EBC-0B7D-4BCB-A71D-CD96A9C815D9}]
2007-09-05 13:10 103930 --a------ c:\windows\system32\wdmgyhpj.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run]
"@"="" []
"NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.e xe" [2001-07-09 11:50]
"DAEMON Tools-1033"="C:\Archivos de programa\D-Tools\daemon.exe" [2004-03-12 22:43]
"EPSON Stylus DX3800 Series"="C:\WINDOWS\System32\spool\DRIVERS\W32X86\ 3\E_FATIACE.exe" [2005-02-08 06:00]
"SunJavaUpdateSched"="C:\Archivos de programa\Java\jre1.5.0_09\bin\jusched.exe" [2006-10-12 04:10]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\Run]
"ctfmon.exe"="C:\WINDOWS\System32\ctfmon.exe" [2002-09-24 14:00]
"L06EXLRD_1394244"="C:\Archivos de programa\Microsoft Student\Microsoft Student 2006 - DVD\EDICT.exe" [2005-06-04 18:03]
"MSMSGS"="C:\Archivos de programa\Messenger\msmsgs.exe" [2002-08-20 15:08]

[HKEY_USERS\.default\software\microsoft\windows\cur rentversion\run]
"<NO NAME>"=

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Explorer\ShellExecuteHooks]
"{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA}"= C:\Archivos de programa\SUPERAntiSpyware\SASSEH.DLL [2006-12-20 13:55 77824]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\!SASWinLogon]
C:\Archivos de programa\SUPERAntiSpyware\SASWINLO.dll 2007-04-19 13:41 294912 C:\Archivos de programa\SUPERAntiSpyware\SASWINLO.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\adrfggxs]
bebabeb.dll 2007-10-03 12:14 81408 C:\WINDOWS\system32\bebabeb.dll

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Documents and Settings^All Users^Menú Inicio^Programas^Inicio^Update_0707_KB77012.exe]
path=C:\Documents and Settings\All Users\Menú Inicio\Programas\Inicio\Update_0707_KB77012.exe
backup=C:\WINDOWS\pss\Update_0707_KB77012.exeCommo n Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\avzkxt32drc]
C:\WINDOWS\system32\avzkxt32drc.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\hcenter]
"C:\Archivos de programa\Support.com\bin\tgcmd.exe" /server /startmonitor

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\L06EXLRD_438941]
"C:\Archivos de programa\Microsoft Student\Microsoft Student 2006 - DVD\EDICT.EXE" -m

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS]
"C:\Archivos de programa\Messenger\msmsgs.exe" /background

R0 d346bus;d346bus;C:\WINDOWS\System32\DRIVERS\d346bu s.sys
R0 d346prt;d346prt;C:\WINDOWS\System32\Drivers\d346pr t.sys
R0 ukbnhuyt;Microsoft RPC API Helper;C:\WINDOWS\System32\drivers\ofshvmop.sys
R1 fwdrv;Firewall Driver;C:\WINDOWS\System32\drivers\fwdrv.sys
R2 njjhmdex;PCI Bus p2ae8 Monitor;C:\WINDOWS\System32\svchost.exe -k netsvcs
R2 TOSHIBA Bluetooth Service;TOSHIBA Bluetooth Service;C:\Archivos de programa\Toshiba\Bluetooth Toshiba Stack\TosBtSrv.exe

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
njjhmdex

.
************************************************** ************************

catchme 0.3.1169 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2007-10-06 11:47:31
Windows 5.1.2600 Service Pack 1 NTFS

escaneando procesos ocultos ...

escaneando entradas ocultas de autostart ...


escaneando archivos ocultos ...

el escaneo se completo con exito
archivos ocultos: 0

************************************************** ************************
.
Tiempo completado: 2007-10-06 11:48:46 - machine was rebooted
C:\ComboFix-quarantined-files.txt ... 2007-10-06 11:48
C:\ComboFix2.txt ... 2007-10-04 13:25
C:\ComboFix3.txt ... 2007-09-28 11:04
.
--- E O F ---

Hola hohenheim, vamos a probar con los siguiente ya que si bien el problema parece estar solucionado todavia se esconden estos malwares en tu PC.

Primero con HijackThis dale FIX a las entradas que tengas de arriba y eso es para eliminarlas.

Descarga The Avenger y lo guardas en el escritorio.

• Dale doble click a avenger.exe del escritorio para ejecutarlo.
• Debajo "Script file to execute" elige "Input Script Manually".
• Haz clic en el icono de la lupa. Se abrirá una nueva ventana con el nombre "View/edit script".
• Copia el texto que se encuentra en el cuadrado más abajo en la ventana que se abrió.

• Pulsa sobre "Done" y haz clic sobre la luz verde del semáforo.
• Haz clic en "Yes" o "Sí" cuando te pregunte las dos veces.
• El ordenador se reiniciará, se abrirá y cerrará una ventanita de ejecución del comando. Esto es normal.

Después de reiniciar, se creará un archivo log.txt ubicado en C:\avenger.txt , ese tal reporte lo pegas aquí

Reinicia y nos contas los resultados.

Salu2

Parece que se resisten.



Logfile of The Avenger version 1, by Swandog46
Running from registry key:
\Registry\Machine\System\CurrentControlSet\Service s\qxngxajy

*******************

Script file located at: \??\C:\WINDOWS\System32\jnpydbdw.txt
Script file opened successfully.

Script file read successfully

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:



Could not open file C:\WINDOWS\system32\wdmgyhpj.dll for deletion
Deletion of file C:\WINDOWS\system32\wdmgyhpj.dll failed!

Could not process line:
C:\WINDOWS\system32\wdmgyhpj.dll
Status: 0xc0000022



Could not open file C:\WINDOWS\system32\bebabeb.dll for deletion
Deletion of file C:\WINDOWS\system32\bebabeb.dll failed!

Could not process line:
C:\WINDOWS\system32\bebabeb.dll
Status: 0xc0000022

File C:\WINDOWS\system32\bjzgwsma.dll deleted successfully.
File C:\WINDOWS\system32\ewpmwzsg.dll deleted successfully.

Completed script processing.

*******************

Finished! Terminate.