No me funciona bien google (Solucionado)

**Reichel9** · 27/12/07, 17:34:43

Hola muy buenas
Cada vez que voy a una pagina que he buscado en google me manda a este tipo de paginas "http://skiranking.com/hola.cfm?pt=2&rpt=1&kt=1" y nunca me lleva a la pagina solicitada
Os dejo esto para ver si me podeis ayudar

------
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 23:28:40, on 27/12/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Archivos de programa\hpq\HP Wireless Assistant\HP Wireless Assistant.exe
C:\Archivos de programa\Analog Devices\Core\smax4pnp.exe
C:\Archivos de programa\QuickTime\qttask.exe
C:\Archivos de programa\iTunes\iTunesHelper.exe
C:\Archivos de programa\Archivos comunes\ArcSoft\Connection Service\Bin\ACDaemon.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Archivos de programa\WIDCOMM\Software Bluetooth\BTTray.exe
C:\Archivos de programa\WinZip\WZQKPICK.EXE
C:\ARCHIV~1\Magentic\bin\MgApp.exe
C:\ARCHIV~1\WIDCOMM\SOFTWA~1\BTSTAC~1.EXE
C:\Archivos de programa\WIDCOMM\Software Bluetooth\bin\btwdins.exe
C:\Archivos de programa\iPod\bin\iPodService.exe
C:\WINDOWS\system32\wscntfy.exe
C:\ARCHIV~1\hpq\Shared\HPQTOA~1.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Archivos de programa\WinRAR\WinRAR.exe
C:\Archivos de programa\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.es/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: (no name) - {065015AB-2420-4D01-82E4-077059FB56C0} - C:\WINDOWS\system32\cryptsv.dll
O2 - BHO: Aplicación auxiliar de vínculos de Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Archivos comunes\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM\..\Run: [hpWirelessAssistant] C:\Archivos de programa\hpq\HP Wireless Assistant\HP Wireless Assistant.exe
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Archivos de programa\Analog Devices\Core\smax4pnp.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Archivos de programa\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Archivos de programa\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [ArcSoft Connection Service] C:\Archivos de programa\Archivos comunes\ArcSoft\Connection Service\Bin\ACDaemon.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [ares] "C:\Archivos de programa\Ares\Ares.exe" -h
O4 - HKCU\..\Run: [Magentic] C:\ARCHIV~1\Magentic\bin\Magentic.exe /c
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICIO LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Servicio de red')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: BTTray.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Archivos de programa\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Enviar a &Bluetooth - C:\Archivos de programa\WIDCOMM\Software Bluetooth\btsendto_ie_ctx.htm
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Archivos de programa\WIDCOMM\Software Bluetooth\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Archivos de programa\WIDCOMM\Software Bluetooth\btsendto_ie.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O23 - Service: Ares Chatroom server (AresChatServer) - Ares Development Group - C:\Archivos de programa\Ares\chatServer.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Archivos de programa\WIDCOMM\Software Bluetooth\bin\btwdins.exe
O23 - Service: iPod Service - Apple Computer, Inc. - C:\Archivos de programa\iPod\bin\iPodService.exe
O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Archivos de programa\Archivos comunes\Macromedia Shared\Service\Macromedia Licensing.exe

--
End of file - 5080 bytes

**ElPiedra** · 27/12/07, 20:30:59

Hola Reichel9, te doy la bienvenida al Foro de InfoSpyware.

- Descarga la herramienta ComboFix.exe y guárdala en el escritorio.

Desactiva temporalmente el Antivirus y/o Antispyware.
Cierra todas las ventanas abiertas.
Hacele doble clic al archivo combofix.exe y seguí las instrucciones.
Cuando termine, generara un registro en C:\ComboFix.txt.
- *Nota* Mientras CF este trabajando no mover el mouse ya que pararía su proceso.
- *Nota* ComboFix puede reiniciar automáticamente el PC para completar el proceso de eliminación.
Pega el reporte de ComboFix.txt en este mismo mensaje.

Reinicia y nos dejas los reportes.

Salu2

**Reichel9** · 30/12/07, 13:41:56

Hola ElPiedra!!!

Lo primero muchas gracias por la ayuda!!Ha funcionado!!! he estado probando google y me muy bien, ya no me lo redirecciona (lo he probado 4 veces y las cuatro ha funcionado)
He hecho lo que me has dicho, te dejo el reporte de combofix.txt, y despues el HijackThis
*************************
ComboFix 07-12-28.1 - ALFONSO 2007-12-30 19:27:41.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.3082.18.698 [GMT 1:00]
Se ejecuta desde: C:\Documents and Settings\ALFONSO\Escritorio\ComboFix.exe
* Creado un nuevo punto de restauración
.

(((((((((((((((((( Archivos creados desde 2007-11-28 - 2007-12-30 )))))))))))))))))))))))))))))))))
.

2007-12-27 23:28 . 2007-12-27 23:28 <DIR> d-------- C:\Archivos de programa\Trend Micro
2007-12-20 00:35 . 2007-12-20 00:35 <DIR> d-------- C:\Archivos de programa\Alwil Software
2007-12-18 19:13 . 2007-12-18 19:13 <DIR> d-------- C:\Archivos de programa\Ares
2007-12-17 18:34 . 19,456 C:\WINDOWS\system32\drivers\sxiotweb.dat
2007-12-17 18:32 . 2004-08-19 14:41 84,992 --a------ C:\WINDOWS\system32\cryptsv.dll
2007-12-14 13:19 . 2007-12-14 13:19 0 --ah----- C:\WINDOWS\SwSys2.bmp
2007-12-14 13:19 . 2007-12-14 13:19 0 --ah----- C:\WINDOWS\SwSys1.bmp
2007-12-14 13:17 . 2007-12-14 23:44 <DIR> d-------- C:\Documents and Settings\ALFONSO\Datos de programa\ArcSoft
2007-12-14 13:17 . 2007-12-14 13:18 <DIR> d-------- C:\Archivos de programa\Archivos comunes\ArcSoft
2007-12-14 13:17 . 1995-08-01 04:44 212,480 --a------ C:\WINDOWS\PCDLIB32.DLL
2007-12-14 13:17 . 2007-08-27 16:25 133,632 --a------ C:\WINDOWS\system32\PhotoImpression Slideshow.scr
2007-12-14 13:17 . 2006-11-10 15:05 18,688 --a------ C:\WINDOWS\system32\drivers\afc.sys
2007-12-14 13:16 . 2007-12-14 13:40 <DIR> d-------- C:\WINDOWS\system32\PhotoImpression Slideshow
2007-12-14 13:16 . 2007-12-14 13:16 <DIR> d-------- C:\Archivos de programa\ArcSoft
2007-12-14 13:16 . 2005-04-27 16:36 245,408 --a------ C:\WINDOWS\system32\unicows.dll
2007-12-11 17:40 . 2007-12-11 17:40 <DIR> d-------- C:\Documents and Settings\ALFONSO\Datos de programa\Ahead
2007-12-10 18:15 . 2007-12-10 18:15 <DIR> d-------- C:\Documents and Settings\All Users\Datos de programa\Macrovision
2007-12-10 18:15 . 2007-12-10 18:15 <DIR> d-------- C:\Archivos de programa\Archivos comunes\Macromedia Shared
2007-12-10 18:14 . 2007-12-10 18:14 <DIR> d-------- C:\Archivos de programa\Macromedia
2007-11-28 18:32 . 2007-11-28 18:32 <DIR> d-------- C:\WINDOWS\system32\LogFiles
2007-11-28 07:41 . 2007-11-28 07:42 <DIR> d-------- C:\Documents and Settings\ALFONSO\Contacts
2007-11-02 20:25 . 2007-11-02 20:26 <DIR> d-------- C:\WINDOWS\SoftR

.
(((((((((((((((((((((((((((((((((((((( Reporte Find3M )))))))))))))))))))))))))))))))))))))))))))))))))))
.
2007-12-29 17:59 18,480 ----a-w C:\Documents and Settings\ALFONSO\Datos de programa\GDIPFONTCACHEV1.DAT
2007-12-18 15:42 --------- d-----w C:\Archivos de programa\Archivos comunes\Symantec Shared
2007-12-18 15:35 --------- d-----w C:\Documents and Settings\All Users\Datos de programa\Symantec
2007-12-14 12:16 --------- d--h--w C:\Archivos de programa\InstallShield Installation Information
2007-12-13 23:50 --------- d-----w C:\Archivos de programa\Archivos comunes\Adobe
.

((((((((((((((((((((((((((((((((( Cargando Puntos Reg ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Nota* entradas vac¡as & entradas leg¡timas predeterminadas no son mostradas

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{065015AB-2420-4D01-82E4-077059FB56C0}]
2004-08-19 14:41 84992 --a------ C:\WINDOWS\system32\cryptsv.dll

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-19 14:42]
"ares"="C:\Archivos de programa\Ares\Ares.exe" [2007-07-16 22:54]
"Magentic"="C:\ARCHIV~1\Magentic\bin\Magentic.exe" [2007-09-03 14:25]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"hpWirelessAssistant"="C:\Archivos de programa\hpq\HP Wireless Assistant\HP Wireless Assistant.exe" [2006-02-14 09:49]
"SoundMAXPnP"="C:\Archivos de programa\Analog Devices\Core\smax4pnp.exe" [2007-01-05 20:36]
"Adobe Reader Speed Launcher"="C:\Archivos de programa\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2007-05-11 02:06]
"NeroCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 10:50]
"QuickTime Task"="C:\Archivos de programa\QuickTime\qttask.exe" [2006-10-25 17:58]
"iTunesHelper"="C:\Archivos de programa\iTunes\iTunesHelper.exe" [2006-10-30 08:36]
"ArcSoft Connection Service"="C:\Archivos de programa\Archivos comunes\ArcSoft\Connection Service\Bin\ACDaemon.exe" [2007-07-17 13:05]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-19 14:42]

R0 djvbgqbe;djvbgqbe;C:\WINDOWS\system32\drivers\sxiotweb.dat []
R3 GTIPCI21;GTIPCI21;C:\WINDOWS\system32\DRIVERS\gtipci21.sys [2006-04-06 14:49]

.
Contenido de carpeta 'Tareas Programadas'
"2007-12-18 12:58:02 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job"
- C:\Archivos de programa\Apple Software Update\SoftwareUpdate.exe
.
**************************************************************************

catchme 0.3.1333 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2007-12-30 19:32:31
Windows 5.1.2600 Service Pack 2 NTFS

escaneando procesos ocultos ...

escaneando entradas ocultas de autostart ...

escaneando archivos ocultos ...

el escaneo se completo con exito
archivos ocultos: 0

**************************************************************************
.
Tiempo completado: 2007-12-30 19:33:50 - machine was rebooted

***************************
*****************************
***************************
HijackThis
****************
*******************
**********************
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:38:39, on 30/12/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Archivos de programa\WIDCOMM\Software Bluetooth\bin\btwdins.exe
C:\Archivos de programa\hpq\HP Wireless Assistant\HP Wireless Assistant.exe
C:\Archivos de programa\Analog Devices\Core\smax4pnp.exe
C:\Archivos de programa\QuickTime\qttask.exe
C:\Archivos de programa\iTunes\iTunesHelper.exe
C:\Archivos de programa\Archivos comunes\ArcSoft\Connection Service\Bin\ACDaemon.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Archivos de programa\Ares\Ares.exe
C:\Archivos de programa\WIDCOMM\Software Bluetooth\BTTray.exe
C:\Archivos de programa\WinZip\WZQKPICK.EXE
C:\ARCHIV~1\Magentic\bin\MgApp.exe
C:\Archivos de programa\iPod\bin\iPodService.exe
C:\WINDOWS\system32\wscntfy.exe
C:\ARCHIV~1\WIDCOMM\SOFTWA~1\BTSTAC~1.EXE
C:\ARCHIV~1\hpq\Shared\HPQTOA~1.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Archivos de programa\Internet Explorer\iexplore.exe
C:\Archivos de programa\Archivos comunes\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\Archivos de programa\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.es/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: (no name) - {065015AB-2420-4D01-82E4-077059FB56C0} - C:\WINDOWS\system32\cryptsv.dll
O2 - BHO: Aplicación auxiliar de vínculos de Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Archivos comunes\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM\..\Run: [hpWirelessAssistant] C:\Archivos de programa\hpq\HP Wireless Assistant\HP Wireless Assistant.exe
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Archivos de programa\Analog Devices\Core\smax4pnp.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Archivos de programa\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Archivos de programa\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [ArcSoft Connection Service] C:\Archivos de programa\Archivos comunes\ArcSoft\Connection Service\Bin\ACDaemon.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [ares] "C:\Archivos de programa\Ares\Ares.exe" -h
O4 - HKCU\..\Run: [Magentic] C:\ARCHIV~1\Magentic\bin\Magentic.exe /c
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICIO LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Servicio de red')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: BTTray.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Archivos de programa\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Enviar a &Bluetooth - C:\Archivos de programa\WIDCOMM\Software Bluetooth\btsendto_ie_ctx.htm
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Archivos de programa\WIDCOMM\Software Bluetooth\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Archivos de programa\WIDCOMM\Software Bluetooth\btsendto_ie.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O23 - Service: Ares Chatroom server (AresChatServer) - Ares Development Group - C:\Archivos de programa\Ares\chatServer.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Archivos de programa\WIDCOMM\Software Bluetooth\bin\btwdins.exe
O23 - Service: iPod Service - Apple Computer, Inc. - C:\Archivos de programa\iPod\bin\iPodService.exe
O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Archivos de programa\Archivos comunes\Macromedia Shared\Service\Macromedia Licensing.exe

--
End of file - 5147 bytes

**ElPiedra** · 30/12/07, 22:54:22

Hola, ComboFix detecto y elimino ya algunos Malwares, pero todavía le quedaron algunas cosas para sacar siguiendo estos pasos:

1.-Abrir el Notepad (Bloc de Notas)

Ir a INICIO > EJECUTAR >
Y ahí pones notepad.exe y ACEPTAR

2.-Ahora copia y pega estos archivos dentro del Notepad

Código:

KillAll::

File::
C:\WINDOWS\system32\drivers\sxiotweb.dat
C:\WINDOWS\system32\cryptsv.dll

Driver::
sxiotweb

Registry::
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{065015AB-2420-4D01-82E4-077059FB56C0}]

3.- Graba este archivo con el nombre CFScript.txt y déjalo en tu escritorio.

4.- Arrastrar y soltar el archivo CFScript.txt dentro del archivo ComboFix.exe como lo muestra la animación de abajo. Esto activara ComboFix nuevamente.

Reinicia tu PC y nos dejas un el nuevo reporte de ComboFix, comentándonos como esta funcionado todo actualmente?

Salu2

**Reichel9** · 31/12/07, 09:41:43

hola ElPiedra,
He hecho todo lo que me has dicho, desde que hice lo anterior no me ha dado problemas o yo no ha notado nada raro. Espero que asi se limpie lo que falta.
Otra vez muchas gracias y que tengas buena entrada de año

.
Chao
----------------------------------------------------------------
----------------------------------------------------------------
ComboFix 07-12-28.1 - ALFONSO 2007-12-31 15:21:11.2 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.3082.18.694 [GMT 1:00]
Se ejecuta desde: C:\Documents and Settings\ALFONSO\Escritorio\ComboFix.exe
Command switches used :: C:\Documents and Settings\ALFONSO\Escritorio\CFScript.txt
* Creado un nuevo punto de restauración

FILE
C:\WINDOWS\system32\cryptsv.dll
C:\WINDOWS\system32\drivers\sxiotweb.dat
.

(((((((((((((((((((((((((((((((((((( Otras eliminaciones )))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\system32\cryptsv.dll
C:\WINDOWS\system32\drivers\sxiotweb.dat

.
(((((((((((((((((( Archivos creados desde 2007-11-28 - 2007-12-31 )))))))))))))))))))))))))))))))))
.

2007-12-31 02:02 . 2007-12-31 02:02 54,156 --ah----- C:\WINDOWS\QTFont.qfn
2007-12-31 02:02 . 2007-12-31 02:02 1,409 --a------ C:\WINDOWS\QTFont.for
2007-12-30 20:01 . 2007-12-30 20:01 <DIR> d-------- C:\Documents and Settings\All Users\Datos de programa\ESET
2007-12-30 19:33 . 2007-12-31 15:24 <DIR> d-------- C:\WINDOWS\system32\config\systemprofile\Configuración local
2007-12-30 19:33 . 2007-12-31 15:24 <DIR> d-------- C:\Documents and Settings\NetworkService\Configuración local
2007-12-30 19:33 . 2007-12-31 15:24 <DIR> d-------- C:\Documents and Settings\LocalService\Configuración local
2007-12-30 19:33 . 2007-12-31 15:24 <DIR> d-------- C:\Documents and Settings\Default User\Configuración local
2007-12-30 19:33 . 2007-12-31 15:24 <DIR> d-------- C:\Documents and Settings\ALFONSO\Configuración local
2007-12-27 23:28 . 2007-12-27 23:28 <DIR> d-------- C:\Archivos de programa\Trend Micro
2007-12-20 00:35 . 2007-12-20 00:35 <DIR> d-------- C:\Archivos de programa\Alwil Software
2007-12-18 19:13 . 2007-12-18 19:13 <DIR> d-------- C:\Archivos de programa\Ares
2007-12-14 13:19 . 2007-12-14 13:19 0 --ah----- C:\WINDOWS\SwSys2.bmp
2007-12-14 13:19 . 2007-12-14 13:19 0 --ah----- C:\WINDOWS\SwSys1.bmp
2007-12-14 13:17 . 2007-12-14 23:44 <DIR> d-------- C:\Documents and Settings\ALFONSO\Datos de programa\ArcSoft
2007-12-14 13:17 . 2007-12-14 13:18 <DIR> d-------- C:\Archivos de programa\Archivos comunes\ArcSoft
2007-12-14 13:17 . 1995-08-01 04:44 212,480 --a------ C:\WINDOWS\PCDLIB32.DLL
2007-12-14 13:17 . 2007-08-27 16:25 133,632 --a------ C:\WINDOWS\system32\PhotoImpression Slideshow.scr
2007-12-14 13:17 . 2006-11-10 15:05 18,688 --a------ C:\WINDOWS\system32\drivers\afc.sys
2007-12-14 13:16 . 2007-12-14 13:40 <DIR> d-------- C:\WINDOWS\system32\PhotoImpression Slideshow
2007-12-14 13:16 . 2007-12-14 13:16 <DIR> d-------- C:\Archivos de programa\ArcSoft
2007-12-14 13:16 . 2005-04-27 16:36 245,408 --a------ C:\WINDOWS\system32\unicows.dll
2007-12-11 17:40 . 2007-12-11 17:40 <DIR> d-------- C:\Documents and Settings\ALFONSO\Datos de programa\Ahead
2007-12-10 18:15 . 2007-12-10 18:15 <DIR> d-------- C:\Documents and Settings\All Users\Datos de programa\Macrovision
2007-12-10 18:15 . 2007-12-10 18:15 <DIR> d-------- C:\Archivos de programa\Archivos comunes\Macromedia Shared
2007-12-10 18:14 . 2007-12-10 18:14 <DIR> d-------- C:\Archivos de programa\Macromedia
2007-11-28 18:32 . 2007-11-28 18:32 <DIR> d-------- C:\WINDOWS\system32\LogFiles
2007-11-28 07:41 . 2007-11-28 07:42 <DIR> d-------- C:\Documents and Settings\ALFONSO\Contacts
2007-11-14 15:06 . 2007-11-14 15:06 30,728 --a------ C:\WINDOWS\system32\drivers\epfwtdir.sys
2007-11-14 15:04 . 2007-11-14 15:04 27,656 --a------ C:\WINDOWS\system32\drivers\easdrv.sys
2007-11-14 15:03 . 2007-11-14 15:03 33,800 --a------ C:\WINDOWS\system32\drivers\eamon.sys
2007-11-02 20:25 . 2007-11-02 20:26 <DIR> d-------- C:\WINDOWS\SoftR

.
(((((((((((((((((((((((((((((((((((((( Reporte Find3M )))))))))))))))))))))))))))))))))))))))))))))))))))
.
2007-12-29 17:59 18,480 ----a-w C:\Documents and Settings\ALFONSO\Datos de programa\GDIPFONTCACHEV1.DAT
2007-12-18 15:42 --------- d-----w C:\Archivos de programa\Archivos comunes\Symantec Shared
2007-12-18 15:35 --------- d-----w C:\Documents and Settings\All Users\Datos de programa\Symantec
2007-12-14 12:16 --------- d--h--w C:\Archivos de programa\InstallShield Installation Information
2007-12-13 23:50 --------- d-----w C:\Archivos de programa\Archivos comunes\Adobe
2007-09-03 13:25 745,547 ----a-w C:\WINDOWS\system32\Magentic Screensaver.scr
.

((((((((((((((((((((((((((((( snapshot@2007-12-30_19.32.44.54 )))))))))))))))))))))))))))))))))))))))))
.
+ 2007-12-30 19:03:24 10,134 ----a-r C:\WINDOWS\Installer\{BB703122-AF65-4AD9-BCA0-273E165DABEE}\callmsi.exe
+ 2007-12-30 19:03:24 136,448 ----a-r C:\WINDOWS\Installer\{BB703122-AF65-4AD9-BCA0-273E165DABEE}\egui.exe
.
((((((((((((((((((((((((((((((((( Cargando Puntos Reg ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Nota* entradas vac¡as & entradas leg¡timas predeterminadas no son mostradas

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-19 14:42]
"ares"="C:\Archivos de programa\Ares\Ares.exe" [2007-07-16 22:54]
"Magentic"="C:\ARCHIV~1\Magentic\bin\Magentic.exe" [2007-09-03 14:25]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"hpWirelessAssistant"="C:\Archivos de programa\hpq\HP Wireless Assistant\HP Wireless Assistant.exe" [2006-02-14 09:49]
"SoundMAXPnP"="C:\Archivos de programa\Analog Devices\Core\smax4pnp.exe" [2007-01-05 20:36]
"Adobe Reader Speed Launcher"="C:\Archivos de programa\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2007-05-11 02:06]
"NeroCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 10:50]
"QuickTime Task"="C:\Archivos de programa\QuickTime\qttask.exe" [2006-10-25 17:58]
"iTunesHelper"="C:\Archivos de programa\iTunes\iTunesHelper.exe" [2006-10-30 08:36]
"ArcSoft Connection Service"="C:\Archivos de programa\Archivos comunes\ArcSoft\Connection Service\Bin\ACDaemon.exe" [2007-07-17 13:05]
"egui"="C:\Archivos de programa\ESET\ESET NOD32 Antivirus\egui.exe" [2007-11-14 15:05]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-19 14:42]

R1 easdrv;easdrv;C:\WINDOWS\system32\DRIVERS\easdrv.sys [2007-11-14 15:04]
R1 epfwtdir;epfwtdir;C:\WINDOWS\system32\DRIVERS\epfwtdir.sys [2007-11-14 15:06]
R2 eamon;EAMON;C:\WINDOWS\system32\DRIVERS\eamon.sys [2007-11-14 15:03]
R2 ekrn;Eset Service;"C:\Archivos de programa\ESET\ESET NOD32 Antivirus\ekrn.exe" [2007-11-14 15:05]
R3 GTIPCI21;GTIPCI21;C:\WINDOWS\system32\DRIVERS\gtipci21.sys [2006-04-06 14:49]
S0 djvbgqbe;djvbgqbe;C:\WINDOWS\system32\drivers\sxiotweb.dat []
S3 EhttpSrv;Eset HTTP Server;"C:\Archivos de programa\ESET\ESET NOD32 Antivirus\EHttpSrv.exe" [2007-11-14 15:07]

.
Contenido de carpeta 'Tareas Programadas'
"2007-12-18 12:58:02 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job"
- C:\Archivos de programa\Apple Software Update\SoftwareUpdate.exe
.
**************************************************************************

catchme 0.3.1333 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2007-12-31 15:27:36
Windows 5.1.2600 Service Pack 2 NTFS

escaneando procesos ocultos ...

escaneando entradas ocultas de autostart ...

escaneando archivos ocultos ...

el escaneo se completo con exito
archivos ocultos: 0

**************************************************************************
.
Tiempo completado: 2007-12-31 15:29:15 - machine was rebooted
C:\ComboFix2.txt ... 2007-12-30 19:33

**ElPiedra** · 02/01/08, 20:51:16

Hola, ComboFix ya se encargo de eliminar los archivos de malwares encontrados en tu PC, por lo que si todo esta funcionado bien, damos por terminado el tema.

Para terminar solo te quedaría desinstalar CF de la siguiente manera:

Ir a Inicio > Ejecutar
Escribir lo siguiente: ComboFix /u como muestra la imagen debajo:
Esto activara el desinstalador de ComboFix abriendo su pantalla principal y luego de unos segundos veras ("ComboFix is uninstalled")

Para evitar este tipo de infecciones te recomiendo usar un navegador mas seguro como Firefox

Salu2

No me funciona bien google (Solucionado)

Herramientas

No me funciona bien google (Solucionado)

Re: No me funciona bien google

Re: No me funciona bien google

Re: No me funciona bien google

Re: No me funciona bien google

Re: No me funciona bien google