Foro de InfoSpyware - Foro de Hijackthis - Foro de Virus

Saludos amigos.
Os comento el problema. Hace unos dias el McAfee me detecto un Troyano, al cual no pudo eliminar completamente. Yo pude eliminar manualmente el resto de ficheros que detectó, como el _svchost.exe, y tambien tuve que desactivar el servicio "Restaurar Sistema" para poder eliminar otros ficheros maliciosos.
Despues de todo esto cada vez que intento navegar me sale el mensaje:
"IEXPLORER.EXE ha detectado un problema y debe cerrarse".
He detectado que en la cabecera superior del explorer en vez de poner "Microsoft Internet Explorer" pone "Internet Explorer Proporcionado por I.R.M.S.A".
Ademas en el protocolo TCP/IP,aparecian las DNS cambiadas, he vuelto a poner las suyas, pero esto sigue sin funcionar.
Por otro lado ocurre una cosa curiosa y es que a veces aparece un mensaje para actualizar el Messenger el cual presenta una opcion de ver "Lo Nuevo" , si pulsas sobre ella, accedes a una pagina de internet donde ves lo nuevo del producto, y a partir de esta pagina puedes cambiar las direcciones para acceder a cualquier otro sitio.

Aqui te pego el informe del HijackThis:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 22:02:20, on 26/01/2008
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Archivos de programa\Ahead\InCD\InCDsrv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Archivos de programa\Network Associates\Common Framework\FrameworkService.exe
C:\Archivos de programa\Network Associates\VirusScan\mcshield.exe
C:\Archivos de programa\Network Associates\VirusScan\vstskmgr.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\ARCHIV~1\NETWOR~1\COMMON~1\naPrdMgr.exe
C:\Archivos de programa\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\Archivos de programa\Analog Devices\SoundMAX\SMTray.exe
C:\Archivos de programa\Ahead\InCD\InCD.exe
C:\Archivos de programa\USB Disk Win98 Driver\Res.EXE
C:\WINDOWS\System32\RUNDLL32.EXE
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIA HE.EXE
C:\Archivos de programa\Network Associates\VirusScan\SHSTAT.EXE
C:\Archivos de programa\Network Associates\Common Framework\UpdaterUI.exe
C:\Archivos de programa\Archivos comunes\Network Associates\TalkBack\tbmon.exe
C:\ARCHIV~1\ZONELA~1\ZONEAL~1\zlclient.exe
C:\Archivos de programa\Microsoft Encarta\Encarta 2006 Biblioteca Premium DVD\EDICT.EXE
C:\WINDOWS\system32\sistray.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Archivos de programa\Trend Micro\HijackThis\HijackThis.exe
C:\WINDOWS\System32\wbem\wmiprvse.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http:\\www.google.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.irm-sa.es/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http:\\www.irm-sa.es
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer proporcionado por IRM S.A.
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: Google Module - {221BBF54-3327-4548-9006-84385B1A5840} - ssymman.dll (file missing)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [Smapp] C:\Archivos de programa\Analog Devices\SoundMAX\SMTray.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [InCD] C:\Archivos de programa\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [USB Storage Toolbox] C:\Archivos de programa\USB Disk Win98 Driver\Res.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [\\EQUIPO-CE6WW9JL\EPSON Stylus Photo R240 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIA HE.EXE /P48 "\\EQUIPO-CE6WW9JL\EPSON Stylus Photo R240 Series" /O6 "USB003" /M "Stylus Photo R240"
O4 - HKLM\..\Run: [ShStatEXE] "C:\Archivos de programa\Network Associates\VirusScan\SHSTAT.EXE" /STANDALONE
O4 - HKLM\..\Run: [McAfeeUpdaterUI] "C:\Archivos de programa\Network Associates\Common Framework\UpdaterUI.exe" /StartedFromRunKey
O4 - HKLM\..\Run: [Network Associates Error Reporting Service] "C:\Archivos de programa\Archivos comunes\Network Associates\TalkBack\tbmon.exe"
O4 - HKLM\..\Run: [Zone Labs Client] C:\ARCHIV~1\ZONELA~1\ZONEAL~1\zlclient.exe
O4 - HKCU\..\Run: [E06EXLRD_6313968] "C:\Archivos de programa\Microsoft Encarta\Encarta 2006 Biblioteca Premium DVD\EDICT.EXE" -m
O4 - HKCU\..\Run: [MsnMsgr] "C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICIO LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Servicio de red')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Startup: PowerReg Scheduler V3.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Utility Tray.lnk = C:\WINDOWS\system32\sistray.exe
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~3\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O14 - IERESET.INF: START_PAGE_URL=http:\\www.irm-sa.es
O17 - HKLM\System\CCS\Services\Tcpip\..\{419F7654-9F91-4494-8A4A-8A188CDBC3E4}: NameServer = 85.255.114.103,85.255.112.151
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.114.103 85.255.112.151
O17 - HKLM\System\CS1\Services\Tcpip\..\{419F7654-9F91-4494-8A4A-8A188CDBC3E4}: NameServer = 85.255.114.103,85.255.112.151
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.114.103 85.255.112.151
O17 - HKLM\System\CS2\Services\Tcpip\..\{419F7654-9F91-4494-8A4A-8A188CDBC3E4}: NameServer = 85.255.114.103,85.255.112.151
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.114.103 85.255.112.151
O23 - Service: FFI - Unknown owner - C:\WINDOWS\System32\svchost.exe:exm.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Archivos de programa\Archivos comunes\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: InCD Helper (InCDsrv) - Nero AG - C:\Archivos de programa\Ahead\InCD\InCDsrv.exe
O23 - Service: LEC TranslateDotNet Server - Language Engineering Corporation, LLC - C:\Archivos de programa\Power Translator\LogoMedia TranslateDotNet Server.exe
O23 - Service: Servicio de registro de McAfee (McAfeeFramework) - Network Associates, Inc. - C:\Archivos de programa\Network Associates\Common Framework\FrameworkService.exe
O23 - Service: Network Associates McShield (McShield) - Network Associates, Inc. - C:\Archivos de programa\Network Associates\VirusScan\mcshield.exe
O23 - Service: Network Associates Task Manager (McTaskManager) - Network Associates, Inc. - C:\Archivos de programa\Network Associates\VirusScan\vstskmgr.exe
O23 - Service: Microsoft P2P Service - Unknown owner - C:\WINDOWS\System32\_svchost.exe (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Archivos de programa\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

--
End of file - 7451 bytes

Hola, te doy la bienvenida al Foro, sigue estos pasos:

- Descarga y ejecuta la herramienta Ccleaner y siguiendo los pasos de su manual utiliza las opciones Limpiador y Registro.

- Descarga el Super Antispyware instálalo y actualízalo luego realiza un escaneo en Modo Seguro

- Descarga la herramienta ComboFix y guárdala en tu escritorio.
Haz doble clic en el archivo combofix.exe y sigue los avisos.
Cuando termine este generará un reporte que tendrías que pegar en este mismo mensaje.

Nota* Puede que algunos Antivirus como Panda detecten un falso positivo en ComboFix pero no hay que preocuparse por esto.

Reinicia la máquina, pega un nuevo log de Hijackthis y uno de ComboFix, luego nos comentas los resultados.

Saludos

Muchas gracias, he seguido los pasos que me habeis dado y se ha resuelto todo el problema. Ya no se me cierra el Explorer y ademas ha desaparecido el rotulo de la parte superior que decia "Internet Explorer suministrado pr I.R.M.S.A" que era tan sospechoso.
Aquí te pego un nuevo Log de HijackThis y otro de CombFix.
Os comento que en el log de HijackThis aún veo dos entradas sospechosas, que son la R1 y la 014, decidme si estas entradas se pueden quitar o mdificar y como hacerlo.
Un Saludo y Muchas Gracias.


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:09, on 2008-01-31
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Archivos de programa\Ahead\InCD\InCDsrv.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Archivos de programa\Network Associates\Common Framework\FrameworkService.exe
C:\Archivos de programa\Network Associates\VirusScan\mcshield.exe
C:\Archivos de programa\Network Associates\VirusScan\vstskmgr.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Archivos de programa\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\Archivos de programa\Analog Devices\SoundMAX\SMTray.exe
C:\Archivos de programa\Ahead\InCD\InCD.exe
C:\Archivos de programa\USB Disk Win98 Driver\Res.EXE
C:\WINDOWS\System32\RUNDLL32.EXE
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIA HE.EXE
C:\Archivos de programa\Network Associates\VirusScan\SHSTAT.EXE
C:\Archivos de programa\Network Associates\Common Framework\UpdaterUI.exe
C:\Archivos de programa\Archivos comunes\Network Associates\TalkBack\tbmon.exe
C:\ARCHIV~1\ZONELA~1\ZONEAL~1\zlclient.exe
C:\Archivos de programa\Microsoft Encarta\Encarta 2006 Biblioteca Premium DVD\EDICT.EXE
C:\Archivos de programa\SUPERAntiSpyware\SUPERAntiSpyware.exe
C:\WINDOWS\system32\sistray.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Archivos de programa\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http:\\www.irm-sa.es
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: Google Module - {221BBF54-3327-4548-9006-84385B1A5840} - ssymman.dll (file missing)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [Smapp] C:\Archivos de programa\Analog Devices\SoundMAX\SMTray.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [InCD] C:\Archivos de programa\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [USB Storage Toolbox] C:\Archivos de programa\USB Disk Win98 Driver\Res.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [\\EQUIPO-CE6WW9JL\EPSON Stylus Photo R240 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIA HE.EXE /P48 "\\EQUIPO-CE6WW9JL\EPSON Stylus Photo R240 Series" /O6 "USB003" /M "Stylus Photo R240"
O4 - HKLM\..\Run: [ShStatEXE] "C:\Archivos de programa\Network Associates\VirusScan\SHSTAT.EXE" /STANDALONE
O4 - HKLM\..\Run: [McAfeeUpdaterUI] "C:\Archivos de programa\Network Associates\Common Framework\UpdaterUI.exe" /StartedFromRunKey
O4 - HKLM\..\Run: [Network Associates Error Reporting Service] "C:\Archivos de programa\Archivos comunes\Network Associates\TalkBack\tbmon.exe"
O4 - HKLM\..\Run: [Zone Labs Client] C:\ARCHIV~1\ZONELA~1\ZONEAL~1\zlclient.exe
O4 - HKCU\..\Run: [E06EXLRD_6313968] "C:\Archivos de programa\Microsoft Encarta\Encarta 2006 Biblioteca Premium DVD\EDICT.EXE" -m
O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Archivos de programa\SUPERAntiSpyware\SUPERAntiSpyware.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICIO LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Servicio de red')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Startup: PowerReg Scheduler V3.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Utility Tray.lnk = C:\WINDOWS\system32\sistray.exe
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~3\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O14 - IERESET.INF: START_PAGE_URL=http:\\www.irm-sa.es
O17 - HKLM\System\CCS\Services\Tcpip\..\{419F7654-9F91-4494-8A4A-8A188CDBC3E4}: NameServer = 80.58.61.250,80.58.61.254
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.114.103 85.255.112.151
O17 - HKLM\System\CS1\Services\Tcpip\..\{419F7654-9F91-4494-8A4A-8A188CDBC3E4}: NameServer = 80.58.61.250,80.58.61.254
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.114.103 85.255.112.151
O17 - HKLM\System\CS2\Services\Tcpip\..\{419F7654-9F91-4494-8A4A-8A188CDBC3E4}: NameServer = 80.58.61.250,80.58.61.254
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.114.103 85.255.112.151
O20 - Winlogon Notify: !SASWinLogon - C:\Archivos de programa\SUPERAntiSpyware\SASWINLO.dll
O23 - Service: FFI - Unknown owner - C:\WINDOWS\System32\svchost.exe:exm.exe (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Archivos de programa\Archivos comunes\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: InCD Helper (InCDsrv) - Nero AG - C:\Archivos de programa\Ahead\InCD\InCDsrv.exe
O23 - Service: LEC TranslateDotNet Server - Language Engineering Corporation, LLC - C:\Archivos de programa\Power Translator\LogoMedia TranslateDotNet Server.exe
O23 - Service: Servicio de registro de McAfee (McAfeeFramework) - Network Associates, Inc. - C:\Archivos de programa\Network Associates\Common Framework\FrameworkService.exe
O23 - Service: Network Associates McShield (McShield) - Network Associates, Inc. - C:\Archivos de programa\Network Associates\VirusScan\mcshield.exe
O23 - Service: Network Associates Task Manager (McTaskManager) - Network Associates, Inc. - C:\Archivos de programa\Network Associates\VirusScan\vstskmgr.exe
O23 - Service: Microsoft P2P Service - Unknown owner - C:\WINDOWS\System32\_svchost.exe (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Archivos de programa\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

--
End of file - 7213 bytes


############################################

ComboFix 08-01-23.2 - MANUEL JESÚS 2008-01-31 18:37:47.2 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.0.1252.1.3082.18.192 [GMT 1:00]
Se ejecuta desde: C:\Documents and Settings\MANUEL JESÚS\Escritorio\ComboFix.exe

ADVERTENCIA - ESTE EQUIPO NO TIENE INSTALADA LA CONSOLA DE RECUPERACION!
.

(((((((((((((((((((((((((((((((((((( Otras eliminaciones )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
---- Previous Run -------
.
C:\WINDOWS\nwan.dat
C:\WINDOWS\system32\conf.dat

.
((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))

.
-------\LEGACY_NDISWON
-------\NdisWon




(((((((((((((((((( Archivos creados desde 2007-12-28 - 2008-01-31 )))))))))))))))))))))))))))))))))
.

2008-01-31 16:01 . 2000-08-31 08:00 51,200 --a------ C:\WINDOWS\Nircmd.exe
2008-01-31 15:33 . 2008-01-31 15:33 127 --a------ C:\WINDOWS\system32\MRT.INI
2008-01-31 15:30 . 2008-01-31 15:30 <DIR> d-------- C:\Archivos de programa\MSXML 4.0
2008-01-31 15:30 . 2002-11-14 20:43 220,672 --a------ C:\WINDOWS\system32\srrstr.dll
2008-01-31 15:30 . 2002-11-14 20:43 220,672 --a--c--- C:\WINDOWS\system32\dllcache\srrstr.dll
2008-01-31 15:30 . 2008-01-31 15:32 1,374 --a------ C:\WINDOWS\imsins.BAK
2008-01-31 14:06 . 2008-01-31 14:22 <DIR> d-------- C:\Archivos de programa\SUPERAntiSpyware
2008-01-31 14:05 . 2008-01-31 14:05 <DIR> d-------- C:\Archivos de programa\Archivos comunes\Wise Installation Wizard
2008-01-31 12:28 . 2008-01-31 12:28 <DIR> d-------- C:\Archivos de programa\CCleaner
2008-01-29 18:54 . 2008-01-29 18:54 <DIR> d-------- C:\saver
2008-01-26 22:01 . 2008-01-26 22:01 <DIR> d-------- C:\Archivos de programa\Trend Micro
2008-01-26 16:02 . 2008-01-26 16:02 172 --ah----- C:\sqmnoopt01.sqm
2008-01-26 16:02 . 2008-01-26 16:02 172 --ah----- C:\sqmdata01.sqm
2008-01-26 15:58 . 2008-01-26 15:58 268 --ah----- C:\sqmdata00.sqm
2008-01-26 15:58 . 2008-01-26 15:58 244 --ah----- C:\sqmnoopt00.sqm
2008-01-26 15:56 . 2008-01-26 15:56 <DIR> d----c--- C:\WINDOWS\system32\DRVSTORE
2008-01-26 15:34 . 2008-01-31 15:30 <DIR> d--h-c--- C:\WINDOWS\$xpsp1hfm$
2008-01-26 15:34 . 2004-01-10 06:11 26,112 --a------ C:\WINDOWS\system32\xpsp1hfm.exe
2008-01-26 00:47 . 2008-01-27 04:54 <DIR> d-------- C:\QUARANTINE
2008-01-25 23:02 . 2002-07-12 11:46 847,632 --a------ C:\WINDOWS\system32\msdxm.ocx
2008-01-25 23:02 . 2002-07-12 11:46 499,984 --a------ C:\WINDOWS\system32\dxmasf.dll
2008-01-25 23:02 . 2002-07-12 11:46 251,904 --a------ C:\WINDOWS\system32\strmdll.dll
2008-01-25 23:01 . 2008-01-25 23:02 <DIR> d--h----- C:\WINDOWS\msdownld.tmp
2008-01-25 23:00 . 2008-01-25 23:00 <DIR> d-------- C:\WINDOWS\Historial
2008-01-25 23:00 . 2000-07-20 16:04 122,880 --a------ C:\WINDOWS\system32\ie5.msi
2008-01-25 23:00 . 2000-07-20 16:51 15,872 --a------ C:\WINDOWS\system32\ie5msi.exe
2008-01-25 21:02 . 2008-01-25 21:02 <DIR> d-------- C:\Archivos de programa\7-Zip
2008-01-24 22:52 . 2008-01-24 22:52 <DIR> d-------- C:\WINDOWS\system32\bits
2008-01-24 21:39 . 2008-01-24 21:39 <DIR> d-------- C:\WINDOWS\system32\ZoneLabs
2008-01-24 21:39 . 2004-04-01 09:25 46,264 --a------ C:\WINDOWS\system32\vsutil_loc0c0a.dll
2008-01-24 21:39 . 2008-01-24 21:42 4,212 ---h----- C:\WINDOWS\system32\zllictbl.dat
2008-01-24 21:39 . 2008-01-31 16:07 526 --ah----- C:\WINDOWS\system32\vsconfig.xml
2008-01-24 21:34 . 2008-01-31 15:26 <DIR> d-------- C:\WINDOWS\Internet Logs
2008-01-24 19:25 . 2008-01-24 19:25 1 --a------ C:\WINDOWS\system32\rc.dat
2008-01-24 19:25 . 2008-01-24 19:25 1 --a------ C:\WINDOWS\system32\ps1.dat
2008-01-24 19:20 . 2008-01-24 19:20 53,248 --a------ C:\WINDOWS\system32\ssymman.dll
2008-01-23 19:04 . 2008-01-23 19:19 17,424 --a------ C:\WINDOWS\system32\jhgsdf324.exe
2008-01-22 21:12 . 2008-01-22 21:12 29,180 --a------ C:\WINDOWS\system32\12249512ld.exe
2008-01-22 21:09 . 2008-01-25 20:15 <DIR> d-------- C:\cuarentena
2008-01-22 21:09 . 2008-01-22 21:09 15,872 --a------ C:\WINDOWS\system32\jhgsdf331.exe
2008-01-22 21:09 . 2008-01-24 19:20 20 --a------ C:\WINDOWS\system32\svchost.t__
2008-01-22 21:08 . 2008-01-24 22:16 311 --a------ C:\WINDOWS\system32\svchost.tmp
2008-01-08 16:01 . 2008-01-31 13:56 <DIR> d-------- C:\Archivos de programa\Imperivm Civitas II
2007-12-13 14:35 . 2008-01-24 19:48 512 --a------ C:\WINDOWS\randseed.rnd
2007-12-10 19:18 . 2008-01-22 15:33 <DIR> d-------- C:\Archivos de programa\Sparta - La Batalla de las Termópilas
2007-12-09 10:23 . 2007-12-09 10:23 <DIR> d-------- C:\Archivos de programa\Archivos comunes\Cisco Systems
2007-12-09 10:22 . 2007-12-09 10:23 <DIR> d-------- C:\Archivos de programa\Network Associates
2007-12-09 10:22 . 2007-12-09 10:22 <DIR> d-------- C:\Archivos de programa\Archivos comunes\Network Associates
2007-12-09 10:22 . 2004-12-23 20:00 108,480 --a------ C:\WINDOWS\system32\drivers\naiavf5x.sys
2007-12-09 10:22 . 2004-12-23 20:00 58,464 --a------ C:\WINDOWS\system32\drivers\mvstdi5x.sys
2007-12-09 10:20 . 2004-08-25 17:00 1,822,520 --a------ C:\temp\InstMsiw.exe
2007-12-09 10:20 . 2004-08-25 17:00 135,261 --a------ C:\temp\Uninst.dll
2007-12-09 10:20 . 2004-08-25 17:00 65,553 --a------ C:\temp\Setupvse.exe
2007-12-09 10:19 . 2007-12-09 10:20 <DIR> d-------- C:\temp
2007-12-07 11:15 . 2007-12-07 11:15 <DIR> d-------- C:\Archivos de programa\Panzers
2007-12-05 14:56 . 2004-07-01 23:05 360,960 --a--c--- C:\WINDOWS\system32\dllcache\qmgr.dll
2007-12-05 14:56 . 2004-07-01 23:05 331,776 --a------ C:\WINDOWS\system32\winhttp.dll
2007-12-05 14:56 . 2004-07-01 23:05 17,408 --a------ C:\WINDOWS\system32\qmgrprxy.dll
2007-12-05 14:56 . 2004-07-01 23:05 17,408 --a--c--- C:\WINDOWS\system32\dllcache\qmgrprxy.dll
2007-12-05 14:56 . 2004-07-01 23:05 7,680 -----c--- C:\WINDOWS\system32\dllcache\bitsprx2.dll
2007-12-05 14:56 . 2004-07-01 23:05 7,680 --------- C:\WINDOWS\system32\bitsprx2.dll
2007-12-05 14:56 . 2004-07-01 23:05 7,168 -----c--- C:\WINDOWS\system32\dllcache\bitsprx3.dll
2007-12-05 14:56 . 2004-07-01 23:05 7,168 --------- C:\WINDOWS\system32\bitsprx3.dll
2007-12-05 14:52 . 2007-07-30 19:19 549,720 --a------ C:\WINDOWS\system32\wuapi.dll
2007-12-05 14:52 . 2007-07-30 19:19 325,976 --a------ C:\WINDOWS\system32\wucltui.dll
2007-12-05 14:52 . 2007-07-30 19:19 216,408 --a------ C:\WINDOWS\system32\wuaucpl.cpl
2007-12-05 14:52 . 2007-07-30 19:19 203,096 --a------ C:\WINDOWS\system32\wuweb.dll
2007-12-05 14:52 . 2004-08-03 14:04 187,160 --a------ C:\WINDOWS\system32\wuaueng1.dll
2007-12-05 14:52 . 2004-08-03 14:02 170,264 --a------ C:\WINDOWS\system32\wuauclt1.exe
2007-12-05 14:52 . 2007-07-30 19:18 33,624 --a------ C:\WINDOWS\system32\wups.dll

.
(((((((((((((((((((((((((((((((((((((( Reporte Find3M )))))))))))))))))))))))))))))))))))))))))))))))))) )
.
2008-01-27 16:12 721,408 ----a-w C:\WINDOWS\Internet Logs\xDB1.tmp
2008-01-27 16:12 140,800 ----a-w C:\WINDOWS\Internet Logs\xDB2.tmp
2008-01-22 20:08 12,800 ----a-w C:\WINDOWS\system32\svchost.exe
2008-01-08 15:04 --------- d--h--w C:\Archivos de programa\FX Uninstall Information
2007-12-12 16:06 --------- d-----w C:\Archivos de programa\Imperivm Civitas
2007-12-10 18:17 --------- d-----w C:\Archivos de programa\EA SPORTS
2007-12-08 18:17 --------- d-----w C:\Archivos de programa\Microsoft Games
2007-12-07 11:00 --------- d-----w C:\Archivos de programa\GameSpy Arcade
2007-12-07 10:31 --------- d--h--w C:\Archivos de programa\InstallShield Installation Information
2007-10-22 02:39 267,272 ----a-w C:\WINDOWS\system32\xactengine2_10.dll
2007-10-22 02:37 17,928 ----a-w C:\WINDOWS\system32\X3DAudio1_2.dll
2007-10-12 14:14 3,734,536 ----a-w C:\WINDOWS\system32\d3dx9_36.dll
2007-10-12 14:14 1,374,232 ----a-w C:\WINDOWS\system32\D3DCompiler_36.dll
2007-10-02 08:56 444,776 ----a-w C:\WINDOWS\system32\d3dx10_36.dll
.

((((((((((((((((((((((((((((( snapshot@2008-01-31_16.09.52.40 )))))))))))))))))))))))))))))))))))))))))
.
- 2007-12-05 12:07:11 52,764 ----a-w C:\WINDOWS\system32\perfc009.dat
+ 2008-01-31 15:11:42 52,764 ----a-w C:\WINDOWS\system32\perfc009.dat
- 2007-12-05 12:07:11 68,696 ----a-w C:\WINDOWS\system32\perfc00A.dat
+ 2008-01-31 15:11:42 68,696 ----a-w C:\WINDOWS\system32\perfc00A.dat
- 2007-12-05 12:07:11 380,350 ----a-w C:\WINDOWS\system32\perfh009.dat
+ 2008-01-31 15:11:42 380,350 ----a-w C:\WINDOWS\system32\perfh009.dat
- 2007-12-05 12:07:11 439,680 ----a-w C:\WINDOWS\system32\perfh00A.dat
+ 2008-01-31 15:11:42 439,680 ----a-w C:\WINDOWS\system32\perfh00A.dat
.
((((((((((((((((((((((((((((((((( Cargando Puntos Reg ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Nota* entradas vacías & entradas legítimas predeterminadas no son mostradas

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{221BBF54-3327-4548-9006-84385B1A5840}]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\Run]
"E06EXLRD_6313968"="C:\Archivos de programa\Microsoft Encarta\Encarta 2006 Biblioteca Premium DVD\EDICT.exe" [2005-06-04 12:03 301776]
"SUPERAntiSpyware"="C:\Archivos de programa\SUPERAntiSpyware\SUPERAntiSpyware.exe" [2007-06-21 14:06 1318912]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run]
"Smapp"="C:\Archivos de programa\Analog Devices\SoundMAX\SMTray.exe" [2003-05-05 08:57 143360]
"NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.e xe" [2001-07-09 11:50 155648]
"SiSUSBRG"="C:\WINDOWS\SiSUSBrg.exe" [2005-01-26 17:12 106496]
"InCD"="C:\Archivos de programa\Ahead\InCD\InCD.exe" [2005-01-27 17:17 1381376]
"USB Storage Toolbox"="C:\Archivos de programa\USB Disk Win98 Driver\Res.EXE" [2005-09-14 19:44 65536]
"NvCplDaemon"="C:\WINDOWS\System32\NvCpl.dll" [2007-06-28 23:43 8466432]
"nwiz"="nwiz.exe" [2007-06-28 23:43 1626112 C:\WINDOWS\system32\nwiz.exe]
"NvMediaCenter"="C:\WINDOWS\System32\NvMcTray. dll" [2007-06-28 23:43 81920]
"\\EQUIPO-CE6WW9JL\EPSON Stylus Photo R240 Series"="C:\WINDOWS\System32\spool\DRIVERS\W32X86\ 3\E_FATIAHE.exe" [2005-04-25 06:00 98304]
"ShStatEXE"="C:\Archivos de programa\Network Associates\VirusScan\SHSTAT.exe" [2004-08-25 08:00 94208]
"McAfeeUpdaterUI"="C:\Archivos de programa\Network Associates\Common Framework\UpdaterUI.exe" [2004-08-06 03:50 139320]
"Network Associates Error Reporting Service"="C:\Archivos de programa\Archivos comunes\Network Associates\TalkBack\tbmon.exe" [2003-10-07 09:48 147514]
"Zone Labs Client"="C:\ARCHIV~1\ZONELA~1\ZONEAL~1\zlclient.ex e" [2004-04-01 09:30 693520]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\Cur rentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2001-08-24 13:00 13312]

C:\Documents and Settings\All Users\Men£ Inicio\Programas\Inicio\
Adobe Gamma Loader.lnk - C:\Archivos de programa\Archivos comunes\Adobe\Calibration\Adobe Gamma Loader.exe [2007-02-28 19:54:52 110592]
Microsoft Office.lnk - C:\Archivos de programa\Microsoft Office\Office10\OSA.EXE [2001-02-13 09:01:04 83360]
Utility Tray.lnk - C:\WINDOWS\system32\sistray.exe [2007-03-01 11:50:31 331776]

[hkey_local_machine\software\microsoft\windows\curr entversion\explorer\shellexecutehooks]
"{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA}"= C:\Archivos de programa\SUPERAntiSpyware\SASSEH.DLL [2006-12-20 13:55 77824]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\!SASWinLogon]
C:\Archivos de programa\SUPERAntiSpyware\SASWINLO.dll 2007-04-19 13:41 294912 C:\Archivos de programa\SUPERAntiSpyware\SASWINLO.dll

S1 kcp;kcp;C:\WINDOWS\system32\drivers\kcp.sys []
S2 FFI;FFI;C:\WINDOWS\System32\svchost.exe:exm.exe []
S2 Microsoft P2P Service;Microsoft P2P Service;C:\WINDOWS\System32\_svchost.exe []
S3 ewdmaudn;ewdmaudn;C:\DOCUME~1\MANUEL~1\CONFIG~1\Te mp\ewdmaudn.sys []
S3 USBSTOR;Dispositivo de almacenamiento masivo de datos USB;C:\WINDOWS\System32\DRIVERS\USBSTOR.SYS [2001-08-17 22:03]

*Newly Created Service* - ALG
*Newly Created Service* - IPNAT
.
************************************************** ************************

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-01-31 18:39:32
Windows 5.1.2600 NTFS

escaneando procesos ocultos ...

escaneando entradas ocultas de autostart ...

escaneando archivos ocultos ...

el escaneo se completo con exito
archivos ocultos: 0

************************************************** ************************

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\run]
"\\\\EQUIPO-CE6WW9JL\\EPSON Stylus Photo R240 Series"="C:\\WINDOWS\\System32\\spool\\DRIVERS\\W3 2X86\\3\\E_FATIAHE.EXE /P48 \"\\\\EQUIPO-CE6WW9JL\\EPSON Stylus Photo R240 Series\" /O6 \"USB003\" /M \"Stylus Photo R240\""

[HKEY_LOCAL_MACHINE\system\ControlSet001\Services\F FI]
"ImagePath"="C:\WINDOWS\System32\svchost.exe:exm.e xe"
.

Aún hay cosas por reparar, sigue estos pasos:

- Descarga y ejecuta la herramienta FixWareout siguiendo los pasos de su manual.

- Descarga la herramienta WinsockFix y descomprímela en el escritorio de Windows, pero no la ejecutes aún.

- Cierra todos los programas, ejecuta HijackThis y dale "Fix Cheked" a estas entradas:

R1 - HKLMSoftwareMicrosoftInternet ExplorerMain,Default_Page_URL = http:\www.irm-sa.es

O2 - BHO: Google Module - {221BBF54-3327-4548-9006-84385B1A5840} - ssymman.dll (file missing)

O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O14 - IERESET.INF: START_PAGE_URL=http:\www.irm-sa.es

O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.114.103 85.255.112.151

O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.114.103 85.255.112.151

O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.114.103 85.255.112.151

O23 - Service: FFI - Unknown owner - C:\WINDOWS\System32\svchost.exe:exm.exe (file missing)

O23 - Service: Microsoft P2P Service - Unknown owner - C:\WINDOWS\System32\_svchost.exe (file missing)

- Es probable que al darle "Fix Checked" a las entradas 017 te quedes sin conexión a internet, para reparar la conexión ejecuta la herramienta WinsockFix, al reinicio de tu máquina puede que tengas que volver a configurar las propiedades de tu conexión.

- Reinicia la máquina y realiza un escaneo con Ewido Online.

- Pega un nuevo log de Hijackthis y uno de ComboFix ya que tendremos que seguir la desinfección.

Seguimos pendientes.

Saludos

Hola de nuevo amigos:
He seguido al pie de la letra todas vuestras instruccines, y todo bien.
Aunque al pasar el Ewido Online me detectó cuatro "atlos riesgos"que son:
Tiny.agk, Agent.wy, Zhelatin.uq y Small.edz.
Hice clik en "Remove Infectios", y despues me salio un mensaje que decia algo así como que no habia podido eliminarlas todas, y ahora solo me daba la opción de pasar un nuevo scaneo. Hice Cik en "Star New Scan", y despues de acabar ya no me encontró ningun virus.

Aqui os pego los nuevos log de HijackThis y de CmboFix.

Saludos Cordiales y Muchas Gracias.


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:11, on 2008-02-01
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Archivos de programa\Ahead\InCD\InCDsrv.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Archivos de programa\Analog Devices\SoundMAX\SMTray.exe
C:\Archivos de programa\Ahead\InCD\InCD.exe
C:\Archivos de programa\USB Disk Win98 Driver\Res.EXE
C:\WINDOWS\System32\RUNDLL32.EXE
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIA HE.EXE
C:\Archivos de programa\Network Associates\VirusScan\SHSTAT.EXE
C:\Archivos de programa\Network Associates\Common Framework\UpdaterUI.exe
C:\Archivos de programa\Archivos comunes\Network Associates\TalkBack\tbmon.exe
C:\ARCHIV~1\ZONELA~1\ZONEAL~1\zlclient.exe
C:\Archivos de programa\Network Associates\Common Framework\FrameworkService.exe
C:\Archivos de programa\Microsoft Encarta\Encarta 2006 Biblioteca Premium DVD\EDICT.EXE
C:\Archivos de programa\SUPERAntiSpyware\SUPERAntiSpyware.exe
C:\WINDOWS\system32\sistray.exe
C:\Archivos de programa\Network Associates\VirusScan\mcshield.exe
C:\Archivos de programa\Network Associates\VirusScan\vstskmgr.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Archivos de programa\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Archivos de programa\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [Smapp] C:\Archivos de programa\Analog Devices\SoundMAX\SMTray.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [InCD] C:\Archivos de programa\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [USB Storage Toolbox] C:\Archivos de programa\USB Disk Win98 Driver\Res.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [\\EQUIPO-CE6WW9JL\EPSON Stylus Photo R240 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIA HE.EXE /P48 "\\EQUIPO-CE6WW9JL\EPSON Stylus Photo R240 Series" /O6 "USB003" /M "Stylus Photo R240"
O4 - HKLM\..\Run: [ShStatEXE] "C:\Archivos de programa\Network Associates\VirusScan\SHSTAT.EXE" /STANDALONE
O4 - HKLM\..\Run: [McAfeeUpdaterUI] "C:\Archivos de programa\Network Associates\Common Framework\UpdaterUI.exe" /StartedFromRunKey
O4 - HKLM\..\Run: [Network Associates Error Reporting Service] "C:\Archivos de programa\Archivos comunes\Network Associates\TalkBack\tbmon.exe"
O4 - HKLM\..\Run: [Zone Labs Client] C:\ARCHIV~1\ZONELA~1\ZONEAL~1\zlclient.exe
O4 - HKCU\..\Run: [E06EXLRD_6313968] "C:\Archivos de programa\Microsoft Encarta\Encarta 2006 Biblioteca Premium DVD\EDICT.EXE" -m
O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Archivos de programa\SUPERAntiSpyware\SUPERAntiSpyware.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICIO LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Servicio de red')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Startup: PowerReg Scheduler V3.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Utility Tray.lnk = C:\WINDOWS\system32\sistray.exe
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~3\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - http://downloads.ewido.net/ewidoOnlineScan.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{419F7654-9F91-4494-8A4A-8A188CDBC3E4}: NameServer = 80.58.61.250,80.58.61.254
O17 - HKLM\System\CS1\Services\Tcpip\..\{419F7654-9F91-4494-8A4A-8A188CDBC3E4}: NameServer = 80.58.61.250,80.58.61.254
O17 - HKLM\System\CS2\Services\Tcpip\..\{419F7654-9F91-4494-8A4A-8A188CDBC3E4}: NameServer = 80.58.61.250,80.58.61.254
O20 - Winlogon Notify: !SASWinLogon - C:\Archivos de programa\SUPERAntiSpyware\SASWINLO.dll
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Archivos de programa\Archivos comunes\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: InCD Helper (InCDsrv) - Nero AG - C:\Archivos de programa\Ahead\InCD\InCDsrv.exe
O23 - Service: LEC TranslateDotNet Server - Language Engineering Corporation, LLC - C:\Archivos de programa\Power Translator\LogoMedia TranslateDotNet Server.exe
O23 - Service: Servicio de registro de McAfee (McAfeeFramework) - Network Associates, Inc. - C:\Archivos de programa\Network Associates\Common Framework\FrameworkService.exe
O23 - Service: Network Associates McShield (McShield) - Network Associates, Inc. - C:\Archivos de programa\Network Associates\VirusScan\mcshield.exe
O23 - Service: Network Associates Task Manager (McTaskManager) - Network Associates, Inc. - C:\Archivos de programa\Network Associates\VirusScan\vstskmgr.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Archivos de programa\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

--
End of file - 6401 bytes

#################################################


ComboFix 08-01-23.2 - MANUEL JESÚS 2008-02-01 18:15:31.3 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.0.1252.1.3082.18.258 [GMT 1:00]
Se ejecuta desde: C:\Documents and Settings\MANUEL JESÚS\Escritorio\ComboFix.exe

ADVERTENCIA - ESTE EQUIPO NO TIENE INSTALADA LA CONSOLA DE RECUPERACION!
.

(((((((((((((((((((((((((((((((((((( Otras eliminaciones )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
---- Previous Run -------
.
C:\WINDOWS\nwan.dat
C:\WINDOWS\system32\conf.dat

.
((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))

.
-------\LEGACY_NDISWON
-------\NdisWon






(((((((((((((((((( Archivos creados desde 2008-01-01 - 2008-02-01 )))))))))))))))))))))))))))))))))
.

2008-01-31 16:01 . 2000-08-31 08:00 51,200 --a------ C:\WINDOWS\Nircmd.exe
2008-01-31 15:33 . 2008-01-31 15:33 127 --a------ C:\WINDOWS\system32\MRT.INI
2008-01-31 15:30 . 2008-01-31 15:30 <DIR> d-------- C:\Archivos de programa\MSXML 4.0
2008-01-31 15:30 . 2002-11-14 20:43 220,672 --a------ C:\WINDOWS\system32\srrstr.dll
2008-01-31 15:30 . 2002-11-14 20:43 220,672 --a--c--- C:\WINDOWS\system32\dllcache\srrstr.dll
2008-01-31 15:30 . 2008-01-31 15:32 1,374 --a------ C:\WINDOWS\imsins.BAK
2008-01-31 14:06 . 2008-01-31 14:22 <DIR> d-------- C:\Archivos de programa\SUPERAntiSpyware
2008-01-31 14:05 . 2008-01-31 14:05 <DIR> d-------- C:\Archivos de programa\Archivos comunes\Wise Installation Wizard
2008-01-31 12:28 . 2008-01-31 12:28 <DIR> d-------- C:\Archivos de programa\CCleaner
2008-01-29 18:54 . 2008-01-29 18:54 <DIR> d-------- C:\saver
2008-01-26 22:01 . 2008-01-26 22:01 <DIR> d-------- C:\Archivos de programa\Trend Micro
2008-01-26 16:02 . 2008-01-26 16:02 172 --ah----- C:\sqmnoopt01.sqm
2008-01-26 16:02 . 2008-01-26 16:02 172 --ah----- C:\sqmdata01.sqm
2008-01-26 15:58 . 2008-01-26 15:58 268 --ah----- C:\sqmdata00.sqm
2008-01-26 15:58 . 2008-01-26 15:58 244 --ah----- C:\sqmnoopt00.sqm
2008-01-26 15:56 . 2008-01-26 15:56 <DIR> d----c--- C:\WINDOWS\system32\DRVSTORE
2008-01-26 15:34 . 2008-01-31 15:30 <DIR> d--h-c--- C:\WINDOWS\$xpsp1hfm$
2008-01-26 15:34 . 2004-01-10 06:11 26,112 --a------ C:\WINDOWS\system32\xpsp1hfm.exe
2008-01-26 00:47 . 2008-01-27 04:54 <DIR> d-------- C:\QUARANTINE
2008-01-25 23:02 . 2002-07-12 11:46 847,632 --a------ C:\WINDOWS\system32\msdxm.ocx
2008-01-25 23:02 . 2002-07-12 11:46 499,984 --a------ C:\WINDOWS\system32\dxmasf.dll
2008-01-25 23:02 . 2002-07-12 11:46 251,904 --a------ C:\WINDOWS\system32\strmdll.dll
2008-01-25 23:01 . 2008-01-25 23:02 <DIR> d--h----- C:\WINDOWS\msdownld.tmp
2008-01-25 23:00 . 2008-01-25 23:00 <DIR> d-------- C:\WINDOWS\Historial
2008-01-25 23:00 . 2000-07-20 16:04 122,880 --a------ C:\WINDOWS\system32\ie5.msi
2008-01-25 23:00 . 2000-07-20 16:51 15,872 --a------ C:\WINDOWS\system32\ie5msi.exe
2008-01-25 21:02 . 2008-01-25 21:02 <DIR> d-------- C:\Archivos de programa\7-Zip
2008-01-24 22:52 . 2008-01-24 22:52 <DIR> d-------- C:\WINDOWS\system32\bits
2008-01-24 21:39 . 2008-01-24 21:39 <DIR> d-------- C:\WINDOWS\system32\ZoneLabs
2008-01-24 21:39 . 2004-04-01 09:25 46,264 --a------ C:\WINDOWS\system32\vsutil_loc0c0a.dll
2008-01-24 21:39 . 2008-01-24 21:42 4,212 ---h----- C:\WINDOWS\system32\zllictbl.dat
2008-01-24 21:39 . 2008-02-01 16:25 526 --ah----- C:\WINDOWS\system32\vsconfig.xml
2008-01-24 21:34 . 2008-02-01 15:32 <DIR> d-------- C:\WINDOWS\Internet Logs
2008-01-24 19:25 . 2008-01-24 19:25 1 --a------ C:\WINDOWS\system32\rc.dat
2008-01-24 19:25 . 2008-01-24 19:25 1 --a------ C:\WINDOWS\system32\ps1.dat
2008-01-24 19:20 . 2008-01-24 19:20 53,248 --a------ C:\WINDOWS\system32\ssymman.dll
2008-01-23 19:04 . 2008-01-23 19:19 17,424 --a------ C:\WINDOWS\system32\jhgsdf324.exe
2008-01-22 21:09 . 2008-01-25 20:15 <DIR> d-------- C:\cuarentena
2008-01-22 21:09 . 2008-01-24 19:20 20 --a------ C:\WINDOWS\system32\svchost.t__
2008-01-22 21:08 . 2008-01-24 22:16 311 --a------ C:\WINDOWS\system32\svchost.tmp
2008-01-08 16:01 . 2008-01-31 13:56 <DIR> d-------- C:\Archivos de programa\Imperivm Civitas II

.
(((((((((((((((((((((((((((((((((((((( Reporte Find3M )))))))))))))))))))))))))))))))))))))))))))))))))) )
.
2008-01-27 16:12 721,408 ----a-w C:\WINDOWS\Internet Logs\xDB1.tmp
2008-01-27 16:12 140,800 ----a-w C:\WINDOWS\Internet Logs\xDB2.tmp
2008-01-22 20:08 12,800 ----a-w C:\WINDOWS\system32\svchost.exe
2008-01-22 14:33 --------- d-----w C:\Archivos de programa\Sparta - La Batalla de las Termópilas
2008-01-08 15:04 --------- d--h--w C:\Archivos de programa\FX Uninstall Information
2007-12-12 16:06 --------- d-----w C:\Archivos de programa\Imperivm Civitas
2007-12-10 18:17 --------- d-----w C:\Archivos de programa\EA SPORTS
2007-12-09 09:23 --------- d-----w C:\Archivos de programa\Network Associates
2007-12-09 09:23 --------- d-----w C:\Archivos de programa\Archivos comunes\Cisco Systems
2007-12-09 09:22 --------- d-----w C:\Archivos de programa\Archivos comunes\Network Associates
2007-12-08 18:17 --------- d-----w C:\Archivos de programa\Microsoft Games
2007-12-07 11:00 --------- d-----w C:\Archivos de programa\GameSpy Arcade
2007-12-07 10:31 --------- d--h--w C:\Archivos de programa\InstallShield Installation Information
2007-12-07 10:15 --------- d-----w C:\Archivos de programa\Panzers
.

((((((((((((((((((((((((((((( snapshot@2008-01-31_16.09.52.40 )))))))))))))))))))))))))))))))))))))))))
.
+ 2006-07-11 08:41:36 345,656 ----a-w C:\WINDOWS\Downloaded Program Files\ewidoOnlineScan.dll
- 2007-12-05 12:07:11 52,764 ----a-w C:\WINDOWS\system32\perfc009.dat
+ 2008-01-31 15:11:42 52,764 ----a-w C:\WINDOWS\system32\perfc009.dat
- 2007-12-05 12:07:11 68,696 ----a-w C:\WINDOWS\system32\perfc00A.dat
+ 2008-01-31 15:11:42 68,696 ----a-w C:\WINDOWS\system32\perfc00A.dat
- 2007-12-05 12:07:11 380,350 ----a-w C:\WINDOWS\system32\perfh009.dat
+ 2008-01-31 15:11:42 380,350 ----a-w C:\WINDOWS\system32\perfh009.dat
- 2007-12-05 12:07:11 439,680 ----a-w C:\WINDOWS\system32\perfh00A.dat
+ 2008-01-31 15:11:42 439,680 ----a-w C:\WINDOWS\system32\perfh00A.dat
.
((((((((((((((((((((((((((((((((( Cargando Puntos Reg ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Nota* entradas vacías & entradas legítimas predeterminadas no son mostradas

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\Run]
"E06EXLRD_6313968"="C:\Archivos de programa\Microsoft Encarta\Encarta 2006 Biblioteca Premium DVD\EDICT.exe" [2005-06-04 12:03 301776]
"SUPERAntiSpyware"="C:\Archivos de programa\SUPERAntiSpyware\SUPERAntiSpyware.exe" [2007-06-21 14:06 1318912]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run]
"Smapp"="C:\Archivos de programa\Analog Devices\SoundMAX\SMTray.exe" [2003-05-05 08:57 143360]
"NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.e xe" [2001-07-09 11:50 155648]
"SiSUSBRG"="C:\WINDOWS\SiSUSBrg.exe" [2005-01-26 17:12 106496]
"InCD"="C:\Archivos de programa\Ahead\InCD\InCD.exe" [2005-01-27 17:17 1381376]
"USB Storage Toolbox"="C:\Archivos de programa\USB Disk Win98 Driver\Res.EXE" [2005-09-14 19:44 65536]
"NvCplDaemon"="C:\WINDOWS\System32\NvCpl.dll" [2007-06-28 23:43 8466432]
"nwiz"="nwiz.exe" [2007-06-28 23:43 1626112 C:\WINDOWS\system32\nwiz.exe]
"NvMediaCenter"="C:\WINDOWS\System32\NvMcTray. dll" [2007-06-28 23:43 81920]
"\\EQUIPO-CE6WW9JL\EPSON Stylus Photo R240 Series"="C:\WINDOWS\System32\spool\DRIVERS\W32X86\ 3\E_FATIAHE.exe" [2005-04-25 06:00 98304]
"ShStatEXE"="C:\Archivos de programa\Network Associates\VirusScan\SHSTAT.exe" [2004-08-25 08:00 94208]
"McAfeeUpdaterUI"="C:\Archivos de programa\Network Associates\Common Framework\UpdaterUI.exe" [2004-08-06 03:50 139320]
"Network Associates Error Reporting Service"="C:\Archivos de programa\Archivos comunes\Network Associates\TalkBack\tbmon.exe" [2003-10-07 09:48 147514]
"Zone Labs Client"="C:\ARCHIV~1\ZONELA~1\ZONEAL~1\zlclient.ex e" [2004-04-01 09:30 693520]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\Cur rentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2001-08-24 13:00 13312]

C:\Documents and Settings\MANUEL JESéS\Men£ Inicio\Programas\Inicio\
PowerReg Scheduler V3.exe [2007-06-01 14:16:55 225280]

C:\Documents and Settings\All Users\Men£ Inicio\Programas\Inicio\
Adobe Gamma Loader.lnk - C:\Archivos de programa\Archivos comunes\Adobe\Calibration\Adobe Gamma Loader.exe [2007-02-28 19:54:52 110592]
Microsoft Office.lnk - C:\Archivos de programa\Microsoft Office\Office10\OSA.EXE [2001-02-13 09:01:04 83360]
Utility Tray.lnk - C:\WINDOWS\system32\sistray.exe [2007-03-01 11:50:31 331776]

[hkey_local_machine\software\microsoft\windows\curr entversion\explorer\shellexecutehooks]
"{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA}"= C:\Archivos de programa\SUPERAntiSpyware\SASSEH.DLL [2006-12-20 13:55 77824]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\!SASWinLogon]
C:\Archivos de programa\SUPERAntiSpyware\SASWINLO.dll 2007-04-19 13:41 294912 C:\Archivos de programa\SUPERAntiSpyware\SASWINLO.dll

S1 kcp;kcp;C:\WINDOWS\system32\drivers\kcp.sys []
S3 ewdmaudn;ewdmaudn;C:\DOCUME~1\MANUEL~1\CONFIG~1\Te mp\ewdmaudn.sys []
S3 USBSTOR;Dispositivo de almacenamiento masivo de datos USB;C:\WINDOWS\System32\DRIVERS\USBSTOR.SYS [2001-08-17 22:03]
S4 FFI;FFI;C:\WINDOWS\System32\svchost.exe:exm.exe []
S4 Microsoft P2P Service;Microsoft P2P Service;C:\WINDOWS\System32\_svchost.exe []

.
************************************************** ************************

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-02-01 18:17:49
Windows 5.1.2600 NTFS

escaneando procesos ocultos ...

escaneando entradas ocultas de autostart ...

escaneando archivos ocultos ...

el escaneo se completo con exito
archivos ocultos: 0

************************************************** ************************

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\run]
"\\\\EQUIPO-CE6WW9JL\\EPSON Stylus Photo R240 Series"="C:\\WINDOWS\\System32\\spool\\DRIVERS\\W3 2X86\\3\\E_FATIAHE.EXE /P48 \"\\\\EQUIPO-CE6WW9JL\\EPSON Stylus Photo R240 Series\" /O6 \"USB003\" /M \"Stylus Photo R240\""

[HKEY_LOCAL_MACHINE\system\ControlSet001\Services\F FI]
"ImagePath"="C:\WINDOWS\System32\svchost.exe:exm.e xe"
.

El log de Hijackthis está limpio, así que ahora procederemos con ComboFix, sigue estos pasos:

1.-Abrir el Notepad

• Clic en INICIO > EJECUTAR >
• Y ahí pones notepad.exe y ACEPTAR

2.- Ahora copia y pega este código dentro del Notepad

3.- Graba este archivo con el nombre CFScript.txt

4.- Arrastrar y soltar el archivo CFScript.txt dentro del archivo ComboFix.exe como lo muestra la animación de abajo. Esto activara ComboFix nuevamente.



Reinicia y nos cuentas los resultados. junto con un nuevo reporte de ComboFix.

Saludos

Hola de nuevo amigos, he pasado el archivo CFScript tal como me habeis dicho, y aqui os pego el nuevo log del ComboFix, y ante todo muchas gracias por la ayuda que me brindais.

ComboFix 08-01-23.2 - MANUEL JESÚS 2008-02-02 14:04:15.4 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.0.1252.1.3082.18.245 [GMT 1:00]
Se ejecuta desde: C:\Documents and Settings\MANUEL JESÚS\Escritorio\ComboFix.exe
Command switches used :: D:\MI ALMACEN SOFTWARE\Informes Combofix\CFScript.txt
* Creado un nuevo punto de restauración

ADVERTENCIA - ESTE EQUIPO NO TIENE INSTALADA LA CONSOLA DE RECUPERACION!

FILE
C:\WINDOWS\imsins.BAK
C:\WINDOWS\System32\_svchost.exe
C:\WINDOWS\system32\jhgsdf324.exe
C:\WINDOWS\system32\ssymman.dll
C:\WINDOWS\system32\svchost.t__
C:\WINDOWS\system32\svchost.tmp
.

(((((((((((((((((((((((((((((((((((( Otras eliminaciones )))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\imsins.BAK
C:\WINDOWS\system32\jhgsdf324.exe
C:\WINDOWS\system32\ssymman.dll
C:\WINDOWS\system32\svchost.t__
C:\WINDOWS\system32\svchost.tmp
.
---- Previous Run -------
.
C:\WINDOWS\nwan.dat
C:\WINDOWS\system32\conf.dat

.
((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))

.
-------\LEGACY_NDISWON
-------\NdisWon








(((((((((((((((((( Archivos creados desde 2008-01-02 - 2008-02-02 )))))))))))))))))))))))))))))))))
.

2008-01-31 16:01 . 2000-08-31 08:00 51,200 --a------ C:\WINDOWS\Nircmd.exe
2008-01-31 15:33 . 2008-01-31 15:33 127 --a------ C:\WINDOWS\system32\MRT.INI
2008-01-31 15:30 . 2008-01-31 15:30 <DIR> d-------- C:\Archivos de programa\MSXML 4.0
2008-01-31 15:30 . 2002-11-14 20:43 220,672 --a------ C:\WINDOWS\system32\srrstr.dll
2008-01-31 15:30 . 2002-11-14 20:43 220,672 --a--c--- C:\WINDOWS\system32\dllcache\srrstr.dll
2008-01-31 14:06 . 2008-01-31 14:22 <DIR> d-------- C:\Archivos de programa\SUPERAntiSpyware
2008-01-31 14:05 . 2008-01-31 14:05 <DIR> d-------- C:\Archivos de programa\Archivos comunes\Wise Installation Wizard
2008-01-31 12:28 . 2008-01-31 12:28 <DIR> d-------- C:\Archivos de programa\CCleaner
2008-01-29 18:54 . 2008-01-29 18:54 <DIR> d-------- C:\saver
2008-01-26 22:01 . 2008-01-26 22:01 <DIR> d-------- C:\Archivos de programa\Trend Micro
2008-01-26 16:02 . 2008-01-26 16:02 172 --ah----- C:\sqmnoopt01.sqm
2008-01-26 16:02 . 2008-01-26 16:02 172 --ah----- C:\sqmdata01.sqm
2008-01-26 15:58 . 2008-01-26 15:58 268 --ah----- C:\sqmdata00.sqm
2008-01-26 15:58 . 2008-01-26 15:58 244 --ah----- C:\sqmnoopt00.sqm
2008-01-26 15:56 . 2008-01-26 15:56 <DIR> d----c--- C:\WINDOWS\system32\DRVSTORE
2008-01-26 15:34 . 2008-01-31 15:30 <DIR> d--h-c--- C:\WINDOWS\$xpsp1hfm$
2008-01-26 15:34 . 2004-01-10 06:11 26,112 --a------ C:\WINDOWS\system32\xpsp1hfm.exe
2008-01-26 00:47 . 2008-01-27 04:54 <DIR> d-------- C:\QUARANTINE
2008-01-25 23:02 . 2002-07-12 11:46 847,632 --a------ C:\WINDOWS\system32\msdxm.ocx
2008-01-25 23:02 . 2002-07-12 11:46 499,984 --a------ C:\WINDOWS\system32\dxmasf.dll
2008-01-25 23:02 . 2002-07-12 11:46 251,904 --a------ C:\WINDOWS\system32\strmdll.dll
2008-01-25 23:01 . 2008-01-25 23:02 <DIR> d--h----- C:\WINDOWS\msdownld.tmp
2008-01-25 23:00 . 2008-01-25 23:00 <DIR> d-------- C:\WINDOWS\Historial
2008-01-25 23:00 . 2000-07-20 16:04 122,880 --a------ C:\WINDOWS\system32\ie5.msi
2008-01-25 23:00 . 2000-07-20 16:51 15,872 --a------ C:\WINDOWS\system32\ie5msi.exe
2008-01-25 21:02 . 2008-01-25 21:02 <DIR> d-------- C:\Archivos de programa\7-Zip
2008-01-24 22:52 . 2008-01-24 22:52 <DIR> d-------- C:\WINDOWS\system32\bits
2008-01-24 21:39 . 2008-01-24 21:39 <DIR> d-------- C:\WINDOWS\system32\ZoneLabs
2008-01-24 21:39 . 2004-04-01 09:25 46,264 --a------ C:\WINDOWS\system32\vsutil_loc0c0a.dll
2008-01-24 21:39 . 2008-01-24 21:42 4,212 ---h----- C:\WINDOWS\system32\zllictbl.dat
2008-01-24 21:39 . 2008-02-02 14:10 526 --ah----- C:\WINDOWS\system32\vsconfig.xml
2008-01-24 21:34 . 2008-02-01 15:32 <DIR> d-------- C:\WINDOWS\Internet Logs
2008-01-24 19:25 . 2008-01-24 19:25 1 --a------ C:\WINDOWS\system32\rc.dat
2008-01-24 19:25 . 2008-01-24 19:25 1 --a------ C:\WINDOWS\system32\ps1.dat
2008-01-22 21:09 . 2008-01-25 20:15 <DIR> d-------- C:\cuarentena
2008-01-08 16:01 . 2008-01-31 13:56 <DIR> d-------- C:\Archivos de programa\Imperivm Civitas II

.
(((((((((((((((((((((((((((((((((((((( Reporte Find3M )))))))))))))))))))))))))))))))))))))))))))))))))) )
.
2008-01-27 16:12 721,408 ----a-w C:\WINDOWS\Internet Logs\xDB1.tmp
2008-01-27 16:12 140,800 ----a-w C:\WINDOWS\Internet Logs\xDB2.tmp
2008-01-22 20:08 12,800 ----a-w C:\WINDOWS\system32\svchost.exe
2008-01-22 14:33 --------- d-----w C:\Archivos de programa\Sparta - La Batalla de las Termópilas
2008-01-08 15:04 --------- d--h--w C:\Archivos de programa\FX Uninstall Information
2007-12-12 16:06 --------- d-----w C:\Archivos de programa\Imperivm Civitas
2007-12-10 18:17 --------- d-----w C:\Archivos de programa\EA SPORTS
2007-12-09 09:23 --------- d-----w C:\Archivos de programa\Network Associates
2007-12-09 09:23 --------- d-----w C:\Archivos de programa\Archivos comunes\Cisco Systems
2007-12-09 09:22 --------- d-----w C:\Archivos de programa\Archivos comunes\Network Associates
2007-12-08 18:17 --------- d-----w C:\Archivos de programa\Microsoft Games
2007-12-07 11:00 --------- d-----w C:\Archivos de programa\GameSpy Arcade
2007-12-07 10:31 --------- d--h--w C:\Archivos de programa\InstallShield Installation Information
2007-12-07 10:15 --------- d-----w C:\Archivos de programa\Panzers
.

((((((((((((((((((((((((((((( snapshot@2008-01-31_16.09.52.40 )))))))))))))))))))))))))))))))))))))))))
.
+ 2006-07-11 08:41:36 345,656 ----a-w C:\WINDOWS\Downloaded Program Files\ewidoOnlineScan.dll
- 2008-01-31 15:03:14 237,568 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\00000001\NTUSER.DAT
+ 2008-02-02 13:03:42 237,568 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\00000001\NTUSER.DAT
- 2008-01-31 15:03:14 8,192 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\00000002\UsrClass.dat
+ 2008-02-02 13:03:42 8,192 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\00000002\UsrClass.dat
- 2008-01-31 15:03:14 237,568 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\00000003\NTUSER.DAT
+ 2008-02-02 13:03:42 237,568 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\00000003\NTUSER.DAT
- 2008-01-31 15:03:14 8,192 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\00000004\UsrClass.dat
+ 2008-02-02 13:03:42 8,192 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\00000004\UsrClass.dat
- 2008-01-31 15:03:14 4,440,064 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\00000005\NTUSER.DAT
+ 2008-02-02 13:03:42 4,399,104 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\00000005\NTUSER.DAT
- 2008-01-31 15:03:14 401,408 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\00000006\UsrClass.dat
+ 2008-02-02 13:03:42 401,408 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\00000006\UsrClass.dat
- 2007-12-05 12:07:11 52,764 ----a-w C:\WINDOWS\system32\perfc009.dat
+ 2008-01-31 15:11:42 52,764 ----a-w C:\WINDOWS\system32\perfc009.dat
- 2007-12-05 12:07:11 68,696 ----a-w C:\WINDOWS\system32\perfc00A.dat
+ 2008-01-31 15:11:42 68,696 ----a-w C:\WINDOWS\system32\perfc00A.dat
- 2007-12-05 12:07:11 380,350 ----a-w C:\WINDOWS\system32\perfh009.dat
+ 2008-01-31 15:11:42 380,350 ----a-w C:\WINDOWS\system32\perfh009.dat
- 2007-12-05 12:07:11 439,680 ----a-w C:\WINDOWS\system32\perfh00A.dat
+ 2008-01-31 15:11:42 439,680 ----a-w C:\WINDOWS\system32\perfh00A.dat
.
((((((((((((((((((((((((((((((((( Cargando Puntos Reg ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Nota* entradas vac¡as & entradas leg¡timas predeterminadas no son mostradas

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\Run]
"E06EXLRD_6313968"="C:\Archivos de programa\Microsoft Encarta\Encarta 2006 Biblioteca Premium DVD\EDICT.exe" [2005-06-04 12:03 301776]
"SUPERAntiSpyware"="C:\Archivos de programa\SUPERAntiSpyware\SUPERAntiSpyware.exe" [2007-06-21 14:06 1318912]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run]
"Smapp"="C:\Archivos de programa\Analog Devices\SoundMAX\SMTray.exe" [2003-05-05 08:57 143360]
"NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.e xe" [2001-07-09 11:50 155648]
"SiSUSBRG"="C:\WINDOWS\SiSUSBrg.exe" [2005-01-26 17:12 106496]
"InCD"="C:\Archivos de programa\Ahead\InCD\InCD.exe" [2005-01-27 17:17 1381376]
"USB Storage Toolbox"="C:\Archivos de programa\USB Disk Win98 Driver\Res.EXE" [2005-09-14 19:44 65536]
"NvCplDaemon"="C:\WINDOWS\System32\NvCpl.dll" [2007-06-28 23:43 8466432]
"nwiz"="nwiz.exe" [2007-06-28 23:43 1626112 C:\WINDOWS\system32\nwiz.exe]
"NvMediaCenter"="C:\WINDOWS\System32\NvMcTray. dll" [2007-06-28 23:43 81920]
"\\EQUIPO-CE6WW9JL\EPSON Stylus Photo R240 Series"="C:\WINDOWS\System32\spool\DRIVERS\W32X86\ 3\E_FATIAHE.exe" [2005-04-25 06:00 98304]
"ShStatEXE"="C:\Archivos de programa\Network Associates\VirusScan\SHSTAT.exe" [2004-08-25 08:00 94208]
"McAfeeUpdaterUI"="C:\Archivos de programa\Network Associates\Common Framework\UpdaterUI.exe" [2004-08-06 03:50 139320]
"Network Associates Error Reporting Service"="C:\Archivos de programa\Archivos comunes\Network Associates\TalkBack\tbmon.exe" [2003-10-07 09:48 147514]
"Zone Labs Client"="C:\ARCHIV~1\ZONELA~1\ZONEAL~1\zlclient.ex e" [2004-04-01 09:30 693520]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\Cur rentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2001-08-24 13:00 13312]

[hkey_local_machine\software\microsoft\windows\curr entversion\explorer\shellexecutehooks]
"{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA}"= C:\Archivos de programa\SUPERAntiSpyware\SASSEH.DLL [2006-12-20 13:55 77824]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\!SASWinLogon]
C:\Archivos de programa\SUPERAntiSpyware\SASWINLO.dll 2007-04-19 13:41 294912 C:\Archivos de programa\SUPERAntiSpyware\SASWINLO.dll

S1 kcp;kcp;C:\WINDOWS\system32\drivers\kcp.sys []
S3 ewdmaudn;ewdmaudn;C:\DOCUME~1\MANUEL~1\CONFIG~1\Te mp\ewdmaudn.sys []
S3 USBSTOR;Dispositivo de almacenamiento masivo de datos USB;C:\WINDOWS\System32\DRIVERS\USBSTOR.SYS [2001-08-17 22:03]
S4 FFI;FFI;C:\WINDOWS\System32\svchost.exe:exm.exe []
S4 Microsoft P2P Service;Microsoft P2P Service;C:\WINDOWS\System32\_svchost.exe []

.
************************************************** ************************

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-02-02 1404
Windows 5.1.2600 NTFS

escaneando procesos ocultos ...

escaneando entradas ocultas de autostart ...

escaneando archivos ocultos ...

el escaneo se completo con exito
archivos ocultos: 0

************************************************** ************************

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\run]
"\\\\EQUIPO-CE6WW9JL\\EPSON Stylus Photo R240 Series"="C:\\WINDOWS\\System32\\spool\\DRIVERS\\W3 2X86\\3\\E_FATIAHE.EXE /P48 \"\\\\EQUIPO-CE6WW9JL\\EPSON Stylus Photo R240 Series\" /O6 \"USB003\" /M \"Stylus Photo R240\""

[HKEY_LOCAL_MACHINE\system\ControlSet001\Services\F FI]
"ImagePath"="C:\WINDOWS\System32\svchost.exe:exm.e xe"
.

Hola, ComboFix ya se encargó de eliminar los archivos de malwares encontrados en tu PC, por lo que si todo esta funcionado bien, damos por terminado el tema.

Para terminar solo te quedaría quitar CF de la siguiente manera:

• Ir a Inicio > Ejecutar
• Escribir lo siguiente: ComboFix /u como muestra la imagen debajo:
  
  
  • 

Esto realizara las siguientes tareas:

• Se borraran:
  • ComboFix: sus archivos y carpetas.
  • VundoFix: copias de seguridad (si está presente)
  • La carpeta C:\Deckard (si está presente)
  • La carpeta C: _OtMoveIt (si está presente)
• Restablece la configuración del reloj.
• Ocultar extensiones de archivo (si es necesario.)
• Oculta los archivos que estaban ocultos
• Reactiva el "Restaurar Sistema"

Para terminar descarga y ejecuta la utilidad Advanced WindowsCare, para reparar y optimizar a fondo tu PC.

Saludos