Hola a todos
De nuevo entro al foro, mi tema parecia solucionado...pero el Vundo surgio de nuevo y esta vez mas fuerte, apenas desactive el combofix,, todo parecia bien instale el firefox, pero de alli de nuevo surgieron los problemas, el principal problema es la enorme lentitud al cargar las paginas del Ie y firefox...le corri el superantispyware y de nuevo detecto variantes del Vundo,,,ese bicho que parece tan dificil de eliminar...

Les mando de nuevo mi log de hjt a ver si me pueden ayudara a deshacerme de este molesto bicho..

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 10:44:20 p.m., on 12/03/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\drivers\CDAC11BA.EXE
C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\SOUNDMAN.EXE
D:\Archivos de Programa\OLYMPUS Master\FirstStart.exe
D:\Archivos de Programa\sony ericsson\Application Launcher\Application Launcher.exe
D:\archivos de programa\quicktime\qttask.exe
D:\Archivos de Programa\adobe fotoshopse\3.0\Apps\apdproxy.exe
C:\WINDOWS\system32\Rundll32.exe
C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\rundll32.exe
C:\Archivos de programa\Archivos comunes\Teleca Shared\CapabilityManager.exe
D:\Archivos de Programa\SUPERAntiSpyware\SUPERAntiSpyware.exe
C:\Archivos de programa\Messenger\msmsgs.exe
C:\WINDOWS\system32\svchost.exe
C:\Archivos de programa\Archivos comunes\Teleca Shared\Generic.exe
D:\Archivos de Programa\sony ericsson\Mobile Phone Monitor\epmworker.exe
C:\Archivos de programa\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\wscntfy.exe
D:\Archivos de Programa\HJT\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {6D794CB4-C7CD-4c6f-BFDC-9B77AFBDC02C} - (no file)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: (no name) - {E4812378-8E53-4F85-BCD3-7E6D3954A423} - (no file)
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [OM_Monitor] D:\Archivos de Programa\OLYMPUS Master\FirstStart.exe
O4 - HKLM\..\Run: [Sony Ericsson PC Suite] "D:\Archivos de Programa\sony ericsson\Application Launcher\Application Launcher.exe" /startoptions
O4 - HKLM\..\Run: [QuickTime Task] "D:\archivos de programa\quicktime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Adobe Photo Downloader] "D:\Archivos de Programa\adobe fotoshopse\3.0\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [f4a1a275] rundll32.exe "C:\WINDOWS\system32\oybmvfya.dll",b
O4 - HKLM\..\Run: [BMf79291e9] Rundll32.exe "C:\WINDOWS\system32\sscmmojm.dll",s
O4 - HKCU\..\Run: [MsnMsgr] "C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NVMCTRAY.DLL,NvTaskbarInit
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [NVIEW] rundll32.exe nview.dll,nViewLoadHook
O4 - HKCU\..\Run: [OM_Monitor] D:\Archivos de Programa\OLYMPUS Master\Monitor.exe
O4 - HKCU\..\Run: [SUPERAntiSpyware] D:\Archivos de Programa\SUPERAntiSpyware\SUPERAntiSpyware.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Archivos de programa\Messenger\msmsgs.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICIO LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Servicio de red')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Archivos de programa\Archivos comunes\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Inicio rápido de Adobe Reader.lnk = C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Investigador - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Encarta Researcher\EROPROJ.DLL
O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O20 - Winlogon Notify: !SASWinLogon - D:\Archivos de Programa\SUPERAntiSpyware\SASWINLO.DLL
O20 - Winlogon Notify: tuvvuvs - tuvvuvs.dll (file missing)
O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\system32\drivers\CDAC11BA.EXE
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Archivos de programa\Archivos comunes\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

--
End of file - 6214 bytes
Gracias

Hola mirko_ll vamos a desinfectar tu PC a partir de este momento.

Por favor realiza los siguientes pasos:

-Apaga el "Restaurar Sistema" (solo en Win Me y XP) y activa ver archivos ocultos.

- Descarga, Instala y/o actualiza y estos programas, (pero no las ejecutes aun).

• Malwarebytes' Anti-Malware <---instalalo y actualizalo pero no lo ejecutes todavia.
  NOTA: Si despues de instalarlo el lenguaje esta en Ingles ve a la pestaña "Settings" y lo cambias a Español.
  
• VundoFix.exe

- Reinicia en Modo Seguro (a prueba de fallos) .

• Ejecuta el Hijackthis con todos los programas cerrados y dale a las siguientes entradas si estas se encuentran:

O2 - BHO: (no name) - {6D794CB4-C7CD-4c6f-BFDC-9B77AFBDC02C} - (no file)

O2 - BHO: (no name) - {E4812378-8E53-4F85-BCD3-7E6D3954A423} - (no file)

O4 - HKLM\..\Run: [f4a1a275] rundll32.exe "C:\WINDOWS\system32\oybmvfya.dll",b

O4 - HKLM\..\Run: [BMf79291e9] Rundll32.exe "C:\WINDOWS\system32\sscmmojm.dll",s

O20 - Winlogon Notify: tuvvuvs - tuvvuvs.dll (file missing)

-Ejecuta estos programas (de a uno).

• Malwarebytes' Anti-Malware

• Ve a la pestaña "Herramientas" y ejecuta el Fileassassin para eliminar los archivos que te pongo a continuación en rojo si estos se encuentran:
  

  C:\WINDOWS\system32\oybmvfya.dll
  C:\WINDOWS\system32\sscmmojm.dll
  

• A continuación realiza un escaneo completo del PC y elimina las infecciones que este detecte.
  NOTA: Esto es fundamental, mandalas a cuarentena y eliminalas desde alli y pegas el reporte generado despues de la eliminación.
  
  El reporte queda guardado en la pestaña "Logs" o "Registros" en español, abres el reporte y copias el contenido para pegarlo en este tema.

• VundoFix.exe

- Reinicia en modo normal y usa el CCleaner para limpiar el sistema.
Primero utiliza la opción de "Limpiador" para borrar cookies, temporales de Internet y todos los archivos que este te muestre como obsoletos.
Luego usa su opción de "Registro" para limpiar todo el registro de Windows (haciendo copia de seguridad).

-Pega un nuevo log de Hijackthis junto a los reportes de Vundofix y Malwarebytes' Anti-Malware para analizarlos.

NOTA:
-Para mayor comodidad imprime los pasos.
-Al terminar los pasos esconde los archivos ocultos y activa restaurar sistema.
-Recuerda volver y contarnos los resultados.

Hola Guillermo tell

Segui las instrucciones y lo siguiente ocurrió:

- Primero en ele HJT le di fix checked a todas las entradas menos a esta..la cual no encontre:
O2 - BHO: (no name) - {6D794CB4-C7CD-4c6f-BFDC-9B77AFBDC02C} - (no file)

- Despues con el file assassin del Malwarebytes, elimien el archivo:C:\WINDOWS\system32\sscmmojm.dll

- El otro archivo: C:\WINDOWS\system32\oybmvfya.dll... no lo encontre..asi que no lo elimine.


El reporte de Malwarebytes:
alwarebytes' Anti-Malware 1.08
Versión de la Base de Datos: 495

Tipo de examen : Examen Completo (C:\|D:\|)
Objetos examinados: 98412
Tiempo transcurrido: 17 minute(s), 49 second(s)

Procesos en Memoria Infectados: 0
Módulos en Memoria Infectados: 0
Claves del Registro Infectadas: 13
Valores del Registro Infectados: 0
Elementos de Datos del Registro Infectados: 0
Carpetas Infectadas: 0
Ficheros Infectados: 1

Procesos en Memoria Infectados:
(No se han detectado elementos maliciosos)

Módulos en Memoria Infectados:
(No se han detectado elementos maliciosos)

Claves del Registro Infectadas:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\aoprndtws (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\jkwslist (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Software\Microsoft\aldd (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Software\Microsoft\MS Juan (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Software\Microsoft\affri (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Software\Microsoft\affltid (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Software\Microsoft\rdfa (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\affltid (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\affri (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MS Juan (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Juan (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\FCOVM (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\RemoveRP (Trojan.Vundo) -> Quarantined and deleted successfully.

Valores del Registro Infectados:
(No se han detectado elementos maliciosos)

Elementos de Datos del Registro Infectados:
(No se han detectado elementos maliciosos)

Carpetas Infectadas:
(No se han detectado elementos maliciosos)

Ficheros Infectados:
D:\Archivos de Programa\ARES\tcpip_patcher.sys (Adware.WhenUSave) -> Quarantined and deleted successfully.



El Vundo Fix no me detecto nada asi que no me boto reporte...



Despues de todos estos pasos el ultimo reporte de HJt....Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 06:50:48 p.m., on 15/03/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\drivers\CDAC11BA.EXE
C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\SOUNDMAN.EXE
D:\Archivos de Programa\OLYMPUS Master\FirstStart.exe
D:\Archivos de Programa\sony ericsson\Application Launcher\Application Launcher.exe
D:\archivos de programa\quicktime\qttask.exe
D:\Archivos de Programa\adobe fotoshopse\3.0\Apps\apdproxy.exe
C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe
C:\Archivos de programa\Archivos comunes\Teleca Shared\CapabilityManager.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\rundll32.exe
D:\Archivos de Programa\SUPERAntiSpyware\SUPERAntiSpyware.exe
C:\Archivos de programa\Messenger\msmsgs.exe
C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\reader_sl.exe
C:\WINDOWS\system32\svchost.exe
C:\Archivos de programa\Archivos comunes\Teleca Shared\Generic.exe
D:\Archivos de Programa\sony ericsson\Mobile Phone Monitor\epmworker.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\wscntfy.exe
D:\Archivos de Programa\HJT\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.5.0_06\bin\ssv.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [OM_Monitor] D:\Archivos de Programa\OLYMPUS Master\FirstStart.exe
O4 - HKLM\..\Run: [Sony Ericsson PC Suite] "D:\Archivos de Programa\sony ericsson\Application Launcher\Application Launcher.exe" /startoptions
O4 - HKLM\..\Run: [QuickTime Task] "D:\archivos de programa\quicktime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Adobe Photo Downloader] "D:\Archivos de Programa\adobe fotoshopse\3.0\Apps\apdproxy.exe"
O4 - HKCU\..\Run: [MsnMsgr] "C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NVMCTRAY.DLL,NvTaskbarInit
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [NVIEW] rundll32.exe nview.dll,nViewLoadHook
O4 - HKCU\..\Run: [OM_Monitor] D:\Archivos de Programa\OLYMPUS Master\Monitor.exe
O4 - HKCU\..\Run: [SUPERAntiSpyware] D:\Archivos de Programa\SUPERAntiSpyware\SUPERAntiSpyware.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Archivos de programa\Messenger\msmsgs.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICIO LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Servicio de red')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Archivos de programa\Archivos comunes\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Inicio rápido de Adobe Reader.lnk = C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Investigador - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Encarta Researcher\EROPROJ.DLL
O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O20 - Winlogon Notify: !SASWinLogon - D:\Archivos de Programa\SUPERAntiSpyware\SASWINLO.DLL
O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\system32\drivers\CDAC11BA.EXE
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Archivos de programa\Archivos comunes\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

--
End of file - 5850 bytes


Ahora que reinicie la maquina, yan om e aparece emnsaje de error pero me salio un mensaje de instalacion de Sony ericcson..

Saludos

Hola el log ya no muestra rastros de Vundo en el sistema.

Para solucionar el problema de la ventana de instalación de Sony Ercison realiza lo siguiente:

• Ejecuta Hijackthis con todos los programas cerrados y dale a esta entrada:

O4 - HKLM\..\Run: [Sony Ericsson PC Suite] "D:\Archivos de Programa\sony ericsson\Application Launcher\Application Launcher.exe" /startoptions

NOTA: Si tu no instalaste el programa sony ericsson lo desinstalas y eliminas la carpeta D:\Archivos de Programa\sony ericsson

• Reinicia para ver los resultados y realiza un escaneo completo del PC con el con Kaspersky online y pegas su reporte para revisarlo.

Saludos.

Hola Guillermo
lo siento por demorarme estos dias estuve muy ocupado, x eso me demore , bueno, mientras cargaba el kapersky me di cuenta que los sintomas iniciales volvieron, la lentitud ...asi que no pude terminar de hacer el scaneo....le pase un scan con el malawarebyte y me detecto de nuevo el vundo ...uhm este bicho es muy dificil de eliminar,,,

aqui el reporte

Malwarebytes' Anti-Malware 1.08
Versión de la Base de Datos: 495

Tipo de examen : Examen Completo (C:\|D:\|)
Objetos examinados: 93591
Tiempo transcurrido: 21 minute(s), 27 second(s)

Procesos en Memoria Infectados: 0
Módulos en Memoria Infectados: 3
Claves del Registro Infectadas: 16
Valores del Registro Infectados: 1
Elementos de Datos del Registro Infectados: 2
Carpetas Infectadas: 0
Ficheros Infectados: 6

Procesos en Memoria Infectados:
(No se han detectado elementos maliciosos)

Módulos en Memoria Infectados:
C:\WINDOWS\system32\fbvcxksf.dll (Trojan.Vundo) -> No action taken.
C:\WINDOWS\system32\vtsqr.dll (Trojan.Vundo) -> No action taken.
C:\WINDOWS\system32\opnlklj.dll (Trojan.Vundo) -> No action taken.

Claves del Registro Infectadas:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Explorer\Browser Helper Objects\{8f533e80-9d9a-489b-a147-be598af8c4b3} (Trojan.Vundo) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{8f533e80-9d9a-489b-a147-be598af8c4b3} (Trojan.Vundo) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{6d794cb4-c7cd-4c6f-bfdc-9b77afbdc02c} (Trojan.Vundo) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\opnlklj (Trojan.Vundo) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\aoprndtws (Malware.Trace) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\jkwslist (Malware.Trace) -> No action taken.
HKEY_CURRENT_USER\Software\Microsoft\aldd (Malware.Trace) -> No action taken.
HKEY_CURRENT_USER\Software\Microsoft\MS Juan (Malware.Trace) -> No action taken.
HKEY_CURRENT_USER\Software\Microsoft\affri (Malware.Trace) -> No action taken.
HKEY_CURRENT_USER\Software\Microsoft\affltid (Malware.Trace) -> No action taken.
HKEY_CURRENT_USER\Software\Microsoft\rdfa (Trojan.Vundo) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\affltid (Malware.Trace) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\affri (Malware.Trace) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MS Juan (Malware.Trace) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Juan (Trojan.Vundo) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\RemoveRP (Trojan.Vundo) -> No action taken.

Valores del Registro Infectados:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Explorer\ShellExecuteHooks\{6d794cb4-c7cd-4c6f-bfdc-9b77afbdc02c} (Trojan.Vundo) -> No action taken.

Elementos de Datos del Registro Infectados:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Contro l\LSA\Authentication Packages (Trojan.Vundo) -> Data: c:\windows\system32\vtsqr.dll -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Contro l\Lsa\Authentication Packages (Trojan.Vundo) -> Data: c:\windows\system32\vtsqr.dll -> No action taken.

Carpetas Infectadas:
(No se han detectado elementos maliciosos)

Ficheros Infectados:
C:\WINDOWS\system32\fbvcxksf.dll (Trojan.Vundo) -> No action taken.
C:\WINDOWS\system32\fskxcvbf.ini (Trojan.Vundo) -> No action taken.
C:\WINDOWS\system32\vtsqr.dll (Trojan.Vundo) -> No action taken.
C:\WINDOWS\system32\rqstv.ini (Trojan.Vundo) -> No action taken.
C:\WINDOWS\system32\rqstv.ini2 (Trojan.Vundo) -> No action taken.
C:\WINDOWS\system32\opnlklj.dll (Trojan.Vundo) -> No action taken.


y el de HJt

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 11:16:42 p.m., on 19/03/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\drivers\CDAC11BA.EXE
C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\SOUNDMAN.EXE
D:\Archivos de Programa\OLYMPUS Master\FirstStart.exe
D:\archivos de programa\quicktime\qttask.exe
D:\Archivos de Programa\adobe fotoshopse\3.0\Apps\apdproxy.exe
C:\WINDOWS\system32\Rundll32.exe
C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\rundll32.exe
D:\Archivos de Programa\SUPERAntiSpyware\SUPERAntiSpyware.exe
C:\Archivos de programa\Archivos comunes\Teleca Shared\CapabilityManager.exe
C:\Archivos de programa\Messenger\msmsgs.exe
C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\reader_sl.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Archivos de programa\Internet Explorer\IEXPLORE.EXE
D:\Archivos de Programa\HJT\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.5.0_06\bin\ssv.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [OM_Monitor] D:\Archivos de Programa\OLYMPUS Master\FirstStart.exe
O4 - HKLM\..\Run: [Sony Ericsson PC Suite] "D:\Archivos de Programa\sony ericsson\Application Launcher\Application Launcher.exe" /startoptions
O4 - HKLM\..\Run: [QuickTime Task] "D:\archivos de programa\quicktime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Adobe Photo Downloader] "D:\Archivos de Programa\adobe fotoshopse\3.0\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [f4a1a275] rundll32.exe "C:\WINDOWS\system32\fbvcxksf.dll",b
O4 - HKLM\..\Run: [BMf79291e9] Rundll32.exe "C:\WINDOWS\system32\ourrsoyi.dll",s
O4 - HKCU\..\Run: [MsnMsgr] "C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NVMCTRAY.DLL,NvTaskbarInit
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [NVIEW] rundll32.exe nview.dll,nViewLoadHook
O4 - HKCU\..\Run: [OM_Monitor] D:\Archivos de Programa\OLYMPUS Master\Monitor.exe
O4 - HKCU\..\Run: [SUPERAntiSpyware] D:\Archivos de Programa\SUPERAntiSpyware\SUPERAntiSpyware.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Archivos de programa\Messenger\msmsgs.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICIO LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Servicio de red')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Archivos de programa\Archivos comunes\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Inicio rápido de Adobe Reader.lnk = C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Investigador - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Encarta Researcher\EROPROJ.DLL
O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/english/kavwebscan_unicode.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O20 - Winlogon Notify: !SASWinLogon - D:\Archivos de Programa\SUPERAntiSpyware\SASWINLO.DLL
O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\system32\drivers\CDAC11BA.EXE
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Archivos de programa\Archivos comunes\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

--
End of file - 6009 bytes

Si me podrias ayudar a eliminar definitivamente este bicho te staria muy agradecido...

Mirko..

Hola por favor realiza el siguiente procedimiento en modo normal:


Paso 1- Descarga estas herramientas pero no las ejecutes aun:

• ComboFix.exe
• SUPERAntiSpyware

Paso 2- Con todos los programas cerrados ejecuta el HijackThis y dale a estas entradas:


O4 - HKLM\..\Run: [f4a1a275] rundll32.exe "C:\WINDOWS\system32\fbvcxksf.dll",b

O4 - HKLM\..\Run: [BMf79291e9] Rundll32.exe "C:\WINDOWS\system32\ourrsoyi.dll",s




Paso 3- Ejecuta estas herramientas, de a una:

• SUPERAntiSpyware

• Antes de usar ComboFix....
• Desactiva temporalmente el Antivirus y/o Antispyware.
• Cierra todas las ventanas abiertas.
• Hacele doble clic al archivo ComboFix.exe y seguí las instrucciones.
• Cuando termine, generara un registro en C:\ComboFix.txt.
  • *Nota* Mientras CF este trabajando no mover el mouse ya que pararía su proceso.
  • *Nota* ComboFix puede reiniciar automáticamente el PC para completar el proceso de eliminación.

Paso 4- Descarga CCleaner y ejecútalo usando primero su opción de "Limpiador" para borrar cookies, temporales de Internet y todos los archivos que este te muestre como obsoletos, y luego usa su opción de "Registro" para limpiar todo el registro de Windows (haciendo copia de seguridad).

Reinicia y nos contas los resultados. junto con el reporte de C:\ComboFix.txt y un nuevo Log de Hijackthis en este mismo mensaje.

Hola Guillermo Tell
segui las instrucciones, hasta hora parece estar bien, ya no tiene la lentitud para catgar las paginas , ni aparecen mensajes de error, sin embargo prefiero esperar para ver como le va...no vaya a ser que el bicho regrese com la vez anterior..

aqui los reportes:


de COMBO FIX.....


ComboFix 08-03-21.1 - Pc 2008-03-21 18:40:15.3 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.3082.18.240 [GMT -5:00]
Se ejecuta desde: C:\Documents and Settings\Pc\Escritorio\ComboFix.exe
* Creado un nuevo punto de restauración

ADVERTENCIA - ESTE EQUIPO NO TIENE INSTALADA LA CONSOLA DE RECUPERACION!
.

((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\BMf79291e9.xml
C:\WINDOWS\pskt.ini
C:\WINDOWS\system32\fbvcxksf.dll
C:\WINDOWS\system32\fskxcvbf.ini
C:\WINDOWS\system32\jjllm.ini2
C:\WINDOWS\system32\nwtikmyf.dll
C:\WINDOWS\system32\opnlklj.dll
C:\WINDOWS\system32\ourrsoyi.dll

.
((((((((((((((((((((((((( Files Created from 2008-02-21 to 2008-03-21 )))))))))))))))))))))))))))))))
.

2008-03-18 20:36 . 2008-03-18 20:36 <DIR> d-------- C:\WINDOWS\system32\Kaspersky Lab
2008-03-18 20:36 . 2008-03-18 20:36 <DIR> d-------- C:\Documents and Settings\All Users\Datos de programa\Kaspersky Lab
2008-03-15 18:39 . 2008-03-15 18:39 <DIR> d-------- C:\VundoFix Backups
2008-03-15 17:52 . 2008-03-15 17:52 <DIR> d-------- C:\Documents and Settings\Pc\Datos de programa\Malwarebytes
2008-03-15 17:51 . 2008-03-15 17:51 <DIR> d-------- C:\Documents and Settings\All Users\Datos de programa\Malwarebytes
2008-03-15 17:51 . 2008-03-15 17:51 <DIR> d-------- C:\Archivos de programa\Malwarebytes' Anti-Malware
2008-03-12 22:15 . 2008-03-12 22:15 1,321,124 ---hs---- C:\WINDOWS\system32\ayfvmbyo.tmp2
2008-03-12 22:15 . 2008-03-12 22:15 1,321,064 ---hs---- C:\WINDOWS\system32\ayfvmbyo.tmp
2008-03-10 20:12 . 2008-03-12 20:36 1,320,275 ---hs---- C:\WINDOWS\system32\cdrrwgnl.ini
2008-03-10 19:57 . 2008-03-10 19:57 1,186 --a------ C:\WINDOWS\mozver.dat
2008-03-09 18:16 . 2008-03-09 18:16 0 --a------ C:\WINDOWS\nsreg.dat
2008-03-07 21:57 . 2008-03-08 16:36 <DIR> d-------- C:\WINDOWS\system32\config\systemprofile\Configura ción local
2008-03-07 21:57 . 2008-03-08 16:36 <DIR> d-------- C:\Documents and Settings\Pc\Configuración local
2008-03-07 21:57 . 2008-03-08 16:36 <DIR> d-------- C:\Documents and Settings\NetworkService\Configuración local
2008-03-07 21:57 . 2008-03-08 16:36 <DIR> d-------- C:\Documents and Settings\LocalService\Configuración local
2008-03-07 21:57 . 2008-03-08 16:36 <DIR> d-------- C:\Documents and Settings\Administrador\Configuración local
2008-03-01 21:46 . 2008-03-01 21:46 <DIR> d-------- C:\Documents and Settings\Pc\Datos de programa\Apple Computer
2008-02-27 20:57 . 2008-02-27 20:57 268 --ah----- C:\sqmdata01.sqm
2008-02-27 20:57 . 2008-02-27 20:57 244 --ah----- C:\sqmnoopt01.sqm

.
(((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))) ))
.
2008-02-23 03:06 --------- d-----w C:\Archivos de programa\Winamp
2008-02-23 03:05 --------- d-----w C:\Archivos de programa\MSN Messenger
2008-02-23 02:58 --------- d-----w C:\Archivos de programa\Archivos comunes\Teleca Shared
2008-02-23 02:57 --------- d-----w C:\Archivos de programa\Archivos comunes\Autodesk Shared
.

((((((((((((((((((((((((((((((((((((((((((((( AWF )))))))))))))))))))))))))))))))))))))))))))))))))) ))))))))
.
----a-w 1,937,408 2005-02-10 22:00:54 C:\Archivos de programa\Ahead\Nero BackItUp\bak\NBJ.exe

----a-w 36,975 2005-11-10 18:03:52 C:\Archivos de programa\Java\jre1.5.0_06\bin\bak\jusched.exe

----a-w 33,792 2003-12-13 00:50:34 C:\Archivos de programa\Winamp\bak\winampa.exe

----a-w 15,360 2004-08-19 13:42:42 C:\WINDOWS\system32\bak\ctfmon.exe
----a-w 15,360 2004-08-19 13:42:42 C:\WINDOWS\system32\ctfmon.exe

----a-w 77,824 2005-12-28 22:16:36 D:\Archivos de Programa\quicktime\bak\qttask.exe
----a-w 155,648 2007-12-14 02:35:24 D:\Archivos de Programa\quicktime\qttask.exe

----a-w 57,344 2005-07-19 16:14:00 D:\Archivos de Programa\OLYMPUS Master\bak\Monitor.exe
----a-w 36,862 2007-02-04 22:20:24 D:\Archivos de Programa\OLYMPUS Master\Monitor.exe

----a-w 40,960 2005-07-19 16:06:00 D:\Archivos de Programa\OLYMPUS Master\bak\FirstStart.exe
----a-w 45,054 2007-02-04 22:20:24 D:\Archivos de Programa\OLYMPUS Master\FirstStart.exe

.
((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\Run]
"MsnMsgr"="C:\Archivos de programa\MSN Messenger\MsnMsgr.exe" [2007-01-19 12:55 5674352]
"NvMediaCenter"="C:\WINDOWS\system32\NVMCTRAY. DLL" [2003-06-18 00:31 49152]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-19 08:42 15360]
"NVIEW"="nview.dll" [2003-06-18 00:31 852038 C:\WINDOWS\system32\nview.dll]
"OM_Monitor"="D:\Archivos de Programa\OLYMPUS Master\Monitor.exe" [2007-02-04 17:20 36862]
"SUPERAntiSpyware"="D:\Archivos de Programa\SUPERAntiSpyware\SUPERAntiSpyware.exe" [2007-06-16 16:20 1314816]
"MSMSGS"="C:\Archivos de programa\Messenger\msmsgs.exe" [2004-08-19 15:57 1667584]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2003-06-18 00:31 4734976]
"nwiz"="nwiz.exe" [2003-06-18 00:31 323584 C:\WINDOWS\system32\nwiz.exe]
"SoundMan"="SOUNDMAN.EXE" [2003-04-24 18:53 54784 C:\WINDOWS\SOUNDMAN.EXE]
"OM_Monitor"="D:\Archivos de Programa\OLYMPUS Master\FirstStart.exe" [2007-02-04 17:20 45054]
"Sony Ericsson PC Suite"="D:\Archivos de Programa\sony ericsson\Application Launcher\Application Launcher.exe" [2005-10-26 16:17 159744]
"QuickTime Task"="D:\archivos de programa\quicktime\qttask.exe" [2007-12-13 21:35 155648]
"Adobe Photo Downloader"="D:\Archivos de Programa\adobe fotoshopse\3.0\Apps\apdproxy.exe" [2005-06-06 23:46 57344]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\Cur rentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-19 08:42 15360]

[hkey_local_machine\software\microsoft\windows\curr entversion\explorer\shellexecutehooks]
"{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA}"= D:\Archivos de Programa\SUPERAntiSpyware\SASSEH.DLL [2006-12-20 12:55 77824]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\!SASWinLogon]
D:\Archivos de Programa\SUPERAntiSpyware\SASWINLO.DLL 2007-05-06 21:59 294912 D:\Archivos de Programa\SUPERAntiSpyware\SASWINLO.DLL

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menú Inicio^Programas^Inicio^Actualización de PER Antivirus.lnk]
path=C:\Documents and Settings\All Users\Menú Inicio\Programas\Inicio\Actualización de PER Antivirus.lnk
backup=C:\WINDOWS\pss\Actualización de PER Antivirus.lnkCommon Startup

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menú Inicio^Programas^Inicio^MSN Messenger 7.1 PoWer Plus.lnk]
path=C:\Documents and Settings\All Users\Menú Inicio\Programas\Inicio\MSN Messenger 7.1 PoWer Plus.lnk
backup=C:\WINDOWS\pss\MSN Messenger 7.1 PoWer Plus.lnkCommon Startup

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menú Inicio^Programas^Inicio^WinZip Quick Pick.lnk]
path=C:\Documents and Settings\All Users\Menú Inicio\Programas\Inicio\WinZip Quick Pick.lnk
backup=C:\WINDOWS\pss\WinZip Quick Pick.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CloneCDTray]
--a------ 2004-09-02 16:57 57344 C:\Archivos de programa\SlySoft\CloneCD\CloneCDTray.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
--a------ 2001-07-09 10:50 155648 C:\WINDOWS\system32\NeroCheck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RemoteControl]
C:\Archivos de programa\CyberLink\PowerDVD\PDVDServ.exe

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusDisableNotify"=dword:00000001
"UpdatesDisableNotify"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpo licy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpo licy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Archivos de programa\\MSN Messenger\\msnmsgr.exe"=
"C:\\Archivos de programa\\MSN Messenger\\livecall.exe"=

S3 ercmnd5;Ericsson USB networking driver (NDIS);C:\WINDOWS\system32\DRIVERS\ercmnd5.sys [2001-11-14 08:23]
S3 ercmunic;PipeRider(tm) WDM Driver;C:\WINDOWS\system32\DRIVERS\ercmunic.sys [2001-11-14 08:23]
S3 w200bus;Sony Ericsson W200 driver (WDM);C:\WINDOWS\system32\DRIVERS\w200bus.sys [2006-11-07 09:42]
S3 w200mdfl;Sony Ericsson W200 USB WMC Modem Filter;C:\WINDOWS\system32\DRIVERS\w200mdfl.sys [2006-11-07 09:42]
S3 w200mdm;Sony Ericsson W200 USB WMC Modem Driver;C:\WINDOWS\system32\DRIVERS\w200mdm.sys [2006-11-07 09:42]
S3 w200mgmt;Sony Ericsson W200 USB WMC Device Management Drivers (WDM);C:\WINDOWS\system32\DRIVERS\w200mgmt.sys [2006-11-07 09:42]
S3 w200obex;Sony Ericsson W200 USB WMC OBEX Interface;C:\WINDOWS\system32\DRIVERS\w200obex.sys [2006-11-07 09:42]

.
************************************************** ************************

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-03-21 18:42:53
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden files: 0

************************************************** ************************
.
------------------------ Other Running Processes ------------------------
.
C:\WINDOWS\system32\drivers\CDAC11BA.EXE
C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\system32\rundll32.exe
C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\reader_sl.exe
C:\Archivos de programa\Archivos comunes\Teleca Shared\CapabilityManager.exe
c:\archivos de programa\internet explorer\iexplore.exe
C:\WINDOWS\system32\wscntfy.exe
.
************************************************** ************************
.
Completion time: 2008-03-21 18:44:31 - machine was rebooted
ComboFix-quarantined-files.txt 2008-03-21 23:44:28
ComboFix2.txt 2008-03-08 21:36:56


Y el de HJT


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 06:53:46 p.m., on 21/03/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\drivers\CDAC11BA.EXE
C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\SOUNDMAN.EXE
D:\Archivos de Programa\OLYMPUS Master\FirstStart.exe
D:\archivos de programa\quicktime\qttask.exe
D:\Archivos de Programa\adobe fotoshopse\3.0\Apps\apdproxy.exe
C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\rundll32.exe
D:\Archivos de Programa\SUPERAntiSpyware\SUPERAntiSpyware.exe
C:\Archivos de programa\Archivos comunes\Teleca Shared\CapabilityManager.exe
C:\Archivos de programa\Messenger\msmsgs.exe
C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\reader_sl.exe
C:\WINDOWS\system32\svchost.exe
C:\Archivos de programa\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\wscntfy.exe
D:\Archivos de Programa\HJT\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.5.0_06\bin\ssv.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [OM_Monitor] D:\Archivos de Programa\OLYMPUS Master\FirstStart.exe
O4 - HKLM\..\Run: [Sony Ericsson PC Suite] "D:\Archivos de Programa\sony ericsson\Application Launcher\Application Launcher.exe" /startoptions
O4 - HKLM\..\Run: [QuickTime Task] "D:\archivos de programa\quicktime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Adobe Photo Downloader] "D:\Archivos de Programa\adobe fotoshopse\3.0\Apps\apdproxy.exe"
O4 - HKCU\..\Run: [MsnMsgr] "C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NVMCTRAY.DLL,NvTaskbarInit
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [NVIEW] rundll32.exe nview.dll,nViewLoadHook
O4 - HKCU\..\Run: [OM_Monitor] D:\Archivos de Programa\OLYMPUS Master\Monitor.exe
O4 - HKCU\..\Run: [SUPERAntiSpyware] D:\Archivos de Programa\SUPERAntiSpyware\SUPERAntiSpyware.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Archivos de programa\Messenger\msmsgs.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICIO LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Servicio de red')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Archivos de programa\Archivos comunes\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Inicio rápido de Adobe Reader.lnk = C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Investigador - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Encarta Researcher\EROPROJ.DLL
O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/english/kavwebscan_unicode.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O20 - Winlogon Notify: !SASWinLogon - D:\Archivos de Programa\SUPERAntiSpyware\SASWINLO.DLL
O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\system32\drivers\CDAC11BA.EXE
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Archivos de programa\Archivos comunes\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

--
End of file - 5813 bytes


Saludos...

Hola el Log de Hijackthis ya esta limpio pero quedan rastros de la infección que vamos a eliminar con los siguientes pasos:

1.-Abrir el Notepad (Bloc de Notas)

• Ir a INICIO > EJECUTAR >
• Y ahí pones notepad.exe y ACEPTAR

2.-Ahora copia y pega estos archivos dentro del Notepad

3.- Graba este archivo con el nombre CFScript.txt y déjalo en tu escritorio.

4.- Arrastrar y soltar el archivo CFScript.txt dentro del archivo ComboFix.exe como lo muestra la animación de abajo. Esto activara ComboFix nuevamente.

• Reinicia tu PC y nos dejas un el nuevo reporte de ComboFix, comentándonos como esta funcionado todo actualmente?

NOTA
La infección modifico unas claves en el registro que deben ser reparadas de forma manual siguiendo estas indicaciones:

Ve a inicio > ejecutar y ecribes regedit y le das Aceptar.

Se abrira el editor de registro:

-Busca las siguientes claves de registro:

HKEY_LOCAL_MACHINE\
software\
microsoft\
security center
"UpdatesDisableNotify"=dword:00000001 <--- Cambia el valor de 1 a 0 (cero)

HKEY_LOCAL_MACHINE\
software\
microsoft\
security center
"AntiVirusDisableNotify"=dword:00000001 <--- Cambia el valor de 1 a 0 (cero)

HKEY_LOCAL_MACHINE\
SYSTEM\
CurrentControlSet\
Services\
SharedAccess\
Parameters\
FirewallPolicy\
StandardProfile
"EnableFirewall"= 0 (0x0) <--- Cambia el valor de 0 a 1 (uno)

Hola
Seguí los pasos...del combo fix y tb del registro, todo parece estar bien por el momento..pero quisera esperar un poco para estar seguro que la infeccion ya se elimino del todo..

Aqui el log de COMBOfix.....



ComboFix 08-03-21.1 - Pc 2008-03-22 21:01:06.4 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.3082.18.315 [GMT -5:00]
Se ejecuta desde: C:\Documents and Settings\Pc\Escritorio\ComboFix.exe
Command switches used :: C:\Documents and Settings\Pc\Escritorio\CFScript.txt
* Creado un nuevo punto de restauración

ADVERTENCIA - ESTE EQUIPO NO TIENE INSTALADA LA CONSOLA DE RECUPERACION!

FILE ::
C:\WINDOWS\system32\ayfvmbyo.tmp
C:\WINDOWS\system32\ayfvmbyo.tmp2
C:\WINDOWS\system32\cdrrwgnl.ini
.
TimedOut: progfile.dat

((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\system32\ayfvmbyo.tmp
C:\WINDOWS\system32\ayfvmbyo.tmp2
C:\WINDOWS\system32\cdrrwgnl.ini

.
((((((((((((((((((((((((( Files Created from 2008-02-23 to 2008-03-23 )))))))))))))))))))))))))))))))
.

2008-03-22 21:00 . 2008-03-22 21:00 3,631 --a------ C:\4.tmp
2008-03-18 20:36 . 2008-03-18 20:36 <DIR> d-------- C:\WINDOWS\system32\Kaspersky Lab
2008-03-18 20:36 . 2008-03-18 20:36 <DIR> d-------- C:\Documents and Settings\All Users\Datos de programa\Kaspersky Lab
2008-03-15 18:39 . 2008-03-15 18:39 <DIR> d-------- C:\VundoFix Backups
2008-03-15 17:52 . 2008-03-15 17:52 <DIR> d-------- C:\Documents and Settings\Pc\Datos de programa\Malwarebytes
2008-03-15 17:51 . 2008-03-15 17:51 <DIR> d-------- C:\Documents and Settings\All Users\Datos de programa\Malwarebytes
2008-03-15 17:51 . 2008-03-15 17:51 <DIR> d-------- C:\Archivos de programa\Malwarebytes' Anti-Malware
2008-03-10 19:57 . 2008-03-10 19:57 1,186 --a------ C:\WINDOWS\mozver.dat
2008-03-09 18:16 . 2008-03-09 18:16 0 --a------ C:\WINDOWS\nsreg.dat
2008-03-07 21:57 . 2008-03-21 18:44 <DIR> d-------- C:\WINDOWS\system32\config\systemprofile\Configura ción local
2008-03-07 21:57 . 2008-03-21 18:44 <DIR> d-------- C:\Documents and Settings\Pc\Configuración local
2008-03-07 21:57 . 2008-03-21 18:44 <DIR> d-------- C:\Documents and Settings\NetworkService\Configuración local
2008-03-07 21:57 . 2008-03-21 18:44 <DIR> d-------- C:\Documents and Settings\LocalService\Configuración local
2008-03-07 21:57 . 2008-03-21 18:44 <DIR> d-------- C:\Documents and Settings\Administrador\Configuración local
2008-03-01 21:46 . 2008-03-01 21:46 <DIR> d-------- C:\Documents and Settings\Pc\Datos de programa\Apple Computer
2008-02-27 20:57 . 2008-02-27 20:57 268 --ah----- C:\sqmdata01.sqm
2008-02-27 20:57 . 2008-02-27 20:57 244 --ah----- C:\sqmnoopt01.sqm

.
(((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))) ))
.
2008-02-23 03:06 --------- d-----w C:\Archivos de programa\Winamp
2008-02-23 03:05 --------- d-----w C:\Archivos de programa\MSN Messenger
2008-02-23 02:58 --------- d-----w C:\Archivos de programa\Archivos comunes\Teleca Shared
2008-02-23 02:57 --------- d-----w C:\Archivos de programa\Archivos comunes\Autodesk Shared
.

((((((((((((((((((((((((((((((((((((((((((((( AWF )))))))))))))))))))))))))))))))))))))))))))))))))) ))))))))
.
----a-w 1,937,408 2005-02-10 22:00:54 C:\Archivos de programa\Ahead\Nero BackItUp\bak\NBJ.exe

----a-w 36,975 2005-11-10 18:03:52 C:\Archivos de programa\Java\jre1.5.0_06\bin\bak\jusched.exe

----a-w 33,792 2003-12-13 00:50:34 C:\Archivos de programa\Winamp\bak\winampa.exe

----a-w 15,360 2004-08-19 13:42:42 C:\WINDOWS\system32\bak\ctfmon.exe
----a-w 15,360 2004-08-19 13:42:42 C:\WINDOWS\system32\ctfmon.exe

----a-w 77,824 2005-12-28 22:16:36 D:\Archivos de Programa\quicktime\bak\qttask.exe
----a-w 155,648 2007-12-14 02:35:24 D:\Archivos de Programa\quicktime\qttask.exe

----a-w 57,344 2005-07-19 16:14:00 D:\Archivos de Programa\OLYMPUS Master\bak\Monitor.exe
----a-w 36,862 2007-02-04 22:20:24 D:\Archivos de Programa\OLYMPUS Master\Monitor.exe

----a-w 40,960 2005-07-19 16:06:00 D:\Archivos de Programa\OLYMPUS Master\bak\FirstStart.exe
----a-w 45,054 2007-02-04 22:20:24 D:\Archivos de Programa\OLYMPUS Master\FirstStart.exe

.
((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\Run]
"MsnMsgr"="C:\Archivos de programa\MSN Messenger\MsnMsgr.exe" [2007-01-19 12:55 5674352]
"NvMediaCenter"="C:\WINDOWS\system32\NVMCTRAY. DLL" [2003-06-18 00:31 49152]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-19 08:42 15360]
"NVIEW"="nview.dll" [2003-06-18 00:31 852038 C:\WINDOWS\system32\nview.dll]
"OM_Monitor"="D:\Archivos de Programa\OLYMPUS Master\Monitor.exe" [2007-02-04 17:20 36862]
"SUPERAntiSpyware"="D:\Archivos de Programa\SUPERAntiSpyware\SUPERAntiSpyware.exe" [2007-06-16 16:20 1314816]
"MSMSGS"="C:\Archivos de programa\Messenger\msmsgs.exe" [2004-08-19 15:57 1667584]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2003-06-18 00:31 4734976]
"nwiz"="nwiz.exe" [2003-06-18 00:31 323584 C:\WINDOWS\system32\nwiz.exe]
"SoundMan"="SOUNDMAN.EXE" [2003-04-24 18:53 54784 C:\WINDOWS\SOUNDMAN.EXE]
"OM_Monitor"="D:\Archivos de Programa\OLYMPUS Master\FirstStart.exe" [2007-02-04 17:20 45054]
"Sony Ericsson PC Suite"="D:\Archivos de Programa\sony ericsson\Application Launcher\Application Launcher.exe" [2005-10-26 16:17 159744]
"QuickTime Task"="D:\archivos de programa\quicktime\qttask.exe" [2007-12-13 21:35 155648]
"Adobe Photo Downloader"="D:\Archivos de Programa\adobe fotoshopse\3.0\Apps\apdproxy.exe" [2005-06-06 23:46 57344]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\Cur rentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-19 08:42 15360]

[hkey_local_machine\software\microsoft\windows\curr entversion\explorer\shellexecutehooks]
"{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA}"= D:\Archivos de Programa\SUPERAntiSpyware\SASSEH.DLL [2006-12-20 12:55 77824]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\!SASWinLogon]
D:\Archivos de Programa\SUPERAntiSpyware\SASWINLO.DLL 2007-05-06 21:59 294912 D:\Archivos de Programa\SUPERAntiSpyware\SASWINLO.DLL

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menú Inicio^Programas^Inicio^Actualización de PER Antivirus.lnk]
path=C:\Documents and Settings\All Users\Menú Inicio\Programas\Inicio\Actualización de PER Antivirus.lnk
backup=C:\WINDOWS\pss\Actualización de PER Antivirus.lnkCommon Startup

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menú Inicio^Programas^Inicio^MSN Messenger 7.1 PoWer Plus.lnk]
path=C:\Documents and Settings\All Users\Menú Inicio\Programas\Inicio\MSN Messenger 7.1 PoWer Plus.lnk
backup=C:\WINDOWS\pss\MSN Messenger 7.1 PoWer Plus.lnkCommon Startup

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menú Inicio^Programas^Inicio^WinZip Quick Pick.lnk]
path=C:\Documents and Settings\All Users\Menú Inicio\Programas\Inicio\WinZip Quick Pick.lnk
backup=C:\WINDOWS\pss\WinZip Quick Pick.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CloneCDTray]
--a------ 2004-09-02 16:57 57344 C:\Archivos de programa\SlySoft\CloneCD\CloneCDTray.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
--a------ 2001-07-09 10:50 155648 C:\WINDOWS\system32\NeroCheck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RemoteControl]
C:\Archivos de programa\CyberLink\PowerDVD\PDVDServ.exe

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusDisableNotify"=dword:00000001
"UpdatesDisableNotify"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpo licy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpo licy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Archivos de programa\\MSN Messenger\\msnmsgr.exe"=
"C:\\Archivos de programa\\MSN Messenger\\livecall.exe"=

S3 ercmnd5;Ericsson USB networking driver (NDIS);C:\WINDOWS\system32\DRIVERS\ercmnd5.sys [2001-11-14 08:23]
S3 ercmunic;PipeRider(tm) WDM Driver;C:\WINDOWS\system32\DRIVERS\ercmunic.sys [2001-11-14 08:23]
S3 w200bus;Sony Ericsson W200 driver (WDM);C:\WINDOWS\system32\DRIVERS\w200bus.sys [2006-11-07 09:42]
S3 w200mdfl;Sony Ericsson W200 USB WMC Modem Filter;C:\WINDOWS\system32\DRIVERS\w200mdfl.sys [2006-11-07 09:42]
S3 w200mdm;Sony Ericsson W200 USB WMC Modem Driver;C:\WINDOWS\system32\DRIVERS\w200mdm.sys [2006-11-07 09:42]
S3 w200mgmt;Sony Ericsson W200 USB WMC Device Management Drivers (WDM);C:\WINDOWS\system32\DRIVERS\w200mgmt.sys [2006-11-07 09:42]
S3 w200obex;Sony Ericsson W200 USB WMC OBEX Interface;C:\WINDOWS\system32\DRIVERS\w200obex.sys [2006-11-07 09:42]

.
************************************************** ************************

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-03-22 21:03:43
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden files: 0

************************************************** ************************
.
------------------------ Other Running Processes ------------------------
.
C:\WINDOWS\system32\drivers\CDAC11BA.EXE
C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\system32\rundll32.exe
C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\reader_sl.exe
C:\Archivos de programa\Archivos comunes\Teleca Shared\CapabilityManager.exe
c:\archivos de programa\internet explorer\iexplore.exe
C:\WINDOWS\system32\wscntfy.exe
.
************************************************** ************************
.
Completion time: 2008-03-22 21:05:09 - machine was rebooted
ComboFix-quarantined-files.txt 2008-03-23 02:05:06
ComboFix2.txt 2008-03-21 23:44:32
ComboFix3.txt 2008-03-08 21:36:56

Saludos y Gracias...

Hola por favor realiza los siguientes pasos para asegurnos de que el PC quede absolutamente limpio:

NOTA
Antes de continuar con los pasos desinstalar el Combofix siguiendo estos pasos:

• Ir a Inicio > Ejecutar
• Escribir lo siguiente: ComboFix /u como muestra la imagen debajo:
  
  • 
• Esto activara el desinstalador de ComboFix abriendo su pantalla principal y luego de unos segundos veras ("ComboFix is uninstalled")

A continuación realiza los siguientes pasos.

-Apaga el "Restaurar Sistema" (solo en Win Me y XP) y activa ver archivos ocultos.

- Descarga, Instala y/o actualiza y estos programas, (pero no las ejecutes aun).

• SuperAntiSpyware