Un cordial saludo a la comunidad del foro.
este es mi problema

Troyano Agent.NHE en la memoria operativa, cuento con NOD32 actualizado, CCleaner, AVG Anti-Spyware, SuperAntiSpyware, pero el intruso sigue ahi.

Aqui les dejo mi log por si me pueden ayudar. Gracias

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:40:04, on 18/03/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Archivos de programa\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\Archivos de programa\Eset\nod32kui.exe
C:\Archivos de programa\Hewlett-Packard\Digital Imaging\bin\hpohmr08.exe
C:\Archivos de programa\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Archivos de programa\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe
C:\Archivos de programa\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\WINDOWS\system32\bothhhbqb.exe
C:\Archivos de programa\Nero\Nero 7\InCD\InCDsrv.exe
C:\Archivos de programa\Eset\nod32krn.exe
C:\Archivos de programa\CyberLink\Shared Files\RichVideo.exe
C:\WINDOWS\system32\svchost.exe
C:\Archivos de programa\Hewlett-Packard\Digital Imaging\Bin\hpoSTS08.exe
C:\WINDOWS\System32\svchost.exe
C:\Archivos de programa\Mozilla Firefox\firefox.exe
C:\Archivos de programa\MSN Messenger\usnsvc.exe
C:\Archivos de programa\Winamp\winamp.exe
C:\Archivos de programa\Ares\Ares.exe
C:\WINDOWS\system32\HPZipm12.exe
C:\Archivos de programa\Eset\nod32.exe
C:\Archivos de programa\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.sitios.cl/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: Aplicación auxiliar de vínculos de Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Archivos comunes\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.5.0_06\bin\ssv.dll
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb0 7.exe
O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Archivos de programa\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
O4 - HKLM\..\Run: [nod32kui] "C:\Archivos de programa\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICIO LOCAL')
O4 - HKUS\S-1-5-19\..\RunOnce: [nlsf] cmd.exe /C move /Y "%SystemRoot%\System32\syssetub.dll" "%SystemRoot%\System32\syssetup.dll" (User 'SERVICIO LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Servicio de red')
O4 - HKUS\S-1-5-20\..\RunOnce: [nlsf] cmd.exe /C move /Y "%SystemRoot%\System32\syssetub.dll" "%SystemRoot%\System32\syssetup.dll" (User 'Servicio de red')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [nlsf] cmd.exe /C move /Y "%SystemRoot%\System32\syssetub.dll" "%SystemRoot%\System32\syssetup.dll" (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [nlsf] cmd.exe /C move /Y "%SystemRoot%\System32\syssetub.dll" "%SystemRoot%\System32\syssetup.dll" (User 'Default user')
O4 - Global Startup: hp psc 1000 series.lnk = ?
O4 - Global Startup: hpoddt01.exe.lnk = ?
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~1\OFFICE11\REFIEBAR.DLL
O16 - DPF: {6F15128C-E66A-490C-B848-5000B5ABEEAC} (HP Download Manager) - https://h20436.www2.hp.com/ediags/dex/secure/HPDEXAXO.cab
O16 - DPF: {7FC1B346-83E6-4774-8D20-1A6B09B0E737} (Windows Live Photo Upload Control) - http://ppaazz37.spaces.live.com/PhotoUpload/MsnPUpld.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{977CE02A-6D42-4098-ADAF-33E5DC949BB5}: NameServer = 200.72.1.11 200.72.1.5
O20 - Winlogon Notify: !SASWinLogon - C:\Archivos de programa\SUPERAntiSpyware\SASWINLO.dll
O20 - Winlogon Notify: WLCtrl32 - C:\WINDOWS\SYSTEM32\WLCtrl32.dll
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Archivos de programa\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: Adobe LM Service - Adobe Systems - C:\Archivos de programa\Archivos comunes\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Ares Chatroom server (AresChatServer) - Ares Development Group - C:\Archivos de programa\Ares\chatServer.exe
O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Archivos de programa\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: Print Spooler Service (hy9pv1leamaez1) - Unknown owner - C:\WINDOWS\system32\bothhhbqb.exe
O23 - Service: InCD Helper (InCDsrv) - Nero AG - C:\Archivos de programa\Nero\Nero 7\InCD\InCDsrv.exe
O23 - Service: NBService - Nero AG - C:\Archivos de programa\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Archivos de programa\Archivos comunes\Ahead\Lib\NMIndexingService.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Archivos de programa\Eset\nod32krn.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Archivos de programa\CyberLink\Shared Files\RichVideo.exe

--
End of file - 5871 bytes

Hola gregcito, te doy la bienvenida al Foro de InfoSpyware.

Paso 1- Descarga estas herramientas pero no las ejecutes aun:

• ComboFix.exe
• Malwarebytes' Anti-Malware

Paso 2- Con todos los programas cerrados ejecuta el HijackThis y dale a estas entradas:


O20 - Winlogon Notify: WLCtrl32 - C:\WINDOWS\SYSTEM32\WLCtrl32.dll

O23 - Service: Print Spooler Service (hy9pv1leamaez1) - Unknown owner - C:\WINDOWS\system32\bothhhbqb.exe




Paso 3- Ejecuta estas herramientas, de a una:

• Malwarebytes' Anti-Malware
  *Nota* Es importante que envíes a "Cuarentena" todo lo que este detecte antes de copiar y pegarnos su reporte.

• Antes de usar ComboFix....
• Desactiva temporalmente el Antivirus y/o Antispyware.
• Cierra todas las ventanas abiertas.
• Hacele doble clic al archivo ComboFix.exe y seguí las instrucciones.
• Cuando termine, generara un registro en C:\ComboFix.txt.
  • *Nota* Mientras CF este trabajando no mover el mouse ya que pararía su proceso.
  • *Nota* ComboFix puede reiniciar automáticamente el PC para completar el proceso de eliminación.

Paso 4- Descarga CCleaner y ejecútalo usando primero su opción de "Limpiador" para borrar cookies, temporales de Internet y todos los archivos que este te muestre como obsoletos, y luego usa su opción de "Registro" para limpiar todo el registro de Windows (haciendo copia de seguridad).

Reinicia y nos contas los resultados. junto con el reporte de

Paso 5- Reinicia en modo normal y nos dejas los reportes de:

• Malwarebytes' Anti-Malware
• C:\ComboFix.txt en este mismo mensaje.

**Nota**
- Para mayor comodidad imprime los pasos.
- Recuerda regresar y contarnos los resultados.

Salu2

Segui todos los pasos.
Aqui dejo el log de Malwarebytes' Anti-Malware 1.09

Malwarebytes' Anti-Malware 1.09
Versión de la Base de Datos: 515

Tipo de examen : Examen Rápido
Objetos examinados: 25087
Tiempo transcurrido: 4 minute(s), 1 second(s)

Procesos en Memoria Infectados: 0
Módulos en Memoria Infectados: 1
Claves del Registro Infectadas: 2
Valores del Registro Infectados: 0
Elementos de Datos del Registro Infectados: 0
Carpetas Infectadas: 0
Ficheros Infectados: 2

Procesos en Memoria Infectados:
(No se han detectado elementos maliciosos)

Módulos en Memoria Infectados:
C:\WINDOWS\system32\WLCtrl32.dll (Trojan.Agent) -> Unloaded module successfully.

Claves del Registro Infectadas:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\riode32 (Rootkit.Srizbi) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\FunWebProducts (Adware.MyWebSearch) -> Quarantined and deleted successfully.

Valores del Registro Infectados:
(No se han detectado elementos maliciosos)

Elementos de Datos del Registro Infectados:
(No se han detectado elementos maliciosos)

Carpetas Infectadas:
(No se han detectado elementos maliciosos)

Ficheros Infectados:
C:\WINDOWS\system32\WLCtrl32.dll (Trojan.Agent) -> Delete on reboot.
C:\WINDOWS\system32\0_exception.nls (Trojan.Tibs) -> Quarantined and deleted successfully.







Y aqui el log de ComboFix.


ComboFix 08-03-20.3 - oficina 2008-03-20 19:09:15.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.3082.18.270 [GMT -4:00]
Se ejecuta desde: C:\Documents and Settings\oficina\Escritorio\diego\ComboFix.exe
* Creado un nuevo punto de restauración

ADVERTENCIA - ESTE EQUIPO NO TIENE INSTALADA LA CONSOLA DE RECUPERACION!
.

((((((((((((((((((((((((( Files Created from 2008-02-20 to 2008-03-20 )))))))))))))))))))))))))))))))
.

2008-03-20 19:02 . 2008-03-20 19:02 <DIR> d-------- C:\Documents and Settings\oficina\Datos de programa\Malwarebytes
2008-03-20 19:01 . 2008-03-20 19:01 <DIR> d-------- C:\Documents and Settings\All Users\Datos de programa\Malwarebytes
2008-03-20 19:01 . 2008-03-20 19:01 <DIR> d-------- C:\Archivos de programa\Malwarebytes' Anti-Malware
2008-03-19 21:13 . 2008-03-19 21:13 <DIR> d-------- C:\Documents and Settings\oficina\Datos de programa\Notepad++
2008-03-19 20:43 . 2008-03-19 20:43 37,336 --ah----- C:\WINDOWS\cp.GID
2008-03-19 20:43 . 2008-03-19 21:15 20,928 --ah----- C:\WINDOWS\PENASB.GID
2008-03-19 20:40 . 2008-03-19 20:40 <DIR> d-------- C:\Archivos de programa\ApPenas
2008-03-19 20:38 . 2008-03-19 20:40 8,628 --ah----- C:\WINDOWS\HIPERCOD.GID
2008-03-19 20:38 . 2008-03-19 20:38 8,628 --ah----- C:\WINDOWS\caero.GID
2008-03-19 20:34 . 2008-03-19 20:34 <DIR> d-------- C:\Archivos de programa\Hipercodigos
2008-03-18 21:18 . 2008-03-18 21:19 <DIR> d-------- C:\Dev-Cpp
2008-03-18 19:52 . 2008-03-18 19:52 502,368 --a------ C:\WINDOWS\system32\drivers\amon.sys
2008-03-18 19:52 . 2008-03-18 19:52 270,336 --a------ C:\WINDOWS\system32\imon.dll
2008-03-18 18:53 . 2008-03-18 18:53 997 --ah----- C:\hpothb07.tif
2008-03-18 18:53 . 2008-03-18 18:53 530 --ah----- C:\hpothb07.dat
2008-03-18 18:52 . 2008-03-18 18:52 326 --ah----- C:\Documents and Settings\oficina\hpothb07.dat
2008-03-18 18:39 . 2001-08-24 11:00 94,864 --a------ C:\WINDOWS\twain.dll
2008-03-18 18:39 . 2001-08-24 11:00 94,864 --a------ C:\WINDOWS\system32\dllcache\twain.dll
2008-03-18 18:36 . 2008-03-18 18:41 19,565 --a------ C:\WINDOWS\hpoins01.dat
2008-03-18 18:36 . 2003-04-22 17:05 16,606 --------- C:\WINDOWS\hpomdl01.dat
2008-03-18 11:51 . 2008-03-20 18:10 520 --a------ C:\hpfr3420.xml
2008-03-14 15:03 . 2008-03-14 15:03 <DIR> d-------- C:\Documents and Settings\oficina\Datos de programa\Image Zone Express
2008-03-14 15:02 . 2008-03-14 15:02 <DIR> d-------- C:\Archivos de programa\HP
2008-03-14 15:02 . 2008-03-14 15:02 <DIR> d-------- C:\Archivos de programa\Archivos comunes\HP
2008-03-05 13:33 . 2008-03-05 13:33 <DIR> d-------- C:\WINDOWS\system32\xircom
2008-03-05 13:33 . 2008-03-05 13:33 <DIR> d-------- C:\WINDOWS\system32\oobe
2008-03-05 13:33 . 2008-03-18 18:39 <DIR> d--hs---- C:\WINDOWS\system32\dllcache
2008-03-05 13:33 . 2008-03-05 13:33 <DIR> d-------- C:\WINDOWS\srchasst
2008-03-05 13:33 . 2008-03-05 13:33 <DIR> d-------- C:\WINDOWS\msagent
2008-03-05 13:33 . 2008-03-05 13:33 <DIR> d-------- C:\Archivos de programa\microsoft frontpage
2008-03-05 12:13 . 2008-03-05 12:13 374,194 --a------ C:\WINDOWS\patch-eth0.exe
2008-03-05 12:13 . 2008-03-05 12:13 180,224 ---h----- C:\WINDOWS\lod(2).exe
2008-03-05 12:11 . 2008-03-05 12:11 <DIR> d-------- C:\Documents and Settings\All Users\Datos de programa\ESET
2008-03-05 12:11 . 2008-03-18 20:54 <DIR> d-------- C:\Archivos de programa\ESET
2008-03-05 08:58 . 2008-03-05 08:58 29 --a------ C:\WINDOWS\system32\ifpffiri.tmp

.
(((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))) ))
.
2008-03-18 23:39 --------- d-----w C:\Documents and Settings\oficina\Datos de programa\Azureus
2008-03-18 23:39 --------- d-----w C:\Archivos de programa\The All-Seeing Eye
2008-03-18 23:38 --------- d-----w C:\Archivos de programa\TuneUp Utilities 2007
2008-03-18 23:25 --------- d-----w C:\Archivos de programa\MSN Messenger
2008-03-18 23:25 --------- d-----w C:\Archivos de programa\Messenger Plus! Live
2008-03-18 23:22 --------- d-----w C:\Documents and Settings\oficina\Datos de programa\Vso
2008-02-05 10:38 --------- d-----w C:\Documents and Settings\oficina\Datos de programa\Hewlett-Packard
2008-02-05 10:33 --------- d-----w C:\Archivos de programa\Archivos comunes\Hewlett-Packard
2008-02-05 10:32 --------- d-----w C:\Archivos de programa\Hewlett-Packard
2007-09-27 15:27 13,195 ----a-w C:\Documents and Settings\oficina\zguicfgw.dat
2007-09-03 13:13 81,920 ----a-w C:\Documents and Settings\oficina\Datos de programa\ezpinst.exe
2007-09-03 13:13 47,360 ----a-w C:\Documents and Settings\oficina\Datos de programa\pcouffin.sys
2004-08-19 13:42 1,392,671 --sh--r C:\WINDOWS\system32\msvbvm60.dll
.

------- Sigcheck -------

2006-01-11 17:38 578048 37ce819e8ecb3517b9981a886876ef72 C:\WINDOWS\system32\user32.dll

2006-01-11 17:42 664064 b65801c4339894529fd95e3661db2c44 C:\WINDOWS\system32\wininet.dll

2006-01-11 17:43 359936 19919189dd07ae40338145ef4ab17715 C:\WINDOWS\system32\drivers\tcpip.sys

2006-01-11 17:51 2059264 03550e4b6c37d2d31a029e95cca0354b C:\WINDOWS\system32\ntkrnlpa.exe

2006-01-11 17:38 2181888 39c0091fd92038a4671c7d8791bd996e C:\WINDOWS\system32\ntoskrnl.exe
.
((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown
REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run]
"HPDJ Taskbar Utility"="C:\WINDOWS\system32\spool\drivers\w32x86 \3\hpztsb07.exe" [2003-05-16 01:58 188416]
"nod32kui"="C:\Archivos de programa\Eset\nod32kui.exe" [2008-03-18 19:52 917504]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\Cur rentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-19 09:42 15360]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\Cur rentVersion\RunOnce]
"nlsf"="cmd.exe" [2004-08-19 09:42 402944 C:\WINDOWS\system32\cmd.exe]
"tscuninstall"="C:\WINDOWS\system32\tscupgrd.e xe" [2004-08-19 09:19 44544]

[HKEY_USERS\.default\software\microsoft\windows\cur rentversion\policies\explorer]
"NoSMHelp"= 1 (0x1)
"NoSMConfigurePrograms"= 1 (0x1)
"NoResolveTrack"= 1 (0x1)

[HKEY_LOCAL_MACHINE\software\policies\microsoft\win dows\windowsupdate\au]
"NoAutoUpdate"= 1 (0x1)

[hkey_local_machine\software\microsoft\windows\curr entversion\explorer\shellexecutehooks]
"{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA}"= C:\Archivos de programa\SUPERAntiSpyware\SASSEH.DLL [2006-12-20 12:55 77824]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\!SASWinLogon]
C:\Archivos de programa\SUPERAntiSpyware\SASWINLO.dll 2007-04-19 12:41 294912 C:\Archivos de programa\SUPERAntiSpyware\SASWINLO.dll

[HKEY_LOCAL_MACHINE\system\currentcontrolset\contro l\securityproviders]
SecurityProviders msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll,

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Bron-Spizaetus]
C:\WINDOWS\ShellNew\RakyatKelaparan.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\EPSON Stylus C45 Series]
--a------ 2004-01-14 07:00 99840 C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I4T 1.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Tok-Cirrhatus]
C:\Documents and Settings\oficina\Configuración local\Datos de programa\br5535on.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Tok-Cirrhatus-2256]
C:\Documents and Settings\oficina\Configuración local\Datos de programa\br5535on.exe

[HKEY_CURRENT_USER\software\microsoft\windows\curre ntversion\run-]
"CTFMON.EXE"=C:\WINDOWS\system32\ctfmon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\windows\curr entversion\run-]
"DAEMON Tools"="C:\Archivos de programa\DAEMON Tools\daemon.exe" -lang 1033
"InCD"=C:\Archivos de programa\Nero\Nero 7\InCD\InCD.exe
"Adobe Reader Speed Launcher"="C:\Archivos de programa\Adobe\Reader 8.0\Reader\Reader_sl.exe"
"SunJavaUpdateSched"=C:\Archivos de programa\Java\jre1.5.0_06\bin\jusched.exe
"NeroFilterCheck"=C:\Archivos de programa\Archivos comunes\Ahead\Lib\NeroCheck.exe
"LanguageShortcut"="C:\Archivos de programa\CyberLink\PowerDVD\Language\Language.exe"
"SecurDisc"=C:\Archivos de programa\Nero\Nero 7\InCD\NBHGui.exe
"RemoteControl"="C:\Archivos de programa\CyberLink\PowerDVD\PDVDServ.exe"

[HKLM\~\services\sharedaccess\parameters\firewallpo licy\standardprofile]
"DisableUnicastResponsesToMulticastBroadcast"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpo licy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Archivos de programa\\MSN Messenger\\msnmsgr.exe"=
"C:\\Archivos de programa\\MSN Messenger\\livecall.exe"=
"C:\\Archivos de programa\\Ares\\Ares.exe"=
"C:\\Archivos de programa\\Azureus\\Azureus.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpo licy\standardprofile\GloballyOpenPorts\List]
"5000:TCP"= 5000:TCP:AresChatServer

R2 UxTuneUp;Ampliación del diseño de TuneUp;C:\WINDOWS\System32\svchost.exe [2004-08-19 09:43]
R3 SiS7012;Service for AC'97 Sample Driver (WDM);C:\WINDOWS\system32\drivers\sis7012.sys [2004-11-03 08:14]
S0 Dim84;Dim84;C:\WINDOWS\system32\Drivers\Dim84.sys []
S2 hy9pv1leamaez1;Print Spooler Service;C:\WINDOWS\system32\bothhhbqb.exe []

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
UxTuneUp

[HKEY_CURRENT_USER\software\microsoft\windows\curre ntversion\explorer\mountpoints2\{26548f4d-604f-11dc-ac5a-8747586a8592}]
\Shell\Auto\command - E:\MSOCache\doWTP_RESTORE_0.exe -autorun
\Shell\AutoRun\command - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL MSOCache\doWTP_RESTORE_0.exe -autorun

[HKEY_CURRENT_USER\software\microsoft\windows\curre ntversion\explorer\mountpoints2\{5efa5036-5ae6-11dc-ac48-00055d93ed69}]
\Shell\Auto\command - E:\MSOCache\doWTP_RESTORE_0.exe -autorun
\Shell\AutoRun\command - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL MSOCache\doWTP_RESTORE_0.exe -autorun

[HKEY_CURRENT_USER\software\microsoft\windows\curre ntversion\explorer\mountpoints2\{fd975715-a9be-11dc-821a-8547586a8592}]
\Shell\Auto\command - E:\MSOCache\doWTP_RESTORE_0.exe -autorun
\Shell\AutoRun\command - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL MSOCache\doWTP_RESTORE_0.exe -autorun

.
Contents of the 'Scheduled Tasks' folder
"2008-03-19 00:09:53 C:\WINDOWS\Tasks\FRU Task #Hewlett-Packard#hp psc 1200 series#1205880104.job"
- C:\Archivos de programa\Hewlett-Packard\Digital Imaging\Bin\hpqfrucl.exe4-I
"2008-03-14 21:23:15 C:\WINDOWS\Tasks\Mantenimiento con 1 clic.job"
- C:\Archivos de programa\TuneUp Utilities 2007\SystemOptimizer.exe
.
************************************************** ************************

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-03-20 19:14:06
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden files: 0

************************************************** ************************
.
------------------------ Other Running Processes ------------------------
.
C:\Archivos de programa\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\Archivos de programa\Hewlett-Packard\Digital Imaging\bin\hpohmr08.exe
C:\Archivos de programa\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\Archivos de programa\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe
C:\Archivos de programa\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\Archivos de programa\Nero\Nero 7\InCD\InCDsrv.exe
C:\Archivos de programa\Eset\nod32krn.exe
C:\Archivos de programa\CyberLink\Shared Files\RichVideo.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\Archivos de programa\Hewlett-Packard\Digital Imaging\Bin\hpoSTS08.exe
C:\Archivos de programa\Mozilla Firefox\firefox.exe
.
************************************************** ************************
.
Completion time: 2008-03-20 19:16:59 - machine was rebooted
ComboFix-quarantined-files.txt 2008-03-20 23:16:52





GRACIAS

Hola, MBAM ya se encargo de eliminar los archivos de malwares encontrados en tu PC, por lo que tendrías que comentarnos como esta funcionado todo luego de reiniciar ?

Salu2