• Registrarse
  • Iniciar sesión


  • Resultados 1 al 5 de 5

    malware como se quita esto?

    Resumen del tema: malware como se quita esto? - Hola gente, como siempre aprendiendo de esta comunidad... hoy la pregunta es como hago para sacar un malware que segun un analisis hecho con el programa Malwaresbytes´ Anti-Malware veo que hay archivos que modifican el ...

      
    1. #1
      Usuario Avatar de charalber
      Registrado
      mar 2008
      Ubicación
      Argentina
      Mensajes
      9

      Bien malware como se quita esto?

      Hola gente, como siempre aprendiendo de esta comunidad... hoy la pregunta es como hago para sacar un malware que segun un analisis hecho con el programa Malwaresbytes´ Anti-Malware veo que hay archivos que modifican el registro de windows si no me equivoco.. o si lo hago? como elimino esto? Este es el resultado del analisis.

      Malwarebytes' Anti-Malware 1.08
      Versión de la Base de Datos: 503

      Tipo de examen : Examen Completo (C:\|)
      Objetos examinados: 89677
      Tiempo transcurrido: 21 minute(s), 8 second(s)

      Procesos en Memoria Infectados: 0
      Módulos en Memoria Infectados: 2
      Claves del Registro Infectadas: 16
      Valores del Registro Infectados: 1
      Elementos de Datos del Registro Infectados: 2
      Carpetas Infectadas: 0
      Ficheros Infectados: 9

      Procesos en Memoria Infectados:
      (No se han detectado elementos maliciosos)

      Módulos en Memoria Infectados:
      C:\WINDOWS\system32\rbammhan.dll (Trojan.Vundo) -> No action taken.
      C:\WINDOWS\system32\vtuts.dll (Trojan.Vundo) -> No action taken.

      Claves del Registro Infectadas:
      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{145e997b-d926-49a0-8c96-961dd761ced5} (Trojan.Vundo) -> No action taken.
      HKEY_CLASSES_ROOT\CLSID\{145e997b-d926-49a0-8c96-961dd761ced5} (Trojan.Vundo) -> No action taken.
      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{f501c2ab-834a-4b9d-a86b-a1eada760b00} (Trojan.Vundo) -> No action taken.
      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\aoprndtws (Malware.Trace) -> No action taken.
      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\jkwslist (Malware.Trace) -> No action taken.
      HKEY_CURRENT_USER\Software\Microsoft\aldd (Malware.Trace) -> No action taken.
      HKEY_CURRENT_USER\Software\Microsoft\MS Juan (Malware.Trace) -> No action taken.
      HKEY_CURRENT_USER\Software\Microsoft\affri (Malware.Trace) -> No action taken.
      HKEY_CURRENT_USER\Software\Microsoft\affltid (Malware.Trace) -> No action taken.
      HKEY_CURRENT_USER\Software\Microsoft\rdfa (Trojan.Vundo) -> No action taken.
      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\affltid (Malware.Trace) -> No action taken.
      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\affri (Malware.Trace) -> No action taken.
      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MS Juan (Malware.Trace) -> No action taken.
      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Juan (Trojan.Vundo) -> No action taken.
      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\FCOVM (Trojan.Vundo) -> No action taken.
      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\RemoveRP (Trojan.Vundo) -> No action taken.

      Valores del Registro Infectados:
      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{f501c2ab-834a-4b9d-a86b-a1eada760b00} (Trojan.Vundo) -> No action taken.

      Elementos de Datos del Registro Infectados:
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\Authentication Packages (Trojan.Vundo) -> Data: c:\windows\system32\vtuts.dll -> No action taken.
      HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Authentication Packages (Trojan.Vundo) -> Data: c:\windows\system32\vtuts.dll -> No action taken.

      Carpetas Infectadas:
      (No se han detectado elementos maliciosos)

      Ficheros Infectados:
      C:\WINDOWS\system32\pjmbksjf.dll (Trojan.Vundo) -> No action taken.
      C:\WINDOWS\system32\fjskbmjp.ini (Trojan.Vundo) -> No action taken.
      C:\WINDOWS\system32\rbammhan.dll (Trojan.Vundo) -> No action taken.
      C:\WINDOWS\system32\nahmmabr.ini (Trojan.Vundo) -> No action taken.
      C:\WINDOWS\system32\tdrsrdpw.dll (Trojan.Vundo) -> No action taken.
      C:\WINDOWS\system32\wpdrsrdt.ini (Trojan.Vundo) -> No action taken.
      C:\WINDOWS\system32\vtuts.dll (Trojan.Vundo) -> No action taken.
      C:\WINDOWS\system32\stutv.ini (Trojan.Vundo) -> No action taken.
      C:\WINDOWS\system32\stutv.ini2 (Trojan.Vundo) -> No action taken.

      Gracias amigos...

    2. #2
      FS-Admin
      Avatar de ElPiedra
      Registrado
      ene 2005
      Ubicación
      Miami
      Mensajes
      39.900

      Re: malware como se quita esto?

      Hola charalber,

      Para que te podamos ayudar en este sector, tenderías que generar y dejarnos un reporte de
      HijackThis 2.0.2 en este mismo mensaje.

      Tienes una infección del malware Vundo que requiere tu mediata erradicación para que no se siga expandiendo en tu sistema.

      Salu2

      Marcelo Rivero
      Microsoft MVP Enterprise Security.



      * Síguenos en nuestro Twitter y hazte nuestro amigo en Facebook.
      * Infórmate de las ultimas amenazas de la red desde: InfoSpyware Blog
      * No se resuelven dudas por Privados ni por E-mail, ya que para eso esta el foro.

    3. #3
      Usuario Avatar de charalber
      Registrado
      mar 2008
      Ubicación
      Argentina
      Mensajes
      9

      Re: malware como se quita esto?

      hola El Piedra, antes que nada quiero pedir disculpas pues me ha dado cuenta que:1º al inresar el mensaje lo hice en el foro equivocado, 2º movien mi mensaje y no lo pude encontrar hasta recien, 3º cree otro mensaje del mismo problema y se que no se puede... Asi que por esto pido mis disculpas y la promesa de que no va a volver a ocurrir. Espero sepan entender...
      Ahora te paso lo que me dejo el analisis del hijackthis

      Logfile of Trend Micro HijackThis v2.0.2
      Scan saved at 10:26:18, on 20/03/2008
      Platform: Windows XP SP2 (WinNT 5.01.2600)
      MSIE: Internet Explorer v7.00 (7.00.5730.0013)
      Boot mode: Normal

      Running processes:
      C:\WINDOWS\System32\smss.exe
      C:\WINDOWS\system32\winlogon.exe
      C:\WINDOWS\system32\services.exe
      C:\WINDOWS\system32\lsass.exe
      C:\WINDOWS\system32\Ati2evxx.exe
      C:\WINDOWS\system32\svchost.exe
      C:\WINDOWS\System32\svchost.exe
      C:\WINDOWS\system32\svchost.exe
      C:\WINDOWS\system32\spoolsv.exe
      C:\WINDOWS\system32\Ati2evxx.exe
      C:\WINDOWS\Explorer.EXE
      C:\WINDOWS\system32\drivers\KodakCCS.exe
      C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7DEBUG\MDM.EXE
      C:\Archivos de programa\Eset\nod32krn.exe
      C:\WINDOWS\system32\ScsiAccess.EXE
      C:\WINDOWS\System32\snmp.exe
      C:\WINDOWS\system32\svchost.exe
      C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I4T 1.EXE
      C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC 1.EXE
      C:\WINDOWS\System32\DLA\DLACTRLW.EXE
      C:\Archivos de programa\Eset\nod32kui.exe
      C:\WINDOWS\RTHDCPL.EXE
      C:\WINDOWS\system32\Rundll32.exe
      C:\WINDOWS\system32\ctfmon.exe
      C:\Archivos de programa\Windows Live\Messenger\MsnMsgr.Exe
      C:\Archivos de programa\Google\GoogleToolbarNotifier\GoogleToolba rNotifier.exe
      C:\Archivos de programa\Spybot - Search & Destroy\TeaTimer.exe
      C:\Archivos de programa\Kodak\KODAK Software Updater\7288971\Program\backWeb-7288971.exe
      C:\Archivos de programa\Yahoo!\Messenger\ymsgr_tray.exe
      C:\Archivos de programa\Kodak\Kodak EasyShare software\bin\EasyShare.exe
      C:\Archivos de programa\WinZip\WZQKPICK.EXE
      C:\Archivos de programa\Internet Explorer\iexplore.exe
      C:\Archivos de programa\Archivos comunes\Microsoft Shared\Windows Live\WLLoginProxy.exe
      C:\Archivos de programa\Windows Live\Messenger\usnsvc.exe
      C:\ARCHIV~1\WINZIP\winzip32.exe
      C:\Archivos de programa\Trend Micro\HijackThis\HijackThis.exe

      R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://ar.yahoo.com/
      R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
      R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
      R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
      R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
      R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://go.microsoft.com/fwlink/?LinkId=74005
      R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings,ProxyOverride = localhost
      R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
      R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Archivos de programa\Yahoo!\Companion\Installs\cpn\yt.dll
      O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Archivos de programa\Yahoo!\Companion\Installs\cpn\yt.dll
      O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\archivos de programa\google\googletoolbar1.dll
      O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
      O4 - HKLM\..\Run: [EPSON Stylus C45 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I4T 1.EXE /P23 "EPSON Stylus C45 Series" /O6 "USB001" /M "Stylus C45"
      O4 - HKLM\..\Run: [Ink Monitor] C:\Archivos de programa\EPSON\Ink Monitor\InkMonitor.exe
      O4 - HKLM\..\Run: [EPSON Stylus C42 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC 1.EXE /P23 "EPSON Stylus C42 Series" /O5 "LPT1:" /M "Stylus C42"
      O4 - HKLM\..\Run: [DLA] C:\WINDOWS\System32\DLA\DLACTRLW.EXE
      O4 - HKLM\..\Run: [DLADiag] C:\WINDOWS\DLADiag.EXE
      O4 - HKLM\..\Run: [nod32kui] "C:\Archivos de programa\Eset\nod32kui.exe" /WAITSERVICE
      O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
      O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
      O4 - HKLM\..\Run: [8c26f746] rundll32.exe "C:\WINDOWS\system32\rbammhan.dll",b
      O4 - HKLM\..\Run: [BM8f15c4da] Rundll32.exe "C:\WINDOWS\system32\tdeewvvg.dll",s
      O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
      O4 - HKCU\..\Run: [msnmsgr] "C:\Archivos de programa\Windows Live\Messenger\MsnMsgr.Exe" /background
      O4 - HKCU\..\Run: [swg] C:\Archivos de programa\Google\GoogleToolbarNotifier\GoogleToolba rNotifier.exe
      O4 - HKCU\..\Run: [Yahoo! Pager] "C:\Archivos de programa\Yahoo!\Messenger\YahooMessenger.exe" -quiet
      O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Archivos de programa\Spybot - Search & Destroy\TeaTimer.exe
      O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICIO LOCAL')
      O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Servicio de red')
      O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
      O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
      O4 - Global Startup: Inicio rápido de Adobe Reader.lnk = C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\reader_sl.exe
      O4 - Global Startup: KODAK Software Updater.lnk = C:\Archivos de programa\Kodak\KODAK Software Updater\7288971\Program\backWeb-7288971.exe
      O4 - Global Startup: Software Kodak EasyShare.lnk = C:\Archivos de programa\Kodak\Kodak EasyShare software\bin\EasyShare.exe
      O4 - Global Startup: WinZip Quick Pick.lnk = C:\Archivos de programa\WinZip\WZQKPICK.EXE
      O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
      O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_01\bin\ssv.dll
      O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_01\bin\ssv.dll
      O9 - Extra button: Yahoo! Servicios - {5BAB4B5B-68BC-4B02-94D6-2FC0DE4A7897} - C:\Archivos de programa\Yahoo!\Common\yiesrvcAR.dll
      O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL
      O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll
      O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll
      O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
      O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
      O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
      O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
      O12 - Plugin for .mp3: C:\Archivos de programa\Internet Explorer\PLUGINS\npqtplugin4.dll
      O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
      O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Archivos de programa\Yahoo!\Common\yinsthelper.dll
      O16 - DPF: {56762DEC-6B0D-4AB4-A8AD-989993B5D08B} (OnlineScanner Control) - http://www.eset.eu/buxus/docs/OnlineScanner.cab
      O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1167161467708
      O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
      O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
      O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
      O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
      O23 - Service: Google Updater Service (gusvc) - Google - C:\Archivos de programa\Google\Common\Google Updater\GoogleUpdaterService.exe
      O23 - Service: Kodak Camera Connection Software (KodakCCS) - Eastman Kodak Company - C:\WINDOWS\system32\drivers\KodakCCS.exe
      O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Archivos de programa\Eset\nod32krn.exe
      O23 - Service: ScsiAccess - Unknown owner - C:\WINDOWS\system32\ScsiAccess.EXE
      O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\Security Center\SymWSC.exe

      --
      End of file - 8530 bytes

      Por ahora Gracias y mis disculpas de nuevo..

    4. #4
      FS-Admin
      Avatar de ElPiedra
      Registrado
      ene 2005
      Ubicación
      Miami
      Mensajes
      39.900

      Re: malware como se quita esto?

      Hola charalber,

      Paso 1- Descarga, Instala y/o actualiza estas herramientas: (pero no los ejecutes aun)

      Paso 2- Con todos los programas cerrados, ejecuta HijackThis y dale a las siguientes entradas:


      O4 - HKLM\..\Run: [8c26f746] rundll32.exe "C:\WINDOWS\system32\rbammhan.dll",b

      O4 - HKLM\..\Run: [BM8f15c4da] Rundll32.exe "C:\WINDOWS\system32\tdeewvvg.dll",s





      Paso 3- Ejecuta estas herramientas, de a una:
      • Malwarebytes' Anti-Malware
        *Nota* Es importante que envíes a "Cuarentena" todo lo que este detecte antes de copiar y pegarnos su reporte.

      • Antes de usar ComboFix....
      • Desactiva temporalmente el Antivirus y/o Antispyware.
      • Cierra todas las ventanas abiertas.
      • Hacele doble clic al archivo ComboFix.exe y seguí las instrucciones.
      • Cuando termine, generara un registro en C:\ComboFix.txt.
        • *Nota* Mientras CF este trabajando no mover el mouse ya que pararía su proceso.
        • *Nota* ComboFix puede reiniciar automáticamente el PC para completar el proceso de eliminación.

      Atención!! No use ComboFix a menos que se le haya indicado específicamente en su mensaje por un integrante de nuestro Staff. Es una herramienta de gran alcance destinada por su creador a ser usada bajo la orientación y supervisión de un experto, no para uso privado. El uso de ComboFix incorrectamente podría generar problemas en su sistema. Por favor, lea las "Negaciones de la Garantía" de ComboFix.


      Paso 4- Descarga CCleaner y ejecútalo usando primero su opción de "Limpiador" para borrar cookies, temporales de Internet y todos los archivos que este te muestre como obsoletos, y luego usa su opción de "Registro" para limpiar todo el registro de Windows (haciendo copia de seguridad).

      Reinicia y nos contas los resultados. junto con el reporte de

      Paso 5- Reinicia en modo normal y nos dejas los reportes de:
      • Malwarebytes' Anti-Malware
      • C:\ComboFix.txt en este mismo mensaje.


      **Nota**
      - Para mayor comodidad imprime los pasos.
      - Recuerda regresar y contarnos los resultados.

      Salu2
      Marcelo Rivero
      Microsoft MVP Enterprise Security.



      * Síguenos en nuestro Twitter y hazte nuestro amigo en Facebook.
      * Infórmate de las ultimas amenazas de la red desde: InfoSpyware Blog
      * No se resuelven dudas por Privados ni por E-mail, ya que para eso esta el foro.

    5. #5
      Usuario Avatar de charalber
      Registrado
      mar 2008
      Ubicación
      Argentina
      Mensajes
      9

      Re: malware como se quita esto?

      Hola El Piedra, gracias por tu respuesta, te cuento... Segui los pasos tal cual lo indicastes; solo una cosa, cuando quise mandar sa cuartentena a lo que encontro el malwarebytes´ no me dejo hacerlo, influye en algo esto, los programas se actualizaron como indicates.. Eston son los resultados, los reportes de ambos programas

      Malwarebytes´

      Este reporte es cuando lo ejecute....

      Malwarebytes' Anti-Malware 1.09
      Versión de la Base de Datos: 507
      Executable location: C:\Archivos de programa\Malwarebytes' Anti-Malware
      Database location: C:\Documents and Settings\All Users\Datos de programa\Malwarebytes\Malwarebytes' Anti-Malware\rules.ref

      Username: BOMBEROS
      Windows folder: C:\WINDOWS
      System folder: C:\WINDOWS\system32
      Root drive: C:
      Program Files: C:\Archivos de programa
      Common Files: C:\Archivos de programa\Archivos comunes

      Desktop: C:\Documents and Settings\All Users\Escritorio
      Desktop: C:\Documents and Settings\BOMBEROS\Escritorio
      Desktop: C:\Documents and Settings\Default User\Escritorio
      Desktop: C:\Documents and Settings\Usuario\Escritorio

      Start Menu: C:\Documents and Settings\All Users\Menú Inicio
      Start Menu: C:\Documents and Settings\BOMBEROS\Menú Inicio
      Start Menu: C:\Documents and Settings\Default User\Menú Inicio
      Start Menu: C:\Documents and Settings\Usuario\Menú Inicio
      Start Menu: C:\Documents and Settings\All Users\Menú Inicio

      User Root: C:\Documents and Settings\All Users
      User Root: C:\Documents and Settings\BOMBEROS
      User Root: C:\Documents and Settings\Default User
      User Root: C:\Documents and Settings\LocalService
      User Root: C:\Documents and Settings\NetworkService
      User Root: C:\Documents and Settings\Usuario

      Favorite: C:\Documents and Settings\All Users\Favoritos
      Favorite: C:\Documents and Settings\BOMBEROS\Favoritos
      Favorite: C:\Documents and Settings\Default User\Favoritos
      Favorite: C:\Documents and Settings\Usuario\Favoritos

      Application Data: C:\Documents and Settings\All Users\Datos de programa
      Application Data: C:\Documents and Settings\BOMBEROS\Datos de programa
      Application Data: C:\Documents and Settings\Default User\Datos de programa
      Application Data: C:\Documents and Settings\LocalService\Datos de programa
      Application Data: C:\Documents and Settings\NetworkService\Datos de programa
      Application Data: C:\Documents and Settings\Usuario\Datos de programa
      Application Data: C:\Documents and Settings\All Users\Datos de programa

      Quick Launch: C:\Documents and Settings\All Users\Datos de programa\Microsoft\Internet Explorer\Quick Launch
      Quick Launch: C:\Documents and Settings\BOMBEROS\Datos de programa\Microsoft\Internet Explorer\Quick Launch
      Quick Launch: C:\Documents and Settings\Usuario\Datos de programa\Microsoft\Internet Explorer\Quick Launch

      Temporary Folder: C:\DOCUME~1\BOMBEROS\CONFIG~1\Temp
      Temporary Folder: C:\DOCUME~1\Default User\CONFIG~1\Temp
      Temporary Folder: C:\DOCUME~1\LocalService\CONFIG~1\Temp
      Temporary Folder: C:\DOCUME~1\NetworkService\CONFIG~1\Temp
      Temporary Folder: C:\DOCUME~1\Usuario\CONFIG~1\Temp
      Temporary Folder: C:\WINDOWS\Temp

      Este reporte es despues de reinicida la pc

      Malwarebytes' Anti-Malware 1.09
      Versión de la Base de Datos: 507

      Tipo de examen : Examen Completo (C:\|)
      Objetos examinados: 78410
      Tiempo transcurrido: 16 minute(s), 32 second(s)

      Procesos en Memoria Infectados: 0
      Módulos en Memoria Infectados: 0
      Claves del Registro Infectadas: 6
      Valores del Registro Infectados: 0
      Elementos de Datos del Registro Infectados: 0
      Carpetas Infectadas: 0
      Ficheros Infectados: 0

      Procesos en Memoria Infectados:
      (No se han detectado elementos maliciosos)

      Módulos en Memoria Infectados:
      (No se han detectado elementos maliciosos)

      Claves del Registro Infectadas:
      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{f501c2ab-834a-4b9d-a86b-a1eada760b00} (Trojan.Vundo) -> No action taken.
      HKEY_CURRENT_USER\Software\Microsoft\affri (Malware.Trace) -> No action taken.
      HKEY_CURRENT_USER\Software\Microsoft\affltid (Malware.Trace) -> No action taken.
      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\affltid (Malware.Trace) -> No action taken.
      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\affri (Malware.Trace) -> No action taken.
      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MS Juan (Malware.Trace) -> No action taken.

      Valores del Registro Infectados:
      (No se han detectado elementos maliciosos)

      Elementos de Datos del Registro Infectados:
      (No se han detectado elementos maliciosos)

      Carpetas Infectadas:
      (No se han detectado elementos maliciosos)

      Ficheros Infectados:
      (No se han detectado elementos maliciosos)

      Reporte de ComboFix

      ComboFix 08-03-22.1 - BOMBEROS 2008-03-22 15:35:31.3 - NTFSx86
      Microsoft Windows XP Professional 5.1.2600.2.1252.1.3082.18.169 [GMT -3:00]
      Se ejecuta desde: C:\ComboFix.exe
      * Resident AV is active


      ADVERTENCIA - ESTE EQUIPO NO TIENE INSTALADA LA CONSOLA DE RECUPERACION!
      .

      (((((((((((((((((( Archivos creados desde 2008-02-22 - 2008-03-22 )))))))))))))))))))))))))))))))))
      .

      2008-03-22 14:57 . 2008-03-22 14:58 1,606,483 --a------ C:\ComboFix.exe
      2008-03-22 10:51 . 2008-03-22 10:51 685,056 --a------ C:\WINDOWS\isRS-000.tmp
      2008-03-20 20:39 . 2008-03-20 20:39 60,522 --a------ C:\virus.html
      2008-03-20 19:57 . 2008-03-21 19:57 354 ---hs---- C:\WINDOWS\system32\dhypfitq.ini
      2008-03-20 15:39 . 2008-03-20 15:39 <DIR> d-------- C:\WINDOWS\system32\Kaspersky Lab
      2008-03-20 10:25 . 2008-03-20 10:25 <DIR> d-------- C:\Archivos de programa\Trend Micro
      2008-03-20 09:45 . 2008-03-20 09:45 147,456 --a------ C:\VundoFix.exe
      2008-03-20 09:25 . 2008-03-20 09:25 <DIR> d-------- C:\VundoFix Backups
      2008-03-19 09:41 . 2008-03-19 09:52 <DIR> d-------- C:\Archivos de programa\EsetOnlineScanner
      2008-03-19 08:44 . 2008-03-22 15:31 <DIR> d-------- C:\Archivos de programa\Malwarebytes' Anti-Malware
      2008-03-19 08:43 . 2008-03-19 08:44 1,447,960 --a------ C:\mbam-setup.exe
      2008-03-18 21:16 . 2008-03-18 21:16 <DIR> d-------- C:\Documents and Settings\BOMBEROS\Datos de programa\Malwarebytes
      2008-03-18 21:16 . 2008-03-18 21:16 <DIR> d-------- C:\Documents and Settings\All Users\Datos de programa\Malwarebytes
      2008-03-18 20:41 . 2008-03-18 20:53 <DIR> d-------- C:\Documents and Settings\All Users\Datos de programa\Spybot - Search & Destroy
      2008-03-18 20:41 . 2008-03-18 20:42 <DIR> d-------- C:\Archivos de programa\Spybot - Search & Destroy
      2008-03-18 19:55 . 2008-03-20 08:53 1,526,326 ---hs---- C:\WINDOWS\system32\nahmmabr.ini
      2008-03-17 13:02 . 2008-03-17 13:02 <DIR> d-------- C:\Documents and Settings\BOMBEROS\Datos de programa\TuneUp Software
      2008-03-17 13:01 . 2008-03-17 13:01 <DIR> d-------- C:\Documents and Settings\All Users\Datos de programa\TuneUp Software
      2008-03-17 11:54 . 2007-12-27 11:21 14,089,472 --a------ C:\TU2008TrialEN.exe
      2008-03-15 18:24 . 2008-03-15 18:24 1,366,923 ---hs---- C:\WINDOWS\system32\rplrybar.ini
      2008-03-15 03:03 . 2004-08-19 15:43 91,136 --a------ C:\WINDOWS\system32\kswdmcap.ax
      2008-03-15 03:03 . 2004-08-19 15:43 91,136 --a--c--- C:\WINDOWS\system32\dllcache\kswdmcap.ax
      2008-03-15 03:03 . 2004-08-19 15:43 61,952 --a------ C:\WINDOWS\system32\kstvtune.ax
      2008-03-15 03:03 . 2004-08-19 15:43 61,952 --a--c--- C:\WINDOWS\system32\dllcache\kstvtune.ax
      2008-03-15 03:03 . 2004-08-19 15:42 54,784 --a------ C:\WINDOWS\system32\vfwwdm32.dll
      2008-03-15 03:03 . 2004-08-19 15:42 54,784 --a--c--- C:\WINDOWS\system32\dllcache\vfwwdm32.dll
      2008-03-15 03:03 . 2004-08-19 15:43 28,672 --a------ C:\WINDOWS\system32\vidcap.ax
      2008-03-15 03:03 . 2004-08-19 15:43 28,672 --a--c--- C:\WINDOWS\system32\dllcache\vidcap.ax
      2008-03-15 03:02 . 2004-08-19 15:43 43,008 --a------ C:\WINDOWS\system32\ksxbar.ax
      2008-03-15 03:02 . 2004-08-19 15:43 43,008 --a--c--- C:\WINDOWS\system32\dllcache\ksxbar.ax
      2008-03-15 02:50 . 2004-08-09 17:43 94,208 --a------ C:\WINDOWS\amcap.exe
      2008-03-14 18:24 . 2008-03-15 18:24 1,366,863 ---hs---- C:\WINDOWS\system32\oeqdxbtl.ini
      2008-03-13 03:00 . 2008-03-14 03:01 1,347,152 ---hs---- C:\WINDOWS\system32\cihiprgp.ini
      2008-03-12 02:58 . 2008-03-13 02:59 1,320,458 ---hs---- C:\WINDOWS\system32\bdoftxgd.ini
      2008-03-06 16:45 . 2008-03-06 16:45 675 --a------ C:\Mis carpetas para compartir.lnk
      2008-03-01 12:12 . 2008-03-01 12:12 <DIR> d-------- C:\Documents and Settings\BOMBEROS\Datos de programa\Lavasoft
      2008-02-29 11:54 . 2008-02-29 12:16 131,584 --a------ C:\WINDOWS\system32\SpoonUninstall.exe
      2008-02-29 11:54 . 2008-02-29 12:16 34,358 --a------ C:\WINDOWS\system32\SpoonUninstall-BPSIPH.bmp
      2008-02-29 11:54 . 2008-02-29 12:16 1,054 --a------ C:\WINDOWS\system32\SpoonUninstall-BPSIPH.dat
      2008-02-25 03:52 . 2007-07-30 19:19 271,224 --a------ C:\WINDOWS\system32\mucltui.dll
      2008-02-25 03:52 . 2007-07-30 19:19 207,736 --a------ C:\WINDOWS\system32\muweb.dll
      2008-02-25 03:52 . 2007-07-30 19:18 30,072 --a------ C:\WINDOWS\system32\mucltui.dll.mui
      2008-02-25 03:27 . 2008-02-25 03:28 <DIR> d-------- C:\Archivos de programa\Windows Live
      2008-02-25 03:27 . 2008-02-25 03:27 <DIR> d--hsc--- C:\Archivos de programa\Archivos comunes\WindowsLiveInstaller
      2008-02-25 03:26 . 2008-02-25 03:26 <DIR> d-------- C:\Documents and Settings\All Users\Datos de programa\WLInstaller
      2008-02-25 00:26 . 2008-02-25 00:26 244 --ah----- C:\sqmnoopt19.sqm
      2008-02-25 00:26 . 2008-02-25 00:26 232 --ah----- C:\sqmdata19.sqm
      2008-02-24 22:04 . 2008-02-24 22:04 244 --ah----- C:\sqmnoopt18.sqm
      2008-02-24 22:04 . 2008-02-24 22:04 232 --ah----- C:\sqmdata18.sqm
      2008-02-22 01:17 . 2008-02-22 01:17 524,300 --a------ C:\Documents and Settings\BOMBEROS\Datos de programa\position.bin

      .
      (((((((((((((((((((((((((((((((((((((( Reporte Find3M )))))))))))))))))))))))))))))))))))))))))))))))))))
      .
      2008-03-19 11:34 --------- d--h--w C:\Archivos de programa\InstallShield Installation Information
      2008-03-09 03:32 --------- d--h--r C:\Documents and Settings\BOMBEROS\Datos de programa\yahoo!
      2008-02-22 04:14 1,386,496 ----a-w C:\WINDOWS\system32\msvbvm60.dll
      2008-02-22 02:47 --------- d-----w C:\Archivos de programa\QuickTime
      2008-02-21 07:59 28,672 ----a-w C:\WINDOWS\system32\qttask.exe
      2008-02-21 07:58 --------- d-----w C:\Archivos de programa\TCWorks
      2008-02-21 07:57 --------- d-----w C:\Archivos de programa\directx
      2008-02-21 07:56 --------- d-----w C:\Archivos de programa\Archivos comunes\Adobe
      2008-02-21 06:39 --------- d-----w C:\Archivos de programa\eRightSoft
      2008-02-15 22:08 --------- d-----w C:\Documents and Settings\All Users\Datos de programa\Downloaded Installations
      2008-02-15 22:06 --------- d-----w C:\Archivos de programa\Nokia
      2008-02-11 12:39 253,952 ----a-w C:\WINDOWS\system32\OnlineScannerDLLA.dll
      2008-02-11 12:39 237,568 ----a-w C:\WINDOWS\system32\OnlineScannerDLLW.dll
      2008-02-08 16:53 110,592 ----a-w C:\WINDOWS\system32\OnlineScannerLang.dll
      2008-02-07 22:29 --------- d-----w C:\Archivos de programa\Eset
      2008-02-05 11:48 77,824 ----a-w C:\WINDOWS\system32\OnlineScannerUninstaller.exe
      2008-02-04 09:26 --------- d-----w C:\Documents and Settings\BOMBEROS\Datos de programa\Ahead
      2008-01-16 14:37 298,104 ----a-w C:\WINDOWS\system32\imon.dll
      2007-11-10 05:23 228,378 ----a-w C:\Archivos de programa\amcap.zip
      2007-09-27 04:00 2,092 ----a-w C:\Archivos de programa\settings.cfg
      2007-09-27 03:36 0 ----a-w C:\Archivos de programa\ignorelist.txt
      2007-05-12 14:07 17,906,544 ----a-w C:\Archivos de programa\Install_Messenger.exe
      2007-04-15 03:46 468,944 ----a-w C:\Archivos de programa\msgr8ar.exe
      2006-10-14 21:27 1,028,096 ----a-w C:\Documents and Settings\BOMBEROS\Datos de programa\arasanx.exe
      2006-10-14 19:15 606,208 ----a-w C:\Documents and Settings\BOMBEROS\Datos de programa\arasan.exe
      2006-10-14 18:52 1,507,328 ----a-w C:\Documents and Settings\BOMBEROS\Datos de programa\book.bin
      2004-08-19 08:20 2,372,760 ----a-w C:\Archivos de programa\WINZIP90.EXE
      2006-05-03 09:06 163,328 --sh--r C:\WINDOWS\system32\flvDX.dll
      2007-02-21 10:47 31,232 --sh--r C:\WINDOWS\system32\msfDX.dll
      .

      ((((((((((((((((((((((((((((((((( Cargando Puntos Reg ))))))))))))))))))))))))))))))))))))))))))))))))))
      .
      .
      REGEDIT4
      *Nota* entradas vacías & entradas legítimas predeterminadas no son mostradas

      [HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{167D8764-3531-4A39-A153-193A4D715E75}]

      [HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{F7F1631D-8596-499E-A843-DD0D68347ABD}]

      [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
      "CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-19 15:42 15360]
      "msnmsgr"="C:\Archivos de programa\Windows Live\Messenger\MsnMsgr.exe" [2007-10-18 11:34 5724184]
      "swg"="C:\Archivos de programa\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2007-07-04 21:32 68856]
      "Yahoo! Pager"="C:\Archivos de programa\Yahoo!\Messenger\YahooMessenger.exe" [2007-06-11 18:16 4670968]
      "SpybotSD TeaTimer"="C:\Archivos de programa\Spybot - Search & Destroy\TeaTimer.exe" [2008-01-28 11:43 2097488]

      [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
      "NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 10:50 155648]
      "EPSON Stylus C45 Series"="C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I4T1.exe" [2004-01-14 08:00 99840]
      "Ink Monitor"="C:\Archivos de programa\EPSON\Ink Monitor\InkMonitor.exe" [2002-08-05 05:37 258116]
      "EPSON Stylus C42 Series"="C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC1.exe" [2002-04-10 00:04 74240]
      "DLA"="C:\WINDOWS\System32\DLA\DLACTRLW.EXE" [2006-06-13 05:20 127036]
      "DLADiag"="C:\WINDOWS\DLADiag.EXE" [2006-03-17 08:35 57403]
      "nod32kui"="C:\Archivos de programa\Eset\nod32kui.exe" [2008-01-16 11:37 949376]
      "RTHDCPL"="RTHDCPL.EXE" [2005-09-22 10:36 14854144 C:\WINDOWS\RTHDCPL.exe]

      [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
      "CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-19 15:42 15360]

      C:\Documents and Settings\All Users\Men£ Inicio\Programas\Inicio\
      Inicio r*pido de Adobe Reader.lnk - C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2005-09-23 22:05:26 29696]
      KODAK Software Updater.lnk - C:\Archivos de programa\Kodak\KODAK Software Updater\7288971\Program\backWeb-7288971.exe [2003-06-08 17:48:18 16432]
      Software Kodak EasyShare.lnk - C:\Archivos de programa\Kodak\Kodak EasyShare software\bin\EasyShare.exe [2003-06-25 06:25:38 614531]
      WinZip Quick Pick.lnk - C:\Archivos de programa\WinZip\WZQKPICK.EXE [2007-10-04 10:11:09 118784]

      [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\nnnmnmm]
      nnnmnmm.dll

      [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
      "SunJavaUpdateSched"="C:\Archivos de programa\Java\jre1.6.0_01\bin\jusched.exe"
      "8c26f746"=rundll32.exe "C:\WINDOWS\system32\pjmbksjf.dll",b

      [HKEY_LOCAL_MACHINE\software\microsoft\security center]
      "UpdatesDisableNotify"=dword:00000001

      [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
      "%windir%\\system32\\sessmgr.exe"=
      "%windir%\\Network Diagnostic\\xpnetdiag.exe"=
      "C:\\Archivos de programa\\Messenger\\msmsgs.exe"=
      "C:\\WINDOWS\\system32\\spool\\drivers\\w32x86\\3\\SAGENT4.EXE"=
      "C:\\Archivos de programa\\NetMeeting\\conf.exe"=
      "C:\\Archivos de programa\\Yahoo!\\Messenger\\YahooMessenger.exe"=
      "C:\\Archivos de programa\\Yahoo!\\Messenger\\YServer.exe"=
      "C:\\Archivos de programa\\Kodak\\KODAK Software Updater\\7288971\\Program\\backWeb-7288971.exe"=
      "C:\\WINDOWS\\system32\\dpvsetup.exe"=
      "C:\\WINDOWS\\system32\\rundll32.exe"=
      "C:\\Archivos de programa\\Windows Live\\Messenger\\msnmsgr.exe"=
      "C:\\Archivos de programa\\Windows Live\\Messenger\\livecall.exe"=

      [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
      "1723:TCP"= 1723:TCP:@xpsp2res.dll,-22015
      "1701:UDP"= 1701:UDP:@xpsp2res.dll,-22016
      "500:UDP"= 500:UDP:@xpsp2res.dll,-22017

      R1 DLADiagN;DLADiagN;C:\WINDOWS\system32\Drivers\DLADiagN.SYS [2006-03-17 08:35]
      R1 DLAPMonN;DLAPMonN;C:\WINDOWS\system32\Drivers\DLAPMonN.SYS [2006-03-17 08:35]
      S3 DCamUSBIntel;USB Video Camera;C:\WINDOWS\system32\Drivers\TP6800.sys []

      .
      Contenido de carpeta 'Tareas Programadas'
      "2008-03-21 20:15:00 C:\WINDOWS\Tasks\1-Click Maintenance.job"
      - C:\Archivos de programa\TuneUp Utilities 2008\OneClick.exe
      "2008-03-22 18:09:56 C:\WINDOWS\Tasks\Symantec NetDetect.job"
      - C:\Archivos de programa\Symantec\LiveUpdate\NDETECT.EXE
      .
      **************************************************************************

      catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
      Rootkit scan 2008-03-22 15:36:30
      Windows 5.1.2600 Service Pack 2 NTFS

      escaneando procesos ocultos ...

      escaneando entradas ocultas de autostart ...

      escaneando archivos ocultos ...

      el escaneo se completo con exito
      archivos ocultos: 0

      **************************************************************************
      .
      --------------------- DLLs cargados bajo los procesos en ejecución ---------------------

      PROCESS: C:\WINDOWS\system32\lsass.exe
      -> C:\Archivos de programa\Eset\pr_imon.dll
      .
      Tiempo completado: 2008-03-22 15:37:01
      ComboFix-quarantined-files.txt 2008-03-22 18:36:52
      .
      2008-03-22 13:49:49 --- E O F ---


      Bueno espero tu respuesta a esto, Gracias por tu tiempo...