Despues de hacer la lista de los 11 procedimientos y no poder quitar el spyware, os pongo el log dehijackthis para ver si me podeis ayudar.

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:57:03, on 02/04/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Archivos de programa\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Documents and Settings\All Users\Datos de programa\odqtmpyb\sngpqhkd.exe
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Archivos de programa\Adobe\Reader 8.0\Reader\Reader_sl.exe
C:\WINDOWS\system32\eahwxfnh.exe
C:\WINDOWS\system32\regsvr32.exe
C:\WINDOWS\system32\regsvr32.exe
C:\WINDOWS\system32\regsvr32.exe
C:\WINDOWS\system32\regsvr32.exe
C:\WINDOWS\system32\regsvr32.exe
C:\WINDOWS\system32\inetsrv\inetinfo.exe
C:\WINDOWS\system32\tlntsvr.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Archivos de programa\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.es/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: Aplicación auxiliar de vínculos de Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Archivos comunes\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {1C7A4CFE-255B-758B-BF99-0B404E703D33} - C:\WINDOWS\system32\axabkzrf.dll
O2 - BHO: (no name) - {26D6E435-8B9B-7488-8719-09ECC1499D58} - C:\WINDOWS\system32\knwenloh.dll
O2 - BHO: (no name) - {39C94FFC-68B0-38AC-8347-0ADBA529A0AD} - C:\WINDOWS\system32\lubjvbwr.dll
O2 - BHO: (no name) - {3A29CB59-2EC1-AFB6-7576-065A6E866BCB} - C:\WINDOWS\system32\nmtbkqpr.dll
O2 - BHO: (no name) - {3CC429BC-BB61-5B2F-BE02-0683AB72B45D} - C:\WINDOWS\system32\bujqrxhb.dll
O2 - BHO: (no name) - {5DC3F2D9-4590-E217-0162-054EE60D9ADF} - C:\WINDOWS\system32\rhtphyec.dll
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [WinVNC] "C:\Archivos de programa\UltraVNC\WinVNC.exe" -servicehelper
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Archivos de programa\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [eahwxfnh] C:\WINDOWS\system32\eahwxfnh.exe
O4 - HKLM\..\Run: [mrgzctyh] regsvr32 /u "C:\Documents and Settings\All Users\Datos de programa\mrgzctyh.dll"
O4 - HKLM\..\Run: [tuncnmfm] regsvr32 /u "C:\Documents and Settings\All Users\Datos de programa\tuncnmfm.dll"
O4 - HKLM\..\Run: [lmliryzy] regsvr32 /u "C:\Documents and Settings\All Users\Datos de programa\lmliryzy.dll"
O4 - HKLM\..\Run: [xuxupavg] regsvr32 /u "C:\Documents and Settings\All Users\Datos de programa\xuxupavg.dll"
O4 - HKLM\..\Run: [qhkpuvof] regsvr32 /u "C:\Documents and Settings\All Users\Datos de programa\qhkpuvof.dll"
O4 - HKCU\..\Run: [xqwpizjf] C:\WINDOWS\system32\obqjsbwx.exe
O4 - HKCU\..\Run: [czxafyqv] C:\WINDOWS\system32\tmtujcne.exe
O4 - HKCU\..\Run: [ppsmxkrn] C:\WINDOWS\system32\vyxklaxk.exe
O4 - HKCU\..\Run: [lqfkrcbb] C:\WINDOWS\system32\apoxsdib.exe
O4 - HKCU\..\Run: [gxloqteh] C:\WINDOWS\system32\dkvevafg.exe
O4 - HKCU\..\Run: [jcmfctrm] C:\WINDOWS\system32\pmredalw.exe
O4 - HKCU\..\Run: [ytgfthzy] C:\WINDOWS\system32\utcpafcb.exe
O4 - HKCU\..\Run: [aubutfhz] C:\WINDOWS\system32\gdsjyxip.exe
O4 - HKCU\..\Run: [vthnqghc] C:\WINDOWS\system32\ylqzalcr.exe
O4 - HKCU\..\Run: [nxekstva] C:\WINDOWS\system32\betijyry.exe
O4 - HKCU\..\Run: [fwwrnwoy] C:\WINDOWS\system32\gnajivyp.exe
O4 - HKCU\..\Run: [dlcfzsry] C:\WINDOWS\system32\qzyxatox.exe
O4 - HKCU\..\Run: [mdcekgmh] C:\WINDOWS\system32\bgxujaxw.exe
O4 - HKCU\..\Run: [zocsumgs] C:\WINDOWS\system32\otyvadsl.exe
O4 - HKLM\..\Policies\Explorer\Run: [dX0YyPeUZW] C:\Documents and Settings\All Users\Datos de programa\odqtmpyb\sngpqhkd.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICIO LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Servicio de red')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/spanish/kavwebscan_unicode.cab
O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - http://downloads.ewido.net/ewidoOnlineScan.cab
O16 - DPF: {210D0CBC-8B17-48D1-B294-1A338DD2EB3A} (VatCtrl Class) - http://212.170.197.145:8080/VatDec.cab
O16 - DPF: {361E6B79-4A69-4376-B0F2-3D1EBEE9D7E2} (RtspVaPgCtrl Class) - http://212.170.197.145:8081/RtspVaPgDec.cab
O16 - DPF: {ADACAA8F-3595-47FE-9C31-9C7471B9BEC7} (OCXDownloadChecker Control) - http://192.168.1.33/cab/OCXChecker_8120.cab
O16 - DPF: {DBAFE6AD-DC14-45DF-A3F7-F8832289A1CD} (DownloadFile Control) - http://192.168.1.33/cab/DownloadFile_8110.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{A0ABA30B-6020-42FE-B4C0-F5197CA9ED56}: NameServer = 195.235.113.3,195.235.96.90
O17 - HKLM\System\CCS\Services\Tcpip\..\{EC5D6604-84C0-410B-814A-CEF81C5FC03B}: NameServer = 195.235.113.3
O20 - Winlogon Notify: !SASWinLogon - C:\Archivos de programa\SUPERAntiSpyware\SASWINLO.dll
O20 - Winlogon Notify: winbjh32 - winbjh32.dll (file missing)
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft - C:\Archivos de programa\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: VNC Server (winvnc) - UltraVNC - C:\Archivos de programa\UltraVNC\WinVNC.exe

--
End of file - 6321 bytes

Tmabien os pongo el del spybot, pues encntro un "virtumonde" y lo borra pero me aparece de nuevo. El log es:


--- Search result list ---
Microsoft.WindowsSecurityCenter.AntiVirusOverride: [SBI $3604910C] Configuración (Cambio en el registro, nothing done)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusOverride

Microsoft.WindowsSecurityCenter.FirewallOverride: [SBI $0C94D702] Configuración (Cambio en el registro, nothing done)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallOverride

Virtumonde: [SBI $3BE84E58] Configuración (Clave del registro, nothing done)
HKEY_USERS\S-1-5-21-57989841-2049760794-725345543-1003\Software\mwc

Virtumonde: [SBI $0FB400C8] Configuración (Clave del registro, nothing done)
HKEY_USERS\S-1-5-21-57989841-2049760794-725345543-1003\Software\wkey


gracias anticipadas.

Hola ferdiaz, te doy la bienvenida al Foro de InfoSpyware.

Tu log de HijackThis esta muy infectado, por lo que vamos a realizar algunos pasos antes:

Descarga, actualiza y ejecuta el programa:

• SUPERAntiSpyware
• Malwarebytes' Anti-Malware
  *Nota* Es importante que envíes a "Cuarentena" todo lo que este detecte antes de copiar y pegarnos su reporte.

Descarga CCleaner y ejecútalo usando primero su opción de "Limpiador" para borrar cookies, temporales de Internet y todos los archivos que este te muestre como obsoletos, y luego usa su opción de "Registro" para limpiar todo el registro de Windows (haciendo copia de seguridad).


- Descarga la herramienta ComboFix.exe y guárdala en el escritorio.

• Desactiva temporalmente el Antivirus y/o Antispyware.
• Cierra todas las ventanas abiertas.
• Hacele doble clic al archivo ComboFix.exe y seguí las instrucciones.
• Cuando termine, generara un registro en C:\ComboFix.txt.
  • *Nota* Mientras CF este trabajando no mover el mouse ya que pararía su proceso.
  • *Nota* ComboFix puede reiniciar automáticamente el PC para completar el proceso de eliminación.

• Reinicia y pega el reporte de C:\ComboFix.txt en este mismo mensaje.

Salu2

Gracias por tu atencion. He aplicado todos los consejos: mostrar archivos ocultos, desactivar restauracion, etc,y he reiniciado en modo a prueba de fallos. Entonces he aplicado los siguientes programas en este orden:

1º superantispyware:; ha encontrado 2 (ver registro)
2º malwarebytes: ha encontardo 18 (ver registro)
3ºspybot: no ha encontardo nada
4º ad-aware : no ha encontardo nada
5º kaspesky online (te pongo el log)
6º combofix: te pongo el log tambien

Antes de empezar y entre ejecutar unos y otros e ejecutado el ccleaner y el atf-cleaner.

Antes de todo actualicé el xp y el detector de windows encontró y elimino un virus llamado: virtumonde.R

Pues paso a ponerte los logs, muchas gracias, por tu ayuda desinteresada.
Un saludo.
-----------------------------------------------------------------------
SUPERAntiSpyware Scan Log
http://www.superantispyware.com

Generated 04/03/2008 at 10:49 AM

Application Version : 4.0.1154

Core Rules Database Version : 3430
Trace Rules Database Version: 1422

Scan type : Complete Scan
Total Scan Time : 00:07:08

Memory items scanned : 192
Memory threats detected : 0
Registry items scanned : 3153
Registry threats detected : 2
File items scanned : 10307
File threats detected : 2

Trojan.Unclassified/Multi-Dropper
[nxekstva] C:\WINDOWS\SYSTEM32\BETIJYRY.EXE
C:\WINDOWS\SYSTEM32\BETIJYRY.EXE

Trojan.Unclassified/Multi-Dropper (Packed)
[dX0YyPeUZW] C:\DOCUMENTS AND SETTINGS\ALL USERS\DATOS DE PROGRAMA\ODQTMPYB\SNGPQHKD.EXE
C:\DOCUMENTS AND SETTINGS\ALL USERS\DATOS DE PROGRAMA\ODQTMPYB\SNGPQHKD.EXE

-----------------------------------------------------------------------

Malwarebytes' Anti-Malware 1.10
Versión de la Base de Datos: 586

Tipo de examen : Examen Completo (C:\|E:\|F:\|G:\|H:\|I:\|)
Objetos examinados: 45646
Tiempo transcurrido: 4 minute(s), 58 second(s)

Procesos en Memoria Infectados: 0
Módulos en Memoria Infectados: 0
Claves del Registro Infectadas: 4
Valores del Registro Infectados: 0
Elementos de Datos del Registro Infectados: 0
Carpetas Infectadas: 1
Ficheros Infectados: 18

Procesos en Memoria Infectados:
(No se han detectado elementos maliciosos)

Módulos en Memoria Infectados:
(No se han detectado elementos maliciosos)

Claves del Registro Infectadas:
HKEY_CLASSES_ROOT\Typelib\{50ccd00a-66b6-4d95-aaef-8ee959498f92} (Trojan.FakeAlert) -> No action taken.
HKEY_CURRENT_USER\Software\mwc (Trojan.FakeAlert) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\DataDisp32 (Trojan.Vundo) -> No action taken.
HKEY_CURRENT_USER\Software\wkey (Malware.Trace) -> No action taken.

Valores del Registro Infectados:
(No se han detectado elementos maliciosos)

Elementos de Datos del Registro Infectados:
(No se han detectado elementos maliciosos)

Carpetas Infectadas:
C:\Archivos de programa\PC-Cleaner (Rogue.PC-Cleaner) -> No action taken.

Ficheros Infectados:
C:\WINDOWS\system32\obqjsbwx.exe (Trojan.FakeAlert) -> No action taken.
C:\WINDOWS\system32\tmtujcne.exe (Trojan.FakeAlert) -> No action taken.
C:\WINDOWS\system32\vyxklaxk.exe (Trojan.FakeAlert) -> No action taken.
C:\WINDOWS\system32\apoxsdib.exe (Trojan.FakeAlert) -> No action taken.
C:\WINDOWS\system32\dkvevafg.exe (Trojan.FakeAlert) -> No action taken.
C:\WINDOWS\system32\pmredalw.exe (Trojan.FakeAlert) -> No action taken.
C:\WINDOWS\system32\utcpafcb.exe (Trojan.FakeAlert) -> No action taken.
C:\WINDOWS\system32\gdsjyxip.exe (Trojan.FakeAlert) -> No action taken.
C:\WINDOWS\system32\ylqzalcr.exe (Trojan.FakeAlert) -> No action taken.
C:\WINDOWS\system32\gnajivyp.exe (Trojan.FakeAlert) -> No action taken.
C:\WINDOWS\system32\qzyxatox.exe (Trojan.FakeAlert) -> No action taken.
C:\WINDOWS\system32\bgxujaxw.exe (Trojan.FakeAlert) -> No action taken.
C:\WINDOWS\system32\otyvadsl.exe (Trojan.FakeAlert) -> No action taken.
C:\WINDOWS\system32\fodapyfc.exe (Trojan.FakeAlert) -> No action taken.
C:\WINDOWS\system32\eahwxfnh.exe (Trojan.FakeAlert) -> No action taken.
C:\Documents and Settings\os2\Datos de programa\ANTIVI~1.EXE.bak (Trojan.FakeAlert) -> No action taken.
C:\WINDOWS\system32\winafs32.dll (Dialer) -> No action taken.
C:\WINDOWS\system32\winlef32.dll (Dialer) -> No action taken.

----------------------------------------------------------------------
-------------------------------------------------------------------------------
KASPERSKY ONLINE SCANNER INFORME
jueves, 03 de abril de 2008 12:01:36
Sistema operativo: Microsoft Windows XP Professional, Service Pack 2 (Build 2600)
Kaspersky Online Scanner versión: 5.0.84.1
Ultima actualización: 3/04/2008
Registros en la base antivirus: 679288
-------------------------------------------------------------------------------

Configuración del análisis:
Analizar usando las siguientes bases: estendidas
Analizar archivos: verdadero
Analizar bases de correo: verdadero

Objetivo a analizar - Mi PC:
C:\
D:\
E:\
F:\
G:\
H:\
I:\

Estadísticas:
Número de objeros analizados: 24208
Virus encontrados: 2
Objetos infectados: 5 / 0
Objetos sospechosos: 0
Duración del análisis: 00:11:52

Bombre del objeto infectado / Nombre del virus / Última acción
C:\Archivos de programa\UltraVNC\vnchooks.dll Infectados: not-a-virus:RemoteAdmin.Win32.WinVNC.e saltado
C:\Archivos de programa\UltraVNC\winvnc.exe Infectados: not-a-virus:RemoteAdmin.Win32.WinVNC.e saltado
C:\Documents and Settings\LocalService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat Object is locked saltado
C:\Documents and Settings\LocalService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat.LOG Object is locked saltado
C:\Documents and Settings\LocalService\NTUSER.DAT Object is locked saltado
C:\Documents and Settings\LocalService\ntuser.dat.LOG Object is locked saltado
C:\Documents and Settings\NetworkService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat Object is locked saltado
C:\Documents and Settings\NetworkService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat.LOG Object is locked saltado
C:\Documents and Settings\NetworkService\NTUSER.DAT Object is locked saltado
C:\Documents and Settings\NetworkService\ntuser.dat.LOG Object is locked saltado
C:\Documents and Settings\os2\Configuración local\Archivos temporales de Internet\AntiPhishing\B3BB5BBA-E7D5-40AB-A041-A5B1C0B26C8F.dat Object is locked saltado
C:\Documents and Settings\os2\Configuración local\Archivos temporales de Internet\Content.IE5\index.dat Object is locked saltado
C:\Documents and Settings\os2\Configuración local\Datos de programa\Microsoft\Feeds Cache\index.dat Object is locked saltado
C:\Documents and Settings\os2\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat Object is locked saltado
C:\Documents and Settings\os2\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat.LOG Object is locked saltado
C:\Documents and Settings\os2\Configuración local\Historial\History.IE5\index.dat Object is locked saltado
C:\Documents and Settings\os2\Configuración local\Historial\History.IE5\MSHist0120080403200804 04\index.dat Object is locked saltado
C:\Documents and Settings\os2\Cookies\index.dat Object is locked saltado
C:\Documents and Settings\os2\NTUSER.DAT Object is locked saltado
C:\Documents and Settings\os2\ntuser.dat.LOG Object is locked saltado
C:\Documents and Settings\os2\UserData\index.dat Object is locked saltado
C:\instalar\SmitfraudFix\Reboot.exe Infectados: not-a-virus:RiskTool.Win32.Reboot.f saltado
C:\instalar\SmitfraudFix.zip/SmitfraudFix/Reboot.exe Infectados: not-a-virus:RiskTool.Win32.Reboot.f saltado
C:\instalar\SmitfraudFix.zip ZIP: infectado - 1 saltado
C:\System Volume Information\MountPointManagerRemoteDatabase Object is locked saltado
C:\WINDOWS\CSC\00000001 Object is locked saltado
C:\WINDOWS\Debug\PASSWD.LOG Object is locked saltado
C:\WINDOWS\system32\CatRoot2\edb.log Object is locked saltado
C:\WINDOWS\system32\CatRoot2\tmp.edb Object is locked saltado
C:\WINDOWS\system32\config\AppEvent.Evt Object is locked saltado
C:\WINDOWS\system32\config\default Object is locked saltado
C:\WINDOWS\system32\config\default.LOG Object is locked saltado
C:\WINDOWS\system32\config\Internet.evt Object is locked saltado
C:\WINDOWS\system32\config\SAM Object is locked saltado
C:\WINDOWS\system32\config\SAM.LOG Object is locked saltado
C:\WINDOWS\system32\config\SecEvent.Evt Object is locked saltado
C:\WINDOWS\system32\config\SECURITY Object is locked saltado
C:\WINDOWS\system32\config\SECURITY.LOG Object is locked saltado
C:\WINDOWS\system32\config\software Object is locked saltado
C:\WINDOWS\system32\config\software.LOG Object is locked saltado
C:\WINDOWS\system32\config\SysEvent.Evt Object is locked saltado
C:\WINDOWS\system32\config\system Object is locked saltado
C:\WINDOWS\system32\config\system.LOG Object is locked saltado
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR Object is locked saltado
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP Object is locked saltado
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER Object is locked saltado
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MA P Object is locked saltado
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MA P Object is locked saltado
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DAT A Object is locked saltado
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP Object is locked saltado
C:\WINDOWS\TEMP\Perflib_Perfdata_4f4.dat Object is locked saltado
I:\System Volume Information\MountPointManagerRemoteDatabase Object is locked saltado

Análisis completado.

-----------------------------------------------------------------------

ComboFix 08-04-02.1 - os2 2008-04-03 12:05:05.13 - NTFSx86 NETWORK
Microsoft Windows XP Professional 5.1.2600.2.1252.1.3082.18.279 [GMT 2:00]
Se ejecuta desde: C:\Documents and Settings\os2\Escritorio\ComboFix.exe

ADVERTENCIA - ESTE EQUIPO NO TIENE INSTALADA LA CONSOLA DE RECUPERACION!
.

(((((((((((((((((( Archivos creados desde 2008-03-03 - 2008-04-03 )))))))))))))))))))))))))))))))))
.

2008-04-03 11:08 . 2008-04-03 11:08 <DIR> d-------- C:\Documents and Settings\os2\Datos de programa\Malwarebytes
2008-04-03 10:57 . 2008-04-03 12:01 <DIR> d-------- C:\logs
2008-04-03 10:36 . 2008-04-03 10:36 <DIR> d-------- C:\Documents and Settings\All Users\Datos de programa\Malwarebytes
2008-04-03 10:36 . 2008-04-03 10:36 <DIR> d-------- C:\Archivos de programa\Malwarebytes' Anti-Malware
2008-04-03 10:20 . 2008-04-03 10:20 110,592 --a------ C:\WINDOWS\system32\eqzwnzum.dll
2008-04-03 10:20 . 2008-04-03 10:20 110,592 --a------ C:\Documents and Settings\All Users\Datos de programa\clopsnwh.dll
2008-04-03 09:42 . 2008-04-03 09:42 <DIR> d-------- C:\WINDOWS\system32\es-es
2008-04-03 09:26 . 2008-04-03 09:26 127 --a------ C:\WINDOWS\system32\MRT.INI
2008-04-02 19:33 . 2008-04-03 09:40 <DIR> d--h----- C:\WINDOWS\$hf_mig$
2008-04-02 19:33 . 2006-09-06 17:43 22,752 --a------ C:\WINDOWS\system32\spupdsvc.exe
2008-04-02 19:17 . 2008-04-02 19:17 114,688 --a------ C:\WINDOWS\system32\lubjvbwr.dll
2008-04-02 19:17 . 2008-04-02 19:17 114,688 --a------ C:\Documents and Settings\All Users\Datos de programa\qhkpuvof.dll
2008-04-02 19:07 . 2008-04-02 19:07 <DIR> d--h----- C:\WINDOWS\system32\GroupPolicy
2008-04-02 17:33 . 2008-04-02 17:33 106,496 --a------ C:\WINDOWS\system32\zwdeaitc.dll
2008-04-02 17:29 . 2008-04-02 17:29 164 --a------ C:\install.dat
2008-04-02 13:15 . 2008-04-02 13:15 <DIR> d-------- C:\WINDOWS\system32\Kaspersky Lab
2008-04-02 12:36 . 2008-04-02 12:36 <DIR> d-------- C:\Documents and Settings\All Users\Datos de programa\Lavasoft
2008-04-02 12:36 . 2008-04-02 12:36 <DIR> d-------- C:\Archivos de programa\Lavasoft
2008-04-02 12:15 . 2008-04-02 12:15 <DIR> d-------- C:\Archivos de programa\CCleaner
2008-04-02 12:13 . 2008-04-03 10:28 <DIR> d-a------ C:\Documents and Settings\All Users\Datos de programa\TEMP
2008-04-02 12:13 . 2008-04-02 13:12 <DIR> d-------- C:\Archivos de programa\SpywareBlaster
2008-04-02 12:13 . 2005-08-25 18:19 115,920 --a------ C:\WINDOWS\system32\MSINET.OCX
2008-04-02 12:11 . 2008-04-02 12:11 <DIR> d-------- C:\Documents and Settings\os2\Datos de programa\SUPERAntiSpyware.com
2008-04-02 12:11 . 2008-04-02 12:11 <DIR> d-------- C:\Documents and Settings\All Users\Datos de programa\SUPERAntiSpyware.com
2008-04-02 12:11 . 2008-04-02 12:11 <DIR> d-------- C:\Archivos de programa\SUPERAntiSpyware
2008-04-02 12:10 . 2008-04-02 12:10 <DIR> d-------- C:\Archivos de programa\Archivos comunes\Wise Installation Wizard
2008-04-02 11:45 . 2008-04-02 11:49 <DIR> d-------- C:\Documents and Settings\All Users\Datos de programa\Spybot - Search & Destroy
2008-04-02 11:45 . 2008-04-02 11:45 <DIR> d-------- C:\Archivos de programa\Spybot - Search & Destroy
2008-04-02 10:38 . 2008-04-02 11:20 2,060 --a------ C:\WINDOWS\system32\tmp.reg
2008-04-02 10:11 . 2008-04-02 10:28 <DIR> d-------- C:\Archivos de programa\Enigma Software Group
2008-04-01 12:15 . 2008-04-01 12:15 106,496 --a------ C:\Documents and Settings\All Users\Datos de programa\ncvevqbc.dll
2008-04-01 12:07 . 2008-04-01 12:07 <DIR> d-------- C:\Archivos de programa\Trend Micro
2008-04-01 11:59 . 2008-04-01 11:59 106,496 --a------ C:\WINDOWS\system32\yjmkqfwp.dll
2008-04-01 11:59 . 2008-04-01 11:59 106,496 --a------ C:\Documents and Settings\All Users\Datos de programa\sxujklst.dll
2008-04-01 11:40 . 2008-04-01 13:34 <DIR> d-------- C:\Archivos de programa\Panda Security
2008-04-01 11:30 . 2008-04-01 11:30 106,496 --a------ C:\WINDOWS\system32\xwogocgq.dll
2008-04-01 11:30 . 2008-04-01 11:30 106,496 --a------ C:\Documents and Settings\All Users\Datos de programa\bsdsrufm.dll
2008-04-01 11:22 . 2008-04-01 11:22 106,496 --a------ C:\WINDOWS\system32\lpfqruyj.dll
2008-04-01 11:22 . 2008-04-01 11:22 106,496 --a------ C:\Documents and Settings\All Users\Datos de programa\vubczybo.dll
2008-04-01 11:14 . 2008-04-01 11:14 106,496 --a------ C:\WINDOWS\system32\mxnttrgz.dll
2008-04-01 11:14 . 2008-04-01 11:14 106,496 --a------ C:\Documents and Settings\All Users\Datos de programa\fobupufy.dll
2008-04-01 11:03 . 2008-04-01 11:03 106,496 --a------ C:\WINDOWS\system32\qophjwie.dll
2008-04-01 11:03 . 2008-04-01 11:03 106,496 --a------ C:\Documents and Settings\All Users\Datos de programa\honmhalm.dll
2008-04-01 10:29 . 2008-04-01 10:29 106,496 --a------ C:\WINDOWS\system32\jmaergrr.dll
2008-04-01 10:29 . 2008-04-01 10:29 106,496 --a------ C:\Documents and Settings\All Users\Datos de programa\cbkhcpiv.dll
2008-04-01 10:15 . 2008-04-01 10:15 106,496 --a------ C:\WINDOWS\system32\xndrhfvv.dll
2008-04-01 10:15 . 2008-04-01 10:15 106,496 --a------ C:\Documents and Settings\All Users\Datos de programa\xwfypstk.dll
2008-04-01 10:09 . 2008-04-01 10:09 <DIR> d-------- C:\WINDOWS\system32\config\systemprofile\Configura ci¾n local
2008-04-01 10:09 . 2008-04-01 10:09 <DIR> d-------- C:\Documents and Settings\os2\Configuraci¾n local
2008-04-01 10:09 . 2008-04-01 10:09 <DIR> d-------- C:\Documents and Settings\NetworkService\Configuraci¾n local
2008-04-01 10:08 . 2008-04-01 10:08 106,496 --a------ C:\WINDOWS\system32\kirkcviz.dll
2008-04-01 10:08 . 2008-04-01 10:08 106,496 --a------ C:\Documents and Settings\All Users\Datos de programa\xmpwbspu.dll
2008-03-31 19:53 . 2008-04-03 10:57 <DIR> d-------- C:\Documents and Settings\All Users\Datos de programa\odqtmpyb
2008-03-31 19:50 . 2008-03-31 19:50 122,880 --a------ C:\Documents and Settings\All Users\Datos de programa\mzadipmx.dll
2008-03-28 20:43 . 2008-03-28 20:43 <DIR> d-------- C:\Archivos de programa\v8120
2008-03-28 20:43 . 2008-03-31 17:40 113 --a------ C:\WINDOWS\multiview.ini
2008-03-17 13:47 . 2008-03-31 19:45 <DIR> d-------- C:\WINDOWS\SxsCaPendDel
2008-03-17 13:47 . 2008-03-17 13:47 <DIR> d-------- C:\Archivos de programa\Archivos comunes\Adobe

.
(((((((((((((((((((((((((((((((((((((( Reporte Find3M )))))))))))))))))))))))))))))))))))))))))))))))))) )
.
2008-04-01 08:16 --------- d-----w C:\Archivos de programa\World of Warcraft
2008-03-28 18:43 --------- d--h--w C:\Archivos de programa\InstallShield Installation Information
.

((((((((((((((((((((((((((((((((( Cargando Puntos Reg ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Nota* entradas vacías & entradas legítimas predeterminadas no son mostradas

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{39C94FFC-68B0-38AC-8347-0ADBA529A0AD}]
2008-04-02 19:17 114688 --a------ C:\WINDOWS\system32\lubjvbwr.dll

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{484F2495-2857-CE87-1E68-02A1BE9573EB}]
2008-04-03 10:20 110592 --a------ C:\WINDOWS\system32\eqzwnzum.dll

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\Run]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-19 15:42 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run]
"IgfxTray"="C:\WINDOWS\system32\igfxtray.exe" [2004-06-06 11:45 155648]
"HotKeysCmds"="C:\WINDOWS\system32\hkcmd.exe" [2004-06-06 11:41 118784]
"WinVNC"="C:\Archivos de programa\UltraVNC\WinVNC.exe" [2005-08-06 19:45 974848]
"SoundMan"="SOUNDMAN.EXE" [2004-09-16 21:39 69632 C:\WINDOWS\SOUNDMAN.EXE]
"Adobe Reader Speed Launcher"="C:\Archivos de programa\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 23:16 39792]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\Cur rentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-19 15:42 15360]

[hkey_local_machine\software\microsoft\windows\curr entversion\explorer\shellexecutehooks]
"{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA}"= C:\Archivos de programa\SUPERAntiSpyware\SASSEH.DLL [2006-12-20 12:55 77824]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\!SASWinLogon]
C:\Archivos de programa\SUPERAntiSpyware\SASWINLO.dll 2007-04-19 12:41 294912 C:\Archivos de programa\SUPERAntiSpyware\SASWINLO.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\winbjh32]
winbjh32.dll

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001
"FirewallOverride"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpo licy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpo licy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\system32\\winav.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpo licy\standardprofile\GloballyOpenPorts\List]
"3389:TCP"= 3389:TCP:@xpsp2res.dll,-22009

S2 SMTPSVC;Protocolo simple de transferencia de correo (SMTP);C:\WINDOWS\system32\inetsrv\inetinfo.exe [2004-08-19 15:42]
S3 MBAMCatchMe;MBAMCatchMe;C:\Archivos de programa\Malwarebytes' Anti-Malware\catchme.sys [2008-04-01 18:13]

*Newly Created Service* - MBAMCATCHME
.
************************************************** ************************

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-04-03 12:05:48
Windows 5.1.2600 Service Pack 2 NTFS

escaneando procesos ocultos ...

escaneando entradas ocultas de autostart ...

escaneando archivos ocultos ...

el escaneo se completo con exito
archivos ocultos: 0

************************************************** ************************
.
Tiempo completado: 2008-04-03 12:06:11
ComboFix-quarantined-files.txt 2008-04-03 10:06:03
11 dirs 18,642,321,408 bytes libres
13 dirs 18,633,768,960 bytes libres
.
2008-04-03 08:17:32 --- E O F ---
-------------------------------------------------------------

He reiniciado en modo normal, y he vuelto a pasar los mismos programas, y solo me ha detectado el Malwarebytes' Anti-Malware .

te pongo el log.

Malwarebytes' Anti-Malware 1.10
Versión de la Base de Datos: 586

Tipo de examen : Examen Completo (C:\|E:\|F:\|G:\|H:\|I:\|)
Objetos examinados: 45997
Tiempo transcurrido: 5 minute(s), 56 second(s)

Procesos en Memoria Infectados: 0
Módulos en Memoria Infectados: 0
Claves del Registro Infectadas: 1
Valores del Registro Infectados: 0
Elementos de Datos del Registro Infectados: 0
Carpetas Infectadas: 0
Ficheros Infectados: 0

Procesos en Memoria Infectados:
(No se han detectado elementos maliciosos)

Módulos en Memoria Infectados:
(No se han detectado elementos maliciosos)

Claves del Registro Infectadas:
HKEY_CLASSES_ROOT\Typelib\{50ccd00a-66b6-4d95-aaef-8ee959498f92} (Trojan.FakeAlert) -> Quarantined and deleted successfully.

Valores del Registro Infectados:
(No se han detectado elementos maliciosos)

Elementos de Datos del Registro Infectados:
(No se han detectado elementos maliciosos)

Carpetas Infectadas:
(No se han detectado elementos maliciosos)

Ficheros Infectados:
(No se han detectado elementos maliciosos)

Creo que finalmente lo he limpiado todo. Te pongo el log actual de HijackThis, para que lo analices, y me digas si ves algo raro.
Gracias.

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 10:33:11, on 04/04/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16608)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Archivos de programa\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\inetsrv\inetinfo.exe
C:\WINDOWS\system32\tlntsvr.exe
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Archivos de programa\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.es/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.es/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: Aplicación auxiliar de vínculos de Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Archivos comunes\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [WinVNC] "C:\Archivos de programa\UltraVNC\WinVNC.exe" -servicehelper
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Archivos de programa\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICIO LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Servicio de red')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/spanish/kavwebscan_unicode.cab
O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - http://downloads.ewido.net/ewidoOnlineScan.cab
O16 - DPF: {210D0CBC-8B17-48D1-B294-1A338DD2EB3A} (VatCtrl Class) - http://212.170.197.145:8080/VatDec.cab
O16 - DPF: {361E6B79-4A69-4376-B0F2-3D1EBEE9D7E2} (RtspVaPgCtrl Class) - http://212.170.197.145:8081/RtspVaPgDec.cab
O16 - DPF: {ADACAA8F-3595-47FE-9C31-9C7471B9BEC7} (OCXDownloadChecker Control) - http://192.168.1.33/cab/OCXChecker_8120.cab
O16 - DPF: {DBAFE6AD-DC14-45DF-A3F7-F8832289A1CD} (DownloadFile Control) - http://192.168.1.33/cab/DownloadFile_8110.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{A0ABA30B-6020-42FE-B4C0-F5197CA9ED56}: NameServer = 195.235.113.3,195.235.96.90
O17 - HKLM\System\CCS\Services\Tcpip\..\{EC5D6604-84C0-410B-814A-CEF81C5FC03B}: NameServer = 195.235.113.3
O20 - Winlogon Notify: !SASWinLogon - C:\Archivos de programa\SUPERAntiSpyware\SASWINLO.dll
O20 - Winlogon Notify: winbjh32 - winbjh32.dll (file missing)
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft - C:\Archivos de programa\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: VNC Server (winvnc) - UltraVNC - C:\Archivos de programa\UltraVNC\WinVNC.exe

--
End of file - 4106 bytes

Hola, es muy importante que borres todo lo detectado por MBAM.

Con HijackThis dale a esta entrada:

O20 - Winlogon Notify: winbjh32 - winbjh32.dll (file missing)

A) - Abrir el Notepad (Bloc de Notas)

• Ir a INICIO > EJECUTAR >
• Y ahí pones notepad.exe y ACEPTAR

B) - Ahora copia y pega estos archivos dentro del Notepad

C) - Graba este archivo con el nombre CFScript.txt y déjalo en tu escritorio.

D) - Arrastrar y soltar el archivo CFScript.txt dentro del archivo ComboFix.exe como lo muestra la animación de abajo. Esto activara ComboFix nuevamente.

• Reinicia tu PC y nos dejas un el nuevo reporte de ComboFix, comentándonos como esta funcionado todo actualmente?

Salu2

Creo que estaba todo solucionado, no tenia ningun tipo de sintomas. De todos modos he hecho lo que me has dicho, y te dejo el log.

Muchas gracias por tu ayuda, eres fenomenal; un saludo.

Fermin.

ComboFix 08-04-06.1 - os2 2008-04-07 10:03:48.15 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.3082.18.324 [GMT 2:00]
Se ejecuta desde: C:\Documents and Settings\os2\Escritorio\ComboFix.exe
Command switches used :: C:\Documents and Settings\os2\Escritorio\CFScript.txt
* Creado un nuevo punto de restauración

ADVERTENCIA - ESTE EQUIPO NO TIENE INSTALADA LA CONSOLA DE RECUPERACION!

FILE ::
C:\Documents and Settings\All Users\Datos de programa\bsdsrufm.dll
C:\Documents and Settings\All Users\Datos de programa\cbkhcpiv.dll
C:\Documents and Settings\All Users\Datos de programa\clopsnwh.dll
C:\Documents and Settings\All Users\Datos de programa\fobupufy.dll
C:\Documents and Settings\All Users\Datos de programa\honmhalm.dll
C:\Documents and Settings\All Users\Datos de programa\mzadipmx.dll
C:\Documents and Settings\All Users\Datos de programa\ncvevqbc.dll
C:\Documents and Settings\All Users\Datos de programa\odqtmpyb
C:\Documents and Settings\All Users\Datos de programa\qhkpuvof.dll
C:\Documents and Settings\All Users\Datos de programa\sxujklst.dll
C:\Documents and Settings\All Users\Datos de programa\vubczybo.dll
C:\Documents and Settings\All Users\Datos de programa\xmpwbspu.dll
C:\Documents and Settings\All Users\Datos de programa\xwfypstk.dll
C:\WINDOWS\multiview.ini
C:\WINDOWS\system32\eqzwnzum.dll
C:\WINDOWS\system32\jmaergrr.dll
C:\WINDOWS\system32\kirkcviz.dll
C:\WINDOWS\system32\lpfqruyj.dll
C:\WINDOWS\system32\lubjvbwr.dll
C:\WINDOWS\system32\mxnttrgz.dll
C:\WINDOWS\system32\qophjwie.dll
C:\WINDOWS\system32\xndrhfvv.dll
C:\WINDOWS\system32\xwogocgq.dll
C:\WINDOWS\system32\yjmkqfwp.dll
C:\WINDOWS\system32\zwdeaitc.dll
.

(((((((((((((((((((((((((((((((((((( Otras eliminaciones )))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Documents and Settings\All Users\Datos de programa\bsdsrufm.dll
C:\Documents and Settings\All Users\Datos de programa\cbkhcpiv.dll
C:\Documents and Settings\All Users\Datos de programa\clopsnwh.dll
C:\Documents and Settings\All Users\Datos de programa\fobupufy.dll
C:\Documents and Settings\All Users\Datos de programa\honmhalm.dll
C:\Documents and Settings\All Users\Datos de programa\mzadipmx.dll
C:\Documents and Settings\All Users\Datos de programa\ncvevqbc.dll
C:\Documents and Settings\All Users\Datos de programa\qhkpuvof.dll
C:\Documents and Settings\All Users\Datos de programa\sxujklst.dll
C:\Documents and Settings\All Users\Datos de programa\vubczybo.dll
C:\Documents and Settings\All Users\Datos de programa\xmpwbspu.dll
C:\Documents and Settings\All Users\Datos de programa\xwfypstk.dll
C:\WINDOWS\multiview.ini
C:\WINDOWS\system32\eqzwnzum.dll
C:\WINDOWS\system32\jmaergrr.dll
C:\WINDOWS\system32\kirkcviz.dll
C:\WINDOWS\system32\lpfqruyj.dll
C:\WINDOWS\system32\mxnttrgz.dll
C:\WINDOWS\system32\qophjwie.dll
C:\WINDOWS\system32\xndrhfvv.dll
C:\WINDOWS\system32\xwogocgq.dll
C:\WINDOWS\system32\yjmkqfwp.dll
C:\WINDOWS\system32\zwdeaitc.dll

.
(((((((((((((((((( Archivos creados desde 2008-03-07 - 2008-04-07 )))))))))))))))))))))))))))))))))
.

2008-04-03 18:40 . 2008-04-03 18:40 <DIR> d-------- C:\Logs
2008-04-03 11:08 . 2008-04-03 11:08 <DIR> d-------- C:\Documents and Settings\os2\Datos de programa\Malwarebytes
2008-04-03 10:57 . 2008-04-03 12:49 <DIR> d-------- C:\logs 03-04-08
2008-04-03 10:36 . 2008-04-03 10:36 <DIR> d-------- C:\Documents and Settings\All Users\Datos de programa\Malwarebytes
2008-04-03 10:36 . 2008-04-03 10:36 <DIR> d-------- C:\Archivos de programa\Malwarebytes' Anti-Malware
2008-04-03 09:42 . 2008-04-03 17:22 <DIR> d-------- C:\WINDOWS\system32\es-es
2008-04-03 09:26 . 2008-04-03 09:26 127 --a------ C:\WINDOWS\system32\MRT.INI
2008-04-02 19:33 . 2008-04-03 17:22 <DIR> d--h----- C:\WINDOWS\$hf_mig$
2008-04-02 19:33 . 2006-09-06 17:43 22,752 --a------ C:\WINDOWS\system32\spupdsvc.exe
2008-04-02 19:07 . 2008-04-02 19:07 <DIR> d--h----- C:\WINDOWS\system32\GroupPolicy
2008-04-02 17:29 . 2008-04-02 17:29 164 --a------ C:\install.dat
2008-04-02 13:15 . 2008-04-02 13:15 <DIR> d-------- C:\WINDOWS\system32\Kaspersky Lab
2008-04-02 12:36 . 2008-04-02 12:36 <DIR> d-------- C:\Documents and Settings\All Users\Datos de programa\Lavasoft
2008-04-02 12:36 . 2008-04-02 12:36 <DIR> d-------- C:\Archivos de programa\Lavasoft
2008-04-02 12:15 . 2008-04-02 12:15 <DIR> d-------- C:\Archivos de programa\CCleaner
2008-04-02 12:13 . 2008-04-04 10:38 <DIR> d-a------ C:\Documents and Settings\All Users\Datos de programa\TEMP
2008-04-02 12:13 . 2008-04-04 10:38 <DIR> d-------- C:\Archivos de programa\SpywareBlaster
2008-04-02 12:13 . 2005-08-25 18:19 115,920 --a------ C:\WINDOWS\system32\MSINET.OCX
2008-04-02 12:11 . 2008-04-02 12:11 <DIR> d-------- C:\Documents and Settings\os2\Datos de programa\SUPERAntiSpyware.com
2008-04-02 12:11 . 2008-04-02 12:11 <DIR> d-------- C:\Documents and Settings\All Users\Datos de programa\SUPERAntiSpyware.com
2008-04-02 12:11 . 2008-04-02 12:11 <DIR> d-------- C:\Archivos de programa\SUPERAntiSpyware
2008-04-02 12:10 . 2008-04-02 12:10 <DIR> d-------- C:\Archivos de programa\Archivos comunes\Wise Installation Wizard
2008-04-02 11:45 . 2008-04-02 11:49 <DIR> d-------- C:\Documents and Settings\All Users\Datos de programa\Spybot - Search & Destroy
2008-04-02 11:45 . 2008-04-02 11:45 <DIR> d-------- C:\Archivos de programa\Spybot - Search & Destroy
2008-04-02 10:38 . 2008-04-02 11:20 2,060 --a------ C:\WINDOWS\system32\tmp.reg
2008-04-02 10:11 . 2008-04-02 10:28 <DIR> d-------- C:\Archivos de programa\Enigma Software Group
2008-04-01 12:07 . 2008-04-01 12:07 <DIR> d-------- C:\Archivos de programa\Trend Micro
2008-04-01 11:40 . 2008-04-01 13:34 <DIR> d-------- C:\Archivos de programa\Panda Security
2008-04-01 10:09 . 2008-04-01 10:09 <DIR> d-------- C:\WINDOWS\system32\config\systemprofile\Configura ción local
2008-04-01 10:09 . 2008-04-01 10:09 <DIR> d-------- C:\Documents and Settings\os2\Configuración local
2008-04-01 10:09 . 2008-04-01 10:09 <DIR> d-------- C:\Documents and Settings\NetworkService\Configuración local
2008-03-31 19:53 . 2008-04-03 10:57 <DIR> d-------- C:\Documents and Settings\All Users\Datos de programa\odqtmpyb
2008-03-28 20:43 . 2008-03-28 20:43 <DIR> d-------- C:\Archivos de programa\v8120
2008-03-17 13:47 . 2008-03-31 19:45 <DIR> d-------- C:\WINDOWS\SxsCaPendDel
2008-03-17 13:47 . 2008-03-17 13:47 <DIR> d-------- C:\Archivos de programa\Archivos comunes\Adobe

.
(((((((((((((((((((((((((((((((((((((( Reporte Find3M )))))))))))))))))))))))))))))))))))))))))))))))))) )
.
2008-04-03 16:48 --------- d-----w C:\Archivos de programa\World of Warcraft
2008-03-28 18:43 --------- d--h--w C:\Archivos de programa\InstallShield Installation Information
.

((((((((((((((((((((((((((((((((( Cargando Puntos Reg ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Nota* entradas vac¡as & entradas leg¡timas predeterminadas no son mostradas

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\Run]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-19 15:42 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run]
"IgfxTray"="C:\WINDOWS\system32\igfxtray.exe" [2004-06-06 11:45 155648]
"HotKeysCmds"="C:\WINDOWS\system32\hkcmd.exe" [2004-06-06 11:41 118784]
"WinVNC"="C:\Archivos de programa\UltraVNC\WinVNC.exe" [2005-08-06 19:45 974848]
"SoundMan"="SOUNDMAN.EXE" [2004-09-16 21:39 69632 C:\WINDOWS\SOUNDMAN.EXE]
"Adobe Reader Speed Launcher"="C:\Archivos de programa\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 23:16 39792]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\Cur rentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-19 15:42 15360]

[hkey_local_machine\software\microsoft\windows\curr entversion\explorer\shellexecutehooks]
"{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA}"= C:\Archivos de programa\SUPERAntiSpyware\SASSEH.DLL [2006-12-20 12:55 77824]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\!SASWinLogon]
C:\Archivos de programa\SUPERAntiSpyware\SASWINLO.dll 2007-04-19 12:41 294912 C:\Archivos de programa\SUPERAntiSpyware\SASWINLO.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"vidc.iv50"= C:\WINDOWS\ir50_32.dll
"vidc.GEOX"= C:\WINDOWS\system32\v8120\GeoCodec.dll
"vidc.GEOV"= C:\WINDOWS\system32\v8120\GeoCodec.dll
"vidc.GMP4"= C:\WINDOWS\system32\v8120\GXAMP4.dll
"vidc.GM40"= C:\WINDOWS\system32\v8120\GXAMP4.dll
"vidc.G264"= C:\WINDOWS\system32\v8120\GX264.dll
"msacm.geoadpcm"= C:\WINDOWS\system32\v8100\GeoADPCM.acm
"vidc.GM4H"= C:\WINDOWS\system32\v8120\GXAMP4D.dll
"vidc.GM4S"= C:\WINDOWS\system32\v8120\GXAMP4D.dll
"vidc.mpg4"= C:\WINDOWS\mpg4c32.dll
"vidc.mpg2"= C:\WINDOWS\mpg4c32.dll
"vidc.mpg3"= C:\WINDOWS\mpg4c32.dll
"vidc.MJPG"= C:\WINDOWS\m3jpeg32.dll
"vidc.dmb1"= C:\WINDOWS\m3jpeg32.dll
"vidc.GM20"= C:\WINDOWS\system32\v8120\GXGM20.dll

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001
"FirewallOverride"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpo licy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpo licy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\system32\\winav.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpo licy\standardprofile\GloballyOpenPorts\List]
"3389:TCP"= 3389:TCP:@xpsp2res.dll,-22009

R2 SMTPSVC;Protocolo simple de transferencia de correo (SMTP);C:\WINDOWS\system32\inetsrv\inetinfo.exe [2004-08-19 15:42]

.
************************************************** ************************

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-04-07 10:06:02
Windows 5.1.2600 Service Pack 2 NTFS

escaneando procesos ocultos ...

escaneando entradas ocultas de autostart ...

escaneando archivos ocultos ...

el escaneo se completo con exito
archivos ocultos: 0

************************************************** ************************
.
------------------------ Other Running Processes ------------------------
.
C:\Archivos de programa\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\WINDOWS\system32\tlntsvr.exe
.
************************************************** ************************
.
Tiempo completado: 2008-04-07 10:06:56 - machine was rebooted
ComboFix-quarantined-files.txt 2008-04-07 08:06:40
11 dirs 18,363,088,896 bytes libres
13 dirs 18,351,476,736 bytes libres
.
2008-04-03 15:22:13 --- E O F ---

Hola, ComboFix ya se encargo de eliminar los archivos de malwares encontrados en tu PC, por lo que si todo esta funcionado bien, damos por terminado el tema.

Para terminar solo te quedaría desinstalar CF de la siguiente manera:

• Ir a Inicio > Ejecutar
• Escribir lo siguiente: ComboFix /u como muestra la imagen debajo:
  
  
  • 
• Esto activara el desinstalador de ComboFix abriendo su pantalla principal y luego de unos segundos veras ("ComboFix is uninstalled")

Salu2

Muchas gracias por todo.

Un saludo.