Foro de InfoSpyware - Foro de Hijackthis - Foro de Virus

Tengo instalado kaspersky antivirus y me reporta continuamente que un proceso esta tratando de anidarse en otro proceso y señala al archivo wnpms.exe. Selecciono la opcion de eliminar, sin embargo mas tarde vuelve a aparecer. La información que tengo es que este proceso abre una puerta trasera en el sistema por lo que quisiera eliminarlo. sin embargo ya utilize: kasoersky que no lo elimina, panda antivirus no lo detecta ni con la version online, Spybot S&D no lo detecto. encontre en la configuracion del Firewall de Windows varias excepciones a "Windows Network Policy Manager" y "Windows Network Policy Manager Service" las que desactive, pero una de ellas se vuelve a activar sola. Espero me pueda ayudar a eliminarlo del sistema. A continuacion esta el Logo de Hijackthis

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 02:23:25 p.m., on 18/04/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16640)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Archivos de programa\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Archivos de programa\Archivos comunes\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Archivos de programa\Archivos comunes\Autodata Limited Shared\Service\ADCDLicSvc.exe
C:\Archivos de programa\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe
C:\Archivos de programa\Symantec\pcAnywhere\awhost32.exe
C:\Archivos de programa\Bonjour\mDNSResponder.exe
C:\WINDOWS\system32\E_S00RP1.EXE
C:\Archivos de programa\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\Archivos De Programa\Intel\Intel Matrix Storage Manager\Iaantmon.exe
C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7DEBUG\mdm.exe
C:\Archivos de programa\CyberLink\Shared Files\RichVideo.exe
C:\WINDOWS\system32\SAgent4.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\SearchIndexer.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\igfxtray.exe
C:\WINDOWS\System32\hkcmd.exe
C:\WINDOWS\System32\igfxpers.exe
C:\Archivos de programa\Intel Audio Studio\IntelAudioStudio.exe
C:\WINDOWS\system32\rundll32.exe
C:\Program Files\Hewlett-Packard\OrderReminder\OrderReminder.exe
C:\Program Files\Intel\IDU\iptray.exe
C:\Archivos De Programa\Intel\Intel Matrix Storage Manager\Iaanotif.exe
C:\Archivos de programa\Microsoft IntelliPoint\ipoint.exe
C:\Archivos de programa\Microsoft IntelliType Pro\type32.exe
C:\Archivos de programa\Microsoft Office\Office12\GrooveMonitor.exe
C:\Archivos de programa\Archivos comunes\InstallShield\UpdateService\issch.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIA CL.EXE
C:\Archivos de programa\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe
C:\Archivos de programa\lg_fwupdate\fwupdate.exe
C:\Archivos de programa\CyberLink\PowerDVD\PDVDServ.exe
C:\Archivos de programa\iTunes\iTunesHelper.exe
C:\Archivos de programa\Java\jre1.6.0_05\bin\jusched.exe
C:\Archivos de programa\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe
C:\Archivos de programa\Archivos comunes\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Archivos de programa\Archivos comunes\Ahead\Lib\NMBgMonitor.exe
C:\Archivos de programa\Windows Live\Messenger\MsnMsgr.Exe
C:\Archivos de programa\Messenger\msmsgs.exe
C:\Archivos de programa\Microsoft ActiveSync\wcescomm.exe
C:\Archivos de programa\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe
C:\Archivos de programa\Archivos comunes\Ahead\Lib\NMIndexStoreSvr.exe
C:\Archivos de programa\Microsoft Student\Microsoft Student con Encarta Premium 2008 DVD\EDICT.EXE
C:\Archivos de programa\Spybot - Search & Destroy\TeaTimer.exe
C:\ARCHIV~1\MI3AA1~1\rapimgr.exe
C:\Archivos de programa\Windows Desktop Search\WindowsSearch.exe
C:\Archivos de programa\Google\Google Updater\GoogleUpdater.exe
C:\Archivos de programa\Webshots\webshots.scr
C:\Archivos de programa\iPod\bin\iPodService.exe
C:\WINDOWS\system32\wnpms.exe
C:\Archivos de programa\Xilisoft\DVD to iPod Converter 4\dvdrip.exe
C:\Program Files\Intel\IDU\IDUServ.exe
C:\WINDOWS\system32\SearchProtocolHost.exe
C:\Archivos de programa\Microsoft Office\Office12\OUTLOOK.EXE
C:\Archivos de programa\Microsoft ActiveSync\WCESMgr.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Archivos de programa\Internet Explorer\iexplore.exe
C:\Archivos de programa\Archivos comunes\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\Archivos de programa\Windows Live\Messenger\usnsvc.exe
C:\Archivos de programa\Xilisoft\DVD to iPod Converter 4\avc.exe
C:\Archivos de programa\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.verifizcalli.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: Aplicación auxiliar de vínculos de Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Archivos comunes\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\Archivos de programa\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\Archivos de programa\Microsoft Office\Office12\GrooveShellExtensions.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.6.0_05\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Aplicación auxiliar de inicio de sesión - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\archivos de programa\google\googletoolbar1.dll
O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Archivos de programa\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Archivos de programa\Google\GoogleToolbarNotifier\2.1.1119.173 6\swg.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\archivos de programa\google\googletoolbar1.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Archivos de programa\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [igfxtray] C:\WINDOWS\System32\igfxtray.exe
O4 - HKLM\..\Run: [igfxhkcmd] C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [igfxpers] C:\WINDOWS\System32\igfxpers.exe
O4 - HKLM\..\Run: [SigmatelSysTrayApp] sttray.exe
O4 - HKLM\..\Run: [IntelAudioStudio] "C:\Archivos de programa\Intel Audio Studio\IntelAudioStudio.exe" TRAY
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [OrderReminder] C:\Program Files\Hewlett-Packard\OrderReminder\OrderReminder.exe
O4 - HKLM\..\Run: [ipTray.exe] "C:\Program Files\Intel\IDU\iptray.exe"
O4 - HKLM\..\Run: [awTray.exe] "C:\Program Files\Intel\IDU\awtray.exe"
O4 - HKLM\..\Run: [IAAnotif] "C:\Archivos De Programa\Intel\Intel Matrix Storage Manager\Iaanotif.exe"
O4 - HKLM\..\Run: [IntelliPoint] "C:\Archivos de programa\Microsoft IntelliPoint\ipoint.exe"
O4 - HKLM\..\Run: [type32] "C:\Archivos de programa\Microsoft IntelliType Pro\type32.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Archivos de programa\Archivos comunes\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [GrooveMonitor] "C:\Archivos de programa\Microsoft Office\Office12\GrooveMonitor.exe"
O4 - HKLM\..\Run: [ISUSPM Startup] "C:\Archivos de programa\Archivos comunes\InstallShield\UpdateService\isuspm.exe" -startup
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Archivos de programa\Archivos comunes\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [\\ADMINISTRACION\EPSON Stylus CX3700 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIA CL.EXE /P43 "\\ADMINISTRACION\EPSON Stylus CX3700 Series" /O6 "USB001" /M "Stylus CX3700"
O4 - HKLM\..\Run: [Acrobat Assistant 8.0] "C:\Archivos de programa\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe"
O4 - HKLM\..\Run: [LGODDFU] "C:\Archivos de programa\lg_fwupdate\fwupdate.exe" blrun
O4 - HKLM\..\Run: [RemoteControl] "C:\Archivos de programa\CyberLink\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [LanguageShortcut] "C:\Archivos de programa\CyberLink\PowerDVD\Language\Language.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Archivos de programa\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Archivos de programa\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Archivos de programa\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKLM\..\Run: [AVP] "C:\Archivos de programa\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Archivos de programa\Archivos comunes\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [MsnMsgr] "C:\Archivos de programa\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [MSMSGS] "C:\Archivos de programa\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Archivos de programa\Microsoft ActiveSync\wcescomm.exe"
O4 - HKCU\..\Run: [E06EXLRD_8499562] "C:\Archivos de programa\Microsoft Encarta\Encarta 2006 Biblioteca Premium DVD\EDICT.EXE" -m
O4 - HKCU\..\Run: [Sony Ericsson PC Suite] "C:\Archivos de programa\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe" /systray /nologon
O4 - HKCU\..\Run: [\\ADMINISTRACION\EPSON Stylus CX3700 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIA CL.EXE /P43 "\\ADMINISTRACION\EPSON Stylus CX3700 Series" /M "Stylus CX3700" /EF "HKCU"
O4 - HKCU\..\Run: [L08EXLRD_18909500] "C:\Archivos de programa\Microsoft Student\Microsoft Student con Encarta Premium 2008 DVD\EDICT.EXE" -m
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Archivos de programa\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICIO LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Servicio de red')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Startup: Webshots.lnk = C:\Archivos de programa\Webshots\Launcher.exe
O4 - Global Startup: AutoCAD Startup Accelerator.lnk = C:\Archivos de programa\Archivos comunes\Autodesk Shared\acstart16.exe
O4 - Global Startup: Búsqueda en el escritorio de Windows.lnk = C:\Archivos de programa\Windows Desktop Search\WindowsSearch.exe
O4 - Global Startup: Google Updater.lnk = C:\Archivos de programa\Google\Google Updater\GoogleUpdater.exe
O8 - Extra context menu item: Append to existing PDF - res://C:\Archivos de programa\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convert link target to Adobe PDF - res://C:\Archivos de programa\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convert link target to existing PDF - res://C:\Archivos de programa\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convert selected links to Adobe PDF - res://C:\Archivos de programa\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Convert selected links to existing PDF - res://C:\Archivos de programa\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Convert selection to Adobe PDF - res://C:\Archivos de programa\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convert selection to existing PDF - res://C:\Archivos de programa\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convert to Adobe PDF - res://C:\Archivos de programa\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~4\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: Web Anti-Virus statistics - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Archivos de programa\Kaspersky Lab\Kaspersky Anti-Virus 7.0\SCIEPlgn.dll
O9 - Extra button: Enviar a OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\ARCHIV~1\MICROS~4\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: &Enviar a OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\ARCHIV~1\MICROS~4\Office12\ONBttnIE.dll
O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\ARCHIV~1\MI3AA1~1\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\ARCHIV~1\MI3AA1~1\INetRepl.dll
O9 - Extra 'Tools' menuitem: Crear un favorito móvil... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\ARCHIV~1\MI3AA1~1\INetRepl.dll
O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~4\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Barra de búsqueda de Encarta - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Archivos de programa\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Archivos de programa\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/eng/partner/default/kavwebscan_unicode.cab
O16 - DPF: {2D8ED06D-3C30-438B-96AE-4D110FDC1FB8} (ActiveScan 2.0 Installer Class) - http://acs.pandasoftware.com/activescan/cabs/as2stubie.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx2.hotmail.com/mail/w2/resources/MSNPUpld.cab
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Runtime Environment 1.6.0) - http://sdlc-esd.sun.com/ESD39/JSCDL/jdk/6u5b/jinstall-6u5-windows-i586-jc.cab?AuthParam=1207664230_ced60640d5e0aadb143449 5ba93e736b&GroupName=JSC&BHost=javadl.sun.com&File Path=/ESD39/JSCDL/jdk/6u5b/jinstall-6u5-windows-i586-jc.cab&File=jinstall-6u5-windows-i586-jc.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{86AE0429-42D0-4DF1-9A50-D4846F600762}: NameServer = 10.0.0.1
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\Archivos de programa\Microsoft Office\Office12\GrooveSystemServices.dll
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft - C:\Archivos de programa\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: Adobe LM Service - Unknown owner - C:\Archivos de programa\Archivos comunes\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Archivos de programa\Archivos comunes\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Autodata Limited License Service - Unknown owner - C:\Archivos de programa\Archivos comunes\Autodata Limited Shared\Service\ADCDLicSvc.exe
O23 - Service: Autodesk Licensing Service - Autodesk - C:\Archivos de programa\Archivos comunes\Autodesk Shared\Service\AdskScSrv.exe
O23 - Service: Kaspersky Anti-Virus 7.0 (AVP) - Kaspersky Lab - C:\Archivos de programa\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe
O23 - Service: Symantec pcAnywhere Host Service (awhost32) - Symantec Corporation - C:\Archivos de programa\Symantec\pcAnywhere\awhost32.exe
O23 - Service: Servicio Bonjour (Bonjour Service) - Apple Inc. - C:\Archivos de programa\Bonjour\mDNSResponder.exe
O23 - Service: EPSON V3 Service2(03) (EPSON_PM_RPCV2_01) - SEIKO EPSON CORPORATION - C:\WINDOWS\system32\E_S00RP1.EXE
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Archivos de programa\Archivos comunes\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Archivos de programa\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Intel(R) Matrix Storage Event Monitor (IAANTMON) - Intel Corporation - C:\Archivos De Programa\Intel\Intel Matrix Storage Manager\Iaantmon.exe
O23 - Service: Intel(R) Desktop Utilities Service (iHCService) - OSA Technologies, Inc. - C:\Program Files\Intel\IDU\IDUServ.exe
O23 - Service: Servicio del iPod (iPod Service) - Apple Inc. - C:\Archivos de programa\iPod\bin\iPodService.exe
O23 - Service: LiveUpdate - Symantec Corporation - C:\ARCHIV~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
O23 - Service: NBService - Nero AG - C:\Archivos de programa\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Archivos de programa\CyberLink\Shared Files\RichVideo.exe
O23 - Service: Epson Printer Status Agent4 (StatusAgent4) - SEIKO EPSON CORPORATION - C:\WINDOWS\system32\SAgent4.exe
O23 - Service: Windows Network Policy Manager Service (wnpms) - Unknown owner - C:\WINDOWS\system32\wnpms.exe

--
End of file - 18156 bytes

Hola dact, te doy la bienvenida al Foro de InfoSpyware.

Ir a Inicio > Ejecutar > y ahí pones sc delete wnpms y OK.



Paso 1- Descargar y actualizar las siguientes herramientas:

• CCleaner
• Malwarebytes' Anti-Malware
• MsnCleaner.exe

Paso 2- Con todos los programas cerrados, ejecuta HijackThis y dale a las siguientes entradas:


O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O23 - Service: Windows Network Policy Manager Service (wnpms) - Unknown owner - C:\WINDOWS\system32\wnpms.exe




Paso 3- Sin reiniciar, ejecutar de a una, estas herramientas:

• Malwarebytes' Anti-Malware
  *Nota* Es importante que envíes a "Cuarentena" todo lo que este detecte antes de copiar y pegarnos su reporte.
• MsnCleaner.exe (Ultima Versión)

Paso 4- Ejecutar CCleaner usando primero su opción de "Limpiador" para borrar cookies, temporales de Internet y todos los archivos que este te muestre como obsoletos, y luego usa su opción de "Registro" para limpiar todo el registro de Windows (haciendo copia de seguridad).


Reinicia y nos contas los resultados.


**Nota**
- Para mayor comodidad imprime los pasos.
- Recuerda regresar y contarnos los resultados.


Salu2

Ya realizé los pasos mencionados, sin embargo al reiniciar la maquina Kaspersky mostro 2 avisos, Primero una ventana que dice

"Running module contains trojan and cannot be disinfected. Trojan Found Backdoor.win32.agente.gvo Running module winlogon.exe\wnpms_000.tmp"

y muestra la opcion skip unicamente, despues de seleccionarla la siguiente dice

"Running module contains trojan and cannot be disinfected. Trojan Found Backdoor.win32.agente.bmp Running module wnpms.exe\wnpms.exe"

A continuacion agrego algo que encontre en la red al respecto, que espero nos ayude a resolver esto

Submission Summary:
Submission details:
Submission received: 15 April 2008, 2352
Processing time: 3 min 45 sec
Submitted sample:
File MD5: 0xD942F281DEB362D7D9EC32A9DB95111E
Filesize: 184,952 bytes
Alias: Mal_MLWR-5 [Trend Micro]


Technical Details:


File System Modifications

The following files were created in the system:
# Filename(s) File Size File MD5 Alias
1 %System%\wnpms.exe 184,952 bytes 0xD942F281DEB362D7D9EC32A9DB95111E Mal_MLWR-5 [Trend Micro]
2 %Windir%\Temp\wnp3.tmp
%Windir%\Temp\wnp4.tmp
%Windir%\Temp\wnp5.tmp
%Windir%\Temp\wnp6.tmp
%Windir%\Temp\wnp7.tmp
%Windir%\Temp\wnpms_000.tmp 87,160 bytes 0x811B6E66EB6CA60214CC78A761EA394D Mal_MLWR-5 [Trend Micro]


Note:
%System% is a variable that refers to the System folder. By default, this is C:\Windows\System (Windows 95/98/Me), C:\Winnt\System32 (Windows NT/2000), or C:\Windows\System32 (Windows XP).


Memory Modifications

There were new processes created in the system:
Process Name Process Filename Main Module Size
wnpms.exe %System%\wnpms.exe 454,656 bytes
[filename of the sample #1] [file and pathname of the sample #1] 454,656 bytes


The following modules were loaded into the address space of other process(es):
Module Name Module Filename Address Space Details
wnp5.tmp %Windir%\TEMP\wnp5.tmp Process name: svchost.exe
Process filename: %System%\svchost.exe
Address space: 0xBE0000 - 0xC27000
wnp3.tmp %Windir%\TEMP\wnp3.tmp Process name: explorer.exe
Process filename: %Windir%\explorer.exe
Address space: 0x1C40000 - 0x1C87000
wnp7.tmp %Windir%\TEMP\wnp7.tmp Process name: dllhost.exe
Process filename: %System%\dllhost.exe
Address space: 0xF00000 - 0xF47000
wnpms_000.tmp %Windir%\TEMP\wnpms_000.tmp Process name: IEXPLORE.EXE
Process filename: %ProgramFiles%\internet explorer\iexplore.exe
Address space: 0x1C30000 - 0x1C77000


Notes:
%ProgramFiles% is a variable that refers to the Program Files folder. A typical path is C:\Program Files.
There was a new service created in the system:
Service Name Display Name Status Service Filename
wnpms Windows Network Policy Manager Service "Running" %System%\wnpms.exe




Registry Modifications

The following Registry Keys were created:
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\ LEGACY_WNPMS
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\ LEGACY_WNPMS\0000
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\ LEGACY_WNPMS\0000\Control
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\w npms
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\w npms\Security
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\w npms\Enum
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\R oot\LEGACY_WNPMS
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\R oot\LEGACY_WNPMS\0000
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\R oot\LEGACY_WNPMS\0000\Control
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\wnpms
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\wnpms\Security
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\wnpms\Enum
The newly created Registry Values are:
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\ LEGACY_WNPMS\0000\Control]
*NewlyCreated* = 0x00000000
ActiveService = "wnpms"
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\ LEGACY_WNPMS\0000]
Service = "wnpms"
Legacy = 0x00000001
ConfigFlags = 0x00000000
Class = "LegacyDriver"
ClassGUID = "{8ECC055D-047F-11D1-A537-0000F8753ED1}"
DeviceDesc = "Windows Network Policy Manager Service"
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\ LEGACY_WNPMS]
NextInstance = 0x00000001
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\w npms\Enum]
0 = "Root\LEGACY_WNPMS\0000"
Count = 0x00000001
NextInstance = 0x00000001
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\w npms\Security]
Security = 01 00 14 80 90 00 00 00 9C 00 00 00 14 00 00 00 30 00 00 00 02 00 1C 00 01 00 00 00 02 80 14 00 FF 01 0F 00 01 01 00 00 00 00 00 01 00 00 00 00 02 00 60 00 04 00 00 00 00 00 14 00 FD 01 02 00 01 01 00 00 00 00 00 05 12 00 00 00 00 00 18 00 FF 01 0F 0
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\w npms]
Type = 0x00000110
Start = 0x00000002
ErrorControl = 0x00000000
ImagePath = "%System%\wnpms.exe"
DisplayName = "Windows Network Policy Manager Service"
ObjectName = "LocalSystem"
Description = "Manages network policies deployed defaultly by system services and 3rd party applications. This service can not be stopped."
FailureActions = 00 00 00 00 00 00 00 00 00 00 00 00 01 00 00 00 00 00 00 00 01 00 00 00 00 00 00 00
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\R oot\LEGACY_WNPMS\0000\Control]
*NewlyCreated* = 0x00000000
ActiveService = "wnpms"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\R oot\LEGACY_WNPMS\0000]
Service = "wnpms"
Legacy = 0x00000001
ConfigFlags = 0x00000000
Class = "LegacyDriver"
ClassGUID = "{8ECC055D-047F-11D1-A537-0000F8753ED1}"
DeviceDesc = "Windows Network Policy Manager Service"
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\R oot\LEGACY_WNPMS]
NextInstance = 0x00000001
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\wnpms\Enum]
0 = "Root\LEGACY_WNPMS\0000"
Count = 0x00000001
NextInstance = 0x00000001
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\wnpms\Security]
Security = 01 00 14 80 90 00 00 00 9C 00 00 00 14 00 00 00 30 00 00 00 02 00 1C 00 01 00 00 00 02 80 14 00 FF 01 0F 00 01 01 00 00 00 00 00 01 00 00 00 00 02 00 60 00 04 00 00 00 00 00 14 00 FD 01 02 00 01 01 00 00 00 00 00 05 12 00 00 00 00 00 18 00 FF 01 0F 0
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\wnpms]
Type = 0x00000110
Start = 0x00000002
ErrorControl = 0x00000000
ImagePath = "%System%\wnpms.exe"
DisplayName = "Windows Network Policy Manager Service"
ObjectName = "LocalSystem"
Description = "Manages network policies deployed defaultly by system services and 3rd party applications. This service can not be stopped."
FailureActions = 00 00 00 00 00 00 00 00 00 00 00 00 01 00 00 00 00 00 00 00 01 00 00 00 00 00 00 00
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\Cur rentVersion\Explorer]
InternalProgramData = 0x00007CB1
The following Registry Values were modified:
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Se rviceCurrent]
(Default) = 0x0000000B
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Contro l\ServiceCurrent]
(Default) = 0x0000000B


Other details

To mark the presence in the system, the following Mutex object was created:
_win32__wnpms_um__
The following port was open in the system:
Port Protocol Process
31921 TCP wnpms.exe (%System%\wnpms.exe)


The following Host Names were requested from a host database:
239.255.255.250
dep.mvl0an7.com
There was registered attempt to establish connection with the remote host. The connection details are:
Remote Host Port Number
dep.mvl0an7.com 19801



Tambien agrego el log de Malware_bytes Antimalware:
Malwarebytes' Anti-Malware 1.11
Versión de la Base de Datos: 654

Tipo de examen : Examen Completo (C:\|)
Objetos examinados: 207825
Tiempo transcurrido: 2 hour(s), 39 minute(s), 15 second(s)

Procesos en Memoria Infectados: 0
Módulos en Memoria Infectados: 0
Claves del Registro Infectadas: 0
Valores del Registro Infectados: 0
Elementos de Datos del Registro Infectados: 0
Carpetas Infectadas: 0
Ficheros Infectados: 2

Procesos en Memoria Infectados:
(No se han detectado elementos maliciosos)

Módulos en Memoria Infectados:
(No se han detectado elementos maliciosos)

Claves del Registro Infectadas:
(No se han detectado elementos maliciosos)

Valores del Registro Infectados:
(No se han detectado elementos maliciosos)

Elementos de Datos del Registro Infectados:
(No se han detectado elementos maliciosos)

Carpetas Infectadas:
(No se han detectado elementos maliciosos)

Ficheros Infectados:
C:\WINDOWS\system32\lsprst7.dll (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\ssprs.dll (Trojan.Agent) -> Quarantined and deleted successfully.


Y el de Hijackthis

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 01:39:09 p.m., on 19/04/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16640)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Archivos de programa\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Archivos de programa\Archivos comunes\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Archivos de programa\Archivos comunes\Autodata Limited Shared\Service\ADCDLicSvc.exe
C:\Archivos de programa\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe
C:\Archivos de programa\Symantec\pcAnywhere\awhost32.exe
C:\Archivos de programa\Bonjour\mDNSResponder.exe
C:\WINDOWS\system32\E_S00RP1.EXE
C:\Archivos de programa\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\Archivos De Programa\Intel\Intel Matrix Storage Manager\Iaantmon.exe
C:\Program Files\Intel\IDU\IDUServ.exe
C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7DEBUG\mdm.exe
C:\Archivos de programa\CyberLink\Shared Files\RichVideo.exe
C:\WINDOWS\system32\SAgent4.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\SearchIndexer.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\hkcmd.exe
C:\WINDOWS\System32\igfxpers.exe
C:\Archivos de programa\Intel Audio Studio\IntelAudioStudio.exe
C:\WINDOWS\system32\rundll32.exe
C:\Program Files\Hewlett-Packard\OrderReminder\OrderReminder.exe
C:\Program Files\Intel\IDU\iptray.exe
C:\Program Files\Intel\IDU\awtray.exe
C:\Archivos De Programa\Intel\Intel Matrix Storage Manager\Iaanotif.exe
C:\Archivos de programa\Microsoft IntelliPoint\ipoint.exe
C:\Archivos de programa\Microsoft IntelliType Pro\type32.exe
C:\Archivos de programa\Microsoft Office\Office12\GrooveMonitor.exe
C:\Archivos de programa\Archivos comunes\InstallShield\UpdateService\issch.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIA CL.EXE
C:\Archivos de programa\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe
C:\Archivos de programa\lg_fwupdate\fwupdate.exe
C:\Archivos de programa\CyberLink\PowerDVD\PDVDServ.exe
C:\Archivos de programa\iTunes\iTunesHelper.exe
C:\Archivos de programa\Java\jre1.6.0_05\bin\jusched.exe
C:\Archivos de programa\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Archivos de programa\Archivos comunes\Ahead\Lib\NMBgMonitor.exe
C:\Archivos de programa\Windows Live\Messenger\MsnMsgr.Exe
C:\Archivos de programa\Messenger\msmsgs.exe
C:\Archivos de programa\Microsoft ActiveSync\wcescomm.exe
C:\Archivos de programa\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe
C:\Archivos de programa\Archivos comunes\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
C:\Archivos de programa\Archivos comunes\Ahead\Lib\NMIndexStoreSvr.exe
C:\Archivos de programa\Microsoft Student\Microsoft Student con Encarta Premium 2008 DVD\EDICT.EXE
C:\Archivos de programa\Spybot - Search & Destroy\TeaTimer.exe
C:\ARCHIV~1\MI3AA1~1\rapimgr.exe
C:\Archivos de programa\Windows Desktop Search\WindowsSearch.exe
C:\Archivos de programa\Google\Google Updater\GoogleUpdater.exe
C:\Archivos de programa\Webshots\webshots.scr
C:\Archivos de programa\iPod\bin\iPodService.exe
C:\WINDOWS\system32\SearchProtocolHost.exe
C:\Archivos de programa\Windows Live\Messenger\usnsvc.exe
C:\Archivos de programa\Internet Explorer\IEXPLORE.EXE
C:\Archivos de programa\Archivos comunes\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\WINDOWS\system32\wnpms.exe
C:\Archivos de programa\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.verifizcalli.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: Aplicación auxiliar de vínculos de Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Archivos comunes\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\Archivos de programa\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\Archivos de programa\Microsoft Office\Office12\GrooveShellExtensions.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.6.0_05\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Aplicación auxiliar de inicio de sesión - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\archivos de programa\google\googletoolbar1.dll
O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Archivos de programa\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Archivos de programa\Google\GoogleToolbarNotifier\2.1.1119.173 6\swg.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\archivos de programa\google\googletoolbar1.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Archivos de programa\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [igfxtray] C:\WINDOWS\System32\igfxtray.exe
O4 - HKLM\..\Run: [igfxhkcmd] C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [igfxpers] C:\WINDOWS\System32\igfxpers.exe
O4 - HKLM\..\Run: [SigmatelSysTrayApp] sttray.exe
O4 - HKLM\..\Run: [IntelAudioStudio] "C:\Archivos de programa\Intel Audio Studio\IntelAudioStudio.exe" TRAY
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [OrderReminder] C:\Program Files\Hewlett-Packard\OrderReminder\OrderReminder.exe
O4 - HKLM\..\Run: [ipTray.exe] "C:\Program Files\Intel\IDU\iptray.exe"
O4 - HKLM\..\Run: [awTray.exe] "C:\Program Files\Intel\IDU\awtray.exe"
O4 - HKLM\..\Run: [IAAnotif] "C:\Archivos De Programa\Intel\Intel Matrix Storage Manager\Iaanotif.exe"
O4 - HKLM\..\Run: [IntelliPoint] "C:\Archivos de programa\Microsoft IntelliPoint\ipoint.exe"
O4 - HKLM\..\Run: [type32] "C:\Archivos de programa\Microsoft IntelliType Pro\type32.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Archivos de programa\Archivos comunes\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [GrooveMonitor] "C:\Archivos de programa\Microsoft Office\Office12\GrooveMonitor.exe"
O4 - HKLM\..\Run: [ISUSPM Startup] "C:\Archivos de programa\Archivos comunes\InstallShield\UpdateService\isuspm.exe" -startup
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Archivos de programa\Archivos comunes\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [\\ADMINISTRACION\EPSON Stylus CX3700 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIA CL.EXE /P43 "\\ADMINISTRACION\EPSON Stylus CX3700 Series" /O6 "USB001" /M "Stylus CX3700"
O4 - HKLM\..\Run: [Acrobat Assistant 8.0] "C:\Archivos de programa\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe"
O4 - HKLM\..\Run: [LGODDFU] "C:\Archivos de programa\lg_fwupdate\fwupdate.exe" blrun
O4 - HKLM\..\Run: [RemoteControl] "C:\Archivos de programa\CyberLink\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [LanguageShortcut] "C:\Archivos de programa\CyberLink\PowerDVD\Language\Language.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Archivos de programa\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Archivos de programa\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Archivos de programa\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKLM\..\Run: [AVP] "C:\Archivos de programa\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Archivos de programa\Archivos comunes\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [MsnMsgr] "C:\Archivos de programa\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [MSMSGS] "C:\Archivos de programa\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Archivos de programa\Microsoft ActiveSync\wcescomm.exe"
O4 - HKCU\..\Run: [Sony Ericsson PC Suite] "C:\Archivos de programa\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe" /systray /nologon
O4 - HKCU\..\Run: [\\ADMINISTRACION\EPSON Stylus CX3700 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIA CL.EXE /P43 "\\ADMINISTRACION\EPSON Stylus CX3700 Series" /M "Stylus CX3700" /EF "HKCU"
O4 - HKCU\..\Run: [L08EXLRD_18909500] "C:\Archivos de programa\Microsoft Student\Microsoft Student con Encarta Premium 2008 DVD\EDICT.EXE" -m
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Archivos de programa\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICIO LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Servicio de red')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Startup: Webshots.lnk = C:\Archivos de programa\Webshots\Launcher.exe
O4 - Global Startup: AutoCAD Startup Accelerator.lnk = C:\Archivos de programa\Archivos comunes\Autodesk Shared\acstart16.exe
O4 - Global Startup: Búsqueda en el escritorio de Windows.lnk = C:\Archivos de programa\Windows Desktop Search\WindowsSearch.exe
O4 - Global Startup: Google Updater.lnk = C:\Archivos de programa\Google\Google Updater\GoogleUpdater.exe
O8 - Extra context menu item: Append to existing PDF - res://C:\Archivos de programa\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convert link target to Adobe PDF - res://C:\Archivos de programa\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convert link target to existing PDF - res://C:\Archivos de programa\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convert selected links to Adobe PDF - res://C:\Archivos de programa\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Convert selected links to existing PDF - res://C:\Archivos de programa\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Convert selection to Adobe PDF - res://C:\Archivos de programa\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convert selection to existing PDF - res://C:\Archivos de programa\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convert to Adobe PDF - res://C:\Archivos de programa\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~4\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: Web Anti-Virus statistics - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Archivos de programa\Kaspersky Lab\Kaspersky Anti-Virus 7.0\SCIEPlgn.dll
O9 - Extra button: Enviar a OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\ARCHIV~1\MICROS~4\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: &Enviar a OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\ARCHIV~1\MICROS~4\Office12\ONBttnIE.dll
O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\ARCHIV~1\MI3AA1~1\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\ARCHIV~1\MI3AA1~1\INetRepl.dll
O9 - Extra 'Tools' menuitem: Crear un favorito móvil... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\ARCHIV~1\MI3AA1~1\INetRepl.dll
O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~4\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Barra de búsqueda de Encarta - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Archivos de programa\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Archivos de programa\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/eng/partner/default/kavwebscan_unicode.cab
O16 - DPF: {2D8ED06D-3C30-438B-96AE-4D110FDC1FB8} (ActiveScan 2.0 Installer Class) - http://acs.pandasoftware.com/activescan/cabs/as2stubie.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx2.hotmail.com/mail/w2/resources/MSNPUpld.cab
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Runtime Environment 1.6.0) - http://sdlc-esd.sun.com/ESD39/JSCDL/jdk/6u5b/jinstall-6u5-windows-i586-jc.cab?AuthParam=1207664230_ced60640d5e0aadb143449 5ba93e736b&GroupName=JSC&BHost=javadl.sun.com&File Path=/ESD39/JSCDL/jdk/6u5b/jinstall-6u5-windows-i586-jc.cab&File=jinstall-6u5-windows-i586-jc.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{86AE0429-42D0-4DF1-9A50-D4846F600762}: NameServer = 10.0.0.1
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\Archivos de programa\Microsoft Office\Office12\GrooveSystemServices.dll
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft - C:\Archivos de programa\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: Adobe LM Service - Unknown owner - C:\Archivos de programa\Archivos comunes\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Archivos de programa\Archivos comunes\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Autodata Limited License Service - Unknown owner - C:\Archivos de programa\Archivos comunes\Autodata Limited Shared\Service\ADCDLicSvc.exe
O23 - Service: Autodesk Licensing Service - Autodesk - C:\Archivos de programa\Archivos comunes\Autodesk Shared\Service\AdskScSrv.exe
O23 - Service: Kaspersky Anti-Virus 7.0 (AVP) - Kaspersky Lab - C:\Archivos de programa\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe
O23 - Service: Symantec pcAnywhere Host Service (awhost32) - Symantec Corporation - C:\Archivos de programa\Symantec\pcAnywhere\awhost32.exe
O23 - Service: Servicio Bonjour (Bonjour Service) - Apple Inc. - C:\Archivos de programa\Bonjour\mDNSResponder.exe
O23 - Service: EPSON V3 Service2(03) (EPSON_PM_RPCV2_01) - SEIKO EPSON CORPORATION - C:\WINDOWS\system32\E_S00RP1.EXE
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Archivos de programa\Archivos comunes\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Archivos de programa\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Intel(R) Matrix Storage Event Monitor (IAANTMON) - Intel Corporation - C:\Archivos De Programa\Intel\Intel Matrix Storage Manager\Iaantmon.exe
O23 - Service: Intel(R) Desktop Utilities Service (iHCService) - OSA Technologies, Inc. - C:\Program Files\Intel\IDU\IDUServ.exe
O23 - Service: Servicio del iPod (iPod Service) - Apple Inc. - C:\Archivos de programa\iPod\bin\iPodService.exe
O23 - Service: LiveUpdate - Symantec Corporation - C:\ARCHIV~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
O23 - Service: NBService - Nero AG - C:\Archivos de programa\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Archivos de programa\CyberLink\Shared Files\RichVideo.exe
O23 - Service: Epson Printer Status Agent4 (StatusAgent4) - SEIKO EPSON CORPORATION - C:\WINDOWS\system32\SAgent4.exe
O23 - Service: Windows Network Policy Manager Service (wnpms) - Unknown owner - C:\WINDOWS\system32\wnpms.exe

Gracias de antemano

--
End of file - 17741 bytes

- Descarga la herramienta ComboFix.exe y guárdala en el escritorio.

• Desactiva temporalmente el Antivirus y/o Antispyware.
• Cierra todas las ventanas abiertas.
• Hacele doble clic al archivo ComboFix.exe y seguí las instrucciones.
• Cuando termine, generara un registro en C:\ComboFix.txt.
  • *Nota* Mientras CF este trabajando no mover el mouse ya que pararía su proceso.
  • *Nota* ComboFix puede reiniciar automáticamente el PC para completar el proceso de eliminación.

• Reinicia y pega el reporte de C:\ComboFix.txt en este mismo mensaje.

Salu2

Hola

Ya ejecute combofix, sin embargo kaspersky sigue mandando alertas solo que ahora ademas al decirle que elimine la amenaza realiza un escaneo donde elimina el archivo contaminado y reinicia el equipo. Te comento ademas que despues de ejecura combofix al reiniciar el equipo la vacuna detectó que el ejecutable estaba contaminado.

Anexo el log de Combofix y el de Kaspersky de hoy

Combofix

ComboFix 08-04-20.5 - Alfonso 2008-04-22 9:38:16.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.34.3082.18.469 [GMT -5:00]
Se ejecuta desde: C:\Documents and Settings\Alfonso\Escritorio\ComboFix.exe

ADVERTENCIA - ESTE EQUIPO NO TIENE INSTALADA LA CONSOLA DE RECUPERACION!
.

(((((((((((((((((( Archivos creados desde 2008-03-22 - 2008-04-22 )))))))))))))))))))))))))))))))))
.

2008-04-19 15:23 . 2008-03-24 13:15 175,104 --a------ C:\MSNCleaner.exe
2008-04-19 11:39 . 2008-04-19 15:46 <DIR> d-------- C:\MSNCleaner
2008-04-19 08:49 . 2008-04-19 08:49 <DIR> d-------- C:\Documents and Settings\Alfonso\Datos de programa\Malwarebytes
2008-04-19 08:48 . 2008-04-19 08:48 <DIR> d-------- C:\Documents and Settings\All Users\Datos de programa\Malwarebytes
2008-04-19 08:48 . 2008-04-19 08:48 <DIR> d-------- C:\Archivos de programa\Malwarebytes' Anti-Malware
2008-04-18 14:22 . 2008-04-18 14:22 <DIR> d-------- C:\Archivos de programa\Trend Micro
2008-04-17 20:13 . 2008-04-17 20:06 691,545 --a------ C:\WINDOWS\unins000.exe
2008-04-17 20:13 . 2008-04-17 20:13 2,548 --a------ C:\WINDOWS\unins000.dat
2008-04-17 19:15 . 2008-04-19 13:45 <DIR> d-------- C:\Documents and Settings\All Users\Datos de programa\Spybot - Search & Destroy
2008-04-17 19:15 . 2008-04-17 20:14 <DIR> d-------- C:\Archivos de programa\Spybot - Search & Destroy
2008-04-17 18:58 . 2008-04-17 18:58 <DIR> d-------- C:\Webshots Data
2008-04-16 15:37 . 2004-02-08 10:53 258,048 -ra------ C:\WINDOWS\system32\McUninstall_CE.exe
2008-04-16 10:55 . 2008-04-16 10:55 <DIR> d-------- C:\Archivos de programa\Panda Security
2008-04-15 12:20 . 2008-04-17 08:52 96,645 --a------ C:\WINDOWS\system32\drivers\klin.dat
2008-04-15 12:20 . 2008-04-17 08:52 87,941 --a------ C:\WINDOWS\system32\drivers\klick.dat
2008-04-15 12:19 . 2008-04-15 12:19 <DIR> d-------- C:\Archivos de programa\Kaspersky Lab
2008-04-15 12:19 . 2008-04-22 09:45 13,875,488 --ahs---- C:\WINDOWS\system32\drivers\fidbox.dat
2008-04-15 12:19 . 2008-04-19 20:14 186,752 --ahs---- C:\WINDOWS\system32\drivers\fidbox.idx
2008-04-15 12:19 . 2008-04-22 09:45 41,760 --ahs---- C:\WINDOWS\system32\drivers\fidbox2.dat
2008-04-15 12:19 . 2008-04-19 20:14 4,580 --ahs---- C:\WINDOWS\system32\drivers\fidbox2.idx
2008-04-15 10:52 . 2008-04-15 10:52 184,952 --a------ C:\taskmansf.exe
2008-04-15 09:36 . 2008-04-15 09:36 <DIR> d-------- C:\Documents and Settings\All Users\Datos de programa\Lavasoft
2008-04-15 09:36 . 2008-04-15 09:36 <DIR> d-------- C:\Archivos de programa\Lavasoft
2008-04-15 09:35 . 2008-04-15 09:35 <DIR> d-------- C:\Archivos de programa\Archivos comunes\Wise Installation Wizard
2008-04-15 09:28 . 2008-04-15 09:28 <DIR> d-------- C:\Archivos de programa\CCleaner
2008-04-14 20:51 . 2008-04-14 20:51 <DIR> d-------- C:\kav
2008-04-14 18:16 . 2008-04-14 18:16 184,952 --------- C:\WINDOWS\system32\wnpms.exe
2008-04-14 16:03 . 2008-04-18 11:36 <DIR> d-------- C:\Miguel
2008-04-14 16:03 . 2008-04-18 16:18 <DIR> d-------- C:\Documents and Settings\Alfonso\Datos de programa\dvdcss
2008-04-14 09:01 . 2008-04-22 09:09 54,156 --ah----- C:\WINDOWS\QTFont.qfn
2008-04-14 09:01 . 2008-04-14 09:01 1,409 --a------ C:\WINDOWS\QTFont.for
2008-04-14 08:39 . 2008-04-14 08:39 62,884 --a------ C:\Analisis 12-Abr-08.html
2008-04-13 17:37 . 2008-04-13 17:37 188,536 --a------ C:\taskmanrg.exe
2008-04-13 16:29 . 2008-04-13 16:29 188,536 --a------ C:\taskmanrt.exe
2008-04-13 15:43 . 2008-04-13 15:43 188,536 --------- C:\WINDOWS\system32\wnpm.exe
2008-04-12 15:21 . 2008-04-12 15:21 <DIR> d-------- C:\WINDOWS\system32\Kaspersky Lab
2008-04-12 15:21 . 2008-04-22 09:09 <DIR> d-------- C:\Documents and Settings\All Users\Datos de programa\Kaspersky Lab
2008-04-08 09:23 . 2008-04-14 08:40 <DIR> d-------- C:\Incomplete
2008-04-08 09:21 . 2008-04-08 09:21 <DIR> d-------- C:\WINDOWS\Sun
2008-04-08 09:21 . 2008-04-08 09:22 <DIR> d-------- C:\Documents and Settings\Alfonso\Shared
2008-04-08 09:21 . 2008-04-08 09:22 <DIR> d-------- C:\Documents and Settings\Alfonso\Incomplete
2008-04-08 09:21 . 2008-04-08 09:24 <DIR> d-------- C:\Documents and Settings\Alfonso\.limewire
2008-04-08 09:17 . 2008-02-22 02:33 69,632 --a------ C:\WINDOWS\system32\javacpl.cpl
2008-04-08 09:16 . 2008-04-08 09:17 <DIR> d-------- C:\Archivos de programa\Java
2008-04-08 09:15 . 2008-04-08 09:15 <DIR> d-------- C:\Archivos de programa\Archivos comunes\Java
2008-04-08 09:08 . 2008-04-08 09:09 <DIR> d-------- C:\Archivos de programa\limewire
2008-04-03 11:14 . 2008-04-03 11:14 <DIR> d-------- C:\Archivos de programa\Safari
2008-04-03 11:11 . 2008-04-03 11:11 <DIR> d-------- C:\Archivos de programa\iTunes
2008-04-03 11:11 . 2008-04-03 11:11 <DIR> d-------- C:\Archivos de programa\iPod
2008-04-03 11:08 . 2008-04-03 11:09 <DIR> d-------- C:\Archivos de programa\QuickTime
2008-03-29 00:37 . 2008-03-29 00:37 90,112 --a------ C:\WINDOWS\system32\QuickTimeVR.qtx
2008-03-29 00:37 . 2008-03-29 00:37 57,344 --a------ C:\WINDOWS\system32\QuickTime.qts
2008-03-28 14:12 . 2008-03-28 14:12 <DIR> d-------- C:\Archivos de programa\Windows Media Connect 2
2008-03-28 14:12 . 2006-10-04 09:06 1,197,294 -----c--- C:\WINDOWS\system32\dllcache\sysmain.sdb
2008-03-28 14:12 . 2006-10-04 09:06 764,868 -----c--- C:\WINDOWS\system32\dllcache\apph_sp.sdb
2008-03-28 14:12 . 2006-10-04 09:06 217,118 -----c--- C:\WINDOWS\system32\dllcache\apphelp.sdb
2008-03-28 14:10 . 2008-03-28 14:11 <DIR> d-------- C:\a5a87a0db132717e233588bf21f7
2008-03-28 14:09 . 2008-03-28 14:09 <DIR> d-------- C:\WINDOWS\system32\LogFiles
2008-03-28 14:09 . 2008-03-28 14:11 <DIR> d-------- C:\WINDOWS\system32\drivers\UMDF
2008-03-28 14:09 . 2008-03-28 14:10 <DIR> d-------- C:\5a001e59e5904b58d6a3fc
2008-03-25 14:24 . 2003-11-04 16:10 98,304 --a------ C:\WINDOWS\system32\lffax13n.dll
2008-03-25 14:24 . 2003-11-04 16:10 69,632 --a------ C:\WINDOWS\system32\lfgif13n.dll
2008-03-25 14:24 . 2003-11-04 16:10 65,536 --a------ C:\WINDOWS\system32\lfeps13n.dll
2008-03-22 16:02 . 2008-03-22 16:02 <DIR> d-------- C:\SCARY_MOVIE_3
2008-03-22 15:13 . 2004-04-30 02:07 122,880 --a------ C:\WINDOWS\system32\SAgent4.exe
2008-03-22 15:13 . 2004-02-19 03:03 65,536 --a------ C:\WINDOWS\system32\E_S00RP1.EXE
2008-03-22 12:48 . 2008-03-22 12:48 <DIR> d-------- C:\Documents and Settings\All Users\Datos de programa\BVRP Software
2008-03-22 12:48 . 2008-03-22 12:48 <DIR> d-------- C:\Archivos de programa\Avanquest update

.
(((((((((((((((((((((((((((((((((((((( Reporte Find3M )))))))))))))))))))))))))))))))))))))))))))))))))) )
.
2008-04-22 14:08 --------- d-----w C:\Archivos de programa\lg_fwupdate
2008-04-22 14:05 --------- d-----w C:\Documents and Settings\All Users\Datos de programa\Google Updater
2008-04-15 17:16 --------- d--h--w C:\Archivos de programa\InstallShield Installation Information
2008-04-14 20:47 2,568 --sha-w C:\WINDOWS\system32\KGyGaAvL.sys
2008-04-14 16:37 --------- d-----w C:\Documents and Settings\Jorge\Datos de programa\Apple Computer
2008-04-12 20:50 --------- d-----w C:\Archivos de programa\eMule
2008-04-12 20:18 --------- d-----w C:\Documents and Settings\Alfonso\Datos de programa\Webshots
2008-04-09 08:08 --------- d-----w C:\Documents and Settings\All Users\Datos de programa\Microsoft Help
2008-04-04 16:07 --------- d-----w C:\Documents and Settings\Alfonso\Datos de programa\Apple Computer
2008-03-22 20:38 --------- d-----w C:\Documents and Settings\All Users\Datos de programa\Sony Ericsson
2008-03-22 20:38 --------- d-----w C:\Archivos de programa\Sony Ericsson
2008-03-20 08:09 1,845,376 ----a-w C:\WINDOWS\system32\win32k.sys
2008-03-18 21:42 --------- d-----w C:\Documents and Settings\Jorge\Datos de programa\U3
2008-03-15 01:43 --------- d-----w C:\Documents and Settings\Jorge\Datos de programa\CyberLink
2008-03-14 09:01 --------- d-----w C:\Archivos de programa\MSXML 6.0
2008-03-13 19:57 --------- d-----w C:\Archivos de programa\Microsoft Student
2008-03-13 19:49 --------- d-----w C:\Archivos de programa\Learning Essentials
2008-03-10 16:36 --------- d-----w C:\Documents and Settings\All Users\Datos de programa\CyberLink
2008-03-10 16:36 --------- d-----w C:\Documents and Settings\Alfonso\Datos de programa\CyberLink
2008-03-08 18:05 --------- d-----w C:\Archivos de programa\ASPEL
2008-03-08 17:07 --------- d-----w C:\Archivos de programa\CyberLink
2008-03-08 16:52 --------- d-----w C:\Archivos de programa\CyberLink DVD Solution
2008-03-06 19:05 --------- d-----w C:\Archivos de programa\Archivos comunes\Autodesk Shared
2008-03-06 19:04 --------- d-----w C:\Archivos de programa\AutoCAD 2006
2008-03-06 19:03 --------- d-----w C:\Archivos de programa\AnswerWorks 4.0
2008-03-06 19:01 --------- d-----w C:\Documents and Settings\All Users\Datos de programa\Autodesk
2008-03-06 19:01 --------- d-----w C:\Documents and Settings\Alfonso\Datos de programa\Autodesk
2008-03-06 18:59 --------- d-----w C:\Archivos de programa\Autodesk
2008-03-06 17:51 --------- d-----w C:\Archivos de programa\yam-win
2008-03-01 12:58 826,368 ----a-w C:\WINDOWS\system32\wininet.dll
2008-02-29 01:42 --------- d-----w C:\Archivos de programa\Accent Excel Password Recovery
2008-02-28 19:16 --------- d-----w C:\Documents and Settings\Jorge\Datos de programa\Ahead
2008-02-20 06:51 282,624 ----a-w C:\WINDOWS\system32\gdi32.dll
2008-02-20 05:35 45,568 ----a-w C:\WINDOWS\system32\dnsrslvr.dll
2008-02-08 23:37 219,664 ----a-w C:\WINDOWS\system32\klogon.dll
2008-02-02 16:37 501,760 ----a-w C:\WINDOWS\system32\Deutz Engine.scr
2008-02-02 16:37 501,760 ----a-w C:\WINDOWS\system32\Deutz Engine.exe
2008-01-31 01:18 6,656 ----a-w C:\WINDOWS\system32\haspvdd.dll
2008-01-29 18:02 107,368 ----a-w C:\WINDOWS\system32\GEARAspi.dll
2008-01-28 15:02 558,142 ----a-w C:\WINDOWS\java\Packages\BPVDBTBN.ZIP
2008-01-28 15:02 155,995 ----a-w C:\WINDOWS\java\Packages\CN3JXJPZ.ZIP
2004-03-11 19:27 40,960 ----a-w C:\Archivos de programa\Uninstall_CDS.exe
.

((((((((((((((((((((((((((((((((( Cargando Puntos Reg ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Nota* entradas vacías & entradas legítimas predeterminadas no son mostradas

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-19 16:42 15360]
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="C:\Archivos de programa\Archivos comunes\Ahead\Lib\NMBgMonitor.exe" [2006-11-16 20:04 139264]
"MsnMsgr"="C:\Archivos de programa\Windows Live\Messenger\MsnMsgr.exe" [2007-10-18 12:34 5724184]
"MSMSGS"="C:\Archivos de programa\Messenger\msmsgs.exe" [2004-10-13 11:24 1694208]
"H/PC Connection Agent"="C:\Archivos de programa\Microsoft ActiveSync\wcescomm.exe" [2006-11-13 15:22 1289000]
"Sony Ericsson PC Suite"="C:\Archivos de programa\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe" [2007-11-20 16:29 360448]
"\\ADMINISTRACION\EPSON Stylus CX3700 Series"="C:\WINDOWS\System32\spool\DRIVERS\W32X86\ 3\E_FATIACL.exe" [2005-02-08 05:00 98304]
"L08EXLRD_18909500"="C:\Archivos de programa\Microsoft Student\Microsoft Student con Encarta Premium 2008 DVD\EDICT.exe" [2007-05-23 10:00 351000]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run]
"igfxtray"="C:\WINDOWS\System32\igfxtray.exe" [2005-07-19 13:09 94208]
"igfxhkcmd"="C:\WINDOWS\System32\hkcmd.exe" [2005-07-19 13:06 77824]
"igfxpers"="C:\WINDOWS\System32\igfxpers.exe" [2005-07-19 13:10 114688]
"SigmatelSysTrayApp"="sttray.exe" []
"IntelAudioStudio"="C:\Archivos de programa\Intel Audio Studio\IntelAudioStudio.exe" [2005-08-09 18:35 8597586]
"BluetoothAuthenticationAgent"="bthprops.cpl" [2004-08-19 16:43 110592 C:\WINDOWS\system32\bthprops.cpl]
"OrderReminder"="C:\Program Files\Hewlett-Packard\OrderReminder\OrderReminder.exe" [2005-12-21 04:00 98304]
"ipTray.exe"="C:\Program Files\Intel\IDU\iptray.exe" [2005-04-29 21:06 1267200]
"awTray.exe"="C:\Program Files\Intel\IDU\awtray.exe" [2005-03-11 03:35 1910784]
"IAAnotif"="C:\Archivos De Programa\Intel\Intel Matrix Storage Manager\Iaanotif.exe" [2007-10-03 16:44 178712]
"IntelliPoint"="C:\Archivos de programa\Microsoft IntelliPoint\ipoint.exe" [2006-07-07 18:15 600896]
"type32"="C:\Archivos de programa\Microsoft IntelliType Pro\type32.exe" [2004-03-18 23:30 184320]
"NeroFilterCheck"="C:\Archivos de programa\Archivos comunes\Ahead\Lib\NeroCheck.exe" [2006-01-12 16:40 155648]
"GrooveMonitor"="C:\Archivos de programa\Microsoft Office\Office12\GrooveMonitor.exe" [2007-08-24 08:00 33648]
"ISUSPM Startup"="c:\Archivos de programa\Archivos comunes\InstallShield\UpdateService\isuspm.exe" [2005-08-11 17:30 249856]
"ISUSScheduler"="C:\Archivos de programa\Archivos comunes\InstallShield\UpdateService\issch.exe" [2005-08-11 17:30 81920]
"\\ADMINISTRACION\EPSON Stylus CX3700 Series"="C:\WINDOWS\System32\spool\DRIVERS\W32X86\ 3\E_FATIACL.exe" [2005-02-08 05:00 98304]
"Acrobat Assistant 8.0"="C:\Archivos de programa\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe" [2008-01-11 20:54 623992]
"LGODDFU"="C:\Archivos de programa\lg_fwupdate\fwupdate.exe" [2008-03-07 20:36 249856]
"RemoteControl"="C:\Archivos de programa\CyberLink\PowerDVD\PDVDServ.exe" [2006-11-23 16:10 56928]
"LanguageShortcut"="C:\Archivos de programa\CyberLink\PowerDVD\Language\Language.exe" [2006-12-05 23:55 54832]
"Adobe Reader Speed Launcher"="C:\Archivos de programa\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 23:16 39792]
"QuickTime Task"="C:\Archivos de programa\QuickTime\qttask.exe" [2008-03-29 00:37 413696]
"iTunesHelper"="C:\Archivos de programa\iTunes\iTunesHelper.exe" [2008-03-30 11:36 267048]
"SunJavaUpdateSched"="C:\Archivos de programa\Java\jre1.6.0_05\bin\jusched.exe" [2008-02-22 04:25 144784]
"AVP"="C:\Archivos de programa\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe" [2008-02-08 18:36 227856]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\Cur rentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-19 16:42 15360]

C:\Documents and Settings\Alfonso\Men£ Inicio\Programas\Inicio\
Webshots.lnk - C:\Archivos de programa\Webshots\Launcher.exe [2008-02-20 1241 45056]

C:\Documents and Settings\All Users\Men£ Inicio\Programas\Inicio\
AutoCAD Startup Accelerator.lnk - C:\Archivos de programa\Archivos comunes\Autodesk Shared\acstart16.exe [2005-03-05 08:18:22 10872]
B£squeda en el escritorio de Windows.lnk - C:\Archivos de programa\Windows Desktop Search\WindowsSearch.exe [2007-02-05 16:40:46 118784]
Google Updater.lnk - C:\Archivos de programa\Google\Google Updater\GoogleUpdater.exe [2008-02-08 11:20:57 125624]

[hkey_local_machine\software\microsoft\windows\curr entversion\explorer\shellexecutehooks]
"{56F9679E-7826-4C84-81F3-532071A8BCC5}"= C:\Archivos de programa\Windows Desktop Search\MSNLNamespaceMgr.dll [2007-02-05 16:39 294400]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\PCANotify]
PCANotify.dll 2006-02-14 13:00 8704 C:\WINDOWS\system32\PCANotify.dll

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusDisableNotify"=dword:00000001
"UpdatesDisableNotify"=dword:00000001
"AntiVirusOverride"=dword:00000001
"FirewallOverride"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\KasperskyAntiVirus]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpo licy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"C:\\Archivos de programa\\Microsoft Office\\Office12\\OUTLOOK.EXE"=
"C:\\Archivos de programa\\Microsoft Office\\Office12\\GROOVE.EXE"=
"C:\\Archivos de programa\\Microsoft Office\\Office12\\ONENOTE.EXE"=
"C:\\WINDOWS\\system32\\spool\\drivers\\w32x86\\3\ \SAGENT4.EXE"=
"C:\\Archivos de programa\\Symantec\\pcAnywhere\\awhost32.exe"=
"C:\\Archivos de programa\\Bonjour\\mDNSResponder.exe"=
"C:\Archivos de programa\Microsoft ActiveSync\rapimgr.exe"= C:\Archivos de programa\Microsoft ActiveSync\rapimgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync RAPI Manager
"C:\Archivos de programa\Microsoft ActiveSync\wcescomm.exe"= C:\Archivos de programa\Microsoft ActiveSync\wcescomm.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Connection Manager
"C:\Archivos de programa\Microsoft ActiveSync\WCESMgr.exe"= C:\Archivos de programa\Microsoft ActiveSync\WCESMgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Application
"C:\\Archivos de programa\\Windows Live\\Messenger\\msnmsgr.exe"=
"C:\\Archivos de programa\\Windows Live\\Messenger\\livecall.exe"=
"C:\\Archivos de programa\\eMule\\emule.exe"=
"C:\\Archivos de programa\\iTunes\\iTunes.exe"=
"C:\\Archivos de programa\\limewire\\LimeWire\\LimeWire.exe"=
"C:\\kav\\kav7.0\\english\\setup.exe"=
"C:\\WINDOWS\\system32\\SAgent4.exe"=C:\\WINDOWS\\ system32\\SAgent4.exe
"C:\\WINDOWS\\system32\\wnpm.exe"=
"c:\\taskmanrt.exe"=
"c:\\taskmanrg.exe"=
"c:\\taskmansf.exe"=
"C:\\WINDOWS\\Explorer.EXE"= C:\\WINDOWS\\explorer.exe

[HKLM\~\services\sharedaccess\parameters\firewallpo licy\standardprofile\GloballyOpenPorts\List]
"9999:UDP"= 9999:UDP:IDU Service UDP Port
"2804:TCP"= 2804:TCP:IDU Service TCP Port
"26675:TCP"= 26675:TCP:169.254.2.0/255.255.255.0:Enabled:ActiveSync Service

R2 OsaFsLoc;OsaFsLoc;C:\WINDOWS\system32\drivers\OsaF sLoc.sys [2005-03-28 03:34]
R2 osaio;osaio;C:\WINDOWS\system32\drivers\osaio.sys [2005-03-04 06:07]
R3 klim5;Kaspersky Anti-Virus NDIS Filter;C:\WINDOWS\system32\DRIVERS\klim5.sys [2007-12-13 13:28]
S2 wnpms;Windows Network Policy Manager Service;C:\WINDOWS\system32\wnpms.exe [2008-04-14 18:16]

[HKEY_CURRENT_USER\software\microsoft\windows\curre ntversion\explorer\mountpoints2\{05c82ff0-d450-11dc-b048-001060a2a1fd}]
\Shell\1\Command - crsvc.exe
\Shell\AutoRun\command - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL crsvc.exe

[HKEY_CURRENT_USER\software\microsoft\windows\curre ntversion\explorer\mountpoints2\{3608abae-dcb6-11dc-b05a-001060a2a1fd}]
\Shell\AutoRun\command - ntde1ect.com
\Shell\explore\Command - ntde1ect.com
\Shell\open\Command - ntde1ect.com

[HKEY_CURRENT_USER\software\microsoft\windows\curre ntversion\explorer\mountpoints2\{4ed931a4-dc24-11dc-b057-001060a2a1fd}]
\Shell\Auto\command - MSOCache\doWTP_RESTORE_0.exe -autorun
\Shell\AutoRun\command - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL MSOCache\doWTP_RESTORE_0.exe -autorun

[HKEY_CURRENT_USER\software\microsoft\windows\curre ntversion\explorer\mountpoints2\{84798076-d97f-11dc-b052-001060a2a1fd}]
\Shell\AutoRun\command - J:\PortableVault.exe

*Newly Created Service* - CATCHME
.
Contenido de carpeta 'Tareas Programadas'
"2008-04-10 19:27:02 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job"
- C:\Archivos de programa\Apple Software Update\SoftwareUpdate.exe
.
************************************************** ************************

catchme 0.3.1353 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-04-22 09:45:48
Windows 5.1.2600 Service Pack 2 NTFS

escaneando procesos ocultos ...

escaneando entradas ocultas de autostart ...

escaneando archivos ocultos ...

el escaneo se completo con exito
archivos ocultos: 0

************************************************** ************************

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run]
"\\\\ADMINISTRACION\\EPSON Stylus CX3700 Series"="C:\\WINDOWS\\System32\\spool\\DRIVERS\\W3 2X86\\3\\E_FATIACL.EXE /P43 \"\\\\ADMINISTRACION\\EPSON Stylus CX3700 Series\" /O6 \"USB001\" /M \"Stylus CX3700\""

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\Run]
"\\\\ADMINISTRACION\\EPSON Stylus CX3700 Series"="C:\\WINDOWS\\System32\\spool\\DRIVERS\\W3 2X86\\3\\E_FATIACL.EXE /P43 \"\\\\ADMINISTRACION\\EPSON Stylus CX3700 Series\" /M \"Stylus CX3700\" /EF \"HKCU\""
.
Tiempo completado: 2008-04-22 9:47:47
ComboFix-quarantined-files.txt 2008-04-22 14:47:39

37 dirs 152,162,865,152 bytes libres
40 dirs 153,687,248,896 bytes libres

250 --- E O F --- 2008-04-09 08:08:30


Kaspersky

Protection : running
--------------------
Total scanned: 62521
Detected: 54
Untreated: 13
Start time: 22/04/2008 02:54:02 p.m.
Duration: 04:05:44


Detected
--------
Status Object
------ ------
detected: riskware Invader Running process: C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\iuhx32.exe
deleted: Trojan program Backdoor.Win32.Agent.bmp Running module: wnpms.exe\wnpms.exe
deleted: virus Worm.Win32.AutoRun.dha File: C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\iuhx32.exe
deleted: virus Worm.Win32.AutoRun.dha File: J:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\iuhx32.exe
deleted: Trojan program Backdoor.Win32.Agent.bmp Running module: wnpms.exe\wnpms.exe
not found: Trojan program Backdoor.Win32.Agent.bmp Running module: wnpms.exe\wnpms.exe
detected: riskware Invader Running process: C:\WINDOWS\system32\wnpms.exe
deleted: Trojan program Backdoor.Win32.Agent.bmp Running module: wnpms.exe\wnpms.exe
deleted: Trojan program Backdoor.Win32.Agent.bmp Running module: wnpms.exe\wnpms.exe
deleted: Trojan program Backdoor.Win32.Agent.bmp Running module: wnpms.exe\wnpms.exe
quarantined: virus Heur.AntiAV (modification) File: C:\Documents and Settings\Alfonso\Mis documentos\Mis Descargas\TutopiaFDA.exe//UPX//PRE/data\{8B04D774-A926-42E6-BEFB-7FB4650804DD}\0\TutopiaFD.exe/TutopiaFD32\Setup.EXE//WISE0018.BIN
quarantined: virus Heur.AntiAV (modification) File: C:\Documents and Settings\Alfonso\Mis documentos\Mis Descargas\TutopiaFDA.exe//UPX//PRE/data\{8B04D774-A926-42E6-BEFB-7FB4650804DD}\0\TutopiaFD.exe/FWUnProcess.exe
deleted: Trojan program Trojan-Downloader.Win32.Delf.fjs File: C:\Documents and Settings\Jorge\Configuración local\Archivos temporales de Internet\Content.IE5\PSADW5L8\2503yxpygjlb[1].exe//PE_Patch.UPX//UPX
deleted: Trojan program Backdoor.Win32.Agent.bmp Running module: wnpms.exe\wnpms.exe
deleted: Trojan program Backdoor.Win32.Agent.bmp Running module: wnpms.exe\wnpms.exe
deleted: Trojan program Backdoor.Win32.Agent.bmp Running module: wnpms.exe\wnpms.exe
deleted: Trojan program Backdoor.Win32.Agent.bmp Running module: wnpms.exe\wnpms.exe
deleted: Trojan program Backdoor.Win32.Agent.bmp Running module: wnpms.exe\wnpms.exe
deleted: Trojan program Backdoor.Win32.Agent.bmp Running module: wnpms.exe\wnpms.exe
deleted: Trojan program Backdoor.Win32.Agent.bmp Running module: wnpms.exe\wnpms.exe
deleted: Trojan program Backdoor.Win32.Agent.gvo File: C:\WINDOWS\Temp\wnp5.tmp
deleted: Trojan program Backdoor.Win32.Agent.gvo File: C:\WINDOWS\Temp\wnp6.tmp
deleted: Trojan program Backdoor.Win32.Agent.gvo File: C:\WINDOWS\Temp\wnp7.tmp
not found: Trojan program Backdoor.Win32.Agent.gvo Running module: winlogon.exe\wnpms_000.tmp
not found: Trojan program Backdoor.Win32.Agent.gvo Running module: winlogon.exe\wnpms_000.tmp
deleted: Trojan program Backdoor.Win32.Agent.bmp Running module: wnpms.exe\wnpms.exe
deleted: Trojan program Backdoor.Win32.Agent.gvo File: C:\Documents and Settings\Alfonso\Configuración local\Archivos temporales de Internet\Content.IE5\RWIQUSJU\skp19[1].jpg
deleted: Trojan program Backdoor.Win32.Agent.gvo File: C:\Documents and Settings\Jorge\Configuración local\Archivos temporales de Internet\Content.IE5\RBUA7TJV\skp19[1].jpg
detected: Trojan program Backdoor.Win32.Agent.gvo File: C:\WINDOWS\Temp\wnpE.tmp
deleted: Trojan program Backdoor.Win32.Agent.bmp Running module: wnpms.exe\wnpms.exe
deleted: Trojan program Backdoor.Win32.Agent.bmp Running module: wnpms.exe\wnpms.exe
detected: Trojan program Backdoor.Win32.Agent.gvo File: C:\WINDOWS\TEMP\wnpF.tmp
deleted: Trojan program Backdoor.Win32.Agent.bmp Running module: wnpms.exe\wnpms.exe
deleted: Trojan program Backdoor.Win32.Agent.bmp Running module: wnpms.exe\wnpms.exe
not found: Trojan program Backdoor.Win32.Agent.gvo File: C:\WINDOWS\TEMP\wnp39.tmp
deleted: Trojan program Backdoor.Win32.Agent.bmp Running module: wnpms.exe\wnpms.exe
deleted: Trojan program Backdoor.Win32.Agent.gvo Running module: explorer.exe\wnpms_000.tmp
detected: Trojan program Backdoor.Win32.Agent.gvo File: C:\WINDOWS\TEMP\wnpms_000.tmp
not found: Trojan program Backdoor.Win32.Agent.bmp Running module: wnpms.exe\wnpms.exe
quarantined: virus Heur.Invader (modification) File: c:\documents and settings\alfonso\escritorio\combofix.exe//PE_Patch.UPX/327882R2FWJFW\catchme.cfexe
detected: Trojan program Backdoor.Win32.Agent.gvo File: C:\WINDOWS\TEMP\wnp3.tmp
detected: Trojan program Backdoor.Win32.Agent.gvo File: C:\WINDOWS\TEMP\wnp4.tmp
not found: Trojan program Backdoor.Win32.Agent.gvo Running module: winlogon.exe\wnpms_000.tmp
not found: Trojan program Backdoor.Win32.Agent.bmp Running module: wnpms.exe\wnpms.exe
deleted: Trojan program Backdoor.Win32.Agent.bmp Running module: wnpms.exe\wnpms.exe
detected: Trojan program Backdoor.Win32.Agent.gvo Running module: winlogon.exe\wnpms_000.tmp
detected: Trojan program Backdoor.Win32.Agent.bmp Running module: wnpms.exe\wnpms.exe
detected: Trojan program Backdoor.Win32.Agent.gvo File: C:\WINDOWS\TEMP\wnp10.tmp
detected: Trojan program Backdoor.Win32.Agent.gvo File: C:\WINDOWS\TEMP\wnp11.tmp
detected: Trojan program Backdoor.Win32.Agent.bmp Running module: wnpms.exe\wnpms.exe
deleted: Trojan program Backdoor.Win32.Agent.bmp Running module: wnpms.exe\wnpms.exe
detected: Trojan program Backdoor.Win32.Agent.gvo Running module: winlogon.exe\wnpms_000.tmp
detected: Trojan program Backdoor.Win32.Agent.bmp Running module: wnpms.exe\wnpms.exe
detected: Trojan program Backdoor.Win32.Agent.bmp Running module: wnpms.exe\wnpms.exe


Events
------
Time Event
---- -----
22/04/2008 12:13:34 a.m. Process (PID 1344) tried to access Kaspersky Anti-Virus process (PID 3112), but the action has been blocked by the Self-Defense component. No action on your part is required.
22/04/2008 12:13:41 a.m. Update completed successfully
22/04/2008 12:13:46 a.m. Quarantine: File c:\documents and settings\alfonso\mis documentos\mis descargas\tutopiafda.exe//UPX//PRE/data\{8B04D774-A926-42E6-BEFB-7FB4650804DD}\0\TutopiaFD.exe/TutopiaFD32\Setup.EXE//WISE0018.BIN: detected modification of virus 'Heur.AntiAV'.
22/04/2008 12:13:53 a.m. Quarantine: File c:\documents and settings\alfonso\mis documentos\mis descargas\tutopiafda.exe//UPX//PRE/data\{8B04D774-A926-42E6-BEFB-7FB4650804DD}\0\TutopiaFD.exe/FWUnProcess.exe: detected modification of virus 'Heur.AntiAV'.
22/04/2008 02:33:34 a.m. Process (PID 1344) tried to access Kaspersky Anti-Virus process (PID 1744), but the action has been blocked by the Self-Defense component. No action on your part is required.
22/04/2008 02:33:42 a.m. Update completed successfully
22/04/2008 02:33:47 a.m. Quarantine: File c:\documents and settings\alfonso\mis documentos\mis descargas\tutopiafda.exe//UPX//PRE/data\{8B04D774-A926-42E6-BEFB-7FB4650804DD}\0\TutopiaFD.exe/TutopiaFD32\Setup.EXE//WISE0018.BIN: detected modification of virus 'Heur.AntiAV'.
22/04/2008 02:33:54 a.m. Quarantine: File c:\documents and settings\alfonso\mis documentos\mis descargas\tutopiafda.exe//UPX//PRE/data\{8B04D774-A926-42E6-BEFB-7FB4650804DD}\0\TutopiaFD.exe/FWUnProcess.exe: detected modification of virus 'Heur.AntiAV'.
22/04/2008 04:53:34 a.m. Process (PID 1344) tried to access Kaspersky Anti-Virus process (PID 3960), but the action has been blocked by the Self-Defense component. No action on your part is required.
22/04/2008 04:53:41 a.m. Update completed successfully
22/04/2008 04:53:46 a.m. Quarantine: File c:\documents and settings\alfonso\mis documentos\mis descargas\tutopiafda.exe//UPX//PRE/data\{8B04D774-A926-42E6-BEFB-7FB4650804DD}\0\TutopiaFD.exe/TutopiaFD32\Setup.EXE//WISE0018.BIN: detected modification of virus 'Heur.AntiAV'.
22/04/2008 04:53:53 a.m. Quarantine: File c:\documents and settings\alfonso\mis documentos\mis descargas\tutopiafda.exe//UPX//PRE/data\{8B04D774-A926-42E6-BEFB-7FB4650804DD}\0\TutopiaFD.exe/FWUnProcess.exe: detected modification of virus 'Heur.AntiAV'.
22/04/2008 07:13:34 a.m. Process (PID 1344) tried to access Kaspersky Anti-Virus process (PID 3092), but the action has been blocked by the Self-Defense component. No action on your part is required.
22/04/2008 07:13:48 a.m. Update completed successfully
22/04/2008 07:13:52 a.m. Quarantine: File c:\documents and settings\alfonso\mis documentos\mis descargas\tutopiafda.exe//UPX//PRE/data\{8B04D774-A926-42E6-BEFB-7FB4650804DD}\0\TutopiaFD.exe/TutopiaFD32\Setup.EXE//WISE0018.BIN: detected modification of virus 'Heur.AntiAV'.
22/04/2008 07:13:59 a.m. Quarantine: File c:\documents and settings\alfonso\mis documentos\mis descargas\tutopiafda.exe//UPX//PRE/data\{8B04D774-A926-42E6-BEFB-7FB4650804DD}\0\TutopiaFD.exe/FWUnProcess.exe: detected modification of virus 'Heur.AntiAV'.
22/04/2008 09:32:22 a.m. Process C:\WINDOWS\system32\wnpms.exe (PID: 4064): attempt to embed itself into another process allowed.
22/04/2008 09:32:25 a.m. Process C:\WINDOWS\system32\wnpms.exe (PID: 4064): attempt to embed itself into another process allowed.
22/04/2008 09:32:39 a.m. Process C:\WINDOWS\system32\wnpms.exe (PID: 4064): attempt to embed itself into another process was blocked.
22/04/2008 09:32:41 a.m. Process C:\WINDOWS\system32\wnpms.exe (PID: 4064): attempt to embed itself into another process was blocked.
22/04/2008 09:32:41 a.m. Process C:\WINDOWS\system32\wnpms.exe (PID: 4064): attempt to embed itself into another process was blocked.
22/04/2008 09:32:43 a.m. Process C:\WINDOWS\system32\wnpms.exe (PID: 4064): attempt to embed itself into another process was blocked.
22/04/2008 09:32:44 a.m. Process C:\WINDOWS\system32\wnpms.exe (PID: 4064): attempt to embed itself into another process was blocked.
22/04/2008 09:32:45 a.m. Process C:\WINDOWS\system32\wnpms.exe (PID: 4064): attempt to embed itself into another process was blocked.
22/04/2008 09:32:46 a.m. Process C:\WINDOWS\system32\wnpms.exe (PID 4064) successfully terminated.
22/04/2008 09:32:51 a.m. File C:\WINDOWS\TEMP\wnp39.tmp: detected: Trojan program 'Backdoor.Win32.Agent.gvo'.
22/04/2008 09:32:51 a.m. Security threats have been detected. You are advised to neutralize them immediately.
22/04/2008 09:32:55 a.m. Rollback successfully completed.
22/04/2008 09:32:58 a.m. File C:\WINDOWS\TEMP\wnp39.tmp cannot be deleted.
22/04/2008 09:33:23 a.m. Some protection components are disabled. You are advised to enable them.
22/04/2008 09:33:23 a.m. Protection of your computer is disabled. You are advised to enable protection.
22/04/2008 09:34:09 a.m. Update completed successfully
22/04/2008 09:34:19 a.m. Quarantine: File c:\documents and settings\alfonso\mis documentos\mis descargas\tutopiafda.exe//UPX//PRE/data\{8B04D774-A926-42E6-BEFB-7FB4650804DD}\0\TutopiaFD.exe/TutopiaFD32\Setup.EXE//WISE0018.BIN: detected modification of virus 'Heur.AntiAV'.
22/04/2008 09:34:28 a.m. Quarantine: File c:\documents and settings\alfonso\mis documentos\mis descargas\tutopiafda.exe//UPX//PRE/data\{8B04D774-A926-42E6-BEFB-7FB4650804DD}\0\TutopiaFD.exe/FWUnProcess.exe: detected modification of virus 'Heur.AntiAV'.
22/04/2008 10:02:06 a.m. Your evaluation period will end in 23 days. To ensure uninterrupted protection, please <a v(buy)>click here to purchase</a>.
22/04/2008 10:02:07 a.m. Protection of your computer is disabled. You are advised to enable protection.
22/04/2008 10:02:07 a.m. Security threats have been detected. You are advised to neutralize them immediately.
22/04/2008 10:02:54 a.m. Protection of your computer is enabled.
22/04/2008 10:04:26 a.m. Running module wnpms.exe\wnpms.exe: detected: Trojan program 'Backdoor.Win32.Agent.bmp'.
22/04/2008 10:04:26 a.m. Running module wnpms.exe\wnpms.exe: is still infected, postponed.
22/04/2008 10:04:33 a.m. Running module explorer.exe\wnpms_000.tmp: detected: Trojan program 'Backdoor.Win32.Agent.gvo'.
22/04/2008 10:04:33 a.m. Running module explorer.exe\wnpms_000.tmp: is still infected, postponed.
22/04/2008 10:04:33 a.m. File C:\WINDOWS\TEMP\wnpms_000.tmp: detected: Trojan program 'Backdoor.Win32.Agent.gvo'.
22/04/2008 10:04:33 a.m. File C:\WINDOWS\TEMP\wnpms_000.tmp: is still infected, postponed.
22/04/2008 10:06:06 a.m. Running module wnpms.exe\wnpms.exe: detected: Trojan program 'Backdoor.Win32.Agent.bmp'.
22/04/2008 10:06:11 a.m. Running module wnpms.exe\wnpms.exe: deleted.
22/04/2008 10:06:11 a.m. Running module explorer.exe\wnpms_000.tmp: detected: Trojan program 'Backdoor.Win32.Agent.gvo'.
22/04/2008 10:06:14 a.m. Running module explorer.exe\wnpms_000.tmp: deleted.
22/04/2008 10:06:14 a.m. File c:\windows\temp\wnpms_000.tmp: detected: Trojan program 'Backdoor.Win32.Agent.gvo'.
22/04/2008 10:06:18 a.m. File c:\windows\temp\wnpms_000.tmp: detected: Trojan program 'Backdoor.Win32.Agent.gvo'.
22/04/2008 10:06:25 a.m. File c:\windows\temp\wnpms_000.tmp: deleted.
22/04/2008 10:06:36 a.m. Process C:\WINDOWS\system32\wnpms.exe (PID 4688) successfully terminated.
22/04/2008 10:06:36 a.m. Running module wnpms.exe\wnpms.exe: detected: Trojan program 'Backdoor.Win32.Agent.bmp'.
22/04/2008 10:06:39 a.m. Rollback successfully completed.
22/04/2008 10:06:40 a.m. Running module wnpms.exe\wnpms.exe: not backed up.
22/04/2008 10:06:42 a.m. File C:\WINDOWS\TEMP\wnpms_000.tmp: detected: Trojan program 'Backdoor.Win32.Agent.gvo'.
22/04/2008 10:06:51 a.m. File C:\WINDOWS\TEMP\wnpms_000.tmp: deleted.
22/04/2008 10:06:55 a.m. File c:\documents and settings\alfonso\escritorio\combofix.exe//PE_Patch.UPX/327882R2FWJFW\catchme.cfexe: detected modification of virus 'Heur.Invader'.
22/04/2008 10:07:38 a.m. File c:\documents and settings\alfonso\escritorio\combofix.exe: quarantined.

No cupo todo, lo corte hasta donde menciona el virus en el archivo combofix.exe

Saludos

Hola, por lo de combofix no te preocupes ya que es un falso positivo del kas y por eso tenes que desactivar los AV para ejecutar este.

Sobre lo que encuentra el KAS tenes que buscarlos y borrarlos manualmente.

Salu2

Hola

El día de ayer por la tarde realizé un escaneo con el kas en modo seguro y parece que esta vez si encontró y eliminó el virus. Ya no he tenido mas alertas el día de hoy. Agradezco la ayuda y me pondre en contacto si vuelve a aparecer.

Gracias