Hola,
tengo el pc infectado con un troyano que me cierra el administrador de tareas, paginas web y me redirecciona a otra. Sólo con windows live care he conseguido detectarlo, pero aunque me dice que lo elimna, lo reactiva inmediatament. Con algun spyware he conseguido detectarlo, pero al eliminarlos el pc no arrancaba porque debio cargarse algun fichero de sistema.
Estoy muy preocupado pq he leido que spolsv lo usan para identificar contraseñas y claves bancarias.

Me gustaría varias cosas:

1. Ayuda para solucionarlo sin reinstalar windows
2. Si reinstalo windows por completo, eliminaría cualquier riesgo????
3. A posteriori cual es la mejor opción de protección: antivirus y antispyware? cuales?

el fichero que sale con el hijackthis es el siguiente

NO poner Logs de HijackThis y/o ComboFIX en este sector del foro o seran eliminados.

--


MUCHAS GRACIAS A TODOS
End of file - 7948 bytes

Hola y Bienvenido al foro.

Realiza lo Siguiente:

Descarga y/o Actualiza:

• Malwarebytes' Anti-Malware
• Ccleaner

Descarga la herramienta SDFix y guardala y descomprimila en tu escritorio pero no la ejecutes aun.

Reinicia el PC a Modo a prueba de fallos (Modo seguro)

• Ejecuta SDFix.exe en el escritorio, se creará una nueva carpeta en el escritorio, entra en dicha carpeta y ejecuta el archivo "Runthis.bat" luego, presiona la tecla "Y" para que comience el chequeo, al terminar, se creará un archivo dentro de la carpeta llamado Report.txt, copia y pega lo que indique ese reporte acá.

Ejecuta SuperAntispyware y realizas un analisis a toda tu pc y elimina lo que encuentre.

El Ccleaner ejecútalo usando primero su opción de "Limpiador" para borrar cookies, temporales de Internet y todos los archivos que este te muestre como obsoletos, y luego usa su opción de "Registro" para limpiar todo el registro de Windows (haciendo copia de seguridad). Realiza Varios Analisis

Reinicia el PC a "Modo normal"

Saludos nos comentas.

En primer lugar, muchas gracias por contestar.

He seguido tus instrucciones, pero no me deja pasar el superantispyware, me lo cierra, como otros anti spy que he intentado pasar o si visito páginas relacionadas con spy, virus, malaware.

el fichero que ha salido es este


SDFix: Version 1.173
Run by Osquitar on 21/04/2008 at 22:03

Microsoft Windows XP [Versi¢n 5.1.2600]
Running From: H:\DOCUME~1\Osquitar\ESCRIT~1\SDFix

Checking Services :


Restoring Windows Registry Values
Restoring Windows Default Hosts File
Restoring Missing Security Center Service
Restoring Missing SharedAccess Service

Rebooting


Checking Files :

Trojan Files Found:

H:\WINDOWS\SYSTEM32\POY.EXE - Deleted
H:\WINDOWS\system32\2.tmp - Deleted
H:\Archivos de programa\Setup.exe - Deleted
H:\WINDOWS\AutoUpdateWin31.dll - Deleted
H:\WINDOWS\AutoUpdateWin32.exe - Deleted
H:\WINDOWS\AutoUpdateWin33.exe - Deleted
H:\WINDOWS\kiasys.dll - Deleted
H:\WINDOWS\system32\WinSpooler.exe - Deleted
H:\WINDOWS\WindowsUpdates.exe - Deleted
H:\WINDOWS\yeTyezzd.sys - Deleted





Removing Temp Files

ADS Check :



Final Check :

catchme 0.3.1353.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-04-21 22:08:57
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden services & system hive ...

scanning hidden registry entries ...

scanning hidden files ...


scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 7


Remaining Services :




Authorized Application Key Export:

[HKEY_LOCAL_MACHINE\system\currentcontrolset\servic es\sharedaccess\parameters\firewallpolicy\standard profile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\syste m32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\servic es\sharedaccess\parameters\firewallpolicy\domainpr ofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\syste m32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"

Remaining Files :


File Backups: - H:\DOCUME~1\Osquitar\ESCRIT~1\SDFix\backups\backup s.zip

Files with Hidden Attributes :

Mon 19 Nov 2007 72 ..SH. --- H:\WINDOWS\S4A901~1.TMP
Fri 4 Jan 2008 40,960 A..H. --- H:\WINDOWS\SYSTEM32\CTFNOM.EXE
Fri 4 Jan 2008 40,960 A..H. --- H:\WINDOWS\SYSTEM32\KRNMOD.EXE
Fri 4 Jan 2008 40,960 A..H. --- H:\WINDOWS\SYSTEM32\LCHECK.EXE
Fri 4 Jan 2008 40,960 A..H. --- H:\WINDOWS\SYSTEM32\LINEX.EXE
Fri 4 Jan 2008 40,960 A..H. --- H:\WINDOWS\SYSTEM32\SCRSV.EXE
Fri 4 Jan 2008 40,960 A..H. --- H:\WINDOWS\SYSTEM32\STR32.EXE
Fri 4 Jan 2008 40,960 ...H. --- H:\WINDOWS\SYSTEM32\VUAUCLT.EXE
Thu 11 Jan 2007 4,348 A.SH. --- H:\DOCUME~1\ALLUSE~1\DRM\DRMV1.BAK
Tue 20 Mar 2007 0 A.SH. --- H:\DOCUME~1\ALLUSE~1\DRM\CACHE\INDIV02.TMP
Wed 9 Apr 2008 0 A..H. --- H:\WINDOWS\SOFTWA~1\DOWNLOAD\6302CD~1\BIT3.TMP
Sat 27 Aug 2005 15,360 A..H. --- H:\DOCUME~1\OSQUITAR\CONFIG~1\TEMP\RARSFX2\PWDUMP2 \PWDUMP2.EXE
Sat 27 Aug 2005 17,408 A..H. --- H:\DOCUME~1\OSQUITAR\CONFIG~1\TEMP\RARSFX2\PWDUMP2 \SAMDUMP.DLL
Tue 15 Apr 2008 8 A..H. --- H:\DOCUME~1\ALLUSE~1\DATOSD~1\MICROS~1\OC\CHANNELS \CH1\LOCK.TMP
Tue 15 Apr 2008 8 A..H. --- H:\DOCUME~1\ALLUSE~1\DATOSD~1\MICROS~1\OC\CHANNELS \CH2\LOCK.TMP
Tue 15 Apr 2008 8 A..H. --- H:\DOCUME~1\ALLUSE~1\DATOSD~1\MICROS~1\OC\CHANNELS \CH3\LOCK.TMP
Tue 15 Apr 2008 8 A..H. --- H:\DOCUME~1\ALLUSE~1\DATOSD~1\MICROS~1\OC\CHANNELS \CH4\LOCK.TMP
Wed 16 Apr 2008 8 A..H. --- H:\DOCUME~1\ALLUSE~1\DATOSD~1\MICROS~1\OC\CHANNELS \CH5\LOCK.TMP

Finished!

Hola Nuevamente

Como Sigue el Problem, oye nunca debes olvidar esa parte, siempre cuando se manden pasos comentar si hubo progresos, El SDFix realizo su trabajo.

Me gustaria Ver el Reporte de Malwarebytes' Anti-Malware

Realiza un escaneo online con Panda ActiveScan y nos dejas sus reportes en este mismo mensaje.

Saludos nos Comentas.

Hola,

Perdón por no comentar las evoluciones. Veamos, paso el SDFix , pero a la hora de pasar el Superantispyware no me deja abrilo, con lo cual ahí me quedo. El SDFix si genera el fichero que fue el que puse ayer y el CCleaner tb lo pasa.
Hoy he intentado lo que me decias con el panda online, pero no me deja acceder a la pagina, en el momento que entro me cierra la pagina, ésta y cualquier otra relacionada con virus, spy, malaware.
El administrador de tareas tb sigue cerrándomelo.

el fichero que me ha salido es este

SDFix: Version 1.173
Run by Osquitar on 22/04/2008 at 16:59

Microsoft Windows XP [Versi¢n 5.1.2600]
Running From: H:\DOCUME~1\Osquitar\ESCRIT~1\SDFix

Checking Services :


Restoring Windows Registry Values
Restoring Windows Default Hosts File
Restoring Missing Security Center Service
Restoring Missing SharedAccess Service

Rebooting


Checking Files :

Trojan Files Found:

H:\WINDOWS\SYSTEM32\POY.EXE - Deleted





Removing Temp Files

ADS Check :



Final Check :

catchme 0.3.1353.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-04-22 17:09:43
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden services & system hive ...

scanning hidden registry entries ...

scanning hidden files ...


scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 7


Remaining Services :




Authorized Application Key Export:

Remaining Files :


File Backups: - H:\DOCUME~1\Osquitar\ESCRIT~1\SDFix\backups\backup s.zip

Files with Hidden Attributes :

Mon 19 Nov 2007 72 ..SH. --- H:\WINDOWS\S4A901~1.TMP
Fri 4 Jan 2008 40,960 A..H. --- H:\WINDOWS\SYSTEM32\CTFNOM.EXE
Fri 4 Jan 2008 40,960 A..H. --- H:\WINDOWS\SYSTEM32\KRNMOD.EXE
Fri 4 Jan 2008 40,960 A..H. --- H:\WINDOWS\SYSTEM32\LCHECK.EXE
Fri 4 Jan 2008 40,960 A..H. --- H:\WINDOWS\SYSTEM32\LINEX.EXE
Fri 4 Jan 2008 40,960 A..H. --- H:\WINDOWS\SYSTEM32\SCRSV.EXE
Fri 4 Jan 2008 40,960 A..H. --- H:\WINDOWS\SYSTEM32\STR32.EXE
Fri 4 Jan 2008 40,960 ...H. --- H:\WINDOWS\SYSTEM32\VUAUCLT.EXE
Thu 11 Jan 2007 4,348 A.SH. --- H:\DOCUME~1\ALLUSE~1\DRM\DRMV1.BAK
Tue 20 Mar 2007 0 A.SH. --- H:\DOCUME~1\ALLUSE~1\DRM\CACHE\INDIV02.TMP
Wed 9 Apr 2008 0 A..H. --- H:\WINDOWS\SOFTWA~1\DOWNLOAD\6302CD~1\BIT3.TMP
Tue 15 Apr 2008 8 A..H. --- H:\DOCUME~1\ALLUSE~1\DATOSD~1\MICROS~1\OC\CHANNELS \CH1\LOCK.TMP
Tue 15 Apr 2008 8 A..H. --- H:\DOCUME~1\ALLUSE~1\DATOSD~1\MICROS~1\OC\CHANNELS \CH2\LOCK.TMP
Tue 15 Apr 2008 8 A..H. --- H:\DOCUME~1\ALLUSE~1\DATOSD~1\MICROS~1\OC\CHANNELS \CH3\LOCK.TMP
Tue 15 Apr 2008 8 A..H. --- H:\DOCUME~1\ALLUSE~1\DATOSD~1\MICROS~1\OC\CHANNELS \CH4\LOCK.TMP
Wed 16 Apr 2008 8 A..H. --- H:\DOCUME~1\ALLUSE~1\DATOSD~1\MICROS~1\OC\CHANNELS \CH5\LOCK.TMP

Finished!

El problema sigue siendo al pasar un antivirus, me lo cierra si es pagina online y si lo he instalado tambien me lo cierra.

Hola retafim el reporte de SDFix muestra la presencia de archivos pertenecientes a un troyano que la herramienta no elimina automaticamente por lo que vamos a usar Combofix para sacar la infección en 2 etapas.

Por favor realiza el siguuiente procedimiento en modo normal:


- Descarga la herramienta ComboFix.exe y guárdala en el escritorio.

• Desactiva temporalmente el Antivirus y/o Antispyware.
• Cierra todas las ventanas abiertas.
• Hacele doble clic al archivo ComboFix.exe y seguí las instrucciones.
• Cuando termine, generara un registro en C:\ComboFix.txt.
  • *Nota* Mientras CF este trabajando no mover el mouse ya que pararía su proceso.
  • *Nota* ComboFix puede reiniciar automáticamente el PC para completar el proceso de eliminación.

• Reinicia y pega el reporte de C:\ComboFix.txt en este mismo mensaje.

Buenas tardes,

veamos, he pasado el combofix, .....despues de psarlo y gnerar archivo que pongo deebajo, no me dejaba reiniciar windows, con lo que tuve que reinstalarlo con la opcion de recuperación , así no he perdido datos. Ahora por primera vez desde que empece a escribir en el foro, estoy conectado desde mi ordenador y en este instante, pasando el antivirus de panda online. Ya me deja navegar por internet, pero me ha detectado archivos infectados.

Me he levantado de la lona, porque estaba k.o., y sigue la pelea, ahora me encuentro mas fuerte......gracias a todos por la ayuda. Y seguire escribendo cuando este completamente limpio.

Ah, tb pasee el cleeaner.

el fichero de combofix

ComboFix 08-04-22.3 - Osquitar 2008-04-23 22:41:07.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.3082.18.642 [GMT 2:00]
Se ejecuta desde: H:\Documents and Settings\Osquitar\Escritorio\ComboFix.exe
* Creado un nuevo punto de restauración

ADVERTENCIA - ESTE EQUIPO NO TIENE INSTALADA LA CONSOLA DE RECUPERACION!
.

(((((((((((((((((((((((((((((((((((( Otras eliminaciones )))))))))))))))))))))))))))))))))))))))))))))))))
.

H:\WINDOWS\system32\_000008_.tmp.dll
H:\WINDOWS\system32\AutoRun.inf
H:\WINDOWS\system32\ctfnom.exe
H:\WINDOWS\system32\Msglixgrx.dll
H:\WINDOWS\system32\poy.exe

.
(((((((((((((((((( Archivos creados desde 2008-03-23 - 2008-04-23 )))))))))))))))))))))))))))))))))
.

2008-04-22 18:01 . 2008-04-23 22:35 39,936 ---h----- H:\WINDOWS\system32\spoolv.exe
2008-04-22 17:52 . 2008-04-22 17:52 272 --a------ H:\WINDOWS\_delis32.ini
2008-04-22 17:33 . 2008-04-22 17:33 <DIR> d-------- H:\Archivos de programa\Archivos comunes\Wise Installation Wizard
2008-04-21 22:55 . 2008-04-21 22:55 <DIR> d-------- H:\Archivos de programa\Common Files
2008-04-21 22:39 . 2008-04-21 22:39 <DIR> d-------- H:\Documents and Settings\All Users\Datos de programa\Yahoo! Companion
2008-04-21 21:55 . 2008-04-21 21:55 <DIR> d-------- H:\WINDOWS\ERUNT
2008-04-21 21:54 . 2008-04-21 02:33 <DIR> d-------- H:\SDFix
2008-04-18 18:24 . 2008-04-18 18:24 54,156 --ah----- H:\WINDOWS\QTFont.qfn
2008-04-18 18:24 . 2008-04-18 18:24 1,409 --a------ H:\WINDOWS\QTFont.for
2008-04-18 17:39 . 2008-04-20 13:11 <DIR> d-------- H:\Documents and Settings\Osquitar\Datos de programa\RegSweep
2008-04-18 17:39 . 2008-04-20 13:11 <DIR> d-------- H:\Archivos de programa\RegSweep
2008-04-18 00:00 . 2002-09-24 14:00 13,463,552 --a--c--- H:\WINDOWS\system32\dllcache\hwxjpn.dll
2008-04-17 23:59 . 2004-08-19 15:42 2,134,528 --a--c--- H:\WINDOWS\system32\dllcache\smtpsnap.dll
2008-04-17 23:58 . 2008-04-17 23:58 749 -rah----- H:\WINDOWS\WindowsShell.Manifest
2008-04-17 23:58 . 2008-04-17 23:58 749 -rah----- H:\WINDOWS\system32\wuaucpl.cpl.manifest
2008-04-17 23:58 . 2008-04-17 23:58 749 -rah----- H:\WINDOWS\system32\sapi.cpl.manifest
2008-04-17 23:58 . 2008-04-17 23:58 749 -rah----- H:\WINDOWS\system32\nwc.cpl.manifest
2008-04-17 23:58 . 2008-04-17 23:58 749 -rah----- H:\WINDOWS\system32\ncpa.cpl.manifest
2008-04-17 23:58 . 2008-04-17 23:58 488 -rah----- H:\WINDOWS\system32\logonui.exe.manifest
2008-04-17 22:03 . 2002-09-24 14:00 24,661 --a------ H:\WINDOWS\system32\spxcoins.dll
2008-04-17 22:03 . 2002-09-24 14:00 24,661 --a--c--- H:\WINDOWS\system32\dllcache\spxcoins.dll
2008-04-17 22:03 . 2002-09-24 14:00 13,312 --a------ H:\WINDOWS\system32\irclass.dll
2008-04-17 22:03 . 2002-09-24 14:00 13,312 --a--c--- H:\WINDOWS\system32\dllcache\irclass.dll
2008-04-16 23:10 . 2008-04-16 23:10 <DIR> d-------- H:\!KillBox
2008-04-16 16:30 . 2008-04-16 16:30 <DIR> d-------- H:\Archivos de programa\ADSLNet
2008-04-16 16:29 . 2008-04-16 16:29 <DIR> d-------- H:\WINDOWS\Downloaded Installations
2008-04-16 00:05 . 2008-04-16 00:05 <DIR> d-------- H:\Documents and Settings\Administrador\Datos de programa\SUPERAntiSpyware.com
2008-04-15 23:59 . 2008-04-15 23:59 <DIR> d-------- H:\Archivos de programa\Enigma Software Group
2008-04-15 18:16 . 2007-11-27 22:56 116,416 --a------ H:\WINDOWS\system32\drivers\msfwhlpr.sys
2008-04-15 18:16 . 2007-11-27 22:56 91,328 --a------ H:\WINDOWS\system32\drivers\msfwdrv.sys
2008-04-15 18:15 . 2007-07-06 15:09 70,928 --a------ H:\WINDOWS\system32\drivers\MpFilter.sys
2008-04-15 18:14 . 2008-04-16 00:08 512,096 --a------ H:\WINDOWS\system32\drivers\amon.sys
2008-04-15 18:14 . 2008-04-16 00:08 298,104 --a------ H:\WINDOWS\system32\imon.dll
2008-04-15 18:14 . 2008-04-16 00:08 15,424 --a------ H:\WINDOWS\system32\drivers\nod32drv.sys
2008-04-15 18:09 . 2008-04-23 22:35 <DIR> d-------- H:\Archivos de programa\Microsoft Windows OneCare Live
2008-04-15 17:33 . 2008-04-22 17:37 <DIR> d-------- H:\Documents and Settings\Osquitar\Datos de programa\SUPERAntiSpyware.com
2008-04-15 17:33 . 2008-04-15 17:33 <DIR> d-------- H:\Documents and Settings\All Users\Datos de programa\SUPERAntiSpyware.com
2008-04-15 17:33 . 2008-04-22 17:39 <DIR> d-------- H:\Archivos de programa\SUPERAntiSpyware
2008-04-15 17:28 . 2008-04-15 17:28 164 --a------ H:\install.dat
2008-04-15 16:49 . 2008-04-15 16:49 <DIR> d-------- H:\Archivos de programa\Alwil Software
2008-04-14 23:08 . 2008-01-04 23:23 40,960 --ah----- H:\WINDOWS\system32\linex.exe
2008-04-14 23:03 . 2004-08-20 00:49 1,086,058 -ra------ H:\WINDOWS\SET4B.tmp
2008-04-14 23:03 . 2004-08-20 02:38 1,014,555 -ra------ H:\WINDOWS\SET48.tmp
2008-04-14 23:03 . 2004-08-20 00:49 14,043 -ra------ H:\WINDOWS\SET57.tmp
2008-04-12 11:40 . 2008-04-12 12:33 <DIR> d-------- H:\419453e5794d0dcd1230
2008-04-11 22:21 . 2008-04-11 22:21 <DIR> d-------- H:\Archivos de programa\Sophos
2008-04-11 21:58 . 2008-04-11 22:31 <DIR> d-------- H:\d5085e4cda71f5bcc42e43c7c8de
2008-04-11 19:51 . 2008-01-04 23:23 40,960 ---h----- H:\WINDOWS\system32\vuauclt.exe
2008-04-11 19:44 . 2004-08-20 00:49 1,086,058 -ra------ H:\WINDOWS\SET47.tmp
2008-04-11 19:44 . 2004-08-20 02:38 1,014,555 -ra------ H:\WINDOWS\SET44.tmp
2008-04-11 19:44 . 2004-08-20 00:49 14,043 -ra------ H:\WINDOWS\SET53.tmp
2008-04-11 18:12 . 2004-08-20 00:49 1,086,058 -ra------ H:\WINDOWS\SET4C.tmp
2008-04-11 18:12 . 2004-08-20 02:38 1,014,555 -ra------ H:\WINDOWS\SET49.tmp
2008-04-11 18:12 . 2004-08-20 00:49 14,043 -ra------ H:\WINDOWS\SET58.tmp
2008-04-11 17:00 . 2008-04-11 17:00 <DIR> d-------- H:\Documents and Settings\Osquitar\Datos de programa\Simply Super Software
2008-04-09 22:12 . 2008-04-09 22:12 <DIR> d-------- H:\2db520d94d8225b586846b267f31
2008-04-06 20:14 . 2008-04-06 20:14 <DIR> d-------- H:\WINDOWS\system32\bits
2008-04-06 20:14 . 2007-03-29 14:58 7,168 --a------ H:\WINDOWS\system32\bitsprx4.dll
2008-04-01 23:46 . 2008-04-01 23:28 79,717 --a------ H:\MsnCleaner_1.1.4[1].zip
2008-04-01 00:16 . 2008-04-16 16:19 <DIR> d-------- H:\Archivos de programa\ESET
2008-04-01 00:16 . 2008-04-01 00:16 0 --a------ H:\WINDOWS\system32\mapisvc.inf
2008-03-31 20:50 . 2008-03-31 20:50 268 --ah----- H:\sqmdata19.sqm
2008-03-31 20:50 . 2008-03-31 20:50 244 --ah----- H:\sqmnoopt19.sqm
2008-03-30 18:28 . 2008-03-30 18:28 <DIR> d-------- H:\WINDOWS\BDOSCAN8
2008-03-30 16:50 . 2008-03-30 16:50 <DIR> d-------- H:\WINDOWS\system32\Kaspersky Lab
2008-03-30 16:50 . 2008-03-30 16:50 <DIR> d-------- H:\Documents and Settings\All Users\Datos de programa\Kaspersky Lab
2008-03-29 19:10 . 2008-03-29 19:10 <DIR> d-------- H:\Archivos de programa\MSN Messenger
2008-03-28 01:57 . 2004-08-20 00:49 1,086,058 -ra------ H:\WINDOWS\SETC0.tmp
2008-03-28 01:57 . 2004-08-20 02:38 1,014,555 -ra------ H:\WINDOWS\SETBD.tmp
2008-03-28 01:57 . 2004-08-20 00:49 14,043 -ra------ H:\WINDOWS\SETCC.tmp
2008-03-28 01:18 . 2008-04-01 23:46 <DIR> d--h----- H:\Documents and Settings\Administrador\Reciente
2008-03-28 01:18 . 2006-12-31 08:41 <DIR> d--h----- H:\Documents and Settings\Administrador\Plantillas
2008-03-28 01:18 . 2008-04-01 00:27 <DIR> d-------- H:\Documents and Settings\Administrador\Mis documentos
2008-03-28 01:18 . 2006-12-31 08:33 <DIR> dr------- H:\Documents and Settings\Administrador\Menú Inicio
2008-03-28 01:18 . 2006-12-31 08:33 <DIR> d--h----- H:\Documents and Settings\Administrador\Impresoras
2008-03-28 01:18 . 2008-04-16 00:10 <DIR> d-------- H:\Documents and Settings\Administrador\Favoritos
2008-03-28 01:18 . 2008-04-01 23:30 <DIR> d-------- H:\Documents and Settings\Administrador\Escritorio
2008-03-28 01:18 . 2006-12-31 08:33 <DIR> d--h----- H:\Documents and Settings\Administrador\Entorno de red
2008-03-28 01:18 . 2006-12-31 08:33 <DIR> dr-h----- H:\Documents and Settings\Administrador\Datos de programa
2008-03-28 01:18 . 2008-04-23 22:42 <DIR> d--h----- H:\Documents and Settings\Administrador\Configuración local
2008-03-28 01:18 . 2008-04-16 00:24 <DIR> d-------- H:\Documents and Settings\Administrador
2008-03-28 01:18 . 2008-04-23 22:41 1,024 --ah----- H:\Documents and Settings\Administrador\NtUser.dat.LOG
2008-03-28 00:37 . 2008-04-14 22:37 40,960 --a------ H:\WINDOWS\system32\vuauclt.exe.vir
2008-03-28 00:37 . 2008-01-04 23:23 40,960 --ah----- H:\WINDOWS\system32\str32.exe
2008-03-28 00:37 . 2008-01-04 23:23 40,960 --ah----- H:\WINDOWS\system32\Scrsv.exe
2008-03-28 00:37 . 2008-01-04 23:23 40,960 --ah----- H:\WINDOWS\system32\linex.exe.vir
2008-03-28 00:37 . 2008-01-04 23:23 40,960 --ah----- H:\WINDOWS\system32\lcheck.exe
2008-03-28 00:37 . 2008-01-04 23:23 40,960 --ah----- H:\WINDOWS\system32\krnmod.exe
2008-03-28 00:37 . 2008-04-23 22:35 39,936 --ah----- H:\WINDOWS\system32\ctfnom.exe

.
(((((((((((((((((((((((((((((((((((((( Reporte Find3M )))))))))))))))))))))))))))))))))))))))))))))))))) )
.
2008-04-22 15:52 --------- d-----w H:\Archivos de programa\eMule
2008-04-22 15:52 --------- d-----w H:\Archivos de programa\ATI Technologies
2008-04-21 20:55 --------- d-----w H:\Archivos de programa\Yahoo!
2008-04-21 20:29 --------- d-----w H:\Archivos de programa\CCleaner
2008-04-21 19:50 --------- d---a-w H:\Documents and Settings\All Users\Datos de programa\TEMP
2008-04-15 15:05 --------- d-----w H:\Documents and Settings\Osquitar\Datos de programa\ATI
2008-04-15 15:03 --------- d-----w H:\Archivos de programa\ABBYY FineReader 9.0
2008-04-15 15:02 --------- d--h--w H:\Archivos de programa\InstallShield Installation Information
2008-04-15 15:02 --------- d-----w H:\Archivos de programa\ASUS
2008-04-15 14:59 --------- d-----w H:\Documents and Settings\All Users\Datos de programa\Symantec
2008-04-15 14:59 --------- d-----w H:\Archivos de programa\Symantec AntiVirus
2008-04-15 14:59 --------- d-----w H:\Archivos de programa\Symantec
2008-04-15 14:59 --------- d-----w H:\Archivos de programa\Archivos comunes\Symantec Shared
2008-04-15 14:58 --------- d-----w H:\Archivos de programa\Windows Live Safety Center
2008-04-15 14:53 --------- d-----w H:\Archivos de programa\Windows Live
2008-04-09 20:21 --------- d-----w H:\Archivos de programa\Microsoft Silverlight
2008-04-07 17:11 37,888 ----a-w H:\WINDOWS\system32\rar.exe
2008-03-28 20:59 22,328 ----a-w H:\WINDOWS\system32\drivers\PnkBstrK.sys
2008-03-28 20:59 107,832 ----a-w H:\WINDOWS\system32\PnkBstrB.exe
2008-03-28 18:44 --------- d-----w H:\Archivos de programa\VirtualDJ
2008-03-23 13:20 --------- d-----w H:\Archivos de programa\Java
2008-03-17 22:12 --------- d-----w H:\Archivos de programa\Ilusion Software
2008-03-17 22:01 --------- d-----w H:\Archivos de programa\vanBasco's Karaoke Player
2008-03-11 22:48 --------- d-----w H:\Documents and Settings\All Users\Datos de programa\ABBYY
2008-03-09 22:28 --------- d-----w H:\Archivos de programa\ABBYY FineReader 8.0 Professional Edition
2008-03-07 17:15 --------- d-----w H:\Documents and Settings\Osquitar\Datos de programa\PDFCreator
2008-03-07 17:15 --------- d-----w H:\Archivos de programa\PDFCreator PL
2008-03-06 23:40 --------- d-----w H:\Archivos de programa\activePDF
2008-03-06 21:01 --------- d-----w H:\Documents and Settings\Osquitar\Datos de programa\ABBYY
2008-03-02 11:58 --------- d-----w H:\Documents and Settings\All Users\Datos de programa\WLInstaller
2008-02-26 19:11 --------- d-----w H:\Documents and Settings\NetworkService\Datos de programa\Yahoo!
2008-02-01 10:17 587,264 ----a-w H:\WINDOWS\WLXPGSS.SCR
2005-09-21 06:19 718,320 ----a-w H:\Archivos de programa\ABBYY FineReader 8.0 Professional Edition.msi
2005-09-21 05:54 96,256 ----a-w H:\Archivos de programa\2070.mst
2005-09-21 05:54 96,256 ----a-w H:\Archivos de programa\1040.mst
2005-09-21 05:54 95,232 ----a-w H:\Archivos de programa\1036.mst
2005-09-21 05:54 92,160 ----a-w H:\Archivos de programa\1034.mst
2005-09-21 05:54 3,584 ----a-w H:\Archivos de programa\1033.mst
2005-09-20 21:59 360 ----a-w H:\Archivos de programa\setup.ini
2003-04-21 13:09 245,408 ----a-w H:\Archivos de programa\unicows.dll
2002-03-11 10:06 1,822,520 ----a-w H:\Archivos de programa\instmsiW.exe
.

((((((((((((((((((((((((((((((((( Cargando Puntos Reg ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Nota* entradas vacías & entradas legítimas predeterminadas no son mostradas

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\Run]
"OM2_Monitor"="H:\Archivos de programa\OLYMPUS\OLYMPUS Master 2\MMonitor.exe" [2007-05-28 16:59 95800]
"updateMgr"="H:\Archivos de programa\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" [2006-03-30 17:45 313472]
"swg"="H:\Archivos de programa\Google\GoogleToolbarNotifier\GoogleToolba rNotifier.exe" [2007-12-30 18:11 68856]
"TomTomHOME.exe"="H:\Archivos de programa\TomTom HOME 2\HOMERunner.exe" [2008-02-18 12:58 206184]
"ctfmon.exe"="H:\WINDOWS\system32\ctfmon.exe" [2004-08-19 15:42 15360]
"SUPERAntiSpyware"="H:\Archivos de programa\SUPERAntiSpyware\SUPERAntiSpyware.exe" [2007-06-21 14:06 1318912]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run]
"SoundMAX"="H:\Archivos de programa\Analog Devices\SoundMAX\Smax4.exe" [2005-09-07 16:35 716800]
"NeroFilterCheck"="H:\WINDOWS\system32\NeroCheck.e xe" [2006-01-12 17:40 155648]
"LogitechVideoRepair"="H:\Archivos de programa\Logitech\Video\ISStart.exe" [2005-01-19 12:45 458752]
"LogitechVideoTray"="H:\Archivos de programa\Logitech\Video\LogiTray.exe" [2005-01-19 12:39 217088]
"QuickTime Task"="H:\Archivos de programa\QuickTime\qttask.exe" [2006-09-01 15:57 282624]
"LanguageShortcut"="H:\Archivos de programa\CyberLink\PowerDVD\Language\Language.exe" [2006-05-18 11:29 49152]
"SunJavaUpdateSched"="H:\Archivos de programa\Java\jre1.6.0_05\bin\jusched.exe" [2008-02-22 05:25 144784]
"nod32kui"="H:\Archivos de programa\Eset\nod32kui.exe" [2008-04-16 00:08 949376]
"OneCareUI"="H:\Archivos de programa\Microsoft Windows OneCare Live\winssnotify.exe" [2008-01-22 19:43 67112]
"SoundMAXPnP"="H:\Archivos de programa\Analog Devices\Core\smax4pnp.exe" [2005-05-20 11:11 925696]
"RegSweep"="H:\Archivos de programa\RegSweep\RegSweep.exe" [2008-04-09 11:52 6726904]
"system32"="H:\WINDOWS\system32\str32.exe" [2008-01-04 23:23 40960]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\RunOnce]
"lcheck"="H:\WINDOWS\system32\lcheck.exe" [2008-01-04 23:23 40960]

[hkey_local_machine\software\microsoft\windows\curr entversion\explorer\shellexecutehooks]
"{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA}"= H:\Archivos de programa\SUPERAntiSpyware\SASSEH.DLL [2006-12-20 13:55 77824]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\!SASWinLogon]
H:\Archivos de programa\SUPERAntiSpyware\SASWINLO.dll 2007-04-19 13:41 294912 H:\Archivos de programa\SUPERAntiSpyware\SASWINLO.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"VIDC.MJPG"= Pvmjpg21.dll
"VIDC.PIM1"= pclepim1.dll

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Contro l\SafeBoot\Minimal\OneCareMP]
@="Service"

R0 videX32;videX32;H:\WINDOWS\system32\DRIVERS\videX3 2.sys [2006-02-23 05:38]
R0 xfilt;VIA SATA IDE Hot-plug Driver;H:\WINDOWS\system32\DRIVERS\xfilt.sys [2006-02-23 05:39]
R2 SQLWriter;SQL Server VSS Writer;"h:\Archivos de programa\Microsoft SQL Server\90\Shared\sqlwriter.exe" [2007-02-10 06:29]
R3 usbstor;Dispositivo de almacenamiento masivo de datos USB;H:\WINDOWS\system32\DRIVERS\USBSTOR.SYS [2004-08-03 23:08]
S2 Winlogon kernel service;Winlogon kernel service;H:\WINDOWS\system32\krnmod.exe [2008-01-04 23:23]
S3 usbscan;Controlador de escáner USB;H:\WINDOWS\system32\DRIVERS\usbscan.sys [2004-08-03 23:58]

[HKEY_CURRENT_USER\software\microsoft\windows\curre ntversion\explorer\mountpoints2\{ceaa8946-ab1a-11db-8084-00026f417d77}]
\Shell\AutoRun\command - H:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL copy.exe


[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{5942rc046-1e7d-w1d1-bc44-00c0sfd912be}]
H:\WINDOWS\system32\Scrsv.exe /r
.
Contenido de carpeta 'Tareas Programadas'
"2008-04-23 20:34:51 H:\WINDOWS\Tasks\RegSweep Scheduled Scan.job"
- H:\Archivos de programa\RegSweep\RegSweep.ex
- H:\Archivos de programa\RegSweep
.
************************************************** ************************

catchme 0.3.1353 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-04-23 22:42:47
Windows 5.1.2600 Service Pack 2 NTFS

escaneando procesos ocultos ...

escaneando entradas ocultas de autostart ...

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
Shell = Explorer.exe, H:\WINDOWS\system32\vuauclt.exe??????????????????? ?????????????????????????????????????????????????? ?????????????????????????????????????????????????? ?????????????????????????????????????????????????? ?????????????????????????????????????????????
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
Userinit = C:\WINDOWS\system32\userinit.exe, H:\WINDOWS\system32\linex.exe????????????????????? ?????????????????????????????????????????????????? ?????????????????????????????????????????????????? ?????????????????????????????????????????????????? ?????????????????????????
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
system32 = H:\WINDOWS\system32\str32.exe????????????????????? ?????????????????????????????????????????????????? ?????????????????????????????????????????????????? ?????????????????????????????????????????????????? ?????????????????????????????????????????????????? ?????????
HKLM\Software\Microsoft\Windows\CurrentVersion\Run Once
lcheck = H:\WINDOWS\system32\lcheck.exe /r????????????????????????????????????????????????? ?????????????????????????????????????????????????? ?????????????????????????????????????????????????? ?????????????????????????????????????????????????? ???????????????????????????

escaneando archivos ocultos ...

el escaneo se completo con exito
archivos ocultos: 0

************************************************** ************************
.
--------------------- DLLs cargados bajo los procesos en ejecución ---------------------

PROCESS: H:\WINDOWS\system32\lsass.exe
-> H:\Archivos de programa\Eset\pr_imon.dll
.
Tiempo completado: 2008-04-23 22:43:18
ComboFix-quarantined-files.txt 2008-04-23 20:43:14

20 dirs 224,745,512,960 bytes libres
25 dirs 224,815,833,088 bytes libres

229 --- E O F --- 2008-04-23 15:36:50

Hola retafim tan pronto tengas el reporte del escaneo en linea lo pegas para darte las indicaiones a seguir.

Buenas de nuevo,

este es el reporte de pandaonlline

;************************************************* ************************************************** ************************************************** ******************************
ANALYSIS: 2008-04-28 18:27:03
PROTECTIONS: 1
MALWARE: 13
SUSPECTS: 0
;************************************************* ************************************************** ************************************************** ******************************
PROTECTIONS
Description Version Active Updated
;================================================= ================================================== ================================================== ==============================
Windows Live OneCare 1.0.0 Yes Yes
;================================================= ================================================== ================================================== ==============================
MALWARE
Id Description Type Active Severity Disinfectable Disinfected Location
;================================================= ================================================== ================================================== ==============================
00110532 spyware/clientman Spyware No 1 Yes No HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Ext\Stats\{FCADDC14-BD46-408A-9842-CDBE1C6D37EB}
00139061 Cookie/Doubleclick TrackingCookie No 0 Yes No H:\Documents and Settings\Osquitar\Cookies\osquitar@doubleclick[1].txt
00139064 Cookie/Atlas DMT TrackingCookie No 0 Yes No H:\Documents and Settings\Osquitar\Cookies\osquitar@atdmt[2].txt
00145393 Cookie/Tradedoubler TrackingCookie No 0 Yes No H:\Documents and Settings\Osquitar\Cookies\osquitar@tradedoubler[2].txt
00145738 Cookie/Mediaplex TrackingCookie No 0 Yes No H:\Documents and Settings\Osquitar\Cookies\osquitar@mediaplex[1].txt
00167753 Cookie/Statcounter TrackingCookie No 0 Yes No H:\Documents and Settings\Osquitar\Cookies\osquitar@statcounter[1].txt
00168056 Cookie/YieldManager TrackingCookie No 0 Yes No H:\Documents and Settings\Osquitar\Cookies\osquitar@ad.yieldmanager[1].txt
00168090 Cookie/Serving-sys TrackingCookie No 0 Yes No H:\Documents and Settings\Osquitar\Cookies\osquitar@serving-sys[1].txt
00168093 Cookie/Serving-sys TrackingCookie No 0 Yes No H:\Documents and Settings\Osquitar\Cookies\osquitar@bs.serving-sys[2].txt
00168106 Cookie/Weborama TrackingCookie No 0 Yes No H:\Documents and Settings\Osquitar\Cookies\osquitar@weborama[1].txt
00169189 Cookie/Adserver TrackingCookie No 0 Yes No H:\Documents and Settings\Osquitar\Cookies\osquitar@adserver.terra[2].txt
00169190 Cookie/Advertising TrackingCookie No 0 Yes No H:\Documents and Settings\Osquitar\Cookies\osquitar@advertising[2].txt
00191644 Cookie/adultfriendfinder TrackingCookie No 0 Yes No H:\Documents and Settings\Osquitar\Cookies\osquitar@adultfriendfind er[1].txt
;================================================= ================================================== ================================================== ==============================
SUSPECTS
Sent Location @
;================================================= ================================================== ================================================== ==============================
;================================================= ================================================== ================================================== ==============================
VULNERABILITIES
Id Severity Description @
;================================================= ================================================== ================================================== ==============================
184380 MEDIUM MS08-002 @
184379 MEDIUM MS08-001 @
182048 HIGH MS07-069 @
182046 HIGH MS07-067 @
182043 HIGH MS07-064 @
179553 HIGH MS07-061 @
176382 HIGH MS07-057 @
176383 HIGH MS07-058 @
170911 HIGH MS07-050 @
170907 HIGH MS07-046 @
170906 HIGH MS07-045 @
170904 HIGH MS07-043 @
164915 HIGH MS07-035 @
164913 HIGH MS07-033 @
164911 HIGH MS07-031 @
160623 HIGH MS07-027 @
157262 HIGH MS07-022 @
157261 HIGH MS07-021 @
157260 HIGH MS07-020 @
157259 HIGH MS07-019 @
156477 HIGH MS07-017 @
150253 HIGH MS07-016 @
150249 HIGH MS07-013 @
150248 HIGH MS07-012 @
150247 HIGH MS07-011 @
150243 HIGH MS07-008 @
150242 HIGH MS07-007 @
150241 MEDIUM MS07-006 @
141034 HIGH MS06-076 @
141033 MEDIUM MS06-075 @
141030 HIGH MS06-072 @
137571 HIGH MS06-070 @
137568 HIGH MS06-067 @
133387 MEDIUM MS06-065 @
133386 MEDIUM MS06-064 @
133385 MEDIUM MS06-063 @
133379 HIGH MS06-057 @
131654 HIGH MS06-055 @
129977 MEDIUM MS06-053 @
129976 MEDIUM MS06-052 @
126093 HIGH MS06-051 @
126092 MEDIUM MS06-050 @
126087 HIGH MS06-046 @
126086 MEDIUM MS06-045 @
126083 HIGH MS06-042 @
126082 HIGH MS06-041 @
126081 HIGH MS06-040 @
123421 HIGH MS06-036 @
123420 HIGH MS06-035 @
120825 MEDIUM MS06-032 @
120823 MEDIUM MS06-030 @
120818 HIGH MS06-025 @
120815 HIGH MS06-022 @
120814 HIGH MS06-021 @
117384 MEDIUM MS06-018 @
114666 HIGH MS06-015 @
114664 HIGH MS06-013 @
108744 MEDIUM MS06-008 @
108743 MEDIUM MS06-007 @
108742 MEDIUM MS06-006 @
104567 HIGH MS06-002 @
104237 HIGH MS06-001 @
96574 HIGH MS05-053 @
93395 HIGH MS05-051 @
93394 HIGH MS05-050 @
93454 MEDIUM MS05-049 @
;================================================= ================================================== ================================================== ==============================