Foro de InfoSpyware - Foro de Hijackthis - Foro de Virus

Tengo problemas con mi laptop al iniciar la pc. me marca un error en amvo.exe y con el tiempo se habren pags. de publicidad con nombre CiD, busque en internet y creo que tiene que ver con un virus de USB espero y me ayuden.. aqui les dejo mi Log

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 08:36:13 p.m., on 28/04/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Archivos de programa\Intel\Wireless\Bin\S24EvMon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Archivos de programa\Intel\Wireless\Bin\EvtEng.exe
C:\Archivos de programa\Intel\Wireless\Bin\RegSrvc.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxpers.exe
C:\Archivos de programa\Intel\Wireless\bin\ZCfgSvc.exe
C:\Archivos de programa\Intel\Wireless\Bin\ifrmewrk.exe
C:\Archivos de programa\Synaptics\SynTP\SynTPLpr.exe
C:\Archivos de programa\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Archivos de programa\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Archivos de programa\Intel\Wireless\Bin\Dot1XCfg.exe
C:\Archivos de programa\Windows Live\Messenger\usnsvc.exe
C:\Archivos de programa\Internet Explorer\iexplore.exe
C:\Archivos de programa\Internet Explorer\iexplore.exe
C:\Archivos de programa\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Aplicación auxiliar de inicio de sesión - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM\..\Run: [igfxtray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [igfxhkcmd] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [igfxpers] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [UIUCU] C:\DOCUME~1\DIANAM~1\CONFIG~1\Temp\UIUCU.EXE -CLEAN_UP
O4 - HKLM\..\Run: [WinampAgent] "C:\Archivos de programa\Winamp\winampa.exe"
O4 - HKLM\..\Run: [IntelZeroConfig] "C:\Archivos de programa\Intel\Wireless\bin\ZCfgSvc.exe"
O4 - HKLM\..\Run: [IntelWireless] "C:\Archivos de programa\Intel\Wireless\Bin\ifrmewrk.exe" /tf Intel PROSet/Wireless
O4 - HKLM\..\Run: [SynTPLpr] C:\Archivos de programa\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Archivos de programa\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [Curb tool help dart] C:\Documents and Settings\All Users\Datos de programa\Move Bore Curb Tool\online settings.exe
O4 - HKLM\..\Run: [Expl0rer.exe] C:\WINDOWS\system32\Expl0rer.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [seek comp] C:\DOCUME~1\DIANAM~1\DATOSD~1\PHONEH~1\Softuser.ex e
O4 - HKCU\..\Run: [Expl0rer.exe] C:\WINDOWS\system32\Expl0rer.exe
O4 - HKCU\..\Run: [amva] C:\WINDOWS\system32\amvo.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICIO LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Servicio de red')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O16 - DPF: {83AFB5CA-ED35-11D4-A452-0080C8D85045} (GameDesire Poker Games) - http://67.15.101.33/g_bin/eng/poker_2_0_0_49.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O23 - Service: Ares Chatroom server (AresChatServer) - Ares Development Group - C:\Archivos de programa\Ares\chatServer.exe
O23 - Service: Intel(R) PROSet/Wireless Event Log (EvtEng) - Intel Corporation - C:\Archivos de programa\Intel\Wireless\Bin\EvtEng.exe
O23 - Service: Intel(R) PROSet/Wireless Registry Service (RegSrvc) - Intel Corporation - C:\Archivos de programa\Intel\Wireless\Bin\RegSrvc.exe
O23 - Service: Intel(R) PROSet/Wireless Service (S24EventMonitor) - Intel Corporation - C:\Archivos de programa\Intel\Wireless\Bin\S24EvMon.exe

--
End of file - 4753 bytes

Hola mrbrightside,


Descarga, actualiza y ejecuta el programa:

• SUPERAntiSpyware
• Malwarebytes' Anti-Malware
  *Nota* Es importante que envíes a "Cuarentena" todo lo que este detecte antes de copiar y pegarnos su reporte.

Descarga CCleaner y ejecútalo usando primero su opción de "Limpiador" para borrar cookies, temporales de Internet y todos los archivos que este te muestre como obsoletos, y luego usa su opción de "Registro" para limpiar todo el registro de Windows (haciendo copia de seguridad).


- Descarga la herramienta ComboFix.exe y guárdala en el escritorio.

• Desactiva temporalmente el Antivirus y/o Antispyware.
• Cierra todas las ventanas abiertas.
• Hacele doble clic al archivo ComboFix.exe y seguí las instrucciones.
• Cuando termine, generara un registro en C:\ComboFix.txt.
  • *Nota* Mientras CF este trabajando no mover el mouse ya que pararía su proceso.
  • *Nota* ComboFix puede reiniciar automáticamente el PC para completar el proceso de eliminación.

• Reinicia y pega el reporte de C:\ComboFix.txt en este mismo mensaje.

Salu2

Hola de nuevo.. ya hice los pasos que diste y aqui esta el primer reporte que este me lo dio el MalwareBytes

Malwarebytes' Anti-Malware 1.11
Versión de la Base de Datos: 707

Tipo de examen : Examen Rápido
Objetos examinados: 37504
Tiempo transcurrido: 13 minute(s), 58 second(s)

Procesos en Memoria Infectados: 0
Módulos en Memoria Infectados: 1
Claves del Registro Infectadas: 1
Valores del Registro Infectados: 1
Elementos de Datos del Registro Infectados: 0
Carpetas Infectadas: 0
Ficheros Infectados: 3

Procesos en Memoria Infectados:
(No se han detectado elementos maliciosos)

Módulos en Memoria Infectados:
C:\WINDOWS\system32\amvo0.dll (Trojan.Agent) -> No action taken.

Claves del Registro Infectadas:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{9b71d88c-c598-4935-c5d1-43aa4db90836} (Backdoor.Bifrose) -> No action taken.

Valores del Registro Infectados:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\Run\amva (Trojan.Agent) -> No action taken.

Elementos de Datos del Registro Infectados:
(No se han detectado elementos maliciosos)

Carpetas Infectadas:
(No se han detectado elementos maliciosos)

Ficheros Infectados:
C:\WINDOWS\system32\amvo.exe (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\amvo0.dll (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\amvo1.dll (Trojan.Agent) -> No action taken.
------------------------------------------------
Y este es el segundo reporte del ComboFix

ComboFix 08-04-29.5 - Diana Morgan 2008-05-02 13:42:57.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.3082.18.221 [GMT -6:00]
Se ejecuta desde: C:\Documents and Settings\Diana Morgan\Escritorio\ComboFix.exe
* Creado un nuevo punto de restauración

ADVERTENCIA - ESTE EQUIPO NO TIENE INSTALADA LA CONSOLA DE RECUPERACION!
.

(((((((((((((((((((((((((((((((((((( Otras eliminaciones )))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\autorun.inf
C:\WINDOWS\system32\amvo.exe
C:\WINDOWS\system32\amvo0.dll
C:\WINDOWS\system32\plugin1.dat
D:\Autorun.inf

.
(((((((((((((((((( Archivos creados desde 2008-04-02 - 2008-05-02 )))))))))))))))))))))))))))))))))
.

2008-05-01 13:42 . 2008-05-01 13:41 103,961 -r-hs---- C:\l2f.cmd
2008-04-30 23:47 . 2008-04-30 23:47 <DIR> d-------- C:\Documents and Settings\Diana Morgan\Datos de programa\Malwarebytes
2008-04-30 23:46 . 2008-04-30 23:46 <DIR> d-------- C:\Documents and Settings\All Users\Datos de programa\Malwarebytes
2008-04-30 23:46 . 2008-04-30 23:46 <DIR> d-------- C:\Archivos de programa\Malwarebytes' Anti-Malware
2008-04-30 23:46 . 2008-05-02 13:40 <DIR> d-------- C:\Archivos de programa\CCleaner
2008-04-29 22:28 . 2008-04-30 11:36 105,075 -r-hs---- C:\h0s2.bat
2008-04-28 20:30 . 2008-04-28 20:30 <DIR> d-------- C:\Archivos de programa\phonehide
2008-04-28 19:02 . 2008-04-28 19:02 104,269 -r-hs---- C:\jfvkcsy.bat
2008-04-27 21:27 . 2008-04-27 21:27 105,128 -r-hs---- C:\oq.cmd
2008-04-25 16:12 . 2008-04-25 16:12 <DIR> d--h----- C:\Documents and Settings\Diana Morgan\WLANProfiles
2008-04-22 17:17 . 2008-04-07 16:45 102,499 -r-hs---- C:\1ce.cmd
2008-04-16 11:41 . 2008-04-16 11:41 <DIR> d--h----- C:\WINDOWS\PIF
2008-04-12 14:29 . 2008-04-12 14:29 268 --ah----- C:\sqmdata06.sqm
2008-04-12 14:29 . 2008-04-12 14:29 244 --ah----- C:\sqmnoopt06.sqm
2008-04-11 00:33 . 2008-04-11 00:33 268 --ah----- C:\sqmdata05.sqm
2008-04-11 00:33 . 2008-04-11 00:33 244 --ah----- C:\sqmnoopt05.sqm
2008-04-11 00:09 . 2008-04-11 00:09 268 --ah----- C:\sqmdata04.sqm
2008-04-11 00:09 . 2008-04-11 00:09 244 --ah----- C:\sqmnoopt04.sqm
2008-04-09 13:44 . 2008-04-09 13:44 268 --ah----- C:\sqmdata03.sqm
2008-04-09 13:44 . 2008-04-09 13:44 244 --ah----- C:\sqmnoopt03.sqm
2008-04-06 16:14 . 2008-04-06 16:13 103,268 -r-hs---- C:\pa39xth.cmd
2008-04-05 19:58 . 2008-04-05 19:57 103,966 -r-hs---- C:\t.com
2008-04-04 13:35 . 2008-04-04 13:34 103,037 -r-hs---- C:\ranvrgn.exe
2008-04-04 10:59 . 2008-01-11 12:48 106,728 -r-hs---- C:\d.com

.
(((((((((((((((((((((((((((((((((((((( Reporte Find3M )))))))))))))))))))))))))))))))))))))))))))))))))) )
.
2008-04-29 02:31 --------- d-----w C:\Documents and Settings\Diana Morgan\Datos de programa\phonehide
2008-04-29 02:30 --------- d-----w C:\Documents and Settings\All Users\Datos de programa\Move Bore Curb Tool
2008-04-25 20:34 --------- d-----w C:\Archivos de programa\Windows Live Safety Center
2008-04-14 21:33 --------- d-----w C:\Documents and Settings\All Users\Datos de programa\Microsoft Help
2008-03-31 05:34 --------- d-----w C:\Archivos de programa\Soulseek-Test
2008-03-20 08:09 1,845,376 ----a-w C:\WINDOWS\system32\win32k.sys
2008-03-18 05:49 --------- d-----w C:\Documents and Settings\All Users\Datos de programa\Elaborate Bytes
2008-02-22 01:48 52,944 ----a-w C:\WINDOWS\system32\Expl0rer.exe
2008-02-20 06:51 282,624 ----a-w C:\WINDOWS\system32\gdi32.dll
2008-02-20 05:35 45,568 ----a-w C:\WINDOWS\system32\dnsrslvr.dll
2008-02-16 09:02 662,016 ----a-w C:\WINDOWS\system32\wininet.dll
2008-02-12 03:18 21,361 ----a-w C:\WINDOWS\AegisP.sys
.

((((((((((((((((((((((((((((((((( Cargando Puntos Reg ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Nota* entradas vacías & entradas legítimas predeterminadas no son mostradas

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-19 15:42 15360]
"seek comp"="C:\DOCUME~1\DIANAM~1\DATOSD~1\PHONEH~1\Soft user.exe" [2008-04-28 20:30 425472]
"Expl0rer.exe"="C:\WINDOWS\system32\Expl0rer.e xe" [2008-02-21 19:48 52944]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run]
"igfxtray"="C:\WINDOWS\system32\igfxtray.exe" [2005-11-03 16:25 98304]
"igfxhkcmd"="C:\WINDOWS\system32\hkcmd.exe" [2005-11-03 16:22 77824]
"igfxpers"="C:\WINDOWS\system32\igfxpers.exe" [2005-11-03 16:26 118784]
"IntelZeroConfig"="C:\Archivos de programa\Intel\Wireless\bin\ZCfgSvc.exe" [2007-10-08 15:18 995328]
"IntelWireless"="C:\Archivos de programa\Intel\Wireless\Bin\ifrmewrk.exe" [2007-10-08 15:13 1101824]
"SynTPLpr"="C:\Archivos de programa\Synaptics\SynTP\SynTPLpr.exe" [2004-10-08 15:44 98394]
"SynTPEnh"="C:\Archivos de programa\Synaptics\SynTP\SynTPEnh.exe" [2004-10-08 15:43 688218]
"Curb tool help dart"="C:\Documents and Settings\All Users\Datos de programa\Move Bore Curb Tool\online settings.exe" [2008-05-02 13:42 614400]
"Expl0rer.exe"="C:\WINDOWS\system32\Expl0rer.e xe" [2008-02-21 19:48 52944]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\Cur rentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-19 15:42 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"vidc.yv12"= yv12vfw.dll
"msacm.ac3filter"= ac3filter.acm

[HKLM\~\services\sharedaccess\parameters\firewallpo licy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Archivos de programa\\Windows Live\\Messenger\\msnmsgr.exe"=
"C:\\Archivos de programa\\Windows Live\\Messenger\\livecall.exe"=
"C:\\Archivos de programa\\Microsoft Office\\Office12\\OUTLOOK.EXE"=
"C:\\Archivos de programa\\Soulseek-Test\\slsk.exe"=
"C:\\Archivos de programa\\Messenger\\msmsgs.exe"=
"C:\\Archivos de programa\\Ares\\Ares.exe"=


[HKEY_CURRENT_USER\software\microsoft\windows\curre ntversion\explorer\mountpoints2\{1ccadcab-c760-11db-8387-9e029ae7a99b}]
\Shell\AutoRun\command - G:\1ce.cmd
\Shell\explore\Command - G:\1ce.cmd
\Shell\open\Command - G:\1ce.cmd

[HKEY_CURRENT_USER\software\microsoft\windows\curre ntversion\explorer\mountpoints2\{4d4ac1d5-c674-11db-8787-806d6172696f}]
\Shell\AutoRun\command - D:\l2f.cmd
\Shell\explore\Command - D:\l2f.cmd
\Shell\open\Command - D:\l2f.cmd

[HKEY_CURRENT_USER\software\microsoft\windows\curre ntversion\explorer\mountpoints2\{4d4ac1d6-c674-11db-8787-806d6172696f}]
\Shell\AutoRun\command - C:\l2f.cmd
\Shell\explore\Command - C:\l2f.cmd
\Shell\open\Command - C:\l2f.cmd

[HKEY_CURRENT_USER\software\microsoft\windows\curre ntversion\explorer\mountpoints2\{4ebb0d5e-0268-11dd-84a0-0013ce405126}]
\Shell\AutoRun\command - F:\d.com
\Shell\explore\Command - F:\d.com
\Shell\open\Command - F:\d.com

[HKEY_CURRENT_USER\software\microsoft\windows\curre ntversion\explorer\mountpoints2\{5e318a16-0b5a-11dd-84e7-0013ce405126}]
\Shell\AutoRun\command - F:\1ce.cmd
\Shell\explore\Command - F:\1ce.cmd
\Shell\open\Command - F:\1ce.cmd

[HKEY_CURRENT_USER\software\microsoft\windows\curre ntversion\explorer\mountpoints2\{766b6d2e-d8d6-11dc-83b5-0003251d4f1e}]
\Shell\AutoRun\command - ntdelect.com
\Shell\explore\Command - utdetect.com
\Shell\open\Command - utdetect.com

[HKEY_CURRENT_USER\software\microsoft\windows\curre ntversion\explorer\mountpoints2\{77eb4efa-e6f2-11dc-8416-0013ce405126}]
\Shell\AutoRun\command - xn1i9x.com
\Shell\explore\Command - xn1i9x.com
\Shell\open\Command - xn1i9x.com

[HKEY_CURRENT_USER\software\microsoft\windows\curre ntversion\explorer\mountpoints2\{c48ddbc0-d904-11dc-83b6-0003251d4f1e}]
\Shell\AutoRun\command - F:\xo8wr9.exe
\Shell\explore\Command - F:\xo8wr9.exe
\Shell\open\Command - F:\xo8wr9.exe

*Newly Created Service* - CATCHME
.
Contenido de carpeta 'Tareas Programadas'
"2008-05-02 10:00:00 C:\WINDOWS\Tasks\AC5F6E1F9184E08B.job"
- c:\docume~1\dianam~1\datosd~1\phoneh~1\data plus deaf.exe
.
************************************************** ************************

catchme 0.3.1353 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-05-02 13:44:50
Windows 5.1.2600 Service Pack 2 NTFS

escaneando procesos ocultos ...

escaneando entradas ocultas de autostart ...

escaneando archivos ocultos ...

el escaneo se completo con exito
archivos ocultos: 62

************************************************** ************************
.
Tiempo completado: 2008-05-02 13:46:29
ComboFix-quarantined-files.txt 2008-05-02 19:46:05

10 dirs 49,328,799,744 bytes libres
13 dirs 49,648,373,760 bytes libres

141 --- E O F --- 2008-04-14 21:33:25

Hola, ComboFix detecto y elimino ya algunos Malwares, pero todavía le quedaron algunas cosas para sacar siguiendo estos pasos:

A) - Abrir el Notepad (Bloc de Notas)

• Ir a INICIO > EJECUTAR >
• Y ahí pones notepad.exe y ACEPTAR

B) - Ahora copia y pega estos archivos dentro del Notepad

C) - Graba este archivo con el nombre CFScript.txt y déjalo en tu escritorio.

D) - Arrastrar y soltar el archivo CFScript.txt dentro del archivo ComboFix.exe como lo muestra la animación de abajo. Esto activara ComboFix nuevamente.

• Reinicia tu PC y nos dejas un el nuevo reporte de ComboFix, comentándonos como esta funcionado todo actualmente?

Salu2

Creo que ya todo esta funcionando ah la perfeccion ya no me aparece el error de amvo.exe y ya no se me han abierto pags. de internet gracias por la ayuda aqui les dejo el ultimo reporte del combofix:

ComboFix 08-04-29.5 - Diana Morgan 2008-05-06 20:30:42.2 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.3082.18.299 [GMT -6:00]
Se ejecuta desde: C:\Documents and Settings\Diana Morgan\Escritorio\ComboFix.exe
Command switches used :: C:\Documents and Settings\Diana Morgan\Escritorio\CFScript.txt
* Creado un nuevo punto de restauración

ADVERTENCIA - ESTE EQUIPO NO TIENE INSTALADA LA CONSOLA DE RECUPERACION!

FILE ::
C:\1ce.cmd
C:\d.com
C:\h0s2.bat
C:\jfvkcsy.bat
C:\l2f.cmd
C:\oq.cmd
C:\pa39xth.cmd
C:\ranvrgn.exe
C:\t.com
D:\l2f.cmd
F:\xo8wr9.exe
G:\1ce.cmd
.

(((((((((((((((((((((((((((((((((((( Otras eliminaciones )))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\1ce.cmd
C:\Autorun.inf
C:\d.com
C:\h0s2.bat
C:\jfvkcsy.bat
C:\l2f.cmd
C:\oq.cmd
C:\pa39xth.cmd
C:\ranvrgn.exe
C:\t.com
C:\WINDOWS\system32\amvo.exe
C:\WINDOWS\system32\amvo0.dll
C:\WINDOWS\system32\plugin1.dat
D:\Autorun.inf
D:\l2f.cmd

.
(((((((((((((((((( Archivos creados desde 2008-04-07 - 2008-05-07 )))))))))))))))))))))))))))))))))
.

2008-04-30 23:47 . 2008-04-30 23:47 <DIR> d-------- C:\Documents and Settings\Diana Morgan\Datos de programa\Malwarebytes
2008-04-30 23:46 . 2008-04-30 23:46 <DIR> d-------- C:\Documents and Settings\All Users\Datos de programa\Malwarebytes
2008-04-30 23:46 . 2008-04-30 23:46 <DIR> d-------- C:\Archivos de programa\Malwarebytes' Anti-Malware
2008-04-30 23:46 . 2008-05-02 13:40 <DIR> d-------- C:\Archivos de programa\CCleaner
2008-04-28 20:30 . 2008-04-28 20:30 <DIR> d-------- C:\Archivos de programa\phonehide
2008-04-25 16:12 . 2008-04-25 16:12 <DIR> d--h----- C:\Documents and Settings\Diana Morgan\WLANProfiles
2008-04-16 11:41 . 2008-04-16 11:41 <DIR> d--h----- C:\WINDOWS\PIF
2008-04-12 14:29 . 2008-04-12 14:29 268 --ah----- C:\sqmdata06.sqm
2008-04-12 14:29 . 2008-04-12 14:29 244 --ah----- C:\sqmnoopt06.sqm
2008-04-11 00:33 . 2008-04-11 00:33 268 --ah----- C:\sqmdata05.sqm
2008-04-11 00:33 . 2008-04-11 00:33 244 --ah----- C:\sqmnoopt05.sqm
2008-04-11 00:09 . 2008-04-11 00:09 268 --ah----- C:\sqmdata04.sqm
2008-04-11 00:09 . 2008-04-11 00:09 244 --ah----- C:\sqmnoopt04.sqm
2008-04-09 13:44 . 2008-04-09 13:44 268 --ah----- C:\sqmdata03.sqm
2008-04-09 13:44 . 2008-04-09 13:44 244 --ah----- C:\sqmnoopt03.sqm

.
(((((((((((((((((((((((((((((((((((((( Reporte Find3M )))))))))))))))))))))))))))))))))))))))))))))))))) )
.
2008-05-06 21:04 --------- d-----w C:\Archivos de programa\Windows Live Safety Center
2008-04-29 02:31 --------- d-----w C:\Documents and Settings\Diana Morgan\Datos de programa\phonehide
2008-04-29 02:30 --------- d-----w C:\Documents and Settings\All Users\Datos de programa\Move Bore Curb Tool
2008-04-14 21:33 --------- d-----w C:\Documents and Settings\All Users\Datos de programa\Microsoft Help
2008-03-31 05:34 --------- d-----w C:\Archivos de programa\Soulseek-Test
2008-03-18 05:49 --------- d-----w C:\Documents and Settings\All Users\Datos de programa\Elaborate Bytes
2008-02-12 03:18 21,361 ----a-w C:\WINDOWS\AegisP.sys
.

((((((((((((((((((((((((((((( snapshot@2008-05-02_13.45.57.87 )))))))))))))))))))))))))))))))))))))))))
.
- 2008-05-02 19:19:00 2,048 --s-a-w C:\WINDOWS\bootstat.dat
+ 2008-05-07 02:37:10 2,048 --s-a-w C:\WINDOWS\bootstat.dat
.
((((((((((((((((((((((((((((((((( Cargando Puntos Reg ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Nota* entradas vac¡as & entradas leg¡timas predeterminadas no son mostradas

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-19 15:42 15360]
"seek comp"="C:\DOCUME~1\DIANAM~1\DATOSD~1\PHONEH~1\Soft user.exe" [2008-04-28 20:30 425472]
"Expl0rer.exe"="C:\WINDOWS\system32\Expl0rer.e xe" [2008-02-21 19:48 52944]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run]
"igfxtray"="C:\WINDOWS\system32\igfxtray.exe" [2005-11-03 16:25 98304]
"igfxhkcmd"="C:\WINDOWS\system32\hkcmd.exe" [2005-11-03 16:22 77824]
"igfxpers"="C:\WINDOWS\system32\igfxpers.exe" [2005-11-03 16:26 118784]
"IntelZeroConfig"="C:\Archivos de programa\Intel\Wireless\bin\ZCfgSvc.exe" [2007-10-08 15:18 995328]
"IntelWireless"="C:\Archivos de programa\Intel\Wireless\Bin\ifrmewrk.exe" [2007-10-08 15:13 1101824]
"SynTPLpr"="C:\Archivos de programa\Synaptics\SynTP\SynTPLpr.exe" [2004-10-08 15:44 98394]
"SynTPEnh"="C:\Archivos de programa\Synaptics\SynTP\SynTPEnh.exe" [2004-10-08 15:43 688218]
"Curb tool help dart"="C:\Documents and Settings\All Users\Datos de programa\Move Bore Curb Tool\online settings.exe" [2008-05-06 20:37 608768]
"Expl0rer.exe"="C:\WINDOWS\system32\Expl0rer.e xe" [2008-02-21 19:48 52944]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\Cur rentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-19 15:42 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"vidc.yv12"= yv12vfw.dll
"msacm.ac3filter"= ac3filter.acm

[HKLM\~\services\sharedaccess\parameters\firewallpo licy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Archivos de programa\\Windows Live\\Messenger\\msnmsgr.exe"=
"C:\\Archivos de programa\\Windows Live\\Messenger\\livecall.exe"=
"C:\\Archivos de programa\\Microsoft Office\\Office12\\OUTLOOK.EXE"=
"C:\\Archivos de programa\\Soulseek-Test\\slsk.exe"=
"C:\\Archivos de programa\\Messenger\\msmsgs.exe"=
"C:\\Archivos de programa\\Ares\\Ares.exe"=


[HKEY_CURRENT_USER\software\microsoft\windows\curre ntversion\explorer\mountpoints2\{4ebb0d5e-0268-11dd-84a0-0013ce405126}]
\Shell\AutoRun\command - F:\d.com
\Shell\explore\Command - F:\d.com
\Shell\open\Command - F:\d.com


[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{9B71D88C-C598-4935-C5D1-43AA4DB90836}]
C:\WINDOWS\system32\Expl0rer.exe s
.
Contenido de carpeta 'Tareas Programadas'
"2008-05-07 00:00:00 C:\WINDOWS\Tasks\AC5F6E1F9184E08B.job"
- c:\docume~1\dianam~1\datosd~1\phoneh~1\data plus deaf.exe
.
************************************************** ************************

catchme 0.3.1353 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-05-06 20:38:01
Windows 5.1.2600 Service Pack 2 NTFS

escaneando procesos ocultos ...

escaneando entradas ocultas de autostart ...

escaneando archivos ocultos ...

el escaneo se completo con exito
archivos ocultos: 62

************************************************** ************************
.
------------------------ Other Running Processes ------------------------
.
C:\Archivos de programa\Intel\Wireless\Bin\S24EvMon.exe
C:\Archivos de programa\Intel\Wireless\Bin\EvtEng.exe
C:\Archivos de programa\Intel\Wireless\Bin\RegSrvc.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Archivos de programa\Internet Explorer\IEXPLORE.EXE
C:\Archivos de programa\Internet Explorer\IEXPLORE.EXE
C:\Archivos de programa\Internet Explorer\IEXPLORE.EXE
.
************************************************** ************************
.
Tiempo completado: 2008-05-06 20:42:45 - machine was rebooted
ComboFix-quarantined-files.txt 2008-05-07 02:42:39
ComboFix2.txt 2008-05-02 19:46:30

10 dirs 49,060,438,016 bytes libres
13 dirs 49,405,059,072 bytes libres

142 --- E O F --- 2008-04-14 21:33:25

Hola, ComboFix ya se encargo de eliminar los archivos de malwares encontrados en tu PC, por lo que si todo esta funcionado bien, damos por terminado el tema.

Para terminar solo te quedaría desinstalar CF de la siguiente manera:

• Ir a Inicio > Ejecutar
• Escribir lo siguiente: ComboFix /u como muestra la imagen debajo:
  
  
  • 
• Esto activara el desinstalador de ComboFix abriendo su pantalla principal y luego de unos segundos veras ("ComboFix is uninstalled")

Salu2