Hola, el Avast me avisa de una infección con Vundo, en distintos archivos de la carpeta system32. Le doy a eliminar siempre pero siguen apareciendo.
Busqué en el foro, hice lo que dijeron en este thread http://www.forospyware.com/t170817.html

Vundo fix no detecta ningun problema (aunque no encuentro donde marcar "abrir vundofix como task"), el malwarebytes detecto 60 archivos y se supone que los limpió (todo esto en modo a prueba de errores).
El antivirus lo he pasado en todos los modos posibles, normal, a prueba de fallos y en el arranque, y siempre sigue encontrando el troyano (por ejemplo, uno de los que salen como infectados es el ultimo archivo al que hace referencia el log de HJT)

Les pego mi log, Gracias

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15:26:19, on 22/05/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16640)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Archivos de programa\Alwil Software\Avast4\aswUpdSv.exe
C:\Archivos de programa\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\agrsmsvc.exe
C:\Archivos de programa\Bonjour\mDNSResponder.exe
C:\WINDOWS\system32\svchost.exe
C:\Archivos de programa\Alwil Software\Avast4\ashMaiSv.exe
C:\Archivos de programa\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\ARCHIV~1\ALWILS~1\Avast4\ashDisp.exe
C:\Archivos de programa\Microsoft Office\Office12\GrooveMonitor.exe
C:\Archivos de programa\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe
C:\Archivos de programa\HP\HP Software Update\HPWuSchd2.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Archivos de programa\Windows Live\Messenger\MsnMsgr.Exe
C:\Archivos de programa\NetSetMan\NetSetMan.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIA EL.EXE
C:\Archivos de programa\Archivos comunes\Ahead\Lib\NMBgMonitor.exe
C:\Archivos de programa\Archivos comunes\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
C:\Archivos de programa\Archivos comunes\Ahead\Lib\NMIndexingService.exe
C:\Archivos de programa\Archivos comunes\Ahead\Lib\NMIndexStoreSvr.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Archivos de programa\Mozilla Firefox 3 Beta 5\firefox.exe
C:\Archivos de programa\Trend Micro\HijackThis\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://windowsupdate.microsoft.com/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
R3 - URLSearchHook: Barra Yahoo! con bloqueador de ventanas emergentes - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Archivos de programa\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Archivos de programa\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Aplicación auxiliar de vínculos de Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Archivos comunes\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {0CF5D165-517E-48B6-B3C7-3054A24F8BF6} - C:\WINDOWS\system32\wvUljHYp.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\ARCHIV~1\MICROS~2\Office12\GRA8E1~1.DLL
O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Archivos de programa\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Archivos de programa\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Barra Yahoo! con bloqueador de ventanas emergentes - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Archivos de programa\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [AlcWzrd] ALCWZRD.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [avast!] C:\ARCHIV~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [GrooveMonitor] "C:\Archivos de programa\Microsoft Office\Office12\GrooveMonitor.exe"
O4 - HKLM\..\Run: [Acrobat Assistant 8.0] "C:\Archivos de programa\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe"
O4 - HKLM\..\Run: [HP Software Update] C:\Archivos de programa\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Archivos de programa\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Archivos de programa\Archivos comunes\Ahead\Lib\NeroCheck.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Archivos de programa\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [NetSetMan] C:\Archivos de programa\NetSetMan\NetSetMan.exe -h
O4 - HKCU\..\Run: [EPSON Stylus CX4100 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIA EL.EXE /FU "C:\WINDOWS\TEMP\E_S70.tmp" /EF "HKCU"
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Archivos de programa\Archivos comunes\Ahead\Lib\NMBgMonitor.exe"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICIO LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Servicio de red')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Acrobat Speed Launcher.lnk = ?
O4 - Global Startup: Adobe Acrobat Synchronizer.lnk = C:\Archivos de programa\Adobe\Acrobat 8.0\Acrobat\AdobeCollabSync.exe
O8 - Extra context menu item: Append to existing PDF - res://C:\Archivos de programa\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convert link target to Adobe PDF - res://C:\Archivos de programa\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convert link target to existing PDF - res://C:\Archivos de programa\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convert selected links to Adobe PDF - res://C:\Archivos de programa\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Convert selected links to existing PDF - res://C:\Archivos de programa\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Convert selection to Adobe PDF - res://C:\Archivos de programa\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convert selection to existing PDF - res://C:\Archivos de programa\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convert to Adobe PDF - res://C:\Archivos de programa\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: Send to OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\ARCHIV~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: S&end to OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\ARCHIV~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Archivos de programa\Yahoo!\Common\yinsthelper.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{15BB6773-60CC-4765-B68E-2B835D1F4E6C}: NameServer = 200.74.121.12,200.83.1.5
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\ARCHIV~1\MICROS~2\Office12\GR99D3~1.DLL
O20 - Winlogon Notify: wvUljHYp - C:\WINDOWS\SYSTEM32\wvUljHYp.dll
O23 - Service: Agere Modem Call Progress Audio (AgereModemAudio) - Agere Systems - C:\WINDOWS\system32\agrsmsvc.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Archivos de programa\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Autodesk Licensing Service - Autodesk - C:\Archivos de programa\Archivos comunes\Autodesk Shared\Service\AdskScSrv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Archivos de programa\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Archivos de programa\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Archivos de programa\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762# # (Bonjour Service) - Apple Computer, Inc. - C:\Archivos de programa\Bonjour\mDNSResponder.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Archivos de programa\Archivos comunes\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: NBService - Nero AG - C:\Archivos de programa\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Archivos de programa\Archivos comunes\Ahead\Lib\NMIndexingService.exe
O23 - Service: rpcnetp - Unknown owner - C:\WINDOWS\System32\rpcnetp.exe

--
End of file - 9822 bytes

Hola Rasecocseir te doy la bienvenida al foro de Infospyware.

Por favor realiza los siguientes pasos para eliminar un troyano que se encuentra en el sistema:


-Apaga el "Restaurar Sistema" (solo en Win Me y XP) y activa ver archivos ocultos.

- Descarga, Instala y/o actualiza estos programas, (pero no las ejecutes aun).

• Malwarebytes' Anti-Malware <---instalalo y actualizalo pero no lo ejecutes todavia.
  NOTA: Si despues de instalarlo el lenguaje esta en Ingles ve a la pestaña "Settings" y lo cambias a Español.
  
• SuperAntiSpyware

-Reinicia en Modo Seguro (a prueba de fallos)

• Ejecuta Hijackthis con todos los programas cerrados y dale a las siguientes entradas:

O2 - BHO: (no name) - {0CF5D165-517E-48B6-B3C7-3054A24F8BF6} - C:\WINDOWS\system32\wvUljHYp.dll

O20 - Winlogon Notify: wvUljHYp - C:\WINDOWS\SYSTEM32\wvUljHYp.dll

-Ejecuta estos programas (de a uno).

• Malwarebytes' Anti-Malware

• Ve a la pestaña "Herramientas" y ejecuta el Fileassassin para eliminar los archivos que te pongo a continuación en rojo:
  

  C:\WINDOWS\system32\wvUljHYp.dll

• A continuación realiza un escaneo completo del PC y elimina las infecciones que este detecte como lo indica su manual.
  El reporte queda guardado en la pestaña "Logs" o "Registros" en español, abres el reporte y copias el contenido para pegarlo en este tema.

• SuperAntiSpyware <--- Realiza un escaneo completo del PC y elimina las infecciones que este encuentre.

- Reinicia en modo normal y usa el CCleaner para limpiar el sistema.
Primero utiliza la opción de "Limpiador" para borrar cookies, temporales de Internet y todos los archivos que este te muestre como obsoletos.
Luego usa su opción de "Registro" para limpiar todo el registro de Windows (haciendo copia de seguridad).

-Pega los reportes generados por Superantispyware y Malwarebytes' Anti-Malware ara revisarlos junto a un nuevo Log de Hijackthis.

NOTA:
-Para mayor comodidad imprime los pasos.
-Al terminar los pasos esconde los archivos ocultos y activa restaurar sistema.
-Recuerda volver y contarnos los resultados.

Hola, gracias por la ayuda.
Hice lo que me indicaste pero en una primera instancia, a pesar que el archivo wvUljHYp.dll decía con fileassasin que se borraría al reiniciar, no se borró nunca. Sí pude sacarlo utilizando killbox y creo que ahora no ha vuelto a aparecer.
Luego Malwarebytes encontró algunas entradas del registro y las borró. Y SUPER antispyware sólo encontró 3 cookies que también eliminó.á

Sin embargo el avast sigue dandome aviso por el rpcnetp.exe (rootkit); ahora lo borré y se supone que no está, pero ya un par de veces ha vuelto a aparecer.

Gracias.
Te adjunto el log de HJT. (se suponía que guardó el de Malwarebytes pero no lo pude volver a encontrar)



Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 9:02:30, on 26/05/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16640)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Archivos de programa\Alwil Software\Avast4\aswUpdSv.exe
C:\Archivos de programa\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\agrsmsvc.exe
C:\Archivos de programa\Bonjour\mDNSResponder.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\svchost.exe
C:\Archivos de programa\Alwil Software\Avast4\ashMaiSv.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Archivos de programa\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\ARCHIV~1\ALWILS~1\Avast4\ashDisp.exe
C:\Archivos de programa\Microsoft Office\Office12\GrooveMonitor.exe
C:\Archivos de programa\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe
C:\Archivos de programa\HP\HP Software Update\HPWuSchd2.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Archivos de programa\Windows Live\Messenger\MsnMsgr.Exe
C:\Archivos de programa\NetSetMan\NetSetMan.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIA EL.EXE
C:\Archivos de programa\Archivos comunes\Ahead\Lib\NMBgMonitor.exe
C:\Archivos de programa\SUPERAntiSpyware\SUPERAntiSpyware.exe
C:\Archivos de programa\Archivos comunes\Ahead\Lib\NMIndexingService.exe
C:\Archivos de programa\Archivos comunes\Ahead\Lib\NMIndexStoreSvr.exe
C:\Archivos de programa\Archivos comunes\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
C:\Archivos de programa\Mozilla Thunderbird\thunderbird.exe
C:\Archivos de programa\Mozilla Firefox 3 Beta 5\firefox.exe
C:\Archivos de programa\Trend Micro\HijackThis\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://windowsupdate.microsoft.com/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
R3 - URLSearchHook: Barra Yahoo! con bloqueador de ventanas emergentes - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Archivos de programa\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Archivos de programa\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Aplicación auxiliar de vínculos de Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Archivos comunes\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\ARCHIV~1\MICROS~2\Office12\GRA8E1~1.DLL
O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Archivos de programa\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Archivos de programa\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Barra Yahoo! con bloqueador de ventanas emergentes - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Archivos de programa\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [AlcWzrd] ALCWZRD.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [avast!] C:\ARCHIV~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [GrooveMonitor] "C:\Archivos de programa\Microsoft Office\Office12\GrooveMonitor.exe"
O4 - HKLM\..\Run: [Acrobat Assistant 8.0] "C:\Archivos de programa\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe"
O4 - HKLM\..\Run: [HP Software Update] C:\Archivos de programa\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Archivos de programa\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Archivos de programa\Archivos comunes\Ahead\Lib\NeroCheck.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Archivos de programa\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [NetSetMan] C:\Archivos de programa\NetSetMan\NetSetMan.exe -h
O4 - HKCU\..\Run: [EPSON Stylus CX4100 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIA EL.EXE /FU "C:\WINDOWS\TEMP\E_S70.tmp" /EF "HKCU"
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Archivos de programa\Archivos comunes\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Archivos de programa\SUPERAntiSpyware\SUPERAntiSpyware.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICIO LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Servicio de red')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Acrobat Speed Launcher.lnk = ?
O4 - Global Startup: Adobe Acrobat Synchronizer.lnk = C:\Archivos de programa\Adobe\Acrobat 8.0\Acrobat\AdobeCollabSync.exe
O8 - Extra context menu item: Append to existing PDF - res://C:\Archivos de programa\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convert link target to Adobe PDF - res://C:\Archivos de programa\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convert link target to existing PDF - res://C:\Archivos de programa\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convert selected links to Adobe PDF - res://C:\Archivos de programa\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Convert selected links to existing PDF - res://C:\Archivos de programa\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Convert selection to Adobe PDF - res://C:\Archivos de programa\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convert selection to existing PDF - res://C:\Archivos de programa\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convert to Adobe PDF - res://C:\Archivos de programa\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: Send to OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\ARCHIV~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: S&end to OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\ARCHIV~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Archivos de programa\Yahoo!\Common\yinsthelper.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{15BB6773-60CC-4765-B68E-2B835D1F4E6C}: NameServer = 200.74.121.12,200.83.1.5
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\ARCHIV~1\MICROS~2\Office12\GR99D3~1.DLL
O20 - Winlogon Notify: !SASWinLogon - C:\Archivos de programa\SUPERAntiSpyware\SASWINLO.dll
O23 - Service: Agere Modem Call Progress Audio (AgereModemAudio) - Agere Systems - C:\WINDOWS\system32\agrsmsvc.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Archivos de programa\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Autodesk Licensing Service - Autodesk - C:\Archivos de programa\Archivos comunes\Autodesk Shared\Service\AdskScSrv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Archivos de programa\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Archivos de programa\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Archivos de programa\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762# # (Bonjour Service) - Apple Computer, Inc. - C:\Archivos de programa\Bonjour\mDNSResponder.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Archivos de programa\Archivos comunes\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: NBService - Nero AG - C:\Archivos de programa\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Archivos de programa\Archivos comunes\Ahead\Lib\NMIndexingService.exe

Hola , por favor realiza los siguientes pasos en modo normal:


- Descarga la herramienta ComboFix.exe y guárdala en el escritorio.

• Desactiva temporalmente el Antivirus y/o Antispyware.
• Cierra todas las ventanas abiertas.
• Hacele doble clic al archivo ComboFix.exe y seguí las instrucciones.
• Cuando termine, generara un registro en C:\ComboFix.txt.
  • *Nota* Mientras CF este trabajando no mover el mouse ya que pararía su proceso.
  • *Nota* ComboFix puede reiniciar automáticamente el PC para completar el proceso de eliminación.

• Reinicia y pega el reporte de C:\ComboFix.txt en este mismo mensaje junto a un reporte de Kaspersky Online Scanner.

Hice ambas cosas y me parece que no dieron resultados de infección. Estuve buscando y creo que el rpcnetp.exe es un proceso de un sistema de rastreo de laptops. Puede ser ya que actualizé la bios un par de días antes de infectarme. No me gusta, pero parece que no se puede sacar ni siquiera formateando .Gracias por la ayuda.


ComboFix 08-05-25.5 - Cla 2008-05-26 20:22:24.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.3082.18.1444 [GMT -4:00]
Se ejecuta desde: C:\Documents and Settings\Cla\Escritorio\ComboFix.exe
* Creado un nuevo punto de restauración

ADVERTENCIA - ESTE EQUIPO NO TIENE INSTALADA LA CONSOLA DE RECUPERACION!
.

(((((((((((((((((( Archivos creados desde 2008-04-27 - 2008-05-27 )))))))))))))))))))))))))))))))))
.

2008-05-26 19:37 . 2008-05-26 19:37 <DIR> d--h----- C:\WINDOWS\PIF
2008-05-26 19:33 . 2008-05-26 19:33 17,408 --a------ C:\WINDOWS\system32\rpcnetp.exe
2008-05-26 00:16 . 2008-05-26 08:22 <DIR> d-------- C:\!KillBox
2008-05-25 23:43 . 2008-05-25 23:43 <DIR> d-------- C:\Documents and Settings\Administrador\Datos de programa\SUPERAntiSpyware.com
2008-05-25 18:40 . 2008-05-25 18:40 <DIR> d-------- C:\Documents and Settings\Administrador\Datos de programa\Malwarebytes
2008-05-25 18:38 . 2008-05-25 23:40 <DIR> d--h----- C:\Documents and Settings\Administrador\Reciente
2008-05-25 18:38 . 2008-05-03 03:32 <DIR> d--h----- C:\Documents and Settings\Administrador\Plantillas
2008-05-25 18:38 . 2008-05-02 21:40 <DIR> d-------- C:\Documents and Settings\Administrador\Mis documentos
2008-05-25 18:38 . 2008-05-02 21:40 <DIR> dr------- C:\Documents and Settings\Administrador\Menú Inicio
2008-05-25 18:38 . 2008-05-02 21:40 <DIR> d--h----- C:\Documents and Settings\Administrador\Impresoras
2008-05-25 18:38 . 2008-05-02 21:40 <DIR> d-------- C:\Documents and Settings\Administrador\Favoritos
2008-05-25 18:38 . 2008-05-02 21:40 <DIR> d-------- C:\Documents and Settings\Administrador\Escritorio
2008-05-25 18:38 . 2008-05-02 21:40 <DIR> d--h----- C:\Documents and Settings\Administrador\Entorno de red
2008-05-25 18:38 . 2008-05-25 23:43 <DIR> dr-h----- C:\Documents and Settings\Administrador\Datos de programa
2008-05-25 18:38 . 2008-05-26 20:24 <DIR> d--h----- C:\Documents and Settings\Administrador\Configuración local
2008-05-25 18:38 . 2008-05-25 18:38 <DIR> d-------- C:\Documents and Settings\Administrador
2008-05-23 00:17 . 2008-05-23 00:17 <DIR> d-------- C:\Documents and Settings\Cla\Datos de programa\SUPERAntiSpyware.com
2008-05-23 00:17 . 2008-05-23 00:17 <DIR> d-------- C:\Documents and Settings\All Users\Datos de programa\SUPERAntiSpyware.com
2008-05-23 00:17 . 2008-05-23 00:17 <DIR> d-------- C:\Archivos de programa\SUPERAntiSpyware
2008-05-23 00:16 . 2008-05-23 00:16 <DIR> d-------- C:\Archivos de programa\Archivos comunes\Wise Installation Wizard
2008-05-21 23:53 . 2008-05-21 23:53 <DIR> d-------- C:\Documents and Settings\Cla\Datos de programa\Malwarebytes
2008-05-21 23:53 . 2008-05-21 23:53 <DIR> d-------- C:\Documents and Settings\All Users\Datos de programa\Malwarebytes
2008-05-21 23:53 . 2008-05-21 23:53 <DIR> d-------- C:\Archivos de programa\Malwarebytes' Anti-Malware
2008-05-21 23:53 . 2008-05-05 20:46 27,048 --a------ C:\WINDOWS\system32\drivers\mbamcatchme.sys
2008-05-21 23:53 . 2008-05-05 20:46 15,864 --a------ C:\WINDOWS\system32\drivers\mbam.sys
2008-05-21 23:47 . 2008-05-26 09:51 <DIR> d-------- C:\Archivos de programa\Yahoo!
2008-05-21 23:47 . 2008-05-21 23:48 <DIR> d-------- C:\Archivos de programa\CCleaner
2008-05-21 23:42 . 2008-05-21 23:42 <DIR> d-------- C:\VundoFix Backups
2008-05-21 23:38 . 2008-05-21 23:38 <DIR> d-------- C:\Archivos de programa\Trend Micro
2008-05-21 19:35 . 2008-05-21 19:35 <DIR> d-------- C:\Temp
2008-05-21 18:17 . 2008-05-21 18:17 <DIR> d-------- C:\Documents and Settings\All Users\Datos de programa\ACD Systems
2008-05-21 18:17 . 2008-05-21 18:17 <DIR> d-------- C:\Archivos de programa\ACD Systems
2008-05-20 21:55 . 2008-05-20 21:55 <DIR> d-------- C:\sa210v190
2008-05-18 14:06 . 2008-05-18 14:06 <DIR> d-------- C:\Archivos de programa\MSXML 4.0
2008-05-16 21:42 . 2008-05-26 17:46 69 --a------ C:\WINDOWS\NeroDigital.ini
2008-05-16 21:33 . 2008-05-20 22:12 <DIR> d-------- C:\Documents and Settings\Cla\Datos de programa\Ahead
2008-05-16 21:33 . 2008-05-16 21:33 <DIR> d-------- C:\Documents and Settings\All Users\Datos de programa\Ahead
2008-05-16 21:31 . 2008-05-16 21:31 <DIR> d-------- C:\Documents and Settings\All Users\Datos de programa\Nero
2008-05-16 21:31 . 2008-05-16 21:31 <DIR> d-------- C:\Archivos de programa\Nero
2008-05-16 21:31 . 2008-05-16 21:32 <DIR> d-------- C:\Archivos de programa\Archivos comunes\Ahead
2008-05-14 16:58 . 2008-05-14 16:58 <DIR> d-------- C:\Archivos de programa\Bonjour
2008-05-14 14:57 . 2008-05-14 14:57 <DIR> d-------- C:\Documents and Settings\Cla\Datos de programa\ACD Systems
2008-05-14 14:56 . 2008-05-21 18:17 <DIR> d-------- C:\Archivos de programa\Archivos comunes\ACD Systems
2008-05-12 20:13 . 2004-08-03 22:58 15,104 --a------ C:\WINDOWS\system32\drivers\usbscan.sys
2008-05-12 20:13 . 2004-08-03 22:58 15,104 --a--c--- C:\WINDOWS\system32\dllcache\usbscan.sys
2008-05-11 22:28 . 2008-05-11 22:28 <DIR> d-------- C:\Documents and Settings\All Users\Datos de programa\EPSON
2008-05-11 22:28 . 2006-12-08 02:04 76,800 --a------ C:\WINDOWS\system32\E_FLBAEL.DLL
2008-05-11 22:28 . 2006-04-19 02:00 62,976 --a------ C:\WINDOWS\system32\E_FD4BAEL.DLL
2008-05-11 22:22 . 2006-10-13 00:00 61,952 --a------ C:\WINDOWS\system32\escwiad.dll
2008-05-11 22:20 . 2008-05-11 22:22 <DIR> d-------- C:\Archivos de programa\EPSON
2008-05-11 00:29 . 2008-05-11 00:29 <DIR> d-------- C:\Archivos de programa\NetSetMan
2008-05-11 00:07 . 2008-05-24 11:21 <DIR> d-------- C:\Documents and Settings\Cla\Datos de programa\uTorrent
2008-05-11 00:07 . 2008-05-11 00:07 <DIR> d-------- C:\Archivos de programa\uTorrent
2008-05-07 19:54 . 2008-05-07 19:54 <DIR> d-------- C:\Documents and Settings\Cla\Datos de programa\Thunderbird
2008-05-07 19:54 . 2008-05-07 19:54 <DIR> d-------- C:\Documents and Settings\Cla\Datos de programa\Talkback
2008-05-07 19:54 . 2008-05-26 20:09 <DIR> d-------- C:\Archivos de programa\Mozilla Thunderbird
2008-05-05 17:06 . 2008-05-05 17:06 <DIR> d-------- C:\Archivos de programa\Hewlett-Packard
2008-05-05 17:04 . 2008-05-05 17:04 727 --a------ C:\WINDOWS\hpntwksetup.ini
2008-05-05 17:04 . 2008-05-05 17:04 147 --a------ C:\WINDOWS\system32\AddPort.ini
2008-05-05 17:02 . 2008-05-05 17:06 <DIR> d-------- C:\Archivos de programa\HP
2008-05-05 17:02 . 2004-08-03 23:01 25,856 --a------ C:\WINDOWS\system32\drivers\usbprint.sys
2008-05-05 17:02 . 2004-08-03 23:01 25,856 --a--c--- C:\WINDOWS\system32\dllcache\usbprint.sys
2008-05-05 17:01 . 2008-05-05 17:06 94,482 --a------ C:\WINDOWS\hppins05.dat
2008-05-05 17:01 . 2006-04-24 17:56 1,604 --------- C:\WINDOWS\hppmdl05.dat
2008-05-05 17:00 . 2007-04-05 12:16 626,688 --a------ C:\WINDOWS\system32\msvcr80.dll
2008-05-05 16:58 . 2008-05-05 16:58 <DIR> d-------- C:\Archivos de programa\Archivos comunes\SWF Studio
2008-05-05 16:23 . 2008-05-05 16:23 157 --a------ C:\WINDOWS\hpbvspst.his
2008-05-05 16:23 . 2008-05-05 16:23 157 --a------ C:\WINDOWS\hpbvspst.hi1
2008-05-05 16:23 . 2008-05-05 16:23 120 --a------ C:\WINDOWS\hpbvspst.ini
2008-05-05 16:23 . 2008-05-05 16:23 120 --a------ C:\WINDOWS\hpbvspst.bu1
2008-05-04 16:00 . 2008-05-04 16:00 <DIR> d-------- C:\Archivos de programa\Windows Media Connect 2
2008-05-04 15:59 . 2008-05-04 15:59 <DIR> d-------- C:\WINDOWS\system32\LogFiles
2008-05-04 15:59 . 2008-05-04 16:00 <DIR> d-------- C:\WINDOWS\system32\drivers\UMDF
2008-05-04 01:13 . 2008-05-04 01:13 <DIR> d-------- C:\Archivos de programa\MSXML 6.0
2008-05-03 23:39 . 2008-05-03 23:39 <DIR> d-------- C:\Documents and Settings\All Users\Datos de programa\GRETECH
2008-05-03 23:38 . 2008-05-03 23:38 <DIR> d-------- C:\Documents and Settings\Cla\Datos de programa\GRETECH
2008-05-03 23:37 . 2008-05-03 23:37 <DIR> d--h----- C:\WINDOWS\system32\GroupPolicy
2008-05-03 23:37 . 2008-05-03 23:37 <DIR> d-------- C:\Archivos de programa\GRETECH
2008-05-03 23:36 . 2004-08-03 23:08 26,496 --a--c--- C:\WINDOWS\system32\dllcache\usbstor.sys
2008-05-03 20:00 . 2007-07-30 19:19 271,224 --a------ C:\WINDOWS\system32\mucltui.dll
2008-05-03 20:00 . 2007-07-30 19:19 207,736 --a------ C:\WINDOWS\system32\muweb.dll
2008-05-03 20:00 . 2007-07-30 19:18 30,072 --a------ C:\WINDOWS\system32\mucltui.dll.mui
2008-05-03 19:47 . 2008-05-03 19:47 <DIR> d-------- C:\Archivos de programa\Archivos comunes\Macrovision Shared
2008-05-03 17:47 . 2008-05-03 18:30 <DIR> d-------- C:\Documents and Settings\All Users\Datos de programa\FLEXnet
2008-05-03 17:44 . 2008-05-14 16:58 <DIR> d-------- C:\Archivos de programa\Archivos comunes\Adobe
2008-05-03 17:23 . 2006-10-26 19:56 32,592 --a------ C:\WINDOWS\system32\msonpmon.dll
2008-05-03 17:22 . 2008-05-03 17:22 <DIR> d-------- C:\Archivos de programa\MSBuild
2008-05-03 17:22 . 2008-05-03 17:22 <DIR> d-------- C:\Archivos de programa\Microsoft Works
2008-05-03 17:20 . 2008-05-03 17:20 <DIR> d-------- C:\Archivos de programa\Microsoft.NET
2008-05-03 17:18 . 2008-05-03 17:18 <DIR> d-------- C:\Archivos de programa\Microsoft Visual Studio 8
2008-05-03 17:17 . 2008-05-03 17:21 <DIR> d-------- C:\WINDOWS\SHELLNEW
2008-05-03 17:16 . 2008-05-03 17:16 <DIR> dr-h----- C:\MSOCache
2008-05-03 17:16 . 2008-05-22 11:45 <DIR> d-------- C:\Documents and Settings\All Users\Datos de programa\Microsoft Help
2008-05-03 17:11 . 2001-08-22 21:34 12,416 --a------ C:\WINDOWS\system32\drivers\mouhid.sys
2008-05-03 17:11 . 2001-08-22 21:34 12,416 --a--c--- C:\WINDOWS\system32\dllcache\mouhid.sys
2008-05-03 17:11 . 2001-08-17 22:02 9,600 --a------ C:\WINDOWS\system32\drivers\hidusb.sys
2008-05-03 17:11 . 2001-08-17 22:02 9,600 --a--c--- C:\WINDOWS\system32\dllcache\hidusb.sys
2008-05-03 14:27 . 2008-05-08 18:24 <DIR> d-------- C:\Documents and Settings\Cla\Contacts
2008-05-03 13:57 . 2008-05-07 22:17 <DIR> d-------- C:\Archivos de programa\Google
2008-05-03 13:31 . 2008-05-03 13:31 <DIR> d----c--- C:\WINDOWS\system32\DRVSTORE
2008-05-03 13:11 . 2008-05-03 13:11 <DIR> d-------- C:\Documents and Settings\All Users\Datos de programa\WLInstaller
2008-05-03 13:11 . 2008-05-03 13:30 <DIR> d-------- C:\Archivos de programa\Windows Live
2008-05-03 13:11 . 2008-05-03 13:30 <DIR> d--hsc--- C:\Archivos de programa\Archivos comunes\WindowsLiveInstaller
2008-05-03 13:06 . 2006-09-25 17:58 23,856 --a------ C:\WINDOWS\system32\spupdsvc.exe
2008-05-03 12:59 . 2008-05-20 09:05 <DIR> d-------- C:\Documents and Settings\Cla\Datos de programa\Autodesk
2008-05-03 12:59 . 2008-05-20 09:05 <DIR> d-------- C:\Documents and Settings\All Users\Datos de programa\Autodesk
2008-05-03 12:59 . 2008-05-03 13:02 <DIR> d-------- C:\Archivos de programa\AutoCAD 2008
2008-05-03 12:59 . 2008-05-03 12:59 <DIR> d-------- C:\Archivos de programa\Archivos comunes\InstallShield
2008-05-03 12:58 . 2008-05-03 12:58 <DIR> d-------- C:\Archivos de programa\Autodesk
2008-05-03 12:58 . 2008-05-03 13:02 <DIR> d-------- C:\Archivos de programa\Archivos comunes\Autodesk Shared
2008-05-03 12:39 . 2008-05-10 16:32 <DIR> d--hs---- C:\Documents and Settings\Cla\UserData
2008-05-03 12:33 . 2008-05-13 23:32 <DIR> d--h----- C:\WINDOWS\$hf_mig$
2008-05-03 12:20 . 2008-05-03 12:20 <DIR> d-------- C:\Archivos de programa\Alwil Software
2008-05-03 12:20 . 2003-03-18 16:20 1,060,864 --a------ C:\WINDOWS\system32\MFC71.dll
2008-05-03 12:20 . 2003-03-18 15:14 499,712 --a------ C:\WINDOWS\system32\MSVCP71.dll
2008-05-03 12:20 . 2003-02-21 00:42 348,160 --a------ C:\WINDOWS\system32\MSVCR71.dll
2008-05-03 12:17 . 2008-05-03 12:17 13,668 --a------ C:\WINDOWS\system32\wpa.bak
2008-05-03 12:07 . 2008-05-03 12:07 <DIR> d-------- C:\Program Files
2008-05-03 12:07 . 2008-05-03 12:07 <DIR> d-------- C:\Documents and Settings\Cla\Datos de programa\WinBatch
2008-05-03 11:37 . 2008-05-26 20:21 <DIR> d-------- C:\Archivos de programa\Mozilla Firefox 3 Beta 5
2008-05-03 11:37 . 2008-05-03 11:37 0 --a------ C:\WINDOWS\nsreg.dat
2008-05-03 11:35 . 2008-05-03 11:35 <DIR> d-------- C:\WINDOWS\system32\Lang
2008-05-03 11:35 . 2008-05-03 11:35 940,794 --a------ C:\WINDOWS\system32\LoopyMusic.wav
2008-05-03 11:35 . 2008-05-03 11:35 146,650 --a------ C:\WINDOWS\system32\BuzzingBee.wav
2008-05-03 11:22 . 2008-05-03 11:22 <DIR> d-------- C:\Archivos de programa\Apoint2K

.
(((((((((((((((((((((((((((((((((((((( Reporte Find3M )))))))))))))))))))))))))))))))))))))))))))))))))) )
.
2008-05-03 07:36 --------- d-----w C:\Archivos de programa\microsoft frontpage
2008-05-03 07:35 --------- d-----w C:\Archivos de programa\Servicios en línea
2008-03-25 04:51 621,344 ----a-w C:\WINDOWS\system32\mswstr10.dll
2008-03-25 04:51 187,168 ----a-w C:\WINDOWS\system32\msjint40.dll
2008-03-20 08:09 1,845,376 ----a-w C:\WINDOWS\system32\win32k.sys
2008-03-01 12:58 826,368 ----a-w C:\WINDOWS\system32\wininet.dll
.

((((((((((((((((((((((((((((((((( Cargando Puntos Reg ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Nota* entradas vacías & entradas legítimas predeterminadas no son mostradas

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-20 08:00 15360]
"MsnMsgr"="C:\Archivos de programa\Windows Live\Messenger\MsnMsgr.exe" [2007-10-18 11:34 5724184]
"NetSetMan"="C:\Archivos de programa\NetSetMan\NetSetMan.exe" [2008-03-30 21:18 1782464]
"EPSON Stylus CX4100 Series"="C:\WINDOWS\System32\spool\DRIVERS\W32X86\ 3\E_FATIAEL.exe" [2007-01-19 05:00 177664]
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="C:\Archivos de programa\Archivos comunes\Ahead\Lib\NMBgMonitor.exe" [2007-05-16 09:27 153136]
"SUPERAntiSpyware"="C:\Archivos de programa\SUPERAntiSpyware\SUPERAntiSpyware.exe" [2008-05-13 12:43 1510640]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run]
"RTHDCPL"="RTHDCPL.EXE" [2006-04-17 15:34 16143872 C:\WINDOWS\RTHDCPL.EXE]
"SoundMan"="SOUNDMAN.EXE" [2006-11-17 05:42 577536 C:\WINDOWS\SOUNDMAN.EXE]
"AlcWzrd"="ALCWZRD.EXE" [2006-03-14 15:45 2809344 C:\WINDOWS\ALCWZRD.EXE]
"avast!"="C:\ARCHIV~1\ALWILS~1\Avast4\ashDisp. exe" [2008-05-15 19:19 79224]
"GrooveMonitor"="C:\Archivos de programa\Microsoft Office\Office12\GrooveMonitor.exe" [2006-10-27 00:47 31016]
"Acrobat Assistant 8.0"="C:\Archivos de programa\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe" [2006-10-22 23:24 620152]
"HP Software Update"="C:\Archivos de programa\HP\HP Software Update\HPWuSchd2.exe" [2005-02-16 23:11 49152]
"Adobe Reader Speed Launcher"="C:\Archivos de programa\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 22:16 39792]
"NeroFilterCheck"="C:\Archivos de programa\Archivos comunes\Ahead\Lib\NeroCheck.exe" [2007-03-01 15:57 153136]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\Cur rentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-20 08:00 15360]

C:\Documents and Settings\All Users\Men£ Inicio\Programas\Inicio\
Adobe Acrobat Speed Launcher.lnk - C:\WINDOWS\Installer\{AC76BA86-1033-F400-7760-000000000003}\_SC_Acrobat.exe [2008-05-03 19:47:39 295606]
Adobe Acrobat Synchronizer.lnk - C:\Archivos de programa\Adobe\Acrobat 8.0\Acrobat\AdobeCollabSync.exe [2006-10-23 00:01:50 734872]

[hkey_local_machine\software\microsoft\windows\curr entversion\explorer\shellexecutehooks]
"{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA}"= C:\Archivos de programa\SUPERAntiSpyware\SASSEH.DLL [2008-05-13 10:13 77824]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\!SASWinLogon]
C:\Archivos de programa\SUPERAntiSpyware\SASWINLO.dll 2007-04-19 13:41 294912 C:\Archivos de programa\SUPERAntiSpyware\SASWINLO.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"msacm.divxa32"= msaud32_divx.acm
"VIDC.ACDV"= ACDV.dll

[HKLM\~\services\sharedaccess\parameters\firewallpo licy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Archivos de programa\\Windows Live\\Messenger\\msnmsgr.exe"=
"C:\\Archivos de programa\\Windows Live\\Messenger\\livecall.exe"=
"C:\\Archivos de programa\\Microsoft Office\\Office12\\OUTLOOK.EXE"=
"C:\\Archivos de programa\\Microsoft Office\\Office12\\GROOVE.EXE"=
"C:\\Archivos de programa\\Microsoft Office\\Office12\\ONENOTE.EXE"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"C:\\Archivos de programa\\uTorrent\\uTorrent.exe"=
"C:\\Archivos de programa\\Bonjour\\mDNSResponder.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpo licy\standardprofile\GloballyOpenPorts\List]
"49494:TCP"= 49494:TCP:utorrent

R1 aswSP;avast! Self Protection;C:\WINDOWS\system32\drivers\aswSP.sys [2008-05-15 19:20]
R2 aswFsBlk;aswFsBlk;C:\WINDOWS\system32\DRIVERS\aswF sBlk.sys [2008-05-15 19:16]
S2 rpcnetp;rpcnetp;C:\WINDOWS\System32\rpcnetp.exe [2008-05-26 19:33]
S3 MBAMCatchMe;MBAMCatchMe;C:\WINDOWS\system32\driver s\mbamcatchme.sys [2008-05-05 20:46]
S3 UVCFTR;UVCFTR;C:\WINDOWS\system32\DRIVERS\UVCFTR_S .SYS [2007-04-16 10:19]

*Newly Created Service* - CATCHME
.
************************************************** ************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-05-26 20:24:11
Windows 5.1.2600 Service Pack 2 NTFS

escaneando procesos ocultos ...

escaneando entradas ocultas de autostart ...

escaneando archivos ocultos ...

el escaneo se completo con exito
archivos ocultos: 0

************************************************** ************************
.
Tiempo completado: 2008-05-26 20:25:27
ComboFix-quarantined-files.txt 2008-05-27 00:25:08

10 dirs 41,796,632,576 bytes libres
14 dirs 41,798,086,656 bytes libres

211 --- E O F --- 2008-05-18 18:06:49




-------------------------------------------------------------------------------
KASPERSKY ONLINE SCANNER INFORME
martes, 27 de mayo de 2008 7:30:36
Sistema operativo: Microsoft Windows XP Professional, Service Pack 2 (Build 2600)
Kaspersky Online Scanner versión: 5.0.84.1
Ultima actualización: 27/05/2008
Registros en la base antivirus: 714181
-------------------------------------------------------------------------------

Configuración del análisis:
Analizar usando las siguientes bases: standard
Analizar archivos: verdadero
Analizar bases de correo: verdadero

Objetivo a analizar - Mi PC:
C:\
D:\
E:\
F:\

Estadísticas:
Número de objeros analizados: 67248
Virus encontrados: 0
Objetos infectados: 0 / 0
Objetos sospechosos: 0
Duración del análisis: 01:01:07

Bombre del objeto infectado / Nombre del virus / Última acción
C:\Archivos de programa\Alwil Software\Avast4\DATA\aswResp.dat Object is locked saltado
C:\Archivos de programa\Alwil Software\Avast4\DATA\Avast4.db Object is locked saltado
C:\Archivos de programa\Alwil Software\Avast4\DATA\log\AshWebSv.ws Object is locked saltado
C:\Archivos de programa\Alwil Software\Avast4\DATA\log\aswMaiSv.log Object is locked saltado
C:\Archivos de programa\Alwil Software\Avast4\DATA\log\nshield.log Object is locked saltado
C:\Archivos de programa\Alwil Software\Avast4\DATA\log\selfdef.log Object is locked saltado
C:\Archivos de programa\Alwil Software\Avast4\DATA\report\Protección residente.txt Object is locked saltado
C:\Documents and Settings\All Users\Datos de programa\Microsoft\Network\Downloader\qmgr0.dat Object is locked saltado
C:\Documents and Settings\All Users\Datos de programa\Microsoft\Network\Downloader\qmgr1.dat Object is locked saltado
C:\Documents and Settings\Cla\Configuración local\Archivos temporales de Internet\AntiPhishing\B3BB5BBA-E7D5-40AB-A041-A5B1C0B26C8F.dat Object is locked saltado
C:\Documents and Settings\Cla\Configuración local\Archivos temporales de Internet\Content.IE5\index.dat Object is locked saltado
C:\Documents and Settings\Cla\Configuración local\Datos de programa\Ahead\Nero Home\bl.db Object is locked saltado
C:\Documents and Settings\Cla\Configuración local\Datos de programa\Ahead\Nero Home\is2.db Object is locked saltado
C:\Documents and Settings\Cla\Configuración local\Datos de programa\Identities\{06301AEF-362E-4CB4-A6EC-EBC4A896D098}\Microsoft\Outlook Express\Folders.dbx Object is locked saltado
C:\Documents and Settings\Cla\Configuración local\Datos de programa\Identities\{06301AEF-362E-4CB4-A6EC-EBC4A896D098}\Microsoft\Outlook Express\Offline.dbx Object is locked saltado
C:\Documents and Settings\Cla\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat Object is locked saltado
C:\Documents and Settings\Cla\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat.LOG Object is locked saltado
C:\Documents and Settings\Cla\Configuración local\Historial\History.IE5\index.dat Object is locked saltado
C:\Documents and Settings\Cla\Configuración local\Temp\IMG4A.tmp Object is locked saltado
C:\Documents and Settings\Cla\Configuración local\Temp\~DFD899.tmp Object is locked saltado
C:\Documents and Settings\Cla\Cookies\index.dat Object is locked saltado
C:\Documents and Settings\Cla\Datos de programa\SUPERAntiSpyware.com\SUPERAntiSpyware\App Logs\SUPERANTISPYWARE-5-26-2008( 20-32-47 ).LOG Object is locked saltado
C:\Documents and Settings\Cla\NTUSER.DAT Object is locked saltado
C:\Documents and Settings\Cla\ntuser.dat.LOG Object is locked saltado
C:\Documents and Settings\LocalService\Configuración local\Archivos temporales de Internet\Content.IE5\index.dat Object is locked saltado
C:\Documents and Settings\LocalService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat Object is locked saltado
C:\Documents and Settings\LocalService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat.LOG Object is locked saltado
C:\Documents and Settings\LocalService\Configuración local\Historial\History.IE5\index.dat Object is locked saltado
C:\Documents and Settings\LocalService\Cookies\index.dat Object is locked saltado
C:\Documents and Settings\LocalService\NTUSER.DAT Object is locked saltado
C:\Documents and Settings\LocalService\ntuser.dat.LOG Object is locked saltado
C:\Documents and Settings\NetworkService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat Object is locked saltado
C:\Documents and Settings\NetworkService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat.LOG Object is locked saltado
C:\Documents and Settings\NetworkService\NTUSER.DAT Object is locked saltado
C:\Documents and Settings\NetworkService\ntuser.dat.LOG Object is locked saltado
C:\System Volume Information\MountPointManagerRemoteDatabase Object is locked saltado
C:\System Volume Information\_restore{83720976-8982-4576-9604-388BCFBFAA3F}\RP2\change.log Object is locked saltado
C:\WINDOWS\Debug\PASSWD.LOG Object is locked saltado
C:\WINDOWS\SchedLgU.Txt Object is locked saltado
C:\WINDOWS\SoftwareDistribution\EventCache\{C7F9C8 AD-4AD6-4287-9179-3F9CC3AED344}.bin Object is locked saltado
C:\WINDOWS\SoftwareDistribution\ReportingEvents.lo g Object is locked saltado
C:\WINDOWS\Sti_Trace.log Object is locked saltado
C:\WINDOWS\system32\CatRoot2\edb.log Object is locked saltado
C:\WINDOWS\system32\CatRoot2\tmp.edb Object is locked saltado
C:\WINDOWS\system32\config\Antivirus.Evt Object is locked saltado
C:\WINDOWS\system32\config\AppEvent.Evt Object is locked saltado
C:\WINDOWS\system32\config\default Object is locked saltado
C:\WINDOWS\system32\config\default.LOG Object is locked saltado
C:\WINDOWS\system32\config\Internet.evt Object is locked saltado
C:\WINDOWS\system32\config\ODiag.evt Object is locked saltado
C:\WINDOWS\system32\config\OSession.evt Object is locked saltado
C:\WINDOWS\system32\config\SAM Object is locked saltado
C:\WINDOWS\system32\config\SAM.LOG Object is locked saltado
C:\WINDOWS\system32\config\SecEvent.Evt Object is locked saltado
C:\WINDOWS\system32\config\SECURITY Object is locked saltado
C:\WINDOWS\system32\config\SECURITY.LOG Object is locked saltado
C:\WINDOWS\system32\config\software Object is locked saltado
C:\WINDOWS\system32\config\software.LOG Object is locked saltado
C:\WINDOWS\system32\config\SysEvent.Evt Object is locked saltado
C:\WINDOWS\system32\config\system Object is locked saltado
C:\WINDOWS\system32\config\system.LOG Object is locked saltado
C:\WINDOWS\system32\h323log.txt Object is locked saltado
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR Object is locked saltado
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP Object is locked saltado
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER Object is locked saltado
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MA P Object is locked saltado
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MA P Object is locked saltado
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DAT A Object is locked saltado
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP Object is locked saltado
C:\WINDOWS\Temp\Perflib_Perfdata_640.dat Object is locked saltado
C:\WINDOWS\Temp\_avast4_\Webshlock.txt Object is locked saltado
C:\WINDOWS\wiadebug.log Object is locked saltado
C:\WINDOWS\wiaservc.log Object is locked saltado
C:\WINDOWS\WindowsUpdate.log Object is locked saltado
D:\System Volume Information\MountPointManagerRemoteDatabase Object is locked saltado
D:\System Volume Information\_restore{83720976-8982-4576-9604-388BCFBFAA3F}\RP2\change.log Object is locked saltado
E:\System Volume Information\MountPointManagerRemoteDatabase Object is locked saltado
E:\System Volume Information\_restore{83720976-8982-4576-9604-388BCFBFAA3F}\RP2\change.log Object is locked saltado

Análisis completado.

Hola, ten un poco de paciencia y realiza el siguiente procedimiento en modo normal:

1.-Abrir el Notepad (Bloc de Notas)

• Ir a INICIO > EJECUTAR >
• Y ahí pones notepad.exe y ACEPTAR

2.-Ahora copia y pega estos archivos dentro del Notepad

3.- Graba este archivo con el nombre CFScript.txt y déjalo en tu escritorio.

4.- Antes de usar el CFScript....

• Desactiva temporalmente el Antivirus y/o Antispyware..
• Cierra todas las ventanas abiertas..

• A continuación arrastrar y soltar el archivo CFScript.txt dentro del archivo ComboFix.exe como lo muestra la animación de abajo. Esto activara ComboFix nuevamente.

• Reinicia tu PC y nos dejas un nuevo reporte de ComboFix, comentándonos como esta funcionado todo actualmente?

Hola, hice lo que me dijiste, creo que se borraron los archivos, sin embargo en el combofix no salió C:\Windows\prefetch\RPCNETP.EXE-39ADD2B8.pf junto con los otros.

Sin embargo vuelve a aparecer el rpcnetp.exe luego de cada reinicio.
Y ahora no está el icono del avast en la barra de tareas... pero está funcionando...

Gracias, te dejo el log del combofix

ComboFix 08-05-27.3 - Cla 2008-05-27 17:03:47.2 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.3082.18.1506 [GMT -4:00]
Se ejecuta desde: C:\Documents and Settings\Cla\Escritorio\ComboFix.exe
Command switches used :: C:\Documents and Settings\Cla\Escritorio\CFScript.txt
* Creado un nuevo punto de restauración

ADVERTENCIA - ESTE EQUIPO NO TIENE INSTALADA LA CONSOLA DE RECUPERACION!

FILE ::
C:\Windows\prefetch\RPCNETP.EXE-39ADD2B8.pf
C:\WINDOWS\system32\rpcnet.dll
C:\WINDOWS\system32\rpcnet.exe
C:\WINDOWS\system32\rpcnetp.dll
C:\WINDOWS\system32\rpcnetp.exe
.

(((((((((((((((((((((((((((((((((((( Otras eliminaciones )))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\system32\rpcnet.dll
C:\WINDOWS\system32\rpcnet.exe
C:\WINDOWS\system32\rpcnetp.dll
C:\WINDOWS\system32\rpcnetp.exe

.
((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_rpcnet
-------\Service_rpcnet


(((((((((((((((((( Archivos creados desde 2008-04-27 - 2008-05-27 )))))))))))))))))))))))))))))))))
.

2008-05-26 20:39 . 2008-05-26 20:39 <DIR> d-------- C:\WINDOWS\system32\Kaspersky Lab
2008-05-26 19:37 . 2008-05-26 19:37 <DIR> d--h----- C:\WINDOWS\PIF
2008-05-26 00:16 . 2008-05-26 08:22 <DIR> d-------- C:\!KillBox
2008-05-25 23:43 . 2008-05-25 23:43 <DIR> d-------- C:\Documents and Settings\Administrador\Datos de programa\SUPERAntiSpyware.com
2008-05-25 18:40 . 2008-05-25 18:40 <DIR> d-------- C:\Documents and Settings\Administrador\Datos de programa\Malwarebytes
2008-05-25 18:38 . 2008-05-25 23:40 <DIR> d--h----- C:\Documents and Settings\Administrador\Reciente
2008-05-25 18:38 . 2008-05-03 03:32 <DIR> d--h----- C:\Documents and Settings\Administrador\Plantillas
2008-05-25 18:38 . 2008-05-02 21:40 <DIR> d-------- C:\Documents and Settings\Administrador\Mis documentos
2008-05-25 18:38 . 2008-05-02 21:40 <DIR> dr------- C:\Documents and Settings\Administrador\Men£ Inicio
2008-05-25 18:38 . 2008-05-02 21:40 <DIR> d--h----- C:\Documents and Settings\Administrador\Impresoras
2008-05-25 18:38 . 2008-05-02 21:40 <DIR> d-------- C:\Documents and Settings\Administrador\Favoritos
2008-05-25 18:38 . 2008-05-02 21:40 <DIR> d-------- C:\Documents and Settings\Administrador\Escritorio
2008-05-25 18:38 . 2008-05-02 21:40 <DIR> d--h----- C:\Documents and Settings\Administrador\Entorno de red
2008-05-25 18:38 . 2008-05-25 23:43 <DIR> dr-h----- C:\Documents and Settings\Administrador\Datos de programa
2008-05-25 18:38 . 2008-05-27 17:05 <DIR> d--h----- C:\Documents and Settings\Administrador\Configuraci¢n local
2008-05-25 18:38 . 2008-05-25 18:38 <DIR> d-------- C:\Documents and Settings\Administrador
2008-05-23 00:17 . 2008-05-23 00:17 <DIR> d-------- C:\Documents and Settings\Cla\Datos de programa\SUPERAntiSpyware.com
2008-05-23 00:17 . 2008-05-23 00:17 <DIR> d-------- C:\Documents and Settings\All Users\Datos de programa\SUPERAntiSpyware.com
2008-05-23 00:17 . 2008-05-23 00:17 <DIR> d-------- C:\Archivos de programa\SUPERAntiSpyware
2008-05-23 00:16 . 2008-05-23 00:16 <DIR> d-------- C:\Archivos de programa\Archivos comunes\Wise Installation Wizard
2008-05-21 23:53 . 2008-05-21 23:53 <DIR> d-------- C:\Documents and Settings\Cla\Datos de programa\Malwarebytes
2008-05-21 23:53 . 2008-05-21 23:53 <DIR> d-------- C:\Documents and Settings\All Users\Datos de programa\Malwarebytes
2008-05-21 23:53 . 2008-05-21 23:53 <DIR> d-------- C:\Archivos de programa\Malwarebytes' Anti-Malware
2008-05-21 23:53 . 2008-05-05 20:46 27,048 --a------ C:\WINDOWS\system32\drivers\mbamcatchme.sys
2008-05-21 23:53 . 2008-05-05 20:46 15,864 --a------ C:\WINDOWS\system32\drivers\mbam.sys
2008-05-21 23:47 . 2008-05-26 09:51 <DIR> d-------- C:\Archivos de programa\Yahoo!
2008-05-21 23:47 . 2008-05-21 23:48 <DIR> d-------- C:\Archivos de programa\CCleaner
2008-05-21 23:42 . 2008-05-21 23:42 <DIR> d-------- C:\VundoFix Backups
2008-05-21 23:38 . 2008-05-21 23:38 <DIR> d-------- C:\Archivos de programa\Trend Micro
2008-05-21 19:35 . 2008-05-21 19:35 <DIR> d-------- C:\Temp
2008-05-21 18:17 . 2008-05-21 18:17 <DIR> d-------- C:\Documents and Settings\All Users\Datos de programa\ACD Systems
2008-05-21 18:17 . 2008-05-21 18:17 <DIR> d-------- C:\Archivos de programa\ACD Systems
2008-05-20 21:55 . 2008-05-20 21:55 <DIR> d-------- C:\sa210v190
2008-05-18 14:06 . 2008-05-18 14:06 <DIR> d-------- C:\Archivos de programa\MSXML 4.0
2008-05-16 21:42 . 2008-05-27 13:01 69 --a------ C:\WINDOWS\NeroDigital.ini
2008-05-16 21:33 . 2008-05-20 22:12 <DIR> d-------- C:\Documents and Settings\Cla\Datos de programa\Ahead
2008-05-16 21:33 . 2008-05-16 21:33 <DIR> d-------- C:\Documents and Settings\All Users\Datos de programa\Ahead
2008-05-16 21:31 . 2008-05-16 21:31 <DIR> d-------- C:\Documents and Settings\All Users\Datos de programa\Nero
2008-05-16 21:31 . 2008-05-16 21:31 <DIR> d-------- C:\Archivos de programa\Nero
2008-05-16 21:31 . 2008-05-16 21:32 <DIR> d-------- C:\Archivos de programa\Archivos comunes\Ahead
2008-05-14 16:58 . 2008-05-14 16:58 <DIR> d-------- C:\Archivos de programa\Bonjour
2008-05-14 14:57 . 2008-05-14 14:57 <DIR> d-------- C:\Documents and Settings\Cla\Datos de programa\ACD Systems
2008-05-14 14:56 . 2008-05-21 18:17 <DIR> d-------- C:\Archivos de programa\Archivos comunes\ACD Systems
2008-05-12 20:13 . 2004-08-03 22:58 15,104 --a------ C:\WINDOWS\system32\drivers\usbscan.sys
2008-05-12 20:13 . 2004-08-03 22:58 15,104 --a--c--- C:\WINDOWS\system32\dllcache\usbscan.sys
2008-05-11 22:28 . 2008-05-11 22:28 <DIR> d-------- C:\Documents and Settings\All Users\Datos de programa\EPSON
2008-05-11 22:28 . 2006-12-08 02:04 76,800 --a------ C:\WINDOWS\system32\E_FLBAEL.DLL
2008-05-11 22:28 . 2006-04-19 02:00 62,976 --a------ C:\WINDOWS\system32\E_FD4BAEL.DLL
2008-05-11 22:22 . 2006-10-13 00:00 61,952 --a------ C:\WINDOWS\system32\escwiad.dll
2008-05-11 22:20 . 2008-05-11 22:22 <DIR> d-------- C:\Archivos de programa\EPSON
2008-05-11 00:07 . 2008-05-24 11:21 <DIR> d-------- C:\Documents and Settings\Cla\Datos de programa\uTorrent
2008-05-11 00:07 . 2008-05-11 00:07 <DIR> d-------- C:\Archivos de programa\uTorrent
2008-05-07 19:54 . 2008-05-07 19:54 <DIR> d-------- C:\Documents and Settings\Cla\Datos de programa\Thunderbird
2008-05-07 19:54 . 2008-05-07 19:54 <DIR> d-------- C:\Documents and Settings\Cla\Datos de programa\Talkback
2008-05-07 19:54 . 2008-05-27 16:53 <DIR> d-------- C:\Archivos de programa\Mozilla Thunderbird
2008-05-05 17:06 . 2008-05-05 17:06 <DIR> d-------- C:\Archivos de programa\Hewlett-Packard
2008-05-05 17:04 . 2008-05-05 17:04 727 --a------ C:\WINDOWS\hpntwksetup.ini
2008-05-05 17:04 . 2008-05-05 17:04 147 --a------ C:\WINDOWS\system32\AddPort.ini
2008-05-05 17:02 . 2008-05-05 17:06 <DIR> d-------- C:\Archivos de programa\HP
2008-05-05 17:02 . 2004-08-03 23:01 25,856 --a------ C:\WINDOWS\system32\drivers\usbprint.sys
2008-05-05 17:02 . 2004-08-03 23:01 25,856 --a--c--- C:\WINDOWS\system32\dllcache\usbprint.sys
2008-05-05 17:01 . 2008-05-05 17:06 94,482 --a------ C:\WINDOWS\hppins05.dat
2008-05-05 17:01 . 2006-04-24 17:56 1,604 --------- C:\WINDOWS\hppmdl05.dat
2008-05-05 17:00 . 2007-04-05 12:16 626,688 --a------ C:\WINDOWS\system32\msvcr80.dll
2008-05-05 16:58 . 2008-05-05 16:58 <DIR> d-------- C:\Archivos de programa\Archivos comunes\SWF Studio
2008-05-05 16:23 . 2008-05-05 16:23 157 --a------ C:\WINDOWS\hpbvspst.his
2008-05-05 16:23 . 2008-05-05 16:23 157 --a------ C:\WINDOWS\hpbvspst.hi1
2008-05-05 16:23 . 2008-05-05 16:23 120 --a------ C:\WINDOWS\hpbvspst.ini
2008-05-05 16:23 . 2008-05-05 16:23 120 --a------ C:\WINDOWS\hpbvspst.bu1
2008-05-04 16:00 . 2008-05-04 16:00 <DIR> d-------- C:\Archivos de programa\Windows Media Connect 2
2008-05-04 15:59 . 2008-05-04 15:59 <DIR> d-------- C:\WINDOWS\system32\LogFiles
2008-05-04 15:59 . 2008-05-04 16:00 <DIR> d-------- C:\WINDOWS\system32\drivers\UMDF
2008-05-04 01:13 . 2008-05-04 01:13 <DIR> d-------- C:\Archivos de programa\MSXML 6.0
2008-05-03 23:39 . 2008-05-03 23:39 <DIR> d-------- C:\Documents and Settings\All Users\Datos de programa\GRETECH
2008-05-03 23:38 . 2008-05-03 23:38 <DIR> d-------- C:\Documents and Settings\Cla\Datos de programa\GRETECH
2008-05-03 23:37 . 2008-05-03 23:37 <DIR> d--h----- C:\WINDOWS\system32\GroupPolicy
2008-05-03 23:37 . 2008-05-03 23:37 <DIR> d-------- C:\Archivos de programa\GRETECH
2008-05-03 23:36 . 2004-08-03 23:08 26,496 --a--c--- C:\WINDOWS\system32\dllcache\usbstor.sys
2008-05-03 20:00 . 2007-07-30 19:19 271,224 --a------ C:\WINDOWS\system32\mucltui.dll
2008-05-03 20:00 . 2007-07-30 19:19 207,736 --a------ C:\WINDOWS\system32\muweb.dll
2008-05-03 20:00 . 2007-07-30 19:18 30,072 --a------ C:\WINDOWS\system32\mucltui.dll.mui
2008-05-03 19:47 . 2008-05-03 19:47 <DIR> d-------- C:\Archivos de programa\Archivos comunes\Macrovision Shared
2008-05-03 17:47 . 2008-05-03 18:30 <DIR> d-------- C:\Documents and Settings\All Users\Datos de programa\FLEXnet
2008-05-03 17:44 . 2008-05-14 16:58 <DIR> d-------- C:\Archivos de programa\Archivos comunes\Adobe
2008-05-03 17:23 . 2006-10-26 19:56 32,592 --a------ C:\WINDOWS\system32\msonpmon.dll
2008-05-03 17:22 . 2008-05-03 17:22 <DIR> d-------- C:\Archivos de programa\MSBuild
2008-05-03 17:22 . 2008-05-03 17:22 <DIR> d-------- C:\Archivos de programa\Microsoft Works
2008-05-03 17:20 . 2008-05-03 17:20 <DIR> d-------- C:\Archivos de programa\Microsoft.NET
2008-05-03 17:18 . 2008-05-03 17:18 <DIR> d-------- C:\Archivos de programa\Microsoft Visual Studio 8
2008-05-03 17:17 . 2008-05-03 17:21 <DIR> d-------- C:\WINDOWS\SHELLNEW
2008-05-03 17:16 . 2008-05-03 17:16 <DIR> dr-h----- C:\MSOCache
2008-05-03 17:16 . 2008-05-22 11:45 <DIR> d-------- C:\Documents and Settings\All Users\Datos de programa\Microsoft Help
2008-05-03 17:11 . 2001-08-22 21:34 12,416 --a------ C:\WINDOWS\system32\drivers\mouhid.sys
2008-05-03 17:11 . 2001-08-22 21:34 12,416 --a--c--- C:\WINDOWS\system32\dllcache\mouhid.sys
2008-05-03 17:11 . 2001-08-17 22:02 9,600 --a------ C:\WINDOWS\system32\drivers\hidusb.sys
2008-05-03 17:11 . 2001-08-17 22:02 9,600 --a--c--- C:\WINDOWS\system32\dllcache\hidusb.sys
2008-05-03 14:27 . 2008-05-08 18:24 <DIR> d-------- C:\Documents and Settings\Cla\Contacts
2008-05-03 13:57 . 2008-05-07 22:17 <DIR> d-------- C:\Archivos de programa\Google
2008-05-03 13:31 . 2008-05-03 13:31 <DIR> d----c--- C:\WINDOWS\system32\DRVSTORE
2008-05-03 13:11 . 2008-05-03 13:11 <DIR> d-------- C:\Documents and Settings\All Users\Datos de programa\WLInstaller
2008-05-03 13:11 . 2008-05-03 13:30 <DIR> d-------- C:\Archivos de programa\Windows Live
2008-05-03 13:11 . 2008-05-03 13:30 <DIR> d--hsc--- C:\Archivos de programa\Archivos comunes\WindowsLiveInstaller
2008-05-03 13:06 . 2006-09-25 17:58 23,856 --a------ C:\WINDOWS\system32\spupdsvc.exe
2008-05-03 12:59 . 2008-05-20 09:05 <DIR> d-------- C:\Documents and Settings\Cla\Datos de programa\Autodesk
2008-05-03 12:59 . 2008-05-20 09:05 <DIR> d-------- C:\Documents and Settings\All Users\Datos de programa\Autodesk
2008-05-03 12:59 . 2008-05-03 13:02 <DIR> d-------- C:\Archivos de programa\AutoCAD 2008
2008-05-03 12:59 . 2008-05-03 12:59 <DIR> d-------- C:\Archivos de programa\Archivos comunes\InstallShield
2008-05-03 12:58 . 2008-05-03 12:58 <DIR> d-------- C:\Archivos de programa\Autodesk
2008-05-03 12:58 . 2008-05-03 13:02 <DIR> d-------- C:\Archivos de programa\Archivos comunes\Autodesk Shared
2008-05-03 12:39 . 2008-05-10 16:32 <DIR> d--hs---- C:\Documents and Settings\Cla\UserData
2008-05-03 12:33 . 2008-05-13 23:32 <DIR> d--h----- C:\WINDOWS\$hf_mig$
2008-05-03 12:20 . 2008-05-03 12:20 <DIR> d-------- C:\Archivos de programa\Alwil Software
2008-05-03 12:20 . 2003-03-18 16:20 1,060,864 --a------ C:\WINDOWS\system32\MFC71.dll
2008-05-03 12:20 . 2003-03-18 15:14 499,712 --a------ C:\WINDOWS\system32\MSVCP71.dll
2008-05-03 12:20 . 2003-02-21 00:42 348,160 --a------ C:\WINDOWS\system32\MSVCR71.dll
2008-05-03 12:17 . 2008-05-03 12:17 13,668 --a------ C:\WINDOWS\system32\wpa.bak
2008-05-03 12:07 . 2008-05-03 12:07 <DIR> d-------- C:\Program Files
2008-05-03 12:07 . 2008-05-03 12:07 <DIR> d-------- C:\Documents and Settings\Cla\Datos de programa\WinBatch
2008-05-03 11:37 . 2008-05-27 17:02 <DIR> d-------- C:\Archivos de programa\Mozilla Firefox 3 Beta 5
2008-05-03 11:37 . 2008-05-03 11:37 0 --a------ C:\WINDOWS\nsreg.dat
2008-05-03 11:35 . 2008-05-03 11:35 <DIR> d-------- C:\WINDOWS\system32\Lang
2008-05-03 11:35 . 2008-05-03 11:35 940,794 --a------ C:\WINDOWS\system32\LoopyMusic.wav
2008-05-03 11:35 . 2008-05-03 11:35 146,650 --a------ C:\WINDOWS\system32\BuzzingBee.wav
2008-05-03 11:22 . 2008-05-03 11:22 <DIR> d-------- C:\Archivos de programa\Apoint2K
2008-05-03 11:21 . 2008-05-03 11:21 <DIR> d-------- C:\WINDOWS\system32\RTCOM

.
(((((((((((((((((((((((((((((((((((((( Reporte Find3M )))))))))))))))))))))))))))))))))))))))))))))))))) )
.
2008-05-03 07:36 --------- d-----w C:\Archivos de programa\microsoft frontpage
2008-05-03 07:35 --------- d-----w C:\Archivos de programa\Servicios en línea
.

((((((((((((((((((((((((((((( snapshot@2008-05-26_20.25.00,39 )))))))))))))))))))))))))))))))))))))))))
.
- 2008-05-26 23:34:09 2,048 --s-a-w C:\WINDOWS\bootstat.dat
+ 2008-05-27 21:06:59 2,048 --s-a-w C:\WINDOWS\bootstat.dat
+ 2005-10-21 00:02:28 163,328 ----a-w C:\WINDOWS\erdnt\subs\ERDNT.EXE
+ 2007-08-09 23:43:18 32,256 ----a-w C:\WINDOWS\system32\identprv.dll
+ 2005-05-16 23:34:48 213,048 ----a-w C:\WINDOWS\system32\Kaspersky Lab\Kaspersky Online Scanner\kavss.dll
+ 2007-09-10 14:47:44 65,536 ----a-w C:\WINDOWS\system32\Kaspersky Lab\Kaspersky Online Scanner\kavuninstall.exe
+ 2007-09-10 14:47:44 798,720 ----a-w C:\WINDOWS\system32\Kaspersky Lab\Kaspersky Online Scanner\kavwebscan.dll
+ 2008-03-25 02:32:44 218,496 ----a-r C:\WINDOWS\system32\Macromed\Flash\FlashUtil9f.exe
+ 2008-05-27 17:17:04 74,649 ----a-w C:\WINDOWS\system32\Macromed\Flash\uninstall_activ eX.exe
+ 2002-01-17 21:52:00 3,584 ----a-w C:\WINDOWS\system32\wceprv.dll
- 2008-05-26 23:34:22 16,384 ----atw C:\WINDOWS\Temp\Perflib_Perfdata_68c.dat
+ 2008-05-27 21:07:11 16,384 ----atw C:\WINDOWS\Temp\Perflib_Perfdata_68c.dat
.
((((((((((((((((((((((((((((((((( Cargando Puntos Reg ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Nota* entradas vac¡as & entradas leg¡timas predeterminadas no son mostradas

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-20 08:00 15360]
"MsnMsgr"="C:\Archivos de programa\Windows Live\Messenger\MsnMsgr.exe" [2007-10-18 11:34 5724184]
"EPSON Stylus CX4100 Series"="C:\WINDOWS\System32\spool\DRIVERS\W32X86\ 3\E_FATIAEL.exe" [2007-01-19 05:00 177664]
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="C:\Archivos de programa\Archivos comunes\Ahead\Lib\NMBgMonitor.exe" [2007-05-16 09:27 153136]
"SUPERAntiSpyware"="C:\Archivos de programa\SUPERAntiSpyware\SUPERAntiSpyware.exe" [2008-05-13 12:43 1510640]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run]
"RTHDCPL"="RTHDCPL.EXE" [2006-04-17 15:34 16143872 C:\WINDOWS\RTHDCPL.EXE]
"SoundMan"="SOUNDMAN.EXE" [2006-11-17 05:42 577536 C:\WINDOWS\SOUNDMAN.EXE]
"AlcWzrd"="ALCWZRD.EXE" [2006-03-14 15:45 2809344 C:\WINDOWS\ALCWZRD.EXE]
"GrooveMonitor"="C:\Archivos de programa\Microsoft Office\Office12\GrooveMonitor.exe" [2006-10-27 00:47 31016]
"Acrobat Assistant 8.0"="C:\Archivos de programa\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe" [2006-10-22 23:24 620152]
"HP Software Update"="C:\Archivos de programa\HP\HP Software Update\HPWuSchd2.exe" [2005-02-16 23:11 49152]
"Adobe Reader Speed Launcher"="C:\Archivos de programa\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 22:16 39792]
"NeroFilterCheck"="C:\Archivos de programa\Archivos comunes\Ahead\Lib\NeroCheck.exe" [2007-03-01 15:57 153136]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\Cur rentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-20 08:00 15360]

[hkey_local_machine\software\microsoft\windows\curr entversion\explorer\shellexecutehooks]
"{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA}"= C:\Archivos de programa\SUPERAntiSpyware\SASSEH.DLL [2008-05-13 10:13 77824]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\!SASWinLogon]
C:\Archivos de programa\SUPERAntiSpyware\SASWINLO.dll 2007-04-19 13:41 294912 C:\Archivos de programa\SUPERAntiSpyware\SASWINLO.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"msacm.divxa32"= msaud32_divx.acm
"VIDC.ACDV"= ACDV.dll

[HKLM\~\services\sharedaccess\parameters\firewallpo licy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Archivos de programa\\Windows Live\\Messenger\\msnmsgr.exe"=
"C:\\Archivos de programa\\Windows Live\\Messenger\\livecall.exe"=
"C:\\Archivos de programa\\Microsoft Office\\Office12\\OUTLOOK.EXE"=
"C:\\Archivos de programa\\Microsoft Office\\Office12\\GROOVE.EXE"=
"C:\\Archivos de programa\\Microsoft Office\\Office12\\ONENOTE.EXE"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"C:\\Archivos de programa\\uTorrent\\uTorrent.exe"=
"C:\\Archivos de programa\\Bonjour\\mDNSResponder.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpo licy\standardprofile\GloballyOpenPorts\List]
"49494:TCP"= 49494:TCP:utorrent

R1 aswSP;avast! Self Protection;C:\WINDOWS\system32\drivers\aswSP.sys [2008-05-15 19:20]
R2 aswFsBlk;aswFsBlk;C:\WINDOWS\system32\DRIVERS\aswF sBlk.sys [2008-05-15 19:16]
S2 rpcnetp;rpcnetp;C:\WINDOWS\System32\rpcnetp.exe []
S3 MBAMCatchMe;MBAMCatchMe;C:\WINDOWS\system32\driver s\mbamcatchme.sys [2008-05-05 20:46]
S3 UVCFTR;UVCFTR;C:\WINDOWS\system32\DRIVERS\UVCFTR_S .SYS [2007-04-16 10:19]

*Newly Created Service* - RPCNETP
.
************************************************** ************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-05-27 17:07:59
Windows 5.1.2600 Service Pack 2 NTFS

escaneando procesos ocultos ...

escaneando entradas ocultas de autostart ...

escaneando archivos ocultos ...

el escaneo se completo con exito
archivos ocultos: 0

************************************************** ************************
.
------------------------ Other Running Processes ------------------------
.
C:\WINDOWS\system32\ati2evxx.exe
C:\WINDOWS\system32\ati2evxx.exe
C:\Archivos de programa\Alwil Software\Avast4\aswUpdSv.exe
C:\Archivos de programa\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\agrsmsvc.exe
C:\Archivos de programa\Bonjour\mDNSResponder.exe
C:\Archivos de programa\Alwil Software\Avast4\ashMaiSv.exe
C:\Archivos de programa\Alwil Software\Avast4\ashWebSv.exe
C:\Archivos de programa\Archivos comunes\Ahead\Lib\NMIndexingService.exe
C:\Archivos de programa\Archivos comunes\Ahead\Lib\NMIndexStoreSvr.exe
C:\Archivos de programa\Archivos comunes\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
C:\Archivos de programa\Adobe\Acrobat 8.0\Acrobat\acrobat_sl.exe
.
************************************************** ************************
.
Tiempo completado: 2008-05-27 17:14:13 - machine was rebooted
ComboFix-quarantined-files.txt 2008-05-27 21:13:40
ComboFix2.txt 2008-05-27 00:25:28

10 dirs 41,721,118,720 bytes libres
14 dirs 41,639,440,384 bytes libres

253 --- E O F --- 2008-05-18 18:06:49