Hola a toda la gente del foro,

Soy nuevo en este tipo de foros ya que normalmente mi interes es el de la música.
Ayer descubri algo muy raro, algo que nunca me habia pasado.
Trate de abrir un mp3 y éste no sonaba, luego otro y asi. No podia ecucharlos y la gran mayoria sonaba como con baches y fallas. Algo estaba pasando.

Cuando los abri en el Sounf Forge me di cuenta que todos tenian una marca: CMD URLANDEXIT y esta dirigida a un URL virus.
Lo peor es que cuando elimino el comando, el file deja de ser un mp3 y sale como mp3* y si lo grabo éste seria un archivo wmv v9 (*.wmv).
No entiendo esto.
Lo que hago es regrabarlo como mp3.

Uso como reproductor el winamp 2.80 y no lo tengo configurado con intenet, por ello asumo que no se conecto al URL del virus.

comando: CMD URLANDEXIT
parámetro: URL del virus.



(no pongo el url para no generar ningun daño, esta en la imagen)

Copie el URL e intente ingresar, el NOD que uso en mi PC automaticamente lo detecto e indico que era un virurs y no perimito navegar y cerre la web.

Realmente me precupa todo esto, es primera vez que veo esto y que me pasa algo asi, sobre todo con archivos mp3 de audio. Es un dolor de cabeza, y no pienso limpiar el CMD de cada mp3, se imaginan tengo miles de GB de musica.

Si uno de Uds. puede ayudarme a limpiar este spy, virus, o lo que sea... se lo agradeceré a mil. Realmente no soy un capo en esto pero si tengo conocimientos basicos.

QU EPUEDO HACER?

Felicito al foro y le deseo muchos exitos!!!

Gracias de antemano.

Salv2.

Hola DJ BRUJO, Bienvenido al "Foro"

1. Realiza los primeros Pasos de los "11 Pasos Para Eliminar Malware".

Los escanners online te recomiendo los realices con :

• Ewido/Al terminar el Scan , dale click sobre "REMOVE INFECTIONS"
• Kaspersky/Copias y pegas aqui el reporte que te genere.

salu2!
Me cuentas !

Angel Doze,

Gracias por tu ayuda.

Por el momento lo que he podido detectar en mi PC es:

Description Type Active Severity Disinfectable Disinfected
W32/Gibe.C.worm Virus/Worm No 1 Yes No
W32/Gibe.C.worm Virus/Worm No 1 Yes No
W32/Zafi.B.worm Virus/Worm No 0 Yes No
Cookie/Com.com TrackingCookie No 0 Yes No
Cookie/Com.com TrackingCookie No 0 Yes No
Generic Malware Virus/Trojan No 0 Yes

Esto lo hice usando el Panda Active Scan Online.
Actualmente uso el NOD32 V3.0.621 antivirus, lo que indica que no atrapó a estos bichos y pues no esta trabajando bien.

Si tienes (O ALGUIEN MÁS) tiene otro tip para poder eliminarlos favor avisame. Ya que al finalizar el scan, panda active scan te pide comprarlo o registrarte para poder desinfectar.



Ahora intentaré el EWIDO que recomendaste.

Saludos.

1. Descargue Malwarebytes' Anti-Malware y guárdelo en un lugar conveniente.
2. Haga doble clic en setup.exe-mbam para instalarlo.
3. Elija idioma español
4. Antes de hacer clic en el botón Finalizar, asegúrese de que estas 2 casillas esten marcadas:
   • Actualización Malwarebytes' Anti-Malware
   • Ejecutar Malwarebytes' Anti-Malware
5. Seleccione la pestaña "Escáner".
6. Marque la Casilla de "Realizar un Examen Completo" . Haga clic en "Examinar", a continuación, haga clic en "Empezar a Examinar"
7. Una vez que haya finalizado el Analisis
8. Marque todos los elementos y haga clic en "Mandar A cuarentena."
9. se abrirá el Bloc de Notas. Por favor, este registro Peguelo en su próxima respuesta. También puede encontrar el Reporte en la "Pestaña" "Registros".

Pasa el Scannér online con el Kaspersky OnlineScanner, pegas aqui el reporte..

Salu2!

Angel Doze,

Este es el informe de Malwarebytes' Anti-Malware:

Malwarebytes' Anti-Malware 1.17
Versión de la Base de Datos: 850

04:23:38 p.m. 12/06/2008
mbam-log-6-12-2008 (16-23-38).txt

Tipo de examen : Examen Completo (C:\|D:\|J:\|)
Objetos examinados: 192807
Tiempo transcurrido: 1 hour(s), 10 minute(s), 37 second(s)

Procesos en Memoria Infectados: 0
Módulos en Memoria Infectados: 0
Claves del Registro Infectadas: 0
Valores del Registro Infectados: 0
Elementos de Datos del Registro Infectados: 0
Carpetas Infectadas: 0
Ficheros Infectados: 0

Procesos en Memoria Infectados:
(No se han detectado elementos maliciosos)

Módulos en Memoria Infectados:
(No se han detectado elementos maliciosos)

Claves del Registro Infectadas:
(No se han detectado elementos maliciosos)

Valores del Registro Infectados:
(No se han detectado elementos maliciosos)

Elementos de Datos del Registro Infectados:
(No se han detectado elementos maliciosos)

Carpetas Infectadas:
(No se han detectado elementos maliciosos)

Ficheros Infectados:
(No se han detectado elementos maliciosos)

Al parecer este soft no detecto nada.

OTRA COSA...

Ahora sale de la nada, cada vez que doy click al icono del explorador de windows del inicio rapido u otra opcion:



Me imagino que mi soft de FTP esta afectado.
Que recominedas, qu elo desinstale hata nuevo aviso?

Intentaré el scan online de que recomiendas y posteare luego el reporte.
A la espera de tus comentarios.

Salv2

Estimado Angel Doze,

Aqui el analisis completo:

Jueves, 12 de junio de 2008 18:50:07
Sistema operativo: Microsoft Windows XP Professional, Service Pack 2 (Build 2600)
Kaspersky Online Scanner versión: 5.0.84.1
Ultima actualización: 12/06/2008
Registros en la base antivirus: 857146
Configuración del análisis
Analizar usando las siguientes bases estendidas
Analizar archivos verdadero
Analizar bases de correo verdadero
Objetivo a analizar Mi PC
C:\
D:\
H:\
I:\
J:\
Estadísticas
Número de objeros analizados 154711
Virus encontrados 6
Objetos infectados 21 / 0
Objetos sospechosos 7
Duración del análisis 01:28:41

Bombre del objeto infectado Nombre del virus Última acción
C:\Documents and Settings\ADM\Configuración local\Archivos temporales de Internet\Content.IE5\index.dat Object is locked saltado
C:\Documents and Settings\ADM\Configuración local\Archivos temporales de Internet\Content.Word\~WRF0001.tmp Object is locked saltado
C:\Documents and Settings\ADM\Configuración local\Archivos temporales de Internet\Content.Word\~WRS0000.tmp Object is locked saltado
C:\Documents and Settings\ADM\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat Object is locked saltado
C:\Documents and Settings\ADM\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat.LOG Object is locked saltado
C:\Documents and Settings\ADM\Configuración local\Datos de programa\Mozilla\Firefox\Profiles\wiyypt5e.default \Cache\_CACHE_001_ Object is locked saltado
C:\Documents and Settings\ADM\Configuración local\Datos de programa\Mozilla\Firefox\Profiles\wiyypt5e.default \Cache\_CACHE_002_ Object is locked saltado
C:\Documents and Settings\ADM\Configuración local\Datos de programa\Mozilla\Firefox\Profiles\wiyypt5e.default \Cache\_CACHE_003_ Object is locked saltado
C:\Documents and Settings\ADM\Configuración local\Datos de programa\Mozilla\Firefox\Profiles\wiyypt5e.default \Cache\_CACHE_MAP_ Object is locked saltado
C:\Documents and Settings\ADM\Configuración local\Historial\History.IE5\index.dat Object is locked saltado
C:\Documents and Settings\ADM\Configuración local\Historial\History.IE5\MSHist0120080612200806 13\index.dat Object is locked saltado
C:\Documents and Settings\ADM\Configuración local\Temp\~DF2FFD.tmp Object is locked saltado
C:\Documents and Settings\ADM\Configuración local\Temp\~DF5316.tmp Object is locked saltado
C:\Documents and Settings\ADM\Configuración local\Temp\~DFC488.tmp Object is locked saltado
C:\Documents and Settings\ADM\Configuración local\Temp\~DFFD62.tmp Object is locked saltado
C:\Documents and Settings\ADM\Configuración local\Temp\~WRD0005.doc Object is locked saltado
C:\Documents and Settings\ADM\Cookies\index.dat Object is locked saltado
C:\Documents and Settings\ADM\Datos de programa\Microsoft\Plantillas\Normal.dot Object is locked saltado
C:\Documents and Settings\ADM\Datos de programa\Microsoft\Word\Guardado con Autorrecuperación de Cotización Quemado e Impresión CD´S Mc Cafe.asd Object is locked saltado
C:\Documents and Settings\ADM\Datos de programa\Mozilla\Firefox\Profiles\wiyypt5e.default \cert8.db Object is locked saltado
C:\Documents and Settings\ADM\Datos de programa\Mozilla\Firefox\Profiles\wiyypt5e.default \formhistory.dat Object is locked saltado
C:\Documents and Settings\ADM\Datos de programa\Mozilla\Firefox\Profiles\wiyypt5e.default \history.dat Object is locked saltado
C:\Documents and Settings\ADM\Datos de programa\Mozilla\Firefox\Profiles\wiyypt5e.default \key3.db Object is locked saltado
C:\Documents and Settings\ADM\Datos de programa\Mozilla\Firefox\Profiles\wiyypt5e.default \parent.lock Object is locked saltado
C:\Documents and Settings\ADM\Datos de programa\Mozilla\Firefox\Profiles\wiyypt5e.default \search.sqlite Object is locked saltado
C:\Documents and Settings\ADM\Datos de programa\Mozilla\Firefox\Profiles\wiyypt5e.default \urlclassifier2.sqlite Object is locked saltado
C:\Documents and Settings\ADM\Datos de programa\SUPERAntiSpyware.com\SUPERAntiSpyware\App Logs\SUPERANTISPYWARE-6-12-2008( 10-58-0 ).LOG Object is locked saltado
C:\Documents and Settings\ADM\NTUSER.DAT Object is locked saltado
C:\Documents and Settings\ADM\ntuser.dat.LOG Object is locked saltado
C:\Documents and Settings\All Users\Datos de programa\ESET\ESET NOD32 Antivirus\Charon\CACHE.NDB Object is locked saltado
C:\Documents and Settings\All Users\Datos de programa\ESET\ESET NOD32 Antivirus\Logs\virlog.dat Object is locked saltado
C:\Documents and Settings\All Users\Datos de programa\ESET\ESET NOD32 Antivirus\Logs\warnlog.dat Object is locked saltado
C:\Documents and Settings\All Users\Datos de programa\Microsoft\Network\Downloader\qmgr0.dat Object is locked saltado
C:\Documents and Settings\All Users\Datos de programa\Microsoft\Network\Downloader\qmgr1.dat Object is locked saltado
C:\Documents and Settings\LocalService\Configuración local\Archivos temporales de Internet\Content.IE5\index.dat Object is locked saltado
C:\Documents and Settings\LocalService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat Object is locked saltado
C:\Documents and Settings\LocalService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat.LOG Object is locked saltado
C:\Documents and Settings\LocalService\Configuración local\Historial\History.IE5\index.dat Object is locked saltado
C:\Documents and Settings\LocalService\Cookies\index.dat Object is locked saltado
C:\Documents and Settings\LocalService\NTUSER.DAT Object is locked saltado
C:\Documents and Settings\LocalService\ntuser.dat.LOG Object is locked saltado
C:\Documents and Settings\NetworkService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat Object is locked saltado
C:\Documents and Settings\NetworkService\Configuración local\Datos de programa\Microsoft\Windows\UsrClass.dat.LOG Object is locked saltado
C:\Documents and Settings\NetworkService\NTUSER.DAT Object is locked saltado
C:\Documents and Settings\NetworkService\ntuser.dat.LOG Object is locked saltado
C:\System Volume Information\MountPointManagerRemoteDatabase Object is locked saltado
C:\System Volume Information\_restore{D60BB138-DEA9-4132-82A7-2B191529FB8C}\RP2\change.log Object is locked saltado
C:\WINDOWS\Debug\PASSWD.LOG Object is locked saltado
C:\WINDOWS\SchedLgU.Txt Object is locked saltado
C:\WINDOWS\SoftwareDistribution\ReportingEvents.lo g Object is locked saltado
C:\WINDOWS\Sti_Trace.log Object is locked saltado
C:\WINDOWS\system32\config\AppEvent.Evt Object is locked saltado
C:\WINDOWS\system32\config\default Object is locked saltado
C:\WINDOWS\system32\config\default.LOG Object is locked saltado
C:\WINDOWS\system32\config\SAM Object is locked saltado
C:\WINDOWS\system32\config\SAM.LOG Object is locked saltado
C:\WINDOWS\system32\config\SecEvent.Evt Object is locked saltado
C:\WINDOWS\system32\config\SECURITY Object is locked saltado
C:\WINDOWS\system32\config\SECURITY.LOG Object is locked saltado
C:\WINDOWS\system32\config\software Object is locked saltado
C:\WINDOWS\system32\config\software.LOG Object is locked saltado
C:\WINDOWS\system32\config\SysEvent.Evt Object is locked saltado
C:\WINDOWS\system32\config\system Object is locked saltado
C:\WINDOWS\system32\config\system.LOG Object is locked saltado
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR Object is locked saltado
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP Object is locked saltado
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER Object is locked saltado
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MA P Object is locked saltado
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MA P Object is locked saltado
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DAT A Object is locked saltado
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP Object is locked saltado
C:\WINDOWS\Temp\HTT249C.tmp Object is locked saltado
C:\WINDOWS\wiadebug.log Object is locked saltado
C:\WINDOWS\wiaservc.log Object is locked saltado
C:\WINDOWS\WindowsUpdate.log Object is locked saltado
C:\WINDOWS\{00000004-00000000-00000004-00001102-00000004-00511102}.CDF Object is locked saltado
D:\MIS DOCUMENTOS\Cotización Quemado e Impresión CD´S Mc Cafe.doc Object is locked saltado
D:\System Volume Information\MountPointManagerRemoteDatabase Object is locked saltado
J:\PC_OPERACIONES2\backup.pst/Carpetas personales/Bandeja de entrada/25 Apr 2004 14:42 from Mail Delivery System:Mail delivery failed.eml/[From star10@star10.com.pe][Date Sun, 25 Apr 2004 09:24:47 -0500]/UNNAMED/message.scr Infectados: Email-Worm.Win32.NetSky.q saltado
J:\PC_OPERACIONES2\backup.pst/Carpetas personales/Bandeja de entrada/25 Apr 2004 14:42 from Mail Delivery System:Mail delivery failed.eml/[From star10@star10.com.pe][Date Sun, 25 Apr 2004 09:24:47 -0500]/UNNAMED Infectados: Email-Worm.Win32.NetSky.q saltado
J:\PC_OPERACIONES2\backup.pst/Carpetas personales/Bandeja de entrada/25 Apr 2004 14:42 from Mail Delivery System:Mail delivery failed.eml Infectados: Email-Worm.Win32.NetSky.q saltado
J:\PC_OPERACIONES2\backup.pst MailMSMaill: infectado - 3 saltado
J:\ARCHIVOS ANTIGUOS\BASURA\CORREO PRINCIPAL\backup.pst/Carpetas personales/Bandeja de entrada/30 Sep 2003 14:55 from Microsoft Corporation Network Security De/pack6776.exe Infectados: Email-Worm.Win32.Swen saltado
J:\ARCHIVOS ANTIGUOS\BASURA\CORREO PRINCIPAL\backup.pst/Carpetas personales/Bandeja de entrada/30 Sep 2003 16:09 from Microsoft:internet security update/Upgrade726.exe Infectados: Email-Worm.Win32.Swen saltado
J:\ARCHIVOS ANTIGUOS\BASURA\CORREO PRINCIPAL\backup.pst MailMSMaill: infectado - 2 saltado
J:\ARCHIVOS ANTIGUOS\BASURA\CORREO PRINCIPAL\email star10\emails.cab/{415A0160-CDE9-11D6-B386-0050BA627FBF}/Message Store/Attachments/{5F4F27E1-1F65-11D7-B388-0050BA5C5670}/svo.zip/[From "EMPLEADORES" ][Date Wed, 4 Jun 2003 16:03:40 -0500]/UNNAMED/[From "Karla Rotondo C." ][Date Thu, 5 Jun 2003 08:48:21 -0500]/UNNAMED/[From "niki gutierrez" Sospechosos: Exploit.HTML.Iframe.FileDownload saltado
J:\ARCHIVOS ANTIGUOS\BASURA\CORREO PRINCIPAL\email star10\emails.cab/{415A0160-CDE9-11D6-B386-0050BA627FBF}/Message Store/Attachments/{5F4F27E1-1F65-11D7-B388-0050BA5C5670}/svo.zip/[From "EMPLEADORES" ][Date Wed, 4 Jun 2003 16:03:40 -0500]/UNNAMED/[From "Karla Rotondo C." ][Date Thu, 5 Jun 2003 08:48:21 -0500]/UNNAMED/[From "niki gutierrez" Infectados: Email-Worm.Win32.Tanatos.b saltado
J:\ARCHIVOS ANTIGUOS\BASURA\CORREO PRINCIPAL\email star10\emails.cab/{415A0160-CDE9-11D6-B386-0050BA627FBF}/Message Store/Attachments/{5F4F27E1-1F65-11D7-B388-0050BA5C5670}/svo.zip/[From "EMPLEADORES" ][Date Wed, 4 Jun 2003 16:03:40 -0500]/UNNAMED/[From "Karla Rotondo C." ][Date Thu, 5 Jun 2003 08:48:21 -0500]/UNNAMED/[From "niki gutierrez" ]/UNNAMED Infectados: Email-Worm.Win32.Tanatos.b saltado
J:\ARCHIVOS ANTIGUOS\BASURA\CORREO PRINCIPAL\email star10\emails.cab/{415A0160-CDE9-11D6-B386-0050BA627FBF}/Message Store/Attachments/{5F4F27E1-1F65-11D7-B388-0050BA5C5670}/svo.zip/[From "EMPLEADORES" ][Date Wed, 4 Jun 2003 16:03:40 -0500]/UNNAMED/[From "Karla Rotondo C." ][Date Thu, 5 Jun 2003 08:48:21 -0500]/UNNAMED/[From "niki gutierrez" ][Date Thu, 5 Jun 2003 13:13:53 -0500 (PET)]/UNNAMED Infectados: Email-Worm.Win32.Tanatos.b saltado
J:\ARCHIVOS ANTIGUOS\BASURA\CORREO PRINCIPAL\email star10\emails.cab/{415A0160-CDE9-11D6-B386-0050BA627FBF}/Message Store/Attachments/{5F4F27E1-1F65-11D7-B388-0050BA5C5670}/svo.zip/[From "EMPLEADORES" ][Date Wed, 4 Jun 2003 16:03:40 -0500]/UNNAMED/[From "Karla Rotondo C." ][Date Thu, 5 Jun 2003 08:48:21 -0500]/UNNAMED/[From "niki gutierrez" ][Date Th ... /[From "Belaunde B. Duran Llata" ][Date Thu, 5 Jun 2003 12:46:58 -0500]/UNNAMED Infectados: Email-Worm.Win32.Tanatos.b saltado
J:\ARCHIVOS ANTIGUOS\BASURA\CORREO PRINCIPAL\email star10\emails.cab/{415A0160-CDE9-11D6-B386-0050BA627FBF}/Message Store/Attachments/{5F4F27E1-1F65-11D7-B388-0050BA5C5670}/svo.zip/[From "EMPLEADORES" ][Date Wed, 4 Jun 2003 16:03:40 -0500]/UNNAMED/[From "Karla Rotondo C." ][Date Thu, 5 Jun 2003 08:48:21 -0500]/UNNAMED/[From "niki gutierrez" ][Date Thu, 05 Jun 2003 12:21:28 -0500]/UNNAMED Infectados: Email-Worm.Win32.Tanatos.b saltado
J:\ARCHIVOS ANTIGUOS\BASURA\CORREO PRINCIPAL\email star10\emails.cab/{415A0160-CDE9-11D6-B386-0050BA627FBF}/Message Store/Attachments/{5F4F27E1-1F65-11D7-B388-0050BA5C5670}/svo.zip/[From "EMPLEADORES" ][Date Wed, 4 Jun 2003 16:03:40 -0500]/UNNAMED/[From "Karla Rotondo C." ][Date Thu, 5 Jun 2003 08:48:21 -0500]/UNNAMED Infectados: Email-Worm.Win32.Tanatos.b saltado
J:\ARCHIVOS ANTIGUOS\BASURA\CORREO PRINCIPAL\email star10\emails.cab/{415A0160-CDE9-11D6-B386-0050BA627FBF}/Message Store/Attachments/{5F4F27E1-1F65-11D7-B388-0050BA5C5670}/svo.zip/[From "EMPLEADORES" ][Date Wed, 4 Jun 2003 16:03:40 -0500]/UNNAMED Infectados: Email-Worm.Win32.Tanatos.b saltado
J:\ARCHIVOS ANTIGUOS\BASURA\CORREO PRINCIPAL\email star10\emails.cab/{415A0160-CDE9-11D6-B386-0050BA627FBF}/Message Store/Attachments/{5F4F27E1-1F65-11D7-B388-0050BA5C5670}/svo.zip Infectados: Email-Worm.Win32.Tanatos.b saltado
J:\ARCHIVOS ANTIGUOS\BASURA\CORREO PRINCIPAL\email star10\emails.cab/{415A0160-CDE9-11D6-B386-0050BA627FBF}/Message Store/Attachments/Sintad_C.zip/[From "Boletin de la AAAP" ][Date Wed, 25 Jun 2003 09:43:44 -0500]/UNNAMED/[From "Boletin de la AAAP" ][Date Fri, 27 Jun 2003 09:33:04 -0500]/UNNAMED/[From "microimport" ][Date Fri, ... /[From =?Windows-1252?Q?Noellia_M=F3nica_Gonzales_Con ... /[From "publicar" ][Date 28 Jun 2003 12:50:56 -0500]/html Sospechosos: Exploit.HTML.Iframe.FileDownload saltado
J:\ARCHIVOS ANTIGUOS\BASURA\CORREO PRINCIPAL\email star10\emails.cab/{415A0160-CDE9-11D6-B386-0050BA627FBF}/Message Store/Attachments/Sintad_C.zip/[From "Boletin de la AAAP" ][Date Wed, 25 Jun 2003 09:43:44 -0500]/UNNAMED/[From "Boletin de la AAAP" ][Date Fri, 27 Jun 2003 09:33:04 -0500]/UNNAMED/[From "microimport" ][Date Fri, ... /[From =?Windows-1252?Q?Noellia_M=F3nica_Gonzales_Contreras?= ][Date Fri, 27 Jun 2003 16:18:49 -0500]/UNNAMED Sospechosos: Exploit.HTML.Iframe.FileDownload saltado
J:\ARCHIVOS ANTIGUOS\BASURA\CORREO PRINCIPAL\email star10\emails.cab/{415A0160-CDE9-11D6-B386-0050BA627FBF}/Message Store/Attachments/Sintad_C.zip/[From "Boletin de la AAAP" ][Date Wed, 25 Jun 2003 09:43:44 -0500]/UNNAMED/[From "Boletin de la AAAP" ][Date Fri, 27 Jun 2003 09:33:04 -0500]/UNNAMED/[From "microimport" ][Date Fri, 27 Jun 2003 10:45:22 -0500]/UNNAMED Sospechosos: Exploit.HTML.Iframe.FileDownload saltado
J:\ARCHIVOS ANTIGUOS\BASURA\CORREO PRINCIPAL\email star10\emails.cab/{415A0160-CDE9-11D6-B386-0050BA627FBF}/Message Store/Attachments/Sintad_C.zip/[From "Boletin de la AAAP" ][Date Wed, 25 Jun 2003 09:43:44 -0500]/UNNAMED/[From "Boletin de la AAAP" ][Date Fri, 27 Jun 2003 09:33:04 -0500]/UNNAMED Sospechosos: Exploit.HTML.Iframe.FileDownload saltado
J:\ARCHIVOS ANTIGUOS\BASURA\CORREO PRINCIPAL\email star10\emails.cab/{415A0160-CDE9-11D6-B386-0050BA627FBF}/Message Store/Attachments/Sintad_C.zip/[From "Boletin de la AAAP" ][Date Wed, 25 Jun 2003 09:43:44 -0500]/UNNAMED Sospechosos: Exploit.HTML.Iframe.FileDownload saltado
J:\ARCHIVOS ANTIGUOS\BASURA\CORREO PRINCIPAL\email star10\emails.cab/{415A0160-CDE9-11D6-B386-0050BA627FBF}/Message Store/Attachments/Sintad_C.zip Sospechosos: Exploit.HTML.Iframe.FileDownload saltado
J:\ARCHIVOS ANTIGUOS\BASURA\CORREO PRINCIPAL\email star10\emails.cab CAB: infectado - 8, sospechoso - 7 saltado
J:\ARCHIVOS ANTIGUOS\BASURA\correo\karla\backup.pst/Carpetas personales/Bandeja de entrada/27 May 2004 19:59 from Mail Delivery System:Mail delivery failed.eml/[From star10@star10.com.pe][Date Thu, 27 May 2004 14:17:38 -0500]/UNNAMED/www.millicom.com.pe.hdelzo-ifc.session-00005604.com Infectados: Email-Worm.Win32.NetSky.z saltado
J:\ARCHIVOS ANTIGUOS\BASURA\correo\karla\backup.pst/Carpetas personales/Bandeja de entrada/27 May 2004 19:59 from Mail Delivery System:Mail delivery failed.eml/[From star10@star10.com.pe][Date Thu, 27 May 2004 14:17:38 -0500]/UNNAMED Infectados: Email-Worm.Win32.NetSky.z saltado
J:\ARCHIVOS ANTIGUOS\BASURA\correo\karla\backup.pst/Carpetas personales/Bandeja de entrada/27 May 2004 19:59 from Mail Delivery System:Mail delivery failed.eml Infectados: Email-Worm.Win32.NetSky.z saltado
J:\ARCHIVOS ANTIGUOS\BASURA\correo\karla\backup.pst/Carpetas personales/Bandeja de entrada/12 Jun 2004 16:33 from ALICAR TOURS S.A.C.:ALICAR TOURS S.A.C./link.voicemessage.com.listen.index.php1Ab2c.pif Infectados: Email-Worm.Win32.Zafi.b saltado
J:\ARCHIVOS ANTIGUOS\BASURA\correo\karla\backup.pst MailMSMaill: infectado - 4 saltado

Análisis completado.

Hola DJ BRUJO,

Te pido un poco de paciencia estoy trabajando en tu caso, ya que es muy especial, de echo si buscas en Google, no encontraras nada parecido a tu problema. Por lo tanto una respuesta a tu caso, tardara mas tiempo de lo normal, por tu comprensión Gracias....

PD// En cuanto tenga respuesta, la posteo, para que puedas empezar a trabajar en ellos.

Salu2!

Hola DjBrujo,

Paso 1-Tienes que eliminar estos correos que tienes guerdados, ya que estan infectados.

Paso 2- Descarga y ejecuta ComboFix.exe

• Desactiva temporalmente el Antivirus y/o Antispyware.
• Cierra todas las ventanas abiertas.
• Hacele doble clic al archivo ComboFix.exe y seguí las instrucciones.
• Cuando termine, generara un registro en C:\ComboFix.txt.
  • *Nota* Mientras CF este trabajando no mover el mouse ya que pararía su proceso.
  • *Nota* ComboFix puede reiniciar automáticamente el PC para completar el proceso de eliminación.

Paso 3- Descarga y ejecuta la nueva versión de*HijackThis 2.0.2 para generar y dejarnos un nuevo log en este mismo mensaje.


En tu Siguiente Post :

1. Log de Hjt
2. Reporte de ComboFix.

Salu2!
No olvides volver.

Hola Angel Doze,

Gracias de antemano por la paciencia y apoyo.
Increible que se ael primer caso de esta infeccion.

Antes de postera los logs solicitados, te comento que luego de hacer el scan del combofix la PC ha quedado lenta.

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 01:45:58 p.m., on 13/06/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Archivos de programa\Archivos comunes\LogiShrd\LVMVFM\LVPrcSrv.exe
C:\WINDOWS\system32\CTsvcCDA.exe
C:\Archivos de programa\ESET\ESET NOD32 Antivirus\ekrn.exe
C:\Archivos de programa\Archivos comunes\LogiShrd\LVCOMSER\LVComSer.exe
C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\MsPMSPSv.exe
C:\WINDOWS\system32\VTTimer.exe
C:\WINDOWS\system32\S3trayp.exe
C:\Archivos de programa\Google\Gmail Notifier\gnotify.exe
C:\Archivos de programa\Adobe\Acrobat 7.0\Distillr\Acrotray.exe
C:\Archivos de programa\Archivos comunes\InstallShield\UpdateService\issch.exe
C:\Archivos de programa\Archivos comunes\LogiShrd\LComMgr\Communications_Helper.exe
C:\Archivos de programa\Logitech\QuickCam\Quickcam.exe
C:\Archivos de programa\ESET\ESET NOD32 Antivirus\egui.exe
C:\Archivos de programa\Creative\ShareDLL\CtNotify.exe
C:\Archivos de programa\Java\jre1.6.0_05\bin\jusched.exe
C:\Archivos de programa\Creative\SBAudigy\TaskBar\CTLTray.exe
C:\Archivos de programa\Creative\SBAudigy\TaskBar\CTLTask.exe
C:\Archivos de programa\Creative\ShareDLL\MediaDet.exe
C:\Archivos de programa\Logitech\SetPoint\SetPoint.exe
C:\Archivos de programa\Archivos comunes\Logishrd\KHAL2\KHALMNPR.EXE
C:\Archivos de programa\Archivos comunes\Logishrd\LQCVFX\COCIManager.exe
C:\WINDOWS\explorer.exe
C:\Archivos de programa\Mozilla Firefox\firefox.exe
C:\Archivos de programa\SUPERAntiSpyware\SUPERAntiSpyware.exe
C:\Archivos de programa\Trend Micro\HijackThis\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
R3 - URLSearchHook: Barra Yahoo! - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Archivos de programa\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: &Yahoo! Toolbar Helper - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Archivos de programa\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Ipswitch.WsftpBrowserHelper - {601ED020-FB6C-11D3-87D8-0050DA59922B} - C:\Archivos de programa\Ipswitch\WS_FTP Pro\wsbho2k0.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.6.0_05\bin\ssv.dll
O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Barra Yahoo! - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Archivos de programa\Yahoo!\Companion\Installs\cpn\yt.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [VTTimer] VTTimer.exe
O4 - HKLM\..\Run: [S3Trayp] S3trayp.exe
O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [{0228e555-4f9c-4e35-a3ec-b109a192b4c2}] C:\Archivos de programa\Google\Gmail Notifier\gnotify.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Archivos de programa\Archivos comunes\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [WINDVDPatch] CTHELPER.EXE
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [Jet Detection] "C:\Archivos de programa\Creative\SBAudigy\PROGRAM\ADGJDet.exe"
O4 - HKLM\..\Run: [CTStartup] C:\Archivos de programa\Creative\Splash Screen\CTEaxSpl.EXE /run
O4 - HKLM\..\Run: [Acrobat Assistant 7.0] "C:\Archivos de programa\Adobe\Acrobat 7.0\Distillr\Acrotray.exe"
O4 - HKLM\..\Run: [ISUSPM Startup] "C:\Archivos de programa\Archivos comunes\InstallShield\UpdateService\isuspm.exe" -startup
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Archivos de programa\Archivos comunes\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [LogitechCommunicationsManager] "C:\Archivos de programa\Archivos comunes\LogiShrd\LComMgr\Communications_Helper.exe "
O4 - HKLM\..\Run: [LogitechQuickCamRibbon] "C:\Archivos de programa\Logitech\QuickCam\Quickcam.exe" /hide
O4 - HKLM\..\Run: [egui] "C:\Archivos de programa\ESET\ESET NOD32 Antivirus\egui.exe" /hide /waitservice
O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Disc Detector] C:\Archivos de programa\Creative\ShareDLL\CtNotify.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Archivos de programa\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKCU\..\Run: [TaskTray] "C:\Archivos de programa\Creative\SBAudigy\TaskBar\CTLTray.exe"
O4 - HKCU\..\Run: [TaskBar] "C:\Archivos de programa\Creative\SBAudigy\TaskBar\CTLTask.exe"
O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Archivos de programa\SUPERAntiSpyware\SUPERAntiSpyware.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICIO LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Servicio de red')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - S-1-5-18 Startup: Adobe Gamma.lnk = C:\Archivos de programa\Archivos comunes\Adobe\Calibration\Adobe Gamma Loader.exe (User 'SYSTEM')
O4 - .DEFAULT Startup: Adobe Gamma.lnk = C:\Archivos de programa\Archivos comunes\Adobe\Calibration\Adobe Gamma Loader.exe (User 'Default user')
O4 - Startup: Adobe Gamma.lnk = C:\Archivos de programa\Archivos comunes\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Reader Synchronizer.lnk = C:\Archivos de programa\Adobe\Reader 8.0\Reader\AdobeCollabSync.exe
O4 - Global Startup: Inicio rápido de Adobe Acrobat.lnk = ?
O4 - Global Startup: Inicio rápido de Adobe Reader.lnk = C:\Archivos de programa\Adobe\Reader 8.0\Reader\reader_sl.exe
O4 - Global Startup: Logitech SetPoint.lnk = C:\Archivos de programa\Logitech\SetPoint\SetPoint.exe
O8 - Extra context menu item: Convertir a PDF de Adobe - res://C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convertir a PDF existente - res://C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convertir destino de vínculo a PDF existente - res://C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convertir destino de vínculo en archivo PDF de Adobe - res://C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convertir selección a archivo PDF existente - res://C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convertir selección a PDF de Adobe - res://C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convertir vínculos seleccionados a PDF de Adobe - res://C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Convertir vínculos seleccionados a PDF existente - res://C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/spanish/kavwebscan_unicode.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - http://downloads.ewido.net/ewidoOnlineScan.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1196172741718
O16 - DPF: {6F750202-1362-4815-A476-88533DE61D0C} (Kodak Gallery Easy Upload Manager Class) - http://www.kodakgallery.com/downloads/BUM/BUM_WIN_IE_2/axofupld.cab
O16 - DPF: {6F750203-1362-4815-A476-88533DE61D0C} (Kodak Gallery Easy Upload Manager Class) - http://www.kodakgallery.com/downloads/BUM/BUM_WIN_IE_2/axofupld.cab
O16 - DPF: {8A94C905-FF9D-43B6-8708-F0F22D22B1CB} (Wwlaunch Control) - http://www.worldwinner.com/games/shared/wwlaunch.cab
O16 - DPF: {E87F6C8E-16C0-11D3-BEF7-009027438003} (Persits Software XUpload) - http://upload.mediamax.com/Upload/XUpload.ocx
O16 - DPF: {FAE74270-E5EE-49C3-B816-EA8B4D55F38F} (H2hPool Control) - http://www.worldwinner.com/games/v53/h2hpool/h2hpool.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{5D4C495C-11D0-478E-A83C-98402317B454}: NameServer = 200.48.225.130,200.48.225.146
O20 - Winlogon Notify: !SASWinLogon - C:\Archivos de programa\SUPERAntiSpyware\SASWINLO.DLL
O23 - Service: Adobe LM Service - Adobe Systems - C:\Archivos de programa\Archivos comunes\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.exe
O23 - Service: Eset HTTP Server (EhttpSrv) - ESET - C:\Archivos de programa\ESET\ESET NOD32 Antivirus\EHttpSrv.exe
O23 - Service: Eset Service (ekrn) - ESET - C:\Archivos de programa\ESET\ESET NOD32 Antivirus\ekrn.exe
O23 - Service: Logitech Bluetooth Service (LBTServ) - Logitech, Inc. - C:\Archivos de programa\Archivos comunes\Logitech\Bluetooth\LBTServ.exe
O23 - Service: LVCOMSer - Logitech Inc. - C:\Archivos de programa\Archivos comunes\LogiShrd\LVCOMSER\LVComSer.exe
O23 - Service: Process Monitor (LVPrcSrv) - Logitech Inc. - C:\Archivos de programa\Archivos comunes\LogiShrd\LVMVFM\LVPrcSrv.exe
O23 - Service: LVSrvLauncher - Logitech Inc. - C:\Archivos de programa\Archivos comunes\LogiShrd\SrvLnch\SrvLnch.exe
O23 - Service: NBService - Nero AG - C:\Archivos de programa\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Archivos de programa\Archivos comunes\Ahead\Lib\NMIndexingService.exe
O23 - Service: Windows Live Setup Service (WLSetupSvc) - Unknown owner - C:\Archivos de programa\Windows Live\installer\WLSetupSvc.exe

--
End of file - 11657 bytes




ComboFix 08-06-11.7 - ADM 2008-06-13 13:22:49.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.34.3082.18.1554 [GMT -5:00]
Se ejecuta desde: D:\Downloads\Combofix\ComboFix.exe
* Creado un nuevo punto de restauración

ADVERTENCIA - ESTE EQUIPO NO TIENE INSTALADA LA CONSOLA DE RECUPERACION!
.

(((((((((((((((((( Archivos creados desde 2008-05-13 - 2008-06-13 )))))))))))))))))))))))))))))))))
.

2008-06-12 13:43 . 2008-06-12 13:43 <DIR> d-------- C:\Documents and Settings\All Users\Datos de programa\Malwarebytes
2008-06-12 13:43 . 2008-06-12 13:43 <DIR> d-------- C:\Documents and Settings\ADM\Datos de programa\Malwarebytes
2008-06-12 13:43 . 2008-06-12 13:43 <DIR> d-------- C:\Archivos de programa\Malwarebytes' Anti-Malware
2008-06-12 13:43 . 2008-06-10 19:02 34,296 --a------ C:\WINDOWS\system32\drivers\mbamcatchme.sys
2008-06-12 13:43 . 2008-06-10 19:02 15,864 --a------ C:\WINDOWS\system32\drivers\mbam.sys
2008-06-11 18:33 . 2008-06-12 18:56 3,206,968 --a------ C:\WINDOWS\{00000004-00000000-00000004-00001102-00000004-00511102}.BAK
2008-06-11 18:25 . 2008-06-11 18:25 <DIR> d-------- C:\WINDOWS\system32\Kaspersky Lab
2008-06-11 17:50 . 2008-06-11 18:07 <DIR> d-------- C:\Archivos de programa\RegCleaner
2008-06-11 12:40 . 2008-06-11 12:41 <DIR> d-------- C:\Archivos de programa\Panda Security
2008-06-10 12:41 . 2008-06-10 12:41 0 --a------ C:\WINDOWS\nsreg.dat
2008-06-09 18:24 . 2008-06-09 18:24 <DIR> d-------- C:\Documents and Settings\All Users\Datos de programa\SUPERAntiSpyware.com
2008-06-09 18:23 . 2008-06-09 18:23 <DIR> d-------- C:\Documents and Settings\ADM\Datos de programa\SUPERAntiSpyware.com
2008-06-09 18:23 . 2008-06-10 13:31 <DIR> d-------- C:\Archivos de programa\SUPERAntiSpyware
2008-06-09 18:23 . 2008-06-09 18:23 <DIR> d-------- C:\Archivos de programa\Archivos comunes\Wise Installation Wizard
2008-06-09 18:07 . 2008-06-09 18:11 <DIR> d-------- C:\Archivos de programa\SpywareGuard
2008-06-02 13:13 . 2008-06-02 13:13 <DIR> d--h----- C:\WINDOWS\PIF
2008-06-02 10:45 . 2008-06-02 10:45 130 --a------ C:\WINDOWS\system32\rpireica.bin
2008-06-02 10:36 . 2005-06-01 12:15 966,144 --a------ C:\WINDOWS\system32\NCTAudioInformation2.dll
2008-06-02 10:36 . 2005-06-01 12:11 877,568 --a------ C:\WINDOWS\system32\NCTAudioFile2.dll
2008-06-02 10:36 . 2002-04-07 22:14 724,992 --a------ C:\WINDOWS\system32\ebCrypt.dll
2008-06-02 10:36 . 2004-03-09 00:00 609,824 --a------ C:\WINDOWS\system32\COMCTL32.OCX
2008-06-02 10:36 . 2003-05-15 12:07 389,120 --a------ C:\WINDOWS\system32\actskn43.ocx
2008-06-02 10:36 . 2006-02-17 13:53 368,640 --a------ C:\WINDOWS\system32\MACDLL.dll
2008-06-02 10:36 . 2003-10-29 22:43 253,952 --a------ C:\WINDOWS\system32\SkinBoxer43.dll
2008-06-02 10:36 . 2003-08-07 15:01 237,568 --a------ C:\WINDOWS\system32\lame_enc.dll
2008-06-02 10:36 . 2000-01-28 13:58 102,400 --a------ C:\WINDOWS\system32\ccrpprg6.ocx
2008-06-02 10:36 . 2008-03-13 15:55 20,992 --a------ C:\WINDOWS\system32\srmApeInfo.dll
2008-06-02 10:35 . 2008-06-02 10:36 <DIR> d-------- C:\Archivos de programa\Ape Ripper
2008-05-24 14:30 . 2008-05-24 14:30 <DIR> d-------- C:\Documents and Settings\All Users\Datos de programa\Hewlett-Packard
2008-05-22 11:35 . 2008-06-11 18:30 54,156 --ah----- C:\WINDOWS\QTFont.qfn
2008-05-22 11:35 . 2008-05-22 11:35 1,409 --a------ C:\WINDOWS\QTFont.for
2008-05-14 18:25 . 2008-05-14 18:25 <DIR> d-------- C:\WINDOWS\Sun

.
(((((((((((((((((((((((((((((((((((((( Reporte Find3M )))))))))))))))))))))))))))))))))))))))))))))))))) )
.
2008-06-09 21:08 2,516 --sha-w C:\WINDOWS\system32\KGyGaAvL.sys
2008-06-04 14:55 --------- d-----w C:\Documents and Settings\ADM\Datos de programa\U3
2008-05-13 20:19 --------- d-----w C:\Archivos de programa\Microsoft Works
2008-05-09 14:59 --------- d-----w C:\Documents and Settings\ADM\Datos de programa\AdobeUM
2008-05-05 17:20 --------- d-----w C:\Archivos de programa\Java
2008-05-05 17:18 --------- d-----w C:\Archivos de programa\Archivos comunes\Java
2008-04-23 15:58 --------- d-----w C:\Documents and Settings\ADM\Datos de programa\MailWasherPro
2008-04-21 17:14 --------- d-----w C:\Archivos de programa\Common Files
2008-04-21 17:13 --------- d-----w C:\Archivos de programa\Yahoo!
.

((((((((((((((((((((((((((((((((( Cargando Puntos Reg ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Nota* entradas vacías & entradas legítimas predeterminadas no son mostradas

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\Run]
"TaskTray"="C:\Archivos de programa\Creative\SBAudigy\TaskBar\CTLTray.exe" [2001-06-29 01:00 163840]
"TaskBar"="C:\Archivos de programa\Creative\SBAudigy\TaskBar\CTLTask.exe" [2002-05-08 01:00 122880]
"SUPERAntiSpyware"="C:\Archivos de programa\SUPERAntiSpyware\SUPERAntiSpyware.exe" [2008-06-03 23:05 1510640]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run]
"VTTimer"="VTTimer.exe" [2006-09-21 03:36 53248 C:\WINDOWS\system32\VTTimer.exe]
"S3Trayp"="S3trayp.exe" [2007-02-05 18:30 176128 C:\WINDOWS\system32\S3Trayp.exe]
"Logitech Hardware Abstraction Layer"="KHALMNPR.EXE" [2007-09-21 03:10 55824 C:\WINDOWS\KHALMNPR.Exe]
"{0228e555-4f9c-4e35-a3ec-b109a192b4c2}"="C:\Archivos de programa\Google\Gmail Notifier\gnotify.exe" [2005-07-15 16:48 479232]
"NeroFilterCheck"="C:\Archivos de programa\Archivos comunes\Ahead\Lib\NeroCheck.exe" [2007-03-01 15:57 153136]
"WINDVDPatch"="CTHELPER.EXE" [2002-07-02 04:56 24576 C:\WINDOWS\system32\CTHELPER.EXE]
"UpdReg"="C:\WINDOWS\UpdReg.EXE" [2000-05-11 01:00 90112]
"Jet Detection"="C:\Archivos de programa\Creative\SBAudigy\PROGRAM\ADGJDet.exe" [2001-11-29 01:00 28672]
"CTStartup"="C:\Archivos de programa\Creative\Splash Screen\CTEaxSpl.exe" [2001-12-20 01:00 28672]
"Acrobat Assistant 7.0"="C:\Archivos de programa\Adobe\Acrobat 7.0\Distillr\Acrotray.exe" [2008-04-23 02:08 483328]
"@"="" []
"ISUSPM Startup"="C:\Archivos de programa\Archivos comunes\InstallShield\UpdateService\isuspm.exe" [2005-08-11 16:30 249856]
"ISUSScheduler"="C:\Archivos de programa\Archivos comunes\InstallShield\UpdateService\issch.exe" [2005-08-11 16:30 81920]
"LogitechCommunicationsManager"="C:\Archivos de programa\Archivos comunes\LogiShrd\LComMgr\Communications_Helper.exe " [2007-10-25 16:33 563984]
"LogitechQuickCamRibbon"="C:\Archivos de programa\Logitech\QuickCam\Quickcam.exe" [2007-10-25 16:37 2178832]
"egui"="C:\Archivos de programa\ESET\ESET NOD32 Antivirus\egui.exe" [2007-12-21 08:21 1443072]
"QuickTime Task"="C:\Archivos de programa\QuickTime\qttask.exe" [2008-01-31 23:13 385024]
"Disc Detector"="C:\Archivos de programa\Creative\ShareDLL\CtNotify.exe" [2001-12-25 13:00 191488]
"SunJavaUpdateSched"="C:\Archivos de programa\Java\jre1.6.0_05\bin\jusched.exe" [2008-02-22 04:25 144784]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\Cur rentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-19 08:42 15360]

C:\Documents and Settings\ADM\Men£ Inicio\Programas\Inicio\
Adobe Gamma.lnk - C:\Archivos de programa\Archivos comunes\Adobe\Calibration\Adobe Gamma Loader.exe [2005-03-16 19:16:50 113664]

C:\Documents and Settings\ADM\Men£ Inicio\Programas\Inicio\
Adobe Gamma.lnk - C:\Archivos de programa\Archivos comunes\Adobe\Calibration\Adobe Gamma Loader.exe [2005-03-16 19:16:50 113664]

C:\Documents and Settings\ADM\Men£ Inicio\Programas\Inicio\
Adobe Gamma.lnk - C:\Archivos de programa\Archivos comunes\Adobe\Calibration\Adobe Gamma Loader.exe [2005-03-16 19:16:50 113664]

C:\Documents and Settings\All Users\Men£ Inicio\Programas\Inicio\
Adobe Reader Synchronizer.lnk - C:\Archivos de programa\Adobe\Reader 8.0\Reader\AdobeCollabSync.exe [2006-10-23 00:01:50 734872]
Inicio r pido de Adobe Acrobat.lnk - C:\WINDOWS\Installer\{AC76BA86-1034-4700-7760-000000000002}\SC_Acrobat.exe [2007-11-29 11:31:39 25214]
Inicio r pido de Adobe Reader.lnk - C:\Archivos de programa\Adobe\Reader 8.0\Reader\reader_sl.exe [2006-10-23 01:48:20 40048]
Logitech SetPoint.lnk - C:\Archivos de programa\Logitech\SetPoint\SetPoint.exe [2008-02-25 09:27:31 784912]

[hkey_local_machine\software\microsoft\windows\curr entversion\explorer\shellexecutehooks]
"{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA}"= C:\Archivos de programa\SUPERAntiSpyware\SASSEH.DLL [2008-06-10 10:30 77824]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\!SASWinLogon]
C:\Archivos de programa\SUPERAntiSpyware\SASWINLO.DLL 2008-06-10 10:30 294912 C:\Archivos de programa\SUPERAntiSpyware\SASWINLO.DLL

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\LBTWlgn]
c:\archivos de programa\archivos comunes\logitech\bluetooth\LBTWlgn.dll 2007-11-15 10:10 72208 c:\Archivos de programa\Archivos comunes\Logitech\Bluetooth\LBTWLgn.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"msacm.ctmp3"= C:\WINDOWS\system32\ctmp3.acm

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Contro l\SafeBoot\Minimal\WdfLoadGroup]
@=""

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"UpdatesDisableNotify"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpo licy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Archivos de programa\\MSN Messenger\\msnmsgr.exe"=
"C:\\Archivos de programa\\MSN Messenger\\livecall.exe"=

R0 videX32;videX32;C:\WINDOWS\system32\DRIVERS\videX3 2.sys [2006-10-17 07:22]
R0 xfilt;VIA SATA IDE Hot-plug Driver;C:\WINDOWS\system32\DRIVERS\xfilt.sys [2006-10-18 04:39]
R1 epfwtdir;epfwtdir;C:\WINDOWS\system32\DRIVERS\epfw tdir.sys [2007-12-21 08:21]
R2 BCMNTIO;BCMNTIO;C:\ARCHIV~1\CheckIt\DIAGNO~1\BCMNT IO.sys [2004-03-05 17:09]
R2 MAPMEM;MAPMEM;C:\ARCHIV~1\CheckIt\DIAGNO~1\MAPMEM. sys [2004-03-05 17:09]
R3 DLKRTS;D-Link DFE-530TX+ PCI Adapter;C:\WINDOWS\system32\DRIVERS\DLKRTS.SYS [2002-06-23 16:31]
R3 S3GIGP;S3GIGP;C:\WINDOWS\system32\DRIVERS\S3gIGPm. sys [2007-03-04 20:54]
R3 USBSTOR;Dispositivo de almacenamiento masivo de datos USB;C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS [2004-08-03 23:08]
S3 usbscan;Controlador de escáner USB;C:\WINDOWS\system32\DRIVERS\usbscan.sys [2004-08-03 22:58]
S3 viafilter;VIA USB Filter;C:\WINDOWS\system32\Drivers\viausb.sys [2001-08-20 17:11]

[HKEY_CURRENT_USER\software\microsoft\windows\curre ntversion\explorer\mountpoints2\{dba4bc0a-cf47-11dc-83ac-00055d53cf8c}]
\Shell\AutoRun\command - fooool.exe
\Shell\explore\Command - fooool.exe
\Shell\open\Command - fooool.exe

*Newly Created Service* - CATCHME
.
************************************************** ************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-06-13 13:29:46
Windows 5.1.2600 Service Pack 2 NTFS

escaneando procesos ocultos ...

escaneando entradas ocultas de autostart ...

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
CTStartup = C:\Archivos de programa\Creative\Splash Screen\CTEaxSpl.EXE /run???s?????\?w? ?w???????w???w4???????.??w4???????4???TA?s4??????? t'7????wd??w????????\???\??????????????w-??w\???\?????????`??????C@?\???\??????s????\?????? s\???X'7?A??sX'7??C@?x???`|?w\?????@
Disc Detector = C:\Archivos de programa\Creative\ShareDLL\CtNotify.exe??????????? ???E?@?Detector de disco??? ?A?? ????B?e!@???@???@?? C?????E?@?????????@?B???A????? ?A?`?????B???@?????P?????@?????????k??w??????????@ ???????????????????B?????l???????????????????????? ???r?B

escaneando archivos ocultos ...

el escaneo se completo con exito
archivos ocultos: 0

************************************************** ************************
.
Tiempo completado: 2008-06-13 13:35:21
ComboFix-quarantined-files.txt 2008-06-13 18:34:42

8 dirs 39,260,082,176 bytes libres
10 dirs 41,435,115,520 bytes libres

145



Quedo a la espera de tus comentarios y nuevas instrucciones.
Gracias.

Salv2.

Hola DJ BRUJO,

Tu caso si parece algo complicado y mas que nada por lo que comentas que esto sale en muchos o la mayoría de tus archivos de música, por lo que en caso de que algún malware lo haya puesto, es difícil que por mas que elimines este, estos archivos se limpien solos.

Los reportes de HijackThis y ComboFix no muestran nada extraño.

No veo la imagen que pusiste arriba por lo que no puedo ver el link y tendrías que ver por un lado si no instalaste algún programa en particular que puede haber causado la modificaciones de los archivos y por otro lado seria interesante si nos podes enviar unas muestras de los archivos que tengas como infectados al Canal de InfoSpyware en BC para ver si lo podemos analizar un poco mas a fondo.

Salu2