Foro de InfoSpyware - Foro de Hijackthis - Foro de Virus

Gracias por tomar en cuenta mi problema

Yo tengo el SupeAntiSpyware professional instalado en mi computadora. Este antivirus me detecto problemita que creo que esta relacionado con el amvo.exe. Al tratar de acceder a una unidad de disco duro me aparecía un mensaje de error, y en la barra de titulo de este mensaje aparecía el nombre qa8sywva.cmd. A los días mi PC comenzó a detectarme una unidad de disco duro como si fuera una unidad de almacenamiento externo. Incluso, en la barra inferior de windows me aparece el icono para que pueda expulsar de la unidad de disco duro de una manera segura. Con respecto al virus, yo creo que ya lo logré eliminar usando la información de este foro, y Active Scan. Pero me preocupa que la PC aún no me reconoce un disco duro como tal. ¿ creen se deba a algún virus, o algún de tipo de configuración equivocada?

Espero puedan darme un mano con mi problema...

David

Hola , te doy la bienvenida al Foro de InfoSpyware.


Descarga, actualiza y ejecuta el programa:

• SUPERAntiSpyware

Descarga CCleaner y ejecútalo usando primero su opción de "Limpiador" para borrar cookies, temporales de Internet y todos los archivos que este te muestre como obsoletos, y luego usa su opción de "Registro" para limpiar todo el registro de Windows (haciendo copia de seguridad).


- Descarga la herramienta ComboFix.exe y guárdala en el escritorio.

• Desactiva temporalmente el Antivirus y/o Antispyware.
• Cierra todas las ventanas abiertas.
• Hacele doble clic al archivo ComboFix.exe y seguí las instrucciones.
• Cuando termine, generara un registro en C:\ComboFix.txt.
  • *Nota* Mientras CF este trabajando no mover el mouse ya que pararía su proceso.
  • *Nota* ComboFix puede reiniciar automáticamente el PC para completar el proceso de eliminación.

• Reinicia y pega el reporte de C:\ComboFix.txt en este mismo mensaje.

Salu2
Recuerda volver y contarnos los resltados

Gracias por la ayuda amigo.
Hice lo que me dijiste. El sistema aún me sigue mostrando en la barra de tareas de Windows el icono de quitar hardware con seguridad para expulsar uno de los discos duros. El siguiente es el reporte te ComboFix.

ComboFix 08-06-20.4 - DAVID 2008-06-22 10:53:02.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.3082.18.469 [GMT -6:00]
Se ejecuta desde: C:\Documents and Settings\DAVID\Escritorio\ComboFix.exe
* Creado un nuevo punto de restauración

ADVERTENCIA - ESTE EQUIPO NO TIENE INSTALADA LA CONSOLA DE RECUPERACION!
.

(((((((((((((((((( Archivos creados desde 2008-05-22 - 2008-06-22 )))))))))))))))))))))))))))))))))
.

2008-06-19 10:58 . 2008-06-19 10:58 <DIR> d-------- C:\Documents and Settings\All Users\Datos de programa\Yahoo! Companion
2008-06-18 21:49 . 2008-06-18 21:49 <DIR> d-------- C:\Archivos de programa\CCleaner
2008-06-18 21:24 . 2008-06-18 21:24 <DIR> d-------- C:\Documents and Settings\Administrador\Datos de programa\Talkback
2008-06-18 21:17 . 2008-06-18 21:17 <DIR> d-------- C:\Documents and Settings\Administrador\Datos de programa\SUPERAntiSpyware.com
2008-06-18 21:09 . 2007-04-05 02:26 <DIR> d--h----- C:\Documents and Settings\Administrador\Reciente
2008-06-18 21:09 . 2007-04-05 09:33 <DIR> d--h----- C:\Documents and Settings\Administrador\Plantillas
2008-06-18 21:09 . 2007-04-05 02:26 <DIR> d-------- C:\Documents and Settings\Administrador\Mis documentos
2008-06-18 21:09 . 2007-04-05 02:26 <DIR> dr------- C:\Documents and Settings\Administrador\Menú Inicio
2008-06-18 21:09 . 2007-04-05 02:26 <DIR> d--h----- C:\Documents and Settings\Administrador\Impresoras
2008-06-18 21:09 . 2008-06-18 21:37 <DIR> d-------- C:\Documents and Settings\Administrador\Favoritos
2008-06-18 21:09 . 2007-04-05 02:26 <DIR> d-------- C:\Documents and Settings\Administrador\Escritorio
2008-06-18 21:09 . 2007-04-05 02:26 <DIR> d--h----- C:\Documents and Settings\Administrador\Entorno de red
2008-06-18 21:09 . 2008-06-18 21:23 <DIR> dr-h----- C:\Documents and Settings\Administrador\Datos de programa
2008-06-18 21:09 . 2008-06-22 10:54 <DIR> d--h----- C:\Documents and Settings\Administrador\Configuración local
2008-06-18 21:09 . 2008-06-18 21:09 <DIR> d-------- C:\Documents and Settings\Administrador
2008-06-15 08:18 . 2008-06-15 10:07 <DIR> d-------- C:\Documents and Settings\DAVID\.housecall6.6
2008-06-13 20:19 . 2008-06-13 20:23 <DIR> d-------- C:\Archivos de programa\Panda Security
2008-06-03 13:52 . 2008-06-03 13:53 <DIR> d-------- C:\Archivos de programa\Longman iBT

.
(((((((((((((((((((((((((((((((((((((( Reporte Find3M )))))))))))))))))))))))))))))))))))))))))))))))))) )
.
2008-06-22 14:22 --------- d-----w C:\Documents and Settings\All Users\Datos de programa\Google Updater
2008-06-21 04:05 --------- d-----w C:\Documents and Settings\DAVID\Datos de programa\Skype
2008-06-20 23:06 --------- d-----w C:\Documents and Settings\DAVID\Datos de programa\skypePM
2008-06-19 03:49 --------- d-----w C:\Archivos de programa\Yahoo!
2008-06-03 19:55 --------- d-----w C:\Archivos de programa\SUPERAntiSpyware
2008-05-26 16:48 --------- d-----w C:\Archivos de programa\Easy CD-DA Extractor 8
2008-05-19 15:37 90,112 ----a-w C:\WINDOWS\DUMP5832.tmp
2008-04-24 11:46 --------- d-----w C:\Archivos de programa\Picasa2
2007-12-23 05:08 32 ----a-w C:\Documents and Settings\All Users\Datos de programa\ezsid.dat
.

((((((((((((((((((((((((((((((((( Cargando Puntos Reg ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Nota* entradas vacías & entradas legítimas predeterminadas no son mostradas

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\Run]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-19 15:42 15360]
"SUPERAntiSpyware"="C:\Archivos de programa\SUPERAntiSpyware\SUPERAntiSpyware.exe" [2008-06-03 13:55 1506544]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\Cur rentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-19 15:42 15360]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\Cur rentVersion\RunOnce]
"FFTI"="C:\Documents and Settings\DAVID\Datos de programa\Mozilla\Firefox\Profiles\nabepsvo.default \extensions\{B13721C7-F507-4982-B2E5-502A71474FED}\unins000.exe" [ ]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\curr entversion\policies\explorer\run]
"waultc"= C:\WINDOWS\system32\waultc.exe

[hkey_local_machine\software\microsoft\windows\curr entversion\explorer\shellexecutehooks]
"{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA}"= C:\Archivos de programa\SUPERAntiSpyware\SASSEH.DLL [2008-05-21 10:19 77824]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\!SASWinLogon]
C:\Archivos de programa\SUPERAntiSpyware\SASWINLO.dll 2007-04-19 12:41 294912 C:\Archivos de programa\SUPERAntiSpyware\SASWINLO.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"=C:\ARCHIV~1\Google\GOOGLE~3\GOEC62~ 1.DLL

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menú Inicio^Programas^Inicio^Google Updater.lnk]
path=C:\Documents and Settings\All Users\Menú Inicio\Programas\Inicio\Google Updater.lnk
backup=C:\WINDOWS\pss\Google Updater.lnkCommon Startup

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menú Inicio^Programas^Inicio^Inicio rápido de Adobe Reader.lnk]
path=C:\Documents and Settings\All Users\Menú Inicio\Programas\Inicio\Inicio rápido de Adobe Reader.lnk
backup=C:\WINDOWS\pss\Inicio rápido de Adobe Reader.lnkCommon Startup

[HKLM\~\startupfolder\C:^Documents and Settings^DAVID^Menú Inicio^Programas^Inicio^iTunes.lnk]
path=C:\Documents and Settings\DAVID\Menú Inicio\Programas\Inicio\iTunes.lnk
backup=C:\WINDOWS\pss\iTunes.lnkStartup

[HKLM\~\startupfolder\C:^Documents and Settings^DAVID^Menú Inicio^Programas^Inicio^Yahoo! Widget Engine.lnk]
path=C:\Documents and Settings\DAVID\Menú Inicio\Programas\Inicio\Yahoo! Widget Engine.lnk
backup=C:\WINDOWS\pss\Yahoo! Widget Engine.lnkStartup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]
--a------ 2008-01-11 22:16 39792 C:\Archivos de programa\Adobe\Reader 8.0\Reader\Reader_sl.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\amva]
C:\WINDOWS\system32\amvo.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AnyDVD]
--a------ 2005-03-20 07:48 328192 C:\Archivos de programa\SlySoft\AnyDVD\AnyDVD.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AVG7_CC]
C:\ARCHIV~1\Grisoft\AVG7\avgcc.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}]
--a------ 2005-10-28 16:25 94208 C:\Archivos de programa\Archivos comunes\Ahead\lib\NMBgMonitor.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CTFMON.EXE]
--a------ 2004-08-19 15:42 15360 C:\WINDOWS\system32\ctfmon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Easy-PrintToolBox]
--a------ 2004-01-13 19:10 409600 C:\Archivos de programa\Canon\Easy-PrintToolBox\BJPSMAIN.EXE

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\eMuleAutoStart]
--a--c--- 2008-05-11 05:19 5423104 D:\MIS ARCHIVOS DE PROGRAMA\eMULE\emule.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Google Desktop Search]
--a------ 2008-01-29 20:41 1836544 C:\Archivos de programa\Google\Google Desktop Search\GoogleDesktop.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\googletalk]
--a------ 2007-01-01 15:22 3739648 C:\Archivos de programa\Google\Google Talk\googletalk.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\GrooveMonitor]
--a------ 2006-10-27 00:47 31016 C:\Archivos de programa\Microsoft Office\Office12\GrooveMonitor.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper]
--a--c--- 2008-03-30 10:36 267048 D:\MIS ARCHIVOS DE PROGRAMA\iTunes\iTunesHelper.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\KernelFaultCheck]
C:\WINDOWS\system32\dumprep 0 -k

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS]
--------- 2004-10-13 10:24 1694208 C:\Archivos de programa\Messenger\msmsgs.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
--a------ 2001-07-09 10:50 155648 C:\WINDOWS\system32\NeroCheck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PhotoShow Deluxe Media Manager]
--a------ 2005-02-25 18:28 212992 C:\ARCHIV~1\Nero\data\Xtras\mssysmgr.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Picasa Media Detector]
--a------ 2008-02-25 19:23 443968 C:\Archivos de programa\Picasa2\PicasaMediaDetector.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]
--a------ 2008-03-28 23:37 413696 C:\Archivos de programa\QuickTime\QTTask.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SDTray]
C:\Archivos de programa\Spyware Doctor\SDTrayApp.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\slide.exe]
C:\Archivos de programa\Slide\Slide.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SoundMan]
--a------ 2006-03-01 16:22 577536 C:\WINDOWS\soundman.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
--a------ 2005-06-03 03:52 36975 C:\Archivos de programa\Java\jre1.5.0_04\bin\jusched.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SUPERAntiSpyware]
D:\MIS ARCHIVOS DE PROGRAMA\SUPERAntiSpyware\SUPERAntiSpyware.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\updateMgr]
C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\VTTimer]
--a------ 2005-03-08 03:33 53248 C:\WINDOWS\system32\VTTimer.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\VTTrayp]
--a------ 2005-03-11 17:33 147456 C:\WINDOWS\system32\VTTrayp.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"Themes"=2 (0x2)
"stisvc"=3 (0x3)

[HKLM\~\services\sharedaccess\parameters\firewallpo licy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Archivos de programa\\Microsoft Office\\Office12\\OUTLOOK.EXE"=
"C:\\Archivos de programa\\Microsoft Office\\Office12\\GROOVE.EXE"=
"C:\\Archivos de programa\\Microsoft Office\\Office12\\ONENOTE.EXE"=
"D:\\MIS ARCHIVOS DE PROGRAMA\\eMULE\\emule.exe"=
"C:\\Archivos de programa\\Google\\Google Talk\\googletalk.exe"=
"C:\\Archivos de programa\\Messenger\\msmsgs.exe"=
"D:\\MIS ARCHIVOS DE PROGRAMA\\iTunes\\iTunes.exe"=
"C:\\Archivos de programa\\Skype\\Phone\\Skype.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpo licy\standardprofile\GloballyOpenPorts\List]
"4661:TCP"= 4661:TCP:eMule

R0 videX32;videX32;C:\WINDOWS\system32\DRIVERS\videX3 2.sys [2006-02-22 21:38]
R0 xfilt;VIA SATA IDE Hot-plug Driver;C:\WINDOWS\system32\DRIVERS\xfilt.sys [2006-02-22 21:39]
R1 BIOS;BIOS;C:\WINDOWS\system32\drivers\BIOS.sys [2005-03-16 00:23]

[HKEY_CURRENT_USER\software\microsoft\windows\curre ntversion\explorer\mountpoints2\{14b3a1c0-ebc1-11db-9331-00192105f31e}]
\Shell\Auto\command - MSOCache\doWTP_RESTORE_0.exe -autorun
\Shell\AutoRun\command - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL MSOCache\doWTP_RESTORE_0.exe -autorun

[HKEY_CURRENT_USER\software\microsoft\windows\curre ntversion\explorer\mountpoints2\{4ca1edd2-1c6b-11dc-93df-00192105f31e}]
\Shell\AutoRun\command - I:\qa8sywva.cmd
\Shell\explore\Command - I:\qa8sywva.cmd
\Shell\open\Command - I:\qa8sywva.cmd

[HKEY_CURRENT_USER\software\microsoft\windows\curre ntversion\explorer\mountpoints2\{5e8b98c1-8707-11dc-9536-00192105f31e}]
\Shell\Auto\command - MSOCache\doWTP_RESTORE_0.exe -autorun
\Shell\AutoRun\command - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL MSOCache\doWTP_RESTORE_0.exe -autorun

[HKEY_CURRENT_USER\software\microsoft\windows\curre ntversion\explorer\mountpoints2\{9ca884d3-e5f9-11db-931c-00192105f31e}]
\Shell\AutoRun\command - uq9peya.bat
\Shell\explore\Command - uq9peya.bat
\Shell\open\Command - uq9peya.bat

[HKEY_CURRENT_USER\software\microsoft\windows\curre ntversion\explorer\mountpoints2\{9f0b248e-e396-11db-930b-00192105f31e}]
\Shell\Auto\command - sxs.exe
\Shell\AutoRun\command - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL sxs.exe

[HKEY_CURRENT_USER\software\microsoft\windows\curre ntversion\explorer\mountpoints2\{b5e70b1c-149f-11dd-9639-00192105f31e}]
\Shell\AutoRun\command - G:\xpbkh.com
\Shell\explore\Command - G:\xpbkh.com
\Shell\open\Command - G:\xpbkh.com

[HKEY_CURRENT_USER\software\microsoft\windows\curre ntversion\explorer\mountpoints2\{f073977c-e566-11db-931a-00192105f31e}]
\Shell\AutoRun\command - H:\qa8sywva.cmd
\Shell\explore\Command - H:\qa8sywva.cmd
\Shell\open\Command - H:\qa8sywva.cmd

*Newly Created Service* - CATCHME

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{A5CDF7EC-751B-46aa-AD69-4005FE080DE9}]
C:\WINDOWS\system32\wmnist.exe s

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{B5524A64-DFD0-4868-9A26-868BC2DC8AC2}]
C:\WINDOWS\system32\wowsv.exe -a
.
Contenido de carpeta 'Tareas Programadas'
"2008-04-20 17:52:47 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job"
- C:\Archivos de programa\Apple Software Update\SoftwareUpdate.exe
"2008-06-20 21:00:00 C:\WINDOWS\Tasks\Norton Security Scan.job"
- C:\Archivos de programa\Norton Security Scan\Nss.exe
.
************************************************** ************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-06-22 10:54:44
Windows 5.1.2600 Service Pack 2 NTFS

escaneando procesos ocultos ...

escaneando entradas ocultas de autostart ...

escaneando archivos ocultos ...

el escaneo se completo con exito
archivos ocultos: 0

************************************************** ************************
.
Tiempo completado: 2008-06-22 10:56:23
ComboFix-quarantined-files.txt 2008-06-22 16:56:19

12 dirs 8,132,243,456 bytes libres
16 dirs 8,360,693,760 bytes libres

193