Hola.

Estoy ayudando una amiga a solucionar un problema de "ventana emergente" en su sistema.

Tiene Windows XP, Mozilla Firefox y desde la semana pasada tiene una ventana del Messenger Service que aparece de forma recurente, indicando :
Messenger Service
Message de System a Alert el 10/02/08 11:37:50 am
STOP! WINDOWS REQUIRES INMEDIATE ETTENTION
Windows has found critical system errors.
Run Registry Repair from http://www.regfixes.com
Failure to act now may lead to data loss and corruption!

A veces la ventana hace referencia a otros sitios web parecidos a www.regfixes.com

La maquina tiene instalada NOD32 como antivirus. Este no detecta ningun malware en la maquina.

Hice una busqueda y consegui problemas similares que ya han sido solucionados por el equipo de Infospyware, y me guie en particular por un log de Celta38, iniciado el 10/02/06 bajo el titulo "Regfixit o Regfixes". Pero lamentablemente el log de Hijackthis que realice en la maquina no contiene la linea donde yo pensaba encontrar el problema ( O4 - HKLM\..\Run: [winupdates] C:\Archivos de programa\winupdates\winupdates.exe /auto ). Por lo tanto no pude realizar el procedimiento indicado alli.
Sin embargo use Spybot Search and Destroy, y hice un scan en linea con Panda, sin resultado.
Realizando mas busqueda, consegui un sitio ( www.precisesecurity.com ) que indicaba un procedimiento para atacar un problema con los mismos sintomes, usando una herramienta llamada SmitFraud Malware Removal Tool, pero tampoco me soluciono el problema. Termine desabilitando el servicio del Messenger Service para bloquear las ventanas emergentes, pero esto no elimina la raiz del mal.
Asi que les pego a continuación el log de HijackThis.
Muchas gracias de antemano por su ayuda.

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15:01:13, on 22/07/2008
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Archivos de programa\Eset\nod32krn.exe
C:\Archivos de programa\CyberLink\Shared files\RichVideo.exe
C:\Archivos de programa\CyberLink\PowerDVD\PDVDServ.exe
C:\WINDOWS\System32\svchost.exe
C:\Archivos de programa\Eset\nod32kui.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Archivos de programa\Microsoft Student\Microsoft Student 2006 - DVD\EDICT.EXE
C:\Archivos de programa\Messenger\msmsgs.exe
C:\Archivos de programa\TEXTware\HotKey\Twalink.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Archivos de programa\Trend Micro\HijackThis\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Archivos de programa\Yahoo!\Companion\Installs\cpn\yt.dll (file missing)
O4 - HKLM\..\Run: [RemoteControl] "C:\Archivos de programa\CyberLink\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [LanguageShortcut] "C:\Archivos de programa\CyberLink\PowerDVD\Language\Language.exe"
O4 - HKLM\..\Run: [fontnav] "C:\Archivos de programa\Corel\WordPerfect Office 2000\Font Navigator\FontNav.exe" *1
O4 - HKLM\..\Run: [nod32kui] "C:\Archivos de programa\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [L06EXLRD_12796360] "C:\Archivos de programa\Microsoft Student\Microsoft Student 2006 - DVD\EDICT.EXE" -m
O4 - HKCU\..\Run: [MSMSGS] "C:\Archivos de programa\Messenger\msmsgs.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICIO LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Servicio de red')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: HotKey.lnk = C:\Archivos de programa\TEXTware\HotKey\Twalink.exe
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm (file missing)
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Archivos de programa\Archivos comunes\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: Servicio del iPod (iPodService) - Apple Computer, Inc. - C:\Archivos de programa\iPod\bin\iPodService.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Archivos de programa\Eset\nod32krn.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Archivos de programa\CyberLink\Shared files\RichVideo.exe
O23 - Service: USBest Service Zero (UTSCSI) - Unknown owner - C:\WINDOWS\System32\UTSCSI.EXE

--
End of file - 3798 bytes

Hola jcgarbez.

Tu log de HijackThis esta libre de Malwares por lo que sugiero realizar lo siguiente:

Descarga, actualiza y ejecuta el programa:

• Malwarebytes' Anti-Malware
  *Nota* Es importante que envíes a "Cuarentena" todo lo que este detecte antes de copiar y pegarnos su reporte.

Descarga CCleaner y ejecútalo usando primero su opción de "Limpiador" para borrar cookies, temporales de Internet y todos los archivos que este te muestre como obsoletos, y luego usa su opción de "Registro" para limpiar todo el registro de Windows (haciendo copia de seguridad).


- Descarga la herramienta ComboFix.exe y guárdala en el escritorio.

• Desactiva temporalmente el Antivirus y/o Antispyware.
• Cierra todas las ventanas abiertas.
• Hacele doble clic al archivo ComboFix.exe y seguí las instrucciones.
• Cuando termine, generara un registro en C:\ComboFix.txt.
  • *Nota* Mientras CF este trabajando no mover el mouse ya que pararía su proceso.
  • *Nota* ComboFix puede reiniciar automáticamente el PC para completar el proceso de eliminación.

• Reinicia y pega el reporte de C:\ComboFix.txt en este mismo mensaje.

Salu2

Hola.

Muchas gracias por tu respuesta.

Realize los pasos indicados en tu mensaje.
El MalwareBytes Anti-Malware consiguio dos archivos infectados, los puse en cuarentena.
Estuve corriendo CCleaner para limpiar archivos y arreglar el registro.
Finalmente corri el ComboFIX.
Despues de todo esto, rehabilite el servicio Messenger y reinicie la maquina.... y volvio a aparecer la ventana fastidiosa !
Cual seria el proximo paso ?
Me parece importante indicar que esta maquina esta permanentemente conectada a Internet a traves de un modem "banda ancha", conextado al puerto Ethernet del PC. La conexion parece establecerse apenas se enciende la maquina.
Les anexo a continuación los reportes generados.
De antemano gracias por su ayuda.
Jean-Christophe

---------------------------------------------------------------------------------------------------------
Malwarebytes' Anti-Malware 1.23
Versión de la Base de Datos: 985
Windows 5.1.2600 Service Pack 1

12:25:17 p.m. 25/07/2008
mbam-log-7-25-2008 (12-25-17).txt

Tipo de examen : Examen Completo (C:\|)
Objetos examinados: 65773
Tiempo transcurrido: 27 minute(s), 55 second(s)

Procesos en Memoria Infectados: 0
Módulos en Memoria Infectados: 0
Claves del Registro Infectadas: 0
Valores del Registro Infectados: 0
Elementos de Datos del Registro Infectados: 0
Carpetas Infectadas: 0
Ficheros Infectados: 2

Procesos en Memoria Infectados:
(No se han detectado elementos maliciosos)

Módulos en Memoria Infectados:
(No se han detectado elementos maliciosos)

Claves del Registro Infectadas:
(No se han detectado elementos maliciosos)

Valores del Registro Infectados:
(No se han detectado elementos maliciosos)

Elementos de Datos del Registro Infectados:
(No se han detectado elementos maliciosos)

Carpetas Infectadas:
(No se han detectado elementos maliciosos)

Ficheros Infectados:
C:\Archivos de programa\DVD Fab Platinum\patch.exe (Spyware.OnlineGames) -> Quarantined and deleted successfully.
C:\Documents and Settings\Josefina\Escritorio\Search and Destroy.lnk (Rogue.SearchAndDestroy) -> Quarantined and deleted successfully.




ComboFix 08-07-23.4 - Josefina 2008-07-25 12:31:46.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.1.1252.34.3082.18.164 [GMT -4:00]
Se ejecuta desde: C:\Documents and Settings\Josefina\Escritorio\ComboFix.exe
* Creado un nuevo punto de restauración
* Resident AV is active


ADVERTENCIA - ESTE EQUIPO NO TIENE INSTALADA LA CONSOLA DE RECUPERACION!
.

(((((((((((((((((((((((((((((((((((( Otras eliminaciones )))))))))))))))))))))))))))))))))))))))))))))))))
.

.
((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_NPF


(((((((((((((((((( Archivos creados desde 2008-06-25 - 2008-07-25 )))))))))))))))))))))))))))))))))
.

2008-07-25 10:58 . 2008-07-25 10:58 <DIR> d-------- C:\Documents and Settings\YLLEN\Datos de programa\Malwarebytes
2008-07-25 10:55 . 2008-07-25 10:55 <DIR> d-------- C:\Documents and Settings\Josefina\Datos de programa\Malwarebytes
2008-07-25 10:55 . 2008-07-25 10:55 <DIR> d-------- C:\Documents and Settings\All Users\Datos de programa\Malwarebytes
2008-07-25 10:55 . 2008-07-25 10:55 <DIR> d-------- C:\Archivos de programa\Malwarebytes' Anti-Malware
2008-07-25 10:55 . 2008-07-23 20:09 38,472 --a------ C:\WINDOWS\system32\drivers\mbamswissarmy.sys
2008-07-25 10:55 . 2008-07-23 20:09 17,144 --a------ C:\WINDOWS\system32\drivers\mbam.sys
2008-07-23 12:08 . 2008-07-24 13:51 <DIR> dr-h----- C:\Documents and Settings\Maria Alejandra\Reciente
2008-07-23 12:08 . 2006-11-16 13:12 <DIR> d--h----- C:\Documents and Settings\Maria Alejandra\Plantillas
2008-07-23 12:08 . 2008-07-23 12:08 <DIR> dr------- C:\Documents and Settings\Maria Alejandra\Mis documentos
2008-07-23 12:08 . 2006-11-16 08:02 <DIR> dr------- C:\Documents and Settings\Maria Alejandra\Men£ Inicio
2008-07-23 12:08 . 2006-11-16 08:02 <DIR> d--h----- C:\Documents and Settings\Maria Alejandra\Impresoras
2008-07-23 12:08 . 2008-07-23 12:08 <DIR> dr------- C:\Documents and Settings\Maria Alejandra\Favoritos
2008-07-23 12:08 . 2007-04-22 17:27 <DIR> d-------- C:\Documents and Settings\Maria Alejandra\Escritorio
2008-07-23 12:08 . 2006-11-16 08:02 <DIR> d--h----- C:\Documents and Settings\Maria Alejandra\Entorno de red
2008-07-23 12:08 . 2008-07-23 14:52 <DIR> dr-h----- C:\Documents and Settings\Maria Alejandra\Datos de programa
2008-07-23 12:08 . 2008-07-23 12:08 <DIR> d--h----- C:\Documents and Settings\Maria Alejandra\Configuraci¢n local
2008-07-23 12:08 . 2008-07-23 12:08 <DIR> d-------- C:\Documents and Settings\Maria Alejandra
2008-07-23 12:00 . 2008-07-23 18:59 <DIR> d-------- C:\Documents and Settings\Samuel\Contacts
2008-07-23 11:57 . 2008-07-24 16:25 <DIR> dr-h----- C:\Documents and Settings\Samuel\Reciente
2008-07-23 11:57 . 2006-11-16 13:12 <DIR> d--h----- C:\Documents and Settings\Samuel\Plantillas
2008-07-23 11:57 . 2008-07-23 12:02 <DIR> dr------- C:\Documents and Settings\Samuel\Mis documentos
2008-07-23 11:57 . 2006-11-16 08:02 <DIR> dr------- C:\Documents and Settings\Samuel\Men£ Inicio
2008-07-23 11:57 . 2006-11-16 08:02 <DIR> d--h----- C:\Documents and Settings\Samuel\Impresoras
2008-07-23 11:57 . 2008-07-23 11:57 <DIR> dr------- C:\Documents and Settings\Samuel\Favoritos
2008-07-23 11:57 . 2008-07-23 11:58 <DIR> d-------- C:\Documents and Settings\Samuel\Escritorio
2008-07-23 11:57 . 2006-11-16 08:02 <DIR> d--h----- C:\Documents and Settings\Samuel\Entorno de red
2008-07-23 11:57 . 2008-07-23 19:01 <DIR> dr-h----- C:\Documents and Settings\Samuel\Datos de programa
2008-07-23 11:57 . 2008-07-23 11:57 <DIR> d--h----- C:\Documents and Settings\Samuel\Configuraci¢n local
2008-07-23 11:57 . 2008-07-23 12:00 <DIR> d-------- C:\Documents and Settings\Samuel
2008-07-23 11:16 . 2006-11-16 13:12 <DIR> d--h----- C:\Documents and Settings\Josefina\Plantillas
2008-07-23 11:16 . 2008-07-25 10:54 <DIR> dr------- C:\Documents and Settings\Josefina\Mis documentos
2008-07-23 11:16 . 2006-11-16 08:02 <DIR> dr------- C:\Documents and Settings\Josefina\Men£ Inicio
2008-07-23 11:16 . 2006-11-16 08:02 <DIR> d--h----- C:\Documents and Settings\Josefina\Impresoras
2008-07-23 11:16 . 2008-07-23 11:16 <DIR> dr------- C:\Documents and Settings\Josefina\Favoritos
2008-07-23 11:16 . 2008-07-25 12:29 <DIR> d-------- C:\Documents and Settings\Josefina\Escritorio
2008-07-23 11:16 . 2006-11-16 08:02 <DIR> d--h----- C:\Documents and Settings\Josefina\Entorno de red
2008-07-23 11:16 . 2008-07-23 12:14 <DIR> dr-h----- C:\Documents and Settings\Josefina\Datos de programa
2008-07-23 11:16 . 2008-07-23 11:16 <DIR> d--h----- C:\Documents and Settings\Josefina\Configuraci¢n local
2008-07-23 11:16 . 2008-07-25 12:27 <DIR> d-------- C:\Documents and Settings\Josefina
2008-07-23 10:47 . 2008-07-23 10:47 1,956 --a------ C:\WINDOWS\system32\d3d8caps.dat
2008-07-22 14:57 . 2003-08-25 18:06 182,880 --a------ C:\WINDOWS\system32\iuengine.dll
2008-07-22 14:57 . 2003-08-25 18:06 182,880 --a--c--- C:\WINDOWS\system32\dllcache\iuengine.dll
2008-07-22 14:31 . 2008-07-22 14:38 1,814 --a------ C:\WINDOWS\system32\tmp.reg
2008-07-22 12:05 . 2008-06-19 17:24 28,544 --a------ C:\WINDOWS\system32\drivers\pavboot.sys
2008-07-22 12:01 . 2008-07-22 12:01 <DIR> d-------- C:\Archivos de programa\Panda Security
2008-07-22 10:45 . 2008-07-25 12:27 <DIR> d-------- C:\Documents and Settings\All Users\Datos de programa\Spybot - Search & Destroy
2008-07-22 10:45 . 2008-07-22 10:46 <DIR> d-------- C:\Archivos de programa\Spybot - Search & Destroy
2008-07-22 10:39 . 2008-07-22 10:39 <DIR> d-------- C:\Archivos de programa\Trend Micro
2008-07-19 14:58 . 2008-07-19 14:58 <DIR> d-------- C:\Documents and Settings\YLLEN\Nueva carpeta
2008-07-16 16:24 . 2001-08-22 22:15 5,632 --a------ C:\WINDOWS\system32\ptpusb.dll
2008-07-16 16:23 . 2002-09-09 13:51 150,528 --a------ C:\WINDOWS\system32\ptpusd.dll
2008-07-16 16:23 . 2002-08-29 01:48 14,208 --a------ C:\WINDOWS\system32\drivers\usbscan.sys
2008-07-16 16:23 . 2002-08-29 01:48 14,208 --a--c--- C:\WINDOWS\system32\dllcache\usbscan.sys
2008-07-16 16:23 . 2008-07-22 20:52 268 --ah----- C:\sqmdata19.sqm
2008-07-16 16:23 . 2008-07-22 20:52 244 --ah----- C:\sqmnoopt19.sqm
2008-07-16 14:01 . 2008-07-22 18:55 268 --ah----- C:\sqmdata18.sqm
2008-07-16 14:01 . 2008-07-22 18:55 244 --ah----- C:\sqmnoopt18.sqm
2008-07-15 13:02 . 2008-07-22 11:34 268 --ah----- C:\sqmdata17.sqm
2008-07-15 13:02 . 2008-07-22 11:34 244 --ah----- C:\sqmnoopt17.sqm
2008-07-15 00:29 . 2008-07-22 07:55 268 --ah----- C:\sqmdata16.sqm
2008-07-15 00:29 . 2008-07-22 07:55 244 --ah----- C:\sqmnoopt16.sqm
2008-07-14 22:58 . 2008-07-21 16:42 268 --ah----- C:\sqmdata15.sqm
2008-07-14 22:58 . 2008-07-21 15:26 268 --ah----- C:\sqmdata14.sqm
2008-07-14 22:58 . 2008-07-21 16:42 244 --ah----- C:\sqmnoopt15.sqm
2008-07-14 22:58 . 2008-07-21 15:26 244 --ah----- C:\sqmnoopt14.sqm
2008-07-13 23:50 . 2008-07-21 14:42 268 --ah----- C:\sqmdata13.sqm
2008-07-13 23:50 . 2008-07-21 14:42 244 --ah----- C:\sqmnoopt13.sqm
2008-07-13 22:44 . 2008-07-21 12:58 268 --ah----- C:\sqmdata12.sqm
2008-07-13 22:44 . 2008-07-21 12:58 244 --ah----- C:\sqmnoopt12.sqm
2008-07-13 21:20 . 2008-07-21 09:02 268 --ah----- C:\sqmdata11.sqm
2008-07-13 21:20 . 2008-07-21 09:02 244 --ah----- C:\sqmnoopt11.sqm
2008-07-13 21:13 . 2008-07-20 07:58 268 --ah----- C:\sqmdata10.sqm
2008-07-13 21:13 . 2008-07-20 07:58 244 --ah----- C:\sqmnoopt10.sqm
2008-07-13 17:12 . 2008-07-13 17:12 <DIR> d-------- C:\Documents and Settings\YLLEN\Datos de programa\AdobeUM
2008-07-13 15:38 . 2008-07-19 13:59 268 --ah----- C:\sqmdata09.sqm
2008-07-13 15:38 . 2008-07-19 13:59 244 --ah----- C:\sqmnoopt09.sqm
2008-07-13 15:33 . 2008-07-19 10:05 268 --ah----- C:\sqmdata08.sqm
2008-07-13 15:33 . 2008-07-19 10:05 244 --ah----- C:\sqmnoopt08.sqm
2008-07-13 12:59 . 2008-07-19 00:48 268 --ah----- C:\sqmdata07.sqm
2008-07-13 12:59 . 2008-07-19 00:48 244 --ah----- C:\sqmnoopt07.sqm
2008-07-13 12:47 . 2008-07-18 17:59 268 --ah----- C:\sqmdata06.sqm
2008-07-13 12:47 . 2008-07-18 17:59 244 --ah----- C:\sqmnoopt06.sqm
2008-07-13 11:32 . 2008-07-17 20:54 268 --ah----- C:\sqmdata05.sqm
2008-07-13 11:32 . 2008-07-17 20:54 244 --ah----- C:\sqmnoopt05.sqm
2008-07-13 11:07 . 2008-07-17 19:19 268 --ah----- C:\sqmdata04.sqm
2008-07-13 11:07 . 2008-07-17 19:19 244 --ah----- C:\sqmnoopt04.sqm
2008-07-13 10:50 . 2008-07-23 11:38 268 --ah----- C:\sqmdata03.sqm
2008-07-13 10:50 . 2008-07-23 11:38 244 --ah----- C:\sqmnoopt03.sqm
2008-07-13 10:34 . 2008-07-23 11:14 268 --ah----- C:\sqmdata02.sqm
2008-07-13 10:34 . 2008-07-23 11:14 244 --ah----- C:\sqmnoopt02.sqm
2008-07-13 10:30 . 2008-07-21 18:10 <DIR> d-------- C:\Documents and Settings\YLLEN\Contacts
2008-07-13 10:25 . 2008-07-23 08:56 268 --ah----- C:\sqmdata01.sqm
2008-07-13 10:25 . 2008-07-23 08:56 244 --ah----- C:\sqmnoopt01.sqm
2008-07-12 23:54 . 2008-07-23 00:21 268 --ah----- C:\sqmdata00.sqm
2008-07-12 23:54 . 2008-07-23 00:21 244 --ah----- C:\sqmnoopt00.sqm
2008-07-12 22:38 . 2008-07-12 22:38 <DIR> d----c--- C:\WINDOWS\system32\DRVSTORE
2008-07-12 22:38 . 2008-07-12 22:38 <DIR> d-------- C:\Archivos de programa\DIFX
2008-07-12 22:34 . 2008-07-12 22:35 <DIR> d-------- C:\Archivos de programa\MSN Messenger
2008-07-12 22:20 . 2008-07-12 22:19 512,096 --a------ C:\WINDOWS\system32\drivers\amon.sys
2008-07-12 22:20 . 2008-07-12 22:19 298,104 --a------ C:\WINDOWS\system32\imon.dll
2008-07-12 22:20 . 2008-07-12 22:19 15,424 --a------ C:\WINDOWS\system32\drivers\nod32drv.sys
2008-07-12 22:19 . 2008-07-22 12:45 <DIR> d-------- C:\Archivos de programa\ESET

.
(((((((((((((((((((((((((((((((((((((( Reporte Find3M )))))))))))))))))))))))))))))))))))))))))))))))))) )
.
2008-07-25 16:25 --------- d-----w C:\Archivos de programa\DVD Fab Platinum
2008-07-22 16:45 --------- d-----w C:\Archivos de programa\SlySoft
2004-10-01 19:00 40,960 ----a-w C:\Archivos de programa\Uninstall_CDS.exe
.

((((((((((((((((((((((((((((((((( Cargando Puntos Reg ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Nota* entradas vac¡as & entradas leg¡timas predeterminadas no son mostradas

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\ctfmon.exe" [1999-06-06 06:06 13312]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run]
"RemoteControl"="C:\Archivos de programa\CyberLink\PowerDVD\PDVDServ.exe" [2005-12-07 22:57 30208]
"nod32kui"="C:\Archivos de programa\Eset\nod32kui.exe" [2008-07-12 22:19 949376]
"fontnav"="C:\Archivos de programa\Corel\WordPerfect Office 2000\Font Navigator\FontNav.exe" [1999-10-07 01:55 401408]
"LanguageShortcut"="C:\Archivos de programa\CyberLink\PowerDVD\Language\Language.exe" [2006-05-18 11:29 49152]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\Cur rentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [1999-06-06 06:06 13312]

[hkey_local_machine\software\microsoft\windows\curr entversion\explorer\ShellExecuteHooks]
"{93994DE8-8239-4655-B1D1-5F4E91300429}"= "C:\Archivos de programa\DVDIdle Pro\DVDShell.dll" [2004-10-09 15:18 49152]

R0 pavboot;pavboot;C:\WINDOWS\System32\drivers\pavboo t.sys [2008-06-19 17:24]
R3 SiS630;SiS630;C:\WINDOWS\System32\DRIVERS\sis630p. sys [2001-08-30 05:59]

*Newly Created Service* - ALG
*Newly Created Service* - IPNAT
.
.
------- Supplementary Scan -------
.
O9 -: {c95fe080-8f5d-11d2-a20b-00aa003c157a} - %SystemRoot%\web\related.htm

O16 -: DirectAnimation Java Classes - file://C:\WINDOWS\Java\classes\dajava.cab
C:\WINDOWS\Downloaded Program Files\DirectAnimation Java Classes.osd

O16 -: Microsoft XML Parser for Java - file://C:\WINDOWS\Java\classes\xmldso.cab
C:\WINDOWS\Downloaded Program Files\Microsoft XML Parser for Java.osd


************************************************** ************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-07-25 12:36:24
Windows 5.1.2600 Service Pack 1 NTFS

escaneando procesos ocultos ...

escaneando entradas ocultas de autostart ...

escaneando archivos ocultos ...

el escaneo se completo con exito
archivos ocultos: 0

************************************************** ************************
.
------------------------ Other Running Processes ------------------------
.
C:\Archivos de programa\ESET\nod32krn.exe
C:\Archivos de programa\CyberLink\Shared files\RichVideo.exe
.
************************************************** ************************
.
Tiempo completado: 2008-07-25 12:39:17 - machine was rebooted
ComboFix-quarantined-files.txt 2008-07-25 16:39:11

Pre-Run: 4,977,766,400 bytes libres
Post-Run: 4,917,141,504 bytes libres

175

Hola jcgarbez,

Descarga CCleaner y ejecútalo usando primero su opción de "Limpiador" para borrar cookies, temporales de Internet y todos los archivos que este te muestre como obsoletos, y luego usa su opción de "Registro" para limpiar todo el registro de Windows (haciendo copia de seguridad).



Hacele un escaneo completo con:

• Malwarebytes' Anti-Malware
• Dr.Web CureIt!
• Kaspersky Antivirus Online

Reinicia y nos dejas los reportes.

Salu2

Hola.
Gracias por su respuesta. No he podido realizar todos los pasos que me indicaron, pero no quiero dejar pasar mas tiempo antes de enviarles los primeros resultados.
Corri nuevamente el Ccleaner y limpie tanto archivos como registro.
Volvi a correr el Malwarebytes' Anti-Malware, no detecto nada. Corri el Dr.Web CureIt! y tampoco detecto nada. Me falta correr el Kaspersky Antivirus Online, cosa que ne he podido hacer todavia por un problema de conexion a Internet que tiene actualmente la maquina, pero que realizare lo antes posible.
Entonces les enviare todos los reportes ( aunque no vi como hacer un reporte con Dr. Web CureIt, quizas porque al no detectar nada no genero reporte ? ).
Mientras tanto, volvi a desabilitar el servicio de Messenger para que no molestara la ventana emergente.
Saludos
Jean-Christophe