http://i4.photobucket.com/albums/y105/roseds76/log.jpgHola, buenos días, la semana pasada a pesar de que navego con firefox, entro un virus a mi pc y se lleno de ventanas emergentes, pase la revisión con Spybot S&D, y arrojo que tenía Smitfraud y Virtumonde, hice la limpieza de acuerdo con el programa en modo a prueba de fallos, busque en los mensajes de este foro y baje el DPSguard, el SuperAntispyware, el Killbox y el Nod32, de otro lado baje una herramienta llamada Smitfraud.

Los copie a mi carpeta, desinstale el Norton Internet Security, instale los programas, los ejecute en modo a prueba de fallos y al parecer el problema estaba solucionado, ya podía cambiar mi fondo de escritorio, tenía administrador de tareas y conexión a internet, pero ayer el nod32 me arrojo nuevamente problemas , volvi a pasar las herramientas pero esta vez solo la detecta el nod32, que puedo hacer???? Adjunto les dejo la imágen del nod32 y el log generados por uno de los otros programas.


Gracias por su ayuda.

SmitFraudFix v2.332

Scan done at 10:48:52,75, 03/08/2008
Run from C:\Documents and Settings\roseds76\Desktop\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
The filesystem type is NTFS
Fix run in safe mode

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Before SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» Killing process


»»»»»»»»»»»»»»»»»»»»»»»» hosts

127.0.0.1 localhost

»»»»»»»»»»»»»»»»»»»»»»»» VACFix

VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Winsock2 Fix

S!Ri's WS2Fix: LSP not Found.


»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

GenericRenosFix by S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Deleting infected files


»»»»»»»»»»»»»»»»»»»»»»»» IEDFix

IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri



»»»»»»»»»»»»»»»»»»»»»»»» 404Fix

404Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» DNS



»»»»»»»»»»»»»»»»»»»»»»»» Deleting Temp Files


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» Registry Cleaning

Registry Cleaning done.

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler After SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» End

Hola , te doy la bienvenida al Foro de InfoSpyware.

Descarga CCleaner y ejecútalo usando primero su opción de "Limpiador" para borrar cookies, temporales de Internet y todos los archivos que este te muestre como obsoletos, y luego usa su opción de "Registro" para limpiar todo el registro de Windows (haciendo copia de seguridad).

- Descarga la herramienta ComboFix.exe y guárdala en el escritorio.

• Desactiva temporalmente el Antivirus y/o Antispyware.
• Cierra todas las ventanas abiertas.
• Hacele doble clic al archivo ComboFix.exe y seguí las instrucciones.
• Cuando termine, generara un registro en C:\ComboFix.txt.
  • *Nota* Mientras CF este trabajando no mover el mouse ya que pararía su proceso.
  • *Nota* ComboFix puede reiniciar automáticamente el PC para completar el proceso de eliminación.

• Reinicia y pega el reporte de C:\ComboFix.txt en este mismo mensaje.

Salu2
Recuerda volver y contarnos los resltados

Hola, gracias por responderme tan rápido, llegue a mi casa y aplique lo que me dijeron, adjunto dejo el log que genero la herramienta

ComboFix 08-08-04.01 - roseds76 2008-08-04 19:02:23.1 - NTFSx86 MINIMAL

Running from: C:\combofix\ComboFix.exe

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
.
ADS - svchost.exe: deleted 23552 bytes in 1 streams.

((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Documents and Settings\invitado\Start Menu\NOCREDITCARD.lnk
C:\WINDOWS\glok+serv.config
C:\WINDOWS\system32\alog.txt
C:\WINDOWS\system32\drivers\2a9bbda3.sys
C:\WINDOWS\system32\xd.txt
C:\WINDOWS\Temp\815844247.exe
C:\WINDOWS\Temp\83545052.exe

.
((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_GLOK+4268-68C9
-------\Legacy_ICF
-------\Service_glok+4268-68c9
-------\Service_icf
-------\Service_2a9bbda3


((((((((((((((((((((((((( Files Created from 2008-07-05 to 2008-08-05 )))))))))))))))))))))))))))))))
.

2008-08-04 18:45 . 2008-08-04 18:45 <DIR> d-------- C:\Program Files\CCleaner
2008-08-02 23:01 . 2008-08-02 23:01 <DIR> d-------- C:\Program Files\ESET
2008-08-02 23:01 . 2008-08-02 23:01 <DIR> d-------- C:\Documents and Settings\All Users\Application Data\ESET
2008-08-02 22:50 . 2008-08-02 22:50 2 --a------ C:\606084700
2008-08-02 14:29 . 2008-08-02 14:29 <DIR> d-------- C:\!KillBox
2008-08-02 12:04 . 2008-08-02 12:04 <DIR> d-------- C:\Documents and Settings\roseds76\Application Data\Malwarebytes
2008-08-02 12:04 . 2008-08-02 12:04 <DIR> d-------- C:\Documents and Settings\All Users\Application Data\Malwarebytes
2008-07-31 19:13 . 2008-07-31 19:13 <DIR> d-------- C:\Documents and Settings\All Users\Application Data\SUPERAntiSpyware.com
2008-07-31 19:12 . 2008-08-02 22:34 <DIR> d-------- C:\Program Files\SUPERAntiSpyware
2008-07-31 19:12 . 2008-08-02 22:34 <DIR> d-------- C:\Documents and Settings\roseds76\Application Data\SUPERAntiSpyware.com
2008-07-31 19:06 . 2008-07-31 19:06 15,278 --a------ C:\WINDOWS\system32\nmesrvc_core_2008_7_31_19_6_8. dmp
2008-07-31 18:52 . 2008-08-04 18:38 <DIR> d-------- C:\Program Files\DelPSGuard
2008-07-31 18:46 . 2008-07-31 18:50 <DIR> d-a------ C:\Documents and Settings\All Users\Application Data\TEMP
2008-07-31 18:25 . 2008-07-31 18:25 15,278 --a------ C:\WINDOWS\system32\nmesrvc_core_2008_7_31_18_25_4 4.dmp
2008-07-30 23:02 . 2008-08-03 10:49 1,242 --a------ C:\WINDOWS\system32\tmp.reg
2008-07-30 23:01 . 2008-07-31 18:29 <DIR> d-------- C:\smf
2008-07-29 23:12 . 2008-07-29 23:12 29 --a------ C:\WINDOWS\system32\tuqygdah.tmp
2008-07-29 23:11 . 2008-07-29 23:11 8,192 --a------ C:\WINDOWS\system32\wpx54.cpx
2008-07-23 00:49 . 2008-06-10 02:32 73,728 --a------ C:\WINDOWS\system32\javacpl.cpl
2008-07-23 00:47 . 2008-07-23 00:49 <DIR> d-------- C:\Program Files\Java
2008-07-23 00:37 . 2008-07-23 00:37 <DIR> d-------- C:\Program Files\Common Files\Java
2008-07-17 23:52 . 2008-07-17 23:52 0 -rahs---- C:\khn
2008-07-06 20:15 . 2008-07-06 20:15 0 -rahs---- C:\hk2

.
(((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))) ))
.
2008-08-04 23:46 --------- d-----w C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy
2008-08-04 23:41 --------- d-----w C:\Program Files\FlashGet
2008-08-03 16:25 --------- d-----w C:\Program Files\Symantec
2008-08-03 16:25 --------- d-----w C:\Program Files\Common Files\Symantec Shared
2008-08-03 04:04 --------- d-----w C:\Documents and Settings\All Users\Application Data\Symantec
2008-07-30 01:35 --------- d-----w C:\Program Files\eMule
2008-07-29 02:13 50,000 ----a-w C:\Documents and Settings\roseds76\Application Data\GDIPFONTCACHEV1.DAT
2008-07-18 17:27 --------- d-----w C:\Program Files\Mozilla Thunderbird
2008-06-30 14:49 --------- d-----w C:\Program Files\JetAudio
2008-06-25 01:59 --------- d-----w C:\Program Files\Free PDF to Word Doc Converter
2008-06-20 10:45 360,320 ----a-w C:\WINDOWS\system32\drivers\tcpip.sys
2008-06-20 10:44 138,368 ----a-w C:\WINDOWS\system32\drivers\afd.sys
2008-06-20 09:52 225,920 ----a-w C:\WINDOWS\system32\drivers\tcpip6.sys
2008-06-13 13:10 272,128 ------w C:\WINDOWS\system32\drivers\bthport.sys
2008-06-10 23:56 34,312 ----a-w C:\WINDOWS\system32\drivers\epfwtdir.sys
2008-06-10 23:48 53,256 ----a-w C:\WINDOWS\system32\drivers\easdrv.sys
2008-06-10 23:47 39,944 ----a-w C:\WINDOWS\system32\drivers\eamon.sys
2008-06-10 03:59 --------- d-----w C:\Documents and Settings\roseds76\Application Data\mIRC
2008-06-10 03:44 --------- d-----w C:\Program Files\mIRC
2008-05-22 01:03 35,840 ----a-w C:\Documents and Settings\invitado\Application Data\GDIPFONTCACHEV1.DAT
2008-05-06 12:27 471,408 ----a-w C:\asesoftware.zip
2006-05-06 16:42 7,260,160 ----a-w C:\Program Files\mozilla firefox\plugins\libvlc.dll
.

((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown
REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run]
"MSConfig"="C:\WINDOWS\PCHealth\HelpCtr\Binaries\M SConfig.exe" [2004-08-04 05:00 158208]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon]
"UIHost"=hex(2):6c,6f,67,6f,6e,75,69,2e,65,78,65,0 0,00

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\IntelWireless]
2004-09-07 16:08 110592 C:\Program Files\Intel\Wireless\Bin\LgNotify.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"msacm.divxa32"= DivXa32.acm

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Contro l\SafeBoot\Minimal\winhp42.sys]
@="Driver"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Contro l\SafeBoot\Minimal\winip52.sys]
@="Driver"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ares]
--a------ 2006-12-14 11:49 938496 C:\Program Files\Ares\Ares.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\dell quickset]
--a------ 2005-03-04 11:26 606208 C:\Program Files\Dell\QuickSet\quickset.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\dellsupport]
--a------ 2007-03-15 11:09 460784 C:\Program Files\DellSupport\DSAgnt.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\dellsupportcenter]
--a------ 2007-11-15 10:23 202544 C:\Program Files\Dell Support Center\bin\sprtcmd.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\dla]
--a------ 2004-12-06 01:05 127035 C:\WINDOWS\system32\dla\tfswctrl.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\dscactivate]
--a------ 2007-11-15 10:24 16384 C:\Program Files\Dell Support Center\gs_agent\custom\dsca.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\dvdlauncher]
--------- 2005-02-23 16:19 53248 C:\Program Files\CyberLink\PowerDVD\DVDLauncher.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\egui]
--a------ 2008-06-10 18:52 1447168 C:\Program Files\ESET\ESET NOD32 Antivirus\egui.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\hotkeyscmds]
--a------ 2005-02-15 15:02 126976 C:\WINDOWS\system32\hkcmd.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\igfxtray]
--a------ 2005-02-15 15:02 155648 C:\WINDOWS\system32\igfxtray.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\intelwireless]
--a------ 2004-10-30 14:59 385024 C:\Program Files\Intel\Wireless\Bin\iFrmewrk.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\isuspm startup]
--a------ 2004-07-27 16:50 221184 C:\PROGRA~1\COMMON~1\INSTAL~1\UPDATE~1\ISUSPM.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\isusscheduler]
--a------ 2004-07-27 16:50 81920 C:\Program Files\Common Files\InstallShield\UpdateService\issch.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\msnmsgr]
--a------ 2007-01-19 12:54 5674352 C:\Program Files\MSN Messenger\msnmsgr.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\pcmservice]
--------- 2004-04-11 20:15 290816 C:\Program Files\Dell\Media Experience\PCMService.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\quicktime task]
--a------ 2007-02-11 22:26 282624 C:\Program Files\QuickTime\qttask.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\sunjavaupdatesched]
--a------ 2008-06-10 04:27 144784 C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\wellphone directsync - schedulesync]
--a------ 2005-12-20 10:13 45056 C:\PROGRA~1\WELLPH~1\SCHEDU~1.EXE

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"xmlprov"=2 (0x2)
"WZCSVC"=2 (0x2)
"wuauserv"=2 (0x2)
"wscsvc"=2 (0x2)
"WmiApSrv"=2 (0x2)
"Wmi"=2 (0x2)
"WmdmPmSN"=2 (0x2)
"WLANKEEPER"=2 (0x2)
"winmgmt"=2 (0x2)
"WebClient"=2 (0x2)
"w32time"=2 (0x2)
"VSS"=2 (0x2)
"usnjsvc"=2 (0x2)
"upnphost"=2 (0x2)
"TrkWks"=2 (0x2)
"TlntSvr"=3 (0x3)
"Themes"=2 (0x2)
"TermService"=3 (0x3)
"TapiSrv"=2 (0x2)
"SysmonLog"=2 (0x2)
"SymWSC"=3 (0x3)
"SwPrv"=3 (0x3)
"stisvc"=2 (0x2)
"SSDPSRV"=2 (0x2)
"srservice"=2 (0x2)
"sprtsvc_dellsupportcenter"=2 (0x2)
"Spooler"=2 (0x2)
"SPBBCSvc"=3 (0x3)
"ShellHWDetection"=2 (0x2)
"SharedAccess"=2 (0x2)
"SENS"=2 (0x2)
"seclogon"=2 (0x2)
"Schedule"=2 (0x2)
"SCardSvr"=2 (0x2)
"SamSs"=2 (0x2)
"S24EventMonitor"=2 (0x2)
"RSVP"=2 (0x2)
"RemoteRegistry"=3 (0x3)
"RemoteAccess"=2 (0x2)
"RegSrvc"=2 (0x2)
"RDSessMgr"=2 (0x2)
"RasMan"=2 (0x2)
"RasAuto"=2 (0x2)
"ProtectedStorage"=2 (0x2)
"PolicyAgent"=2 (0x2)
"PlugPlay"=2 (0x2)
"ose"=3 (0x3)
"NtmsSvc"=2 (0x2)
"NtLmSsp"=2 (0x2)
"Nla"=2 (0x2)
"NICCONFIGSVC"=2 (0x2)
"Netman"=2 (0x2)
"Netlogon"=2 (0x2)
"NetDDEdsdm"=2 (0x2)
"NetDDE"=2 (0x2)
"MSIServer"=2 (0x2)
"MSDTC"=2 (0x2)
"mnmsrvc"=3 (0x3)
"Messenger"=2 (0x2)
"LmHosts"=2 (0x2)
"lanmanworkstation"=2 (0x2)
"lanmanserver"=3 (0x3)
"ImapiService"=2 (0x2)
"IDriverT"=2 (0x2)
"icf"=2 (0x2)
"HTTPFilter"=2 (0x2)
"HidServ"=2 (0x2)
"helpsvc"=2 (0x2)
"Fax"=2 (0x2)
"FastUserSwitchingCompatibility"=2 (0x2)
"EvtEng"=2 (0x2)
"EventSystem"=2 (0x2)
"Eventlog"=2 (0x2)
"ERSvc"=2 (0x2)
"ekrn"=2 (0x2)
"ehttpsrv"=2 (0x2)
"DSBrokerService"=2 (0x2)
"Dnscache"=2 (0x2)
"dmserver"=2 (0x2)
"dmadmin"=2 (0x2)
"Dhcp"=2 (0x2)
"CryptSvc"=2 (0x2)
"COMSysApp"=2 (0x2)
"clr_optimization_v2.0.50727_32"=3 (0x3)
"ClipSrv"=2 (0x2)
"CiSvc"=2 (0x2)
"Browser"=2 (0x2)
"BITS"=2 (0x2)
"AudioSrv"=2 (0x2)
"aspnet_state"=2 (0x2)
"AppMgmt"=2 (0x2)
"ALG"=2 (0x2)
"Alerter"=2 (0x2)

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusDisableNotify"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpo licy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Program Files\\Messenger\\msmsgs.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"C:\\Program Files\\MSN Messenger\\msnmsgr.exe"=
"C:\\Program Files\\MSN Messenger\\livecall.exe"=
"C:\\Program Files\\FlashGet\\flashget.exe"=
"C:\\Program Files\\Ares\\Ares.exe"=

R1 epfwtdir;epfwtdir;C:\WINDOWS\system32\DRIVERS\epfw tdir.sys [2008-06-10 18:56]
S0 winip52;winip52;C:\WINDOWS\system32\Drivers\Winip5 2.sys []
S3 UsbSagCom;SAGEM Full USB Driver;C:\WINDOWS\system32\DRIVERS\UsbSagCom.sys [2006-03-27 04:29]
S3 w300bus;Sony Ericsson W300 Driver driver (WDM);C:\WINDOWS\system32\DRIVERS\w300bus.sys [2005-12-28 12:46]
S3 winhp42;winhp42;C:\WINDOWS\System32\drivers\Winhp4 2.sys []
S4 OracleClientCache80;OracleClientCache80;C:\orant\B IN\ONRSD80.EXE [2000-10-27 14:45]
S4 OracleJobSchedulerORCL;OracleJobSchedulerORCL;c:\o racle_10g\Bin\extjob.exe ORCL []
S4 OracleOraDb10g_home1TNSListener;OracleOraDb10g_hom e1TNSListener;C:\oracle\product\10.2.0\db_1\BIN\TN SLSNR []
S4 OracleOraDb10g_home2iSQL*Plus;OracleOraDb10g_home2 iSQL*Plus;C:\ORACLE_10G\bin\isqlplussvc.exe [2005-08-16 01:23]
S4 OracleOraDb10g_home2TNSListener;OracleOraDb10g_hom e2TNSListener;C:\ORACLE_10G\BIN\TNSLSNR []
S4 OracleServiceORCL;OracleServiceORCL;c:\oracle_10g\ bin\ORACLE.EXE ORCL []
.
- - - - ORPHANS REMOVED - - - -

BHO-{FBF85A20-FF88-4C46-90FB-B023E5C4ECA0} - (no file)
HKLM-Explorer_Run-lsas - C:\WINDOWS\lsas.exe
ShellExecuteHooks-{FBF85A20-FF88-4C46-90FB-B023E5C4ECA0} - (no file)
MSConfigStartUp-ccapp - C:\Program Files\Common Files\Symantec Shared\ccApp.exe


.
------- Supplementary Scan -------
.
FireFox -: Profile - C:\Documents and Settings\roseds76\Application Data\Mozilla\Firefox\Profiles\zpzx2puk.default\


************************************************** ************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-08-04 1940
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden files: 0

************************************************** ************************

[HKEY_LOCAL_MACHINE\System\ControlSet003\Services\O racleOraDb10g_home1TNSListener]
"ImagePath"="C:\oracle\product\10.2.0\db_1\BIN\TNS LSNR "

[HKEY_LOCAL_MACHINE\System\ControlSet003\Services\O racleOraDb10g_home2TNSListener]
"ImagePath"="C:\ORACLE_10G\BIN\TNSLSNR "
.
------------------------ Other Running Processes ------------------------
.
C:\Program Files\Intel\Wireless\Bin\ZCfgSvc.exe
.
************************************************** ************************
.
Completion time: 2008-08-04 19:17:10 - machine was rebooted
ComboFix-quarantined-files.txt 2008-08-05 00:17:06

Pre-Run: 7,444,107,264 bytes free
Post-Run: 6,857,248,768 bytes free

276 --- E O F --- 2008-03-13 12:05:30

Hola roseds76

Realiza un escaneo con Kaspersky Online Scanner y nos pegas el reporte, para su análisis.

Salu2
Recuerda volver y contarnos los resultados

Hola <¡D3vIL!> , adjunto te envío el log generado por kapersky, gracias por la ayuda que me estas prestando :)

martes, 05 de agosto de 2008 6:33:32
Sistema operativo: Microsoft Windows XP Professional, Service Pack 2 (Build 2600)
Kaspersky Online Scanner versión: 5.0.84.1
Ultima actualización: 4/08/2008
Registros en la base antivirus: 1053458


Configuración del análisis
Analizar usando las siguientes bases estendidas
Analizar archivos verdadero
Analizar bases de correo verdadero

Objetivo a analizar Mi PC
C:\
D:\

Estadísticas
Número de objeros analizados 116162
Virus encontrados 7
Objetos infectados 37 / 0
Objetos sospechosos 0
Duración del análisis 02:53:07

Bombre del objeto infectado Nombre del virus Última acción
C:\!KillBox\WinCtrl32.dll Infectados: Trojan-Downloader.Win32.Mutant.atl saltado

C:\!KillBox\WinCtrl32.dll( 1) Infectados: Trojan-Downloader.Win32.Mutant.atl saltado

C:\Documents and Settings\All Users\Application Data\ESET\ESET NOD32 Antivirus\Charon\CACHE.NDB Object is locked saltado

C:\Documents and Settings\All Users\Application Data\ESET\ESET NOD32 Antivirus\Logs\virlog.dat Object is locked saltado

C:\Documents and Settings\All Users\Application Data\ESET\ESET NOD32 Antivirus\Logs\warnlog.dat Object is locked saltado

C:\Documents and Settings\All Users\Application Data\Microsoft\Crypto\RSA\MachineKeys\3ad391678a80 6ec4d691e83aaa393b6f_50e417e0-e461-474b-96e2-077b80325612 Object is locked saltado

C:\Documents and Settings\All Users\Application Data\Microsoft\Network\Downloader\qmgr0.dat Object is locked saltado

C:\Documents and Settings\All Users\Application Data\Microsoft\Network\Downloader\qmgr1.dat Object is locked saltado

C:\Documents and Settings\All Users\Application Data\QSLLPSVCShare Object is locked saltado

C:\Documents and Settings\All Users\Application Data\SupportSoft\DellSupportCenter\SYSTEM\state\lo gs\sprtcmd.log Object is locked saltado

C:\Documents and Settings\LocalService\Cookies\index.dat Object is locked saltado

C:\Documents and Settings\LocalService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat Object is locked saltado

C:\Documents and Settings\LocalService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG Object is locked saltado

C:\Documents and Settings\LocalService\Local Settings\History\History.IE5\index.dat Object is locked saltado

C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\index.dat Object is locked saltado

C:\Documents and Settings\LocalService\NTUSER.DAT Object is locked saltado

C:\Documents and Settings\LocalService\ntuser.dat.LOG Object is locked saltado

C:\Documents and Settings\ne2\Local Settings\Temp\hsperfdata_ne2\2788 Object is locked saltado

C:\Documents and Settings\NetworkService\Cookies\index.dat Object is locked saltado

C:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat Object is locked saltado

C:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG Object is locked saltado

C:\Documents and Settings\NetworkService\Local Settings\History\History.IE5\index.dat Object is locked saltado

C:\Documents and Settings\NetworkService\Local Settings\Temporary Internet Files\Content.IE5\index.dat Object is locked saltado

C:\Documents and Settings\NetworkService\NTUSER.DAT Object is locked saltado

C:\Documents and Settings\NetworkService\ntuser.dat.LOG Object is locked saltado

C:\Documents and Settings\roseds76\Application Data\Gtek\GTUpdate\AUpdate\DellSupport\DSAgnt.log Object is locked saltado

C:\Documents and Settings\roseds76\Application Data\Gtek\GTUpdate\AUpdate\DellSupport\DSAgnt_GTAc tions.log Object is locked saltado

C:\Documents and Settings\roseds76\Application Data\Gtek\GTUpdate\AUpdate\DellSupport\gdql_d_DSAg nt.log Object is locked saltado

C:\Documents and Settings\roseds76\Application Data\Gtek\GTUpdate\AUpdate\DellSupport\glog.log Object is locked saltado

C:\Documents and Settings\roseds76\Cookies\index.dat Object is locked saltado

C:\Documents and Settings\roseds76\Desktop\antivirus\SmitfraudFix.e xe/SmitfraudFix/IEDFix.exe Infectados: Hoax.Win32.Renos.vaoz saltado

C:\Documents and Settings\roseds76\Desktop\antivirus\SmitfraudFix.e xe/SmitfraudFix/Reboot.exe Infectados: not-a-virus:RiskTool.Win32.Reboot.f saltado

C:\Documents and Settings\roseds76\Desktop\antivirus\SmitfraudFix.e xe/SmitfraudFix/swsc.exe Infectados: Backdoor.Win32.Hupigon.dckd saltado

C:\Documents and Settings\roseds76\Desktop\antivirus\SmitfraudFix.e xe RAR: infectado - 3 saltado

C:\Documents and Settings\roseds76\Desktop\antivirus\SmitfraudFix.z ip/SmitfraudFix/IEDFix.exe Infectados: Hoax.Win32.Renos.vaoz saltado

C:\Documents and Settings\roseds76\Desktop\antivirus\SmitfraudFix.z ip/SmitfraudFix/Reboot.exe Infectados: not-a-virus:RiskTool.Win32.Reboot.f saltado

C:\Documents and Settings\roseds76\Desktop\antivirus\SmitfraudFix.z ip/SmitfraudFix/swsc.exe Infectados: Backdoor.Win32.Hupigon.dckd saltado

C:\Documents and Settings\roseds76\Desktop\antivirus\SmitfraudFix.z ip ZIP: infectado - 3 saltado

C:\Documents and Settings\roseds76\Desktop\mirc631(2).exe/stream/data0001/stream/data0014 Infectados: not-a-virus:Client-IRC.Win32.mIRC.631 saltado

C:\Documents and Settings\roseds76\Desktop\mirc631(2).exe/stream/data0001/stream Infectados: not-a-virus:Client-IRC.Win32.mIRC.631 saltado

C:\Documents and Settings\roseds76\Desktop\mirc631(2).exe/stream/data0001 Infectados: not-a-virus:Client-IRC.Win32.mIRC.631 saltado

C:\Documents and Settings\roseds76\Desktop\mirc631(2).exe/stream Infectados: not-a-virus:Client-IRC.Win32.mIRC.631 saltado

C:\Documents and Settings\roseds76\Desktop\mirc631(2).exe NSIS: infectado - 4 saltado

C:\Documents and Settings\roseds76\Desktop\SmitfraudFix\IEDFix.exe Infectados: Hoax.Win32.Renos.vaoz saltado

C:\Documents and Settings\roseds76\Desktop\SmitfraudFix\Reboot.exe Infectados: not-a-virus:RiskTool.Win32.Reboot.f saltado

C:\Documents and Settings\roseds76\Desktop\SmitfraudFix\swsc.exe Infectados: Backdoor.Win32.Hupigon.dckd saltado

C:\Documents and Settings\roseds76\Desktop\SmitfraudFix.exe/SmitfraudFix/IEDFix.exe Infectados: Hoax.Win32.Renos.vaoz saltado

C:\Documents and Settings\roseds76\Desktop\SmitfraudFix.exe/SmitfraudFix/Reboot.exe Infectados: not-a-virus:RiskTool.Win32.Reboot.f saltado

C:\Documents and Settings\roseds76\Desktop\SmitfraudFix.exe/SmitfraudFix/swsc.exe Infectados: Backdoor.Win32.Hupigon.dckd saltado

C:\Documents and Settings\roseds76\Desktop\SmitfraudFix.exe RAR: infectado - 3 saltado

C:\Documents and Settings\roseds76\Local Settings\Application Data\Microsoft\Media Player\CurrentDatabase_59R.wmdb Object is locked saltado

C:\Documents and Settings\roseds76\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat Object is locked saltado

C:\Documents and Settings\roseds76\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.LOG Object is locked saltado

C:\Documents and Settings\roseds76\Local Settings\Application Data\SupportSoft\DellSupportCenter\roseds76\state\ logs\sprtcmd.log Object is locked saltado

C:\Documents and Settings\roseds76\Local Settings\History\History.IE5\index.dat Object is locked saltado

C:\Documents and Settings\roseds76\Local Settings\History\History.IE5\MSHist012008080420080 805\index.dat Object is locked saltado

C:\Documents and Settings\roseds76\Local Settings\Temporary Internet Files\AntiPhishing\B3BB5BBA-E7D5-40AB-A041-A5B1C0B26C8F.dat Object is locked saltado

C:\Documents and Settings\roseds76\Local Settings\Temporary Internet Files\Content.IE5\index.dat Object is locked saltado

C:\Documents and Settings\roseds76\NTUSER.DAT Object is locked saltado

C:\Documents and Settings\roseds76\ntuser.dat.LOG Object is locked saltado

C:\Program Files\mIRC\mirc.exe Infectados: not-a-virus:Client-IRC.Win32.mIRC.631 saltado

C:\QooBox\Quarantine\C\WINDOWS\system32\drivers\2a 9bbda3.sys.vir Infectados: Backdoor.Win32.NewRest.f saltado

C:\smf\antivirus\SmitfraudFix.exe/SmitfraudFix/IEDFix.exe Infectados: Hoax.Win32.Renos.vaoz saltado

C:\smf\antivirus\SmitfraudFix.exe/SmitfraudFix/Reboot.exe Infectados: not-a-virus:RiskTool.Win32.Reboot.f saltado

C:\smf\antivirus\SmitfraudFix.exe/SmitfraudFix/swsc.exe Infectados: Backdoor.Win32.Hupigon.dckd saltado

C:\smf\antivirus\SmitfraudFix.exe RAR: infectado - 3 saltado

C:\smf\antivirus\SmitfraudFix.zip/SmitfraudFix/IEDFix.exe Infectados: Hoax.Win32.Renos.vaoz saltado

C:\smf\antivirus\SmitfraudFix.zip/SmitfraudFix/Reboot.exe Infectados: not-a-virus:RiskTool.Win32.Reboot.f saltado

C:\smf\antivirus\SmitfraudFix.zip/SmitfraudFix/swsc.exe Infectados: Backdoor.Win32.Hupigon.dckd saltado

C:\smf\antivirus\SmitfraudFix.zip ZIP: infectado - 3 saltado

C:\smf\Reboot.exe Infectados: not-a-virus:RiskTool.Win32.Reboot.f saltado

C:\smf\swsc.exe Infectados: Backdoor.Win32.Hupigon.dckd saltado

C:\System Volume Information\MountPointManagerRemoteDatabase Object is locked saltado

C:\System Volume Information\_restore{46DE8921-1D39-44D2-A9E9-64119261F211}\RP0\A0000006.sys Infectados: Backdoor.Win32.NewRest.f saltado

C:\System Volume Information\_restore{46DE8921-1D39-44D2-A9E9-64119261F211}\RP1\change.log Object is locked saltado

C:\WINDOWS\CSC\00000001 Object is locked saltado

C:\WINDOWS\CSC\00000002 Object is locked saltado

C:\WINDOWS\CSC\00000003 Object is locked saltado

C:\WINDOWS\Debug\PASSWD.LOG Object is locked saltado

C:\WINDOWS\Registration\{02D4B3F1-FD88-11D1-960D-00805FC79235}.{4B4F7BC2-F0BA-4668-90E9-D81951CDE0CF}.crmlog Object is locked saltado

C:\WINDOWS\SchedLgU.Txt Object is locked saltado

C:\WINDOWS\SoftwareDistribution\ReportingEvents.lo g Object is locked saltado

C:\WINDOWS\Sti_Trace.log Object is locked saltado

C:\WINDOWS\system32\CatRoot2\edb.log Object is locked saltado

C:\WINDOWS\system32\CatRoot2\tmp.edb Object is locked saltado

C:\WINDOWS\system32\config\AppEvent.Evt Object is locked saltado

C:\WINDOWS\system32\config\DEFAULT Object is locked saltado

C:\WINDOWS\system32\config\default.LOG Object is locked saltado

C:\WINDOWS\system32\config\Internet.evt Object is locked saltado

C:\WINDOWS\system32\config\SAM Object is locked saltado

C:\WINDOWS\system32\config\SAM.LOG Object is locked saltado

C:\WINDOWS\system32\config\SecEvent.Evt Object is locked saltado

C:\WINDOWS\system32\config\SECURITY Object is locked saltado

C:\WINDOWS\system32\config\SECURITY.LOG Object is locked saltado

C:\WINDOWS\system32\config\SOFTWARE Object is locked saltado

C:\WINDOWS\system32\config\software.LOG Object is locked saltado

C:\WINDOWS\system32\config\SysEvent.Evt Object is locked saltado

C:\WINDOWS\system32\config\SYSTEM Object is locked saltado

C:\WINDOWS\system32\config\system.LOG Object is locked saltado

C:\WINDOWS\system32\h323log.txt Object is locked saltado

C:\WINDOWS\system32\MsDtc\MSDTC.LOG Object is locked saltado

C:\WINDOWS\system32\MsDtc\Trace\dtctrace.log Object is locked saltado

C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR Object is locked saltado

C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP Object is locked saltado

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER Object is locked saltado

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MA P Object is locked saltado

C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MA P Object is locked saltado

C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DAT A Object is locked saltado

C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP Object is locked saltado

C:\WINDOWS\system32\wpx54.cpx/data0000 Infectados: Trojan.Win32.Inject.eiy saltado

C:\WINDOWS\system32\wpx54.cpx EmbeddedEXE: infectado - 1 saltado

C:\WINDOWS\Temp\hsperfdata_SYSTEM\2140 Object is locked saltado

C:\WINDOWS\wiadebug.log Object is locked saltado

C:\WINDOWS\wiaservc.log Object is locked saltado

C:\WINDOWS\WindowsUpdate.log Object is locked saltado

Análisis completado.

Hola...

Bueno, las infecciones no son tantas, son algunos backup de herramientas que haz utilizado, para eliminar archivo y algunos "falsos positivos"

Descargate OTMoveIt2 lo guardas en el Escritorio.

• Haz un doble clic sobre OTMoveIt2.exe para ejecutarlo.
• Asegurate que este marcado "Unregister Dll's and Ocx's".
• Copia el texto que se encuentra en el cuadrado más abajo, y pega el texto en el marco de OTMoveIt2 nombrado "Paste Standard List of Files / Folders to be Moved".

• Haz clic en MoveIt! Para lanzar la supresión.
• Cuando el resultado aparece en el marco Results, hace clic en Exit.
• Reinicia el PC (Este paso es muy importante)

Envía el informe (reporte) de OTMoveIt2 situado sobre C: \ _ OTMoveIt\MovedFiles\********_******.txt (Donde sale "********_******" es el "date_time")

Salu2
Recuerda volver

Hola,

Mannualmente había borradoya lo del killbox, aqui te dejo el resto del log generado por Otmoveit ..y d nuevo gracias por tu ayuda

File/Folder C:\!KillBox not found.
C:\Documents and Settings\roseds76\Desktop\antivirus\SmitfraudFix.e xe moved successfully.
C:\Program Files\mIRC\download moved successfully.
C:\Program Files\mIRC\defaults\scripts moved successfully.
C:\Program Files\mIRC\defaults moved successfully.
C:\Program Files\mIRC\channels moved successfully.
C:\Program Files\mIRC moved successfully.
C:\QooBox\Quarantine\Registry_backups moved successfully.
C:\QooBox\Quarantine\C\WINDOWS\Temp moved successfully.
C:\QooBox\Quarantine\C\WINDOWS\system32\drivers moved successfully.
C:\QooBox\Quarantine\C\WINDOWS\system32 moved successfully.
C:\QooBox\Quarantine\C\WINDOWS moved successfully.
C:\QooBox\Quarantine\C\Documents and Settings\invitado\Start Menu moved successfully.
C:\QooBox\Quarantine\C\Documents and Settings\invitado moved successfully.
C:\QooBox\Quarantine\C\Documents and Settings moved successfully.
C:\QooBox\Quarantine\C moved successfully.
C:\QooBox\Quarantine moved successfully.
C:\QooBox\BackEnv moved successfully.
C:\QooBox moved successfully.
File/Folder C:\smf\antivirus\SmitfraudFix.exe not found.
C:\Documents and Settings\roseds76\Desktop\antivirus\SmitfraudFix.z ip moved successfully.
File/Folder C:\Documents and Settings\roseds76\Desktop\mirc631(2).exe not found.
C:\System Volume Information\_restore{46DE8921-1D39-44D2-A9E9-64119261F211}\RP0\A0000006.sys moved successfully.
File/Folder C:\WINDOWS\system32\wpx54.cpx not found.

OTMoveIt2 by OldTimer - Version 1.0.4.3 log created on 08052008_184334

Hola...

Quita CF de la siguiente manera:

• Ir a Inicio > Ejecutar
• Escribir lo siguiente: ComboFix /u como muestra la imagen debajo:
  
  • 
• Se te abrira una ventana estilo "Comando", espera unos momentos y luego acepta el mensaje que aparecerá ("ComboFix is uninstalled")

Esto realizara las siguientes tareas:

• Se borraran:
  • ComboFix: sus archivos y carpetas.
  • VundoFix: copias de seguridad (si está presente)
  • La carpeta C:\Deckard (si está presente)
  • La carpeta C: _OtMoveIt (si está presente)
• Restablece la configuración del reloj.
• Ocultar extensiones de archivo (si es necesario.)
• Oculta los archivos que estaban ocultos
• Reactiva el "Restaurar Sistema"

Podemos dar el tema por solucionado?¿

Salu2
Recuerda volver

Hola

Si ya lo podemos dar por cerrado, de nuevo muchisimas gracias por tu ayuda.

Damos tú tema por solucionado, pero si llegase a surgir el problema le das clic al botón del simbolito arriba del post: o también puedes mandarle un MP (Mensaje privado) a cualquier Administrador, Moderador o Warrior de este Sub-Foro para qué reabran el tema y seguir con ellá

Salu2