Buenos Dias Señores.


Les escribo primero que todo para felicitarlos por tan buena labor que realizan en este portal, y segundo les escribo ya que tengo un problema con mi equipo.


tengo configurado mi mail con el microsoft Outlook 2003 y Cada que envio un mail con algun contenido, siempre llega el siguiente contenido

previamen he corrido en modo a prueba de fallos el Spybot S&D, Ccleaner, al Ad-ware, el super antispiware, tambien he corrido el Kasperky on line y no me aparece ningun virus

Adjunto informacion cuando envio el mail

To: "cgarciaq" <cgarciaq@XXXXX.com.co>
Subject: Single store men's health shop
Date: Mon, 4 Aug 2008 14:54:02 -0500
MIME-Version: 1.0
Content-Type: text/plain;
format=flowed;
charset="iso-8859-15";
reply-type=original
Content-Transfer-Encoding: 7bit
X-Priority: 3
X-MSMail-Priority: Normal
X-Mailer: Microsoft Outlook Express 6.00.2462.4682
X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2462.4682

Worldwide "no prescription" pharmacy

http://uimeds.com/


Envio Logs hijacksThis

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 07:45:13 a.m., on 05/08/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16674)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSvcHst.exe
C:\Archivos de programa\Lavasoft\Ad-Aware\aawservice.exe
C:\WINDOWS\system32\brsvc01a.exe
C:\WINDOWS\system32\brss01a.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\BrmfBAgS.exe
C:\WINDOWS\system32\Brmfrmps.exe
C:\WINDOWS\system32\inetsrv\inetinfo.exe
C:\Archivos de programa\LogMeIn\x86\RaMaint.exe
C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Archivos de programa\Eset\nod32krn.exe
C:\ARCHIV~1\01COM~1\I'MINT~1\BIN\rdesktop.exe
C:\Archivos de programa\CyberLink\Shared Files\RichVideo.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\BRMFRSMG.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\System32\svchost.exe
C:\Archivos de programa\Internet Explorer\iexplore.exe
C:\Archivos de programa\Trend Micro\HijackThis\HijackThis.exe

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
O2 - BHO: Symantec Intrusion Prevention - {6D53EC84-6AAE-4787-AEEE-F4628F01010C} - C:\ARCHIV~1\ARCHIV~1\SYMANT~1\IDS\IPSBHO.dll
O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICIO LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Servicio de red')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Archivos de programa\Lavasoft\Ad-Aware\aawservice.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Brother BidiAgent Service for Resource manager (brmfbags) - Brother Industries, Ltd. - C:\WINDOWS\system32\BrmfBAgS.exe
O23 - Service: Brother Popup Suspend service for Resource manager (brmfrmps) - Brother Industries, Ltd. - C:\WINDOWS\system32\Brmfrmps.exe
O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\system32\brsvc01a.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSvcHst.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSvcHst.exe
O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSvcHst.exe
O23 - Service: Servicio del iPod (iPod Service) - Apple Inc. - C:\Archivos de programa\iPod\bin\iPodService.exe
O23 - Service: LiveUpdate Notice - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSvcHst.exe
O23 - Service: LogMeIn Maintenance Service (LMIMaint) - LogMeIn, Inc. - C:\Archivos de programa\LogMeIn\x86\RaMaint.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Archivos de programa\Eset\nod32krn.exe
O23 - Service: RDesktop Server (RDesktop) - 01 Communique - C:\ARCHIV~1\01COM~1\I'MINT~1\BIN\rdesktop.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Archivos de programa\CyberLink\Shared Files\RichVideo.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - CACE Technologies - C:\Archivos de programa\WinPcap\rpcapd.exe
O23 - Service: ServeRAID Manager Agent (ServeRAIDManagerAgent) - IBM Corporation - C:\Archivos de programa\IBM\ServeRAID Manager\RaidServ.exe
O23 - Service: Symantec Core LC - Unknown owner - C:\ARCHIV~1\ARCHIV~1\SYMANT~1\CCPD-LC\symlcsvc.exe

--
End of file - 4372 bytes

Hola cgarciaq,

Tu log de HJT esta limpio y por lo que comentas es que estas recibiendo email spam.

Te recomiendo el articulo de: Diez formas de evitar el Spam en especial el uso de Thunderbird en lugar del Outlook.

Salu2

Buenos Dias Piedra.


Piedra gracias por responder en mik caso, te informo tambien que es de mi PC de donde estoy haciendo Spam. Te resumo mi caso.

la semana pasada observe que cada que enviama un mail desde mi PC la gente siempre recibia un mensaje con la siguiente informacion


Informacion To: "cgarciaq" <cgarciaq@XXXXX.com.co>
Subject: Single store men's health shop
Date: Mon, 4 Aug 2008 14:54:02 -0500
MIME-Version: 1.0
Content-Type: text/plain;
format=flowed;
charset="iso-8859-15";
reply-type=original
Content-Transfer-Encoding: 7bit
X-Priority: 3
X-MSMail-Priority: Normal
X-Mailer: Microsoft Outlook Express 6.00.2462.4682
X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2462.4682

Worldwide "no prescription" pharmacy

http://uimeds.com/

Al dia Siguiente llegue a revisar mi mail y Observe que se habia enviado correos masivos desde mi cuenta de Correo, ya que recibi cientos de correos de notificacion de Lectura.

despues que observe esto, decidi eliminar mi cuentam de correo del Microsoft Outlook para que no bloquearan mi IP.

te informo tambien que cada hago algo para elimiar el virus, configuro mi cuenta de correo y me reenvio un mail a mi mismo y observo que sigo con el problema, lo que hago es eliminar mi cuenta de Mail para no hacer Spam.




Muchas Gracias por la atencion prestada.


Cordialmente

cgarciaq

Descarga, actualiza y ejecuta el programa:

• Malwarebytes' Anti-Malware
  *Nota* Es importante que envíes a "Cuarentena" todo lo que este detecte antes de copiar y pegarnos su reporte.

Descarga CCleaner y ejecútalo usando primero su opción de "Limpiador" para borrar cookies, temporales de Internet y todos los archivos que este te muestre como obsoletos, y luego usa su opción de "Registro" para limpiar todo el registro de Windows (haciendo copia de seguridad).


- Descarga la herramienta ComboFix.exe y guárdala en el escritorio.

• Desactiva temporalmente el Antivirus y/o Antispyware.
• Cierra todas las ventanas abiertas.
• Hacele doble clic al archivo ComboFix.exe y seguí las instrucciones.
• Cuando termine, generara un registro en C:\ComboFix.txt.
  • *Nota* Mientras CF este trabajando no mover el mouse ya que pararía su proceso.
  • *Nota* ComboFix puede reiniciar automáticamente el PC para completar el proceso de eliminación.

• Reinicia y pega el reporte de C:\ComboFix.txt en este mismo mensaje.

Salu2

Buenas Tardse Señores.


Informo que realice todos los pasos sugeridos..

a continuacion adjunto Logs del ComboFix.txt

ComboFix 08-08-08.01 - ADMINISTRACION 2008-08-08 11:32:30.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.34.3082.18.484 [GMT -5:00]
Se ejecuta desde: C:\Documents and Settings\ADMINISTRACION\Escritorio\ComboFix.exe
* Creado un nuevo punto de restauración
* Resident AV is active


ADVERTENCIA - ESTE EQUIPO NO TIENE INSTALADA LA CONSOLA DE RECUPERACION!
.

(((((((((((((((((((((((((((((((((((( Otras eliminaciones )))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Archivos de programa\Antispyware
C:\Archivos de programa\Antispyware\Difxapi.dll
C:\Archivos de programa\Antispyware\FilterDrv\Antispyware.cat
C:\Archivos de programa\Antispyware\FilterDrv\Antispyware.inf
C:\WINDOWS\recover.reg
C:\WINDOWS\system32\Cache

.
(((((((((((((((((( Archivos creados desde 2008-07-08 - 2008-08-08 )))))))))))))))))))))))))))))))))
.

2008-08-08 11:32 . 2008-08-08 11:32 6,736 --a------ C:\WINDOWS\system32\drivers\PROCEXP90.SYS
2008-08-08 11:08 . 2008-08-08 11:08 33,792 ---h----- C:\Documents and Settings\ADMINISTRACION\nhhdc.exe
2008-08-08 10:43 . 2008-08-08 10:42 33,792 ---h----- C:\Documents and Settings\ADMINISTRACION\jhghy.exe
2008-08-08 10:15 . 2008-08-08 10:15 33,792 ---h----- C:\Documents and Settings\ADMINISTRACION\hxxf.exe
2008-08-08 09:50 . 2008-08-08 09:49 33,792 ---h----- C:\Documents and Settings\ADMINISTRACION\mory.exe
2008-08-08 09:22 . 2008-08-08 09:22 33,792 ---h----- C:\Documents and Settings\ADMINISTRACION\kgouf.exe
2008-08-08 09:13 . 2008-08-08 09:13 <DIR> d-------- C:\Documents and Settings\ADMINISTRACION\Datos de programa\Malwarebytes
2008-08-08 09:13 . 2008-07-30 20:07 38,472 --a------ C:\WINDOWS\system32\drivers\mbamswissarmy.sys
2008-08-08 09:13 . 2008-07-30 20:07 17,144 --a------ C:\WINDOWS\system32\drivers\mbam.sys
2008-08-08 09:12 . 2008-08-08 09:12 <DIR> d-------- C:\Documents and Settings\All Users\Datos de programa\Malwarebytes
2008-08-08 09:12 . 2008-08-08 09:13 <DIR> d-------- C:\Archivos de programa\Malwarebytes' Anti-Malware
2008-08-08 08:57 . 2008-08-08 08:57 33,792 ---h----- C:\Documents and Settings\ADMINISTRACION\lyuea.exe
2008-08-08 08:32 . 2008-08-08 08:32 33,792 ---h----- C:\Documents and Settings\ADMINISTRACION\tan.exe
2008-08-08 08:06 . 2008-08-08 08:06 33,792 ---h----- C:\Documents and Settings\ADMINISTRACION\sxyty.exe
2008-08-08 07:38 . 2008-08-08 07:38 33,792 ---h----- C:\Documents and Settings\ADMINISTRACION\mxcxjy.exe
2008-08-05 15:24 . 2008-08-05 15:24 <DIR> d-------- C:\Archivos de programa\Yahoo!
2008-08-05 15:24 . 2008-08-05 15:24 <DIR> d-------- C:\Archivos de programa\CCleaner
2008-08-05 15:23 . 2008-08-05 14:08 2,725,528 --a------ C:\ccsetup202.exe
2008-08-01 14:17 . 2008-08-01 14:17 106 --a------ C:\delete.bat
2008-07-31 19:17 . 2008-07-31 19:17 <DIR> d-------- C:\Archivos de programa\Trend Micro
2008-07-31 12:05 . 2008-07-31 12:08 <DIR> d-------- C:\Archivos de programa\Disk Cleaner
2008-07-31 10:42 . 2008-07-31 10:44 <DIR> d-------- C:\Archivos de programa\DelEliteB
2008-07-31 10:42 . 2008-07-31 10:44 3,590 --a------ C:\tb.reg
2008-07-30 13:14 . 2008-07-30 13:14 <DIR> d-------- C:\Documents and Settings\All Users\Datos de programa\SUPERAntiSpyware.com
2008-07-30 13:14 . 2008-07-30 13:15 <DIR> d-------- C:\Archivos de programa\Archivos comunes\Wise Installation Wizard
2008-07-30 11:31 . 2008-07-30 13:19 <DIR> d-------- C:\WINDOWS\system32\ZeroAds
2008-07-30 11:31 . 2008-07-30 11:31 <DIR> d-------- C:\Archivos de programa\FBM Software
2008-07-30 11:30 . 2008-07-30 11:30 <DIR> d-------- C:\WINDOWS\FBM Software
2008-07-25 16:22 . 2008-07-25 16:21 904,406 --a------ C:\ERROR.bmp
2008-07-24 17:32 . 2008-07-24 17:32 268 --ah----- C:\sqmdata19.sqm
2008-07-24 17:32 . 2008-07-24 17:32 244 --ah----- C:\sqmnoopt19.sqm
2008-07-21 14:59 . 2008-07-26 10:18 <DIR> d-------- C:\Documents and Settings\All Users\Datos de programa\Lavasoft
2008-07-21 14:59 . 2008-07-21 14:59 <DIR> d-------- C:\Archivos de programa\Lavasoft
2008-07-21 09:01 . 2008-07-21 09:01 <DIR> d-------- C:\Documents and Settings\ADMINISTRACION\Datos de programa\SUPERAntiSpyware.com
2008-07-21 09:01 . 2008-07-30 13:14 <DIR> d-------- C:\Archivos de programa\SUPERAntiSpyware
2008-07-17 17:29 . 2008-07-31 11:39 54,156 --ah----- C:\WINDOWS\QTFont.qfn
2008-07-17 17:29 . 2008-07-17 17:29 1,409 --a------ C:\WINDOWS\QTFont.for
2008-07-17 15:43 . 2008-08-05 15:34 <DIR> d-------- C:\Archivos de programa\SpywareBlaster
2008-07-17 13:43 . 2008-07-17 13:43 164 --a------ C:\install.dat
2008-07-17 10:03 . 2008-08-05 14:24 <DIR> d-------- C:\Documents and Settings\All Users\Datos de programa\Spybot - Search & Destroy
2008-07-17 10:03 . 2008-08-05 14:24 <DIR> d-------- C:\Archivos de programa\Spybot - Search & Destroy
2008-07-17 09:08 . 2008-07-17 09:08 <DIR> d-------- C:\Archivos de programa\Windows Sidebar
2008-07-17 09:07 . 2008-07-17 09:43 <DIR> d-------- C:\Archivos de programa\Norton AntiVirus
2008-07-17 09:06 . 2008-07-21 13:25 123,952 --a------ C:\WINDOWS\system32\drivers\SYMEVENT.SYS
2008-07-17 09:06 . 2008-07-21 13:25 60,800 --a------ C:\WINDOWS\system32\S32EVNT1.DLL
2008-07-17 09:06 . 2008-07-21 13:25 10,671 --a------ C:\WINDOWS\system32\drivers\SYMEVENT.CAT
2008-07-17 09:06 . 2008-07-21 13:25 805 --a------ C:\WINDOWS\system32\drivers\SYMEVENT.INF
2008-07-17 08:39 . 2008-07-17 08:39 <DIR> d-------- C:\WINDOWS\system32\Kaspersky Lab
2008-07-17 08:19 . 2008-07-17 08:19 <DIR> d-------- C:\Documents and Settings\All Users\Datos de programa\Kaspersky Lab Setup Files
2008-07-16 07:45 . 2008-07-16 10:06 <DIR> d-------- C:\Archivos de programa\Eset
2008-07-16 07:45 . 2008-07-16 07:45 512,096 --a------ C:\WINDOWS\system32\drivers\amon.sys
2008-07-16 07:45 . 2008-07-16 07:45 298,104 --a------ C:\WINDOWS\system32\imon.dll
2008-07-16 07:45 . 2008-07-16 07:45 15,424 --a------ C:\WINDOWS\system32\drivers\nod32drv.sys
2008-07-15 16:17 . 2008-07-17 10:04 <DIR> d-------- C:\Documents and Settings\All Users\Datos de programa\Symantec
2008-07-15 16:17 . 2008-07-30 13:14 <DIR> d-------- C:\Archivos de programa\Symantec
2008-07-15 16:16 . 2008-07-30 13:14 <DIR> d-------- C:\Archivos de programa\Archivos comunes\Symantec Shared
2008-07-15 16:10 . 2008-07-15 16:10 <DIR> d-------- C:\Documents and Settings\All Users\Datos de programa\Avg7
2008-07-15 15:32 . 2008-07-15 15:31 102,664 --a------ C:\WINDOWS\system32\drivers\tmcomm.sys
2008-07-15 15:31 . 2008-07-15 15:43 <DIR> d-------- C:\Documents and Settings\ADMINISTRACION\.housecall6.6
2008-07-15 15:25 . 2008-07-15 15:25 <DIR> d-------- C:\kav
2008-07-15 15:21 . 2008-07-15 15:21 <DIR> d-------- C:\Documents and Settings\All Users\Datos de programa\Avg8
2008-07-15 11:56 . 2008-07-15 15:07 <DIR> d-------- C:\WINDOWS\BDOSCAN8
2008-07-10 19:25 . 2008-08-08 11:08 100,864 --a------ C:\WINDOWS\system32\drivers\ndisio.sys
2008-07-10 19:25 . 2008-07-10 19:25 1,748 --a------ C:\WINDOWS\netsf.inf
2008-07-10 19:25 . 2008-07-10 19:25 695 --a------ C:\WINDOWS\netsf_m.inf
2008-07-10 07:34 . 2008-07-10 07:34 244 --ah----- C:\sqmnoopt18.sqm
2008-07-10 07:34 . 2008-07-10 07:34 232 --ah----- C:\sqmdata18.sqm

.
(((((((((((((((((((((((((((((((((((((( Reporte Find3M )))))))))))))))))))))))))))))))))))))))))))))))))) )
.
2008-08-05 21:18 --------- d---a-w C:\Documents and Settings\All Users\Datos de programa\TEMP
2008-07-31 12:29 --------- d-----w C:\Archivos de programa\LogMeIn
2008-07-30 16:31 --------- d--h--w C:\Archivos de programa\InstallShield Installation Information
2008-07-17 13:25 --------- d-----w C:\Archivos de programa\eMule
2008-07-01 22:18 --------- d-----w C:\Archivos de programa\IBM
2008-06-28 15:52 --------- d-----w C:\Archivos de programa\Conference
2008-06-27 17:39 --------- d-----w C:\Archivos de programa\WhatsUp
2008-06-24 21:24 --------- d-----w C:\Archivos de programa\Candleworks
2008-06-24 16:23 --------- d-----w C:\Archivos de programa\Gmax
2008-06-24 14:39 --------- d-----w C:\Documents and Settings\All Users\Datos de programa\PY_Software
2008-06-23 22:21 --------- d-----w C:\Archivos de programa\AbelCam
2008-06-23 20:56 --------- d-----w C:\Documents and Settings\All Users\Datos de programa\Seiz System Engineering
2008-06-20 17:41 248,320 ----a-w C:\WINDOWS\system32\mswsock.dll
2008-06-20 17:41 248,320 ------w C:\WINDOWS\system32\dllcache\mswsock.dll
2008-06-20 17:41 148,992 ----a-w C:\WINDOWS\system32\dllcache\dnsapi.dll
2008-06-20 10:45 360,320 ----a-w C:\WINDOWS\system32\drivers\tcpip.sys
2008-06-20 10:45 360,320 ----a-w C:\WINDOWS\system32\dllcache\tcpip.sys
2008-06-20 10:44 138,368 ----a-w C:\WINDOWS\system32\drivers\afd.sys
2008-06-20 10:44 138,368 ------w C:\WINDOWS\system32\dllcache\afd.sys
2008-06-20 09:52 225,920 ----a-w C:\WINDOWS\system32\drivers\tcpip6.sys
2008-06-20 09:52 225,920 ----a-w C:\WINDOWS\system32\dllcache\tcpip6.sys
2008-06-14 17:59 272,512 ----a-w C:\WINDOWS\system32\drivers\bthport.sys
2008-06-14 17:59 272,512 ----a-w C:\WINDOWS\system32\dllcache\bthport.sys
2008-06-13 19:45 579,464 ----a-w C:\WINDOWS\system32\SymNeti.dll
2008-06-13 19:45 207,240 ----a-w C:\WINDOWS\system32\SymRedir.dll
2008-06-13 19:14 31,280 ----a-w C:\WINDOWS\system32\drivers\SymIM.sys
2008-06-13 19:14 13,093 ----a-w C:\WINDOWS\system32\drivers\SymRedir.cat
2008-06-13 19:14 1,611 ----a-w C:\WINDOWS\system32\drivers\SymRedir.inf
2008-06-13 19:13 96,432 ----a-w C:\WINDOWS\system32\drivers\symfw.sys
2008-06-13 19:13 41,008 ----a-w C:\WINDOWS\system32\drivers\symndisv.sys
2008-06-13 19:13 38,576 ----a-w C:\WINDOWS\system32\drivers\symids.sys
2008-06-13 19:13 37,424 ----a-w C:\WINDOWS\system32\drivers\symndis.sys
2008-06-13 19:13 22,320 ----a-w C:\WINDOWS\system32\drivers\symredrv.sys
2008-06-13 19:13 184,240 ----a-w C:\WINDOWS\system32\drivers\symtdi.sys
2008-06-13 19:13 13,616 ----a-w C:\WINDOWS\system32\drivers\symdns.sys
2008-06-10 12:41 --------- d-----w C:\Archivos de programa\Common Files
2008-06-10 12:41 --------- d-----w C:\Archivos de programa\Brother
2008-06-10 12:41 --------- d-----w C:\Archivos de programa\Archivos comunes\InstallShield
2008-06-10 12:33 --------- d-----w C:\Archivos de programa\Archivos comunes\ScanSoft Shared
2008-06-10 12:32 --------- d-----w C:\Documents and Settings\All Users\Datos de programa\ScanSoft
2008-06-10 12:32 --------- d-----w C:\Archivos de programa\ScanSoft
2008-05-28 17:33 83,288 ----a-w C:\WINDOWS\system32\LMIRfsClientNP.dll
2008-05-28 17:33 24,608 ----a-w C:\WINDOWS\system32\LMIport.dll
2008-05-28 17:32 87,352 ----a-w C:\WINDOWS\system32\LMIinit.dll
2008-05-28 17:32 23,736 ----a-w C:\WINDOWS\system32\lmimirr.dll
2008-05-28 17:32 10,040 ----a-w C:\WINDOWS\system32\lmimirr2.dll
2008-05-16 16:58 12,632 ----a-w C:\WINDOWS\system32\lsdelete.exe
2008-05-08 12:28 202,752 ------w C:\WINDOWS\system32\dllcache\rmcast.sys
2007-03-13 15:34 0 ------w C:\Documents and Settings\ADMINISTRACION\rdskview.exe
2004-02-01 00:54 331,776 ----a-w C:\WINDOWS\inf\pdfinst2.exe
2008-01-24 21:48 21 --sh--r C:\WINDOWS\system32\dat\dxn\EPSDMZOSIBCYHKBGSWBIJB DYKVBEVFBNWSYHLB.dat
2008-04-30 14:24 12 --sh--r C:\WINDOWS\system32\dat\dxn\HMEDHDCIJBBDJUBOBQMBYB GTIHGVCRTMDXMQB.dat
2008-04-30 13:31 18 --sh--r C:\WINDOWS\system32\dat\dxn\JDQDWNJDMPQDFXPBOFEQSE BNDLBXJRMEFCTMPC.dat
2008-04-30 14:24 33 --sh--r C:\WINDOWS\system32\dat\dxn\JNZBYJTETPBKURDRUPNQMG VWOTUCMHVCFNR.dat
2008-01-24 21:48 21 --sh--r C:\WINDOWS\system32\dat\dxn\JWPDBSCBOLDCRBBLYCMOTC RCGDHWEBSKPJRN.dat
2007-04-27 21:33 18 --sh--r C:\WINDOWS\system32\dat\dxn\NLLGYSBSYBMZJDWEHCQCGB UHODSPWCPLEDWMWC.dat
2008-01-24 21:48 21 --sh--r C:\WINDOWS\system32\dat\dxn\UYHILKIDODSADGRRBPATYM BBKEYBQPDBKRGC.dat
2008-04-22 13:58 24 --sh--r C:\WINDOWS\system32\dat\dxn\VJCBHYHBGYUBRMDOBLBTKB BVGYQHUBFBNXFED.dat
2008-04-21 13:32 12 --sh--r C:\WINDOWS\system32\dat\dxn\VLBEAICVPEBFQXCXURPLBB WUIBVLSMZQBVOXC.dat
2008-01-24 21:48 18 --sh--r C:\WINDOWS\system32\dat\dxn\ZZPCQBDDXMSBWNIBIAGBIF EBJXVBMZLEBSDEMP.dat
.

((((((((((((((((((((((((((((((((( Cargando Puntos Reg ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Nota* entradas vacías & entradas legítimas predeterminadas no son mostradas

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\Run]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-20 13:00 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run]
"QuickTime Task"="C:\Archivos de programa\QuickTime\qttask.exe" [2007-06-29 06:24 286720]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\Cur rentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-20 13:00 15360]

[hkey_local_machine\software\microsoft\windows\curr entversion\explorer\ShellExecuteHooks]
"{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA}"= "C:\Archivos de programa\SUPERAntiSpyware\SASSEH.DLL" [2008-05-13 10:13 77824]

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\McAfeeAntiVirus]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\McAfeeFirewall]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpo licy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpo licy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"C:\\Archivos de programa\\Macromedia\\Dreamweaver MX\\Dreamweaver.exe"=
"C:\\Archivos de programa\\MSN Messenger\\msnmsgr.exe"=
"C:\\Archivos de programa\\MSN Messenger\\livecall.exe"=
"C:\\Archivos de programa\\WhatsUp\\WhatsUpG.exe"=
"C:\\Archivos de programa\\WhatsUp\\SnmpEvnt.exe"=
"C:\\Archivos de programa\\iTunes\\iTunes.exe"=
"C:\\Archivos de programa\\Skype\\Phone\\Skype.exe"=
"C:\\Archivos de programa\\Conference\\Conference.dll"=
"C:\\Archivos de programa\\IBM\\ServeRAID Manager\\jre\\bin\\javaw.exe"=
"C:\\Documents and Settings\\All Users\\Datos de programa\\Kaspersky Lab Setup Files\\Kaspersky Anti-Virus 2009\\english\\setup.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpo licy\standardprofile\GloballyOpenPorts\List]
"445:TCP"= 445:TCP:@xpsp2res.dll,-22005
"3389:TCP"= 3389:TCP:@xpsp2res.dll,-22009
"3306:TCP"= 3306:TCP:mysql
"5001:TCP"= 5001:TCP:Dexon Agent
"5011:TCP"= 5011:TCP:Dexon Agent

[HKLM\~\services\sharedaccess\parameters\firewallpo licy\standardprofile\IcmpSettings]
"AllowInboundEchoRequest"= 1 (0x1)

R0 AACmgt;AACmgt;C:\WINDOWS\system32\drivers\AACmgt.s ys [2004-03-05 03:32]
R0 atiide;atiide;C:\WINDOWS\system32\DRIVERS\atiide.s ys [2006-09-13 21:45]
R2 LiveUpdate Notice;LiveUpdate Notice;C:\Archivos de programa\Archivos comunes\Symantec Shared\ccSvcHst.exe [2008-02-14 11:02]
R2 LMIInfo;LogMeIn Kernel Information Provider;C:\Archivos de programa\LogMeIn\x86\RaInfo.sys [2008-02-28 15:31]
R2 LMIRfsDriver;LogMeIn Remote File System Driver;C:\WINDOWS\system32\drivers\LMIRfsDriver.sy s [2008-03-07 13:39]
R2 RDesktop;RDesktop Server;C:\ARCHIV~1\01COM~1\I'MINT~1\BIN\rdesktop.exe [2007-03-29 17:53]
R3 brfilt;Controlador de filtro MFC de Brother;C:\WINDOWS\system32\Drivers\Brfilt.sys [2001-08-17 21:12]
R3 brparimg;Controlador de imágenes multifunción paralelo Brother;C:\WINDOWS\system32\DRIVERS\BrParImg.sys [2001-08-17 21:12]
R3 BrParWdm;Controlador paralelo WDM de Brother;C:\WINDOWS\system32\Drivers\BrParwdm.sys [2001-08-22 21:31]
R3 rdsdrvdm;rdsdrvdm;C:\WINDOWS\system32\DRIVERS\rdsd rvdm.sys [2007-03-29 18:15]
S2 ServeRAIDManagerAgent;ServeRAID Manager Agent;C:\Archivos de programa\IBM\ServeRAID Manager\RaidServ.exe [2004-03-23 16:42]
S3 BrSerWDM;Brother WDM Serial driver;C:\WINDOWS\system32\Drivers\BrSerWdm.sys [2001-08-17 21:12]
S3 COH_Mon;COH_Mon;C:\WINDOWS\system32\Drivers\COH_Mo n.sys [2008-03-06 21:32]
S3 FLMCKUSB;AuthenTec TruePrint USB Driver (AES3400, AES3500, AES4000);C:\WINDOWS\system32\Drivers\FLMckUSB.sys [2004-01-23 12:31]
S3 ICAM3NT5;Intel USB Video Camera III;C:\WINDOWS\system32\Drivers\Icam3.sys [2001-08-17 22:05]
S3 NPF;NetGroup Packet Filter Driver;C:\WINDOWS\system32\drivers\npf.sys [2007-11-06 15:22]
S3 USBSTOR;Dispositivo de almacenamiento masivo de datos USB;C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS [2004-08-03 23:08]
S4 01Apache;01Apache;C:\ARCHIV~1\01COM~1\WEBSER~1\Apache.exe [2007-03-29 17:48]
S4 AbelService;AbelService;C:\Archivos de programa\AbelCam\AbelService.exe [2007-02-25 00:53]
S4 DexonAgent;DexonAgent;C:\WINDOWS\system32\dat\Dexo n\Agent\Agent.exe [2008-04-21 08:32]
S4 RDC-Host;RDC-Host;C:\Archivos de programa\Remote Desktop Control\apc_host.exe [2007-11-26 10:34]

[HKEY_CURRENT_USER\software\microsoft\windows\curre ntversion\explorer\mountpoints2\{16b39ca1-8d42-11dc-b904-00188b742da4}]
\Shell\auto\command - E:\Knight.exe open
\Shell\AutoRun\command - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL Knight.exe open
\Shell\explore\command - E:\Knight.exe open
\Shell\find\command - E:\Knight.exe open
\Shell\install\command - E:\Knight.exe open
\Shell\open\command - E:\Knight.exe open

[HKEY_CURRENT_USER\software\microsoft\windows\curre ntversion\explorer\mountpoints2\{225bf24c-5565-11dc-b8b8-00188b742da4}]
\Shell\auto\command - E:\Knight.exe open
\Shell\AutoRun\command - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL Knight.exe open
\Shell\explore\command - E:\Knight.exe open
\Shell\find\command - E:\Knight.exe open
\Shell\install\command - E:\Knight.exe open
\Shell\open\command - E:\Knight.exe open

[HKEY_CURRENT_USER\software\microsoft\windows\curre ntversion\explorer\mountpoints2\{2d120bb6-0020-11dd-b9ab-00188b742da4}]
\Shell\auto\command - E:\Knight.exe open
\Shell\AutoRun\command - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL Knight.exe open
\Shell\explore\command - E:\Knight.exe open
\Shell\find\command - E:\Knight.exe open
\Shell\install\command - E:\Knight.exe open
\Shell\open\command - E:\Knight.exe open

[HKEY_CURRENT_USER\software\microsoft\windows\curre ntversion\explorer\mountpoints2\{2ef74ec0-8f99-11dc-b90b-00188b742da4}]
\Shell\auto\command - E:\Knight.exe open
\Shell\AutoRun\command - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL Knight.exe open
\Shell\explore\command - E:\Knight.exe open
\Shell\find\command - E:\Knight.exe open
\Shell\install\command - E:\Knight.exe open
\Shell\open\command - E:\Knight.exe open

[HKEY_CURRENT_USER\software\microsoft\windows\curre ntversion\explorer\mountpoints2\{3712b6dc-cdb3-11db-b7e8-00188b742da4}]
\Shell\Auto\command - bittorrent.exe e
\Shell\AutoRun\command - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL bittorrent.exe e

[HKEY_CURRENT_USER\software\microsoft\windows\curre ntversion\explorer\mountpoints2\{479a654d-136c-11dc-b85e-00188b742da4}]
\Shell\Auto\command - fun.xls.exe
\Shell\AutoRun\command - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL fun.xls.exe

[HKEY_CURRENT_USER\software\microsoft\windows\curre ntversion\explorer\mountpoints2\{53e2cdb3-d58d-11dc-b957-00188b742da4}]
\Shell\auto\command - E:\Knight.exe open
\Shell\AutoRun\command - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL Knight.exe open
\Shell\explore\command - E:\Knight.exe open
\Shell\find\command - E:\Knight.exe open
\Shell\install\command - E:\Knight.exe open
\Shell\open\command - E:\Knight.exe open

[HKEY_CURRENT_USER\software\microsoft\windows\curre ntversion\explorer\mountpoints2\{57678e6e-aceb-11dc-b933-00188b742da4}]
\Shell\auto\command - Knight.exe open
\Shell\AutoRun\command - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL Knight.exe open
\Shell\explore\command - Knight.exe open
\Shell\find\command - Knight.exe open
\Shell\install\command - Knight.exe open
\Shell\open\command - Knight.exe open

[HKEY_CURRENT_USER\software\microsoft\windows\curre ntversion\explorer\mountpoints2\{5857ad62-fe2c-11db-b839-00188b742da4}]
\Shell\Auto\command - fun.xls.exe
\Shell\AutoRun\command - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL fun.xls.exe

[HKEY_CURRENT_USER\software\microsoft\windows\curre ntversion\explorer\mountpoints2\{60f8d0c8-f5bf-11dc-b995-00188b742da4}]
\Shell\auto\command - Knight.exe open
\Shell\AutoRun\command - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL Knight.exe open
\Shell\explore\command - Knight.exe open
\Shell\find\command - Knight.exe open
\Shell\install\command - Knight.exe open
\Shell\open\command - Knight.exe open

[HKEY_CURRENT_USER\software\microsoft\windows\curre ntversion\explorer\mountpoints2\{6a50f1dc-1f4c-11dc-b870-00188b742da4}]
\Shell\Auto\command - MSOCache\doWTP_RESTORE.exe -autorun
\Shell\AutoRun\command - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL MSOCache\doWTP_RESTORE.exe -autorun

[HKEY_CURRENT_USER\software\microsoft\windows\curre ntversion\explorer\mountpoints2\{7e01943e-7d7e-11dc-b8eb-00188b742da4}]
\Shell\Auto\command - AUTOEXEC.BAT
\Shell\AutoRun\command - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL AUTOEXEC.BAT

[HKEY_CURRENT_USER\software\microsoft\windows\curre ntversion\explorer\mountpoints2\{aa35c952-dfb4-11dc-b965-00188b742da4}]
\Shell\auto\command - E:\Knight.exe open
\Shell\AutoRun\command - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL Knight.exe open
\Shell\explore\command - E:\Knight.exe open
\Shell\find\command - E:\Knight.exe open
\Shell\install\command - E:\Knight.exe open
\Shell\open\command - E:\Knight.exe open

[HKEY_CURRENT_USER\software\microsoft\windows\curre ntversion\explorer\mountpoints2\{ab2d9698-3957-11dd-ba09-00188b742da4}]
\Shell\auto\command - Knight.exe open
\Shell\AutoRun\command - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL Knight.exe open
\Shell\explore\command - Knight.exe open
\Shell\find\command - Knight.exe open
\Shell\install\command - Knight.exe open
\Shell\open\command - Knight.exe open

[HKEY_CURRENT_USER\software\microsoft\windows\curre ntversion\explorer\mountpoints2\{b29d2755-8c66-11dc-b903-00188b742da4}]
\Shell\auto\command - E:\Knight.exe open
\Shell\AutoRun\command - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL Knight.exe open
\Shell\explore\command - E:\Knight.exe open
\Shell\find\command - E:\Knight.exe open
\Shell\install\command - E:\Knight.exe open
\Shell\open\command - E:\Knight.exe open

[HKEY_CURRENT_USER\software\microsoft\windows\curre ntversion\explorer\mountpoints2\{b3a4b8f5-f033-11dc-b984-00188b742da4}]
\Shell\auto\command - E:\Knight.exe open
\Shell\AutoRun\command - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL Knight.exe open
\Shell\explore\command - E:\Knight.exe open
\Shell\find\command - E:\Knight.exe open
\Shell\install\command - E:\Knight.exe open
\Shell\open\command - E:\Knight.exe open

[HKEY_CURRENT_USER\software\microsoft\windows\curre ntversion\explorer\mountpoints2\{c3f2f1d8-6b77-11dc-b8d1-00188b742da4}]
\Shell\Auto\command - E:\fun.xls.exe
\Shell\AutoRun\command - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL fun.xls.exe

[HKEY_CURRENT_USER\software\microsoft\windows\curre ntversion\explorer\mountpoints2\{d0a8d4f8-4211-11dc-b89f-00188b742da4}]
\Shell\auto\command - E:\Knight.exe open
\Shell\AutoRun\command - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL Knight.exe open
\Shell\explore\command - E:\Knight.exe open
\Shell\find\command - E:\Knight.exe open
\Shell\install\command - E:\Knight.exe open
\Shell\open\command - E:\Knight.exe open

[HKEY_CURRENT_USER\software\microsoft\windows\curre ntversion\explorer\mountpoints2\{dc2b406f-7e45-11dc-b8ec-00188b742da4}]
\Shell\Auto\command - F:\sxs.exe
\Shell\AutoRun\command - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL sxs.exe

[HKEY_CURRENT_USER\software\microsoft\windows\curre ntversion\explorer\mountpoints2\{dec089f6-e3ac-11dc-b968-00188b742da4}]
\Shell\Auto\command - F:\MSOCache\doWTP_RESTORE_0.exe -autorun
\Shell\AutoRun\command - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL MSOCache\doWTP_RESTORE_0.exe -autorun

[HKEY_CURRENT_USER\software\microsoft\windows\curre ntversion\explorer\mountpoints2\{e21dcac3-edb3-11db-b823-00188b742da4}]
\Shell\auto\command - E:\Knight.exe open
\Shell\AutoRun\command - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL Knight.exe open
\Shell\explore\command - E:\Knight.exe open
\Shell\find\command - E:\Knight.exe open
\Shell\install\command - E:\Knight.exe open
\Shell\open\command - E:\Knight.exe open

[HKEY_CURRENT_USER\software\microsoft\windows\curre ntversion\explorer\mountpoints2\{edd436c9-e922-11dc-b975-00188b742da4}]
\Shell\auto\command - E:\Knight.exe open
\Shell\AutoRun\command - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL Knight.exe open
\Shell\explore\command - E:\Knight.exe open
\Shell\find\command - E:\Knight.exe open
\Shell\install\command - E:\Knight.exe open
\Shell\open\command - E:\Knight.exe open

[HKEY_CURRENT_USER\software\microsoft\windows\curre ntversion\explorer\mountpoints2\{f35e1f34-8d46-11dc-b905-00188b742da4}]
\Shell\auto\command - Knight.exe open
\Shell\AutoRun\command - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL Knight.exe open
\Shell\explore\command - Knight.exe open
\Shell\find\command - Knight.exe open
\Shell\install\command - Knight.exe open
\Shell\open\command - Knight.exe open

*Newly Created Service* - CATCHME
*Newly Created Service* - PROCEXP90
.
Contenido de carpeta 'Tareas Programadas'

2008-07-17 C:\WINDOWS\Tasks\Norton AntiVirus - Run Full System Scan - ADMINISTRACION.job
- C:\Archivos de programa\Norton AntiVirus\Navw32.exe [2007-08-26 20:19]
.
- - - - ORPHANS REMOVED - - - -

Notify-WgaLogon - (no file)


.
------- Supplementary Scan -------
.
FireFox -: Profile - C:\Documents and Settings\ADMINISTRACION\Datos de programa\Mozilla\Firefox\Profiles\e2jxluqb.default \


************************************************** ************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-08-08 11:36:46
Windows 5.1.2600 Service Pack 2 NTFS

escaneando procesos ocultos ...

escaneando entradas ocultas de autostart ...

escaneando archivos ocultos ...

el escaneo se completo con exito
archivos ocultos: 0

************************************************** ************************

[HKEY_LOCAL_MACHINE\system\ControlSet001\Services\M ySQL]
"ImagePath"="\"C:\Archivos de programa\MySQL\MySQL Server 5.2\bin\mysqld-nt\" --defaults-file=\"C:\Archivos de programa\MySQL\MySQL Server 5.2\my.ini\" MySQL"
.
--------------------- DLLs cargados bajo los procesos en ejecución ---------------------

PROCESS: C:\WINDOWS\system32\lsass.exe
-> C:\Archivos de programa\Eset\pr_imon.dll
.
Tiempo completado: 2008-08-08 11:38:05
ComboFix-quarantined-files.txt 2008-08-08 16:38:01

Pre-Run: 9,663,700,992 bytes libres
Post-Run: 9,792,794,624 bytes libres

379 --- E O F --- 2008-08-08 11:49:20




Muchas gracias por la atencion prestada.


Cordialmente

Carlos Andres Garcia Quintero.