Hola amigos de infospyware!

Esta ves me trae aqui un problema que comienza con la imposibilidad de entrar a internet. Es decir, la pagina de inicio del explorador tarda mucho en cargar y al final nunca abre. Entonces segui los 11 pasos para hacer una buena eliminacion y si elimine una buena cantidad de virus y spywares, pero sigo sin poder abrir la pagina de inicio del explorador de internet.

Ya hice pruebas con el modem y hasta llame al proveedor de internet para solucionar el problema, y lo unico que comprobamos es que la conexion funciona perfectamente.

Sin embargo sigo sin poder entrar a internet. Por lo que ahora acudo a ustedes para solucionar el problema.

El log de la computadora es:




Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 08:39:31 p.m., on 12/08/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16674)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Archivos de programa\Eset\nod32kui.exe
C:\Archivos de programa\Archivos comunes\InstallShield\UpdateService\issch.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Archivos de programa\Ares\Ares.exe
C:\Archivos de programa\Eset\nod32krn.exe
C:\WINDOWS\system32\HPZipm12.exe
C:\WINDOWS\system32\svchost.exe
C:\ARCHIV~1\Yahoo!\MESSEN~1\ymsgr_tray.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Archivos de programa\Trend Micro\HijackThis\HijackThis.exe
C:\Archivos de programa\Internet Explorer\IEXPLORE.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = https://login.live.com/ppsecure/sha1auth.srf?lc=11274
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\Docum ents and Settings\Administrador\iuybqx.exe \s
O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - (no file)
O2 - BHO: Aplicación auxiliar de vínculos de Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Archivos comunes\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\ARCHIV~1\Skype\Phone\IEPlugin\SKYPEI~1.DLL
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\ARCHIV~1\MICROS~1\Office12\GRA8E1~1.DLL
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.5.0_11\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O4 - HKLM\..\Run: [nod32kui] "C:\Archivos de programa\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKLM\..\Run: [ISUSPM Startup] "C:\Archivos de programa\Archivos comunes\InstallShield\UpdateService\isuspm.exe" -startup
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Archivos de programa\Archivos comunes\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Archivos de programa\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime Alternative\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Microsoft 64 Bit Driver Loader] rundll64.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Yahoo! Pager] "C:\ARCHIV~1\Yahoo!\MESSEN~1\YAHOOM~1.EXE" -quiet
O4 - HKCU\..\Run: [ares] "C:\Archivos de programa\Ares\Ares.exe" -h
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICIO LOCAL')
O4 - HKUS\S-1-5-19\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'SERVICIO LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Servicio de red')
O4 - HKUS\S-1-5-20\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'Servicio de red')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'Default user')
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Pol icies\System, DisableRegedit=1
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra button: Enviar a OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\ARCHIV~1\MICROS~1\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: &Enviar a OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\ARCHIV~1\MICROS~1\Office12\ONBttnIE.dll
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\ARCHIV~1\Skype\Phone\IEPlugin\SKYPEI~1.DLL
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~1\Office12\REFIEBAR.DLL
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Archivos de programa\Yahoo!\Common\yinsthelper.dll
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\ARCHIV~1\MICROS~1\Office12\GR99D3~1.DLL
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\ARCHIV~1\ARCHIV~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: !SASWinLogon - C:\Archivos de programa\SUPERAntiSpyware\SASWINLO.dll
O23 - Service: Ares Chatroom server (AresChatServer) - Ares Development Group - C:\Archivos de programa\Ares\chatServer.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Archivos de programa\Archivos comunes\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: Servicio del iPod (iPod Service) - Apple Inc. - C:\Archivos de programa\iPod\bin\iPodService.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Archivos de programa\Eset\nod32krn.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

--
End of file - 6443 bytes



De antemano les agradezco su atencion y comprension.

Hasta pronto!
Jesse

Hola jessevh1

Descarga y/o Actualiza:

• SDFix
• Malwarebytes' Anti-Malware
• Ccleaner

Pasos para la Eliminacion:

• Apagar el "Restaurar Sistema" (solo Win Me y XP)
• Reinicia a Modo Prueba de Fallos (Modo Seguro)

Con todos los programas cerrados ejecuta el HijackThis y dale a esta entrada:

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\Docum ents and Settings\Administrador\iuybqx.exe \s

O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - (no file)

O4 - HKLM\..\Run: [Microsoft 64 Bit Driver Loader] rundll64.exe

O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Pol icies\System, DisableRegedit=1


Ejecuta de a uno:

• Ccleaner ejecútalo usando primero su opción de "Limpiador" para borrar cookies, temporales de Internet y todos los archivos que este te muestre como obsoletos, y luego usa su opción de "Registro" para limpiar todo el registro de Windows (haciendo copia de seguridad). Realiza Varios Analisis
  
• 
  Malwarebytes' Anti-Malware
  

• Ejecuta SDFix.exe en el escritorio, se creará una nueva carpeta en el escritorio, entra en dicha carpeta y ejecuta el archivo "Runthis.bat" luego, presiona la tecla "Y" para que comience el chequeo, al terminar, se creará un archivo dentro de la carpeta llamado Report.txt, copia y pega lo que indique ese reporte acá.

Inicia en Modo Normal, Prende Restaurar Sistema .

nos cuentas los resultados. nos pegas un log de hijackthis junto con el reporte de SDFix en este mismo mensaje.

Saludos nos comentas.

Hola thecat_re!

Gracias por tu apoyo!
Te comento lo que hice:
Tuve problemas para descargar el SDFix, me salia un error en la descarga y utilice el superantispyware. Despues baje el malewarebytes. Y el Ccleaner ya lo tenia.

Segui los pasos tal como me lo indicaste. Este es el log del malewarebytes:



Malwarebytes' Anti-Malware 1.24
Versión de la Base de Datos: 1012
Windows 5.1.2600 Service Pack 2

02:35:39 p.m. 14/08/2008
mbam-log-8-14-2008 (14-35-39).txt

Tipo de examen : Examen Completo (C:\|)
Objetos examinados: 91367
Tiempo transcurrido: 2 hour(s), 18 minute(s), 7 second(s)

Procesos en Memoria Infectados: 0
Módulos en Memoria Infectados: 0
Claves del Registro Infectadas: 0
Valores del Registro Infectados: 0
Elementos de Datos del Registro Infectados: 2
Carpetas Infectadas: 0
Ficheros Infectados: 4

Procesos en Memoria Infectados:
(No se han detectado elementos maliciosos)

Módulos en Memoria Infectados:
(No se han detectado elementos maliciosos)

Claves del Registro Infectadas:
(No se han detectado elementos maliciosos)

Valores del Registro Infectados:
(No se han detectado elementos maliciosos)

Elementos de Datos del Registro Infectados:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\Explorer\Advanced\Start_ShowHelp (Hijack.StartMenu) -> Bad: (0) Good: (1) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\Policies\System\DisableTaskMgr (Hijack.TaskManager) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

Carpetas Infectadas:
(No se han detectado elementos maliciosos)

Ficheros Infectados:
C:\RESPALDO 20 FEBRERO\FERNANDO SUAREZ 2° RESPALDO\chatterbox\ide101.vxd (Adware.Winad) -> Quarantined and deleted successfully.
C:\RESPALDO 20 FEBRERO\FERNANDO SUAREZ 2° RESPALDO\chatterbox\backup.20041203.151240\ide101. vxd (Adware.Winad) -> Quarantined and deleted successfully.
C:\RESPALDO 20 FEBRERO\FERNANDO SUAREZ 2° RESPALDO\chatterbox\backup.20050209.175616\ide101. vxd (Adware.Winad) -> Quarantined and deleted successfully.
C:\RESPALDO 20 FEBRERO\FERNANDO SUAREZ 2° RESPALDO\chatterbox\backup.20050209.175642\ide101. vxd (Adware.Winad) -> Quarantined and deleted successfully.


Aqui esta el del hijackthis:


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 04:20:09 p.m., on 14/08/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16674)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Archivos de programa\Eset\nod32krn.exe
C:\WINDOWS\system32\HPZipm12.exe
C:\WINDOWS\system32\svchost.exe
C:\Archivos de programa\Eset\nod32kui.exe
C:\Archivos de programa\Archivos comunes\InstallShield\UpdateService\issch.exe
C:\WINDOWS\system32\ctfmon.exe
C:\ARCHIV~1\Yahoo!\MESSEN~1\ymsgr_tray.exe
C:\Archivos de programa\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = https://login.live.com/ppsecure/sha1auth.srf?lc=11274
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: Aplicación auxiliar de vínculos de Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Archivos comunes\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\ARCHIV~1\Skype\Phone\IEPlugin\SKYPEI~1.DLL
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\ARCHIV~1\MICROS~1\Office12\GRA8E1~1.DLL
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.5.0_11\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O4 - HKLM\..\Run: [nod32kui] "C:\Archivos de programa\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKLM\..\Run: [ISUSPM Startup] "C:\Archivos de programa\Archivos comunes\InstallShield\UpdateService\isuspm.exe" -startup
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Archivos de programa\Archivos comunes\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Archivos de programa\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime Alternative\qttask.exe" -atboottime
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Yahoo! Pager] "C:\ARCHIV~1\Yahoo!\MESSEN~1\YAHOOM~1.EXE" -quiet
O4 - HKCU\..\Run: [ares] "C:\Archivos de programa\Ares\Ares.exe" -h
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICIO LOCAL')
O4 - HKUS\S-1-5-19\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'SERVICIO LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Servicio de red')
O4 - HKUS\S-1-5-20\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'Servicio de red')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'Default user')
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra button: Enviar a OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\ARCHIV~1\MICROS~1\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: &Enviar a OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\ARCHIV~1\MICROS~1\Office12\ONBttnIE.dll
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\ARCHIV~1\Skype\Phone\IEPlugin\SKYPEI~1.DLL
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~1\Office12\REFIEBAR.DLL
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Archivos de programa\Yahoo!\Common\yinsthelper.dll
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\ARCHIV~1\MICROS~1\Office12\GR99D3~1.DLL
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\ARCHIV~1\ARCHIV~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: !SASWinLogon - C:\Archivos de programa\SUPERAntiSpyware\SASWINLO.dll
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Archivos de programa\Archivos comunes\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: Servicio del iPod (iPod Service) - Apple Inc. - C:\Archivos de programa\iPod\bin\iPodService.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Archivos de programa\Eset\nod32krn.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe



Sin embargo, el problema persiste. Apezar de haberle pasado estos tres programas, no pude entrar a internet. Pude eliminar varios virus, pero tal parece que hay algo que impide el acceso a la web.

Que mas se puede hacer?


Gracias nuevamente! Saludos!
Jesse

Hola Nuevamente

El reporte Limpio.

Realiza lo Siguiente:

- Descarga la herramienta ComboFix.exe y guárdala en el escritorio.

• Desactiva temporalmente el Antivirus y/o Antispyware.
• Cierra todas las ventanas abiertas.
• Hacele doble clic al archivo ComboFix.exe y seguí las instrucciones.
• Cuando termine, generara un registro en C:\ComboFix.txt.
  • *Nota* Mientras CF este trabajando no mover el mouse ya que pararía su proceso.
  • *Nota* ComboFix puede reiniciar automáticamente el PC para completar el proceso de eliminación.

• Reinicia y pega el reporte de C:\ComboFix.txt en este mismo mensaje para analizarlo.

Realiza un escaneo online con "Panda ActiveScan Online" y nos dejas sus reportes en este mismo mensaje.

Por Ultimo Ejecuta WinSock XP Fix 1.2 Dandole a Fix

Saludos Nos Comentas.

Hola the cat!

Aqui te pongo el log de la maquina que estoy observando:

ComboFix 08-08-18.05 - Administrador 2008-08-19 19:46:29.2 - NTFSx86
Se ejecuta desde: C:\Documents and Settings\Administrador\Escritorio\ComboFix.exe
* Creado un nuevo punto de restauración
* Resident AV is active


ADVERTENCIA - ESTE EQUIPO NO TIENE INSTALADA LA CONSOLA DE RECUPERACION!
.

(((((((((((((((((( Archivos creados desde 2008-07-20 - 2008-08-20 )))))))))))))))))))))))))))))))))
.

2008-08-19 19:18 . 2007-03-09 01:04 54,936 --a------ C:\WINDOWS\system32\vsutil_loc0c0a.dll
2008-08-19 19:18 . 2007-03-09 01:04 42,648 --a------ C:\WINDOWS\zllsputility_loc0c0a.dll
2008-08-19 19:18 . 2007-03-09 01:04 22,168 --a------ C:\WINDOWS\system32\imsinstall_loc0c0a.dll
2008-08-19 19:18 . 2007-03-09 01:04 18,072 --a------ C:\WINDOWS\system32\imslsp_install_loc0c0a.dll
2008-08-19 19:17 . 2007-03-09 01:02 75,512 --a------ C:\WINDOWS\zllsputility.exe
2008-08-19 19:17 . 2004-04-27 05:40 11,264 --a------ C:\WINDOWS\system32\SpOrder.dll
2008-08-19 19:16 . 2008-08-19 19:18 <DIR> d-------- C:\WINDOWS\system32\ZoneLabs
2008-08-19 19:16 . 2007-03-09 01:01 1,087,216 --a------ C:\WINDOWS\system32\zpeng24.dll
2008-08-19 19:16 . 2008-08-19 19:26 55,081 --a------ C:\WINDOWS\system32\vsconfig.xml
2008-08-19 19:05 . 2008-08-19 19:04 19,456 --a------ C:\WINDOWS\system32\gdgwg.exe
2008-08-19 19:05 . 2008-08-19 19:04 19,456 ---h----- C:\Documents and Settings\Administrador\siay.exe
2008-08-19 19:02 . 2008-08-19 19:02 <DIR> d-------- C:\WINDOWS\system32\xircom
2008-08-19 19:02 . 2008-08-19 19:02 <DIR> d-------- C:\Archivos de programa\microsoft frontpage
2008-08-14 16:59 . 2008-05-01 09:31 331,776 --------- C:\WINDOWS\system32\dllcache\msadce.dll
2008-08-14 11:33 . 2008-08-14 11:33 <DIR> d-------- C:\Documents and Settings\All Users\Datos de programa\Malwarebytes
2008-08-14 11:33 . 2008-08-14 11:33 <DIR> d-------- C:\Documents and Settings\Administrador\Datos de programa\Malwarebytes
2008-08-14 11:33 . 2008-08-14 11:33 <DIR> d-------- C:\Archivos de programa\Malwarebytes' Anti-Malware
2008-08-14 11:33 . 2008-07-30 20:07 38,472 --a------ C:\WINDOWS\system32\drivers\mbamswissarmy.sys
2008-08-14 11:33 . 2008-07-30 20:07 17,144 --a------ C:\WINDOWS\system32\drivers\mbam.sys
2008-08-13 16:44 . 2008-08-14 17:17 35,872 --ahs---- C:\WINDOWS\system32\drivers\fidbox.dat
2008-08-13 16:44 . 2008-08-14 17:17 1,824 --ahs---- C:\WINDOWS\system32\drivers\fidbox2.dat
2008-08-13 16:44 . 2008-08-14 17:17 1,556 --ahs---- C:\WINDOWS\system32\drivers\fidbox.idx
2008-08-13 16:44 . 2008-08-14 17:17 1,220 --ahs---- C:\WINDOWS\system32\drivers\fidbox2.idx
2008-08-13 16:35 . 2008-08-13 16:35 1,169 --a------ C:\WINDOWS\mozver.dat
2008-08-12 19:12 . 2008-08-12 19:12 0 --a------ C:\WINDOWS\nsreg.dat
2008-08-12 12:17 . 2008-08-12 12:17 <DIR> d-------- C:\Archivos de programa\Trend Micro
2008-08-12 12:08 . 2008-08-12 12:08 <DIR> d-------- C:\Documents and Settings\All Users\Datos de programa\SUPERAntiSpyware.com
2008-08-12 12:07 . 2008-08-12 12:07 <DIR> d-------- C:\Documents and Settings\Administrador\Datos de programa\SUPERAntiSpyware.com
2008-08-12 12:07 . 2008-08-12 12:07 <DIR> d-------- C:\Archivos de programa\SUPERAntiSpyware
2008-08-12 11:38 . 2008-08-15 19:45 <DIR> d-a------ C:\Documents and Settings\All Users\Datos de programa\TEMP
2008-08-12 11:38 . 2008-08-12 11:39 <DIR> d-------- C:\Archivos de programa\SpywareBlaster
2008-08-12 11:38 . 2005-08-25 18:19 115,920 --a------ C:\WINDOWS\system32\MSINET.OCX
2008-08-12 11:30 . 2008-08-19 19:28 4,212 ---h----- C:\WINDOWS\system32\zllictbl.dat
2008-08-12 11:27 . 2008-08-12 11:27 <DIR> d-------- C:\Archivos de programa\Zone Labs
2008-08-12 11:25 . 2008-08-19 19:37 <DIR> d-------- C:\WINDOWS\Internet Logs
2008-08-12 11:22 . 2008-08-12 11:22 <DIR> d-------- C:\Archivos de programa\Archivos comunes\Wise Installation Wizard
2008-08-08 11:31 . 2008-08-08 11:31 100,864 --a------ C:\WINDOWS\system32\drivers\ndisio.sys
2008-08-06 18:39 . 2008-08-06 18:39 <DIR> d-------- C:\WINDOWS\system32\NtmsData
2008-08-06 13:03 . 2008-08-07 10:57 45,568 -r-hs---- C:\WINDOWS\system32\rundll64.exe
2008-07-30 17:30 . 2008-07-30 17:30 0 --a------ C:\Nuevo Imagen de mapa de bits.bmp
2008-07-24 12:40 . 2003-01-15 20:50 349,224 --a------ C:\WINDOWS\system32\IGThreed40.ocx
2008-07-21 18:58 . 2008-07-21 19:01 <DIR> d-------- C:\Archivos de programa\Conference

.
(((((((((((((((((((((((((((((((((((((( Reporte Find3M )))))))))))))))))))))))))))))))))))))))))))))))))) )
.
2008-08-16 02:11 --------- d-----w C:\Archivos de programa\Google
2008-08-14 22:27 --------- d-----w C:\Archivos de programa\Ares
2008-08-13 01:36 --------- d-----w C:\Archivos de programa\Eset
2008-07-24 19:16 --------- d-----w C:\Documents and Settings\Administrador\Datos de programa\U3
2008-07-22 18:13 --------- d-----w C:\Documents and Settings\Administrador\Datos de programa\Image Zone Express
2008-07-08 01:12 --------- d-----w C:\Documents and Settings\All Users\Datos de programa\Microsoft Help
2008-06-20 17:50 --------- d-----w C:\Documents and Settings\All Users\Datos de programa\Office Genuine Advantage
2008-06-20 10:44 360,960 ----a-w C:\WINDOWS\system32\drivers\tcpip.sys
2008-06-20 10:44 138,368 ----a-w C:\WINDOWS\system32\drivers\afd.sys
2008-06-20 09:32 225,920 ----a-w C:\WINDOWS\system32\drivers\tcpip6.sys
2008-06-20 02:22 --------- d-----w C:\Documents and Settings\All Users\Datos de programa\yahoo!
2008-06-20 02:22 --------- d-----w C:\Documents and Settings\Administrador\Datos de programa\Yahoo!
2008-06-20 02:05 --------- d-----w C:\Archivos de programa\XnView
.

((((((((((((((((((((((((((((( snapshot@2008-08-19_18.52.10.21 )))))))))))))))))))))))))))))))))))))))))
.
+ 2007-03-09 06:01:16 796,312 ----a-w C:\WINDOWS\system32\libeay32_0.9.6l.dll
+ 2007-03-09 06:01:24 83,696 ----a-w C:\WINDOWS\system32\vsdata.dll
+ 2007-03-09 06:02:10 394,192 ----a-w C:\WINDOWS\system32\vsdatant.sys
+ 2007-03-09 06:01:24 157,424 ----a-w C:\WINDOWS\system32\vsinit.dll
+ 2007-03-09 06:01:26 104,176 ----a-w C:\WINDOWS\system32\vsmonapi.dll
+ 2007-03-09 06:01:26 276,208 ----a-w C:\WINDOWS\system32\vspubapi.dll
+ 2007-03-09 06:01:26 71,408 ----a-w C:\WINDOWS\system32\vsregexp.dll
+ 2007-03-09 06:01:28 472,816 ----a-w C:\WINDOWS\system32\vsutil.dll
+ 2007-03-09 06:01:30 46,832 ----a-w C:\WINDOWS\system32\vswmi.dll
+ 2007-03-09 06:01:30 100,080 ----a-w C:\WINDOWS\system32\vsxml.dll
+ 2007-03-09 06:01:30 83,696 ----a-w C:\WINDOWS\system32\zlcomm.dll
+ 2007-03-09 06:01:32 71,408 ----a-w C:\WINDOWS\system32\zlcommdb.dll
+ 2007-03-09 06:01:10 362,280 ----a-w C:\WINDOWS\system32\ZoneLabs\av.dll
+ 2007-03-09 06:04:12 26,264 ----a-w C:\WINDOWS\system32\ZoneLabs\av_loc0c0a.dll
+ 2006-06-30 20:47:36 20,544 ----a-w C:\WINDOWS\system32\ZoneLabs\avsys\bases\avcmhk.dl l
+ 2006-06-30 20:47:36 21,568 ----a-w C:\WINDOWS\system32\ZoneLabs\avsys\bases\avcmhk4.d ll
+ 2006-06-30 20:47:38 62,604 ----a-w C:\WINDOWS\system32\ZoneLabs\avsys\bases\ids0005c. sys
+ 2006-06-30 20:47:38 57,804 ----a-w C:\WINDOWS\system32\ZoneLabs\avsys\bases\ids000ee. sys
+ 2006-12-20 00:13:54 77,456 ----a-w C:\WINDOWS\system32\ZoneLabs\avsys\bases\ids0015d. sys
+ 2006-12-20 00:13:54 19,600 ----a-w C:\WINDOWS\system32\ZoneLabs\avsys\bases\klcr.sys
+ 2006-12-20 00:13:54 51,344 ----a-w C:\WINDOWS\system32\ZoneLabs\avsys\bases\klfw.sys
+ 2006-12-20 00:13:54 19,088 ----a-w C:\WINDOWS\system32\ZoneLabs\avsys\bases\klstm.sys
+ 2006-12-20 00:13:50 61,565 ----a-w C:\WINDOWS\system32\ZoneLabs\avsys\CKAHComm.dll
+ 2006-12-20 00:13:50 114,813 ----a-w C:\WINDOWS\system32\ZoneLabs\avsys\CKAHrule.dll
+ 2006-12-20 00:13:50 307,323 ----a-w C:\WINDOWS\system32\ZoneLabs\avsys\CKAHUM.dll
+ 2006-11-30 04:02:26 36,923 ----a-w C:\WINDOWS\system32\ZoneLabs\avsys\FSSync.dll
+ 2006-09-20 05:12:14 208,960 ----a-w C:\WINDOWS\system32\ZoneLabs\avsys\inv.dll
+ 2007-01-11 23:31:04 274,514 ----a-w C:\WINDOWS\system32\ZoneLabs\avsys\kave.dll
+ 2006-12-20 00:13:52 12,288 ----a-w C:\WINDOWS\system32\ZoneLabs\avsys\kl1.sys
+ 2006-11-30 04:02:26 174,864 ----a-w C:\WINDOWS\system32\ZoneLabs\avsys\klif.sys
+ 2006-12-20 00:13:52 1,093,632 ----a-w C:\WINDOWS\system32\ZoneLabs\avsys\libeay32.dll
+ 2006-12-20 00:13:52 69,785 ----a-w C:\WINDOWS\system32\ZoneLabs\avsys\Monitor.exe
+ 2006-11-30 04:02:26 184,445 ----a-w C:\WINDOWS\system32\ZoneLabs\avsys\prloader.dll
+ 2006-12-20 00:13:52 94,313 ----a-w C:\WINDOWS\system32\ZoneLabs\avsys\ScanningProcess .exe
+ 2006-12-20 00:13:52 200,704 ----a-w C:\WINDOWS\system32\ZoneLabs\avsys\ssleay32.dll
+ 2007-03-09 06:01:10 100,080 ----a-w C:\WINDOWS\system32\ZoneLabs\camupd.dll
+ 2007-03-09 06:04:12 18,072 ----a-w C:\WINDOWS\system32\ZoneLabs\camupd_loc0c0a.dll
+ 2004-01-30 18:35:08 813,568 ----a-w C:\WINDOWS\system32\ZoneLabs\dbghelp.dll
+ 2007-03-09 06:01:14 128,744 ----a-w C:\WINDOWS\system32\ZoneLabs\fbl.dll
+ 2007-03-09 06:01:14 38,640 ----a-w C:\WINDOWS\system32\ZoneLabs\featuremap.dll
+ 2007-03-09 06:01:14 321,280 ----a-w C:\WINDOWS\system32\ZoneLabs\imsecure.dll
+ 2007-03-09 06:04:14 26,264 ----a-w C:\WINDOWS\system32\ZoneLabs\imsecure_loc0c0a.dll
+ 2007-03-09 06:04:12 288,408 ----a-w C:\WINDOWS\system32\ZoneLabs\lib\ConfigWizard_loc0 c0a.zip.dll
+ 2007-03-09 06:04:18 153,240 ----a-w C:\WINDOWS\system32\ZoneLabs\lib\LicenseUI_loc0c0a .zip.dll
+ 2007-03-09 06:02:14 26,264 ----a-w C:\WINDOWS\system32\ZoneLabs\lib\zlsvc.zip.dll
+ 2007-03-09 06:02:14 1,361,560 ----a-w C:\WINDOWS\system32\ZoneLabs\lib\zpy.zip.dll
+ 2007-03-09 06:02:14 71,320 ----a-w C:\WINDOWS\system32\ZoneLabs\lib\zui.zip.dll
+ 2007-03-09 06:04:42 30,448 ----a-w C:\WINDOWS\system32\ZoneLabs\plugins\rpc_server\rp c_server.dll
+ 2007-03-09 06:04:44 30,480 ----a-w C:\WINDOWS\system32\ZoneLabs\plugins\vsmon_plugin\ vsmon_plugin.dll
+ 2007-01-18 11:39:16 714,472 ----a-w C:\WINDOWS\system32\ZoneLabs\qrbase.dll
+ 2007-01-18 11:39:16 677,608 ----a-w C:\WINDOWS\system32\ZoneLabs\qrsrecl.dll
+ 2007-03-09 06:01:20 173,808 ----a-w C:\WINDOWS\system32\ZoneLabs\scheduler.dll
+ 2007-03-09 06:04:18 18,072 ----a-w C:\WINDOWS\system32\ZoneLabs\scheduler_loc0c0a.dll
+ 2007-01-11 17:12:08 2,432,259 ----a-w C:\WINDOWS\system32\ZoneLabs\spyware.dat
+ 2007-01-18 11:39:18 1,369,832 ----a-w C:\WINDOWS\system32\ZoneLabs\srescan.dll
+ 2007-01-18 11:39:20 50,416 ----a-w C:\WINDOWS\system32\ZoneLabs\srescan.sys
+ 2007-03-09 06:01:20 456,432 ----a-w C:\WINDOWS\system32\ZoneLabs\ssleay32.dll
+ 2007-03-09 06:04:44 210,696 ----a-w C:\WINDOWS\system32\ZoneLabs\streamapi\httpblocker \httpblocker.dll
+ 2007-03-09 06:04:46 3,229,440 ----a-w C:\WINDOWS\system32\ZoneLabs\streamapi\imslsp\imsl sp.dll
+ 2007-03-09 06:04:16 26,264 ----a-w C:\WINDOWS\system32\ZoneLabs\streamapi\imslsp\imsl sp_loc0c0a.dll
+ 2006-09-05 02:59:14 503,875 ----a-w C:\WINDOWS\system32\ZoneLabs\upd_core.dll
+ 2006-10-28 09:03:16 833,520 ----a-w C:\WINDOWS\system32\ZoneLabs\updating.dll
+ 2007-03-09 06:01:58 141,104 ----a-w C:\WINDOWS\system32\ZoneLabs\updclient.exe
+ 2007-03-09 06:04:20 75,416 ----a-w C:\WINDOWS\system32\ZoneLabs\updClient_loc0c0a.dll
+ 2007-01-11 23:31:06 286,787 ----a-w C:\WINDOWS\system32\ZoneLabs\updtrsdk.dll
+ 2007-03-09 06:01:24 108,272 ----a-w C:\WINDOWS\system32\ZoneLabs\vsavpro.dll
+ 2007-03-09 06:01:24 79,600 ----a-w C:\WINDOWS\system32\ZoneLabs\vsdb.dll
+ 2007-03-09 06:04:20 18,072 ----a-w C:\WINDOWS\system32\ZoneLabs\vsdb_loc0c0a.dll
+ 2007-03-09 06:01:58 75,568 ----a-w C:\WINDOWS\system32\ZoneLabs\vsmon.exe
+ 2007-03-09 06:04:20 50,840 ----a-w C:\WINDOWS\system32\ZoneLabs\vsmon_loc0c0a.dll
+ 2007-03-09 06:01:26 2,025,200 ----a-w C:\WINDOWS\system32\ZoneLabs\vsmondll.dll
+ 2007-03-09 06:01:28 1,345,264 ----a-w C:\WINDOWS\system32\ZoneLabs\vsruledb.dll
+ 2007-03-09 06:04:20 202,392 ----a-w C:\WINDOWS\system32\ZoneLabs\vsruledb_loc0c0a.dll
+ 2007-03-09 06:01:28 243,440 ----a-w C:\WINDOWS\system32\ZoneLabs\vsvault.dll
+ 2007-03-09 06:04:22 18,072 ----a-w C:\WINDOWS\system32\ZoneLabs\vsvault_loc0c0a.dll
+ 2007-01-11 17:12:08 2,432,259 ----a-w C:\WINDOWS\system32\ZoneLabs\zlasdbup.dat
+ 2007-03-09 06:01:32 177,904 ----a-w C:\WINDOWS\system32\ZoneLabs\zlparser.dll
+ 2007-03-09 06:01:32 79,608 ----a-w C:\WINDOWS\system32\ZoneLabs\zlquarantine.dll
+ 2007-03-09 06:04:24 18,072 ----a-w C:\WINDOWS\system32\ZoneLabs\zlquarantine_loc0c0a. dll
+ 2007-03-09 06:01:34 378,608 ----a-w C:\WINDOWS\system32\ZoneLabs\zlsre.dll
+ 2007-03-09 06:04:24 22,168 ----a-w C:\WINDOWS\system32\ZoneLabs\zlsre_loc0c0a.dll
+ 2007-03-09 06:01:34 120,560 ----a-w C:\WINDOWS\system32\ZoneLabs\zlupdate.dll
.
-- Snapshot reset to current date --
.
((((((((((((((((((((((((((((((((( Cargando Puntos Reg ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Nota* entradas vacías & entradas legítimas predeterminadas no son mostradas

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-19 10:42 15360]
"Yahoo! Pager"="C:\ARCHIV~1\Yahoo!\MESSEN~1\YAHOOM~1.EXE" [2007-08-30 17:43 4670704]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run]
"nod32kui"="C:\Archivos de programa\Eset\nod32kui.exe" [2008-02-20 18:14 949376]
"ISUSPM Startup"="C:\Archivos de programa\Archivos comunes\InstallShield\UpdateService\isuspm.exe" [2005-08-11 17:30 249856]
"ISUSScheduler"="C:\Archivos de programa\Archivos comunes\InstallShield\UpdateService\issch.exe" [2005-08-11 17:30 81920]
"Adobe Reader Speed Launcher"="C:\Archivos de programa\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 23:16 39792]
"QuickTime Task"="C:\Archivos de programa\QuickTime Alternative\qttask.exe" [2008-03-28 23:37 413696]
"gdgwg"="C:\WINDOWS\system32\gdgwg.exe" [2008-08-19 19:04 19456]
"ZoneAlarm Client"="C:\Archivos de programa\Zone Labs\ZoneAlarm\zlclient.exe" [2007-03-09 01:02 919280]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\Cur rentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-19 10:42 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\curr entversion\policies\explorer]
"NoDesktopCleanupWizard"= 1 (0x1)

[HKEY_CURRENT_USER\software\microsoft\windows\curre ntversion\policies\explorer]
"ForceClassicControlPanel"= 1 (0x1)
"NoSMHelp"= 1 (0x1)
"NoSMConfigurePrograms"= 1 (0x1)
"NoResolveTrack"= 1 (0x1)
"NoResolveSearch"= 1 (0x1)

[HKEY_USERS\.default\software\microsoft\windows\cur rentversion\policies\explorer]
"ForceClassicControlPanel"= 1 (0x1)
"NoSMHelp"= 1 (0x1)
"NoSMConfigurePrograms"= 1 (0x1)
"NoResolveTrack"= 1 (0x1)
"NoResolveSearch"= 1 (0x1)

[hkey_local_machine\software\microsoft\windows\curr entversion\explorer\ShellExecuteHooks]
"{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA}"= "C:\Archivos de programa\SUPERAntiSpyware\SASSEH.DLL" [2006-12-20 12:55 77824]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\!SASWinLogon]
2007-04-19 12:41 294912 C:\Archivos de programa\SUPERAntiSpyware\SASWINLO.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"VIDC.VQJ9"= P1060dec.dll

[HKLM\~\services\sharedaccess\parameters\firewallpo licy\standardprofile]
"EnableFirewall"= 0 (0x0)
"DisableUnicastResponsesToMulticastBroadcast"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpo licy\standardprofile\AuthorizedApplications\List]
"C:\\Archivos de programa\\MSN Messenger\\msnmsgr.exe"=
"C:\\Archivos de programa\\MSN Messenger\\livecall.exe"=
"C:\\Archivos de programa\\Microsoft Office\\Office12\\OUTLOOK.EXE"=
"C:\\Archivos de programa\\Microsoft Office\\Office12\\GROOVE.EXE"=
"C:\\Archivos de programa\\Microsoft Office\\Office12\\ONENOTE.EXE"=
"C:\\Archivos de programa\\Skype\\Phone\\Skype.exe"=
"C:\\Archivos de programa\\HP\\Digital Imaging\\bin\\hpqtra08.exe"=
"C:\\Archivos de programa\\HP\\Digital Imaging\\bin\\hpqste08.exe"=
"C:\\Archivos de programa\\HP\\Digital Imaging\\bin\\hpofxm08.exe"=
"C:\\Archivos de programa\\HP\\Digital Imaging\\bin\\hposfx08.exe"=
"C:\\Archivos de programa\\HP\\Digital Imaging\\bin\\hposid01.exe"=
"C:\\Archivos de programa\\HP\\Digital Imaging\\bin\\hpqscnvw.exe"=
"C:\\Archivos de programa\\HP\\Digital Imaging\\bin\\hpqkygrp.exe"=
"C:\\Archivos de programa\\HP\\Digital Imaging\\bin\\hpqCopy.exe"=
"C:\\Archivos de programa\\HP\\Digital Imaging\\bin\\hpfccopy.exe"=
"C:\\Archivos de programa\\HP\\Digital Imaging\\bin\\hpzwiz01.exe"=
"C:\\Archivos de programa\\HP\\Digital Imaging\\Unload\\HpqPhUnl.exe"=
"C:\\Archivos de programa\\HP\\Digital Imaging\\Unload\\HpqDIA.exe"=
"C:\\Archivos de programa\\HP\\Digital Imaging\\bin\\hpoews01.exe"=
"C:\\Archivos de programa\\iTunes\\iTunes.exe"=
"C:\\Archivos de programa\\Yahoo!\\Messenger\\YahooMessenger.exe"=
"C:\\Archivos de programa\\Yahoo!\\Messenger\\YServer.exe"=
"C:\\Archivos de programa\\Conference\\Conference.dll"=
"C:\\WINDOWS\\system32\\sessmgr.exe"=
"C:\\Documents and Settings\\Administrador\\siay.exe"=
"C:\\WINDOWS\\system32\\gdgwg.exe"=

R0 videX32;videX32;C:\WINDOWS\system32\DRIVERS\videX3 2.sys [2006-10-17 14:22]
R3 trid3d;trid3d;C:\WINDOWS\system32\DRIVERS\trid3dm. sys [2001-08-17 14:51]
S3 P1060BLK;Creative PC-CAM 350 (Still Image);C:\WINDOWS\system32\DRIVERS\P1060Blk.sys [2002-06-13 21:10]
S3 P1060VID;Creative PC-CAM 350 (Video);C:\WINDOWS\system32\DRIVERS\P1060vid.sys [2002-06-16 23:05]
S3 se59bus;Sony Ericsson Device 089 driver (WDM);C:\WINDOWS\system32\DRIVERS\se59bus.sys [2006-09-05 20:07]
S3 se59mdfl;Sony Ericsson Device 089 USB WMC Modem Filter;C:\WINDOWS\system32\DRIVERS\se59mdfl.sys [2006-09-05 20:07]
S3 se59mdm;Sony Ericsson Device 089 USB WMC Modem Driver;C:\WINDOWS\system32\DRIVERS\se59mdm.sys [2006-09-05 20:07]
S3 se59mgmt;Sony Ericsson Device 089 USB WMC Device Management Drivers (WDM);C:\WINDOWS\system32\DRIVERS\se59mgmt.sys [2006-09-05 20:08]
S3 se59nd5;Sony Ericsson Device 089 USB Ethernet Emulation SEMC59 (NDIS);C:\WINDOWS\system32\DRIVERS\se59nd5.sys [2006-09-05 20:06]
S3 se59obex;Sony Ericsson Device 089 USB WMC OBEX Interface;C:\WINDOWS\system32\DRIVERS\se59obex.sys [2006-09-05 20:09]
S3 se59unic;Sony Ericsson Device 089 USB Ethernet Emulation SEMC59 (WDM);C:\WINDOWS\system32\DRIVERS\se59unic.sys [2006-09-05 20:06]

[HKEY_CURRENT_USER\software\microsoft\windows\curre ntversion\explorer\mountpoints2\{5905de90-1c82-11dd-aee6-00e04c7eb074}]
\Shell\AutoRun\command - F:\h0s2.bat
\Shell\explore\Command - F:\h0s2.bat
\Shell\open\Command - F:\h0s2.bat

*Newly Created Service* - VSMON

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{EEBF9CA6-567B-41cd-B5F6-EF2C7FEF37B5}]
rundll32.exe advpack.dll,LaunchINFSectionEx C:\WINDOWS\INF\wmactedp.inf,PerUserStub,,4
.
.
------- Supplementary Scan -------
.
FireFox -: Profile - C:\Documents and Settings\Administrador\Datos de programa\Mozilla\Firefox\Profiles\zpfxr41o.default \
FireFox -: prefs.js - STARTUP.HOMEPAGE - hxxp://www.google.com
.

************************************************** ************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-08-19 19:52:58
Windows 5.1.2600 Service Pack 2 NTFS

escaneando procesos ocultos ...

C:\Documents and Settings\Administrador\siay.exe [1028] 0xFFB62D78

escaneando entradas ocultas de autostart ...

escaneando archivos ocultos ...

el escaneo se completo con exito
archivos ocultos: 0

************************************************** ************************
.
Tiempo completado: 2008-08-19 20:03:07
ComboFix-quarantined-files.txt 2008-08-20 01:02:42
ComboFix2.txt 2008-08-19 23:53:41

Pre-Run: 23,182,700,544 bytes libres
Post-Run: 23,169,863,680 bytes libres

264 --- E O F --- 2008-08-15 15:54:44



El log del panda no pude hacerlo puesto que la maquina la usan constantemente y no tuve oportunidad de hacer el escaneo pues necesito de un dia entero para hacerle este paso, ya que es un procedimiento muy tardado.

La respuesta del equipo fue muy favorable, puesto que pude entrar a la pagina de google sin problemas despues de pasar el winsock en ambos navegadores IE y Firefox.

Sin embargo, note que al entrar al IE se me abrio automaticamente una ventana de msn, len donde alguien manipulaba la barra de desplazamiento. Cerre IE y abri Firefox y todo normal.

Esto me hace pensar que esta maquina esta siendo manipulada desde otra parte y a pezar de los escaneos y eliminacion de virus este hacker sigue haciendo de las suyas.

Le puse el zonealarm como firewal pero no permite entrar a internet aunque le configure la accion de permisos. Por lo que tuve que deshabilitarlo.

Recientemente me acaban de notificar que otravez no puede entrar a google, por lo que volvere a hacer el procedimiento que me indicaste, pero ahora lo hare completo. ¿O que mas puedo hacer ahora que se ha presentado esto

De antemano gracias por tu apoyo y seguimos en contacto.


Hasta pronto!
Jesse

Hola Nuevamente

Realiza lo Siguiente:

Abrir el Notepad (Bloc de Notas)

• Ir a INICIO > EJECUTAR >
• Y ahí pones notepad.exe y ACEPTAR

Ahora copia y pega estos archivos dentro del Notepad

Graba este archivo con el nombre CFScript.txt y déjalo en tu escritorio.

Arrastrar y soltar el archivo CFScript.txt dentro del archivo ComboFix.exe como lo muestra la animación de abajo. Esto activara ComboFix nuevamente.

• Reinicia tu PC y nos dejas un nuevo reporte de ComboFix , comentándonos como esta funcionado todo actualmente?

Hola nuevamente thecat_re!

Hice todo tal como me lo indicaste.
Aqui te pongo el log del combofix:


ComboFix 08-08-28.04 - Administrador 2008-08-28 20:34:38.9 - NTFSx86
Se ejecuta desde: C:\Documents and Settings\Administrador\Escritorio\ComboFix.exe
* Creado un nuevo punto de restauración
* Resident AV is active


ADVERTENCIA - ESTE EQUIPO NO TIENE INSTALADA LA CONSOLA DE RECUPERACION!
.

(((((((((((((((((( Archivos creados desde 2008-07-28 - 2008-08-29 )))))))))))))))))))))))))))))))))
.

2008-08-28 11:20 . 2008-08-28 11:20 33,792 ---h----- C:\Documents and Settings\Administrador\kulpv.exe
2008-08-28 10:54 . 2008-08-28 10:54 33,792 ---h----- C:\Documents and Settings\Administrador\uvo.exe
2008-08-27 19:44 . 2008-08-27 19:44 33,792 ---h----- C:\Documents and Settings\Administrador\qfc.exe
2008-08-27 19:19 . 2008-08-27 19:19 33,792 ---h----- C:\Documents and Settings\Administrador\prnn.exe
2008-08-27 18:51 . 2008-08-27 18:51 33,792 ---h----- C:\Documents and Settings\Administrador\uqiphcl.exe
2008-08-27 18:11 . 2008-08-27 18:11 33,792 ---h----- C:\Documents and Settings\Administrador\kisxqom.exe
2008-08-27 17:29 . 2008-08-27 17:29 33,792 ---h----- C:\Documents and Settings\Administrador\momn.exe
2008-08-27 16:58 . 2008-08-27 16:58 33,792 ---h----- C:\Documents and Settings\Administrador\uyjup.exe
2008-08-27 16:33 . 2008-08-27 16:32 33,792 ---h----- C:\Documents and Settings\Administrador\mxokgr.exe
2008-08-27 16:07 . 2008-08-27 16:07 33,792 ---h----- C:\Documents and Settings\Administrador\cnfw.exe
2008-08-27 15:33 . 2008-08-27 15:33 33,792 ---h----- C:\Documents and Settings\Administrador\jnekldj.exe
2008-08-27 15:11 . 2008-08-27 15:11 54,156 --ah----- C:\WINDOWS\QTFont.qfn
2008-08-27 15:11 . 2008-08-27 15:11 1,409 --a------ C:\WINDOWS\QTFont.for
2008-08-27 15:06 . 2008-08-27 15:06 33,792 ---h----- C:\Documents and Settings\Administrador\mdex.exe
2008-08-27 13:41 . 2008-08-27 13:41 33,792 ---h----- C:\Documents and Settings\Administrador\dpafn.exe
2008-08-27 13:13 . 2008-08-27 13:13 33,792 ---h----- C:\Documents and Settings\Administrador\mvhawi.exe
2008-08-27 12:48 . 2008-08-27 12:48 33,792 ---h----- C:\Documents and Settings\Administrador\pyhwlw.exe
2008-08-26 14:16 . 2007-03-09 01:02 75,512 --a------ C:\WINDOWS\zllsputility.exe
2008-08-26 14:16 . 2007-03-09 01:04 54,936 --a------ C:\WINDOWS\system32\vsutil_loc0c0a.dll
2008-08-26 14:16 . 2007-03-09 01:04 42,648 --a------ C:\WINDOWS\zllsputility_loc0c0a.dll
2008-08-26 14:16 . 2007-03-09 01:04 22,168 --a------ C:\WINDOWS\system32\imsinstall_loc0c0a.dll
2008-08-26 14:16 . 2007-03-09 01:04 18,072 --a------ C:\WINDOWS\system32\imslsp_install_loc0c0a.dll
2008-08-22 18:57 . 2008-08-22 18:57 33,792 ---h----- C:\Documents and Settings\Administrador\aeqhm.exe
2008-08-22 18:29 . 2008-08-22 18:29 33,792 ---h----- C:\Documents and Settings\Administrador\drd.exe
2008-08-22 18:03 . 2008-08-22 18:03 33,792 ---h----- C:\Documents and Settings\Administrador\nlr.exe
2008-08-22 17:37 . 2008-08-22 17:37 33,792 ---h----- C:\Documents and Settings\Administrador\jlf.exe
2008-08-22 16:14 . 2008-08-22 16:14 33,792 ---h----- C:\Documents and Settings\Administrador\cnh.exe
2008-08-22 15:49 . 2008-08-22 15:48 33,792 ---h----- C:\Documents and Settings\Administrador\dln.exe
2008-08-22 15:20 . 2008-08-22 15:20 33,792 ---h----- C:\Documents and Settings\Administrador\iss.exe
2008-08-22 14:52 . 2008-08-22 14:52 33,792 ---h----- C:\Documents and Settings\Administrador\knlf.exe
2008-08-22 14:26 . 2008-08-22 14:26 33,792 ---h----- C:\Documents and Settings\Administrador\fbd.exe
2008-08-22 13:57 . 2008-08-22 13:57 33,792 ---h----- C:\Documents and Settings\Administrador\ohvb.exe
2008-08-22 13:26 . 2008-08-22 13:26 33,792 ---h----- C:\Documents and Settings\Administrador\ynniqr.exe
2008-08-22 12:29 . 2008-08-22 12:29 33,792 ---h----- C:\Documents and Settings\Administrador\sbrjmqt.exe
2008-08-22 12:02 . 2008-08-22 12:02 33,792 ---h----- C:\Documents and Settings\Administrador\xhyol.exe
2008-08-22 11:35 . 2008-08-22 11:35 33,792 ---h----- C:\Documents and Settings\Administrador\fvkmurq.exe
2008-08-19 19:17 . 2004-04-27 05:40 11,264 --a------ C:\WINDOWS\system32\SpOrder.dll
2008-08-19 19:05 . 2008-08-19 19:04 19,456 ---h----- C:\Documents and Settings\Administrador\siay.exe
2008-08-19 19:02 . 2008-08-19 19:02 <DIR> d-------- C:\WINDOWS\system32\xircom
2008-08-19 19:02 . 2008-08-19 19:02 <DIR> d-------- C:\Archivos de programa\microsoft frontpage
2008-08-14 16:59 . 2008-05-01 09:31 331,776 --------- C:\WINDOWS\system32\dllcache\msadce.dll
2008-08-14 11:33 . 2008-08-14 11:33 <DIR> d-------- C:\Documents and Settings\All Users\Datos de programa\Malwarebytes
2008-08-14 11:33 . 2008-08-14 11:33 <DIR> d-------- C:\Documents and Settings\Administrador\Datos de programa\Malwarebytes
2008-08-14 11:33 . 2008-08-14 11:33 <DIR> d-------- C:\Archivos de programa\Malwarebytes' Anti-Malware
2008-08-14 11:33 . 2008-07-30 20:07 38,472 --a------ C:\WINDOWS\system32\drivers\mbamswissarmy.sys
2008-08-14 11:33 . 2008-07-30 20:07 17,144 --a------ C:\WINDOWS\system32\drivers\mbam.sys
2008-08-13 16:44 . 2008-08-14 17:17 35,872 --ahs---- C:\WINDOWS\system32\drivers\fidbox.dat
2008-08-13 16:44 . 2008-08-14 17:17 1,824 --ahs---- C:\WINDOWS\system32\drivers\fidbox2.dat
2008-08-13 16:44 . 2008-08-14 17:17 1,556 --ahs---- C:\WINDOWS\system32\drivers\fidbox.idx
2008-08-13 16:44 . 2008-08-14 17:17 1,220 --ahs---- C:\WINDOWS\system32\drivers\fidbox2.idx
2008-08-13 16:35 . 2008-08-13 16:35 1,169 --a------ C:\WINDOWS\mozver.dat
2008-08-12 19:12 . 2008-08-12 19:12 0 --a------ C:\WINDOWS\nsreg.dat
2008-08-12 12:17 . 2008-08-12 12:17 <DIR> d-------- C:\Archivos de programa\Trend Micro
2008-08-12 12:08 . 2008-08-12 12:08 <DIR> d-------- C:\Documents and Settings\All Users\Datos de programa\SUPERAntiSpyware.com
2008-08-12 12:07 . 2008-08-12 12:07 <DIR> d-------- C:\Documents and Settings\Administrador\Datos de programa\SUPERAntiSpyware.com
2008-08-12 12:07 . 2008-08-12 12:07 <DIR> d-------- C:\Archivos de programa\SUPERAntiSpyware
2008-08-12 11:38 . 2008-08-15 19:45 <DIR> d-a------ C:\Documents and Settings\All Users\Datos de programa\TEMP
2008-08-12 11:38 . 2008-08-12 11:39 <DIR> d-------- C:\Archivos de programa\SpywareBlaster
2008-08-12 11:38 . 2005-08-25 18:19 115,920 --a------ C:\WINDOWS\system32\MSINET.OCX
2008-08-12 11:30 . 2008-08-26 14:19 4,212 ---h----- C:\WINDOWS\system32\zllictbl.dat
2008-08-12 11:27 . 2008-08-12 11:27 <DIR> d-------- C:\Archivos de programa\Zone Labs
2008-08-12 11:25 . 2008-08-28 20:09 <DIR> d-------- C:\WINDOWS\Internet Logs
2008-08-12 11:22 . 2008-08-12 11:22 <DIR> d-------- C:\Archivos de programa\Archivos comunes\Wise Installation Wizard
2008-08-08 11:31 . 2008-08-28 11:20 104,864 --a------ C:\WINDOWS\system32\drivers\ndisio.sys
2008-08-06 18:39 . 2008-08-06 18:39 <DIR> d-------- C:\WINDOWS\system32\NtmsData
2008-08-06 13:03 . 2008-08-07 10:57 45,568 -r-hs---- C:\WINDOWS\system32\rundll64.exe
2008-07-30 17:30 . 2008-07-30 17:30 0 --a------ C:\Nuevo Imagen de mapa de bits.bmp

.
(((((((((((((((((((((((((((((((((((((( Reporte Find3M )))))))))))))))))))))))))))))))))))))))))))))))))) )
.
2008-08-16 02:11 --------- d-----w C:\Archivos de programa\Google
2008-08-14 22:27 --------- d-----w C:\Archivos de programa\Ares
2008-08-13 01:36 --------- d-----w C:\Archivos de programa\Eset
2008-07-24 19:16 --------- d-----w C:\Documents and Settings\Administrador\Datos de programa\U3
2008-07-22 18:13 --------- d-----w C:\Documents and Settings\Administrador\Datos de programa\Image Zone Express
2008-07-22 00:01 --------- d-----w C:\Archivos de programa\Conference
2008-07-19 03:10 94,920 ----a-w C:\WINDOWS\system32\cdm.dll
2008-07-19 03:10 53,448 ----a-w C:\WINDOWS\system32\wuauclt.exe
2008-07-19 03:10 45,768 ----a-w C:\WINDOWS\system32\wups2.dll
2008-07-19 03:10 36,552 ----a-w C:\WINDOWS\system32\wups.dll
2008-07-19 03:09 563,912 ----a-w C:\WINDOWS\system32\wuapi.dll
2008-07-19 03:09 325,832 ----a-w C:\WINDOWS\system32\wucltui.dll
2008-07-19 03:09 205,000 ----a-w C:\WINDOWS\system32\wuweb.dll
2008-07-19 03:09 1,811,656 ----a-w C:\WINDOWS\system32\wuaueng.dll
2008-07-08 01:12 --------- d-----w C:\Documents and Settings\All Users\Datos de programa\Microsoft Help
2008-07-07 20:18 253,952 ----a-w C:\WINDOWS\system32\es.dll
2008-06-24 16:30 74,240 ----a-w C:\WINDOWS\system32\mscms.dll
2008-06-23 16:28 826,368 ----a-w C:\WINDOWS\system32\wininet.dll
2008-06-20 17:36 248,320 ----a-w C:\WINDOWS\system32\mswsock.dll
2008-06-11 18:55 2,516 --sha-w C:\WINDOWS\system32\KGyGaAvL.sys
.

((((((((((((((((((((((((((((( snapshot_2008-08-19_20.01.47.91 )))))))))))))))))))))))))))))))))))))))))
.
- 2008-02-21 01:56:56 295,606 ----a-r C:\WINDOWS\Installer\{AC76BA86-7AD7-1034-7B44-A81200000003}\SC_Reader.exe
+ 2008-08-26 19:56:53 295,606 ----a-r C:\WINDOWS\Installer\{AC76BA86-7AD7-1034-7B44-A81200000003}\SC_Reader.exe
- 2008-08-08 18:25:18 1,744 ----a-w C:\WINDOWS\system32\d3d9caps.dat
+ 2008-08-20 18:22:03 1,744 ----a-w C:\WINDOWS\system32\d3d9caps.dat
+ 2008-07-19 0348 94,920 ----a-w C:\WINDOWS\system32\dllcache\cdm.dll
- 2007-04-10 19:00:46 236,928 ------w C:\WINDOWS\system32\dllcache\WgaLogon.dll
+ 2008-08-12 02:11:16 267,304 ------w C:\WINDOWS\system32\dllcache\wgaLogon.dll
- 2007-04-10 19:01:44 337,280 ------w C:\WINDOWS\system32\dllcache\WgaTray.exe
+ 2008-08-12 0230 951,848 ------w C:\WINDOWS\system32\dllcache\WgaTray.exe
+ 2008-07-19 03:09:44 563,912 ----a-w C:\WINDOWS\system32\dllcache\wuapi.dll
+ 2008-07-19 0342 53,448 ----a-w C:\WINDOWS\system32\dllcache\wuauclt.exe
+ 2008-07-19 03:09:42 1,811,656 ----a-w C:\WINDOWS\system32\dllcache\wuaueng.dll
+ 2008-07-19 03:09:46 325,832 ----a-w C:\WINDOWS\system32\dllcache\wucltui.dll
+ 2008-07-19 0320 36,552 ----a-w C:\WINDOWS\system32\dllcache\wups.dll
+ 2008-07-19 03:09:44 205,000 ----a-w C:\WINDOWS\system32\dllcache\wuweb.dll
- 2007-04-10 19:02:50 1,476,992 ------w C:\WINDOWS\system32\LegitCheckControl.dll
+ 2008-08-12 0232 1,480,232 ------w C:\WINDOWS\system32\LegitCheckControl.dll
+ 2008-07-19 0320 36,552 ----a-w C:\WINDOWS\system32\SoftwareDistribution\Setup\Ser viceStartup\wups.dll\7.2.6001.784\wups.dll
+ 2008-07-19 0340 45,768 ----a-w C:\WINDOWS\system32\SoftwareDistribution\Setup\Ser viceStartup\wups2.dll\7.2.6001.784\wups2.dll
- 2007-04-10 19:00:46 236,928 ----a-w C:\WINDOWS\system32\WgaLogon.dll
+ 2008-08-12 02:11:16 267,304 ----a-w C:\WINDOWS\system32\WgaLogon.dll
- 2007-04-10 19:01:44 337,280 ------w C:\WINDOWS\system32\WgaTray.exe
+ 2008-08-12 0230 951,848 ------w C:\WINDOWS\system32\WgaTray.exe
.
((((((((((((((((((((((((((((((((( Cargando Puntos Reg ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Nota* entradas vacías & entradas legítimas predeterminadas no son mostradas
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-19 10:42 15360]
"Yahoo! Pager"="C:\ARCHIV~1\Yahoo!\MESSEN~1\YAHOOM~1.EXE" [2007-08-30 17:43 4670704]
"swg"="C:\Archivos de programa\Google\GoogleToolbarNotifier\1.2.1128.546 2\GoogleToolbarNotifier.exe" [2008-08-15 21:11 171448]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run]
"nod32kui"="C:\Archivos de programa\Eset\nod32kui.exe" [2008-02-20 18:14 949376]
"ISUSPM Startup"="C:\Archivos de programa\Archivos comunes\InstallShield\UpdateService\isuspm.exe" [2005-08-11 17:30 249856]
"ISUSScheduler"="C:\Archivos de programa\Archivos comunes\InstallShield\UpdateService\issch.exe" [2005-08-11 17:30 81920]
"Adobe Reader Speed Launcher"="C:\Archivos de programa\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 23:16 39792]
"QuickTime Task"="C:\Archivos de programa\QuickTime Alternative\qttask.exe" [2008-03-28 23:37 413696]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\Cur rentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-19 10:42 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\curr entversion\policies\explorer]
"NoDesktopCleanupWizard"= 1 (0x1)

[HKEY_CURRENT_USER\software\microsoft\windows\curre ntversion\policies\explorer]
"ForceClassicControlPanel"= 1 (0x1)
"NoSMHelp"= 1 (0x1)
"NoSMConfigurePrograms"= 1 (0x1)
"NoResolveTrack"= 1 (0x1)
"NoResolveSearch"= 1 (0x1)

[HKEY_USERS\.default\software\microsoft\windows\cur rentversion\policies\explorer]
"ForceClassicControlPanel"= 1 (0x1)
"NoSMHelp"= 1 (0x1)
"NoSMConfigurePrograms"= 1 (0x1)
"NoResolveTrack"= 1 (0x1)
"NoResolveSearch"= 1 (0x1)

[hkey_local_machine\software\microsoft\windows\curr entversion\explorer\ShellExecuteHooks]
"{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA}"= "C:\Archivos de programa\SUPERAntiSpyware\SASSEH.DLL" [2006-12-20 12:55 77824]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\!SASWinLogon]
2007-04-19 12:41 294912 C:\Archivos de programa\SUPERAntiSpyware\SASWINLO.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"VIDC.VQJ9"= P1060dec.dll

[HKLM\~\services\sharedaccess\parameters\firewallpo licy\standardprofile]
"DisableUnicastResponsesToMulticastBroadcast"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpo licy\standardprofile\AuthorizedApplications\List]
"C:\\Archivos de programa\\MSN Messenger\\msnmsgr.exe"=
"C:\\Archivos de programa\\MSN Messenger\\livecall.exe"=
"C:\\Archivos de programa\\Microsoft Office\\Office12\\OUTLOOK.EXE"=
"C:\\Archivos de programa\\Microsoft Office\\Office12\\GROOVE.EXE"=
"C:\\Archivos de programa\\Microsoft Office\\Office12\\ONENOTE.EXE"=
"C:\\Archivos de programa\\Skype\\Phone\\Skype.exe"=
"C:\\Archivos de programa\\HP\\Digital Imaging\\bin\\hpqtra08.exe"=
"C:\\Archivos de programa\\HP\\Digital Imaging\\bin\\hpqste08.exe"=
"C:\\Archivos de programa\\HP\\Digital Imaging\\bin\\hpofxm08.exe"=
"C:\\Archivos de programa\\HP\\Digital Imaging\\bin\\hposfx08.exe"=
"C:\\Archivos de programa\\HP\\Digital Imaging\\bin\\hposid01.exe"=
"C:\\Archivos de programa\\HP\\Digital Imaging\\bin\\hpqscnvw.exe"=
"C:\\Archivos de programa\\HP\\Digital Imaging\\bin\\hpqkygrp.exe"=
"C:\\Archivos de programa\\HP\\Digital Imaging\\bin\\hpqCopy.exe"=
"C:\\Archivos de programa\\HP\\Digital Imaging\\bin\\hpfccopy.exe"=
"C:\\Archivos de programa\\HP\\Digital Imaging\\bin\\hpzwiz01.exe"=
"C:\\Archivos de programa\\HP\\Digital Imaging\\Unload\\HpqPhUnl.exe"=
"C:\\Archivos de programa\\HP\\Digital Imaging\\Unload\\HpqDIA.exe"=
"C:\\Archivos de programa\\HP\\Digital Imaging\\bin\\hpoews01.exe"=
"C:\\Archivos de programa\\iTunes\\iTunes.exe"=
"C:\\Archivos de programa\\Yahoo!\\Messenger\\YahooMessenger.exe"=
"C:\\Archivos de programa\\Yahoo!\\Messenger\\YServer.exe"=
"C:\\Archivos de programa\\Conference\\Conference.dll"=
"C:\\WINDOWS\\system32\\sessmgr.exe"=
"C:\\Documents and Settings\\Administrador\\siay.exe"=

R0 videX32;videX32;C:\WINDOWS\system32\DRIVERS\videX3 2.sys [2006-10-17 14:22]
R3 trid3d;trid3d;C:\WINDOWS\system32\DRIVERS\trid3dm. sys [2001-08-17 14:51]
S3 P1060BLK;Creative PC-CAM 350 (Still Image);C:\WINDOWS\system32\DRIVERS\P1060Blk.sys [2002-06-13 21:10]
S3 P1060VID;Creative PC-CAM 350 (Video);C:\WINDOWS\system32\DRIVERS\P1060vid.sys [2002-06-16 23:05]
S3 se59bus;Sony Ericsson Device 089 driver (WDM);C:\WINDOWS\system32\DRIVERS\se59bus.sys [2006-09-05 20:07]
S3 se59mdfl;Sony Ericsson Device 089 USB WMC Modem Filter;C:\WINDOWS\system32\DRIVERS\se59mdfl.sys [2006-09-05 20:07]
S3 se59mdm;Sony Ericsson Device 089 USB WMC Modem Driver;C:\WINDOWS\system32\DRIVERS\se59mdm.sys [2006-09-05 20:07]
S3 se59mgmt;Sony Ericsson Device 089 USB WMC Device Management Drivers (WDM);C:\WINDOWS\system32\DRIVERS\se59mgmt.sys [2006-09-05 20:08]
S3 se59nd5;Sony Ericsson Device 089 USB Ethernet Emulation SEMC59 (NDIS);C:\WINDOWS\system32\DRIVERS\se59nd5.sys [2006-09-05 20:06]
S3 se59obex;Sony Ericsson Device 089 USB WMC OBEX Interface;C:\WINDOWS\system32\DRIVERS\se59obex.sys [2006-09-05 20:09]
S3 se59unic;Sony Ericsson Device 089 USB Ethernet Emulation SEMC59 (WDM);C:\WINDOWS\system32\DRIVERS\se59unic.sys [2006-09-05 20:06]

[HKEY_CURRENT_USER\software\microsoft\windows\curre ntversion\explorer\mountpoints2\{5905de90-1c82-11dd-aee6-00e04c7eb074}]
\Shell\AutoRun\command - F:\h0s2.bat
\Shell\explore\Command - F:\h0s2.bat
\Shell\open\Command - F:\h0s2.bat

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{EEBF9CA6-567B-41cd-B5F6-EF2C7FEF37B5}]
rundll32.exe advpack.dll,LaunchINFSectionEx C:\WINDOWS\INF\wmactedp.inf,PerUserStub,,4
.
.
------- Supplementary Scan -------
.
FireFox -: Profile - C:\Documents and Settings\Administrador\Datos de programa\Mozilla\Firefox\Profiles\zpfxr41o.default \
FireFox -: prefs.js - STARTUP.HOMEPAGE - hxxp://www.google.com
FF -: plugin - C:\Archivos de programa\iTunes\Mozilla Plugins\npitunes.dll
FF -: plugin - C:\Archivos de programa\Java\jre1.5.0_11\bin\NPJava11.dll
FF -: plugin - C:\Archivos de programa\Java\jre1.5.0_11\bin\NPJava12.dll
FF -: plugin - C:\Archivos de programa\Java\jre1.5.0_11\bin\NPJava13.dll
FF -: plugin - C:\Archivos de programa\Java\jre1.5.0_11\bin\NPJava14.dll
FF -: plugin - C:\Archivos de programa\Java\jre1.5.0_11\bin\NPJava32.dll
FF -: plugin - C:\Archivos de programa\Java\jre1.5.0_11\bin\NPJPI150_11.dll
FF -: plugin - C:\Archivos de programa\Java\jre1.5.0_11\bin\NPOJI610.dll
FF -: plugin - C:\Archivos de programa\Yahoo!\Shared\npYState.dll
.

************************************************** ************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-08-28 20:40:44
Windows 5.1.2600 Service Pack 2 NTFS

escaneando procesos ocultos ...

escaneando entradas ocultas de autostart ...

escaneando archivos ocultos ...

el escaneo se completo con exito
archivos ocultos: 0

************************************************** ************************
.
Tiempo completado: 2008-08-28 20:50:22
ComboFix-quarantined-files.txt 2008-08-29 01:50:07
ComboFix2.txt 2008-08-29 01:00:42
ComboFix3.txt 2008-08-29 00:06:05
ComboFix4.txt 2008-08-26 1925
ComboFix5.txt 2008-08-29 01:33:11

Pre-Run: 23,117,975,552 bytes libres
Post-Run: 23,104,466,944 bytes libres

242 --- E O F --- 2008-08-28 15:55:06





Estuve observando el equipo por un par de dias y he notado que internet sigue sin funcionar cuando activo el firewall Zone Alarm. He comparado la configuracion de este firewall con el de otra maquina y los parametros son los mismos. Y en esta que estamos analizando no funciona internet. Tuve que desactivarlo y habilitar el firewall de windows, solo asi es como esta funcionando.

Tambien he notado que sin estar activado el internet, el antivirus nod32 que esta instalado en esta maquina, ha empezado a detectar virus, sin que se este usando la maquina.

Por las mañanas el funcionamiento de la maquina es normal, pero por las tardes, se cierran los programas solitos y hasta se apaga solita la computadora. ¿Y que mas se podria hacer para dejar la maquina lista?

Nuevamente te agradezco la pasiencia y el tiempo que me has apoyado.

Seguimos en contacto.

Hasta pronto!
Jesse

Hola

Bueno me gustaria que probaras con otro firewall que no sea Zone Alarm y ver si aun el internet se bloquea, en cuanto al reporte muestra aun infeccion, que se debe eliminar para descartar que el problema sea por Malware.

Abrir el Notepad (Bloc de Notas)

• Ir a INICIO > EJECUTAR >
• Y ahí pones notepad.exe y ACEPTAR

Ahora copia y pega estos archivos dentro del Notepad

Graba este archivo con el nombre CFScript.txt y déjalo en tu escritorio.

Arrastrar y soltar el archivo CFScript.txt dentro del archivo ComboFix.exe como lo muestra la animación de abajo. Esto activara ComboFix nuevamente.

• Reinicia tu PC y nos dejas un nuevo reporte de ComboFix , comentándonos como esta funcionado todo actualmente?

Hola thecat!

Por fin tuve un espacio para terminar con este proceso que esta pendiente, hice lo que me indicaste y pude llevarme el ordenador de mi amiga a mi casa. Ahi le pude hacer el scan completo con el nod32, el maleware, y solo me detectaron un virus, el cual pude eliminar manualmente.

Ahora despues de un mes de funcionar correctamente, ha vuelto a comportarse de manera extraña. Ya que el puntero del mouse tomo la forma de un cuadro que se veia como desconfigurado... algo muy raro. Desactive restaurar el sistema y ver archivos ocultos y deshabilite el ocular archivos de sistema. Me meti a modo a prueba de errores y ejecute el nod32 y el maleware, me arrojaron un virus alojado en la carpeta de archivos recibidos, llamado: "DVC-Foto00019.zip-win32/Auto Run YI" (Gusano de Internet) El cual fue eliminado rapidamente. Pase el Ccleaner y el limpiador de registro. Reinicie y se ve en buenas condiciones.

Sin embargo, aun noto un comportamiento extraño en la maquina, ya que algunas ventanas cierran muy lento de arriba hacia abajo, como efecto cortina.

Te pido por favor que me apoyes para resolver bien este caso, te anexo el log de hijack this.

Logfile of Trend Micro HijackThis v2