les comento que ayer se infecto con estos dos archivos la unidad c: y kaspersky internet security 2009 me lo detectaba pero no lo eliminaba
c:/autorun.inf worm.win32.autorun.nuu, asi que corri el malwarebytes anti malware y me detecto estos dos archivos:

trojan.DNSChanger C:/resycled/boot.com
trojan.DNSChanger C:/resycled
trojan.DNSChanger C:/resycled

y afortunadamente los elimino y tambien corri el superantispyware profesional trial version y no detecto nada extraño. tambien corri una prueba con el ada ware SE professional y nada.


cabe resaltar que las pruebas las corri a modo de prueba de fallos y desactivado la restauracion del sistema, asi mismo corri el kis y me salia que estaba el modo a prueba de fallos que reiniciara el equipo posteriormente salio el mensaje de amenazas detectadas y le di eliminar y afortunadamente la elimino.

posteriormente reinicie el equipo y ya no detectaba nada el kis, asi que corri un analisis completo del sistema y estaba limpio de amenazas.

pero cual fue mi sorpresa al querer acceder a la unidad d: (particion del disco duro) que el kis detecto una amenaza el boot.com y le doy restringir al archivo y no puedo acceder a la particion posteriormente buscando en este foro encontre el flash disinfector y me soluciono el problema de acceso a la particion del disco duro, pero cuando quize descomprimir un archivo con el winrar vi que estos dos archivos estan aun en la unidad d (boot.com en la carpeta resycled y el autorun.inf) ademas que el kis ya no detecta amenaza alguna, luego checando con el kis en las aplicaciones bajo control aparece el boot.com como no confiable.

mi duda es si se puede eliminar de alguna otra forma estos dos archivos y si no corro algun riesgo con mi pc estando estos dos archivos presentes en el equipo.

por favor les pido me puedan ayudar con el problema.



Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 02:11:43 p.m., on 20/09/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Safe mode

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\explorer.exe
C:\Documents and Settings\armandosnola\Escritorio\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: IEVkbdBHO - {59273AB4-E7D3-40F9-A1A8-6FA9CCA1862C} - C:\Archivos de programa\Kaspersky Lab\Kaspersky Internet Security 2009\ievkbd.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O4 - HKLM\..\Run: [VTTimer] VTTimer.exe
O4 - HKLM\..\Run: [MULTIMEDIA KEYBOARD] C:\Archivos de programa\Netropa\Multimedia Keyboard\MMKeybd.exe
O4 - HKLM\..\Run: [AVP] "C:\Archivos de programa\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe"
O4 - HKCU\..\Run: [RocketDock] "C:\Archivos de programa\RocketDock\RocketDock.exe"
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Servicio de red')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Estadísticas de protección del tráfico Web - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Archivos de programa\Kaspersky Lab\Kaspersky Internet Security 2009\SCIEPlgn.dll
O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O20 - AppInit_DLLs: C:\ARCHIV~1\KASPER~1\KASPER~1.0\adialhk.dll,C:\ARC HIV~1\KASPER~1\KASPER~1\mzvkbd.dll,C:\ARCHIV~1\KAS PER~1\KASPER~1\mzvkbd3.dll,C:\ARCHIV~1\KASPER~1\KA SPER~1\adialhk.dll,C:\ARCHIV~1\KASPER~1\KASPER~1\k loehk.dll
O20 - Winlogon Notify: !SASWinLogon - C:\Archivos de programa\SUPERAntiSpyware\SASWINLO.dll
O23 - Service: Ares Chatroom server (AresChatServer) - Ares Development Group - C:\Archivos de programa\Ares\chatServer.exe
O23 - Service: Kaspersky Internet Security (AVP) - Kaspersky Lab - C:\Archivos de programa\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe
O23 - Service: MBAMService - Malwarebytes Corporation - C:\Archivos de programa\Malwarebytes' Anti-Malware\mbamservice.exe
O23 - Service: TuneUp Drive Defrag Service (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe

--
End of file - 3521 bytes

Malwarebytes' Anti-Malware 1.28
Versión de la Base de Datos: 1180
Windows 5.1.2600 Service Pack 2

20/09/2008 01:34:59 a.m.
mbam-log-2008-09-20 (01-34-59).txt

Tipo de examen : Examen Completo (C:\|D:\|)
Objetos examinados: 74373
Tiempo transcurrido: 21 minute(s), 59 second(s)

Procesos en Memoria Infectados: 0
Módulos en Memoria Infectados: 0
Claves del Registro Infectadas: 0
Valores del Registro Infectados: 0
Elementos de Datos del Registro Infectados: 0
Carpetas Infectadas: 1
Ficheros Infectados: 1

Procesos en Memoria Infectados:
(No se han detectado elementos maliciosos)

Módulos en Memoria Infectados:
(No se han detectado elementos maliciosos)

Claves del Registro Infectadas:
(No se han detectado elementos maliciosos)

Valores del Registro Infectados:
(No se han detectado elementos maliciosos)

Elementos de Datos del Registro Infectados:
(No se han detectado elementos maliciosos)

Carpetas Infectadas:
C:\resycled (Trojan.DNSChanger) -> Quarantined and deleted successfully.

Ficheros Infectados:
C:\resycled\boot.com (Trojan.DNSChanger) -> Quarantined and deleted successfully.



el ultimo analisis del equipo en modo de prueba de fallos

Malwarebytes' Anti-Malware 1.28
Versión de la Base de Datos: 1180
Windows 5.1.2600 Service Pack 2

20/09/2008 02:11:12 p.m.
mbam-log-2008-09-20 (14-11-12).txt

Tipo de examen : Examen Completo (C:\|D:\|)
Objetos examinados: 74886
Tiempo transcurrido: 29 minute(s), 8 second(s)

Procesos en Memoria Infectados: 0
Módulos en Memoria Infectados: 0
Claves del Registro Infectadas: 0
Valores del Registro Infectados: 0
Elementos de Datos del Registro Infectados: 0
Carpetas Infectadas: 0
Ficheros Infectados: 0

Procesos en Memoria Infectados:
(No se han detectado elementos maliciosos)

Módulos en Memoria Infectados:
(No se han detectado elementos maliciosos)

Claves del Registro Infectadas:
(No se han detectado elementos maliciosos)

Valores del Registro Infectados:
(No se han detectado elementos maliciosos)

Elementos de Datos del Registro Infectados:
(No se han detectado elementos maliciosos)

Carpetas Infectadas:
(No se han detectado elementos maliciosos)

Ficheros Infectados:
(No se han detectado elementos maliciosos)

El malwarebytes Antimalware muestra haber eliminado la infeccion en el primero reporte y en el segundo reporte no muestra infeccion alguna por lo que segun esta herramienta el equipo se encuentra limpio..

El kaspersky todavia continua detectando la infeccion?

de hecho despues de eliminar las amenazas, el kis me salto solo una vez cuando quize acceder a la unidad d (particion del disco) el mensaje decia que un proceso infeccioso boot.com ubicado en la carpeta resycled en la misma unidad d y kis lo bloqueo asi que cuando queria entrar a la unidad d salia el mensaje de kis proceso no confiable.

asi que busque en el foro y encontre el flash disinfector y soluciono ese problema, de hecho la carpeta autorun.inf que genera el flash disinfector solo aparece en c

pero autorun.inf y resycled/boot.com estan todavia en la unidad d y de hecho activando mostrando archivos ocultos no se muestran, pero usando el winrar ahi aparecen y quize eliminarlos y tengo acceso denegado.

mi pregunta sera necesario ejecutar el comfobix.

gracias por responder
saludos

Bueno vamos a ejecutar Combofix a ver que muestra su reporte:


- Descarga la herramienta ComboFix.exe y guárdala en el escritorio.

• Desactiva temporalmente el Antivirus y/o Antispyware.
• Cierra todas las ventanas abiertas.
• Hacele doble clic al archivo ComboFix.exe y seguí las instrucciones.
• Cuando termine, generara un registro en C:\ComboFix.txt.
  • *Nota* Mientras CF este trabajando no mover el mouse ya que pararía su proceso.
  • *Nota* ComboFix puede reiniciar automáticamente el PC para completar el proceso de eliminación.

• Reinicia y pega el reporte de C:\ComboFix.txt en este mismo mensaje.

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 08:14:55 p.m., on 20/09/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Archivos de programa\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe
C:\WINDOWS\system32\VTTimer.exe
C:\Archivos de programa\Netropa\Multimedia Keyboard\MMKeybd.exe
C:\Archivos de programa\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe
C:\Archivos de programa\RocketDock\RocketDock.exe
C:\Archivos de programa\Netropa\Onscreen Display\OSD.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Documents and Settings\armandosnola\Escritorio\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: IEVkbdBHO - {59273AB4-E7D3-40F9-A1A8-6FA9CCA1862C} - C:\Archivos de programa\Kaspersky Lab\Kaspersky Internet Security 2009\ievkbd.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O4 - HKLM\..\Run: [VTTimer] VTTimer.exe
O4 - HKLM\..\Run: [MULTIMEDIA KEYBOARD] C:\Archivos de programa\Netropa\Multimedia Keyboard\MMKeybd.exe
O4 - HKLM\..\Run: [AVP] "C:\Archivos de programa\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe"
O4 - HKCU\..\Run: [RocketDock] "C:\Archivos de programa\RocketDock\RocketDock.exe"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICIO LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Servicio de red')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: Agregar al componente Anti-Banners - C:\Archivos de programa\Kaspersky Lab\Kaspersky Internet Security 2009\ie_banner_deny.htm
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Estadísticas de protección del tráfico Web - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Archivos de programa\Kaspersky Lab\Kaspersky Internet Security 2009\SCIEPlgn.dll
O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O16 - DPF: {56762DEC-6B0D-4AB4-A8AD-989993B5D08B} (OnlineScanner Control) - http://www.eset.eu/buxus/docs/OnlineScanner.cab
O20 - Winlogon Notify: !SASWinLogon - C:\Archivos de programa\SUPERAntiSpyware\SASWINLO.dll
O23 - Service: Ares Chatroom server (AresChatServer) - Ares Development Group - C:\Archivos de programa\Ares\chatServer.exe
O23 - Service: Kaspersky Internet Security (AVP) - Kaspersky Lab - C:\Archivos de programa\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe
O23 - Service: TuneUp Drive Defrag Service (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe

--
End of file - 4356 bytes


aqui el logo de combofix


ComboFix 08-09-20.05 - armandosnola 2008-09-20 20:00:57.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.3082.18.68 [GMT -5:00]
Se ejecuta desde: C:\Documents and Settings\armandosnola\Escritorio\ComboFix.exe
* Creado un nuevo punto de restauración

ADVERTENCIA - ESTE EQUIPO NO TIENE INSTALADA LA CONSOLA DE RECUPERACION!
.

(((((((((((((((((((((((((((((((((((( Otras eliminaciones )))))))))))))))))))))))))))))))))))))))))))))))))
.

D:\Autorun.inf

.
(((((((((((((((((( Archivos creados desde 2008-08-21 - 2008-09-21 )))))))))))))))))))))))))))))))))
.

2008-09-20 18:51 . 2008-09-20 18:51 268 --ah----- C:\sqmdata01.sqm
2008-09-20 18:51 . 2008-09-20 18:51 244 --ah----- C:\sqmnoopt01.sqm
2008-09-20 17:03 . 2008-09-20 18:01 <DIR> d-------- C:\Archivos de programa\EsetOnlineScanner
2008-09-20 02:53 . 2008-09-20 02:53 <DIR> d-------- C:\Documents and Settings\Administrador.ALONSO\Datos de programa\SUPERAntiSpyware.com
2008-09-20 02:52 . 2008-06-29 11:31 <DIR> d--h----- C:\Documents and Settings\Administrador.ALONSO\Reciente
2008-09-20 02:52 . 2008-06-29 17:39 <DIR> d--h----- C:\Documents and Settings\Administrador.ALONSO\Plantillas
2008-09-20 02:52 . 2008-06-29 11:31 <DIR> d-------- C:\Documents and Settings\Administrador.ALONSO\Mis documentos
2008-09-20 02:52 . 2008-06-29 11:31 <DIR> dr------- C:\Documents and Settings\Administrador.ALONSO\Men£ Inicio
2008-09-20 02:52 . 2008-06-29 11:31 <DIR> d--h----- C:\Documents and Settings\Administrador.ALONSO\Impresoras
2008-09-20 02:52 . 2008-06-29 11:31 <DIR> d-------- C:\Documents and Settings\Administrador.ALONSO\Favoritos
2008-09-20 02:52 . 2008-07-07 17:28 <DIR> d-------- C:\Documents and Settings\Administrador.ALONSO\Escritorio
2008-09-20 02:52 . 2008-06-29 11:31 <DIR> d--h----- C:\Documents and Settings\Administrador.ALONSO\Entorno de red
2008-09-20 02:52 . 2008-09-20 02:53 <DIR> dr-h----- C:\Documents and Settings\Administrador.ALONSO\Datos de programa
2008-09-20 02:52 . 2008-09-20 20:02 <DIR> d--h----- C:\Documents and Settings\Administrador.ALONSO\Configuraci¢n local
2008-09-20 02:52 . 2008-09-20 02:52 <DIR> d-------- C:\Documents and Settings\Administrador.ALONSO
2008-09-19 14:33 . 2008-09-19 14:33 <DIR> d-------- C:\Archivos de programa\CCleaner
2008-09-18 18:12 . 2008-09-18 18:14 2,575,999 --a------ C:\Malwarebytes.Anti-Malware.1.2.8._.keygen.Powered.by.taibo.zip
2008-09-18 14:15 . 2008-09-18 14:15 <DIR> d--h----- C:\WINDOWS\PIF
2008-09-18 11:18 . 2008-09-18 11:18 <DIR> d-------- C:\Documents and Settings\armandosnola\Datos de programa\SUPERAntiSpyware.com
2008-09-18 11:18 . 2008-09-18 13:05 <DIR> d-------- C:\Archivos de programa\SUPERAntiSpyware
2008-09-17 22:41 . 2008-09-17 22:41 <DIR> d-------- C:\Documents and Settings\All Users\Datos de programa\SUPERAntiSpyware.com
2008-09-17 17:33 . 2008-09-17 17:33 <DIR> d-------- C:\Documents and Settings\armandosnola\Datos de programa\Malwarebytes
2008-09-17 17:33 . 2008-09-17 17:33 <DIR> d-------- C:\Documents and Settings\All Users\Datos de programa\Malwarebytes
2008-09-17 17:33 . 2008-09-17 17:33 <DIR> d-------- C:\Archivos de programa\Malwarebytes' Anti-Malware
2008-09-17 17:33 . 2008-09-10 00:04 38,528 --a------ C:\WINDOWS\system32\drivers\mbamswissarmy.sys
2008-09-17 17:33 . 2008-09-10 00:03 17,200 --a------ C:\WINDOWS\system32\drivers\mbam.sys
2008-09-17 10:20 . 2008-09-17 10:20 318,369 --a------ C:\HiJackThis.zip
2008-09-16 12:45 . 2008-09-16 12:45 96,976 --a------ C:\WINDOWS\system32\drivers\klin.dat
2008-09-16 12:45 . 2008-09-16 12:45 87,855 --a------ C:\WINDOWS\system32\drivers\klick.dat
2008-09-16 12:44 . 2008-09-20 16:47 <DIR> d-------- C:\Documents and Settings\All Users\Datos de programa\Kaspersky Lab
2008-09-16 12:44 . 2008-09-16 12:44 <DIR> d-------- C:\Archivos de programa\Kaspersky Lab
2008-09-16 12:44 . 2008-09-20 20:03 1,361,952 --ahs---- C:\WINDOWS\system32\drivers\fidbox.dat
2008-09-16 12:44 . 2008-09-20 20:04 360,480 --ahs---- C:\WINDOWS\system32\drivers\fidbox2.dat
2008-09-16 12:44 . 2008-09-20 20:03 12,768 --ahs---- C:\WINDOWS\system32\drivers\fidbox.idx
2008-09-16 12:44 . 2008-09-20 20:04 3,360 --ahs---- C:\WINDOWS\system32\drivers\fidbox2.idx
2008-09-16 12:43 . 2008-09-16 12:43 <DIR> d-------- C:\Documents and Settings\All Users\Datos de programa\Kaspersky Lab Setup Files
2008-09-10 00:32 . 2008-09-10 00:34 <DIR> d-------- C:\Documents and Settings\Administrador\Plantillas
2008-09-10 00:32 . 2008-09-10 00:34 <DIR> d-------- C:\Documents and Settings\Administrador\Datos de programa
2008-09-10 00:32 . 2008-09-10 00:34 <DIR> d-------- C:\Documents and Settings\Administrador\Configuraci¢n local
2008-09-10 00:32 . 2008-09-10 00:34 <DIR> d---s---- C:\Documents and Settings\Administrador
2008-09-09 10:18 . 2004-02-11 00:51 115,840 -ra------ C:\WINDOWS\system32\drivers\viaudios.sys
2008-09-09 10:18 . 2004-02-24 13:41 36,864 --a------ C:\WINDOWS\system32\UnAudioNT.dll
2008-09-09 10:16 . 2008-09-09 10:17 <DIR> d-------- C:\Archivos de programa\VIA Technologies, Inc
2008-09-08 12:18 . 2004-08-24 18:33 1,395,376 --a------ C:\WINDOWS\system32\drivers\mtlstrm.sys
2008-09-08 12:12 . 2008-09-08 12:18 <DIR> d-------- C:\WINDOWS\Modio
2008-09-08 12:12 . 2001-08-22 22:15 175,104 --a--c--- C:\WINDOWS\system32\dllcache\csamsp.dll
2008-09-08 12:12 . 2001-08-22 22:15 175,104 --a------ C:\WINDOWS\system32\csamsp.dll
2008-09-08 12:12 . 2001-08-17 21:57 16,128 --a------ C:\WINDOWS\system32\drivers\MODEMCSA.sys
2008-09-08 12:12 . 2001-08-17 21:57 16,128 --a--c--- C:\WINDOWS\system32\dllcache\modemcsa.sys
2008-09-08 12:09 . 2008-09-08 12:09 <DIR> d-------- C:\WINDOWS\PreInstall
2008-09-08 12:09 . 2004-08-24 19:12 61,440 --a------ C:\WINDOWS\system32\coinst.dll
2008-09-07 00:40 . 2006-09-08 10:29 304,640 --a------ C:\WINDOWS\system32\drivers\ZD1211U.sys
2008-09-07 00:40 . 2004-01-14 11:25 81,920 --a------ C:\WINDOWS\system32\ZDPN50.DLL
2008-09-07 00:40 . 2005-03-18 15:35 31,744 --a------ C:\WINDOWS\system32\drivers\ZDPSp50a64.sys
2008-09-07 00:40 . 2005-06-08 18:44 29,184 --a------ C:\WINDOWS\system32\drivers\BRGSp50a64.sys
2008-09-07 00:40 . 2003-03-14 12:24 24,576 --a------ C:\WINDOWS\system32\ZyDelReg.exe
2008-09-07 00:40 . 2005-06-08 18:44 20,608 --a------ C:\WINDOWS\system32\drivers\BRGSp50.sys
2008-09-07 00:40 . 2004-10-25 13:40 17,664 --a------ C:\WINDOWS\system32\drivers\ZDPSp50.sys
2008-09-07 00:40 . 2004-01-14 11:30 17,151 --a------ C:\WINDOWS\system32\ZDPNDIS5.SYS
2008-09-07 00:39 . 2008-09-07 00:39 <DIR> d-------- C:\Archivos de programa\AirLink101
2008-09-07 00:39 . 2004-03-23 16:38 28,672 --a------ C:\WINDOWS\system32\InsDrvZD.dll
2008-09-07 00:39 . 2005-07-12 14:44 15,872 --a------ C:\WINDOWS\system32\InsDrvZD64.DLL
2008-09-04 22:37 . 2008-09-09 14:27 <DIR> d--h----- C:\WINDOWS\system32\GroupPolicy
2008-09-04 18:54 . 2008-09-04 18:54 <DIR> d-------- C:\Documents and Settings\All Users\Datos de programa\DVD Shrink
2008-09-01 16:11 . 2008-09-01 16:46 99,125,401 --a------ C:\Sara_Jay_-_Thick_White_Heart_Butts.rar
2008-08-29 22:26 . 2008-08-29 23:00 99,386,991 --a------ C:\Rosario_Stone_-_Big_Ass_Fixation.rar
2008-08-29 21:46 . 2008-08-29 22:20 99,427,369 --a------ C:\Olivia_O_Lovely_-_Big_Ass_Fixation.rar

.
(((((((((((((((((((((((((((((((((((((( Reporte Find3M )))))))))))))))))))))))))))))))))))))))))))))))))) )
.
2008-09-18 16:17 --------- d-----w C:\Archivos de programa\Archivos comunes\Wise Installation Wizard
2008-09-07 05:39 --------- d--h--w C:\Archivos de programa\InstallShield Installation Information
2008-09-01 02:24 --------- d-----w C:\Archivos de programa\FLV Player
2008-08-14 02:36 --------- d-----w C:\Archivos de programa\Windows Media Connect 2
2008-08-01 18:48 --------- d-----w C:\Archivos de programa\DivX
2008-07-30 01:21 218,376 ----a-w C:\WINDOWS\system32\klogon.dll
2008-07-30 01:20 24,774 ----a-w C:\WINDOWS\system32\drivers\klopp.dat
2008-07-21 23:34 121,872 ----a-w C:\WINDOWS\system32\drivers\kl1.sys
2008-07-19 03:10 94,920 ----a-w C:\WINDOWS\system32\cdm.dll
2008-07-19 03:10 53,448 ----a-w C:\WINDOWS\system32\wuauclt.exe
2008-07-19 03:10 45,768 ----a-w C:\WINDOWS\system32\wups2.dll
2008-07-19 03:10 36,552 ----a-w C:\WINDOWS\system32\wups.dll
2008-07-19 03:09 563,912 ----a-w C:\WINDOWS\system32\wuapi.dll
2008-07-19 03:09 325,832 ----a-w C:\WINDOWS\system32\wucltui.dll
2008-07-19 03:09 205,000 ----a-w C:\WINDOWS\system32\wuweb.dll
2008-07-19 03:09 1,811,656 ----a-w C:\WINDOWS\system32\wuaueng.dll
2008-07-07 22:42 505,128 ----a-w C:\WINDOWS\system32\msvcp71.dll
2008-07-07 22:42 29,480 ----a-w C:\WINDOWS\system32\msxml3a.dll
2008-07-07 22:35 355,584 ----a-w C:\WINDOWS\system32\TuneUpDefragService.exe
2008-07-07 20:31 253,952 ----a-w C:\WINDOWS\system32\es.dll
2008-06-24 23:12 295,936 ------w C:\WINDOWS\system32\wmpeffects.dll
2008-06-24 16:23 74,240 ----a-w C:\WINDOWS\system32\mscms.dll
2008-06-23 15:40 662,016 ----a-w C:\WINDOWS\system32\wininet.dll
.

((((((((((((((((((((((((((((((((( Cargando Puntos Reg ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Nota* entradas vac¡as & entradas leg¡timas predeterminadas no son mostradas
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\Run]
"RocketDock"="C:\Archivos de programa\RocketDock\RocketDock.exe" [2007-09-02 495616]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run]
"MULTIMEDIA KEYBOARD"="C:\Archivos de programa\Netropa\Multimedia Keyboard\MMKeybd.exe" [2002-03-17 151552]
"AVP"="C:\Archivos de programa\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe" [2008-07-29 206088]
"VTTimer"="VTTimer.exe" [2004-01-15 C:\WINDOWS\system32\VTTimer.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\Cur rentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-19 15360]

[hkey_local_machine\software\microsoft\windows\curr entversion\explorer\ShellExecuteHooks]
"{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA}"= "C:\Archivos de programa\SUPERAntiSpyware\SASSEH.DLL" [2008-05-13 77824]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\!SASWinLogon]
2008-07-23 16:28 352256 C:\Archivos de programa\SUPERAntiSpyware\SASWINLO.dll

[HKEY_CURRENT_USER\software\microsoft\windows\curre ntversion\run-]
"STYLEXP"=C:\Archivos de programa\TGTSoft\StyleXP\StyleXP.exe -Hide

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\KasperskyAntiVirus]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpo licy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpo licy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Archivos de programa\\Ares\\Ares.exe"=
"C:\\Archivos de programa\\MSN Messenger\\msnmsgr.exe"=
"C:\\Archivos de programa\\MSN Messenger\\livecall.exe"=
"C:\\mozilla firefox\\firefox.exe"=
"C:\\Archivos de programa\\CyberLink\\PowerDVD8\\PowerDVD8.exe"=
"C:\\Archivos de programa\\Real Player\\realplay.exe"=
"C:\\WINDOWS\\system32\\mmc.exe"=

R0 klbg;Kaspersky Lab Boot Guard Driver;C:\WINDOWS\system32\drivers\klbg.sys [2008-01-29 32784]
R1 msikbd2k;Multimedia Keyboard Filter Driver;C:\WINDOWS\system32\DRIVERS\msikbd2k.sys [2001-12-20 6656]
R2 {FE4C91E7-22C2-4D0C-9F6B-82F1B7742054};{FE4C91E7-22C2-4D0C-9F6B-82F1B7742054};C:\Archivos de programa\CyberLink\PowerDVD8\000.fcl [2008-02-01 17:24 41456]
R2 UxTuneUp;TuneUp Ampliación del thema;C:\WINDOWS\System32\svchost.exe [2004-08-19 14336]
R3 KLFLTDEV;Kaspersky Lab KLFltDev;C:\WINDOWS\system32\DRIVERS\klfltdev.sys [2008-03-13 26640]
R3 klim5;Kaspersky Anti-Virus NDIS Filter;C:\WINDOWS\system32\DRIVERS\klim5.sys [2008-04-30 24592]
S3 BRGSp50;BRGSp50 NDIS Protocol Driver;C:\WINDOWS\system32\Drivers\BRGSp50.sys [2005-06-08 20608]
S3 TuneUp.Defrag;TuneUp Drive Defrag Service;C:\WINDOWS\System32\TuneUpDefragService.ex e [2008-07-07 355584]
S3 USBSTOR;Dispositivo de almacenamiento masivo de datos USB;C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS [2004-08-03 26496]
S4 nhksrv;Netropa NHK Server;C:\Archivos de programa\Netropa\Multimedia Keyboard\nhksrv.exe [ ]

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
UxTuneUp

[HKEY_CURRENT_USER\software\microsoft\windows\curre ntversion\explorer\mountpoints2\D]
\Shell\AutoRun\command - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL resycled\boot.com d:
\Shell\Open\command - D:\resycled\boot.com d:
.
.
------- Supplementary Scan -------
.
FireFox -: Profile - C:\Documents and Settings\armandosnola\Datos de programa\Mozilla\Firefox\Profiles\n55wzidv.default \
FireFox -: prefs.js - STARTUP.HOMEPAGE - hxxp://www.google.com.mx/
FF -: plugin - C:\Archivos de programa\Adobe\Acrobat 7.0\Reader\browser\nppdf32.dll
FF -: plugin - C:\Archivos de programa\Real Player\Netscape6\nppl3260.dll
FF -: plugin - C:\Archivos de programa\Real Player\Netscape6\nprjplug.dll
FF -: plugin - C:\Archivos de programa\Real Player\Netscape6\nprpjplug.dll
FF -: plugin - C:\Mozilla Firefox\plugins\npnul32.dll
.

************************************************** ************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-09-20 20:05:41
Windows 5.1.2600 Service Pack 2 NTFS

escaneando procesos ocultos ...

escaneando entradas ocultas de autostart ...

escaneando archivos ocultos ...


************************************************** ************************

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\{ FE4C91E7-22C2-4D0C-9F6B-82F1B7742054}]
"ImagePath"="\??\C:\Archivos de programa\CyberLink\PowerDVD8\000.fcl"
.
------------------------ Other Running Processes ------------------------
.
C:\Archivos de programa\Netropa\Onscreen Display\osd.exe
C:\WINDOWS\system32\wscntfy.exe
.
************************************************** ************************
.
Tiempo completado: 2008-09-20 20:07:54 - machine was rebooted
ComboFix-quarantined-files.txt 2008-09-21 01:07:50

Pre-Run: 7,321,387,008 bytes libres
Post-Run: 7,256,375,296 bytes libres

187 --- E O F --- 2008-08-15 00:50:36



cabe resaltar que el autorun.inf se elimino, mas no el resycled/boot.com

realiza lo siguiente:
1.- abre un bloc de notas.

2.- Ahora copia y pega estos archivos dentro del bloc de notas

3.- Graba este archivo con el nombre CFScript.txt

4.- Arrastra y soltar el archivo CFScript.txt dentro del archivo ComboFix.exe como lo muestra la animación de abajo. Esto activara ComboFix nuevamente.



Reinicia y nos contas los resultados. junto con un nuevo reporte de ComboFix.

te comento que tuve una falla tecnica al momento de realizar el proceso despues de reinciar el equipo el programa combofix me pidio de esperara, pero despues se trabo asi que no hubo mas que resetearla, posteriormente lo ejecute nuevamente y este es el log


ComboFix 08-09-20.05 - armandosnola 2008-09-21 2:36:03.7 - NTFSx86 MINIMAL
Microsoft Windows XP Professional 5.1.2600.2.1252.1.3082.18.113 [GMT -5:00]
Se ejecuta desde: C:\Documents and Settings\armandosnola\Escritorio\ComboFix.exe
Command switches used :: C:\Documents and Settings\armandosnola\Escritorio\CFScript.txt

ADVERTENCIA - ESTE EQUIPO NO TIENE INSTALADA LA CONSOLA DE RECUPERACION!
.

(((((((((((((((((((((((((((((((((((( Otras eliminaciones )))))))))))))))))))))))))))))))))))))))))))))))))
.

D:\resycled . . . . Fallo al eliminar

.
(((((((((((((((((( Archivos creados desde 2008-08-21 - 2008-09-21 )))))))))))))))))))))))))))))))))
.

2008-09-20 20:08 . 2008-09-21 02:06 <DIR> d-------- C:\WINDOWS\system32\config\systemprofile\Configura ción local
2008-09-20 20:08 . 2008-09-21 02:06 <DIR> d-------- C:\Documents and Settings\NetworkService\Configuración local
2008-09-20 20:08 . 2008-09-21 02:06 <DIR> d-------- C:\Documents and Settings\LocalService\Configuración local
2008-09-20 20:08 . 2008-09-21 02:06 <DIR> d-------- C:\Documents and Settings\armandosnola\Configuración local
2008-09-20 20:08 . 2008-09-21 02:06 <DIR> d-------- C:\Documents and Settings\Administrador\Configuración local
2008-09-20 20:08 . 2008-09-21 02:06 <DIR> d-------- C:\Documents and Settings\Administrador.ALONSO\Configuración local
2008-09-20 18:51 . 2008-09-20 18:51 268 --ah----- C:\sqmdata01.sqm
2008-09-20 18:51 . 2008-09-20 18:51 244 --ah----- C:\sqmnoopt01.sqm
2008-09-20 17:03 . 2008-09-20 18:01 <DIR> d-------- C:\Archivos de programa\EsetOnlineScanner
2008-09-20 02:53 . 2008-09-20 02:53 <DIR> d-------- C:\Documents and Settings\Administrador.ALONSO\Datos de programa\SUPERAntiSpyware.com
2008-09-20 02:52 . 2008-06-29 11:31 <DIR> d--h----- C:\Documents and Settings\Administrador.ALONSO\Reciente
2008-09-20 02:52 . 2008-06-29 17:39 <DIR> d--h----- C:\Documents and Settings\Administrador.ALONSO\Plantillas
2008-09-20 02:52 . 2008-06-29 11:31 <DIR> d-------- C:\Documents and Settings\Administrador.ALONSO\Mis documentos
2008-09-20 02:52 . 2008-06-29 11:31 <DIR> dr------- C:\Documents and Settings\Administrador.ALONSO\Men£ Inicio
2008-09-20 02:52 . 2008-06-29 11:31 <DIR> d--h----- C:\Documents and Settings\Administrador.ALONSO\Impresoras
2008-09-20 02:52 . 2008-06-29 11:31 <DIR> d-------- C:\Documents and Settings\Administrador.ALONSO\Favoritos
2008-09-20 02:52 . 2008-07-07 17:28 <DIR> d-------- C:\Documents and Settings\Administrador.ALONSO\Escritorio
2008-09-20 02:52 . 2008-06-29 11:31 <DIR> d--h----- C:\Documents and Settings\Administrador.ALONSO\Entorno de red
2008-09-20 02:52 . 2008-09-20 02:53 <DIR> dr-h----- C:\Documents and Settings\Administrador.ALONSO\Datos de programa
2008-09-20 02:52 . 2008-09-21 02:32 <DIR> d--h----- C:\Documents and Settings\Administrador.ALONSO\Configuraci¢n local
2008-09-20 02:52 . 2008-09-20 02:52 <DIR> d-------- C:\Documents and Settings\Administrador.ALONSO
2008-09-19 14:33 . 2008-09-19 14:33 <DIR> d-------- C:\Archivos de programa\CCleaner
2008-09-18 18:12 . 2008-09-18 18:14 2,575,999 --a------ C:\Malwarebytes.Anti-Malware.1.2.8._.keygen.Powered.by.taibo.zip
2008-09-18 14:15 . 2008-09-18 14:15 <DIR> d--h----- C:\WINDOWS\PIF
2008-09-18 11:18 . 2008-09-18 11:18 <DIR> d-------- C:\Documents and Settings\armandosnola\Datos de programa\SUPERAntiSpyware.com
2008-09-18 11:18 . 2008-09-18 13:05 <DIR> d-------- C:\Archivos de programa\SUPERAntiSpyware
2008-09-17 22:41 . 2008-09-17 22:41 <DIR> d-------- C:\Documents and Settings\All Users\Datos de programa\SUPERAntiSpyware.com
2008-09-17 17:33 . 2008-09-17 17:33 <DIR> d-------- C:\Documents and Settings\armandosnola\Datos de programa\Malwarebytes
2008-09-17 17:33 . 2008-09-17 17:33 <DIR> d-------- C:\Documents and Settings\All Users\Datos de programa\Malwarebytes
2008-09-17 17:33 . 2008-09-17 17:33 <DIR> d-------- C:\Archivos de programa\Malwarebytes' Anti-Malware
2008-09-17 17:33 . 2008-09-10 00:04 38,528 --a------ C:\WINDOWS\system32\drivers\mbamswissarmy.sys
2008-09-17 17:33 . 2008-09-10 00:03 17,200 --a------ C:\WINDOWS\system32\drivers\mbam.sys
2008-09-17 10:20 . 2008-09-17 10:20 318,369 --a------ C:\HiJackThis.zip
2008-09-16 12:45 . 2008-09-16 12:45 96,976 --a------ C:\WINDOWS\system32\drivers\klin.dat
2008-09-16 12:45 . 2008-09-16 12:45 87,855 --a------ C:\WINDOWS\system32\drivers\klick.dat
2008-09-16 12:44 . 2008-09-21 02:07 <DIR> d-------- C:\Documents and Settings\All Users\Datos de programa\Kaspersky Lab
2008-09-16 12:44 . 2008-09-16 12:44 <DIR> d-------- C:\Archivos de programa\Kaspersky Lab
2008-09-16 12:44 . 2008-09-21 02:33 1,361,952 --ahs---- C:\WINDOWS\system32\drivers\fidbox.dat
2008-09-16 12:44 . 2008-09-21 02:33 360,480 --ahs---- C:\WINDOWS\system32\drivers\fidbox2.dat
2008-09-16 12:44 . 2008-09-21 02:33 12,768 --ahs---- C:\WINDOWS\system32\drivers\fidbox.idx
2008-09-16 12:44 . 2008-09-21 02:33 3,360 --ahs---- C:\WINDOWS\system32\drivers\fidbox2.idx
2008-09-16 12:43 . 2008-09-16 12:43 <DIR> d-------- C:\Documents and Settings\All Users\Datos de programa\Kaspersky Lab Setup Files
2008-09-10 00:32 . 2008-09-10 00:34 <DIR> d-------- C:\Documents and Settings\Administrador\Plantillas
2008-09-10 00:32 . 2008-09-10 00:34 <DIR> d-------- C:\Documents and Settings\Administrador\Datos de programa
2008-09-10 00:32 . 2008-09-21 02:32 <DIR> d-------- C:\Documents and Settings\Administrador\Configuraci¢n local
2008-09-10 00:32 . 2008-09-10 00:34 <DIR> d---s---- C:\Documents and Settings\Administrador
2008-09-09 10:18 . 2004-02-11 00:51 115,840 -ra------ C:\WINDOWS\system32\drivers\viaudios.sys
2008-09-09 10:18 . 2004-02-24 13:41 36,864 --a------ C:\WINDOWS\system32\UnAudioNT.dll
2008-09-09 10:16 . 2008-09-09 10:17 <DIR> d-------- C:\Archivos de programa\VIA Technologies, Inc
2008-09-08 12:18 . 2004-08-24 18:33 1,395,376 --a------ C:\WINDOWS\system32\drivers\mtlstrm.sys
2008-09-08 12:12 . 2008-09-08 12:18 <DIR> d-------- C:\WINDOWS\Modio
2008-09-08 12:12 . 2001-08-22 22:15 175,104 --a--c--- C:\WINDOWS\system32\dllcache\csamsp.dll
2008-09-08 12:12 . 2001-08-22 22:15 175,104 --a------ C:\WINDOWS\system32\csamsp.dll
2008-09-08 12:12 . 2001-08-17 21:57 16,128 --a------ C:\WINDOWS\system32\drivers\MODEMCSA.sys
2008-09-08 12:12 . 2001-08-17 21:57 16,128 --a--c--- C:\WINDOWS\system32\dllcache\modemcsa.sys
2008-09-08 12:09 . 2008-09-08 12:09 <DIR> d-------- C:\WINDOWS\PreInstall
2008-09-08 12:09 . 2004-08-24 19:12 61,440 --a------ C:\WINDOWS\system32\coinst.dll
2008-09-07 00:40 . 2006-09-08 10:29 304,640 --a------ C:\WINDOWS\system32\drivers\ZD1211U.sys
2008-09-07 00:40 . 2004-01-14 11:25 81,920 --a------ C:\WINDOWS\system32\ZDPN50.DLL
2008-09-07 00:40 . 2005-03-18 15:35 31,744 --a------ C:\WINDOWS\system32\drivers\ZDPSp50a64.sys
2008-09-07 00:40 . 2005-06-08 18:44 29,184 --a------ C:\WINDOWS\system32\drivers\BRGSp50a64.sys
2008-09-07 00:40 . 2003-03-14 12:24 24,576 --a------ C:\WINDOWS\system32\ZyDelReg.exe
2008-09-07 00:40 . 2005-06-08 18:44 20,608 --a------ C:\WINDOWS\system32\drivers\BRGSp50.sys
2008-09-07 00:40 . 2004-10-25 13:40 17,664 --a------ C:\WINDOWS\system32\drivers\ZDPSp50.sys
2008-09-07 00:40 . 2004-01-14 11:30 17,151 --a------ C:\WINDOWS\system32\ZDPNDIS5.SYS
2008-09-07 00:39 . 2008-09-07 00:39 <DIR> d-------- C:\Archivos de programa\AirLink101
2008-09-07 00:39 . 2004-03-23 16:38 28,672 --a------ C:\WINDOWS\system32\InsDrvZD.dll
2008-09-07 00:39 . 2005-07-12 14:44 15,872 --a------ C:\WINDOWS\system32\InsDrvZD64.DLL
2008-09-04 22:37 . 2008-09-09 14:27 <DIR> d--h----- C:\WINDOWS\system32\GroupPolicy
2008-09-04 18:54 . 2008-09-04 18:54 <DIR> d-------- C:\Documents and Settings\All Users\Datos de programa\DVD Shrink

.
(((((((((((((((((((((((((((((((((((((( Reporte Find3M )))))))))))))))))))))))))))))))))))))))))))))))))) )
.
2008-09-18 16:17 --------- d-----w C:\Archivos de programa\Archivos comunes\Wise Installation Wizard
2008-09-07 05:39 --------- d--h--w C:\Archivos de programa\InstallShield Installation Information
2008-09-01 02:24 --------- d-----w C:\Archivos de programa\FLV Player
2008-08-14 02:36 --------- d-----w C:\Archivos de programa\Windows Media Connect 2
2008-08-01 18:48 --------- d-----w C:\Archivos de programa\DivX
2008-07-30 01:20 24,774 ----a-w C:\WINDOWS\system32\drivers\klopp.dat
2008-07-21 23:34 121,872 ----a-w C:\WINDOWS\system32\drivers\kl1.sys
.

((((((((((((((((((((((((((((((((( Cargando Puntos Reg ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Nota* entradas vac¡as & entradas leg¡timas predeterminadas no son mostradas
REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run]
"MULTIMEDIA KEYBOARD"="C:\Archivos de programa\Netropa\Multimedia Keyboard\MMKeybd.exe" [2002-03-17 151552]
"VTTimer"="VTTimer.exe" [2004-01-15 C:\WINDOWS\system32\VTTimer.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\Cur rentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-19 15360]

[hkey_local_machine\software\microsoft\windows\curr entversion\explorer\ShellExecuteHooks]
"{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA}"= "C:\Archivos de programa\SUPERAntiSpyware\SASSEH.DLL" [2008-05-13 77824]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\!SASWinLogon]
2008-07-23 16:28 352256 C:\Archivos de programa\SUPERAntiSpyware\SASWINLO.dll

[HKEY_CURRENT_USER\software\microsoft\windows\curre ntversion\run-]
"STYLEXP"=C:\Archivos de programa\TGTSoft\StyleXP\StyleXP.exe -Hide

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\KasperskyAntiVirus]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpo licy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpo licy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Archivos de programa\\Ares\\Ares.exe"=
"C:\\Archivos de programa\\MSN Messenger\\msnmsgr.exe"=
"C:\\Archivos de programa\\MSN Messenger\\livecall.exe"=
"C:\\mozilla firefox\\firefox.exe"=
"C:\\Archivos de programa\\CyberLink\\PowerDVD8\\PowerDVD8.exe"=
"C:\\Archivos de programa\\Real Player\\realplay.exe"=
"C:\\WINDOWS\\system32\\mmc.exe"=

R0 klbg;Kaspersky Lab Boot Guard Driver;C:\WINDOWS\system32\drivers\klbg.sys [2008-01-29 32784]
R1 msikbd2k;Multimedia Keyboard Filter Driver;C:\WINDOWS\system32\DRIVERS\msikbd2k.sys [2001-12-20 6656]
R2 {FE4C91E7-22C2-4D0C-9F6B-82F1B7742054};{FE4C91E7-22C2-4D0C-9F6B-82F1B7742054};C:\Archivos de programa\CyberLink\PowerDVD8\000.fcl [2008-02-01 17:24 41456]
R2 UxTuneUp;TuneUp Ampliación del thema;C:\WINDOWS\System32\svchost.exe [2004-08-19 14336]
R3 KLFLTDEV;Kaspersky Lab KLFltDev;C:\WINDOWS\system32\DRIVERS\klfltdev.sys [2008-03-13 26640]
R3 klim5;Kaspersky Anti-Virus NDIS Filter;C:\WINDOWS\system32\DRIVERS\klim5.sys [2008-04-30 24592]
S3 BRGSp50;BRGSp50 NDIS Protocol Driver;C:\WINDOWS\system32\Drivers\BRGSp50.sys [2005-06-08 20608]
S3 TuneUp.Defrag;TuneUp Drive Defrag Service;C:\WINDOWS\System32\TuneUpDefragService.ex e [2008-07-07 355584]
S3 USBSTOR;Dispositivo de almacenamiento masivo de datos USB;C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS [2004-08-03 26496]
S4 nhksrv;Netropa NHK Server;C:\Archivos de programa\Netropa\Multimedia Keyboard\nhksrv.exe [ ]

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
UxTuneUp
.

************************************************** ************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-09-21 02:38:58
Windows 5.1.2600 Service Pack 2 NTFS

escaneando procesos ocultos ...

escaneando entradas ocultas de autostart ...

escaneando archivos ocultos ...

el escaneo se completo con exito
archivos ocultos: 0

************************************************** ************************

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\{ FE4C91E7-22C2-4D0C-9F6B-82F1B7742054}]
"ImagePath"="\??\C:\Archivos de programa\CyberLink\PowerDVD8\000.fcl"
.
------------------------ Other Running Processes ------------------------
.
C:\WINDOWS\system32\wscntfy.exe
C:\Archivos de programa\Netropa\Onscreen Display\osd.exe
.
************************************************** ************************
.
Tiempo completado: 2008-09-21 2:40:46 - machine was rebooted
ComboFix-quarantined-files.txt 2008-09-21 07:40:41
ComboFix2.txt 2008-09-21 07:32:04
ComboFix3.txt 2008-09-21 07:05:55
ComboFix4.txt 2008-09-21 06:39:36

Pre-Run: 7,575,797,760 bytes libres
Post-Run: 7,564,439,552 bytes libres

162 --- E O F --- 2008-08-15 00:50:36


otra cosa muy importante que noto en este log es que el problema mencionado ya no aparece, pero al checar con el winrar aparece la carpeta resycled mas no el boot.com, ademas de que despues del analisis del combofix no se restauro bien la hora del reloj de windows, es de cir ya no aparecia el am/pm pero lo solucione en en panel de control-configuracion regional y de idioma, etc, etc.

cabe mencionar que el analisis del combofix lo corri a modo normal y a modo de prueba de fallos.

por favor dime que si hay solucion estoy desesperado

espero tu respuesta a este caso

ademas se me pasaba el log de hijackthis


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 03:17:27 AM, on 2008-09-21
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\VTTimer.exe
C:\Archivos de programa\Netropa\Multimedia Keyboard\MMKeybd.exe
C:\Archivos de programa\Netropa\Onscreen Display\OSD.exe
C:\WINDOWS\explorer.exe
C:\Archivos de programa\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe
C:\Archivos de programa\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe
C:\Archivos de programa\RocketDock\RocketDock.exe
C:\Mozilla Firefox\firefox.exe
C:\Documents and Settings\armandosnola\Escritorio\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: IEVkbdBHO - {59273AB4-E7D3-40F9-A1A8-6FA9CCA1862C} - C:\Archivos de programa\Kaspersky Lab\Kaspersky Internet Security 2009\ievkbd.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O4 - HKLM\..\Run: [VTTimer] VTTimer.exe
O4 - HKLM\..\Run: [MULTIMEDIA KEYBOARD] C:\Archivos de programa\Netropa\Multimedia Keyboard\MMKeybd.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICIO LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Servicio de red')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: Agregar al componente Anti-Banners - C:\Archivos de programa\Kaspersky Lab\Kaspersky Internet Security 2009\ie_banner_deny.htm
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Estadísticas de protección del tráfico Web - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Archivos de programa\Kaspersky Lab\Kaspersky Internet Security 2009\SCIEPlgn.dll
O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O16 - DPF: {56762DEC-6B0D-4AB4-A8AD-989993B5D08B} (OnlineScanner Control) - http://www.eset.eu/buxus/docs/OnlineScanner.cab
O20 - Winlogon Notify: !SASWinLogon - C:\Archivos de programa\SUPERAntiSpyware\SASWINLO.dll
O23 - Service: Ares Chatroom server (AresChatServer) - Ares Development Group - C:\Archivos de programa\Ares\chatServer.exe
O23 - Service: Kaspersky Internet Security (AVP) - Kaspersky Lab - C:\Archivos de programa\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe
O23 - Service: TuneUp Drive Defrag Service (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe

--
End of file - 4130 bytes




y del malware

Malwarebytes' Anti-Malware 1.28
Versión de la Base de Datos: 1184
Windows 5.1.2600 Service Pack 2

2008-09-21 03:09:48 AM
mbam-log-2008-09-21 (03-09-47).txt

Tipo de examen : Examen Completo (C:\|D:\|)
Objetos examinados: 74509
Tiempo transcurrido: 14 minute(s), 20 second(s)

Procesos en Memoria Infectados: 0
Módulos en Memoria Infectados: 0
Claves del Registro Infectadas: 0
Valores del Registro Infectados: 0
Elementos de Datos del Registro Infectados: 0
Carpetas Infectadas: 0
Ficheros Infectados: 0

Procesos en Memoria Infectados:
(No se han detectado elementos maliciosos)

Módulos en Memoria Infectados:
(No se han detectado elementos maliciosos)

Claves del Registro Infectadas:
(No se han detectado elementos maliciosos)

Valores del Registro Infectados:
(No se han detectado elementos maliciosos)

Elementos de Datos del Registro Infectados:
(No se han detectado elementos maliciosos)

Carpetas Infectadas:
(No se han detectado elementos maliciosos)

Ficheros Infectados:
(No se han detectado elementos maliciosos)


saludos

por favor alguien que me pueda dar solucion a este problema a un tengo el resycled y no puedo borrarlo.

desde el ms-dos busque sus atributos y me arrojo SHR y luego lo quize eliminar esos atributos -s -h -r y me sale acceso denegado.

mi preocupacion de tener este mendigo vicho es que al conectar cualquier usb o HD se me vaya a infectar.

cabe mencionar que corri el ESET (nod32) scanner online y no me detecto ningun bicho.

ayuda por favor

Por favor ten paciencia al esperar tu respuesta, al igual que tu tenemos responsabilidades fuera del foro ademas de que estamos en fin de semana. Tu tema sera atendido solo pedimos un poco de paciencia..

Realiza lo siguiente:
DEscarga la siguiente herramienta:
OTmoveIT2


Ejecuta OTmoveIT2 como se explica en su manual colocando los siguientes archivos en la casilla "Paste List of Files / Folders to be Moved".
ME colocas el reporte generado por Otmoveit2 el cual encontraras en C: \ _ OTMoveIt\MovedFiles\\********_******.txt (Donde sale "********_******" es la fecha y hora.)