Foro de InfoSpyware - Foro de Hijackthis - Foro de Virus

En primer lugar saludos a todos!
Pues bien despues de pasar mucho tiempo sin que virtumonde apareciera de nuevo, hace poco el nod32 me avisaba de que tengo una variante de él. Spybot no encuentra ningun tipo de spyware.
Os dejo mi log para que cuando podais veais si hay algo que no deberia estar ahi.

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16:49:26, on 14/12/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Safe mode

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Archivos de programa\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.es/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: Aplicación auxiliar de vínculos de Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Archivos comunes\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\ARCHIV~1\MICROS~2\Office12\GRA8E1~1.DLL
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.6.0_07\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Aplicación auxiliar de inicio de sesión - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [Broadcom Wireless Manager UI] C:\WINDOWS\system32\WLTRAY
O4 - HKLM\..\Run: [EPSON Stylus DX3800 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIA CE.EXE /P26 "EPSON Stylus DX3800 Series" /O5 "FILE:" /M "Stylus DX3800"
O4 - HKLM\..\Run: [\\NOX\EPSON Stylus DX3800 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIA CE.EXE /P32 "\\NOX\EPSON Stylus DX3800 Series" /O6 "USB001" /M "Stylus DX3800"
O4 - HKLM\..\Run: [nod32kui] "C:\Archivos de programa\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKLM\..\Run: [epm-dm] c:\acer\epm\epm-dm.exe
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Archivos de programa\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Archivos de programa\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Archivos de programa\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [MSMSGS] "C:\Archivos de programa\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Nokia.PCSync] "C:\Archivos de programa\Nokia\Nokia PC Suite 7\PCSync2.exe" /NoDialog
O4 - HKCU\..\Run: [avp] C:\RECYCLER\S-1-5-21-1277726667-8723465715-233463797-8457\hdav.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Archivos de programa\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Servicio de red')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: Enviar a OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\ARCHIV~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: &Enviar a OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\ARCHIV~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1222292809031
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\ARCHIV~1\MICROS~2\Office12\GR99D3~1.DLL
O23 - Service: MySQL - Unknown owner - C:\Archivos.exe (file missing)
O23 - Service: NBService - Nero AG - C:\Archivos de programa\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Archivos de programa\Archivos comunes\Ahead\Lib\NMIndexingService.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Archivos de programa\Eset\nod32krn.exe
O23 - Service: OracleDBConsolebd - Oracle Corporation - C:\oracle\product\10.2.0\db_1\bin\nmesrvc.exe
O23 - Service: OracleJobSchedulerBD - Unknown owner - c:\oracle\product\10.2.0\db_1\Bin\extjob.exe
O23 - Service: OracleOraDb10g_home1iSQL*Plus - Oracle - C:\oracle\product\10.2.0\db_1\bin\isqlplussvc.exe
O23 - Service: OracleOraDb10g_home1TNSListener - Unknown owner - C:\oracle\product\10.2.0\db_1\BIN\TNSLSNR.exe
O23 - Service: OracleServiceBD - Oracle Corporation - c:\oracle\product\10.2.0\db_1\bin\ORACLE.EXE
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - CACE Technologies - C:\Archivos de programa\WinPcap\rpcapd.exe
O23 - Service: ServiceLayer - Nokia. - C:\Archivos de programa\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: Broadcom Wireless LAN Tray Service (wltrysvc) - Unknown owner - C:\WINDOWS\System32\wltrysvc.exe

--
End of file - 6073 bytes

Hola odinxd.

Paso 1- Descarga, Instala y/o actualiza estas herramientas: (pero no los ejecutes aun)

• ComboFix.exe
• Malwarebytes' Anti-Malware

Paso 2- Con todos los programas cerrados, ejecuta HijackThis y dale a las siguientes entradas:


O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O4 - HKCU\..\Run: [avp] C:\RECYCLER\S-1-5-21-1277726667-8723465715-233463797-8457\hdav.exe




Paso 3- Ejecuta estas herramientas, de a una:

• Malwarebytes' Anti-Malware
  *Nota* Es importante que envíes a "Cuarentena" todo lo que este detecte antes de copiar y pegarnos su reporte.

• Antes de usar ComboFix....
• Desactiva temporalmente el Antivirus y/o Antispyware.
• Cierra todas las ventanas abiertas.
• Hacele doble clic al archivo ComboFix.exe y seguí las instrucciones.
• Cuando termine, generara un registro en C:\ComboFix.txt.
  • *Nota* Mientras CF este trabajando no mover el mouse ya que pararía su proceso.
  • *Nota* ComboFix puede reiniciar automáticamente el PC para completar el proceso de eliminación.

Paso 4- Descarga CCleaner y ejecútalo usando primero su opción de "Limpiador" para borrar cookies, temporales de Internet y todos los archivos que este te muestre como obsoletos, y luego usa su opción de "Registro" para limpiar todo el registro de Windows (haciendo copia de seguridad).

Reinicia y nos contas los resultados. junto con el reporte de

Paso 5- Reinicia en modo normal y nos dejas los reportes de:

• Malwarebytes' Anti-Malware
• C:\ComboFix.txt en este mismo mensaje.

**Nota**
- Para mayor comodidad imprime los pasos.
- Recuerda regresar y contarnos los resultados.

Salu2

Gracias por la rapidez con la que has contestado, vosotros siempre tan antentos.
Envio los reportes.

ComboFix 08-12-15.05 - ODIN! 2008-12-16 14:56:47.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.3082.18.1526.1093 [GMT 1:00]
Se ejecuta desde: c:\documents and settings\ODIN!\Escritorio\ComboFix.exe
* Creado un nuevo punto de restauración

ADVERTENCIA - ESTE EQUIPO NO TIENE INSTALADA LA CONSOLA DE RECUPERACION!
.

(((((((((((((((((((((((((((((((((((( Otras eliminaciones )))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\windows\system32\APFMON40.DLL

.
(((((((((((((((((( Archivos creados desde 2008-11-16 - 2008-12-16 )))))))))))))))))))))))))))))))))
.

2008-12-16 14:36 . 2008-12-16 14:36 <DIR> d-------- c:\documents and settings\ODIN!\Datos de programa\Malwarebytes
2008-12-16 14:36 . 2008-12-16 14:36 <DIR> d-------- c:\documents and settings\All Users\Datos de programa\Malwarebytes
2008-12-16 14:36 . 2008-12-16 14:36 <DIR> d-------- c:\archivos de programa\Malwarebytes' Anti-Malware
2008-12-16 14:36 . 2008-12-03 19:59 38,496 --a------ c:\windows\system32\drivers\mbamswissarmy.sys
2008-12-16 14:36 . 2008-12-03 19:59 15,504 --a------ c:\windows\system32\drivers\mbam.sys
2008-12-14 17:25 . 2008-12-14 17:25 <DIR> d-------- c:\documents and settings\ODIN!\Datos de programa\SUPERAntiSpyware.com
2008-12-14 17:25 . 2008-12-14 17:25 <DIR> d-------- c:\documents and settings\All Users\Datos de programa\SUPERAntiSpyware.com
2008-12-14 17:25 . 2008-12-14 17:25 <DIR> d-------- c:\archivos de programa\SUPERAntiSpyware
2008-12-14 17:24 . 2008-12-14 17:24 <DIR> d-------- c:\archivos de programa\Archivos comunes\Wise Installation Wizard
2008-12-14 16:40 . 2008-12-14 16:40 <DIR> d-------- c:\archivos de programa\Trend Micro
2008-12-13 21:41 . 2008-12-13 22:58 <DIR> d-------- c:\documents and settings\All Users\Datos de programa\Spybot - Search & Destroy
2008-12-13 21:41 . 2008-12-13 21:41 <DIR> d-------- c:\archivos de programa\Spybot - Search & Destroy
2008-12-11 21:18 . 2008-12-11 21:18 <DIR> d-------- c:\documents and settings\ODIN!\Datos de programa\OpenOffice.org
2008-12-11 21:12 . 2008-12-11 21:12 <DIR> d-------- c:\archivos de programa\OpenOffice.org 3
2008-12-11 21:12 . 2008-12-11 21:12 <DIR> d-------- c:\archivos de programa\JRE
2008-12-11 21:12 . 2008-06-10 02:32 73,728 --a------ c:\windows\system32\javacpl.cpl
2008-12-11 21:11 . 2008-12-11 21:12 <DIR> d-------- c:\archivos de programa\Java
2008-12-11 21:11 . 2008-12-11 21:11 <DIR> d-------- c:\archivos de programa\Archivos comunes\Java
2008-12-10 14:49 . 2008-12-10 14:49 0 --a------ c:\windows\system32\nmesrvc_core_2008_12_10_14_49_ 59.dmp
2008-12-10 14:48 . 2008-12-10 14:48 13,252 --a------ c:\windows\system32\nmesrvc_core_2008_12_10_14_48_ 6.dmp
2008-12-10 14:43 . 2008-12-10 14:43 0 --a------ c:\windows\system32\nmesrvc_core_2008_12_10_14_43_ 7.dmp
2008-12-10 14:42 . 2008-12-10 14:42 13,252 --a------ c:\windows\system32\nmesrvc_core_2008_12_10_14_42_ 19.dmp
2008-12-10 14:40 . 2008-12-10 14:40 0 --a------ c:\windows\system32\nmesrvc_core_2008_12_10_14_40_ 49.dmp
2008-12-10 14:34 . 2008-12-10 14:34 13,252 --a------ c:\windows\system32\nmesrvc_core_2008_12_10_14_34_ 30.dmp
2008-12-10 14:33 . 2008-12-10 14:33 13,252 --a------ c:\windows\system32\nmesrvc_core_2008_12_10_14_33_ 44.dmp
2008-12-10 14:10 . 2008-12-10 14:10 0 --a------ c:\windows\system32\nmesrvc_core_2008_12_10_14_10_ 12.dmp
2008-12-09 01:09 . 2008-12-09 01:09 <DIR> d--h----- c:\windows\PIF
2008-12-04 20:21 . 2008-12-05 09:07 92 --a------ c:\windows\MFPD.INI
2008-12-04 20:20 . 2005-05-13 10:21 120,832 --a------ c:\windows\system32\APFAXCNV.DLL
2008-12-04 20:19 . 2008-12-04 20:29 <DIR> d-------- c:\archivos de programa\MightyFax
2008-12-04 14:19 . 2008-12-04 14:19 <DIR> d-------- c:\archivos de programa\Radmin
2008-12-04 13:53 . 2008-12-04 13:53 <DIR> d-------- c:\archivos de programa\PCNetSoftware
2008-11-28 01:18 . 2008-11-28 01:18 <DIR> d-------- c:\archivos de programa\RKSoft
2008-11-21 15:03 . 2008-11-21 15:03 <DIR> d-------- c:\windows\system32\es-es
2008-11-21 15:03 . 2008-11-21 15:03 <DIR> d-------- c:\windows\l2schemas
2008-11-21 15:00 . 2008-11-21 15:00 <DIR> d-------- c:\windows\ServicePackFiles
2008-11-21 14:45 . 2004-07-17 11:36 64,352 --------- c:\windows\system32\drivers\ativmc20.cod
2008-11-17 08:57 . 2008-12-11 19:04 <DIR> d-------- c:\documents and settings\ODIN!\Datos de programa\MySQL
2008-11-17 08:39 . 2008-11-17 08:54 <DIR> d-------- c:\archivos de programa\MySQL

.
(((((((((((((((((((((((((((((((((((((( Reporte Find3M )))))))))))))))))))))))))))))))))))))))))))))))))) )
.
2008-12-09 19:21 --------- d-----w c:\archivos de programa\ESET
2008-11-28 09:04 --------- d-----w c:\documents and settings\ODIN!\Datos de programa\DBDesigner4
2008-11-12 08:04 --------- d-----w c:\documents and settings\All Users\Datos de programa\Microsoft Help
2008-11-12 08:03 --------- d-----w c:\archivos de programa\Microsoft Visual Studio .NET
2008-11-12 08:02 --------- d-----w c:\archivos de programa\Oracle
2008-11-10 15:31 --------- d-----w c:\archivos de programa\WinPcap
2008-11-10 15:30 --------- d-----w c:\documents and settings\ODIN!\Datos de programa\Ethereal
2008-11-05 11:56 0 ---ha-w c:\windows\system32\drivers\MsftWdf_Kernel_01005_C oinstaller_Critical.Wdf
2008-11-05 11:56 0 ---ha-w c:\windows\system32\drivers\Msft_Kernel_ccdcmb_010 05.Wdf
2008-11-05 11:56 --------- d-----w c:\documents and settings\ODIN!\Datos de programa\PC Suite
2008-11-05 11:56 --------- d-----w c:\documents and settings\ODIN!\Datos de programa\Nokia
2008-11-05 11:54 --------- d-----w c:\documents and settings\All Users\Datos de programa\PC Suite
2008-11-05 11:51 --------- d-----w c:\archivos de programa\Nokia
2008-11-05 11:51 --------- d-----w c:\archivos de programa\Archivos comunes\PCSuite
2008-11-05 11:51 --------- d-----w c:\archivos de programa\Archivos comunes\Nokia
2008-11-05 11:50 --------- d-----w c:\archivos de programa\PC Connectivity Solution
2008-11-05 11:50 --------- d-----w c:\archivos de programa\DIFX
2008-11-05 11:45 --------- d-----w c:\documents and settings\All Users\Datos de programa\Installations
2008-11-02 16:04 --------- d-----w c:\documents and settings\ODIN!\Datos de programa\dvdcss
2008-10-30 15:53 --------- d--h--w c:\archivos de programa\InstallShield Installation Information
2008-10-30 15:53 --------- d-----w c:\archivos de programa\PIXELA
2008-10-30 11:40 --------- d-----w c:\archivos de programa\D-Tools
2008-10-20 17:02 --------- d-----w c:\archivos de programa\Hofmann
2008-10-19 12:07 --------- d-----w c:\documents and settings\ODIN!\Datos de programa\vlc
2008-10-19 12:05 --------- d-----w c:\archivos de programa\VideoLAN
.

------- Sigcheck -------

2008-09-24 23:16 505344 e870ce8aba525f6a5263693c783f5906 c:\windows\$NtServicePackUninstall$\winlogon.exe
2008-09-24 23:16 505344 e870ce8aba525f6a5263693c783f5906 c:\windows\system32\winlogon.exe
.
((((((((((((((((((((((((((((((((( Cargando Puntos Reg ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Nota* entradas vacías & entradas legítimas predeterminadas no son mostradas
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\Run]
"ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2004-08-19 15360]
"MsnMsgr"="c:\archivos de programa\Windows Live\Messenger\MsnMsgr.Exe" [2007-10-18 5724184]
"MSMSGS"="c:\archivos de programa\Messenger\msmsgs.exe" [2004-08-19 1667584]
"SpybotSD TeaTimer"="c:\archivos de programa\Spybot - Search & Destroy\TeaTimer.exe" [2008-07-07 2156368]
"SUPERAntiSpyware"="c:\archivos de programa\SUPERAntiSpyware\SUPERAntiSpyware.exe" [2008-12-04 1809648]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run]
"Broadcom Wireless Manager UI"="c:\windows\system32\WLTRAY" [X]
"IgfxTray"="c:\windows\system32\igfxtray.exe" [2005-01-23 155648]
"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2005-01-23 126976]
"EPSON Stylus DX3800 Series"="c:\windows\System32\spool\DRIVERS\W32X86\ 3\E_FATIACE.EXE" [2005-02-08 98304]
"\\NOX\EPSON Stylus DX3800 Series"="c:\windows\System32\spool\DRIVERS\W32X86\ 3\E_FATIACE.EXE" [2005-02-08 98304]
"nod32kui"="c:\archivos de programa\Eset\nod32kui.exe" [2008-09-24 949376]
"epm-dm"="c:\acer\epm\epm-dm.exe" [2005-06-01 192512]
"DAEMON Tools-1033"="c:\archivos de programa\D-Tools\daemon.exe" [2004-08-22 81920]
"SunJavaUpdateSched"="c:\archivos de programa\Java\jre1.6.0_07\bin\jusched.exe" [2008-06-10 144784]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\Cur rentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-19 15360]

[hkey_local_machine\software\microsoft\windows\curr entversion\explorer\ShellExecuteHooks]
"{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA}"= "c:\archivos de programa\SUPERAntiSpyware\SASSEH.DLL" [2008-05-13 77824]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\!SASWinLogon]
2008-12-03 14:56 352256 c:\archivos de programa\SUPERAntiSpyware\SASWINLO.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"vidc.DIV3"= c:\archiv~1\codecp~1\divx3\divxc32.dll
"vidc.DIV4"= c:\archiv~1\codecp~1\divx412\divx.dll
"vidc.DIVX"= c:\archiv~1\codecp~1\divx511\divx.dll
"vidc.xvid"= c:\archiv~1\codecp~1\xvid\xvid.dll
"vidc.fvfw"= c:\archiv~1\codecp~1\ffvfw\ffvfw.dll
"msacm.avis"= c:\archiv~1\codecp~1\ffvfw\ffvfw.dll
"vidc.MPG4"= c:\archiv~1\codecp~1\mpeg4\mpg4c32.dll
"vidc.MP42"= c:\archiv~1\codecp~1\mpeg4\mpg4c32.dll
"vidc.MP43"= c:\archiv~1\codecp~1\mpeg4\mpg4c32.dll
"VIDC.MJPG"= c:\archiv~1\codecp~1\picvideo\pvmjpg21.dll
"VIDC.PIMJ"= c:\archiv~1\codecp~1\picvideo\pvljpg20.dll
"VIDC.PVW2"= c:\archiv~1\codecp~1\picvideo\pvwv220.dll
"VIDC.SJPG"= c:\archiv~1\codecp~1\pmmjpeg\pmmjpeg.dll
"vidc.MJPX"= c:\archiv~1\codecp~1\m3jpegv3\m3jpeg32.dll
"vidc.dmb1"= c:\archiv~1\codecp~1\m3jpegv3\m3jpeg32.dll
"VIDC.HFYU"= c:\archiv~1\codecp~1\huffyuv\huffyuv.dll
"VIDC.ZLIB"= c:\archiv~1\codecp~1\lcljp\avizlib.dll
"VIDC.MSZH"= c:\archiv~1\codecp~1\lcljp\avimszh.dll
"vidc.MVW1"= c:\archiv~1\codecp~1\aware\icmw_32.dll
"vidc.dvmc"= c:\archiv~1\codecp~1\mcdv\mcdvd_32.dll
"vidc.VP31"= c:\archiv~1\codecp~1\on2vp3\vp31vfw.dll
"vidc.VP60"= c:\archiv~1\codecp~1\on2vp6\vp6vfw.dll
"vidc.VP61"= c:\archiv~1\codecp~1\on2vp6\vp6vfw.dll
"vidc.3IV2"= c:\archiv~1\codecp~1\3ivx\3ivxvf~1.dll
"vidc.I263"= c:\archiv~1\codecp~1\i263\i263_32.drv
"msacm.imc"= c:\archiv~1\codecp~1\i263\imc32.acm
"VIDC.YMPG"= c:\archiv~1\codecp~1\ympeg\ympgcdc.dll
"msacm.ympgacm"= c:\archiv~1\codecp~1\ympeg\ympgacm.acm
"VIDC.WMV3"= c:\archiv~1\codecp~1\wm9\wmv9vcm.dll
"msacm.lameacm"= c:\archiv~1\codecp~1\mp3lame\lameacm.acm
"msacm.atrac3"= c:\archiv~1\codecp~1\atrac3\atrac3.acm
"msacm.qmpeg"= c:\archiv~1\codecp~1\qmpeg\qmpeg.acm
"msacm.uleaddv"= c:\archiv~1\codecp~1\uleaddv\dvacm.acm
"msacm.vorbis"= c:\archiv~1\codecp~1\vorbis\vorbis.acm
"msacm.divxa32"= c:\archiv~1\codecp~1\wma\divxa32.acm
"msacm.msaudio2"= c:\archiv~1\codecp~1\wma\msaud32h.acm
"vidc.SEDG"= mcs_vfw.dll

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menú Inicio^Programas^Inicio^Adobe Reader Synchronizer.lnk]
path=c:\documents and settings\All Users\Menú Inicio\Programas\Inicio\Adobe Reader Synchronizer.lnk
backup=c:\windows\pss\Adobe Reader Synchronizer.lnkCommon Startup

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menú Inicio^Programas^Inicio^Inicio rápido de Adobe Reader.lnk]
path=c:\documents and settings\All Users\Menú Inicio\Programas\Inicio\Inicio rápido de Adobe Reader.lnk
backup=c:\windows\pss\Inicio rápido de Adobe Reader.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\EPM-DM]
--a------ 2005-06-01 13:17 192512 c:\acer\ePM\epm-dm.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ePowerManagement]
--a------ 2005-03-15 09:03 2893824 c:\acer\ePM\ePM.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\GrooveMonitor]
--a------ 2006-10-26 23:47 31016 c:\archivos de programa\Microsoft Office\Office12\GrooveMonitor.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
--a------ 2006-01-12 14:40 155648 c:\archivos de programa\Archivos comunes\Ahead\Lib\NeroCheck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SynTPEnh]
--a------ 2005-02-04 10:11 708698 c:\archivos de programa\Synaptics\SynTP\SynTPEnh.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SynTPLpr]
--a------ 2005-02-04 10:12 102490 c:\archivos de programa\Synaptics\SynTP\SynTPLpr.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SoundMan]
--a------ 2005-04-15 10:01 77824 c:\windows\SOUNDMAN.EXE

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusDisableNotify"=dword:00000001
"UpdatesDisableNotify"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpo licy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Archivos de programa\\Microsoft Office\\Office12\\OUTLOOK.EXE"=
"c:\\Archivos de programa\\Microsoft Office\\Office12\\GROOVE.EXE"=
"c:\\Archivos de programa\\Microsoft Office\\Office12\\ONENOTE.EXE"=
"c:\\Archivos de programa\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Archivos de programa\\Windows Live\\Messenger\\livecall.exe"=
"c:\\jdev1012\\jdev\\bin\\jdevw.exe"=
"c:\\jdev1012\\jdk\\bin\\javaw.exe"=
"c:\\Oracle\\product\\10.2.0\\db_1\\jdk\\jre\\bin\ \java.exe"=
"c:\\WINDOWS\\system32\\spool\\drivers\\w32x86\\3\ \SAGENT4.EXE"=
"c:\\Archivos de programa\\Messenger\\msmsgs.exe"=

R1 nod32drv;nod32drv;c:\windows\system32\drivers\nod3 2drv.sys [2008-09-24 15424]
R1 SASDIFSV;SASDIFSV;\??\c:\archivos de programa\SUPERAntiSpyware\SASDIFSV.SYS [2008-12-04 8944]
R1 SASKUTIL;SASKUTIL;\??\c:\archivos de programa\SUPERAntiSpyware\SASKUTIL.sys [2008-12-04 55024]
R2 EpmPsd;Acer EPM Power Scheme Driver;\??\c:\windows\system32\drivers\epm-psd.sys [2008-09-24 4096]
R2 EpmShd;Acer EPM System Hardware Driver;\??\c:\windows\system32\drivers\epm-shd.sys [2008-09-24 78208]
S3 NPF;NetGroup Packet Filter Driver;c:\windows\system32\drivers\npf.sys [2005-08-02 32512]
S3 OracleDBConsolebd;OracleDBConsolebd;c:\oracle\prod uct\10.2.0\db_1\bin\nmesrvc.exe [2008-11-12 24064]
S3 OracleJobSchedulerBD;OracleJobSchedulerBD;c:\oracl e\product\10.2.0\db_1\Bin\extjob.exe BD []
S3 OracleOraDb10g_home1TNSListener;OracleOraDb10g_hom e1TNSListener;c:\oracle\product\10.2.0\db_1\BIN\TN SLSNR []
S3 OracleServiceBD;OracleServiceBD;c:\oracle\product\ 10.2.0\db_1\bin\ORACLE.EXE BD []
S3 PEEK5;PEEK5 Protocol Driver;\??\c:\docume~1\ODIN!\ESCRIT~1\AIRELAB\PEEK 5.SYS []
S3 SASENUM;SASENUM;\??\c:\archivos de programa\SUPERAntiSpyware\SASENUM.SYS [2008-12-04 7408]
S3 UniCamDr.Samsung;Samsung Miniket USB-D07 Capture Device;c:\windows\system32\Drivers\UniCamDr.sys [2008-10-30 8576]

[HKEY_CURRENT_USER\software\microsoft\windows\curre ntversion\explorer\mountpoints2\{d23e6651-a009-11dd-ad82-0014a455c15f}]
\Shell\AutoRun\command - InstallTomTomHOME.exe
.
- - - - HUÉRFANOS ELIMINADOS - - - -

HKCU-Run-avp - c:\recycler\S-1-5-21-1277726667-8723465715-233463797-8457\hdav.exe


.
------- Análisis Suplementario -------
.
uStart Page = hxxp://www.google.es/
IE: E&xportar a Microsoft Excel - c:\archiv~1\MICROS~2\Office12\EXCEL.EXE/3000
LSP: c:\windows\system32\imon.dll
.

************************************************** ************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-12-16 15:02:43
Windows 5.1.2600 Service Pack 2 NTFS

escaneando procesos ocultos ...

escaneando entradas ocultas de autostart ...

escaneando archivos ocultos ...

el escaneo se completo con exito
archivos ocultos: 0

************************************************** ************************

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\M ySQL]
"ImagePath"="\"c:\archivos de programa\MySQL\MySQL Server 5.0\bin\mysqld-nt\" --defaults-file=\"c:\archivos de programa\MySQL\MySQL Server 5.0\my.ini\" MySQL"

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\O racleOraDb10g_home1TNSListener]
"ImagePath"="c:\oracle\product\10.2.0\db_1\BIN\TNS LSNR "
.
--------------------- DLLs cargados bajo los procesos en ejecución ---------------------

- - - - - - - > 'winlogon.exe'(808)
c:\archivos de programa\SUPERAntiSpyware\SASWINLO.dll

- - - - - - - > 'lsass.exe'(864)
c:\windows\system32\imon.dll
c:\archivos de programa\Eset\pr_imon.dll
.
------------------------ Otros procesos en ejecución ------------------------
.
c:\windows\system32\WLTRYSVC.EXE
c:\windows\system32\BCMWLTRY.EXE
c:\archivos de programa\MySQL\MySQL Server 5.0\bin\mysqld-nt.exe
c:\archivos de programa\ESET\nod32krn.exe
c:\windows\system32\wdfmgr.exe
c:\windows\system32\WLTRAY.EXE
.
************************************************** ************************
.
Tiempo completado: 2008-12-16 15:04:27 - Reiniciando la máquina
ComboFix-quarantined-files.txt 2008-12-16 14:04:24

Pre-Run: 21.450.985.472 bytes libres
Post-Run: 22,473,482,240 bytes libres

246



Malwarebytes' Anti-Malware 1.31
Versión de la Base de Datos: 1506
Windows 5.1.2600 Service Pack 2

16/12/2008 14:42:09
mbam-log-2008-12-16 (14-42-09).txt

Tipo de examen : Examen Rápido
Objetos examinados: 56226
Tiempo transcurrido: 3 minute(s), 56 second(s)

Procesos en Memoria Infectados: 0
Módulos en Memoria Infectados: 0
Claves del Registro Infectadas: 0
Valores del Registro Infectados: 1
Elementos de Datos del Registro Infectados: 0
Carpetas Infectadas: 0
Ficheros Infectados: 2

Procesos en Memoria Infectados:
(No se han detectado elementos maliciosos)

Módulos en Memoria Infectados:
(No se han detectado elementos maliciosos)

Claves del Registro Infectadas:
(No se han detectado elementos maliciosos)

Valores del Registro Infectados:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\Run\avp (Trojan.Agent) -> Quarantined and deleted successfully.

Elementos de Datos del Registro Infectados:
(No se han detectado elementos maliciosos)

Carpetas Infectadas:
(No se han detectado elementos maliciosos)

Ficheros Infectados:
C:\WINDOWS\system32\winlogon.Del (Heuristics.Reserved.Word.Exploit) -> Quarantined and deleted successfully.
C:\RECYCLER\S-1-5-21-1889207912-4945349616-559289572-9353\hdav.exe (Trojan.Agent) -> Delete on reboot.

Hola, ComboFix ya se encargo de eliminar los archivos de malwares encontrados en tu PC, por lo que tendrías que comentarnos como esta funcionado todo luego de reiniciar ?

Salu2