Foro de InfoSpyware - Foro de Hijackthis - Foro de Virus

Ayuda por favor, my equipo esta indefenzo.
Ayer abri un archivo q me mandaron por msn de extencion .scr y bueno... me entro un bagle
La cuestion es que lo hubiera eliminado pero me desabilito:
Hijackthis(abre y cierra a los 2 segs)
CCleaner(abre y cierra a los 2 segs)
Nod32(abre al iniciar el equipo pero despues de un rato se cierra, aun mas rapido si intento abrir el escaner)
Spybot(tambien cierra a los 2 segs de abrirse)

Nose q informe ponerles porque no puedo abrir niun archivo.

Ya pase:
Combofix(aparece una ventanita q parece de carga y al segundo se cierra)
F-bagle(esté escanea, pero no encuentra nada)

No puedo ensender la computadora en modo aprueba de fallos porque supuestamente ocurre un error electrico.

El archivo tmb trata de enviarse a mis contactos por msn.

PD:los antivirus y demas se cierra sin mas, no me aparece ningun error de win32(porque he visto que es una constante en estos casos)

Soy nuevo en estos temas asi que si me dicen que haga algo sean lo mas explicitos posible
De antemano gracias

Hola maty77

Realiza lo siguiente:

- Descarga ComboFix.exe

• Dadas tus infecciones debes de cambiar el nombre antes de guardarlo en tu escritorio por Combo-Fix

• Desactiva temporalmente el Antivirus y/o Antispyware.
• Cierra todas las ventanas abiertas.
• Da doble clic al archivo ComboFix.exe y sigue las instrucciones.
• Cuando termine, generara un registro en C:\ComboFix.txt.
  • *Nota* Mientras CF este trabajando no mover el mouse ya que pararía su proceso.
  • *Nota* ComboFix puede reiniciar automáticamente el PC para completar el proceso de eliminación.

• Reinicia y pega el reporte de C:\ComboFix.txt en este mismo mensaje.

saludos

acaba de terminar:

ComboFix 09-03-06.02 - Administrador 2009-03-09 23:30:05.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.3082.18.511.209 [GMT -3:00]
Running from: c:\documents and settings\Administrador\Escritorio\Combo-Fix.exe
* Resident AV is active


WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
.

((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\windows\system32\nmdfgds0.dll
c:\windows\system32\olhrwef.exe
I:\autorun.inf
i:\recycler\S-1-6-21-2434476501-1644491937-600003330-1213
i:\recycler\S-1-6-21-2434476501-1644491937-600003330-1213\Desktop.ini

.
((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_ISODRIVE
-------\Service_ISODrive
-------\Service_Passthru


((((((((((((((((((((((((( Files Created from 2009-02-10 to 2009-03-10 )))))))))))))))))))))))))))))))
.

2009-03-09 23:33 . 2009-03-09 23:33 <DIR> d-------- c:\windows\system32\xircom
2009-03-09 23:33 . 2009-03-09 23:33 <DIR> d-------- c:\archivos de programa\microsoft frontpage
2009-03-09 22:52 . 2009-03-09 22:52 13,312 --ah----- c:\documents and settings\Administrador\sho.exe
2009-03-09 20:12 . 2009-03-09 22:52 67,584 ---h----- c:\windows\system32\secupdat.dat
2009-03-09 20:12 . 2009-03-09 20:12 13,312 --ah----- c:\documents and settings\Administrador\wdq.exe
2009-03-09 20:02 . 2009-03-09 19:58 72,255 -r-hs---- c:\windows\system32\avgusrv.exe
2009-03-04 18:16 . 2009-03-04 18:16 268 --ah----- C:\sqmdata00.sqm
2009-03-04 18:16 . 2009-03-04 18:16 244 --ah----- C:\sqmnoopt00.sqm
2009-03-04 12:56 . 2009-03-04 12:56 720,896 --a------ c:\windows\iun6002ev.exe
2009-02-26 22:40 . 2009-02-26 22:40 0 --ah----- c:\windows\SwSys2.bmp
2009-02-26 22:40 . 2009-02-26 22:40 0 --ah----- c:\windows\SwSys1.bmp
2009-02-16 22:27 . 2009-02-16 22:27 <DIR> d-------- c:\archivos de programa\Loquendo
2009-02-16 17:10 . 2009-02-16 17:10 <DIR> d-------- c:\documents and settings\All Users\Datos de programa\TEMP
2009-02-13 22:41 . 2009-02-13 22:41 <DIR> d-------- c:\windows\speech
2009-02-13 22:41 . 2009-02-13 22:41 <DIR> d-------- c:\archivos de programa\Sodels

.
(((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))) ))
.
2009-03-09 23:37 --------- d-----w c:\archivos de programa\Spybot - Search & Destroy
2009-03-09 22:09 --------- d-----w c:\documents and settings\Administrador\Datos de programa\BSplayer PRO
2009-03-09 04:08 --------- d-----w c:\documents and settings\Administrador\Datos de programa\uTorrent
2009-03-09 03:15 --------- d-----w c:\documents and settings\All Users\Datos de programa\Spybot - Search & Destroy
2009-03-03 21:07 --------- d-----w c:\archivos de programa\SpeedFan
2009-02-23 06:45 --------- d-----w c:\archivos de programa\StepMania
2009-02-16 21:55 --------- d-----w c:\archivos de programa\Eset
2009-02-10 23:38 --------- d-----w c:\documents and settings\Administrador\Datos de programa\gtk-2.0
2009-02-08 05:55 --------- d-----w c:\documents and settings\All Users\Datos de programa\2DBoy
2009-02-01 05:58 --------- d--h--w c:\archivos de programa\InstallShield Installation Information
2009-01-30 19:17 --------- d-----w c:\documents and settings\Administrador\Datos de programa\Crayon Physics Deluxe
2009-01-11 02:06 --------- d-----w c:\archivos de programa\Sierra On-Line
2005-05-12 13:41 5,832,704 ----a-w c:\archivos de programa\DOOM3.exe
.

------- Sigcheck -------

2008-01-15 16:06 360832 ea3d7525f41beb321c3f6e2162277e92 c:\windows\system32\drivers\tcpip.sys

2008-01-15 16:03 978432 6da46be8edc7ca0acd12c50fcd8bb19a c:\windows\explorer.exe

2007-07-30 19:19 68440 84d9a61860272d6177d46c86b8431557 c:\windows\system32\wuauclt.exe
.
((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\Run]
"CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2004-08-19 15360]
"SpybotSD TeaTimer"="c:\archivos de programa\Spybot - Search & Destroy\TeaTimer.exe" [2007-08-31 1460560]
"DAEMON Tools Lite"="c:\archivos de programa\DAEMON Tools Lite\daemon.exe" [2008-08-08 490952]
"ares"="c:\archivos de programa\Ares Ultra\Ares Ultra.exe" [2008-05-20 2830848]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run]
"Adobe Reader Speed Launcher"="c:\archivos de programa\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2007-10-10 39792]
"nod32kui"="c:\archivos de programa\Eset\nod32kui.exe" [2008-10-11 949376]
"UnlockerAssistant"="c:\archivos de programa\Unlocker\UnlockerAssistant.exe" [2006-09-07 15872]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2006-10-22 7700480]
"NvMediaCenter"="c:\windows\system32\NvMcTray. dll" [2006-10-22 86016]
"HP Software Update"="c:\archivos de programa\HP\HP Software Update\HPWuSchd2.exe" [2006-02-19 49152]
"High Definition Audio Property Page Shortcut"="HDAShCut.exe" [2006-02-26 c:\windows\system32\hdashcut.exe]
"nwiz"="nwiz.exe" [2006-10-22 c:\windows\system32\nwiz.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\Cur rentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-19 15360]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\Cur rentVersion\RunOnce]
"nltide_3"="advpack.dll" [2006-11-07 c:\windows\system32\advpack.dll]

c:\documents and settings\All Users\Men£ Inicio\Programas\Inicio\
HP Digital Imaging Monitor.lnk - c:\archivos de programa\HP\Digital Imaging\bin\hpqtra08.exe [2006-02-19 288472]

[HKEY_CURRENT_USER\software\microsoft\windows\curre ntversion\policies\explorer]
"ForceClassicControlPanel"= 1 (0x1)
"NoSMHelp"= 1 (0x1)
"NoSMConfigurePrograms"= 1 (0x1)
"NoResolveTrack"= 1 (0x1)

[HKEY_USERS\.default\software\microsoft\windows\cur rentversion\policies\explorer]
"ForceClassicControlPanel"= 1 (0x1)
"NoSMHelp"= 1 (0x1)
"NoSMConfigurePrograms"= 1 (0x1)
"NoResolveTrack"= 1 (0x1)

[HKLM\~\services\sharedaccess\parameters\firewallpo licy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpo licy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Archivos de programa\\uTorrent\\uTorrent.exe"=

R1 nod32drv;nod32drv;c:\windows\system32\drivers\nod3 2drv.sys [2008-10-11 15424]
.
Contents of the 'Scheduled Tasks' folder

2009-03-03 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\archivos de programa\Apple Software Update\SoftwareUpdate.exe [2008-07-30 12:34]
.
- - - - ORPHANS REMOVED - - - -

Toolbar-{32099AAC-C132-4136-9E9A-4E364A424E17} - (no file)
HKLM-Run-NodLogin - c:\archivos de programa\Eset\nodlogin.exe


.
------- Supplementary Scan -------
.
uStart Page = about:blank
uInternet Connection Wizard,ShellNext = hxxp://google.com/
IE: E&xportar a Microsoft Excel - c:\archiv~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
IE: Link to &MidpX - c:\archivos de programa\Kwyshell\MidpX\JadInvoker\Extent\jad_wrap .htm
LSP: c:\windows\system32\imon.dll
FF - ProfilePath - c:\documents and settings\Administrador\Datos de programa\Mozilla\Firefox\Profiles\j7gkygb2.default \
FF - prefs.js: browser.search.defaulturl - hxxp://www.google.com/search?lr=&ie=UTF-8&oe=UTF-8&q=
FF - prefs.js: browser.search.selectedEngine - Google
FF - plugin: c:\archivos de programa\Mozilla Firefox\plugins\npbyond.dll
FF - plugin: d:\archivos de programa\BYOND\bin\npbyond.dll
.

************************************************** ************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-03-09 23:33:38
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden files: 0

************************************************** ************************
.
--------------------- LOCKED REGISTRY KEYS ---------------------

[HKEY_USERS\Administrator\Software\Microsoft\Window s\CurrentVersion\Shell Extensions\Approved\{A30F09A5-0915-16C1-85A1-5882D1C9D678}*]
@Allowed: (Read) (RestrictedCode)
@Allowed: (Read) (RestrictedCode)
"iamgfmjfokedkfpdmf"=hex:6b,61,61,63,6d,6c,6b,62,6 c,6e,6d,6d,6b,70,61,6a,69,64,
6d,6f,6c,68,00,00
"hachjiialgocoeji"=hex:6b,61,61,63,6d,6c,6b,62,6c, 6e,6d,6d,6b,70,61,6a,69,64,
6d,6f,6c,68,00,00

[HKEY_USERS\Administrator\Software\SecuROM\License information*]
"datasecu"=hex:a5,c2,6a,cd,b5,9b,22,b0,4c,66,6b,38 ,17,12,dc,f1,c8,f7,f5,18,53,
86,a3,7f,50,52,af,1e,df,24,df,93,0a,f5,be,f0,f9,ed ,d8,62,7a,90,bf,aa,35,5b,\
"rkeysecu"=hex:00,60,79,f3,e5,d9,d0,e4,69,88,53,ee ,d9,d6,d6,5f
.
--------------------- DLLs Loaded Under Running Processes ---------------------

- - - - - - - > 'lsass.exe'(724)
c:\windows\system32\imon.dll
c:\archivos de programa\Eset\pr_imon.dll
.
------------------------ Other Running Processes ------------------------
.
c:\archivos de programa\Eset\nod32krn.exe
c:\windows\system32\nvsvc32.exe
c:\archivos de programa\HP\Digital Imaging\bin\hpqste08.exe
.
************************************************** ************************
.
Completion time: 2009-03-09 23:37:53 - machine was rebooted
ComboFix-quarantined-files.txt 2009-03-10 02:37:47

Pre-Run: 16.347.475.968 bytes libres
Post-Run: 16,465,399,808 bytes libres

162


Ahora si abre hijack y ccleaner y nod parece no verse afectado, lo demas lo probare ahora

Bueno, me comentas.....

Absolutamente todo solucionado.

Quien diria que un "-" seria tan importante

Muchas gracias

Tarde en contestar porque estaba en modo seguro pasando nod32 y spybot, todo limpio.

GRACIAS

Bueno, me alegro que soluciones tu problema . Por cualquier otro problema, no dudes en volver a postear.

Te dejo saludos y MUCHA SUERTE

TEMA SOLUCIONADO


PD: si deseas REABRIR ESTE TEMA, presiona y un MODERADOR atenderà la consulta...