Foro de InfoSpyware - Foro de Hijackthis - Foro de Virus

Como puedes ver, als cosas que eliminamos vuelven a aparecer.

Tienes algún disco externo o pen-drive que pueda estar infectando nuevamente la PC?

Algún programa como Deep Freeze?

Haz esto:

Con todos los programas, ejecuta Hijachthis, y le das a las siguientes entradas:
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
O16 - DPF: {238F6F83-B8B4-11CF-8771-00A024541EE3} - http://a516.g.akamai.net/f/516/25175/7d/runaware.download.akamai.com/25175/citrix/wficat-no-eula.cab
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} -
O23 - Service: 2432FD36B1F1BBD4CAE9F66729E42B7A - Unknown owner - cmd /k start /i "/dC:" "C:\Combo-Fix\HIDEC.exe" "C:\Combo-Fix\SWREG.EXE" ACL "HKEY_LOCAL_MACHINE\System\CurrentControlSet\E num\ Root\LEGACY_Beep" /RESET /Q (file missing)

Luego:

1.-Abrir el Notepad (Bloc de Notas)

• Ir a INICIO > EJECUTAR >
• Y ahí pones notepad.exe y ACEPTAR

2.-Ahora copia y pega estos archivos dentro del Notepad

3.- Graba este archivo con el nombre CFScript.txt y déjalo en tu escritorio.

4.- Arrastrar y soltar el archivo CFScript.txt dentro del archivo ComboFix.exe como lo muestra la animación de abajo. Esto activara ComboFix nuevamente.

• Reinicia tu PC y nos dejas un el nuevo reporte de ComboFix, comentándonos como esta funcionado todo actualmente

me dejas los reportes.

Además, haz un escaneo con Panda Anti-Rootkit y también me dejas los resultados

Saludos

No Salva, no tengo ningún disco externo ni pen-drive conectado.
Te diré sin embargo que de momento el ordenador me va algo mejor, ya he abierto el explorer y la ventana no aparece, además los programas antispyware me funcionan.

Todavía tengo que probar a instalar de nuevo el antivirus haber si me deja y funciona.

Voy a hacer lo que tu me dices y después te comento.

Gracias Salva.

Salu2

P.D: Se me olvidaba decirte, lo que sí me aparece es esta ventana cada vez que reinicio,¿cómo podría quitarla?

Desinstala CF de esta manera:

• Ir a Inicio > Ejecutar
• Escribir lo siguiente: ComboFix /u como muestra la imagen debajo:
  
  • 
• Esto activara el desinstalador de ComboFix abriendo su pantalla principal y luego de unos segundos veras ("ComboFix is uninstalled")

Si hiciste los pasos anteriores, ya no te debería de aparecer.

Para controlar todo, haz un escaneo on line con Kaspersky y me dejas el reporte.

Saludos

Bueno Salva, parece que la cosa va mejor.
Ya he pasado el Panda antirootkit y me ha salido limpio.



Te dejo el último reporte del Combofix.

ComboFix 09-05-26.05 - pc 29/05/2009 16:58.6 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.3.1252.34.3082.18.1279.867 [GMT 2:00]
Running from: c:\documents and settings\pc\Escritorio\ComboFix.exe
Command switches used :: c:\documents and settings\pc\Escritorio\CFScript.txt

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!

FILE ::
"c:\documents and settings\All Users\Datos de programa\Installations\{7694EC32-CB0E-4B35-9088-7B320CB1F4FE}\Installer\CommonCustomActions\Uninst PCSFEMsi.exe"
"c:\windows\chgkey.vbs"
"c:\windows\system32\6BE4B929DA.sys"
"c:\windows\system32\flvDX.dll"
"c:\windows\system32\jupiw32.dll"
"c:\windows\system32\msfDX.dll"
.

((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\windows\chgkey.vbs
c:\windows\system32\6BE4B929DA.sys
c:\windows\system32\ammppg.dll
c:\windows\system32\flvDX.dll
c:\windows\system32\msfDX.dll

.
((((((((((((((((((((((((( Files Created from 2009-04-28 to 2009-05-29 )))))))))))))))))))))))))))))))
.

2017-02-26 14:51 . 2007-03-02 10:05 -------- d-----w c:\archivos de programa\Babylon
2009-05-20 22:11 . 2009-05-20 22:15 -------- d-----w C:\_QBagle
2009-05-20 22:10 . 2009-02-20 12:36 474 ----a-w c:\windows\UBagle.bat
2009-05-18 07:58 . 2009-05-18 07:58 8704 ----a-w c:\documents and settings\pc\Datos de programa\Thinstall\12-26-2008 17.43\4000002600003h\GetPopupInfo.exe
2009-05-18 07:57 . 2009-05-18 07:57 -------- d-----w c:\documents and settings\pc\Datos de programa\Thinstall
2009-05-09 07:04 . 2001-10-19 12:40 438608 ----a-w c:\windows\system32\wmv8dmod.dll
2009-05-09 07:04 . 2001-10-19 12:40 665424 ----a-w c:\windows\system32\wmv8dmoe.dll
2009-05-09 07:04 . 2001-10-19 12:39 572752 ----a-w c:\windows\system32\wmvdmoe.dll
2009-05-09 07:04 . 2001-10-19 12:40 1683792 ----a-w c:\windows\system32\wmvcore2.dll
2009-05-07 22:39 . 2009-05-07 22:39 -------- d-----w c:\documents and settings\pc\Datos de programa\KeePass
2009-05-07 22:38 . 2009-05-07 22:39 -------- d-----w c:\archivos de programa\KeePass Password Safe
2009-05-07 06:47 . 2004-08-04 18:46 520192 ----a-w c:\windows\system32\wscma2u.exe
2009-05-07 06:47 . 2009-05-29 00:51 -------- d-----w c:\archivos de programa\AnMing
2009-05-06 18:24 . 2009-05-06 18:24 -------- d-----w c:\archivos de programa\Pegasys Inc
2009-05-05 18:15 . 2009-05-05 18:15 -------- d-----w c:\archivos de programa\CDex_170b2
2009-05-05 03:55 . 2009-05-21 23:11 -------- d-----w c:\archivos de programa\EsetOnlineScanner
2009-05-03 05:40 . 1997-04-29 06:06 90624 ----a-w c:\windows\system32\pnc32301.dll
2009-05-03 05:40 . 1997-04-29 06:06 85504 ----a-w c:\windows\system32\encdnet.dll
2009-05-03 05:40 . 1997-04-29 06:06 72704 ----a-w c:\windows\system32\ra3228_8.dll
2009-05-03 05:40 . 1997-04-29 06:06 140288 ----a-w c:\windows\system32\ra3214_4.dll
2009-05-03 05:40 . 1997-04-29 06:06 13824 ----a-w c:\windows\system32\ra32dnet.dll
2009-05-03 05:40 . 1997-05-01 13:01 127023 ----a-w c:\windows\c96unins.exe
2009-05-02 04:54 . 2009-05-02 05:28 -------- d-----w c:\archivos de programa\Dealio
2009-05-01 15:04 . 2009-05-02 03:50 2188 ----a-w c:\windows\system32\SpoonUninstall-dBpowerAMP WMA V9 Codec.dat
2009-05-01 15:02 . 2009-05-02 03:51 35139 ----a-w c:\windows\system32\SpoonUninstall-dBpowerAMP Music Converter.dat
2009-05-01 15:02 . 2009-05-01 15:02 -------- d-----w c:\archivos de programa\Illustrate
2009-05-01 02:56 . 2009-05-02 04:54 -------- d-----w c:\archivos de programa\CDex130
2009-04-29 18:46 . 2009-01-19 03:48 43008 ----a-w c:\documents and settings\pc\Datos de programa\Mozilla\Firefox\Profiles\bgcs5rqs.default \extensions\{3112ca9c-de6d-4884-a869-9855de68056c}\components\metricsloader.dll
2009-04-29 18:46 . 2009-01-19 03:48 43008 ----a-w c:\documents and settings\pc\Datos de programa\Mozilla\Firefox\Profiles\bgcs5rqs.default \extensions\{3112ca9c-de6d-4884-a869-9855de68056c}\components\googletoolbarloader.dll
2009-04-29 18:46 . 2009-01-19 03:48 245248 ----a-w c:\documents and settings\pc\Datos de programa\Mozilla\Firefox\Profiles\bgcs5rqs.default \extensions\{3112ca9c-de6d-4884-a869-9855de68056c}\libraries\metrics-ff2.dll
2009-04-29 18:46 . 2009-01-19 03:48 243200 ----a-w c:\documents and settings\pc\Datos de programa\Mozilla\Firefox\Profiles\bgcs5rqs.default \extensions\{3112ca9c-de6d-4884-a869-9855de68056c}\libraries\metrics-ff3.dll
2009-04-29 18:46 . 2009-01-19 03:48 239616 ----a-w c:\documents and settings\pc\Datos de programa\Mozilla\Firefox\Profiles\bgcs5rqs.default \extensions\{3112ca9c-de6d-4884-a869-9855de68056c}\libraries\googletoolbar-ff3.dll
2009-04-29 18:46 . 2009-01-19 03:48 233984 ----a-w c:\documents and settings\pc\Datos de programa\Mozilla\Firefox\Profiles\bgcs5rqs.default \extensions\{3112ca9c-de6d-4884-a869-9855de68056c}\libraries\googletoolbar-ff2.dll
2009-04-29 15:44 . 2009-04-29 15:46 -------- d-----w c:\documents and settings\All Users\Datos de programa\{8CD7F5AF-ECFA-4793-BF40-D8F42DBFF906}
2009-04-29 15:34 . 2009-04-29 15:34 75048 ----a-w c:\documents and settings\All Users\Datos de programa\Apple Computer\Installer Cache\iTunes 8.1.1.10\SetupAdmin.exe
2009-04-29 15:30 . 2009-04-29 15:30 -------- d-----w c:\archivos de programa\Apple Software Update

.
(((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))) ))
.
2009-05-29 14:52 . 2007-10-02 03:56 50460 ----a-w c:\windows\system32\perfc0c0.dat
2009-05-29 14:52 . 2007-10-02 03:56 362502 ----a-w c:\windows\system32\perfh0c0.dat
2009-05-29 14:52 . 2002-09-24 11:00 579660 ----a-w c:\windows\system32\perfh00A.dat
2009-05-29 14:52 . 2002-09-24 11:00 126874 ----a-w c:\windows\system32\perfc00A.dat
2009-05-29 00:37 . 2006-11-15 01:06 -------- d-----w c:\archivos de programa\Winamp
2009-05-28 20:29 . 2008-11-24 19:11 -------- d-----w c:\archivos de programa\Malwarebytes' Anti-Malware
2009-05-28 20:28 . 2008-12-05 02:55 3371383 ----a-w c:\documents and settings\All Users\Datos de programa\Malwarebytes\Malwarebytes' Anti-Malware\mbam-setup.exe
2009-05-28 20:06 . 2008-12-10 15:09 -------- d-----w c:\archivos de programa\Alwil Software
2009-05-28 19:51 . 2007-09-02 02:38 -------- d-----w c:\archivos de programa\CCleaner
2009-05-27 22:39 . 2007-08-08 20:50 -------- d-----w c:\archivos de programa\Unlocker
2009-05-26 21:08 . 2007-09-01 19:34 -------- d-----w c:\documents and settings\All Users\Datos de programa\Spybot - Search & Destroy
2009-05-26 21:07 . 2008-03-07 20:06 -------- d---a-w c:\documents and settings\All Users\Datos de programa\TEMP
2009-05-26 21:06 . 2009-04-18 04:15 -------- d-----w c:\archivos de programa\SpywareBlaster
2009-05-26 11:20 . 2008-11-24 19:11 40160 ----a-w c:\windows\system32\drivers\mbamswissarmy.sys
2009-05-26 11:19 . 2008-11-24 19:11 19096 ----a-w c:\windows\system32\drivers\mbam.sys
2009-05-20 22:57 . 2007-10-15 16:11 -------- d-----w c:\archivos de programa\Spybot - Search & Destroy
2009-05-13 14:28 . 2007-03-23 19:53 -------- d-----w c:\documents and settings\All Users\Datos de programa\Microsoft Help
2009-05-06 18:26 . 2006-05-08 12:08 -------- d--h--w c:\archivos de programa\InstallShield Installation Information
2009-05-04 09:30 . 2008-04-21 08:13 -------- d-----w c:\archivos de programa\IEPro
2009-05-04 08:54 . 2009-04-07 08:03 117760 ----a-w c:\documents and settings\pc\Datos de programa\SUPERAntiSpyware.com\SUPERAntiSpyware\SDD LLS\UIREPAIR.DLL
2009-05-04 08:50 . 2008-12-06 17:42 -------- d-----w c:\archivos de programa\SUPERAntiSpyware
2009-05-02 15:50 . 2009-04-08 01:20 -------- d-----w c:\archivos de programa\Free Audio Pack
2009-05-02 04:54 . 2007-12-31 02:23 -------- d-----w c:\archivos de programa\dBpoweramp
2009-04-29 15:51 . 2006-11-11 17:02 -------- d-----w c:\archivos de programa\QuickTime
2009-04-29 15:46 . 2007-11-28 15:41 -------- d-----w c:\archivos de programa\iTunes
2009-04-29 15:44 . 2007-07-06 04:53 -------- d-----w c:\archivos de programa\Archivos comunes\Apple
2009-04-29 15:43 . 2008-03-29 04:56 -------- d-----w c:\archivos de programa\Bonjour
2009-04-24 17:49 . 2009-04-24 17:49 -------- d-----w c:\archivos de programa\Archivos comunes\PCSuite
2009-04-24 17:49 . 2009-04-24 17:49 -------- d-----w c:\archivos de programa\Archivos comunes\Nokia
2009-04-24 17:49 . 2007-11-26 17:15 -------- d-----w c:\archivos de programa\Nokia
2009-04-24 17:48 . 2009-04-24 17:48 -------- d-----w c:\archivos de programa\PC Connectivity Solution
2009-04-24 17:47 . 2008-12-31 18:56 -------- d-----w c:\documents and settings\All Users\Datos de programa\Installations
2009-04-24 17:47 . 2009-04-24 17:47 8192 ----a-w c:\documents and settings\All Users\Datos de programa\Installations\{7694EC32-CB0E-4B35-9088-7B320CB1F4FE}\Installer\CommonCustomActions\Uninst CCD.exe
2009-04-24 17:47 . 2009-04-24 17:47 61440 ----a-w c:\documents and settings\All Users\Datos de programa\Installations\{7694EC32-CB0E-4B35-9088-7B320CB1F4FE}\Installer\CommonCustomActions\Uninst PCSFEMsi.exe
2009-04-24 17:47 . 2009-04-24 17:47 10240 ----a-w c:\documents and settings\All Users\Datos de programa\Installations\{7694EC32-CB0E-4B35-9088-7B320CB1F4FE}\Installer\CommonCustomActions\Uninst PCS.exe
2009-04-24 17:46 . 2009-04-24 17:47 34172648 ----a-w c:\documents and settings\All Users\Datos de programa\Installations\{7694EC32-CB0E-4B35-9088-7B320CB1F4FE}\Nokia_PC_Suite_7_1_26_0_spa.exe
2009-04-24 05:07 . 2006-11-21 17:17 -------- d-----w c:\archivos de programa\DivX
2009-04-24 05:07 . 2009-04-24 05:07 -------- d-----w c:\archivos de programa\Archivos comunes\DivX Shared
2009-04-24 02:38 . 2009-04-24 02:38 -------- d-----w c:\archivos de programa\IZArc
2009-04-20 23:17 . 2009-04-20 23:17 -------- d-----w c:\archivos de programa\Archivos comunes\Ahead
2009-04-20 17:55 . 2006-05-08 11:56 -------- d-----w c:\archivos de programa\Ahead
2009-04-20 06:21 . 2007-06-08 08:48 -------- d-----w c:\archivos de programa\Messenger Plus! Live
2009-04-18 04:28 . 2008-12-17 17:07 -------- d-----w c:\archivos de programa\TuneUp Utilities 2009
2009-04-18 04:13 . 2008-04-22 03:50 -------- d-----w c:\archivos de programa\SpywareBlaster 4.0
2009-04-15 20:24 . 2009-04-15 20:24 90112 ----a-w c:\windows\system32\dpl100.dll
2009-04-15 20:24 . 2009-04-15 20:24 823296 ----a-w c:\windows\system32\divx_xx0c.dll
2009-04-15 20:24 . 2009-04-15 20:24 823296 ----a-w c:\windows\system32\divx_xx07.dll
2009-04-15 20:24 . 2009-04-15 20:24 815104 ----a-w c:\windows\system32\divx_xx0a.dll
2009-04-15 20:24 . 2009-04-15 20:24 802816 ----a-w c:\windows\system32\divx_xx11.dll
2009-04-15 20:24 . 2009-04-15 20:24 684032 ----a-w c:\windows\system32\DivX.dll
2009-04-08 01:22 . 2009-04-08 01:22 -------- d-----w c:\archivos de programa\Search Settings
2009-04-07 20:52 . 2007-06-03 17:30 -------- d-----w c:\archivos de programa\Java
2009-04-07 20:49 . 2009-04-03 17:35 152576 ----a-w c:\documents and settings\pc\Datos de programa\Sun\Java\jre1.6.0_13\lzma.dll
2009-04-03 16:23 . 2009-04-03 16:23 -------- d-----w c:\archivos de programa\eRightSoft
2009-04-03 15:49 . 2009-04-02 16:19 -------- d-----w c:\documents and settings\pc\Datos de programa\FileZilla
2009-04-01 01:43 . 2007-04-22 22:55 -------- d-----w c:\documents and settings\pc\Datos de programa\Vso
2009-03-31 21:01 . 2009-03-31 21:01 -------- d-----w c:\archivos de programa\VSO
2009-03-19 14:32 . 2009-03-19 14:32 23400 ----a-w c:\documents and settings\All Users\Datos de programa\{8CD7F5AF-ECFA-4793-BF40-D8F42DBFF906}\x86\x86\GEARAspiWDM.sys
2009-03-11 17:00 . 2008-12-03 03:09 410984 ----a-w c:\windows\system32\deploytk.dll
2009-03-11 16:57 . 2009-03-11 16:57 152576 ----a-w c:\documents and settings\pc\Datos de programa\Sun\Java\jre1.6.0_12\lzma.dll
2009-03-06 14:20 . 2004-08-19 12:42 286720 ----a-w c:\windows\system32\pdh.dll
2009-03-03 00:06 . 2005-09-02 23:06 826368 ----a-w c:\windows\system32\wininet.dll
2009-04-15 20:24 . 2009-04-15 20:24 1044480 ----a-w c:\archivos de programa\mozilla firefox\plugins\libdivx.dll
2009-04-15 20:24 . 2009-04-15 20:24 200704 ----a-w c:\archivos de programa\mozilla firefox\plugins\ssldivx.dll
.

((((((((((((((((((((((((((((( SnapShot@2009-05-28_20.21.46 )))))))))))))))))))))))))))))))))))))))))
.
+ 2009-05-29 00:51 . 2006-12-21 13:47 81920 c:\windows\system32\qcpsdk.dll
+ 2002-09-24 11:00 . 2009-05-29 14:52 97444 c:\windows\system32\perfc009.dat
- 2002-09-24 11:00 . 2009-05-28 20:14 97444 c:\windows\system32\perfc009.dat
+ 2009-05-29 00:51 . 2006-12-24 05:36 73728 c:\windows\system32\a1.dll
+ 2009-05-29 00:51 . 2005-04-15 11:22 303104 c:\windows\system32\qscl.dll
+ 2002-09-24 11:00 . 2009-05-29 14:52 506260 c:\windows\system32\perfh009.dat
- 2002-09-24 11:00 . 2009-05-28 20:14 506260 c:\windows\system32\perfh009.dat
+ 2009-05-29 00:51 . 2002-12-02 09:11 290816 c:\windows\system32\NCTWMAFile.dll
+ 2009-05-29 00:51 . 2002-12-02 09:09 282624 c:\windows\system32\NCTAudioVisualization.dll
+ 2009-05-29 00:51 . 2002-12-02 09:08 339968 c:\windows\system32\NCTAudioTransform.dll
+ 2009-05-29 00:51 . 2002-12-02 09:07 274432 c:\windows\system32\NCTAudioRecord.dll
+ 2009-05-29 00:51 . 2002-12-02 09:07 274432 c:\windows\system32\NCTAudioPlayer.dll
+ 2009-05-29 00:51 . 2002-12-02 09:05 892928 c:\windows\system32\NCTAudioInformation.dll
+ 2009-05-29 00:51 . 2002-12-02 09:03 327680 c:\windows\system32\NCTAudioGrabber.dll
+ 2009-05-29 00:51 . 2002-09-04 13:17 503808 c:\windows\system32\NCTAudioEditor.dll
+ 2009-05-29 00:51 . 2002-09-06 09:36 233472 c:\windows\system32\lame_enc.dll
+ 2009-05-29 00:51 . 2007-03-25 18:46 212992 c:\windows\system32\amrdec.dll
+ 2009-05-29 00:51 . 2002-12-02 09:02 1703936 c:\windows\system32\NCTAudioFile.dll
.
((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\Run]
"ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run]
"Adobe Photo Downloader"="c:\archivos de programa\Nokia\3.0\Apps\apdproxy.exe" [2005-07-14 57344]
"ISUSPM Startup"="c:\archivos de programa\Archivos comunes\InstallShield\UpdateService\isuspm.exe" [2005-08-11 249856]
"ISUSScheduler"="c:\archivos de programa\Archivos comunes\InstallShield\UpdateService\issch.exe" [2005-08-11 81920]
"WinampAgent"="c:\archivos de programa\Winamp\winampa.exe" [2009-04-10 37888]
"NeroFilterCheck"="c:\windows\system32\NeroCheck.e xe" [2001-07-09 155648]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\Cur rentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

c:\documents and settings\All Users\Men£ Inicio\Programas\Inicio\
Adobe Gamma Loader.lnk - c:\archivos de programa\Archivos comunes\Adobe\Calibration\Adobe Gamma Loader.exe [2006-11-11 110592]

[HKEY_CURRENT_USER\software\microsoft\windows\curre ntversion\policies\system]
"disableregistrytoosl"= 0 (0x0)

[HKEY_CURRENT_USER\software\microsoft\windows\curre ntversion\policies\explorer]
"Start_NotifyNewApps"= 0 (0x0)
"NoDevMgrUpdate"= 1 (0x1)

[hkey_local_machine\software\microsoft\windows\curr entversion\explorer\ShellExecuteHooks]
"{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA}"= "c:\archivos de programa\SUPERAntiSpyware\SASSEH.DLL" [2008-05-13 77824]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\!SASWinLogon]
2008-07-23 14:28 352256 ------w c:\archivos de programa\SUPERAntiSpyware\SASWINLO.dll

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menú Inicio^Programas^Inicio^Adobe Gamma Loader.lnk]

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menú Inicio^Programas^Inicio^Microsoft Office.lnk]

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menú Inicio^Programas^Inicio^OpenOffice.org 2.0.lnk]

[HKLM\~\startupfolder\C:^Documents and Settings^pc^Menú Inicio^Programas^Inicio^Adobe Gamma.lnk]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"WMPNetworkSvc"=3 (0x3)
"usnjsvc"=3 (0x3)
"ose"=3 (0x3)
"odserv"=3 (0x3)
"iPod Service"=3 (0x3)
"gusvc"=3 (0x3)
"FLEXnet Licensing Service"=3 (0x3)
"Diskeeper"=2 (0x2)
"Bonjour Service"=2 (0x2)
"Adobe LM Service"=3 (0x3)

[HKEY_LOCAL_MACHINE\software\microsoft\windows\curr entversion\run-]
"QuickTime Task"="c:\archivos de programa\QuickTime\qttask.exe" -atboottime
"Adobe Reader Speed Launcher"="c:\archivos de programa\Adobe\Reader 8.0\Reader\Reader_sl.exe"
"iTunesHelper"="c:\archivos de programa\iTunes\iTunesHelper.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\curr entversion\run-disabled]
"TkBellExe"="c:\archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe" -osboot

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpo licy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Archivos de programa\\IncrediMail\\bin\\IncMail.exe"=
"e:\\eMule\\emule.exe"=
"c:\\Archivos de programa\\IncrediMail\\bin\\IMApp.exe"=
"c:\\Archivos de programa\\IncrediMail\\bin\\ImpCnt.exe"=
"c:\\Archivos de programa\\IncrediMail\\bin\\ImLc.exe"=
"c:\\Archivos de programa\\Ares\\Ares.exe"=
"c:\\Archivos de programa\\Zattoo\\Zattoo1.exe"=
"c:\\Archivos de programa\\Mozilla Firefox\\firefox.exe"=
"c:\\Archivos de programa\\Nero\\Nero8\\Nero ShowTime\\ShowTime.exe"=
"c:\\Archivos de programa\\IEPro\\MiniDM.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Archivos de programa\\Microsoft Office\\Office12\\OUTLOOK.EXE"=
"c:\\Archivos de programa\\Real Player\\realplay.exe"=
"c:\\Archivos de programa\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Archivos de programa\\Windows Live\\Messenger\\livecall.exe"=
"c:\\Archivos de programa\\IncrediMail\\bin\\ImSc.exe"=
"c:\\Archivos de programa\\Bonjour\\mDNSResponder.exe"=
"c:\\Archivos de programa\\iTunes\\iTunes.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpo licy\standardprofile\GloballyOpenPorts\List]
"25:TCP"= 25:TCP:File and Printer Sharing
"8127:TCP"= 8127:TCP:ural
"5486:TCP"= 5486:TCP:ural
"7628:TCP"= 7628:TCP:ural

R0 m5289;m5289;c:\windows\system32\drivers\m5289.sys [10/11/2006 20:59 52480]
R0 uliagpkx;ULi AGP Bus Filter Driver;c:\windows\system32\drivers\AGPKX.SYS [10/11/2006 20:58 45056]
R1 SASDIFSV;SASDIFSV;c:\archivos de programa\SUPERAntiSpyware\sasdifsv.sys [17/11/2008 16:11 8944]
R1 SASKUTIL;SASKUTIL;c:\archivos de programa\SUPERAntiSpyware\SASKUTIL.SYS [17/11/2008 16:11 55024]
R2 TuneUp.ProgramStatisticsSvc;TuneUp Program Statistics Service;c:\windows\system32\TUProgSt.exe [21/01/2009 1:00 603904]
R3 ULI5261XP;ULi M526X Ethernet NT Driver;c:\windows\system32\drivers\ULILAN51.SYS [10/11/2006 20:58 28672]
S2 jupiw32;MicroTek scanner driver;c:\windows\system32\rundll32.exe jupiw32.dll,ural --> c:\windows\system32\rundll32.exe jupiw32.dll,ural [?]
S3 FirebirdServerMAGIXInstance;Firebird Server - MAGIX Instance;c:\archivos de programa\MAGIX\Common\Database\bin\fbserver.exe [18/06/2008 21:48 1527900]
S3 MTK;Media Technology Kernel Driver;c:\windows\system32\drivers\MTK.SYS [03/10/2007 23:24 14495]
S3 SASENUM;SASENUM;c:\archivos de programa\SUPERAntiSpyware\SASENUM.SYS [17/11/2008 16:11 7408]
S3 TVICHW32;TVICHW32;c:\windows\system32\drivers\TVIC HW32.SYS [04/10/2007 12:06 23600]

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
UxTuneUp
.
Contents of the 'Scheduled Tasks' folder

2009-05-22 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\archivos de programa\Apple Software Update\SoftwareUpdate.exe [2008-07-30 10:34]

2007-12-14 c:\windows\Tasks\Copia de seguridad.job
- c:\windows\system32\ntbackup.exe [2004-08-19 02:19]

2009-05-29 c:\windows\Tasks\Mantenimiento con 1 clic.job
- c:\archivos de programa\TuneUp Utilities 2009\OneClickStarter.exe [2008-12-12 14:00]
.
.
------- Supplementary Scan -------
.
uInternet Settings,ProxyOverride = *.local
IE: &Add animation to IncrediMail Style Box - c:\archivos de programa\IncrediMail\bin\resources\WebMenuImg.htm
IE: {{000002a3-84fe-43f1-b958-f2c3ca804f1a} - {CD275D4E-791A-4993-9D4D-6A071EDD2709} - c:\archivos de programa\IEPro\iepro.dll
Filter: x-sdch - {B1759355-3EEC-4C1E-B0F1-B719FE26E377} - c:\archivos de programa\Google\Google Toolbar\Component\fastsearch_A8904FB862BD9564.dll
DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} - hxxp://downloads.ewido.net/ewidoOnlineScan.cab
DPF: {C1BAC744-8F0B-11D0-89E7-00C0A8295197} - hxxp://www.crtvg.es/camweb/camera.cab
FF - ProfilePath - c:\documents and settings\pc\Datos de programa\Mozilla\Firefox\Profiles\bgcs5rqs.default \
FF - prefs.js: browser.search.defaulturl - hxxp://www.google.com/search?lr=&ie=UTF-8&oe=UTF-8&q=
FF - prefs.js: browser.search.selectedEngine - Google
FF - prefs.js: browser.startup.homepage -
FF - component: c:\archivos de programa\Nokia\Nokia PC Suite 7\bkmrksync\components\BkMrkExt.dll

---- FIREFOX POLICIES ----
FF - user.js: network.http.max-persistent-connections-per-server - 4
FF - user.js: nglayout.initialpaint.delay - 600
FF - user.js: content.notify.interval - 600000
FF - user.js: content.max.tokenizing.time - 1800000
FF - user.js: content.switch.threshold - 600000
.

************************************************** ************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-05-29 17:04
Windows 5.1.2600 Service Pack 3 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden files: 0

************************************************** ************************
.
--------------------- LOCKED REGISTRY KEYS ---------------------

[HKEY_USERS\S-1-5-21-1218614049-1890655171-3945156927-1003\Software\Microsoft\SystemCertificates\Address Book*]
@Allowed: (Read) (RestrictedCode)
@Allowed: (Read) (RestrictedCode)

[HKEY_USERS\S-1-5-21-1218614049-1890655171-3945156927-1003\Software\Microsoft\Windows\CurrentVersion\She ll Extensions\Approved\{42D26869-571D-466B-B926-EF369D6CC96D}*]
@Allowed: (Read) (RestrictedCode)
@Allowed: (Read) (RestrictedCode)
"iabikihipacganjnhm"=hex:6a,61,6f,6d,6d,69,66,62,6 1,6e,69,6e,6f,6f,66,69,62,68,
6d,6a,00,00
"hahhppimickiamni"=hex:6b,61,6f,6d,70,69,65,63,6c, 64,6f,6f,62,6b,61,70,70,69,
66,69,61,67,00,00

[HKEY_LOCAL_MACHINE\software\Classes\AVIFile\shell\ open]
@DACL=(02 0000)
@="&Abrir"

[HKEY_LOCAL_MACHINE\software\Classes\AVIFile\shell\ play]
@DACL=(02 0000)
"MUIVerb"=expand:"@c:\\WINDOWS\\inf\\unregmp2. exe,-9991"
@="Repr&oducir"

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{42D2686 9-571D-466B-B926-EF369D6CC96D}\InProcServer32*]
"jalhndfhnbinigbnpobh"=hex:6a,61,6f,6d,6d,69,66,62 ,61,6e,69,6e,6f,6f,66,69,62,
68,6d,6a,00,00
"ialhhehgaicbnbfhdb"=hex:6b,61,6f,6d,70,69,65,63,6 c,64,6f,6f,62,6b,61,70,70,69,
66,69,61,67,00,00

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{47629D4 B-2AD3-4e50-B716-A66C15C63153}\InprocServer32*]
"ThreadingModel"="Apartment"
@="c:\\WINDOWS\\system32\\OLE32.DLL"
"cd042efbbd7f7af1647644e76e06692b"=hex:c8,28,51,af ,b0,29,a3,98,f5,50,f4,06,7e,
b4,81,65,e2,63,26,f1,3f,c8,ff,68,41,78,54,6b,cb,25 ,73,5e,e2,63,26,f1,3f,c8,\

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{604BB98 A-A94F-4a5c-A67C-D8D3582C741C}\InprocServer32*]
"ThreadingModel"="Apartment"
@="c:\\WINDOWS\\system32\\OLE32.DLL"
"bca643cdc5c2726b20d2ecedcc62c59b"=hex:6a,9c,d6,61 ,af,45,84,18,9b,7b,34,ac,94,
c1,74,0b,6a,9c,d6,61,af,45,84,18,38,bb,d5,45,c2,68 ,70,5c,6a,9c,d6,61,af,45,\

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{684373F B-9CD8-4e47-B990-5A4466C16034}\InprocServer32*]
"ThreadingModel"="Apartment"
@="c:\\WINDOWS\\system32\\OLE32.DLL"
"2c81e34222e8052573023a60d06dd016"=hex:ff,7c,85,e0 ,43,d4,0e,fe,0e,29,38,5a,5f,
af,7b,57,ff,7c,85,e0,43,d4,0e,fe,e7,38,ef,42,95,63 ,97,c3,ff,7c,85,e0,43,d4,\

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{74554CC D-F60F-4708-AD98-D0152D08C8B9}\InprocServer32*]
"ThreadingModel"="Apartment"
@="c:\\WINDOWS\\system32\\OLE32.DLL"
"2582ae41fb52324423be06337561aa48"=hex:3e,1e,9e,e0 ,57,5a,93,61,67,27,bc,56,2b,
58,f4,b7,86,8c,21,01,be,91,eb,e7,ba,33,a5,03,1a,41 ,48,16,86,8c,21,01,be,91,\

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{7EB537F 9-A916-4339-B91B-DED8E83632C0}\InprocServer32*]
"ThreadingModel"="Apartment"
@="c:\\WINDOWS\\system32\\OLE32.DLL"
"caaeda5fd7a9ed7697d9686d4b818472"=hex:f5,1d,4d,73 ,a8,13,5c,05,78,55,a4,5d,c2,
bf,27,7a,f5,1d,4d,73,a8,13,5c,05,1d,83,69,e8,ac,fb ,66,38,f5,1d,4d,73,a8,13,\

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{948395E 8-7A56-4fb1-843B-3E52D94DB145}\InprocServer32*]
"ThreadingModel"="Apartment"
@="c:\\WINDOWS\\system32\\OLE32.DLL"
"a4a1bcf2cc2b8bc3716b74b2b4522f5d"=hex:50,93,e5,ab ,ec,6a,4e,ab,a7,d1,10,e2,1b,
e1,84,52,df,20,58,62,78,6b,cf,c8,4e,9e,52,48,ec,c0 ,a7,1c,df,20,58,62,78,6b,\

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{AC3ED30 B-6F1A-4bfc-A4F6-2EBDCCD34C19}\InprocServer32*]
"ThreadingModel"="Apartment"
@="c:\\WINDOWS\\system32\\OLE32.DLL"
"4d370831d2c43cd13623e232fed27b7b"=hex:fb,a7,78,e6 ,12,2f,9a,ea,95,0e,b8,93,16,
21,99,a5,fb,a7,78,e6,12,2f,9a,ea,e2,c6,0d,83,3a,45 ,f8,77,fb,a7,78,e6,12,2f,\

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{DE5654C A-EB84-4df9-915B-37E957082D6D}\InprocServer32*]
"ThreadingModel"="Apartment"
@="c:\\WINDOWS\\system32\\OLE32.DLL"
"1d68fe701cdea33e477eb204b76f993d"=hex:01,3a,48,fc ,e8,04,4a,f1,8f,d9,5c,ac,04,
01,4d,5e,01,3a,48,fc,e8,04,4a,f1,82,29,83,2f,7d,40 ,7b,d2,01,3a,48,fc,e8,04,\

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{E39C35E 8-7488-4926-92B2-2F94619AC1A5}\InprocServer32*]
"ThreadingModel"="Apartment"
@="c:\\WINDOWS\\system32\\OLE32.DLL"
"1fac81b91d8e3c5aa4b0a51804d844a3"=hex:51,fa,6e,91 ,28,9e,14,cc,27,bc,02,eb,81,
c4,17,49,f6,0f,4e,58,98,5b,89,c9,25,df,65,00,2e,63 ,32,b1,f6,0f,4e,58,98,5b,\

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{EACAFCE 5-B0E2-4288-8073-C02FF9619B6F}\InprocServer32*]
"ThreadingModel"="Apartment"
@="c:\\WINDOWS\\system32\\OLE32.DLL"
"f5f62a6129303efb32fbe080bb27835b"=hex:3d,ce,ea,26 ,2d,45,aa,78,ea,47,10,91,79,
13,b9,3d,3d,ce,ea,26,2d,45,aa,78,37,32,9f,41,5c,1f ,78,77,3d,ce,ea,26,2d,45,\

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{F8F02AD D-7366-4186-9488-C21CB8B3DCEC}\InprocServer32*]
"ThreadingModel"="Apartment"
@="c:\\WINDOWS\\system32\\OLE32.DLL"
"fd4e2e1a3940b94dceb5a6a021f2e3c6"=hex:e3,0e,66,d5 ,eb,bc,2f,6b,11,c9,26,0b,a8,
6c,ad,37,2a,b7,cc,b5,b9,7f,41,e7,8b,2c,6d,d9,31,77 ,a6,50,2a,b7,cc,b5,b9,7f,\

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{FEE45DE 2-A467-4bf9-BF2D-1411304BCD84}\InprocServer32*]
"ThreadingModel"="Apartment"
@="c:\\WINDOWS\\system32\\OLE32.DLL"
"8a8aec57dd6508a385616fbc86791ec2"=hex:fa,ea,66,7f ,d4,3b,6b,70,1b,9a,70,5c,04,
2b,19,04,6c,43,2d,1e,aa,22,2f,9c,92,e1,1e,0f,d6,06 ,73,36,6c,43,2d,1e,aa,22,\

[HKEY_LOCAL_MACHINE\software\Classes\mpegfile\Defau ltIcon]
@DACL=(02 0000)
@="c:\\WINDOWS\\system32\\wmploc.dll,-733"

[HKEY_LOCAL_MACHINE\software\Classes\mpegfile\shell \open]
@DACL=(02 0000)
@="&Abrir"
"LegacyDisable"=""

[HKEY_LOCAL_MACHINE\software\Classes\mpegfile\shell \play]
@DACL=(02 0000)
"MUIVerb"=expand:"@c:\\WINDOWS\\inf\\unregmp2. exe,-9991"
@="Repr&oducir"
"LegacyDisable"=""

[HKEY_LOCAL_MACHINE\software\Microsoft\Advanced INF Setup\IE40.BrowseUI\RegBackup]
@DACL=(02 0000)

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\Curr entVersion\Installer\UserData\LocalSystem\Componen ts\h–€|ÿÿÿÿ¤•€|ù•9~*]
"A0C0110900063D11C8EF10054038389C"="C?\\WINDOWS\\s ystem32\\FM20ENU.DLL"
"A0C0710900063D11C8EF10054038389C"="C?\\WINDOWS\\s ystem32\\FM20ENU.DLL"
.
--------------------- DLLs Loaded Under Running Processes ---------------------

- - - - - - - > 'winlogon.exe'(916)
c:\archivos de programa\SUPERAntiSpyware\SASWINLO.dll

- - - - - - - > 'explorer.exe'(4064)
c:\windows\system32\WPDShServiceObj.dll
c:\archivos de programa\Nokia\Nokia PC Suite 7\PhoneBrowser.dll
c:\archivos de programa\Nokia\Nokia PC Suite 7\NGSCM.DLL
c:\archivos de programa\Nokia\Nokia PC Suite 7\Lang\PhoneBrowser_spa.nlr
c:\archivos de programa\Nokia\Nokia PC Suite 7\Resource\PhoneBrowser_Nokia.ngr
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
------------------------ Other Running Processes ------------------------
.
c:\archivos de programa\Archivos comunes\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
c:\archivos de programa\Bonjour\mDNSResponder.exe
c:\archivos de programa\Nero\Nero8\Nero BackItUp\NBService.exe
c:\windows\system32\PSIService.exe
c:\windows\system32\wscntfy.exe
.
************************************************** ************************
.
Completion time: 2009-05-29 17:14 - machine was rebooted
ComboFix-quarantined-files.txt 2009-05-29 15:14
ComboFix2.txt 2009-05-28 20:25

Pre-Run: 10.459.721.728 bytes libres
Post-Run: 10.453.663.744 bytes libres

404 --- E O F --- 2009-05-28 20:15


Ahora le voy a pasar el kaspersky online y cuando lo tenga te pongo el reporte.

Todavía no he instalado el antivirus. Yo tenía el avast y la verdad es que estaba bastante contenta con el. Antes del avast tuve el NOD32 que tampoco me disgustaba, ¿qué me aconsejas?

Salu2 Salva y gracias por todo.

Para terminar, desinstala Combofix, y luego realiza una limpieza del registro con CCleaner

Como AV, NOD32 es de lo mejor, pero de pago.

Gratuiro, prefiero Avira, Avast no me satisface del todo, demasiados falsos positivos y ha decaído un poco últimamente.

Saludos

El Kaspersky me ha encontrado esto:

KASPERSKY ONLINE SCANNER 7.0 REPORTKASPERSKY ONLINE SCANNER 7.0 REPORT

Saturday, May 30, 2009
Operating System: Microsoft Windows XP Professional Service Pack 3 (build
2600)
Kaspersky Online Scanner version: 7.0.26.13
Program database last update: Friday, May 29, 2009 18:15:47
Records in database: 2272623


Scan settings
Scan using the following databaseextended
Scan archivesyes
Scan mail databasesyes

Scan areaMy Computer
A:\
C:\
D:\
E:\
F:\
G:\
H:\
I:\
J:\
K:\

Scan statistics

Files scanned 352329
Threat name 4
Infected objects 5
Suspicious objects 0
Duration of the scan 07:43:34

File name Threat nameThreats count
C:\Documents and Settings\pc\Escritorio\Descargas
Directas\validar_el_window_xp.rar
Infected: not-a-virus:PSWTool.Win32.PWDump.22

C:\Documents and Settings\pc\Escritorio\Descargas
Directas\validar_el_window_xp.rar
Infected: not-a-virus:PSWTool.Win32.RAS.k1

C:\_QBagle\QMoveEx\C\Documents and Settings\pc\Datos de
programa\m\data.oct.MoveEx
Infected: Trojan-Downloader.Win32.Bagle.awo1

E:\eMule\Incoming\CodecPack Codec Pack Elisoft v.14.0 2 español Spanish
Garantizado por luismi.rar
Infected: not-a-virus:AdWare.Win32.Gator.41041

The selected area was scanned.

Combofix desinstalado, y limpieza con el Ccleaner hecha.

La verdad es que yo creo que una vez elimine las 4 cosas que me encontró el kaspersky, la pc funciona bien.

Salva, no sé como agradecerte toda tu ayuda. Ya no es la primera vez que me libras de una buena infección, y siempre con buenos resultados.

Disculpa por todos los quebraderos de cabeza que te he dado, y de nuevo muchísimas gracias por todo.

Salu2

Solo quedaría que borres eso y nada más.

Eso también puedes eliminarlo, es la cuarentena.

Concejo:
E:\eMule\Incoming\CodecPack Codec Pack Elisoft v.14.0 2 español Spanish
Garantizado por luismi.rar
Nunca te descargues nada que tenga ese nombre, es una máquina de colar infecciones el luismi.

Por nada, para eso estamos

Si quieres agregar algo, reportas el tema con el botón
Y no es quebradero de cabeza, que uno está en esto porque le gusta (hay locos pa' todo en el planeta)

Saludos