Foro de InfoSpyware - Foro de Hijackthis - Foro de Virus

Hola a todos

Tengo un problema con este spyware. Me saltan ventanitas de publicidad cuando abro una página. He pasado todos los antispyware que recomendáis, antivirus NOD32, Panda online, limpieza con CCleaner, etc.
El Superantispyware me ha detectado el dichoso virus, pero no lo elimina después de reiniciar. He leído vuestro manual para eliminar el wareout, que parece ser es así como se llama el susodicho. Pero no encuentro ninguna coincidencia en las líneas del HijackThis. Os pego el log para ver si me podéis ayudar a eliminarlo.

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 10:38:45, on 23/05/2009
Platform: Windows Vista SP1 (WinNT 6.00.1905)
MSIE: Internet Explorer v7.00 (7.00.6001.18226)
Boot mode: Normal

Running processes:
C:\Windows\system32\Dwm.exe
C:\Windows\system32\taskeng.exe
C:\Windows\Explorer.EXE
C:\Program Files\Windows Defender\MSASCui.exe
C:\Program Files\Java\jre1.6.0\bin\jusched.exe
C:\Program Files\Creative\Sound Blaster X-Fi\Volume Panel\VolPanlu.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Program Files\DAEMON Tools Lite\daemon.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\Program Files\SUPERAntiSpyware\SUPERAntiSpyware.exe
C:\Users\Dani\AppData\Local\gycig.exe
C:\Windows\SYSTEM32\CTXFISPI.EXE
C:\Program Files\Windows Media Player\wmpnscfg.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
C:\Windows\system32\DllHost.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www1.euro.dell.com/content/default.aspx?c=es&l=es&s=gen
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Internet Explorer provided by Dell
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O1 - Hosts: ::1 localhost
O2 - BHO: Aplicación auxiliar de vínculos de Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0\bin\ssv.dll
O4 - HKLM\..\Run: [Windows Defender] "%ProgramFiles%\Windows Defender\MSASCui.exe" -hide
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0\bin\jusched.exe"
O4 - HKLM\..\Run: [VolPanel] "C:\Program Files\Creative\Sound Blaster X-Fi\Volume Panel\VolPanlu.exe" /r
O4 - HKLM\..\Run: [nod32kui] "C:\Program Files\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKLM\..\RunOnce: [Malwarebytes' Anti-Malware] C:\Program Files\Malwarebytes' Anti-Malware\mbamgui.exe /install /silent
O4 - HKCU\..\Run: [Sidebar] "C:\Program Files\Windows Sidebar\sidebar.exe" /autoRun
O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Program Files\DAEMON Tools Lite\daemon.exe" -autorun
O4 - HKCU\..\Run: [SpybotSD TeaTimer] "C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe"
O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Program Files\SUPERAntiSpyware\SUPERAntiSpyware.exe
O4 - HKCU\..\Run: [gycig] "c:\users\dani\appdata\local\gycig.exe" gycig
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Enviar imagen al dispositivo &Bluetooth... - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
O8 - Extra context menu item: Enviar página al dispositivo &Bluetooth... - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0\bin\npjpi160.dll
O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0\bin\npjpi160.dll
O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-12650 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O13 - Gopher Prefix:
O17 - HKLM\System\CCS\Services\Tcpip\..\{F4C82CD1-4FE6-435D-8B8C-84883C21507F}: NameServer = 87.216.1.65,87.216.1.66
O20 - Winlogon Notify: !SASWinLogon - C:\Program Files\SUPERAntiSpyware\SASWINLO.dll
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Program Files\Eset\nod32krn.exe
O23 - Service: Performance Service (nTuneService) - NVIDIA - C:\Program Files\NVIDIA Corporation\nTune\nTuneService.exe
O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - C:\Windows\system32\nvvsvc.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Program Files\CyberLink\Shared files\RichVideo.exe
O23 - Service: stllssvr - MicroVision Development, Inc. - C:\Program Files\Common Files\SureThing Shared\stllssvr.exe

--
End of file - 5155 bytes

Gracias y saludos

Hola, te doy la bienvenida al Foro de InfoSpyware, sigue estos pasos:

- Desactiva el Tea Timer para que no interfiera en la limpieza y reinicia el sistema.

Descarga, actualiza y ejecuta el programa:

• Malwarebyte’s AntiMalwares

Descarga CCleaner y ejecútalo usando primero su opción de "Limpiador" para borrar cookies, temporales de Internet y todos los archivos que este te muestre como obsoletos, y luego usa su opción de "Registro" para limpiar todo el registro de Windows (haciendo copia de seguridad).


- Descarga la herramienta ComboFix.exe y guárdala en el escritorio.

• Desactiva temporalmente el Antivirus y/o Antispyware.
• Cierra todas las ventanas abiertas.
• Haz doble clic al archivo ComboFix.exe y sigue las instrucciones.
• Cuando termine, generará un registro en C:\ComboFix.txt.
  • *Nota* Mientras CF este trabajando no mover el mouse ya que pararía su proceso.
  • *Nota* ComboFix puede reiniciar automáticamente el PC para completar el proceso de eliminación.

• Reinicia y pega el reporte de C:\ComboFix.txt en este mismo mensaje.

Saludos

Ante todo muchas gracias por vuestra ayuda.

He seguido los pasos y ejecutado el combo fix. Os pego el reporte. He tenido que volver a introducir la puerta de enlace porque me la había borrado y no podía conectarme a internet.
El reporte del combo:

ComboFix 09-05-25.01 - Dani 25/05/2009 21:25.1 - NTFSx86
Microsoft® Windows Vista™ Home Premium 6.0.6001.1.1252.34.3082.18.3069.2010 [GMT 2:00]
Running from: c:\users\Dani\Desktop\ComboFix.exe
AV: ESET NOD32 antivirus system 2.70 *On-access scanning enabled* (Updated) {E5E70D32-0101-4F12-8FB0-D96ACA4F34C0}
SP: AVG Anti-Spyware *disabled* (Outdated) {48F2E28D-ED66-4646-9C11-B3055B0AF604}
SP: SUPERAntiSpyware *disabled* (Updated) {222A897C-5018-402e-943F-7E7AC8560DA7}
SP: Windows Defender *enabled* (Updated) {D68DDC3A-831F-4FAE-9E44-DA132C1ACF46}
* Resident AV is active

.

((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\users\Dani\AppData\Local\gycig.dat
c:\users\Dani\AppData\Local\gycig.exe
c:\users\Dani\AppData\Local\gycig_nav.dat
c:\users\Dani\AppData\Local\gycig_navps.dat
c:\windows\struct~.ini

.
((((((((((((((((((((((((( Files Created from 2009-04-25 to 2009-05-25 )))))))))))))))))))))))))))))))
.

2009-05-25 19:30 . 2009-05-25 19:31 -------- d-----w c:\users\Dani\AppData\Local\temp
2009-05-25 19:18 . 2009-05-06 18:06 4784464 ----a-w c:\programdata\Microsoft\Windows Defender\Definition Updates\{6EEF2953-EB47-4ECB-8C82-2DB3916DE7A7}\mpengine.dll
2009-05-23 08:23 . 2009-04-06 13:32 15504 ----a-w c:\windows\system32\drivers\mbam.sys
2009-05-23 08:23 . 2009-04-06 13:32 38496 ----a-w c:\windows\system32\drivers\mbamswissarmy.sys
2009-05-23 08:23 . 2009-05-23 08:23 -------- d-----w c:\program files\Malwarebytes' Anti-Malware
2009-05-19 19:50 . 2009-05-19 19:50 -------- d-----w c:\program files\Trend Micro
2009-05-19 17:31 . 2009-05-23 08:08 -------- d-----w c:\program files\Panda Security
2009-05-18 19:23 . 2009-05-25 19:12 117760 ----a-w c:\users\Dani\AppData\Roaming\SUPERAntiSpyware.com \SUPERAntiSpyware\SDDLLS\UIREPAIR.DLL
2009-05-18 19:22 . 2009-05-18 19:22 -------- d-----w c:\program files\SUPERAntiSpyware
2009-05-18 18:56 . 2009-05-18 18:56 -------- d-----w c:\program files\CCleaner
2009-05-18 18:55 . 2009-05-25 20:11 -------- d-----w c:\program files\SpywareBlaster
2009-05-18 04:03 . 2009-05-18 04:03 -------- d-----w c:\program files\MSXML 4.0
2009-05-17 11:51 . 2009-05-19 19:46 -------- d-----w c:\users\Dani\.housecall6.6
2009-05-17 10:34 . 2009-05-17 10:34 -------- d-----w c:\programdata\Grisoft
2009-05-17 08:25 . 2009-05-17 08:25 -------- d-----w c:\users\Dani\AppData\Roaming\Malwarebytes
2009-05-17 08:25 . 2009-05-17 08:25 -------- d-----w c:\programdata\Malwarebytes
2009-05-16 23:13 . 2009-05-16 23:13 -------- d-----w c:\program files\MSSOAP
2009-05-16 23:13 . 2009-05-16 23:13 -------- d-----w c:\program files\Webroot
2009-05-16 23:13 . 2009-05-16 23:13 164 ----a-w c:\windows\install.dat
2009-05-16 22:40 . 2009-05-16 22:52 164 ----a-w C:\install.dat
2009-05-16 16:18 . 2009-05-16 16:31 -------- d-----w c:\program files\SlySoft
2009-05-16 09:40 . 2009-05-25 20:11 -------- d-----w c:\programdata\Spybot - Search & Destroy
2009-05-16 09:40 . 2009-05-16 10:11 -------- d-----w c:\program files\Spybot - Search & Destroy
2009-05-14 17:58 . 2009-05-14 17:58 -------- d-----w c:\programdata\SUPERAntiSpyware.com
2009-05-14 17:57 . 2009-05-18 19:22 -------- d-----w c:\users\Dani\AppData\Roaming\SUPERAntiSpyware.com
2009-05-13 18:43 . 2009-05-14 17:50 -------- dc----w c:\windows\system32\DRVSTORE
2009-05-10 20:04 . 2009-05-25 19:12 87 ----a-w c:\users\Dani\AppData\Local\iasoo.bat
2009-05-05 17:35 . 2009-05-04 13:07 2298680 ----a-w c:\users\Dani\AppData\Roaming\Mozilla\Firefox\Prof iles\cp7396eo.default\extensions\firefox@tvunetwor ks.com\plugins\npTVUAx.dll
2009-05-05 17:35 . 2008-03-04 16:52 286720 ----a-w c:\users\Dani\AppData\Roaming\Mozilla\Firefox\Prof iles\cp7396eo.default\extensions\firefox@tvunetwor ks.com\plugins\libcurl.dll
2009-05-05 17:35 . 2007-10-31 07:39 59904 ----a-w c:\users\Dani\AppData\Roaming\Mozilla\Firefox\Prof iles\cp7396eo.default\extensions\firefox@tvunetwor ks.com\plugins\zlib1.dll
2009-05-05 17:35 . 2007-05-17 11:58 143360 ----a-w c:\users\Dani\AppData\Roaming\Mozilla\Firefox\Prof iles\cp7396eo.default\extensions\firefox@tvunetwor ks.com\plugins\libexpatw.dll
2009-05-05 17:35 . 2006-10-18 15:32 499712 ----a-w c:\users\Dani\AppData\Roaming\Mozilla\Firefox\Prof iles\cp7396eo.default\extensions\firefox@tvunetwor ks.com\plugins\msvcp71.dll
2009-05-05 17:35 . 2006-10-18 15:32 348160 ----a-w c:\users\Dani\AppData\Roaming\Mozilla\Firefox\Prof iles\cp7396eo.default\extensions\firefox@tvunetwor ks.com\plugins\msvcr71.dll
2009-05-05 17:35 . 2006-10-16 16:44 196608 ----a-w c:\users\Dani\AppData\Roaming\Mozilla\Firefox\Prof iles\cp7396eo.default\extensions\firefox@tvunetwor ks.com\plugins\ssleay32.dll
2009-05-05 17:35 . 2006-10-16 16:44 1028096 ----a-w c:\users\Dani\AppData\Roaming\Mozilla\Firefox\Prof iles\cp7396eo.default\extensions\firefox@tvunetwor ks.com\plugins\libeay32.dll
2009-05-02 06:54 . 2009-05-02 06:54 -------- d-sh--w C:\found.001
2009-04-26 07:59 . 2007-04-09 11:23 28040 ----a-w c:\windows\system32\mdimon.dll
2009-04-26 07:59 . 2009-04-26 07:59 -------- d-----w c:\windows\PCHEALTH
2009-04-26 07:59 . 2009-04-26 07:59 -------- d-----w c:\program files\Microsoft.NET
2009-04-26 07:55 . 2009-04-26 07:55 -------- d--h--r C:\MSOCache

.
(((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))) ))
.
2009-05-25 19:18 . 2006-11-02 15:46 664130 ----a-w c:\windows\system32\perfh00A.dat
2009-05-25 19:18 . 2006-11-02 15:46 128346 ----a-w c:\windows\system32\perfc00A.dat
2009-05-23 09:00 . 2008-07-04 22:23 1214 ----a-w c:\users\Dani\AppData\Roaming\wklnhst.dat
2009-05-22 20:21 . 2008-06-06 15:12 4425 ----a-w c:\windows\bthservsdp.dat
2009-05-18 19:21 . 2008-06-22 09:51 -------- d-----w c:\program files\Common Files\Wise Installation Wizard
2009-05-18 19:20 . 2008-06-18 17:49 68616 ----a-w c:\users\Dani\AppData\Local\GDIPFONTCACHEV1.DAT
2009-05-18 19:05 . 2009-01-18 16:55 1356 ----a-w c:\users\Dani\AppData\Local\d3d9caps.dat
2009-05-16 23:37 . 2009-01-05 12:02 -------- d-----w c:\program files\Deep Silver
2009-05-16 09:35 . 2008-06-22 08:31 -------- d-----w c:\program files\ESET
2009-05-14 17:53 . 2008-06-21 21:45 -------- d-----w c:\users\Dani\AppData\Roaming\Lavasoft
2009-05-14 17:50 . 2008-06-22 09:52 -------- d-----w c:\programdata\Lavasoft
2009-05-14 04:07 . 2006-11-02 11:18 -------- d-----w c:\program files\Windows Mail
2009-05-10 14:53 . 2008-07-05 06:21 -------- d-----w c:\programdata\Roxio
2009-04-13 18:57 . 2009-04-13 18:56 -------- d-----w c:\program files\HyperSnap 6
2009-04-12 17:54 . 2009-04-16 17:11 103424 ----a-w c:\users\Dani\AppData\Roaming\Mozilla\Firefox\Prof iles\cp7396eo.default\extensions\piclens@cooliris. com\libs\pixomatic.dll
2009-04-12 17:54 . 2009-04-16 17:11 954368 ----a-w c:\users\Dani\AppData\Roaming\Mozilla\Firefox\Prof iles\cp7396eo.default\extensions\piclens@cooliris. com\libs\PicLensHelper.exe
2009-04-12 17:54 . 2009-04-16 17:11 71652 ----a-w c:\users\Dani\AppData\Roaming\Mozilla\Firefox\Prof iles\cp7396eo.default\extensions\piclens@cooliris. com\libs\avutil-49.dll
2009-04-12 17:54 . 2009-04-16 17:11 4534272 ----a-w c:\users\Dani\AppData\Roaming\Mozilla\Firefox\Prof iles\cp7396eo.default\extensions\piclens@cooliris. com\libs\cooliris19.dll
2009-04-12 17:54 . 2009-04-16 17:11 344064 ----a-w c:\users\Dani\AppData\Roaming\Mozilla\Firefox\Prof iles\cp7396eo.default\extensions\piclens@cooliris. com\libs\LaunchCooliris.exe
2009-04-12 17:54 . 2009-04-16 17:11 131868 ----a-w c:\users\Dani\AppData\Roaming\Mozilla\Firefox\Prof iles\cp7396eo.default\extensions\piclens@cooliris. com\libs\avformat-52.dll
2009-04-12 17:54 . 2009-04-16 17:11 1161626 ----a-w c:\users\Dani\AppData\Roaming\Mozilla\Firefox\Prof iles\cp7396eo.default\extensions\piclens@cooliris. com\libs\avcodec-51.dll
2009-04-12 17:54 . 2009-04-16 17:11 65536 ----a-w c:\users\Dani\AppData\Roaming\Mozilla\Firefox\Prof iles\cp7396eo.default\extensions\piclens@cooliris. com\components\coolirisstub.dll
2009-04-11 09:27 . 2009-04-11 09:01 -------- d-----w c:\program files\PhotoScape
2009-04-08 18:40 . 2009-04-08 18:39 5588312 ----a-w c:\users\Dani\AppData\Roaming\TVU Networks\TVU AutoUpgrade\TVUPlayer2.4.5.1.exe
2009-04-08 18:39 . 2009-04-08 18:39 -------- d-----w c:\programdata\TVU Networks
2009-04-08 18:39 . 2008-09-17 18:42 -------- d-----w c:\program files\TVUPlayer
2009-03-17 03:38 . 2009-04-16 04:15 13824 ----a-w c:\windows\system32\apilogen.dll
2009-03-17 03:38 . 2009-04-16 04:15 24064 ----a-w c:\windows\system32\amxread.dll
2009-03-03 04:46 . 2009-04-16 04:15 3599328 ----a-w c:\windows\system32\ntkrnlpa.exe
2009-03-03 04:46 . 2009-04-16 04:15 3547632 ----a-w c:\windows\system32\ntoskrnl.exe
2009-03-03 04:40 . 2009-04-16 04:15 827392 ----a-w c:\windows\system32\wininet.dll
2009-03-03 04:39 . 2009-04-16 04:15 183296 ----a-w c:\windows\system32\sdohlp.dll
2009-03-03 04:39 . 2009-04-16 04:15 551424 ----a-w c:\windows\system32\rpcss.dll
2009-03-03 04:39 . 2009-04-16 04:15 26112 ----a-w c:\windows\system32\printfilterpipelineprxy.dll
2009-03-03 04:37 . 2009-04-16 04:15 78336 ----a-w c:\windows\system32\ieencode.dll
2009-03-03 04:37 . 2009-04-16 04:15 98304 ----a-w c:\windows\system32\iasrecst.dll
2009-03-03 04:37 . 2009-04-16 04:15 54784 ----a-w c:\windows\system32\iasads.dll
2009-03-03 04:37 . 2009-04-16 04:15 44032 ----a-w c:\windows\system32\iasdatastore.dll
2009-03-03 03:04 . 2009-04-16 04:15 666624 ----a-w c:\windows\system32\printfilterpipelinesvc.exe
2009-03-03 02:38 . 2009-04-16 04:15 17408 ----a-w c:\windows\system32\iashost.exe
2009-03-03 02:28 . 2009-04-16 04:15 26624 ----a-w c:\windows\system32\ieUnatt.exe
2008-06-06 22:58 . 2008-06-06 22:48 8192 --sha-w c:\windows\Users\Default\NTUSER.DAT
.

((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\Run]
"Sidebar"="c:\program files\Windows Sidebar\sidebar.exe" [2008-01-19 1233920]
"DAEMON Tools Lite"="c:\program files\DAEMON Tools Lite\daemon.exe" [2008-08-08 490952]
"SpybotSD TeaTimer"="c:\program files\Spybot - Search & Destroy\TeaTimer.exe" [2009-03-05 2260480]
"SUPERAntiSpyware"="c:\program files\SUPERAntiSpyware\SUPERAntiSpyware.exe" [2009-05-14 1830128]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run]
"SunJavaUpdateSched"="c:\program files\Java\jre1.6.0\bin\jusched.exe" [2008-06-06 77824]
"VolPanel"="c:\program files\Creative\Sound Blaster X-Fi\Volume Panel\VolPanlu.exe" [2007-04-17 184320]
"nod32kui"="c:\program files\Eset\nod32kui.exe" [2008-06-22 950664]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\curr entversion\policies\system]
"EnableUIADesktopToggle"= 0 (0x0)

[hkey_local_machine\software\microsoft\windows\curr entversion\explorer\ShellExecuteHooks]
"{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA}"= "c:\program files\SUPERAntiSpyware\SASSEH.DLL" [2008-05-13 77824]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\!SASWinLogon]
2008-12-22 10:05 356352 ----a-w c:\program files\SUPERAntiSpyware\SASWINLO.dll

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Contro l\SafeBoot\Minimal\WinDefend]
@="Service"

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\McAfeeAntiSpyware]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpo licy\FirewallRules]
"{8FD72B1F-6C3F-45BE-A449-FD3D43DFE750}"= UDP:8888:emule
"{83AF7075-CA88-4020-BCDC-93E3E903CADF}"= TCP:8898:emule
"{A6FB79D8-6BA0-4479-A765-2A28623A162C}"= UDP:c:\program files\Lphant\eLePhantClient.exe:Lphant
"{A098526E-0384-48CB-8800-27D6729C3829}"= TCP:c:\program files\Lphant\eLePhantClient.exe:Lphant
"TCP Query User{97AB7742-50EE-4131-88CE-2C6DFACD8C25}c:\\program files\\emule\\emule.exe"= UDP:c:\program files\emule\emule.exe:eMule
"UDP Query User{9B49537B-615F-454A-A42F-3859814F0773}c:\\program files\\emule\\emule.exe"= TCP:c:\program files\emule\emule.exe:eMule
"{87C1F677-B80E-4DED-B396-75CF82C2C357}"= c:\program files\Cyberlink\PowerDVD\PowerDVD.EXE:CyberLink PowerDVD
"TCP Query User{066EE265-A500-42C9-9517-1DD651419BFA}c:\\program files\\sopcast\\adv\\sopadver.exe"= UDP:c:\program files\sopcast\adv\sopadver.exe:SopCast Adver
"UDP Query User{001124AB-8695-4719-A3D5-1EF679F700EF}c:\\program files\\sopcast\\adv\\sopadver.exe"= TCP:c:\program files\sopcast\adv\sopadver.exe:SopCast Adver
"TCP Query User{A506E0F1-2764-47F0-BB02-B72D5D663FE0}c:\\program files\\sopcast\\sopcast.exe"= UDP:c:\program files\sopcast\sopcast.exe:SopCast Main Application
"UDP Query User{9B4CAA60-4A5C-45B6-B893-BDE5A5C0311D}c:\\program files\\sopcast\\sopcast.exe"= TCP:c:\program files\sopcast\sopcast.exe:SopCast Main Application
"TCP Query User{3D5321B7-2136-4F8D-A54E-49234495B4DE}c:\\program files\\tvuplayer\\tvuplayer.exe"= UDP:c:\program files\tvuplayer\tvuplayer.exe:TVUPlayer Component
"UDP Query User{6B49A6FB-672A-442B-8E4D-7F6EF5690618}c:\\program files\\tvuplayer\\tvuplayer.exe"= TCP:c:\program files\tvuplayer\tvuplayer.exe:TVUPlayer Component

[HKLM\~\services\sharedaccess\parameters\firewallpo licy\StandardProfile\AuthorizedApplications\List]
"c:\\Program Files\\uusee\\UUSeePlayer.exe"= c:\program files\uusee\UUSeePlayer.exe:*:Enabled:UUPlayer

R1 nod32drv;nod32drv;c:\windows\System32\drivers\nod3 2drv.sys [22/06/2008 10:32 15424]
R1 SASDIFSV;SASDIFSV;c:\program files\SUPERAntiSpyware\sasdifsv.sys [14/05/2009 14:22 9968]
R1 SASKUTIL;SASKUTIL;c:\program files\SUPERAntiSpyware\SASKUTIL.SYS [14/05/2009 14:22 72944]
R3 physX32;physX32;c:\windows\System32\drivers\physX3 2.sys [07/06/2008 1:03 117888]
R3 SASENUM;SASENUM;c:\program files\SUPERAntiSpyware\SASENUM.SYS [14/05/2009 14:22 7408]
S3 stllssvr;stllssvr;c:\program files\Common Files\SureThing Shared\stllssvr.exe [02/12/2007 19:34 74384]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
bthsvcs REG_MULTI_SZ BthServ
.
Contents of the 'Scheduled Tasks' folder
.
- - - - ORPHANS REMOVED - - - -

HKCU-Run-gycig - c:\users\dani\appdata\local\gycig.exe
SafeBoot-procexp90.Sys


.
------- Supplementary Scan -------
.
uStart Page = hxxp://www1.euro.dell.com/content/default.aspx?c=es&l=es&s=gen
IE: E&xportar a Microsoft Excel - c:\progra~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
IE: Enviar imagen al dispositivo &Bluetooth... - c:\program files\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
IE: Enviar página al dispositivo &Bluetooth... - c:\program files\WIDCOMM\Bluetooth Software\btsendto_ie.htm
LSP: c:\windows\system32\imon.dll
TCP: {F4C82CD1-4FE6-435D-8B8C-84883C21507F} = 87.216.1.65,87.216.1.66
FF - ProfilePath - c:\users\Dani\AppData\Roaming\Mozilla\Firefox\Prof iles\cp7396eo.default\
FF - component: c:\users\Dani\AppData\Roaming\Mozilla\Firefox\Prof iles\cp7396eo.default\extensions\piclens@cooliris. com\components\coolirisstub.dll
FF - plugin: c:\program files\Java\jre1.6.0\bin\npjava11.dll
FF - plugin: c:\program files\Java\jre1.6.0\bin\npjava12.dll
FF - plugin: c:\program files\Java\jre1.6.0\bin\npjava13.dll
FF - plugin: c:\program files\Java\jre1.6.0\bin\npjava14.dll
FF - plugin: c:\program files\Java\jre1.6.0\bin\npjava32.dll
FF - plugin: c:\program files\Java\jre1.6.0\bin\npjpi160.dll
FF - plugin: c:\program files\Java\jre1.6.0\bin\npoji610.dll
FF - plugin: c:\program files\K-Lite Codec Pack\Real\browser\plugins\nppl3260.dll
FF - plugin: c:\program files\K-Lite Codec Pack\Real\browser\plugins\nprpjplug.dll
FF - plugin: c:\program files\Mozilla Firefox\plugins\np-mswmp.dll
FF - plugin: c:\users\Dani\AppData\Roaming\Mozilla\Firefox\Prof iles\cp7396eo.default\extensions\firefox@tvunetwor ks.com\plugins\npTVUAx.dll
.

************************************************** ************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-05-25 21:31
Windows 6.0.6001 Service Pack 1 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden files: 0

************************************************** ************************

[HKEY_LOCAL_MACHINE\system\ControlSet001\Services\{ 95808DC4-FA4A-4c74-92FE-5B863F82066B}]
"ImagePath"="\??\c:\program files\CyberLink\PowerDVD\000.fcl"
.
--------------------- LOCKED REGISTRY KEYS ---------------------

[HKEY_USERS\S-1-5-21-3442759393-1147645883-3118603652-1000\Software\SecuROM\License information*]
"datasecu"=hex:6d,d7,9c,7c,fc,5a,f3,e4,93,d1,92,11 ,69,12,7c,54,c6,52,d7,35,dd,
0c,59,50,ce,8f,4e,22,68,fa,83,ad,ea,a2,71,6d,16,d5 ,c0,9c,07,be,40,f2,14,1b,\
"rkeysecu"=hex:43,f3,aa,9f,21,6c,4b,dd,45,a2,00,f9 ,87,61,78,b2

[HKEY_LOCAL_MACHINE\system\ControlSet001\Control\Cl ass\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000

[HKEY_LOCAL_MACHINE\system\ControlSet001\Control\Cl ass\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0001\AllUserSettings]
@Denied: (A) (Users)
@Denied: (A) (Everyone)
@Allowed: (B 1 2 3 4 5) (S-1-5-20)
"BlindDial"=dword:00000000
.
Completion time: 2009-05-25 21:32
ComboFix-quarantined-files.txt 2009-05-25 19:32

Pre-Run: 502.108.848.128 bytes libres
Post-Run: 502.058.139.648 bytes libres

215 --- E O F --- 2009-05-25 19:18

Saludos y ya os diré como me ha ido.

Muchísimas gracias de nuevo

ComboFix ya se encargó de eliminar la infección, coméntanos como está funcionando el sistema ahora.

Hola y gracias por todo

Creo que todo funciona correctamente. Sospechaba de 4 archivos gycig o algo así. Combo fix los eliminó y no sé si eliminó algo más.

Muchísimas gracias por todo y saludos

Para terminar sólo te quedaría quitar CF de la siguiente manera:

• Ir a Inicio > Ejecutar
• Escribir lo siguiente: ComboFix /u como muestra la imagen debajo:
  
  
  • 

Esto realizara las siguientes tareas:

• Se borraran:
  • ComboFix: sus archivos y carpetas.
  • VundoFix: copias de seguridad (si está presente)
  • La carpeta C:\Deckard (si está presente)
  • La carpeta C: _OtMoveIt (si está presente)
• Restablece la configuración del reloj.
• Ocultar extensiones de archivo (si es necesario.)
• Oculta los archivos que estaban ocultos
• Reactiva el "Restaurar Sistema"

Para evitar este tipo de infecciones te recomiendo usar un navegador mas seguro como Firefox

Saludos

Hola

He intentado abrir el archivo ComboFix /u con ejecutar pero me dice que windows no puede encontrar el archivo...

Como navegador utilizo el firefox. La infección creo que vino porque me instalé un reproductor llamado LivePlayer. A partir de ahí empezaron las dichosas ventanitas

Saludos