Foro de InfoSpyware - Foro de Hijackthis - Foro de Virus

Hola, antes que nada permitanme felicitarlos por su foro me ha sido de mucha ayuda en distintas ocaciones, pero esta vez tengo un problema que no esta posteado aqui. y esperando que puedan ayudarme les explico: hace algun tiempo mi PC comenzo a tener una serie de problemas relacionados con virus los cuales terminaron con que tuve que formatear, cuando recien hice esto meti una usb y mi pc comenzo a tener los mismos problemas por loque vi que de ahi venia el problema los sintomas son los siguientes:
-al inicio de windows se inicia un programa llamado "taskill.exe" que corre en ms-dos y de ahi se cierra

-hay una entrada en HKLM:run el programa se llama microsoft office ubicacion C:/windows/updatent.exe la cual borro pero se vuelve a crear a cada inicio de sesion asi como el archivo no se encuentra en esa carpeta ni como archivo oculto

-el virus por decirlo asi "flashea" solo aparece por instantes muy cortos de tiempo en el taskmgr y siempre se crea con un nombre distinto en cada inicio de sesion en C:\Documents and Settings\(nombre de usuario)\Configuración local\Temp y adopta nombres de 3 digitos como 757.exe, 027.exe etc...

-el taskmgr por esta razon consume mucha de la memoria de mi PC

-mientras este archivo esta ejecutandose mis contactos de msn reciben mensajes con direcciones para descargar el virus

-un un par de ocaciones al matar el proceso manualmente (esto lo hago haciendola consumir casi el 100% del rendimiento se ejecuta un tiempo un poco mas largo lo mato y no vuelve a ejecutarse) se crea un nuevo exe me abre fire fox en esta pagina "http://www.market.ba/"

esos son todos los sintomas que tiene, y creo tambien es importante que diga que he pasado 3 antivirus diferentes AVG, Avast y bit defender pero ninguno ha encontrado el virus o no pueden eliminarlo asi co mo me han dado nombres distindos de este o no se si sea mas de uno, pasando el spybot y el ad-aware logre quitarlo un tiempo pero en un par de inicios mas volvio a crearse y tambien he pasado limpiadores de msn pero ninguno ha encontrado nada

a continuacion les pego el log del hijackthis

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 10:34:56 a.m., on 28/06/2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Archivos de programa\Lavasoft\Ad-Aware\AAWService.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\wuauclt.exe
C:\DOCUME~1\LBR\CONFIG~1\Temp\999.exe
C:\Archivos de programa\Lavasoft\Ad-Aware\AAWTray.exe
C:\Archivos de programa\Mozilla Firefox\firefox.exe
C:\Archivos de programa\Trend Micro\HijackThis\HijackThis.exe
C:\Archivos de programa\Windows Live\Messenger\msnmsgr.exe

O1 - Hosts: 148.244.43.5 www.bancomer.com
O1 - Hosts: 148.244.43.5 bancomer.com
O1 - Hosts: 148.244.43.5 www.bancomer.com.mx
O1 - Hosts: 148.244.43.5 bancomer.com.mx
O1 - Hosts: 148.244.43.5 bbvanet.com.mx
O1 - Hosts: 148.244.43.5 www.bbvanet.com.mx
O1 - Hosts: 192.193.230.100 www.banamex.com.mx
O1 - Hosts: 192.193.230.100 banamex.com.mx
O1 - Hosts: 192.193.230.100 www.banamex.com
O1 - Hosts: 192.193.230.100 banamex.com
O1 - Hosts: 200.57.47.69 see.sbi.com.mx
O1 - Hosts: 200.57.47.69 scotiabank.com.mx
O1 - Hosts: 200.57.47.69 scotiabankinverlat.com
O1 - Hosts: 200.57.47.69 scotiabankinverlat.com.mx
O1 - Hosts: 200.57.47.69 www.see.sbi.com.mx
O1 - Hosts: 200.57.47.69 www.scotiabank.com.mx
O1 - Hosts: 200.57.47.69 www.scotiabankinverlat.com
O1 - Hosts: 200.57.47.69 www.scotiabankinverlat.com.mx
O1 - Hosts: 200.57.47.69 inverweb3.scotiabankinverlat.com
O1 - Hosts: 200.57.47.69 www.inverweb3.scotiabankinverlat.com
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Windows Live Aplicación auxiliar de inicio de sesión - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM\..\Run: [MicrosoftOffice] C:\WINDOWS\updatent.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICIO LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Servicio de red')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~4\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~4\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Archivos de programa\Archivos comunes\Softwin\BitDefender Scan Server\bdss.exe
O23 - Service: Lavasoft Ad-Aware Service - Lavasoft - C:\Archivos de programa\Lavasoft\Ad-Aware\AAWService.exe
O23 - Service: BitDefender Desktop Update Service (LIVESRV) - SOFTWIN S.R.L. - C:\Archivos de programa\Archivos comunes\Softwin\BitDefender Update Service\livesrv.exe
O23 - Service: BitDefender Virus Shield (VSSERV) - Unknown owner - C:\Archivos de programa\Softwin\BitDefender10\vsserv.exe (file missing)
O23 - Service: BitDefender Communicator (XCOMM) - Unknown owner - C:\Archivos de programa\Archivos comunes\Softwin\BitDefender Communicator\xcommsvr.exe (file missing)

--
End of file - 3837 bytes

Espero puedan ayudarme me tiene loco eso y muchas gracias por su ayuda y atencion

Saludos =)

Hola, te doy la bienvenida al Foro de InfoSpyware.

ForoSpyware lo mantenemos voluntarios que tenemos nuestros trabajos y obligaciones fuera, por lo que no estamos 24/7, a lo que te pedimos paciencia en el análisis y respuesta de tu caso. Si 48hrs después de dejarnos un nuevo log de HijackThis no recibes una respuesta me puedes enviar un Mensaje Privado de recordatorio.

Vamos a comenzar por estos pasos:

• Paso 1- Descarga, instala y actualiza las siguientes herramientas:
  • CCleaner // Manual de uso.
  • Malwarebytes' Anti-Malware // Manual de uso.
• Paso 2- Ejecuta CCleaner para hacerle una limpieza de cookies, archivos temporales e innecesarios para mejorar el rendimiento de tu equipo y generar reportes mas limpios.(NO necesitamos este reporte)
  
• Paso 3- Ejecuta Malwarebytes' Anti-Malware (MBAM) y selecciona todo lo que este encuentre para luego presionar el botón de "Quitar lo Seleccionado" y así mandarlo a cuarentena.
  
• Paso 4- Reinicia tu PC, y vuelve a generar un nuevo reporte de HijackThis 2.0.2 para pegarlo junto con el reporte de MBAM en este mismo mensaje contándonos si hubiera habido alguna mejora en el problema o rendimiento del equipo.

Por ultimo te recomiendo suscribirte al feed de nuestro Blog de InfoSpyware para estar al tanto de las nuevas amenazas que circulan por la red y así en un futuro puedas prevenirlas.


No te olvides de volver a dejarnos los reportes para continuar con el tema....

Saludos

Saludos de nuevo, segui los pasos que me dijeron pero al parecer no hubo resultados aqui pongo el nuevo log

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 10:49:34 a.m., on 02/07/2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\ctfmon.exe
C:\DOCUME~1\LBR\CONFIG~1\Temp\404.exe
C:\Archivos de programa\Malwarebytes' Anti-Malware\mbam.exe
C:\ARCHIV~1\MOZILL~1\FIREFOX.EXE
C:\Archivos de programa\Windows Live\Messenger\msnmsgr.exe
C:\Archivos de programa\Windows Live\Contacts\wlcomm.exe
C:\Archivos de programa\Trend Micro\HijackThis\HijackThis.exe
C:\Archivos de programa\CCleaner\CCleaner.exe

O1 - Hosts: 148.244.43.5 www.bancomer.com
O1 - Hosts: 148.244.43.5 bancomer.com
O1 - Hosts: 148.244.43.5 www.bancomer.com.mx
O1 - Hosts: 148.244.43.5 bancomer.com.mx
O1 - Hosts: 148.244.43.5 bbvanet.com.mx
O1 - Hosts: 148.244.43.5 www.bbvanet.com.mx
O1 - Hosts: 192.193.230.100 www.banamex.com.mx
O1 - Hosts: 192.193.230.100 banamex.com.mx
O1 - Hosts: 192.193.230.100 www.banamex.com
O1 - Hosts: 192.193.230.100 banamex.com
O1 - Hosts: 69.73.184.134 see.sbi.com.mx
O1 - Hosts: 69.73.184.134 scotiabank.com.mx
O1 - Hosts: 69.73.184.134 scotiabankinverlat.com
O1 - Hosts: 69.73.184.134 scotiabankinverlat.com.mx
O1 - Hosts: 69.73.184.134 www.see.sbi.com.mx
O1 - Hosts: 69.73.184.134 www.scotiabank.com.mx
O1 - Hosts: 69.73.184.134 www.scotiabankinverlat.com
O1 - Hosts: 69.73.184.134 www.scotiabankinverlat.com.mx
O1 - Hosts: 69.73.184.134 inverweb3.scotiabankinverlat.com
O1 - Hosts: 69.73.184.134 www.inverweb3.scotiabankinverlat.com
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Windows Live Aplicación auxiliar de inicio de sesión - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM\..\Run: [MAINBOARD] c:\WINDOWS\crss.exe
O4 - HKLM\..\Run: [MicrosoftOffice] C:\WINDOWS\updatent.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICIO LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Servicio de red')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~4\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~4\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Archivos de programa\Archivos comunes\Softwin\BitDefender Scan Server\bdss.exe
O23 - Service: BitDefender Desktop Update Service (LIVESRV) - SOFTWIN S.R.L. - C:\Archivos de programa\Archivos comunes\Softwin\BitDefender Update Service\livesrv.exe
O23 - Service: BitDefender Virus Shield (VSSERV) - Unknown owner - C:\Archivos de programa\Softwin\BitDefender10\vsserv.exe (file missing)
O23 - Service: BitDefender Communicator (XCOMM) - Unknown owner - C:\Archivos de programa\Archivos comunes\Softwin\BitDefender Communicator\xcommsvr.exe (file missing)

--
End of file - 3748 bytes

-----------------------------------------------
y aqui el del mbm

alwarebytes' Anti-Malware 1.38
Versión de la Base de Datos: 2360
Windows 5.1.2600 Service Pack 2

02/07/2009 10:27:25 a.m.
mbam-log-2009-07-02 (10-27-25).txt

Tipo de examen : Examen Completo (C:\|D:\|)
Objetos examinados: 111669
Tiempo transcurrido: 25 minute(s), 27 second(s)

Procesos en Memoria Infectados: 0
Módulos en Memoria Infectados: 0
Claves del Registro Infectadas: 0
Valores del Registro Infectados: 0
Elementos de Datos del Registro Infectados: 3
Carpetas Infectadas: 0
Ficheros Infectados: 0

Procesos en Memoria Infectados:
(No se han detectado elementos maliciosos)

Módulos en Memoria Infectados:
(No se han detectado elementos maliciosos)

Claves del Registro Infectadas:
(No se han detectado elementos maliciosos)

Valores del Registro Infectados:
(No se han detectado elementos maliciosos)

Elementos de Datos del Registro Infectados:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Not selected for removal.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Not selected for removal.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Not selected for removal.

Carpetas Infectadas:
(No se han detectado elementos maliciosos)

Ficheros Infectados:
(No se han detectado elementos maliciosos)

Aún hay entradas por reparar, sigue estos pasos:

- Ejecuta Hijackthis
- Presiona el botón "Open the Misc Tools section"
- Presiona le botón "Open hosts file manager"
- Selecciona todas las líneas excepto esta:
- Presiona el botón "Delete line(s)"

Luego continúa con estos pasos:

- Descarga la herramienta ComboFix.exe y guárdala en el escritorio.

• Desactiva temporalmente el Antivirus y/o Antispyware.
• Cierra todas las ventanas abiertas.
• Haz doble clic al archivo ComboFix.exe y sigue las instrucciones.
• Cuando termine, generará un registro en C:\ComboFix.txt.
  • *Nota* Mientras CF este trabajando no mover el mouse ya que pararía su proceso.
  • *Nota* ComboFix puede reiniciar automáticamente el PC para completar el proceso de eliminación.

• Reinicia y pega el reporte de C:\ComboFix.txt en este mismo mensaje.

Saludos

Saludos el problema esta solucionado muchas de verdad muchas gracias aqui pongo el log del combofix


ComboFix 09-07-02.02 - LBR 03/07/2009 10:42.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.34.3082.18.127.41 [GMT -5:00]
Running from: c:\documents and settings\LBR\Escritorio\ComboFix.exe

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
.

((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\windows\Installer\111b788.msi
c:\windows\Installer\1e9950.msi

.
((((((((((((((((((((((((( Files Created from 2009-06-03 to 2009-07-03 )))))))))))))))))))))))))))))))
.

2009-07-01 23:35 . 2009-07-01 23:35 -------- d-----w- c:\archivos de programa\Archivos comunes\Adobe
2009-06-30 00:59 . 2009-06-30 00:59 -------- d-----w- c:\documents and settings\LBR\Datos de programa\Malwarebytes
2009-06-30 00:59 . 2009-06-17 16:27 38160 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2009-06-30 00:58 . 2009-06-30 00:58 -------- d-----w- c:\documents and settings\All Users\Datos de programa\Malwarebytes
2009-06-30 00:58 . 2009-06-17 16:27 19096 ----a-w- c:\windows\system32\drivers\mbam.sys
2009-06-30 00:58 . 2009-07-01 22:11 -------- d-----w- c:\archivos de programa\Malwarebytes' Anti-Malware
2009-06-29 04:42 . 2009-06-29 04:42 -------- d-----w- c:\archivos de programa\Trend Micro
2009-06-29 04:27 . 2009-06-29 04:41 -------- d-----w- c:\documents and settings\LBR\Datos de programa\Power Sound Editor Free
2009-06-29 04:25 . 2005-02-24 16:51 348160 ----a-w- c:\windows\system32\NCTWMAFile2.dll
2009-06-29 04:24 . 2005-04-25 18:01 458752 ----a-w- c:\windows\system32\NCTAudioRecord2.dll
2009-06-29 04:24 . 2005-04-04 22:21 602112 ----a-w- c:\windows\system32\NCTAudioTransform2.dll
2009-06-29 04:24 . 2005-03-28 20:54 479232 ----a-w- c:\windows\system32\NCTAudioVisualization2.dll
2009-06-29 04:24 . 2005-03-28 20:52 417792 ----a-w- c:\windows\system32\NCTTextToAudio2.dll
2009-06-29 04:24 . 2005-05-18 16:52 1212416 ----a-w- c:\windows\system32\NCTAudioInformation2.dll
2009-06-29 04:24 . 2005-04-25 18:01 458752 ----a-w- c:\windows\system32\NCTAudioPlayer2.dll
2009-06-29 04:24 . 2005-05-17 17:37 1986560 ----a-w- c:\windows\system32\NCTAudioFile2.dll
2009-06-29 04:24 . 2005-04-15 17:08 880640 ----a-w- c:\windows\system32\NCTAudioEditor2.dll
2009-06-29 04:24 . 2004-11-04 18:31 835584 ----a-w- c:\windows\system32\NCTAudioCDGrabber2.dll
2009-06-29 04:24 . 2009-06-29 04:26 -------- d-----w- c:\archivos de programa\Power Sound Editor Free
2009-06-29 03:49 . 2009-06-29 03:49 356352 ----a-w- c:\windows\eSellerateEngine.dll
2009-06-29 03:49 . 2009-06-29 16:41 -------- d---a-w- c:\documents and settings\All Users\Datos de programa\TEMP
2009-06-29 03:48 . 2009-06-29 03:48 -------- d-----w- c:\archivos de programa\Archivos comunes\DeskShare Shared
2009-06-29 03:48 . 2004-12-07 15:11 258352 ----a-w- c:\windows\system32\Unicows.dll
2009-06-29 03:47 . 2009-06-29 03:47 -------- d-----w- c:\archivos de programa\Deskshare
2009-06-29 03:39 . 2009-06-29 03:39 -------- d-----w- c:\documents and settings\LBR\Datos de programa\Live-Prod
2009-06-27 03:07 . 2009-06-29 03:39 -------- d-----w- c:\archivos de programa\LiveKillCleanMessenger
2009-06-25 06:17 . 2009-06-25 06:17 -------- d-----w- c:\documents and settings\All Users\Datos de programa\Kaspersky Lab Setup Files
2009-06-25 05:56 . 2009-06-25 05:56 -------- d-----w- c:\archivos de programa\Google
2009-06-20 14:01 . 2009-07-03 15:32 81984 ----a-w- c:\windows\system32\bdod.bin
2009-06-20 13:36 . 2009-06-20 13:36 -------- d-----w- c:\archivos de programa\CCleaner
2009-06-17 15:34 . 2009-06-13 19:54 15688 ----a-w- c:\windows\system32\lsdelete.exe
2009-06-16 21:59 . 2009-06-16 21:59 1744 ----a-w- c:\windows\system32\d3d9caps.dat
2009-06-14 20:41 . 2009-06-14 20:42 -------- d-----w- c:\documents and settings\LBR\Datos de programa\Media Player Classic
2009-06-14 20:15 . 2009-06-14 20:15 -------- d-----w- c:\archivos de programa\Xilisoft
2009-06-14 17:39 . 2003-06-19 06:31 17920 ----a-w- c:\windows\system32\mdimon.dll
2009-06-14 17:35 . 2009-06-14 17:36 -------- d-----w- c:\windows\SHELLNEW
2009-06-14 17:10 . 2009-06-14 17:10 -------- d--h--r- C:\MSOCache
2009-06-13 19:56 . 2009-06-13 19:53 64160 ----a-w- c:\windows\system32\drivers\Lbd.sys
2009-06-13 19:56 . 2009-06-13 19:56 -------- dc----w- c:\windows\system32\DRVSTORE
2009-06-13 19:54 . 2009-06-13 19:54 15688 ----a-w- c:\documents and settings\All Users\Datos de programa\Lavasoft\Ad-Aware\Update\lsdelete.exe
2009-06-13 19:54 . 2009-06-13 19:54 83808 ----a-w- c:\documents and settings\All Users\Datos de programa\Lavasoft\Ad-Aware\Update\ShellExt.dll
2009-06-13 19:53 . 2009-06-13 19:53 212848 ----a-w- c:\documents and settings\All Users\Datos de programa\Lavasoft\Ad-Aware\Update\RPAPI.dll
2009-06-13 19:53 . 2009-06-13 19:53 40288 ----a-w- c:\documents and settings\All Users\Datos de programa\Lavasoft\Ad-Aware\Update\PrivacyClean.dll
2009-06-13 19:53 . 2009-06-13 19:53 64160 ----a-w- c:\documents and settings\All Users\Datos de programa\Lavasoft\Ad-Aware\Update\Drivers\32\lbd.sys
2009-06-13 19:45 . 2009-03-12 08:17 2902048 -c--a-w- c:\documents and settings\All Users\Datos de programa\{7972B2E5-3E09-4E5E-81B7-FE5819D6772F}\Ad-AwareAE.exe
2009-06-13 19:45 . 2009-06-13 19:45 -------- dc-h--w- c:\documents and settings\All Users\Datos de programa\{7972B2E5-3E09-4E5E-81B7-FE5819D6772F}
2009-06-13 19:44 . 2009-06-13 19:55 -------- d-----w- c:\documents and settings\All Users\Datos de programa\Lavasoft
2009-06-13 19:44 . 2009-06-13 19:44 -------- d-----w- c:\archivos de programa\Lavasoft
2009-06-13 19:10 . 2009-06-19 00:00 -------- d-----w- c:\archivos de programa\IGZones
2009-06-13 16:22 . 2009-06-25 05:51 -------- d-----w- c:\documents and settings\All Users\Datos de programa\Spybot - Search & Destroy
2009-06-13 16:22 . 2009-06-13 16:27 -------- d-----w- c:\archivos de programa\Spybot - Search & Destroy
2009-06-13 16:19 . 2009-06-27 02:45 -------- d-----w- C:\MSNCleaner
2009-06-13 15:57 . 2009-06-13 15:57 -------- d-----w- c:\archivos de programa\Softwin
2009-06-13 15:55 . 2009-07-03 15:05 -------- d-----w- c:\archivos de programa\Archivos comunes\Softwin
2009-06-12 23:24 . 2009-06-12 23:24 -------- d-----w- c:\archivos de programa\Microsoft Games
2009-06-12 22:29 . 2009-07-03 04:21 -------- d-----w- c:\documents and settings\LBR\Tracing
2009-06-12 22:23 . 2009-06-12 22:23 -------- d-----w- c:\archivos de programa\Microsoft
2009-06-12 22:22 . 2009-06-12 22:22 -------- d-----w- c:\archivos de programa\Windows Live SkyDrive
2009-06-12 22:21 . 2009-06-12 22:23 -------- d-----w- c:\archivos de programa\Windows Live
2009-06-12 22:12 . 2009-06-12 22:12 0 ----a-w- c:\windows\nsreg.dat
2009-06-12 22:12 . 2009-06-12 22:12 -------- d-----w- c:\archivos de programa\Archivos comunes\Windows Live

.
(((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))) ))
.
2009-06-27 03:18 . 2001-08-24 12:00 66998 ----a-w- c:\windows\system32\perfc00A.dat
2009-06-27 03:18 . 2001-08-24 12:00 391146 ----a-w- c:\windows\system32\perfh00A.dat
2009-06-21 21:52 . 2009-06-12 21:09 86327 ----a-w- c:\windows\pchealth\helpctr\OfflineCache\index.dat
2009-06-18 05:29 . 2009-06-12 21:35 -------- d-----w- c:\documents and settings\LBR\Datos de programa\Winamp
2009-06-12 21:39 . 2009-06-12 21:35 -------- d-----w- c:\archivos de programa\Winamp
2009-06-12 21:32 . 2009-06-12 21:32 -------- d-----w- c:\archivos de programa\Ares
2009-06-12 21:32 . 2009-06-12 21:31 -------- d-----w- c:\archivos de programa\K-Lite Codec Pack
2009-06-12 21:12 . 2009-06-12 21:12 -------- d-----w- c:\archivos de programa\microsoft frontpage
2009-06-12 21:08 . 2009-06-12 21:08 -------- d-----w- c:\archivos de programa\Servicios en línea
2009-06-12 21:05 . 2009-06-12 21:05 21900 ----a-w- c:\windows\system32\emptyregdb.dat
2008-10-30 17:54 . 2009-06-12 21:52 67696 ----a-w- c:\archivos de programa\mozilla firefox\components\jar50.dll
2008-10-30 17:54 . 2009-06-12 21:52 54376 ----a-w- c:\archivos de programa\mozilla firefox\components\jsd3250.dll
2008-10-30 17:54 . 2009-06-12 21:52 34952 ----a-w- c:\archivos de programa\mozilla firefox\components\myspell.dll
2008-10-30 17:54 . 2009-06-12 21:53 46720 ----a-w- c:\archivos de programa\mozilla firefox\components\spellchk.dll
2008-10-30 17:54 . 2009-06-12 21:53 172144 ----a-w- c:\archivos de programa\mozilla firefox\components\xpinstal.dll
.

((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\Run]
"CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2004-08-19 15360]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\Cur rentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-19 15360]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Contro l\SafeBoot\Minimal\Lavasoft Ad-Aware Service]
@="Service"

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusDisableNotify"=dword:00000001
"UpdatesDisableNotify"=dword:00000001
"AntiVirusOverride"=dword:00000001
"FirewallOverride"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpo licy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpo licy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Archivos de programa\\Windows Live\\Messenger\\wlcsdk.exe"=
"c:\\Archivos de programa\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Archivos de programa\\Messenger\\msmsgs.exe"=

R0 Lbd;Lbd;c:\windows\system32\drivers\Lbd.sys [13/06/2009 02:56 p.m. 64160]
S4 Lavasoft Ad-Aware Service;Lavasoft Ad-Aware Service;c:\archivos de programa\Lavasoft\Ad-Aware\AAWService.exe [09/03/2009 02:06 p.m. 1003344]
.
- - - - ORPHANS REMOVED - - - -

HKLM-Run-MAINBOARD - c:\windows\crss.exe
HKLM-Run-MicrosoftOffice - c:\windows\updatent.exe


.
------- Supplementary Scan -------
.
uStart Page = hxxp://www.google.com
mStart Page = hxxp://www.google.com
mWindow Title =
IE: E&xportar a Microsoft Excel - c:\archiv~1\MICROS~4\OFFICE11\EXCEL.EXE/3000
FF - ProfilePath - c:\documents and settings\LBR\Datos de programa\Mozilla\Firefox\Profiles\n2z9atnz.default \
FF - component: c:\archivos de programa\Mozilla Firefox\components\xpinstal.dll
.

************************************************** ************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-07-03 10:49
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden files: 0

************************************************** ************************
.
Completion time: 2009-07-03 10:51
ComboFix-quarantined-files.txt 2009-07-03 15:51

Pre-Run: 10,597,875,712 bytes libres
Post-Run: 10,640,961,536 bytes libres

146

-----------------------------------------------------
ahora a instalar un buen antivirus y fire wall para que no vuelva a pasar ._. de nuevo gracias por todo. Que buena herramienta esa del combofix nos seguimos viendo

ComboFix ya se encargó de eliminar los archivos de malwares encontrados en tu PC, por lo que si todo esta funcionado bien, damos por terminado el tema.

Para terminar solo te quedaría quitar CF de la siguiente manera:

• Ir a Inicio > Ejecutar
• Escribir lo siguiente: ComboFix /u como muestra la imagen debajo:
  
  
  • 

Esto realizara las siguientes tareas:

• Se borraran:
  • ComboFix: sus archivos y carpetas.
  • VundoFix: copias de seguridad (si está presente)
  • La carpeta C:\Deckard (si está presente)
  • La carpeta C: _OtMoveIt (si está presente)
• Restablece la configuración del reloj.
• Ocultar extensiones de archivo (si es necesario.)
• Oculta los archivos que estaban ocultos
• Reactiva el "Restaurar Sistema"

Para tener el sistema mas proptegido te recomiendo esta configuración

Saludos