Foro de InfoSpyware - Foro de Hijackthis - Foro de Virus

Hola de nuevo

Desinstala CF de esta manera:

• Ve a Inicio > Ejecutar
• Escribe lo siguiente: ComboFix /u como muestra la imagen debajo:
  
  o
• Esto activara el desinstalador de ComboFix abriendo su pantalla principal y luego de unos segundos veras ("ComboFix is uninstalled")

Esto realizara las siguientes tareas:

• Se borraran:
  • ComboFix: sus archivos y carpetas.
  • VundoFix: copias de seguridad (si está presente)
  • La carpeta C:\Deckard (si está presente)
  • La carpeta C: _OtMoveIt (si está presente)
• Restablece la configuración del reloj.
• Ocultar extensiones de archivo (si es necesario.)
• Oculta los archivos que estaban ocultos
• Reactiva el "Restaurar Sistema"

Nos comentas como va el ordenador ahora.

Saludos

Buenas leo, desinstale el combofix pero no se soluciona el problema, el archivo a020001419.exe sigue en la carpeta C:\Documents and Settings\ALEJANDRO\Datos de programa\Macromedia\Common... y el pc sigue igual de lento, saque otro log del hijack this y justo cuando habia terminado me salto otra alarma del outpost que ponia:

Aplicación intentando insertar componente en otro proceso

Proceso: Hijack this

Componente: a02000142.tmp

le di a bloquear... te dejo el log...

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:26:08, on 22/10/2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\ibmpmsvc.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\svchost.exe
C:\Archivos de programa\Java\jre6\bin\jqs.exe
C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\svchost.exe
C:\Archivos de programa\Eset\nod32krn.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Archivos de programa\Eset\nod32kui.exe
C:\Archivos de programa\Webroot\Spy Sweeper\SpySweeperUI.exe
C:\Archivos de programa\Webroot\Spy Sweeper\SpySweeper.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\Archivos de programa\Webroot\Spy Sweeper\SSU.EXE
C:\WINDOWS\system32\taskmgr.exe
C:\Archivos de programa\KillProcess\KillProcess.exe
C:\Archivos de programa\Mozilla Firefox\firefox.exe
C:\Archivos de programa\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://google.es/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Windows Live Aplicación auxiliar de inicio de sesión - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Archivos de programa\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Archivos de programa\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dl l
O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Archivos de programa\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: Barra Yahoo! con bloqueador de ventanas emergentes - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Archivos de programa\Yahoo!\Companion\Installs\cpn\yt.dll
O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Archivos de programa\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O4 - HKLM\..\Run: [D-Link AirPlus G] "C:\Archivos de programa\D-Link\AirPlus G\AirGCFG.exe"
O4 - HKLM\..\Run: [nod32kui] "C:\Archivos de programa\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKLM\..\Run: [OutpostMonitor] "C:\ARCHIV~1\OUTPOS~1\op_mon.exe" /tray /noservice
O4 - HKLM\..\Run: [OutpostFeedBack] "C:\Archivos de programa\Outpost Firewall Pro\feedback.exe" /dump:os_startup
O4 - HKLM\..\Run: [SpySweeper] "C:\Archivos de programa\Webroot\Spy Sweeper\SpySweeperUI.exe" /startintray
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\pchealth\helpctr\Binaries\MSCONFIG.EXE /auto
O4 - HKCU\..\Run: [WAB] C:\Documents and Settings\ALEJANDRO\Datos de programa\Macromedia\Common\a020001419.exe
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Configuración rápida de Outpost Firewall Pro - {44627E97-789B-40d4-B5C2-58BD171129A1} - C:\Archivos de programa\Outpost Firewall Pro\ie_bar.dll
O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O17 - HKLM\System\CCS\Services\Tcpip\..\{03C917D5-D1CD-41D9-9F96-2737A616699A}: NameServer = 87.216.1.65,87.216.1.66
O17 - HKLM\System\CCS\Services\Tcpip\..\{E357C3FB-C0DC-488F-B494-FA4BAC5C4059}: NameServer = 80.58.61.250,80.58.61.254
O17 - HKLM\System\CCS\Services\Tcpip\..\{E4AB8C03-ABD3-4A17-A9F7-900A6B849843}: NameServer = 80.58.61.250,80.58.61.254
O17 - HKLM\System\CS1\Services\Tcpip\..\{03C917D5-D1CD-41D9-9F96-2737A616699A}: NameServer = 87.216.1.65,87.216.1.66
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\ARCHIV~1\ARCHIV~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: !SASWinLogon - C:\Archivos de programa\SUPERAntiSpyware\SASWINLO.dll
O23 - Service: Agnitum Client Security Service (acssrv) - Agnitum Ltd. - C:\ARCHIV~1\OUTPOS~1\acs.exe
O23 - Service: ANIWZCSd Service (ANIWZCSdService) - Alpha Networks Inc. - C:\Archivos de programa\ANI\ANIWZCS2 Service\ANIWZCSdS.exe
O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\system32\brsvc01a.exe
O23 - Service: ThinkPad PM Service (IBMPMSVC) - Unknown owner - C:\WINDOWS\system32\ibmpmsvc.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Archivos de programa\Java\jre6\bin\jqs.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Archivos de programa\Eset\nod32krn.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Archivos de programa\CyberLink\Shared files\RichVideo.exe
O23 - Service: Motor de Spy Sweeper de Webroot (WebrootSpySweeperService) - Webroot Software, Inc. - C:\Archivos de programa\Webroot\Spy Sweeper\SpySweeper.exe

--
End of file - 6106 bytes

buenas leo.... una cosa mas, me han saltado dos alarmas del nod dice q estoy infectado con win32/autorun.ks, en los archivos: C/windows/explorer.exe y C/windows/system32/svchosts....

Por favor, sigue estos pasos:

Descarga DR WEB CURE-IT y su Manual


Ejecuta CCLEANER usando primero su opción de "Limpiador" para borrar cookies, temporales de Internet y todos los archivos que este te muestre como obsoletos, y luego usa su opción de "Registro" para limpiar todo el registro de Windows (haciendo copia de seguridad).

Ejecuta DR WEB, haciendo 1ero un chequeo express y luego un EXAMEN COMPLETO, eliminado todo lo que encuentre.

Descarga el ESET Smart Installer

º Lo ejecutas

º Marcas las casillas de Eliminar las amenazas detectadas y analizar archivos.

º Haces clic en Configuración adicional y ahi marcas las casillas:

Analizar en busca de aplicaciones potencialmente indeseables,
Analizar en busca de aplicaciones potencialmente peligrosas
Activar la tecnoligía Anti-Stealth.

º Pulsas en Iniciar para que empiece a descargar la base firmas de virus y posteriormente empiece a analizar tu sistema.

Cuando acabe haz clic en Finalizar

º Localizar el reporte en C:\Archivos de programa\ESET\ESET Online Scanner\log


En tu pròxima respuesta, debes pegar el reporte de DR WEB y el de ESET ONLINE SCANER.


Te dejo saludos y espero tu respuesta.

Perdón por la tardanza, estaba hast arriba de trabajo y luego hasta q descubri que hay que apagar el nod normal para ejecutar el online me llevo toda una tarde jeje...
bueno te dejo los logs del dr web y el nod online, gracias por tu inestimable ayuda!!!

DR web

JSCRIPT5.CHM\htm/jstextwriteln.htm;C:\Archivos de programa\Microsoft Office\Office10\3082\JSCRIPT5.CHM;una modificación de VBS.Generic.94;;
JSCRIPT5.CHM;C:\Archivos de programa\Microsoft Office\Office10\3082;Contenedor con objetos infectados;Movido.;
JSCRIPT5.CHM\htm/jstextwriteln.htm;C:\Archivos de programa\Microsoft Office\OFFICE11\3082\JSCRIPT5.CHM;una modificación de VBS.Generic.94;;
JSCRIPT5.CHM;C:\Archivos de programa\Microsoft Office\OFFICE11\3082;Contenedor con objetos infectados;Movido.;
NBISNZDA.NQF;C:\Archivos de programa\ESET\infected;Win32.HLLW.Autoruner.829;El iminado.;

Nod online

ESETSmartInstaller@High as downloader log:
all ok
# version=6
# OnlineScannerApp.exe=1.0.0.1
# OnlineScanner.ocx=1.0.0.6050
# api_version=3.0.2
# EOSSerial=5839155a6ecb6149a7ceae1614084bd8
# end=stopped
# remove_checked=true
# archives_checked=true
# unwanted_checked=true
# unsafe_checked=true
# antistealth_checked=true
# utc_time=2009-10-27 04:03:54
# local_time=2009-10-27 05:03:54 (+0100, Hora estándar romance)
# country="Spain"
# lang=1033
# osver=5.1.2600 NT Service Pack 3
# compatibility_mode=6914 61 60 87 99443748064
# compatibility_mode=8194 25 100 100 6282383748064
# scanned=32673
# found=0
# cleaned=0
# scan_time=9288
# nod_component=NOD32MOD_WINNT_SPANISH_BASE Build:0x11081620
# nod_component=NOD32MOD_WINNT_SPANISH_INET Build:0x11081620
# nod_component=NOD32MOD_WINNT_SPANISH_STANDARD Build:0x11081620
# version=6
# OnlineScannerApp.exe=1.0.0.1
# OnlineScanner.ocx=1.0.0.6050
# api_version=3.0.2
# EOSSerial=5839155a6ecb6149a7ceae1614084bd8
# end=finished
# remove_checked=true
# archives_checked=true
# unwanted_checked=true
# unsafe_checked=true
# antistealth_checked=true
# utc_time=2009-10-26 09:47:14
# local_time=2009-10-26 10:47:14 (+0100, Hora estándar romance)
# country="Spain"
# lang=1033
# osver=5.1.2600 NT Service Pack 3
# compatibility_mode=6914 61 60 81 0
# compatibility_mode=8194 25 100 100 5624384314960
# scanned=57926
# found=1
# cleaned=1
# scan_time=6609
# nod_component=NOD32MOD_WINNT_SPANISH_BASE Build:0x11081620
# nod_component=NOD32MOD_WINNT_SPANISH_INET Build:0x11081620
# nod_component=NOD32MOD_WINNT_SPANISH_STANDARD Build:0x11081620
C:\Nueva carpeta\Perfect Disk v7.0.31 & Keygen - By [ITA]SEREUPIN80\TMGNfo.exe probably a variant of Win32/Agent trojan (cleaned by deleting - quarantined) 00000000000000000000000000000000 C

Bueno.....El ordenador ha quedado limpio. Nos comentas como funciona ahora e iremos cerrando este tema.

Saludos

Buenas leo!!! bueno si que parece que el ordenador va un poco mejor, aunq no va como antes, veo algun sintoma de mejoria como que por fin me dejo instalar el spybot, lo q pasa q no se xq razon no me deja hacer un escaneo completo y me sale este mensaje:

Error durante el análisis:

Exception EOut of memory in module spybot.exe at 00005ABD.out of memory

y esto lo copie de donde te sale lo q encuentra el spybot:

- Win32.AdAgent.q [1-$7A034F48] (out of memory)

- Microsoft.Windows Redirected Hosts [1-$ 63CD... NO ME DEJO VER MAS

Tampoco se han eliminado los archivos:

C:\Documents and Settings\ALEJANDRO\Datos de programa\Macromedia\Common\a020001419.exe y a020001419.dll

Y EL ARCHIVO CTFMON.EXE LE DOY A Q NO SE SE EJECUTE AL INICIO (AL IGUAL QUE EL a020001419.exe Y NI **** CASO......

crees que deberia cambiar el archivo hosts???

o reinstalar el antivirus o el firewall por si acaso???

Bueno te dejo log del Hijack a dia de hoy y si tu lo ves todo bien pues nada cierra el tema, y si veo q el ordenador me da algun fallo pues ya abrire otro tema nuevo, x cierto GRACIAS X TODO

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:50:40, on 2/11/2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\ibmpmsvc.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\brsvc01a.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\brss01a.exe
C:\WINDOWS\system32\svchost.exe
C:\Archivos de programa\Java\jre6\bin\jqs.exe
C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Archivos de programa\Eset\nod32krn.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Archivos de programa\Eset\nod32kui.exe
C:\Archivos de programa\Spybot - Search & Destroy\TeaTimer.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\WINDOWS\system32\taskmgr.exe
C:\Archivos de programa\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://google.es/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Windows Live Aplicación auxiliar de inicio de sesión - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Archivos de programa\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Archivos de programa\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dl l
O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Archivos de programa\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: Barra Yahoo! con bloqueador de ventanas emergentes - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Archivos de programa\Yahoo!\Companion\Installs\cpn\yt.dll
O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Archivos de programa\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O4 - HKLM\..\Run: [D-Link AirPlus G] "C:\Archivos de programa\D-Link\AirPlus G\AirGCFG.exe"
O4 - HKLM\..\Run: [nod32kui] "C:\Archivos de programa\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKLM\..\Run: [OutpostMonitor] C:\ARCHIV~1\OUTPOS~1\op_mon.exe /tray /noservice
O4 - HKLM\..\Run: [OutpostFeedBack] "C:\Archivos de programa\Outpost Firewall Pro\feedback.exe" /dump:os_startup
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\pchealth\helpctr\Binaries\MSCONFIG.EXE /auto
O4 - HKLM\..\Run: [SpySweeper] "C:\Archivos de programa\Webroot\Spy Sweeper\SpySweeperUI.exe" /startintray
O4 - HKCU\..\Run: [SpybotSD TeaTimer] "C:\Archivos de programa\Spybot - Search & Destroy\TeaTimer.exe"
O4 - HKCU\..\Run: [WAB] C:\Documents and Settings\ALEJANDRO\Datos de programa\Macromedia\Common\a020001419.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Configuración rápida de Outpost Firewall Pro - {44627E97-789B-40d4-B5C2-58BD171129A1} - C:\Archivos de programa\Outpost Firewall Pro\ie_bar.dll
O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\ARCHIV~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O17 - HKLM\System\CCS\Services\Tcpip\..\{03C917D5-D1CD-41D9-9F96-2737A616699A}: NameServer = 87.216.1.65,87.216.1.66
O17 - HKLM\System\CCS\Services\Tcpip\..\{E357C3FB-C0DC-488F-B494-FA4BAC5C4059}: NameServer = 80.58.61.250,80.58.61.254
O17 - HKLM\System\CCS\Services\Tcpip\..\{E4AB8C03-ABD3-4A17-A9F7-900A6B849843}: NameServer = 80.58.61.250,80.58.61.254
O17 - HKLM\System\CS1\Services\Tcpip\..\{03C917D5-D1CD-41D9-9F96-2737A616699A}: NameServer = 87.216.1.65,87.216.1.66
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\ARCHIV~1\ARCHIV~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: !SASWinLogon - C:\Archivos de programa\SUPERAntiSpyware\SASWINLO.dll
O23 - Service: Agnitum Client Security Service (acssrv) - Agnitum Ltd. - C:\ARCHIV~1\OUTPOS~1\acs.exe
O23 - Service: ANIWZCSd Service (ANIWZCSdService) - Alpha Networks Inc. - C:\Archivos de programa\ANI\ANIWZCS2 Service\ANIWZCSdS.exe
O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\system32\brsvc01a.exe
O23 - Service: ThinkPad PM Service (IBMPMSVC) - Unknown owner - C:\WINDOWS\system32\ibmpmsvc.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Archivos de programa\Java\jre6\bin\jqs.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Archivos de programa\Eset\nod32krn.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Archivos de programa\CyberLink\Shared files\RichVideo.exe
O23 - Service: Motor de Spy Sweeper de Webroot (WebrootSpySweeperService) - Webroot Software, Inc. - C:\Archivos de programa\Webroot\Spy Sweeper\SpySweeper.exe

--
End of file - 6487 bytes

Otra cosita, voy a abrir el outpost firewall y de pronto me dice noseque de no se puede read memory (no he podido copiarlo) y que lo depure o lo cierre, pues nada lo depuro, lo inicio de nuevo y de pronto (justo antes de que se inicie) me sale un aviso del outpost firewall:

Crear regla para HIJACKTHIS.EXE

La aplicación esta intentando insertar su componente en otro proceso:

Proceso: HIJACKTHIS.EXE

Componente Insertado: a02000142.tmp


pues nada le di a bloquear pero estoy mosca creo que tengo el firewall y el antivirus infectados de alguna manera... creo q los voy a desinstalar y a instalar otras versiones mas modernas q ya no me fio, te parece bien o es una tonteria???

bueno como siempre muchas graciaaaaaaaaaaaaaaas x tu tiempo y dedicacion a ignorantes como yo jeje, salu2!!!

Bueno.....el tema se ha enredado un poco.

vas a desisntalar Todos los programas antivirus /antispyware / firewall que tengas instalados, para estabilizar el sistema.

Descarga REVOUNINSTALLER. Lo instalas y ejecutas siguiendo Su Manual,
Buscas dentro de el cada uno de esos programas y los desinstalas con todos sus componentes. (Modo avanzado)

Luego de hacerlo 1 por 1, Descarga ADVANCED SYSTEMCARE 3 . Lo instalas y ejecutas de esta manera:

A.- Presiona el botón LIMPIEZA WINDOWS y luego ESCANEAR. Cuando termine, presionas el botón REPARAR.

B.- Presiona el botón PREVENCION Y MEJORA y luego ESCANEAR. Cuando termine, presionas el botón REPARAR.

C.- Presiona el botón UTILIDADES y alli utilizas el LIMPIADOR DE DISCO y el DESFRAGMENTADOR DE REGISTRO-


Luego de reiniciar, vas a repetir este procedimiento:

- Descarga la herramienta ComboFix.exe y guárdala en el escritorio.

• Desactiva temporalmente el Antivirus y/o Antispyware.
• Cierra todas las ventanas abiertas.
• Hacele doble clic al archivo ComboFix.exe y seguí las instrucciones.
• Cuando termine, generara un registro en C:\ComboFix.txt.
  • *Nota* Mientras CF este trabajando no mover el mouse ya que pararía su proceso.
  • *Nota* ComboFix puede reiniciar automáticamente el PC para completar el proceso de eliminación.

• Reinicia y pega el reporte de C:\ComboFix.txt en este mismo mensaje.

Vuelves con el reporte generado.

Ten cuidado en no descargar nada, pues vas a estar sin antivirus.

Saludos

Muy buenas, debido al exeso de trabajo no pude seguir tus pasos hasta anoche, te dejo el log del combofix, he seguido tus pasos al pie de la letra, a ver si conseguimos matar este **** virus, como siempre gracias por tu inestimable ayuda, saludos cordiales....




ComboFix 09-11-09.02 - ALEJANDRO 11/11/2009 9:32.3.1 - FAT32x86
Microsoft Windows XP Professional 5.1.2600.3.1252.34.3082.18.383.147 [GMT 1:00]
Running from: c:\documents and settings\ALEJANDRO\Escritorio\ComboFix.exe
FW: COMODO Firewall Pro *disabled* {043803A3-4F86-4ef6-AFC5-F6E02A79969B}

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
.

((((((((((((((((((((((((( Files Created from 2009-10-11 to 2009-11-11 )))))))))))))))))))))))))))))))
.

2019-12-31 18:26 . 2019-12-31 18:26 -------- d-----w- C:\ANDREA
2017-03-25 18:42 . 2009-08-06 18:23 274288 ----a-w- c:\windows\system32\mucltui.dll
2017-03-25 18:42 . 2009-08-06 18:23 215920 ----a-w- c:\windows\system32\muweb.dll
2017-03-23 18:55 . 2017-03-23 18:55 -------- d-----w- c:\documents and settings\All Users\Datos de programa\Windows Live Toolbar
2017-03-22 17:54 . 2017-03-22 17:54 201 ----a-w- c:\windows\nsreg.dat
2017-03-20 21:00 . 2017-03-20 21:00 -------- d-----w- c:\documents and settings\ALEJANDRO\Datos de programa\SiteAdvisor
2017-03-20 20:56 . 2017-03-20 20:56 -------- d-----w- c:\documents and settings\All Users\Datos de programa\McAfee
2009-10-22 17:00 . 2009-11-10 09:35 103424 ----a-w- c:\documents and settings\ALEJANDRO\Datos de programa\Macromedia\Common\a02000141.dll
2009-10-20 16:58 . 2009-10-20 16:58 -------- d-----w- c:\documents and settings\ALEJANDRO\Datos de programa\KillProcess
2009-10-20 16:57 . 2009-10-20 16:57 -------- d-----w- c:\archivos de programa\KillProcess
2009-10-20 11:35 . 2009-10-20 11:35 -------- d-----w- C:\TAREAS OUTLOOK
2009-10-17 14:59 . 2009-10-20 15:53 16384 ----a-w- c:\documents and settings\LocalService\Datos de programa\Macromedia\Common\a020001419.exe
2009-10-15 18:01 . 2009-10-15 18:01 -------- d-----w- c:\archivos de programa\Panda Security
2009-10-15 11:46 . 2009-10-15 11:46 -------- d-----w- c:\archivos de programa\CCleaner
2009-10-15 11:34 . 2009-10-15 11:34 -------- d-----w- c:\documents and settings\All Users\Datos de programa\SUPERAntiSpyware.com
2009-10-15 11:31 . 2009-10-15 11:31 -------- d-----w- c:\archivos de programa\SUPERAntiSpyware
2009-10-15 10:56 . 2009-10-22 13:43 16384 ----a-w- c:\documents and settings\NetworkService\Datos de programa\Macromedia\Common\a020001419.exe
2009-10-15 01:50 . 2009-10-15 01:50 664 ----a-w- c:\windows\system32\d3d9caps.dat
2009-10-15 01:37 . 2004-06-14 13:56 427864 ----a-w- c:\windows\system32\XceedZip.dll
2009-10-15 01:37 . 2009-10-15 01:37 -------- d-----w- c:\archivos de programa\Driver-Soft
2009-10-14 23:45 . 2009-10-14 23:45 -------- d-----w- c:\documents and settings\All Users\Datos de programa\{CFBD8779-FAAB-4357-84F2-1EC8619FADA6}
2009-10-14 23:36 . 2007-03-01 18:54 21056 ----a-w- c:\windows\system32\drivers\sskbfd.sys
2009-10-14 17:37 . 2009-10-14 17:37 -------- d-----w- C:\MARCADORES

.
(((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))) ))
.
2009-11-11 08:30 . 2009-10-22 17:01 16384 ----a-w- c:\documents and settings\ALEJANDRO\Datos de programa\Macromedia\Common\a020001419.exe
2009-11-03 17:03 . 2009-11-03 17:03 -------- d-----w- c:\documents and settings\ALEJANDRO\Datos de programa\IObit
2009-11-03 17:03 . 2009-11-03 17:03 -------- d-----w- c:\archivos de programa\IObit
2009-11-03 16:44 . 2009-11-03 16:44 -------- d-----w- c:\archivos de programa\VS Revo Group
2009-10-16 13:26 . 2001-08-24 15:00 86976 ----a-w- c:\windows\system32\perfc00A.dat
2009-10-16 13:26 . 2001-08-24 15:00 499124 ----a-w- c:\windows\system32\perfh00A.dat
2009-09-25 10:58 . 2009-09-25 10:58 53760 ----a-w- c:\documents and settings\ALEJANDRO\Datos de programa\Thinstall\Microsoft Office Enterprise 2007\300000008c00002h\offlb.exe
2009-09-25 10:57 . 2009-09-25 10:57 53760 ----a-w- c:\documents and settings\ALEJANDRO\Datos de programa\Thinstall\Microsoft Office Enterprise 2007\1000000b00002h\verclsid.exe
2009-09-25 10:53 . 2009-09-25 10:53 53760 ----a-w- c:\documents and settings\ALEJANDRO\Datos de programa\Thinstall\Microsoft Office Enterprise 2007\10000002500002h\taskmgr.exe
2009-09-25 10:47 . 2009-09-25 10:47 -------- d-----w- c:\documents and settings\ALEJANDRO\Datos de programa\Thinstall
2009-09-17 19:28 . 2009-09-17 19:28 -------- d-----w- c:\archivos de programa\Archivos comunes\HP
2009-09-17 19:28 . 2009-09-17 19:28 -------- d-----w- c:\documents and settings\All Users\Datos de programa\HP
2009-09-17 19:27 . 2009-09-17 19:27 -------- d-----w- c:\archivos de programa\Archivos comunes\Hewlett-Packard
2009-09-17 19:27 . 2009-09-17 19:27 -------- d-----w- c:\archivos de programa\Hewlett-Packard
2009-09-17 18:00 . 2009-09-17 18:00 -------- d-----w- c:\documents and settings\All Users\Datos de programa\Hewlett-Packard
2009-09-17 17:52 . 2009-09-17 17:52 -------- d-----w- c:\archivos de programa\HP
2009-09-14 18:02 . 2009-09-14 18:02 -------- d-----w- c:\archivos de programa\Java
2009-09-14 18:00 . 2009-09-14 18:00 152576 ----a-w- c:\documents and settings\ALEJANDRO\Datos de programa\Sun\Java\jre1.6.0_11\lzma.dll
2009-09-14 17:57 . 2009-09-14 17:57 -------- d-----w- c:\archivos de programa\Brother
2009-09-14 17:48 . 2009-09-14 17:48 -------- d-----r- c:\documents and settings\ALEJANDRO\Datos de programa\Brother
2009-09-14 11:39 . 2009-09-14 11:39 -------- d-----w- c:\documents and settings\ALEJANDRO\Datos de programa\Comodo
2009-09-14 11:38 . 2009-09-14 11:38 -------- d-----w- c:\documents and settings\All Users\Datos de programa\Comodo
2009-09-14 11:35 . 2009-09-14 11:35 75264 ----a-w- c:\windows\system32\drivers\cmdmon.sys
2009-09-14 11:35 . 2009-09-14 11:35 51328 ----a-w- c:\windows\system32\drivers\inspect.sys
2009-09-04 22:04 . 2004-08-19 17:42 58880 ----a-w- c:\windows\system32\msasn1.dll
2009-08-29 08:56 . 2004-08-19 17:42 916480 ----a-w- c:\windows\system32\wininet.dll
2009-08-26 09:01 . 2004-08-19 17:42 247326 ----a-w- c:\windows\system32\strmdll.dll
2009-07-24 11:05 . 2009-07-24 11:05 608 --sha-w- c:\windows\system32\winzvprt5.sys
.

((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\Run]
"Advanced SystemCare 3"="c:\archivos de programa\IObit\Advanced SystemCare 3\AWC.exe" [2009-11-04 2334856]
"WAB"="c:\documents and settings\ALEJANDRO\Datos de programa\Macromedia\Common\a020001419.exe" [2009-11-11 16384]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run]
"D-Link AirPlus G"="c:\archivos de programa\D-Link\AirPlus G\AirGCFG.exe" [2005-11-23 1544192]

[HKEY_LOCAL_MACHINE\system\currentcontrolset\contro l\session manager]
BootExecute REG_MULTI_SZ autocheck autochk *\0sprecovr \SystemRoot\sprecovr.tx

[HKEY_LOCAL_MACHINE\system\currentcontrolset\contro l\lsa]
Authentication Packages REG_MULTI_SZ msv1_0 nwprovau

[HKEY_LOCAL_MACHINE\software\microsoft\windows\curr entversion\run-]
"QuickTime Task"="c:\archivos de programa\QuickTime\qttask.exe" -atboottime
"Adobe Photo Downloader"="c:\archivos de programa\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe"
"MSConfig"=c:\windows\PCHealth\HelpCtr\Binaries\MS Config.exe /auto

[HKLM\~\services\sharedaccess\parameters\firewallpo licy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpo licy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Archivos de programa\\Outlook Express\\msimn.exe"=
"c:\\Archivos de programa\\Messenger\\MSMSGS.EXE"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Archivos de programa\\Windows Live\\Messenger\\wlcsdk.exe"=
"c:\\Archivos de programa\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Archivos de programa\\HP\\hp laserjet m1522\\Fax Config utility1.exe"=
"c:\\Archivos de programa\\HP\\hp laserjet m1522\\hppfaxnc1.exe"=

R3 HPFXFAX;HPFXFAX;c:\windows\system32\drivers\hpfxfa x.sys [17/9/2009 18:59 20504]
S2 FILESpy;FILESpy;\??\c:\archivos de programa\Softwin\BitDefender Standard Edition\filespy.sys --> c:\archivos de programa\Softwin\BitDefender Standard Edition\filespy.sys [?]
S3 GNCT511;Genius VideoCAM NB;c:\windows\system32\DRIVERS\gnct511.sys --> c:\windows\system32\DRIVERS\gnct511.sys [?]
S3 SMC2835W_PCI;SMC2835W 2.4GHz 54 Mbps Wireless Cardbus Driver;c:\windows\system32\drivers\2835WICB.sys [17/1/2006 20:51 385920]

--- Other Services/Drivers In Memory ---

*NewlyCreated* - MBR
*NewlyCreated* - PROCEXP113
*Deregistered* - mbr
*Deregistered* - PROCEXP113

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
HPZ12 REG_MULTI_SZ Pml Driver HPZ12 Net Driver HPZ12
hpdevmgmt REG_MULTI_SZ hpqcxs08 hpqddsvc

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
UxTuneUp
.
Contents of the 'Scheduled Tasks' folder

2009-11-06 c:\windows\Tasks\Mantenimiento con 1 clic.job
- c:\archivos de programa\TuneUp Utilities 2007\SystemOptimizer.exe [2007-01-22 13:26]
.
.
------- Supplementary Scan -------
.
uStart Page = hxxp://google.es/
uSearchMigratedDefaultURL = hxxp://www.google.com/search?q={searchTerms}&sourceid=ie7&rls=com.micros oft:en-US&ie=utf8&oe=utf8
uSearchURL,(Default) = hxxp://www.google.com/keyword/%s
IE: E&xportar a Microsoft Excel - c:\archiv~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
TCP: {03C917D5-D1CD-41D9-9F96-2737A616699A} = 87.216.1.65,87.216.1.66
TCP: {E357C3FB-C0DC-488F-B494-FA4BAC5C4059} = 80.58.61.250,80.58.61.254
TCP: {E4AB8C03-ABD3-4A17-A9F7-900A6B849843} = 80.58.61.250,80.58.61.254
DPF: DirectAnimation Java Classes - file://c:\windows\Java\classes\dajava.cab
DPF: Microsoft XML Parser for Java - file://c:\windows\Java\classes\xmldso.cab
FF - ProfilePath - c:\documents and settings\ALEJANDRO\Datos de programa\Mozilla\Firefox\Profiles\f9w5jjnn.default \
FF - prefs.js: browser.startup.homepage - hxxp://www.google.es/
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\
.
- - - - ORPHANS REMOVED - - - -

HKCU-Run-rundll32.exe - (no file)



************************************************** ************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-11-11 09:41
Windows 5.1.2600 Service Pack 3 FAT NTAPI

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden files: 0

************************************************** ************************
.
--------------------- LOCKED REGISTRY KEYS ---------------------

[HKEY_LOCAL_MACHINE\software\Microsoft\Advanced INF Setup\IEHomePageInfo\RegBackup]
@DACL=(02 0000)

[HKEY_LOCAL_MACHINE\software\Microsoft\MediaPlayer\ NodeCLSIDs\{13A7995E-7D8F-45B4-9C77-819265225763}]
@DACL=(02 0000)
"Priority"=dword:00000001
"AutoInsert"=dword:00000001
"Name"="WMPlayer Spectrum Analyzer DMO"

[HKEY_LOCAL_MACHINE\software\Microsoft\MediaPlayer\ NodeCLSIDs\{95037DA1-6ED9-4B27-8CFF-9AD3DFB0B2F2}]
@DACL=(02 0000)
"Priority"=dword:fffffffb
"AutoInsert"=dword:00000001
"Name"="WMPlayer SRSWow DMO"

[HKEY_LOCAL_MACHINE\software\Microsoft\MediaPlayer\ NodeCLSIDs\{974BF3BF-C9AE-4476-8003-5FE544DF458C}]
@DACL=(02 0000)
"Priority"=dword:fffffffe
"AutoInsert"=dword:00000001
"Name"="WMPlayer Video Processing DMO"

[HKEY_LOCAL_MACHINE\software\Microsoft\MediaPlayer\ NodeCLSIDs\{B2DBA270-9F49-4513-AC13-76496D6EBA3A}]
@DACL=(02 0000)
"Priority"=dword:00000002
"AutoInsert"=dword:00000000
"Name"="Speaker Enhancement DMO"

[HKEY_LOCAL_MACHINE\software\Microsoft\MediaPlayer\ NodeCLSIDs\{D01BC8E2-70AD-4976-9612-21B37ED5C8E8}]
@DACL=(02 0000)
"Priority"=dword:00000003
"AutoInsert"=dword:00000001
"Name"="WMPlayer Equalizer DMO"
.
--------------------- DLLs Loaded Under Running Processes ---------------------

- - - - - - - > 'winlogon.exe'(772)
c:\windows\system32\wininet.dll

- - - - - - - > 'explorer.exe'(2868)
c:\windows\system32\WININET.dll
c:\windows\system32\webcheck.dll
.
Completion time: 2009-11-11 9:46
ComboFix-quarantined-files.txt 2009-11-11 08:46

Pre-Run: 21.023.227.904 bytes libres
Post-Run: 20.987.772.928 bytes libres

- - End Of File - - F97C31968C483197AD80613BD89CB434