agp440 infectado y otras cosas(solucionado)

Buscar

		Foro de Spyware » Spyware - Adware - Hijackers - Malwares » Temas Solucionados
agp440 infectado y otras cosas(solucionado)

Para evitar Virus, Spyware y otros Malwares, te recomendamos mantenerte informado en: InfoSpyware Blog

Temas Solucionados Casos de HijackThis y Malwares resueltos.
(Solo lectura)

Enviar a:

Herramientas

post #1

22/10/09, 09:13:37

peperfus

Usuario

Registrado: jun 2009

Ubicación: La Nucía

Mensajes: 6

agp440 infectado y otras cosas(solucionado)

Hola

El ordenador de mi hermana se infectó con el malware "antiviruspro2000" . . . (o algo así, no recuerdo el nombre)

y por lo visto se le han instalado algunos troyanos, toolbars no deseadas, . . .

He conseguido quitar algunas cosas con NOD32, pero otras siguen ahí.

Al arrancar, Nod32 me dice que agp440.sys está infectado con la variante del troyano nosequé y que no se puede desinfectar. Además, Ahora Firefox tiene una barra de búsqueda que no quiero y como página cuando abro una nueva pestaña aparece "welcome to tabbed browsing" en vez de la de google de firefox...

¿Alguien me puede echar un cable en arreglar estas cosas?

He pasado el hijackthis y aquí está el informe:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14:03:28, on 22/10/2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Intel\Wireless\Bin\EvtEng.exe
C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe
C:\WINDOWS\system32\spoolsv.exe
c:\program files\common files\logitech\lvmvfm\LVPrcSrv.exe
C:\Acer\Empowering Technology\admServ.exe
C:\WINDOWS\eHome\ehRecvr.exe
C:\WINDOWS\eHome\ehSched.exe
C:\Program Files\ESET\ESET NOD32 Antivirus\ekrn.exe
C:\Program Files\Common Files\LightScribe\LSSrvc.exe
C:\Program Files\LogMeIn\x86\RaMaint.exe
C:\Program Files\LogMeIn\x86\LogMeIn.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\LogMeIn\x86\LMIGuardian.exe
C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe
C:\Program Files\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\LogMeIn\x86\LogMeInSystray.exe
C:\Program Files\LogMeIn\x86\LMIGuardian.exe
C:\Acer\Empowering Technology\ePower\ePower_DMC.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\system32\dllhost.exe
C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\system32\LVCOMSX.EXE
C:\WINDOWS\system32\ElkCtrl.exe
C:\Program Files\Acer\OrbiCam\CameraAssistant.exe
C:\WINDOWS\system32\igfxpers.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\ehome\ehtray.exe
C:\Acer\Empowering Technology\eDataSecurity\eDSloader.exe
C:\WINDOWS\system32\rundll32.exe
C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe
C:\WINDOWS\eHome\ehmsas.exe
C:\Acer\Empowering Technology\eRecovery\Monitor.exe
C:\Acer\Empowering Technology\admtray.exe
C:\Program Files\ESET\ESET NOD32 Antivirus\egui.exe
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNo tifier.exe
C:\Program Files\Common Files\Ahead\lib\NMBgMonitor.exe
C:\WINDOWS\system32\wbem\unsecapp.exe
C:\DOCUME~1\Elisa\LOCALS~1\Temp\RtkBtMnt.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\System32\svchost.exe
D:\UTIL\AntiMalWare\HijackThis.exe
C:\WINDOWS\System32\svchost.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.tattoodle.com?tid={EBC29DBB-9142-4bf9-8E4C-443060208AF9}&v=12
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings,ProxyServer = 0.0.0.0:80
O2 - BHO: Aplicación auxiliar de vínculos de Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Search Helper - {6EBF7485-159F-4bff-A14F-B9E3AAC4465B} - C:\Program Files\Microsoft\Search Enhancement Pack\Search Helper\SEPsearchhelperie.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O2 - BHO: Windows Live Aplicación auxiliar de inicio de sesión - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Program Files\Google\Google Toolbar\GoogleToolbar_32.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\5.3.4501.1418\s wg.dll
O2 - BHO: Google Dictionary Compression sdch - {C84D72FE-E17D-4195-BB24-76C02E2E7C4E} - C:\Program Files\Google\Google Toolbar\Component\fastsearch_B7C5AC242193BB3E.dll
O2 - BHO: Windows Live Toolbar Helper - {E15A8DC0-8516-42A1-81EA-DC94EC1ACF10} - C:\Program Files\Windows Live\Toolbar\wltcore.dll
O3 - Toolbar: Acer eDataSecurity Management - {5CBE3B7C-1E47-477e-A7DD-396DB0476E29} - C:\WINDOWS\system32\eDStoolbar.dll
O3 - Toolbar: Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Program Files\Google\Google Toolbar\GoogleToolbar_32.dll
O3 - Toolbar: &Windows Live Toolbar - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - C:\Program Files\Windows Live\Toolbar\wltcore.dll
O4 - HKLM\..\Run: [ePower_DMC] C:\Acer\Empowering Technology\ePower\ePower_DMC.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [ntiMUI] C:\Program Files\NewTech Infosystems\NTI CD & DVD-Maker 7\ntiMUI.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Common Files\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC
O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\system32\LVCOMSX.EXE
O4 - HKLM\..\Run: [LogMeIn GUI] "C:\Program Files\LogMeIn\x86\LogMeInSystray.exe"
O4 - HKLM\..\Run: [LogitechVideo[inspector]] C:\Program Files\Acer\OrbiCam\InstallHelper.exe /inspect
O4 - HKLM\..\Run: [LogitechCameraService(E)] C:\WINDOWS\system32\ElkCtrl.exe /automation
O4 - HKLM\..\Run: [LogitechCameraAssistant] C:\Program Files\Acer\OrbiCam\CameraAssistant.exe
O4 - HKLM\..\Run: [LaunchApp] Alaunch
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [igfxtray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [igfxpers] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [igfxhkcmd] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [eRecoveryService] C:\Acer\Empowering Technology\eRecovery\Monitor.exe
O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe
O4 - HKLM\..\Run: [eDataSecurity Loader] C:\Acer\Empowering Technology\eDataSecurity\eDSloader.exe
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [AzMixerSel] C:\Program Files\Realtek\InstallShield\AzMixerSel.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [ADMTray.exe] "C:\Acer\Empowering Technology\admtray.exe"
O4 - HKLM\..\Run: [Acer ePower Management] C:\Acer\Empowering Technology\ePower\Acer ePower Management.exe boot
O4 - HKLM\..\Run: [egui] "C:\Program Files\ESET\ESET NOD32 Antivirus\egui.exe" /hide /waitservice
O4 - HKCU\..\Run: [swg] "C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNo tifier.exe"
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Common Files\Ahead\lib\NMBgMonitor.exe"
O4 - Startup: zavupd32.exe
O8 - Extra context menu item: Enlace de descarga usando Mega Manager... - C:\Program Files\Megaupload\Mega Manager\mm_file.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: Agregar entrada - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra 'Tools' menuitem: &Agregar entrada en Windows Live Writer - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: PokerStars.net - {FA9B9510-9FCB-4ca0-818C-5D0987B47C4D} - C:\Program Files\PokerStars.NET\PokerStarsUpdate.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {08EC5265-BFFB-48C1-8B3B-B96B19921616} (ReveladoOnline Control) - http://media.fotoprix.com/ReveladoOnline/1.3.1.11/setup.exe
O16 - DPF: {8100D56A-5661-482C-BEE8-AFECE305D968} (Facebook Photo Uploader 5 Control) - http://upload.facebook.com/controls/2009.07.28_v5.5.8.1/FacebookPhotoUploader55.cab
O16 - DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} (Zylom Games Player) - http://game10.zylom.com/activex/zylomgamesplayer.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{473B44DF-647B-4584-AD29-C031F4BA7707}: NameServer = 194.179.1.100,194.179.1.101
O23 - Service: AdminWorks Agent X6 (AWService) - Avocent Inc. - C:\Acer\Empowering Technology\admServ.exe
O23 - Service: ESET HTTP Server (EhttpSrv) - ESET - C:\Program Files\ESET\ESET NOD32 Antivirus\EHttpSrv.exe
O23 - Service: ESET Service (ekrn) - ESET - C:\Program Files\ESET\ESET NOD32 Antivirus\ekrn.exe
O23 - Service: Intel(R) PROSet/Wireless Event Log (EvtEng) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\EvtEng.exe
O23 - Service: Google Software Updater (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Common Files\LightScribe\LSSrvc.exe
O23 - Service: LogMeIn Maintenance Service (LMIMaint) - LogMeIn, Inc. - C:\Program Files\LogMeIn\x86\RaMaint.exe
O23 - Service: LogMeIn - LogMeIn, Inc. - C:\Program Files\LogMeIn\x86\LogMeIn.exe
O23 - Service: Logitech Process Monitor (LVPrcSrv) - Logitech - c:\program files\common files\logitech\lvmvfm\LVPrcSrv.exe
O23 - Service: NMSAccessU - Unknown owner - C:\Program Files\Fotoprix\FotoLibro\NMSAccessU.exe
O23 - Service: Intel(R) PROSet/Wireless Registry Service (RegSrvc) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe
O23 - Service: Intel(R) PROSet/Wireless Service (S24EventMonitor) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe

--
End of file - 11216 bytes

Si hace falta otro dato o lo que sea . . .

MUCHÍSIMAS GRACIAS

InfoSpyware

post #2

22/10/09, 09:43:21

Leosolari

Moderador

Registrado: jun 2007

Ubicación: argentina

Mensajes: 17.100

Re: agp440 infectado y otras cosas

Hola peperfus

Descarga lo siguiente:

º CCLEANER. Lo instalas según Su Manual

º MALWAREBYTE´S. Lo instalas y actualizas según su manual, PERO NO LO EJECUTES AUN

º ComboFix.exe y guárdalo en el escritorio.

Cierra todos los programas, ejecutas HijackThis , tildas las casillas de estas entradas y presionas "FIX Cheked"

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.tattoodle.com?tid={EBC29DBB-9142-4bf9-8E4C-443060208AF9}&v=12

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings,ProxyServer = 0.0.0.0:80

Cita:

Ejecuta CCLEANER usando sus opciones "Limpiador" y "Registro".

Cita:

Ejecuta MALWAREBYTE´S.
Hacé un "escaneo completo". Una vez finalizado, si te detecta algo eliges " quitar lo seleccionado ".
Si te pide reiniciar, lo haces.

Ejecuta ComboFix.exe

Desactiva temporalmente el Antivirus y/o Antispyware.
Cierra todas las ventanas abiertas.
Hacele doble clic al archivo ComboFix.exe y seguí las instrucciones.
Cuando termine, generara un registro en C:\ComboFix.txt.
- *Nota* Mientras CF este trabajando no mover el mouse ya que pararía su proceso.
- *Nota* ComboFix puede reiniciar automáticamente el PC para completar el proceso de eliminación.

Cita:

Atención!! No use ComboFix a menos que se le haya indicado específicamente en su mensaje por un integrante de nuestro Staff. Es una herramienta de gran alcance destinada por su creador a ser usada bajo la orientación y supervisión de un experto, no para uso privado. El uso de ComboFix incorrectamente podría generar problemas en su sistema. Por favor, lea las "Negaciones de la Garantía" de ComboFix.

Reinicia y pega el reporte de C:\ComboFix.txt en este mismo mensaje.

Cita:

PD: No vuelvas a ejecutar ComboFix ni ningun otro programa antivirus hasta que vuelva con una respuesta, ya que puedes hacer cambiar las cosas.

En tu próxima respuesta, debes poner lo siguiente:

º El reporte de malwarebyte´s, que se encuentra en su pestaña REGISTROS
º El reporte de ComboFix
º Un nuevo log de Hijackthis
º Como funciona tu pc ahora

Saludos

NO DESESPERES....SIGUE LUCHANDO.

Novedades del Foro | Antivirus Online | Eliminar Malwares | Políticas del Foro | Blog

* Ayúdanos haciendo una DONACIÓN para poder seguir Ayudando.
* Infórmate de las ultimas amenazas de la red desde: InfoSpyware Blog
* No se resuelven dudas por Privados ni por E-mail, ya que para eso esta el foro.

post #3

22/10/09, 11:35:49

peperfus

Usuario

Registrado: jun 2009

Ubicación: La Nucía

Mensajes: 6

Re: agp440 infectado y otras cosas

Buenas

Hice lo que pediste:

Desactivé NOD32 temporalmente.

Eliminé las entradas en hijackthis
Ejecuté ccleaner
ejecuté malwarebytes antimalware. quité lo seleccionado y me pidió reiniciar

al reiniciar, NOD32 me volvió a advertir de que agp440.sys estaba infectado y que no se podía desinfectar. Volví a desactivar NOD32 temporalmente.

ejecuté combofix y guardé su log

ejecuté de nuevo hijackthis y guardé su log.

Aquí están los informes:

MALWAREBYTES:

Malwarebytes' Anti-Malware 1.41
Versión de la Base de Datos: 3011
Windows 5.1.2600 Service Pack 2

22/10/2009 16:12:49
mbam-log-2009-10-22 (16-12-42).txt

Tipo de examen : Examen Completo (C:\|D:\|)
Objetos examinados: 177537
Tiempo transcurrido: 15 minute(s), 35 second(s)

Procesos en Memoria Infectados: 0
Módulos en Memoria Infectados: 0
Claves del Registro Infectadas: 6
Valores del Registro Infectados: 4
Elementos de Datos del Registro Infectados: 0
Carpetas Infectadas: 1
Ficheros Infectados: 13

Procesos en Memoria Infectados:
(No se han detectado elementos maliciosos)

Módulos en Memoria Infectados:
(No se han detectado elementos maliciosos)

Claves del Registro Infectadas:
HKEY_CLASSES_ROOT\explorerbar.funexplorer (Adware.DoubleD) -> No action taken.
HKEY_CLASSES_ROOT\explorerbar.funexplorer.1 (Adware.DoubleD) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Internet Saving Optimizer (Adware.DoubleD) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Internet Saving Optimizer (Adware.DoubleD) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Media Access Startup (Adware.DoubleD) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ESENT\Proces s\lizkavd (Trojan.FakeAlert) -> No action taken.

Valores del Registro Infectados:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Toolbar\WebBrowser\{5617eca9-488d-4ba2-8562-9710b9ab78d2} (Adware.DoubleD) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Mozilla\Firefox\Extens ions\{0ba0192d-94a5-45e3-b2b8-3ec5a1a0b5ec} (Adware.DoubleD) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Mozilla\Firefox\Extens ions\{2224e955-00e9-4613-a844-ce69fccaae91} (Adware.DoubleD) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run\Regedit32 (Trojan.Agent) -> No action taken.

Elementos de Datos del Registro Infectados:
(No se han detectado elementos maliciosos)

Carpetas Infectadas:
C:\Documents and Settings\All Users\Application Data\16806526 (Rogue.Multiple) -> No action taken.

Ficheros Infectados:
C:\WINDOWS\PEV.exe (Trojan.PWS) -> No action taken.
C:\System Volume Information\_restore{A1A22DB1-8332-49AA-86F8-E6960C5AC86A}\RP1\A0000016.exe (Rogue.SystemSecurity) -> No action taken.
C:\System Volume Information\_restore{A1A22DB1-8332-49AA-86F8-E6960C5AC86A}\RP1\A0000107.exe (Trojan.PWS) -> No action taken.
C:\System Volume Information\_restore{A1A22DB1-8332-49AA-86F8-E6960C5AC86A}\RP1\A0000154.exe (Trojan.PWS) -> No action taken.
C:\System Volume Information\_restore{A1A22DB1-8332-49AA-86F8-E6960C5AC86A}\RP1\A0000206.exe (Trojan.PWS) -> No action taken.
C:\System Volume Information\_restore{A1A22DB1-8332-49AA-86F8-E6960C5AC86A}\RP2\A0000255.exe (Rogue.SystemSecurity) -> No action taken.
C:\System Volume Information\_restore{A1A22DB1-8332-49AA-86F8-E6960C5AC86A}\RP2\A0000283.exe (Trojan.PWS) -> No action taken.
C:\System Volume Information\_restore{A1A22DB1-8332-49AA-86F8-E6960C5AC86A}\RP2\A0000400.exe (Trojan.PWS) -> No action taken.
C:\System Volume Information\_restore{A1A22DB1-8332-49AA-86F8-E6960C5AC86A}\RP2\A0000505.exe (Trojan.PWS) -> No action taken.
C:\System Volume Information\_restore{A1A22DB1-8332-49AA-86F8-E6960C5AC86A}\RP2\A0000618.exe (Trojan.PWS) -> No action taken.
C:\Qoobox\Quarantine\C\Documents and Settings\All Users\Application Data\77098637\77098637.exe.vir (Rogue.SystemSecurity) -> No action taken.
C:\Documents and Settings\Elisa\Application Data\wiaserva.log (Malware.Trace) -> No action taken.
C:\Documents and Settings\LocalService\oashdihasidhasuidhiasdhiashd iuasdhasd (Malware.Trace) -> No action taken.

COMBOFIX:

ComboFix 09-10-20.03 - Elisa 22/10/2009 16:18.5.2 - FAT32x86
Microsoft Windows XP Professional 5.1.2600.2.1252.34.1033.18.1014.523 [GMT 2:00]
Running from: d:\util\AntiMalWare\ComboFix.exe
AV: ESET NOD32 Antivirus 4.0 *On-access scanning disabled* (Updated) {E5E70D32-0101-4F12-8FB0-D96ACA4F34C0}
.

((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\documents and settings\LocalService\oashdihasidhasuidhiasdhiashd iuasdhasd

c:\windows\system32\drivers\AGP440.sys . . . is infected!!

.
((((((((((((((((((((((((( Files Created from 2009-09-22 to 2009-10-22 )))))))))))))))))))))))))))))))
.

2009-10-22 13:55 . 2009-09-10 12:54 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2009-10-22 13:55 . 2009-10-22 13:55 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
2009-10-22 13:55 . 2009-09-10 12:53 19160 ----a-w- c:\windows\system32\drivers\mbam.sys
2009-10-22 13:23 . 2009-10-22 13:23 10 ----a-w- c:\windows\popcinfo.dat
2009-10-22 11:12 . 2009-10-22 11:12 -------- d-----w- c:\program files\ESET
2009-10-22 10:00 . 2009-10-22 10:00 160272 ----a-w- c:\windows\system32\drivers\tmcomm.sys
2009-10-21 19:48 . 2009-10-21 19:48 -------- d-----w- c:\documents and settings\LocalService\Local Settings\Application Data\ESET
2009-10-21 19:40 . 2009-10-21 19:40 -------- d-----w- c:\documents and settings\Elisa\Local Settings\Application Data\ESET

.
(((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))) ))
.
2009-10-22 14:16 . 2004-08-03 21:07 94112 ----a-w- c:\windows\system32\drivers\AGP440.SYS
2009-10-22 14:13 . 2006-09-05 02:10 12 ----a-w- c:\windows\bthservsdp.dat
2009-10-21 19:05 . 2009-10-21 19:05 12396 ----a-w- c:\program files\Common Files\muryd.lib
2009-10-01 19:18 . 2009-09-14 14:44 83288 ----a-w- c:\windows\system32\LMIRfsClientNP.dll
2009-10-01 19:18 . 2009-09-14 14:44 28984 ----a-w- c:\windows\system32\LMIport.dll
2009-10-01 19:18 . 2009-09-14 14:44 87352 ----a-w- c:\windows\system32\LMIinit.dll
2009-09-18 13:46 . 2009-09-18 13:45 -------- d-----w- c:\program files\Microsoft CAPICOM 2.1.0.2
2009-09-17 17:22 . 2007-04-12 21:24 36768 ----a-w- c:\documents and settings\Elisa\Local Settings\Application Data\GDIPFONTCACHEV1.DAT
2009-09-17 17:04 . 2009-09-17 17:04 -------- d-----w- c:\program files\Microsoft Sync Framework
2009-09-17 17:03 . 2009-09-17 17:03 -------- d-----w- c:\program files\Microsoft SQL Server Compact Edition
2009-09-17 17:02 . 2009-09-17 17:02 -------- d-----w- c:\program files\Microsoft
2009-09-17 17:02 . 2009-09-17 17:01 -------- d-----w- c:\program files\Windows Live SkyDrive
2009-09-17 17:01 . 2009-09-17 17:01 -------- d-----w- c:\program files\Windows Live
2009-09-17 16:54 . 2009-09-17 16:54 -------- d-----w- c:\program files\Common Files\Windows Live
2009-09-14 14:47 . 2008-10-16 18:35 11552 ----a-w- c:\windows\system32\lmimirr2.dll
2009-09-14 14:47 . 2008-10-16 18:35 25248 ----a-w- c:\windows\system32\lmimirr.dll
2009-09-14 14:46 . 2009-09-14 14:46 0 ----a-w- c:\windows\nsreg.dat
2009-09-14 14:44 . 2009-09-14 14:44 -------- d-----w- c:\documents and settings\All Users\Application Data\LogMeIn
2009-09-14 14:43 . 2009-09-14 14:43 -------- d-----w- c:\program files\LogMeIn
2009-09-14 14:10 . 2009-09-14 14:10 -------- d-----w- c:\program files\Argente Software
2009-09-14 14:02 . 2009-09-14 14:02 25992 ----a-w- c:\windows\system32\pgdfgsvc.exe
2009-09-13 16:12 . 2009-09-13 16:12 -------- d-----w- c:\documents and settings\All Users\Application Data\SUPERAntiSpyware.com
2009-09-13 16:12 . 2009-09-13 16:12 -------- d-----w- c:\program files\SUPERAntiSpyware
2009-09-13 16:12 . 2009-09-13 16:12 -------- d-----w- c:\documents and settings\Elisa\Application Data\SUPERAntiSpyware.com
2009-09-13 16:11 . 2009-09-13 16:11 -------- d-----w- c:\documents and settings\Elisa\Application Data\Malwarebytes
2009-09-13 16:11 . 2009-09-13 16:11 -------- d-----w- c:\documents and settings\All Users\Application Data\Malwarebytes
2009-09-13 16:09 . 2009-09-13 16:09 -------- d-----w- c:\documents and settings\All Users\Application Data\ESET
2009-09-11 14:03 . 2004-08-10 18:00 136192 ----a-w- c:\windows\system32\msv1_0.dll
2009-09-11 05:26 . 2009-09-11 05:26 96408 ----a-w- c:\windows\system32\drivers\epfwtdir.sys
2009-09-11 05:23 . 2009-09-11 05:23 108792 ----a-w- c:\windows\system32\drivers\ehdrv.sys
2009-09-11 05:17 . 2009-09-11 05:17 116008 ----a-w- c:\windows\system32\drivers\eamon.sys
2009-09-04 20:45 . 2004-08-10 18:00 58880 ----a-w- c:\windows\system32\msasn1.dll
2009-08-29 08:08 . 2006-01-09 18:02 916480 ------w- c:\windows\system32\wininet.dll
2009-08-26 08:16 . 2004-08-10 18:00 247326 ----a-w- c:\windows\system32\strmdll.dll
2009-08-05 20:48 . 2009-09-17 17:05 54752 ----a-w- c:\windows\system32\drivers\fssfltr_tdi.sys
2009-08-05 09:11 . 2004-08-10 18:00 204800 ----a-w- c:\windows\system32\mswebdvd.dll
2009-08-04 12:49 . 2005-09-29 00:02 2142720 ------w- c:\windows\system32\ntoskrnl.exe
2009-08-04 12:02 . 2005-09-28 23:35 2020864 ------w- c:\windows\system32\ntkrnlpa.exe
2009-07-26 14:44 . 2009-07-26 14:44 48448 ----a-w- c:\windows\system32\sirenacm.dll
.

------- Sigcheck -------

[-] 2009-10-22 14:16 . 67A64CDF111144F04932946930668A82 . 94112 . . [------] . . c:\windows\system32\drivers\AGP440.SYS
.
((((((((((((((((((((((((((((( SnapShot@2009-10-22_10.35.53 )))))))))))))))))))))))))))))))))))))))))
.
+ 2009-10-22 11:13 . 2009-10-22 11:13 10134 c:\windows\Installer\{36CB25D1-3796-4943-8C77-F4AE42698E6A}\callmsi.exe
+ 2009-10-22 11:13 . 2009-10-22 11:13 101480 c:\windows\Installer\{36CB25D1-3796-4943-8C77-F4AE42698E6A}\egui.exe
+ 2009-10-22 11:13 . 2009-10-22 11:13 1141248 c:\windows\Installer\30582.msi
.
((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\Run]
"swg"="c:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNo tifier.exe" [2007-06-19 68856]
"MsnMsgr"="c:\program files\Windows Live\Messenger\msnmsgr.exe" [2009-07-26 3883856]
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="c:\program files\Common Files\Ahead\lib\NMBgMonitor.exe" [2006-03-01 90112]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run]
"LaunchApp"="Alaunch" [X]
"ePower_DMC"="c:\acer\Empowering Technology\ePower\ePower_DMC.exe" [2006-08-10 352256]
"SynTPEnh"="c:\program files\Synaptics\SynTP\SynTPEnh.exe" [2006-03-03 761946]
"SunJavaUpdateSched"="c:\program files\Java\jre1.6.0_07\bin\jusched.exe" [2008-06-10 144784]
"PHIME2002ASync"="c:\windows\system32\IME\TINTLGNT \TINTSETP.EXE" [2004-08-10 455168]
"PHIME2002A"="c:\windows\system32\IME\TINTLGNT\TIN TSETP.EXE" [2004-08-10 455168]
"ntiMUI"="c:\program files\NewTech Infosystems\NTI CD & DVD-Maker 7\ntiMUI.exe" [2006-05-15 45056]
"NeroFilterCheck"="c:\program files\Common Files\Ahead\Lib\NeroCheck.exe" [2006-01-12 155648]
"MSPY2002"="c:\windows\system32\IME\PINTLGNT\ImScI nst.exe" [2004-08-10 59392]
"LVCOMSX"="c:\windows\system32\LVCOMSX.EXE" [2006-06-23 225280]
"LogMeIn GUI"="c:\program files\LogMeIn\x86\LogMeInSystray.exe" [2008-07-24 63048]
"LogitechVideo[inspector]"="c:\program files\Acer\OrbiCam\InstallHelper.exe" [2006-06-26 13:55 73728]
"LogitechCameraService(E)"="c:\windows\system32\El kCtrl.exe" [2004-11-01 262144]
"LogitechCameraAssistant"="c:\program files\Acer\OrbiCam\CameraAssistant.exe" [2006-06-26 331776]
"IMJPMIG8.1"="c:\windows\IME\imjp8_1\IMJPMIG.E XE" [2004-08-10 208952]
"igfxtray"="c:\windows\system32\igfxtray.exe" [2006-03-23 94208]
"igfxpers"="c:\windows\system32\igfxpers.exe" [2006-03-23 118784]
"igfxhkcmd"="c:\windows\system32\hkcmd.exe" [2006-03-23 77824]
"eRecoveryService"="c:\acer\Empowering Technology\eRecovery\Monitor.exe" [2006-01-24 397312]
"ehTray"="c:\windows\ehome\ehtray.exe" [2005-08-05 64512]
"eDataSecurity Loader"="c:\acer\Empowering Technology\eDataSecurity\eDSloader.exe" [2005-12-27 69632]
"AzMixerSel"="c:\program files\Realtek\InstallShield\AzMixerSel.exe" [2005-12-21 53248]
"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 39792]
"ADMTray.exe"="c:\acer\Empowering Technology\admtray.exe" [2005-10-24 2462208]
"Acer ePower Management"="c:\acer\Empowering Technology\ePower\Acer ePower Management.exe" [2006-05-22 3080704]
"egui"="c:\program files\ESET\ESET NOD32 Antivirus\egui.exe" [2009-09-11 2054360]
"Malwarebytes Anti-Malware (reboot)"="c:\program files\Malwarebytes' Anti-Malware\mbam.exe" [2009-09-10 1312080]
"SkyTel"="SkyTel.EXE" - c:\windows\SkyTel.exe [2006-05-16 2879488]
"RTHDCPL"="RTHDCPL.EXE" - c:\windows\RTHDCPL.exe [2006-06-28 16248320]
"BluetoothAuthenticationAgent"="bthprops.cpl" - c:\windows\system32\bthprops.cpl [2004-08-03 110592]

c:\documents and settings\Elisa\Start Menu\Programs\Startup\
zavupd32.exe [2004-8-10 17408]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\LMIinit]
2009-10-01 19:18 87352 ----a-w- c:\windows\system32\LMIinit.dll

[HKEY_LOCAL_MACHINE\system\currentcontrolset\contro l\session manager]
BootExecute REG_MULTI_SZ autocheck autochk *\0a\0u\0t\0o\0c\0h\0k\0 \0*

[HKLM\~\services\sharedaccess\parameters\firewallpo licy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\wlcsdk.exe"=
"c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Program Files\\Windows Live\\Sync\\WindowsLiveSync.exe"=

R1 ehdrv;ehdrv;c:\windows\system32\drivers\ehdrv.sys [11/09/2009 7:23 108792]
R1 epfwtdir;epfwtdir;c:\windows\system32\drivers\epfw tdir.sys [11/09/2009 7:26 96408]
R2 ekrn;ESET Service;c:\program files\ESET\ESET NOD32 Antivirus\ekrn.exe [11/09/2009 7:24 735960]
R2 fssfltr;FssFltr;c:\windows\system32\drivers\fssflt r_tdi.sys [17/09/2009 19:05 54752]
R2 LMIRfsDriver;LogMeIn Remote File System Driver;c:\windows\system32\drivers\LMIRfsDriver.sy s [14/09/2009 16:44 47640]
R3 lv321av;Logitech USB PC Camera (VC0321);c:\windows\system32\drivers\lv321av.sys [19/06/2006 12:20 1097728]
S2 LMIInfo;LogMeIn Kernel Information Provider;c:\program files\LogMeIn\x86\rainfo.sys [24/07/2008 18:46 12856]
S3 fsssvc;Servicio de Windows Live Protección infantil;c:\program files\Windows Live\Family Safety\fsssvc.exe [05/08/2009 22:48 704864]
S3 genmcmnUSB;USB Scroll Mouse Driver;c:\windows\system32\drivers\gflmouhid.sys [07/08/2003 16:42 6528]
S4 LMIRfsClientNP;LMIRfsClientNP; [x]

--- Other Services/Drivers In Memory ---

*NewlyCreated* - INT15.SYS
.
Contents of the 'Scheduled Tasks' folder

2009-10-22 c:\windows\Tasks\Google Software Updater.job
- c:\program files\Google\Common\Google Updater\GoogleUpdaterService.exe [2007-05-11 08:07]
.
.
------- Supplementary Scan -------
.
uSearchMigratedDefaultURL = hxxp://search.yahoo.com/search?p={searchTerms}&ei=utf-8&fr=b1ie7
uDefault_Search_URL = hxxp://www.google.com/ie
uInternet Connection Wizard,ShellNext = iexplore
uInternet Settings,ProxyServer = 0.0.0.0:80
uSearchURL,(Default) = hxxp://www.google.com/search?q=%s
IE: Enlace de descarga usando Mega Manager... - c:\program files\Megaupload\Mega Manager\mm_file.htm
IE: {{FA9B9510-9FCB-4ca0-818C-5D0987B47C4D} - c:\program files\PokerStars.NET\PokerStarsUpdate.exe
TCP: {473B44DF-647B-4584-AD29-C031F4BA7707} = 194.179.1.100,194.179.1.101
DPF: {08EC5265-BFFB-48C1-8B3B-B96B19921616} - hxxp://media.fotoprix.com/ReveladoOnline/1.3.1.11/setup.exe
DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} - hxxp://game10.zylom.com/activex/zylomgamesplayer.cab
FF - ProfilePath - c:\documents and settings\Elisa\Application Data\Mozilla\Firefox\Profiles\y58k99i5.default\
FF - prefs.js: browser.search.defaulturl - hxxp://www.fastbrowsersearch.com/results/results.aspx?s=DEF&v=19&q=
FF - prefs.js: browser.search.selectedEngine - Fast Browser Search
FF - prefs.js: browser.startup.homepage - hxxp://es-ES.start3.mozilla.com/firefox?client=firefox-a&rls=org.mozilla:es-ES:official
FF - prefs.js: keyword.URL - hxxp://www.fastbrowsersearch.com/results/results.aspx?s=NAUS&v=19&tid={8C22A36D-97C6-9E46-8168-D34C45BA9C8F}&q=
FF - plugin: c:\documents and settings\Elisa\Application Data\Mozilla\Firefox\Profiles\y58k99i5.default\ext ensions\LogMeInClient@logmein.com\plugins\npRACtrl .dll
FF - plugin: c:\program files\Google\Google Updater\2.4.1536.6592\npCIDetect13.dll
FF - plugin: c:\program files\Picasa2\npPicasa2.dll
FF - plugin: c:\program files\Windows Live\Photo Gallery\NPWLPG.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\
.
- - - - ORPHANS REMOVED - - - -

HKLM-Run-Regedit32 - c:\windows\system32\regedit.exe

************************************************** ************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-10-22 16:23
Windows 5.1.2600 Service Pack 2 FAT NTAPI

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden files: 0

************************************************** ************************
.
--------------------- DLLs Loaded Under Running Processes ---------------------

- - - - - - - > 'winlogon.exe'(920)
c:\windows\system32\LMIinit.dll
.
Completion time: 2009-10-22 16:25
ComboFix-quarantined-files.txt 2009-10-22 14:25
ComboFix2.txt 2009-10-22 11:59
ComboFix3.txt 2009-10-22 11:33
ComboFix4.txt 2009-10-22 11:08
ComboFix5.txt 2009-10-22 14:18

Pre-Run: 21.362.900.992 bytes free
Post-Run: 21.310.832.640 bytes libres

- - End Of File - - F3B838492F9E1EEF335F26D5DF9EB6F6

HIJACKTHIS:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16:26:40, on 22/10/2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Intel\Wireless\Bin\EvtEng.exe
C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Acer\Empowering Technology\admServ.exe
C:\WINDOWS\eHome\ehRecvr.exe
C:\WINDOWS\eHome\ehSched.exe
C:\Program Files\ESET\ESET NOD32 Antivirus\ekrn.exe
C:\Program Files\Common Files\LightScribe\LSSrvc.exe
C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe
C:\Program Files\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe
C:\WINDOWS\system32\svchost.exe
C:\Acer\Empowering Technology\ePower\ePower_DMC.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\system32\LVCOMSX.EXE
C:\WINDOWS\system32\ElkCtrl.exe
C:\Program Files\Acer\OrbiCam\CameraAssistant.exe
C:\WINDOWS\system32\igfxpers.exe
C:\WINDOWS\system32\hkcmd.exe
C:\Acer\Empowering Technology\eRecovery\Monitor.exe
C:\WINDOWS\ehome\ehtray.exe
C:\Acer\Empowering Technology\eDataSecurity\eDSloader.exe
C:\WINDOWS\eHome\ehmsas.exe
C:\Acer\Empowering Technology\admtray.exe
C:\Program Files\ESET\ESET NOD32 Antivirus\egui.exe
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNo tifier.exe
C:\Program Files\Common Files\Ahead\lib\NMBgMonitor.exe
C:\WINDOWS\system32\dllhost.exe
C:\WINDOWS\system32\wbem\unsecapp.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\explorer.exe
C:\Documents and Settings\Elisa\Desktop\AntiMalWare\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: Aplicación auxiliar de vínculos de Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Search Helper - {6EBF7485-159F-4bff-A14F-B9E3AAC4465B} - C:\Program Files\Microsoft\Search Enhancement Pack\Search Helper\SEPsearchhelperie.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O2 - BHO: Windows Live Aplicación auxiliar de inicio de sesión - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Program Files\Google\Google Toolbar\GoogleToolbar_32.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\5.3.4501.1418\s wg.dll
O2 - BHO: Google Dictionary Compression sdch - {C84D72FE-E17D-4195-BB24-76C02E2E7C4E} - C:\Program Files\Google\Google Toolbar\Component\fastsearch_B7C5AC242193BB3E.dll
O2 - BHO: Windows Live Toolbar Helper - {E15A8DC0-8516-42A1-81EA-DC94EC1ACF10} - C:\Program Files\Windows Live\Toolbar\wltcore.dll
O3 - Toolbar: Acer eDataSecurity Management - {5CBE3B7C-1E47-477e-A7DD-396DB0476E29} - C:\WINDOWS\system32\eDStoolbar.dll
O3 - Toolbar: Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Program Files\Google\Google Toolbar\GoogleToolbar_32.dll
O3 - Toolbar: &Windows Live Toolbar - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - C:\Program Files\Windows Live\Toolbar\wltcore.dll
O4 - HKLM\..\Run: [ePower_DMC] C:\Acer\Empowering Technology\ePower\ePower_DMC.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [ntiMUI] C:\Program Files\NewTech Infosystems\NTI CD & DVD-Maker 7\ntiMUI.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Common Files\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC
O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\system32\LVCOMSX.EXE
O4 - HKLM\..\Run: [LogMeIn GUI] "C:\Program Files\LogMeIn\x86\LogMeInSystray.exe"
O4 - HKLM\..\Run: [LogitechVideo[inspector]] C:\Program Files\Acer\OrbiCam\InstallHelper.exe /inspect
O4 - HKLM\..\Run: [LogitechCameraService(E)] C:\WINDOWS\system32\ElkCtrl.exe /automation
O4 - HKLM\..\Run: [LogitechCameraAssistant] C:\Program Files\Acer\OrbiCam\CameraAssistant.exe
O4 - HKLM\..\Run: [LaunchApp] Alaunch
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [igfxtray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [igfxpers] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [igfxhkcmd] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [eRecoveryService] C:\Acer\Empowering Technology\eRecovery\Monitor.exe
O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe
O4 - HKLM\..\Run: [eDataSecurity Loader] C:\Acer\Empowering Technology\eDataSecurity\eDSloader.exe
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [AzMixerSel] C:\Program Files\Realtek\InstallShield\AzMixerSel.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [ADMTray.exe] "C:\Acer\Empowering Technology\admtray.exe"
O4 - HKLM\..\Run: [Acer ePower Management] C:\Acer\Empowering Technology\ePower\Acer ePower Management.exe boot
O4 - HKLM\..\Run: [egui] "C:\Program Files\ESET\ESET NOD32 Antivirus\egui.exe" /hide /waitservice
O4 - HKLM\..\Run: [Malwarebytes Anti-Malware (reboot)] "C:\Program Files\Malwarebytes' Anti-Malware\mbam.exe" /runcleanupscript
O4 - HKLM\..\Run: [Regedit32] C:\WINDOWS\system32\regedit.exe
O4 - HKCU\..\Run: [swg] "C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNo tifier.exe"
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Common Files\Ahead\lib\NMBgMonitor.exe"
O4 - Startup: zavupd32.exe
O8 - Extra context menu item: Enlace de descarga usando Mega Manager... - C:\Program Files\Megaupload\Mega Manager\mm_file.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: Agregar entrada - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra 'Tools' menuitem: &Agregar entrada en Windows Live Writer - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: PokerStars.net - {FA9B9510-9FCB-4ca0-818C-5D0987B47C4D} - C:\Program Files\PokerStars.NET\PokerStarsUpdate.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {08EC5265-BFFB-48C1-8B3B-B96B19921616} (ReveladoOnline Control) - http://media.fotoprix.com/ReveladoOnline/1.3.1.11/setup.exe
O16 - DPF: {8100D56A-5661-482C-BEE8-AFECE305D968} (Facebook Photo Uploader 5 Control) - http://upload.facebook.com/controls/2009.07.28_v5.5.8.1/FacebookPhotoUploader55.cab
O16 - DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} (Zylom Games Player) - http://game10.zylom.com/activex/zylomgamesplayer.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{473B44DF-647B-4584-AD29-C031F4BA7707}: NameServer = 194.179.1.100,194.179.1.101
O23 - Service: AdminWorks Agent X6 (AWService) - Avocent Inc. - C:\Acer\Empowering Technology\admServ.exe
O23 - Service: ESET HTTP Server (EhttpSrv) - ESET - C:\Program Files\ESET\ESET NOD32 Antivirus\EHttpSrv.exe
O23 - Service: ESET Service (ekrn) - ESET - C:\Program Files\ESET\ESET NOD32 Antivirus\ekrn.exe
O23 - Service: Intel(R) PROSet/Wireless Event Log (EvtEng) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\EvtEng.exe
O23 - Service: Google Software Updater (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Common Files\LightScribe\LSSrvc.exe
O23 - Service: LogMeIn Maintenance Service (LMIMaint) - LogMeIn, Inc. - C:\Program Files\LogMeIn\x86\RaMaint.exe
O23 - Service: LogMeIn - LogMeIn, Inc. - C:\Program Files\LogMeIn\x86\LogMeIn.exe
O23 - Service: Logitech Process Monitor (LVPrcSrv) - Logitech - c:\program files\common files\logitech\lvmvfm\LVPrcSrv.exe
O23 - Service: NMSAccessU - Unknown owner - C:\Program Files\Fotoprix\FotoLibro\NMSAccessU.exe
O23 - Service: Intel(R) PROSet/Wireless Registry Service (RegSrvc) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe
O23 - Service: Intel(R) PROSet/Wireless Service (S24EventMonitor) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe

--
End of file - 10733 bytes

FUNCIONAMIENTO ACTUAL:

NOD32 sigue diciendo que agp440 está infectado y que no se puede desinfectar.
En Firefox, al abrir una nueva pestaña sigue apareciendo algo de fastbrowsersearch, con una barra de búsqueda y título "Welcome to tabbed browsing". Este comportamiento es NO deseado y no sé cómo eliminarlo.

Gracias por la ayuda.

post #4

22/10/09, 14:18:55

Leosolari

Moderador

Registrado: jun 2007

Ubicación: argentina

Mensajes: 17.100

Re: agp440 infectado y otras cosas

Hola de nuevo

Desinstala CF de esta manera:

Ve a Inicio > Ejecutar
Escribe lo siguiente: ComboFix /u como muestra la imagen debajo:

o
Esto activara el desinstalador de ComboFix abriendo su pantalla principal y luego de unos segundos veras ("ComboFix is uninstalled")

Descarga DR WEB CURE-IT y su Manual

Ejecuta CCLEANER usando primero su opción de "Limpiador" para borrar cookies, temporales de Internet y todos los archivos que este te muestre como obsoletos, y luego usa su opción de "Registro" para limpiar todo el registro de Windows (haciendo copia de seguridad).

Ejecuta DR WEB, haciendo 1ero un chequeo express y luego un EXAMEN COMPLETO, eliminado todo lo que encuentre.

Descarga el ESET Smart Installer

º Lo ejecutas

º Marcas las casillas de Eliminar las amenazas detectadas y analizar archivos.

º Haces clic en Configuración adicional y ahi marcas las casillas:

Analizar en busca de aplicaciones potencialmente indeseables,
Analizar en busca de aplicaciones potencialmente peligrosas
Activar la tecnoligía Anti-Stealth.

º Pulsas en Iniciar para que empiece a descargar la base firmas de virus y posteriormente empiece a analizar tu sistema.

Cuando acabe haz clic en Finalizar

º Localizar el reporte en C:\Archivos de programa\ESET\ESET Online Scanner\log

En tu pròxima respuesta, debes pegar el reporte de DR WEB y el de ESET ONLINE SCANER.

Te dejo saludos y espero tu respuesta.

NO DESESPERES....SIGUE LUCHANDO.

post #5

22/10/09, 19:00:16

peperfus

Usuario

Registrado: jun 2009

Ubicación: La Nucía

Mensajes: 6

Re: agp440 infectado y otras cosas

Hola

Informe Drweb:

AGP440.SYS;C:\WINDOWS\system32\drivers;Trojan.Down Load.47257;Eliminado.;
zavupd32.exe;C:\Documents and Settings\Elisa\Start Menu\Programs\Startup;Trojan.Botnetlog.11;Eliminad o.;
Flash Disinfector.exe\nircmd.exe;C:\Documents and Settings\Elisa\Desktop\AntiMalWare\Flash Disinfector.exe;Tool.NirCmd.1;;
Flash Disinfector.exe;C:\Documents and Settings\Elisa\Desktop\AntiMalWare;Archivo comprimido contiene objetos infectados;;
Flash Disinfector.exe\nircmd.exe;D:\UTIL\AntiMalWare\Fla sh Disinfector.exe;Tool.NirCmd.1;;
Flash Disinfector.exe;D:\UTIL\AntiMalWare;Archivo comprimido contiene objetos infectados;;
zFTPServer_Suite_Setup.exe\zFTPServer.exe;D:\UTIL\ Utilidades\zFTPServer_Suite_Setup.exe;probablement e WIN.WORM.Virus;;
zFTPServer_Suite_Setup.exe;D:\UTIL\Utilidades;Arch ivo comprimido contiene objetos infectados;;

Eset online scaner:

ESETSmartInstaller@High as downloader log:
all ok
esets_scanner_update returned -1 esets_gle=53251
# version=6
# OnlineScannerApp.exe=1.0.0.1
# OnlineScanner.ocx=1.0.0.6050
# api_version=3.0.2
# EOSSerial=bb1e51827dd11843a9af92d38ab58baa
# end=finished
# remove_checked=true
# archives_checked=true
# unwanted_checked=true
# unsafe_checked=true
# antistealth_checked=true
# utc_time=2009-10-22 09:25:51
# local_time=2009-10-22 11:25:51 (+0100, Romance Daylight Time)
# country="Spain"
# lang=3082
# osver=5.1.2600 NT Service Pack 2
# compatibility_mode=8200 37 100 100 114030625000
# scanned=71714
# found=0
# cleaned=0
# scan_time=1967
# nod_component=V3 Build:0x30000000

De momento parece que ha quitado alguna cosa más, pero sigue estando el fastbrowsersearch ese en firefox

Estoy pasando Spybot Search & Destroy ahora mismo a ver si consigue quitarlo.

post #6

22/10/09, 19:21:18

Leosolari

Moderador

Registrado: jun 2007

Ubicación: argentina

Mensajes: 17.100

Re: agp440 infectado y otras cosas

Bueno......Uno ya esta al horno.....

Cita:

AGP440.SYS;C:\WINDOWS\system32\drivers;Trojan.Down Load.47257;Eliminado.;

Por lo de Firefox.....Vas a hacer lo siguiente:

º Descarga un isntalador para Firefox

º Desisntala por completo Firefox

º Descarga ADVANCED SYSTEMCARE 3 . Lo instalas y ejecutas de esta manera:

A.- Presiona el botón LIMPIEZA WINDOWS y luego ESCANEAR. Cuando termine, presionas el botón REPARAR.

B.- Presiona el botón PREVENCION Y MEJORA y luego ESCANEAR. Cuando termine, presionas el botón REPARAR.

C.- Presiona el botón UTILIDADES y alli utilizas el LIMPIADOR DE DISCO y el DESFRAGMENTADOR DE REGISTRO-

º Reinicia el ordenador e instala nuevamente firefox.

Nos comentas. saludos

NO DESESPERES....SIGUE LUCHANDO.

post #7

23/10/09, 15:20:34

peperfus

Usuario

Registrado: jun 2009

Ubicación: La Nucía

Mensajes: 6

Re: agp440 infectado y otras cosas

Hola

Hice todo lo que has puesto, pero no hubo manera.

Estuve buscando más información por Internet, sobre este Fast Web Search y mucha gente ha tenido este problema. Unos pocos lo consiguen solucionar, pero en general es bastante difícil y la gente se atasca, como me ha pasado a mí.

Unos lo conseguían desinstalando desde el panel de control, otros desde los complementos de Firefox... pero a mí no me aparecía nada en ninguno de esos sitios.

Al final conseguí eliminarlo (o eso creo, al menos ya no aparece) haciendo lo siguiente:

Arranqué en modo a prueba de fallos.
Entré en about:config de Firefox y restablecí todas las entradas sobre fastwebsearch.
Borré unos cuantos archivos que utilizaba esta maldita aplicación.

Reinicié de forma normal, ilusionado porque creía haber acabado con él, pero . . . ahí seguía. Había resucitado. Todas las claves de configuración de Firefox volvían a estar infectadas por este malware de fast browser search.

Entonces me di cuenta de que tenía que ser culpa de la toolbar, ya que era a lo único que yo no había atacado. Localicé el archivo de la toolbar, el cual se encontraba en program files\mozilla firefox\chrome\fastwebsearch.jar y otro .dll (si no recuerdo mal, o algo así).

Volví a repetir la operación anterior desde el modo a prueba de fallos, pero esta vez, además eliminé también esos dos archivos. Reinicié en modo normal y . . .

¡ voilá !

Adios Fast Web Search.

Investigando, pude averiguar que el malware en cuestión había entrado a través de una aplicación de Facebook, así que para todos:

MUCHO CUIDADO con las aplicaciones de Facebook. Algunas no son tan inocentes como parecen . . .

Muchas gracias por la ayuda.

Creo que ya se puede dar por solucionado y cerrado.

Última edición por peperfus fecha: 23/10/09 a las 15:24:23.

post #8

23/10/09, 17:36:01

Leosolari

Moderador

Registrado: jun 2007

Ubicación: argentina

Mensajes: 17.100

Re: agp440 infectado y otras cosas

Por cualquier otro problema, no dudes en volver a postear. Te dejo saludos.

Tema Solucionado

PD: si deseas REABRIR ESTE TEMA, presiona

y un MODERADOR atenderà la consulta...

Cita:

Por último te recomiendo suscribirte por email al Feed de nuestro Blog de Infospyware para estar al tanto de las nuevas amenazas que circulan por la red y así en un futuro puedas prevenirlas.

NO DESESPERES....SIGUE LUCHANDO.

« Tema Anterior | Próximo Tema »

Herramientas
Mostrar Versión Imprimible Enviar por Correo

Reglas del foro
No puedes crear nuevos temas No puedes responder temas No puedes subir adjuntos No puedes editar tus mensajes BB code is activado Las caritas están activado Código [IMG] está activado Código HTML está desactivado Trackbacks are desactivado Pingbacks are activado Refbacks are activado Políticas del foro

Temas Similares

Tema	Autor	Foro	Respuestas	Último mensaje
Archivos reemplazados (Solucionado)	Imhotec	Temas Solucionados	11	18/11/08 16:53:25
Ayuda: Mil ventanas emergentes con publicidad	Nusska	Foro de Virus y Spywares	32	17/09/08 17:21:24
2 virus, ayuda	coolrual	Foro de Virus y Spywares	7	12/09/08 15:07:32
Gusano Del msn	guada_hp	Foro de Virus y Spywares	2	29/10/07 19:34:05
un virus superinteligente no me da opciones	serlop73	Temas Solucionados	5	15/01/07 21:37:35

Todas las horas son GMT -4. La hora es 11:38:25.

InfoSpyware es miembro de ASAP - Alliance of Security Analysis Professionals

Foro de InfoSpyware - Foro de Hijackthis - Foro de Virus