Foro de InfoSpyware - Foro de Hijackthis - Foro de Virus

Muchas gracias por la información que me brindas, Neobyte.

Intentaré llevar a cabo todo el proceso lo antes posible.

Cruzad los dedos por mí...

Un fuerte abrazo.

Lo siento estimado Neobyte... Regreso demasiado pronto.

Yo crucé los dedos pero tuve que cruzarme de brazos porque:

*No tengo acceso ni siquiera en modo seguro a las páginas ni con el IE ni con el Firefox. EL LOP S&D no sirvió y eso que al parecer el Hosts está restaurado y el IE desbloqueado.

*El MBAM y el Avast me localizaron unos troyanos pero el MBAM no está actualizado por no encontrarse el servidor.

*Intenté llevarme la nueva actualización del MBAM por pendrive pero no cesan los mensajes de error, desde un error 0 en tiempo de ejecución hasta un 707 (3,0) pasando por el 723, el famoso 732 o incluso un 440 (automatización)

*El Combo Fix lo tengo en un pendrive.

¿Qué puedo hacer?

Hola LUCHI2009

Si tu sistema ya esta bastante inestable y con múltiples problemas,ves pensando si es necesario en formatear y partir desde un entorno limpio y más seguro.

De todas formas bájate la última versión de ComboFix eliminando previamente la que tienes actualmente en la USB.
Utiliza el usb para llevar las herramientas de una máquina a la otra.

Antes de utilizar el ComboFix,pasa el Argente - Registry Cleaner para hacer una limpieza.

Lo pones en el escritorio y lo actualizas.
Configuración: Picar en el botón Configurar -> Escanear -> En Motor de búsquedas de errores,poner en Modo Profundo.


a.- Una vez ejecutado,hacer una Copia de Seguridad del Registro.
b.- Pulsa en Limpiar el Registro.
c.- Cuando termine el escaneo,pulsa en Reparar Errores Ahora.
d.- Limpiar el registro hasta que ya no salga nada.Saldrá una ventana que ponga:No se ha encontrado ningún error en el registro.

Una vez hecha la limpieza ejecuta el ComboFix según el procedimiento.

Artículos de interés:

Evidencias del Fraude de Iobit 360 contra Malwarebytes

Aviso para usuarios de IOBIT Security 360 y Advanced System Care

Ya regresé. Lamento la demora.

Reporte de ComboFix:

ComboFix 09-11-05.01 - Lucia 06/11/2009 1:46.1.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.1.1252.34.3082.18.512.229 [GMT 1:00]
Running from: c:\documents and settings\Lucia\Escritorio\ComboFix.exe

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
.

((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\documents and settings\Lucia\fgpqx.exe
c:\recycler\S-1-5-21-1704012058-0770238246-635752749-9011
c:\recycler\S-1-5-21-1704012058-0770238246-635752749-9011\Desktop.ini
c:\recycler\S-1-5-21-1704012058-0770238246-635752749-9011\sysdrv.exe
c:\recycler\S-1-5-21-5855830817-5215950515-251843523-7073

.
((((((((((((((((((((((((( Files Created from 2009-10-06 to 2009-11-06 )))))))))))))))))))))))))))))))
.

2009-11-05 20:42 . 2009-11-05 20:42 -------- d-----w- c:\archivos de programa\Argente Software
2009-11-05 19:21 . 2009-07-13 12:36 38160 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2009-11-05 19:21 . 2009-11-05 19:21 -------- d-----w- c:\archivos de programa\Malwarebytes' Anti-Malware
2009-11-05 19:21 . 2009-07-13 12:36 18456 ----a-w- c:\windows\system32\drivers\mbam.sys
2009-10-30 23:29 . 2009-11-02 10:59 -------- d-----w- C:\MSNCleaner
2009-10-30 16:23 . 2009-10-30 16:23 -------- d-----w- c:\archivos de programa\ESET
2009-10-29 14:21 . 2009-11-04 09:41 -------- d-----w- C:\Lop SD
2009-10-29 04:42 . 2009-10-29 05:56 -------- d-----w- c:\documents and settings\Lucia\DoctorWeb
2009-10-29 03:23 . 2009-10-29 03:23 -------- d-s---w- c:\documents and settings\Lucia\UserData
2009-10-27 23:31 . 2009-10-27 23:31 40128 ----a-w- c:\windows\system32\drivers\ktfedfoy.sys
2009-10-26 22:49 . 2009-10-26 22:49 -------- d-----w- C:\TEMP
2009-10-26 22:49 . 2009-10-26 22:49 0 ----a-w- c:\temp\ee17d7.msi
2009-10-26 19:40 . 2009-10-26 19:58 -------- d-----w- c:\archivos de programa\MSN Messenger
2009-10-26 19:17 . 2009-10-26 19:17 -------- d-----w- c:\documents and settings\Lucia\Datos de programa\IObit
2009-10-26 19:17 . 2009-10-26 19:17 -------- d-----w- c:\archivos de programa\IObit
2009-10-26 18:34 . 2009-10-26 18:34 15240 ----a-w- c:\documents and settings\Lucia\Datos de programa\Microsoft\IdentityCRL\ppcrlconfig.dll
2009-10-22 15:10 . 2005-10-20 22:33 1004032 ----a-w- c:\windows\system32\esent.dll
2009-10-22 14:58 . 2009-10-22 14:58 -------- d-----w- c:\windows\system32\bits
2009-10-22 14:58 . 2005-06-28 08:21 22752 ----a-w- c:\windows\system32\spupdsvc.exe
2009-10-22 14:58 . 2009-10-22 23:27 -------- d--h--w- c:\windows\$hf_mig$
2009-10-22 14:58 . 2009-10-29 03:23 -------- d-----w- c:\windows\LastGood
2009-10-22 14:03 . 2004-07-01 22:05 7680 -c----w- c:\windows\system32\dllcache\bitsprx2.dll
2009-10-22 14:03 . 2004-07-01 22:05 7680 ------w- c:\windows\system32\bitsprx2.dll
2009-10-22 14:03 . 2004-07-01 22:05 7168 -c----w- c:\windows\system32\dllcache\bitsprx3.dll
2009-10-22 14:03 . 2004-07-01 22:05 7168 ------w- c:\windows\system32\bitsprx3.dll
2009-10-22 14:03 . 2004-07-01 22:05 331776 ----a-w- c:\windows\system32\winhttp.dll
2009-10-22 14:03 . 2004-07-01 22:05 17408 ----a-w- c:\windows\system32\qmgrprxy.dll
2009-10-21 13:11 . 2009-10-21 13:11 -------- d-----w- C:\_OTM
2009-10-20 03:14 . 2009-10-21 23:01 -------- d-----w- c:\documents and settings\Lucia\Datos de programa\Spotify
2009-10-20 03:14 . 2009-10-20 03:14 -------- d-----w- c:\archivos de programa\Spotify
2009-10-20 02:24 . 2009-06-30 09:37 28552 ----a-w- c:\windows\system32\drivers\pavboot.sys
2009-10-20 02:22 . 2009-10-20 02:22 -------- d-----w- c:\archivos de programa\Panda Security
2009-10-20 01:57 . 2009-10-20 01:57 -------- d-----w- c:\archivos de programa\CCleaner
2009-10-20 00:21 . 2009-08-27 14:52 113664 ----a-w- c:\documents and settings\Lucia\Datos de programa\Mozilla\Firefox\Profiles\iniFox_by_infosp yware.exe
2009-10-20 00:21 . 2009-05-25 06:52 520621 ----a-w- c:\documents and settings\Lucia\Datos de programa\Mozilla\Firefox\Profiles\sqlite3.exe
2009-10-20 00:13 . 2009-10-20 00:13 0 ----a-w- c:\windows\nsreg.dat
2009-10-20 00:12 . 2009-10-20 00:12 7891576 ----a-w- c:\archivos de programa\Firefox Setup 3.5.3.exe
2009-10-19 23:33 . 2009-09-15 10:54 52368 ----a-w- c:\windows\system32\drivers\aswTdi.sys
2009-10-19 23:33 . 2009-09-15 10:54 23152 ----a-w- c:\windows\system32\drivers\aswRdr.sys
2009-10-19 23:33 . 2009-09-15 10:53 27408 ----a-w- c:\windows\system32\drivers\aavmker4.sys
2009-10-19 23:33 . 2009-09-15 10:53 97480 ----a-w- c:\windows\system32\AvastSS.scr
2009-10-19 23:33 . 2009-09-15 10:56 93424 ----a-w- c:\windows\system32\drivers\aswmon.sys
2009-10-19 23:33 . 2009-09-15 10:56 94160 ----a-w- c:\windows\system32\drivers\aswmon2.sys
2009-10-19 23:33 . 2009-09-15 10:55 114768 ----a-w- c:\windows\system32\drivers\aswSP.sys
2009-10-19 23:32 . 2009-09-15 10:59 1279968 ----a-w- c:\windows\system32\aswBoot.exe
2009-10-19 23:32 . 2009-10-19 23:32 -------- d-----w- c:\archivos de programa\Alwil Software
2009-10-19 23:30 . 2009-10-19 23:30 38836104 ----a-w- c:\archivos de programa\setupesp.exe
2009-10-19 23:09 . 2009-08-06 18:24 327896 ----a-w- c:\windows\system32\wucltui.dll
2009-10-19 23:09 . 2009-08-06 18:24 209632 ----a-w- c:\windows\system32\wuweb.dll
2009-10-19 23:09 . 2009-08-06 18:24 35552 ----a-w- c:\windows\system32\wups.dll
2009-10-19 23:09 . 2009-08-06 18:23 575704 ----a-w- c:\windows\system32\wuapi.dll
2009-10-19 23:09 . 2004-08-03 12:04 187160 ----a-w- c:\windows\system32\wuaueng1.dll
2009-10-19 23:09 . 2004-08-03 12:02 170264 ----a-w- c:\windows\system32\wuauclt1.exe

.
(((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))) ))
.
2009-11-05 19:21 . 2009-09-29 19:57 -------- d-----w- c:\documents and settings\Lucia\Datos de programa\Malwarebytes
2009-11-05 19:21 . 2009-09-29 19:57 -------- d-----w- c:\documents and settings\All Users\Datos de programa\Malwarebytes
2009-10-27 21:38 . 2008-12-14 21:13 -------- d-----w- c:\documents and settings\Lucia\Datos de programa\HPAppData
2009-10-26 15:41 . 2001-08-24 10:00 77520 ----a-w- c:\windows\system32\perfc00A.dat
2009-10-26 15:41 . 2001-08-24 10:00 456588 ----a-w- c:\windows\system32\perfh00A.dat
2009-10-21 13:12 . 2003-12-15 14:55 -------- d-----w- c:\archivos de programa\ACAD2000
.

------- Sigcheck -------

[-] 2004-08-19 . 9C90A6DBE5D43E189F199172675D6312 . 13824 . . [5.1.2600.2180] . . c:\windows\SoftwareDistribution\Download\7110ad485 10cd6e948498b60b2f54012\wscntfy.exe

[-] 2004-08-19 . 843E0DB8042A8C0D749EB2B9EFA54F24 . 129536 . . [5.1.2600.2180] . . c:\windows\SoftwareDistribution\Download\7110ad485 10cd6e948498b60b2f54012\xmlprov.dll

[-] 2004-08-19 22:42 . 7BB55C1143F8270467928AA843A48192 . 52736 . . [9.0.1.56] . . c:\windows\SoftwareDistribution\Download\7110ad485 10cd6e948498b60b2f54012\mspmsnsv.dll
[-] 2002-12-17 17:43 . 53D4E72452CE025F96B652B02BF9B89C . 52736 . . [9.0.1.56] . . c:\windows\system32\mspmsnsv.dll

c:\windows\system32\wscntfy.exe ... is missing !!
c:\windows\system32\xmlprov.dll ... is missing !!
.
((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\Run]
"NvMediaCenter"="c:\windows\System32\NVMCTRAY. DLL" [2003-07-28 49152]
"E09EXLRD_8831031"="c:\archivos de programa\Microsoft Encarta\Encarta 2009 Biblioteca Premium DVD\EDICT.EXE" [2008-06-06 351000]
"Advanced SystemCare 3"="c:\archivos de programa\IObit\Advanced SystemCare 3\AWC.exe" [2009-06-30 2329224]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run]
"Smapp"="c:\archivos de programa\Analog Devices\SoundMAX\SMTray.exe" [2003-05-05 143360]
"NvCplDaemon"="c:\windows\System32\NvCpl.dll" [2003-07-28 4841472]
"Share-to-Web Namespace Daemon"="c:\archivos de programa\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe" [2002-04-17 69632]
"DeviceDiscovery"="c:\archivos de programa\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe" [2002-12-02 40960]
"Adobe Reader Speed Launcher"="c:\archivos de programa\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 39792]
"hpqSRMon"="c:\archivos de programa\Hewlett-Packard\Digital Imaging\bin\hpqSRMon.exe" [2007-08-22 80896]
"avast!"="c:\archiv~1\ALWILS~1\Avast4\ashDisp. exe" [2009-09-15 81000]
"nwiz"="nwiz.exe" - c:\windows\system32\nwiz.exe [2003-07-28 323584]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\Cur rentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2002-09-09 13312]

c:\documents and settings\Lucia\Men£ Inicio\Programas\Inicio\
Herramienta de b£squeda de soportes de Picture Motion Browser.lnk - c:\archivos de programa\Sony\Sony Picture Utility\VolumeWatcher\SPUVolumeWatcher.exe [2002-1-1 344064]

c:\documents and settings\All Users\Men£ Inicio\Programas\Inicio\
HP Digital Imaging Monitor.lnk - c:\archivos de programa\Hewlett-Packard\Digital Imaging\bin\hpqtra08.exe [2007-10-14 214360]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Contro l\SafeBoot\Minimal\ktfedfoy.sys]
@="Driver"

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menú Inicio^Programas^Inicio^Adobe Gamma Loader.lnk]
path=c:\documents and settings\All Users\Menú Inicio\Programas\Inicio\Adobe Gamma Loader.lnk
backup=c:\windows\pss\Adobe Gamma Loader.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001
"FirewallOverride"=dword:00000001

R0 ktfedfoy;ktfedfoy;c:\windows\system32\drivers\ktfe dfoy.sys [28/10/2009 0:31 40128]
R0 pavboot;pavboot;c:\windows\system32\drivers\pavboo t.sys [20/10/2009 3:24 28552]
R1 aswSP;avast! Self Protection;c:\windows\system32\drivers\aswSP.sys [20/10/2009 0:33 114768]

--- Other Services/Drivers In Memory ---

*NewlyCreated* - MBR
*Deregistered* - mbr

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
HPZ12 REG_MULTI_SZ Pml Driver HPZ12 Net Driver HPZ12
hpdevmgmt REG_MULTI_SZ hpqcxs08 hpqddsvc
.
Contents of the 'Scheduled Tasks' folder

2009-11-06 c:\windows\Tasks\Symantec NetDetect.job
- c:\archivos de programa\Symantec\LiveUpdate\NDETECT.EXE [2003-12-15 17:40]
.
.
------- Supplementary Scan -------
.
uStart Page = hxxp://www.forospyware.com
mStart Page = hxxp://www.forospyware.com
uInternet Connection Wizard,ShellNext = iexplore
IE: E&xportar a Microsoft Excel - c:\archiv~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
DPF: Microsoft XML Parser for Java - file://c:\windows\Java\classes\xmldso.cab
FF - ProfilePath - c:\documents and settings\Lucia\Datos de programa\Mozilla\Firefox\Profiles\ma001c82.default \

---- FIREFOX POLICIES ----
c:\archivos de programa\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl3.rsa_seed_sha", true);
.
- - - - ORPHANS REMOVED - - - -

HKLM-Run-zzzHPSETUP - D:\Setup.exe



************************************************** ************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-11-06 01:56
Windows 5.1.2600 Service Pack 1 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden files: 0

************************************************** ************************
.
--------------------- DLLs Loaded Under Running Processes ---------------------

- - - - - - - > 'winlogon.exe'(408)
c:\windows\system32\ODBC32.dll
c:\windows\System32\msctfime.ime

- - - - - - - > 'lsass.exe'(464)
c:\windows\System32\dssenh.dll

- - - - - - - > 'explorer.exe'(3832)
c:\windows\System32\msctfime.ime
c:\windows\System32\msi.dll
c:\archivos de programa\Archivos comunes\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
c:\windows\WinSxS\x86_Microsoft.VC80.CRT_1fc8b3b9a 1e18e3b_8.0.50727.163_x-ww_681e29fb\MSVCR80.dll
c:\archivos de programa\Archivos comunes\Microsoft Shared\Encarta Search Bar\E\ESBRes.DLL
.
------------------------ Other Running Processes ------------------------
.
c:\archivos de programa\Ahead\InCD\InCDsrv.exe
c:\archivos de programa\Alwil Software\Avast4\aswUpdSv.exe
c:\archivos de programa\Alwil Software\Avast4\ashServ.exe
c:\windows\System32\nvsvc32.exe
c:\archivos de programa\CyberLink\Shared Files\RichVideo.exe
c:\archivos de programa\Analog Devices\SoundMAX\SMAgent.exe
c:\windows\System32\RUNDLL32.EXE
c:\archivos de programa\Hewlett-Packard\HP Share-to-Web\hpgs2wnf.exe
c:\archivos de programa\Alwil Software\Avast4\ashWebSv.exe
c:\archivos de programa\Alwil Software\Avast4\ashMaiSv.exe
c:\archivos de programa\Hewlett-Packard\Digital Imaging\bin\hpqSTE08.exe
c:\archivos de programa\Hewlett-Packard\Digital Imaging\bin\hpqbam08.exe
c:\archivos de programa\Hewlett-Packard\Digital Imaging\bin\hpqgpc01.exe
.
************************************************** ************************
.
Completion time: 2009-11-06 2:00 - machine was rebooted
ComboFix-quarantined-files.txt 2009-11-06 01:00

Pre-Run: 66.158.960.640 bytes libres
Post-Run: 66.131.390.464 bytes libres

- - End Of File - - 15005DD425FBE3A699BF81C82D83D115


De momento sigo sin acceso a la red. Voy a ver qué más observo.

Un saludo.

Hola Luchi...

Neo va a estar ocupado este fin y me dijo que me pasara por aquí

La infección contraida por msn fue removida de raiz, necesito que me des una breve descripcción de los sintomas actuales que tiene ese sistema para ir agarrando el hilo pero eso luego de usar Combofix como te menciono ahora

Realiza lo siguiente:

1.-Abre el Bloc de Notas

• Clic en Inicio-> Ejecutar->Escribes: notepad.exe y aceptas.

2.- Ahora copia y pega este código dentro del Bloc

3.- Graba este archivo con el nombre CFScript.txt (Importante)

4.- Arrastra y deja el archivo CFScript.txt dentro del íconoComboFix.exe como lo muestra la animación de abajo. Esto activara ComboFix nuevamente.

Reinicia y nos comentas como esta tu sistema. Junto con un nuevo reporte de ComboFix

Un placer saludarte, Anleg30

Gracias a ambos por el seguimiento del tema.

El nuevo reporte de CF es el siguiente:


ComboFix 09-11-05.01 - Lucia 09/11/2009 0:10.2.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.1.1252.34.3082.18.512.206 [GMT 1:00]
Running from: c:\documents and settings\Lucia\Escritorio\ComboFix.exe
Command switches used :: c:\documents and settings\Lucia\Escritorio\CFScript.txt
* Created a new restore point

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!

FILE ::
"c:\temp\ee17d7.msi"
"c:\windows\system32\drivers\ktfedfoy.sys"
.

((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\temp\ee17d7.msi
c:\windows\system32\drivers\ktfedfoy.sys

.
((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Legacy_KTFEDFOY
-------\Service_ktfedfoy


((((((((((((((((((((((((( Files Created from 2009-10-09 to 2009-11-09 )))))))))))))))))))))))))))))))
.

2009-11-05 20:42 . 2009-11-05 20:42 -------- d-----w- c:\archivos de programa\Argente Software
2009-11-05 19:21 . 2009-07-13 12:36 38160 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2009-11-05 19:21 . 2009-11-05 19:21 -------- d-----w- c:\archivos de programa\Malwarebytes' Anti-Malware
2009-11-05 19:21 . 2009-07-13 12:36 18456 ----a-w- c:\windows\system32\drivers\mbam.sys
2009-10-30 23:29 . 2009-11-02 10:59 -------- d-----w- C:\MSNCleaner
2009-10-30 16:23 . 2009-10-30 16:23 -------- d-----w- c:\archivos de programa\ESET
2009-10-29 14:21 . 2009-11-04 09:41 -------- d-----w- C:\Lop SD
2009-10-29 04:42 . 2009-10-29 05:56 -------- d-----w- c:\documents and settings\Lucia\DoctorWeb
2009-10-29 03:23 . 2009-10-29 03:23 -------- d-s---w- c:\documents and settings\Lucia\UserData
2009-10-26 22:49 . 2009-11-08 23:16 -------- d-----w- C:\TEMP
2009-10-26 19:40 . 2009-10-26 19:58 -------- d-----w- c:\archivos de programa\MSN Messenger
2009-10-26 19:17 . 2009-10-26 19:17 -------- d-----w- c:\documents and settings\Lucia\Datos de programa\IObit
2009-10-26 19:17 . 2009-10-26 19:17 -------- d-----w- c:\archivos de programa\IObit
2009-10-26 18:34 . 2009-10-26 18:34 15240 ----a-w- c:\documents and settings\Lucia\Datos de programa\Microsoft\IdentityCRL\ppcrlconfig.dll
2009-10-22 15:10 . 2005-10-20 22:33 1004032 ----a-w- c:\windows\system32\esent.dll
2009-10-22 14:58 . 2009-10-22 14:58 -------- d-----w- c:\windows\system32\bits
2009-10-22 14:58 . 2005-06-28 08:21 22752 ----a-w- c:\windows\system32\spupdsvc.exe
2009-10-22 14:58 . 2009-10-22 23:27 -------- d--h--w- c:\windows\$hf_mig$
2009-10-22 14:58 . 2009-10-29 03:23 -------- d-----w- c:\windows\LastGood
2009-10-22 14:03 . 2004-07-01 22:05 7680 -c----w- c:\windows\system32\dllcache\bitsprx2.dll
2009-10-22 14:03 . 2004-07-01 22:05 7680 ------w- c:\windows\system32\bitsprx2.dll
2009-10-22 14:03 . 2004-07-01 22:05 7168 -c----w- c:\windows\system32\dllcache\bitsprx3.dll
2009-10-22 14:03 . 2004-07-01 22:05 7168 ------w- c:\windows\system32\bitsprx3.dll
2009-10-22 14:03 . 2004-07-01 22:05 331776 ----a-w- c:\windows\system32\winhttp.dll
2009-10-22 14:03 . 2004-07-01 22:05 17408 ----a-w- c:\windows\system32\qmgrprxy.dll
2009-10-21 13:11 . 2009-10-21 13:11 -------- d-----w- C:\_OTM
2009-10-20 03:14 . 2009-10-21 23:01 -------- d-----w- c:\documents and settings\Lucia\Datos de programa\Spotify
2009-10-20 03:14 . 2009-10-20 03:14 -------- d-----w- c:\archivos de programa\Spotify
2009-10-20 02:24 . 2009-06-30 09:37 28552 ----a-w- c:\windows\system32\drivers\pavboot.sys
2009-10-20 02:22 . 2009-10-20 02:22 -------- d-----w- c:\archivos de programa\Panda Security
2009-10-20 01:57 . 2009-10-20 01:57 -------- d-----w- c:\archivos de programa\CCleaner
2009-10-20 00:21 . 2009-08-27 14:52 113664 ----a-w- c:\documents and settings\Lucia\Datos de programa\Mozilla\Firefox\Profiles\iniFox_by_infosp yware.exe
2009-10-20 00:21 . 2009-05-25 06:52 520621 ----a-w- c:\documents and settings\Lucia\Datos de programa\Mozilla\Firefox\Profiles\sqlite3.exe
2009-10-20 00:13 . 2009-10-20 00:13 0 ----a-w- c:\windows\nsreg.dat
2009-10-20 00:12 . 2009-10-20 00:12 7891576 ----a-w- c:\archivos de programa\Firefox Setup 3.5.3.exe
2009-10-19 23:33 . 2009-09-15 10:54 52368 ----a-w- c:\windows\system32\drivers\aswTdi.sys
2009-10-19 23:33 . 2009-09-15 10:54 23152 ----a-w- c:\windows\system32\drivers\aswRdr.sys
2009-10-19 23:33 . 2009-09-15 10:53 27408 ----a-w- c:\windows\system32\drivers\aavmker4.sys
2009-10-19 23:33 . 2009-09-15 10:53 97480 ----a-w- c:\windows\system32\AvastSS.scr
2009-10-19 23:33 . 2009-09-15 10:56 93424 ----a-w- c:\windows\system32\drivers\aswmon.sys
2009-10-19 23:33 . 2009-09-15 10:56 94160 ----a-w- c:\windows\system32\drivers\aswmon2.sys
2009-10-19 23:33 . 2009-09-15 10:55 114768 ----a-w- c:\windows\system32\drivers\aswSP.sys
2009-10-19 23:32 . 2009-09-15 10:59 1279968 ----a-w- c:\windows\system32\aswBoot.exe
2009-10-19 23:32 . 2009-10-19 23:32 -------- d-----w- c:\archivos de programa\Alwil Software
2009-10-19 23:30 . 2009-10-19 23:30 38836104 ----a-w- c:\archivos de programa\setupesp.exe
2009-10-19 23:09 . 2009-08-06 18:24 327896 ----a-w- c:\windows\system32\wucltui.dll
2009-10-19 23:09 . 2009-08-06 18:24 209632 ----a-w- c:\windows\system32\wuweb.dll
2009-10-19 23:09 . 2009-08-06 18:24 35552 ----a-w- c:\windows\system32\wups.dll
2009-10-19 23:09 . 2009-08-06 18:23 575704 ----a-w- c:\windows\system32\wuapi.dll
2009-10-19 23:09 . 2004-08-03 12:04 187160 ----a-w- c:\windows\system32\wuaueng1.dll
2009-10-19 23:09 . 2004-08-03 12:02 170264 ----a-w- c:\windows\system32\wuauclt1.exe

.
(((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))) ))
.
2009-11-05 19:21 . 2009-09-29 19:57 -------- d-----w- c:\documents and settings\Lucia\Datos de programa\Malwarebytes
2009-11-05 19:21 . 2009-09-29 19:57 -------- d-----w- c:\documents and settings\All Users\Datos de programa\Malwarebytes
2009-10-27 21:38 . 2008-12-14 21:13 -------- d-----w- c:\documents and settings\Lucia\Datos de programa\HPAppData
2009-10-26 15:41 . 2001-08-24 10:00 77520 ----a-w- c:\windows\system32\perfc00A.dat
2009-10-26 15:41 . 2001-08-24 10:00 456588 ----a-w- c:\windows\system32\perfh00A.dat
2009-10-21 13:12 . 2003-12-15 14:55 -------- d-----w- c:\archivos de programa\ACAD2000
.

------- Sigcheck -------

[-] 2004-08-19 . 9C90A6DBE5D43E189F199172675D6312 . 13824 . . [5.1.2600.2180] . . c:\windows\SoftwareDistribution\Download\7110ad485 10cd6e948498b60b2f54012\wscntfy.exe

[-] 2004-08-19 . 843E0DB8042A8C0D749EB2B9EFA54F24 . 129536 . . [5.1.2600.2180] . . c:\windows\SoftwareDistribution\Download\7110ad485 10cd6e948498b60b2f54012\xmlprov.dll

[-] 2004-08-19 22:42 . 7BB55C1143F8270467928AA843A48192 . 52736 . . [9.0.1.56] . . c:\windows\SoftwareDistribution\Download\7110ad485 10cd6e948498b60b2f54012\mspmsnsv.dll
[-] 2002-12-17 17:43 . 53D4E72452CE025F96B652B02BF9B89C . 52736 . . [9.0.1.56] . . c:\windows\system32\mspmsnsv.dll

c:\windows\system32\wscntfy.exe ... is missing !!
c:\windows\system32\xmlprov.dll ... is missing !!
.
((((((((((((((((((((((((((((( SnapShot@2009-11-06_00.54.54 )))))))))))))))))))))))))))))))))))))))))
.
+ 2009-11-09 00:47 . 2009-11-09 00:47 16384 c:\windows\Temp\Perflib_Perfdata_45c.dat
+ 2009-11-06 01:05 . 2009-11-09 00:47 16384 c:\windows\system32\config\systemprofile\Cookies\i ndex.dat
- 2003-12-15 17:47 . 2009-11-06 00:55 16384 c:\windows\system32\config\systemprofile\Cookies\i ndex.dat
+ 2003-12-15 17:47 . 2009-11-09 00:47 32768 c:\windows\system32\config\systemprofile\Configura ción local\Historial\History.IE5\index.dat
- 2003-12-15 17:47 . 2009-11-06 00:55 32768 c:\windows\system32\config\systemprofile\Configura ción local\Historial\History.IE5\index.dat
+ 2009-11-09 00:47 . 2009-11-09 00:47 32768 c:\windows\system32\config\systemprofile\Configura ción local\Archivos temporales de Internet\Content.IE5\index.dat
- 2009-11-06 00:54 . 2009-11-06 00:55 32768 c:\windows\system32\config\systemprofile\Configura ción local\Archivos temporales de Internet\Content.IE5\index.dat
.
((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\Run]
"NvMediaCenter"="c:\windows\System32\NVMCTRAY. DLL" [2003-07-28 49152]
"E09EXLRD_8831031"="c:\archivos de programa\Microsoft Encarta\Encarta 2009 Biblioteca Premium DVD\EDICT.EXE" [2008-06-06 351000]
"Advanced SystemCare 3"="c:\archivos de programa\IObit\Advanced SystemCare 3\AWC.exe" [2009-06-30 2329224]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run]
"Smapp"="c:\archivos de programa\Analog Devices\SoundMAX\SMTray.exe" [2003-05-05 143360]
"NvCplDaemon"="c:\windows\System32\NvCpl.dll" [2003-07-28 4841472]
"Share-to-Web Namespace Daemon"="c:\archivos de programa\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe" [2002-04-17 69632]
"DeviceDiscovery"="c:\archivos de programa\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe" [2002-12-02 40960]
"Adobe Reader Speed Launcher"="c:\archivos de programa\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 39792]
"hpqSRMon"="c:\archivos de programa\Hewlett-Packard\Digital Imaging\bin\hpqSRMon.exe" [2007-08-22 80896]
"avast!"="c:\archiv~1\ALWILS~1\Avast4\ashDisp. exe" [2009-09-15 81000]
"nwiz"="nwiz.exe" - c:\windows\system32\nwiz.exe [2003-07-28 323584]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\Cur rentVersion\Run]
"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2002-09-09 13312]

c:\documents and settings\Lucia\Men£ Inicio\Programas\Inicio\
Herramienta de b£squeda de soportes de Picture Motion Browser.lnk - c:\archivos de programa\Sony\Sony Picture Utility\VolumeWatcher\SPUVolumeWatcher.exe [2002-1-1 344064]

c:\documents and settings\All Users\Men£ Inicio\Programas\Inicio\
HP Digital Imaging Monitor.lnk - c:\archivos de programa\Hewlett-Packard\Digital Imaging\bin\hpqtra08.exe [2007-10-14 214360]

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Menú Inicio^Programas^Inicio^Adobe Gamma Loader.lnk]
path=c:\documents and settings\All Users\Menú Inicio\Programas\Inicio\Adobe Gamma Loader.lnk
backup=c:\windows\pss\Adobe Gamma Loader.lnkCommon Startup

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001
"FirewallOverride"=dword:00000001

R0 pavboot;pavboot;c:\windows\system32\drivers\pavboo t.sys [20/10/2009 3:24 28552]
R1 aswSP;avast! Self Protection;c:\windows\system32\drivers\aswSP.sys [20/10/2009 0:33 114768]

--- Other Services/Drivers In Memory ---

*Deregistered* - mbr

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
HPZ12 REG_MULTI_SZ Pml Driver HPZ12 Net Driver HPZ12
hpdevmgmt REG_MULTI_SZ hpqcxs08 hpqddsvc
.
Contents of the 'Scheduled Tasks' folder

2009-11-09 c:\windows\Tasks\Symantec NetDetect.job
- c:\archivos de programa\Symantec\LiveUpdate\NDETECT.EXE [2003-12-15 17:40]
.
.
------- Supplementary Scan -------
.
uStart Page = hxxp://www.forospyware.com
mStart Page = hxxp://www.forospyware.com
uInternet Connection Wizard,ShellNext = iexplore
IE: E&xportar a Microsoft Excel - c:\archiv~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
DPF: Microsoft XML Parser for Java - file://c:\windows\Java\classes\xmldso.cab
FF - ProfilePath - c:\documents and settings\Lucia\Datos de programa\Mozilla\Firefox\Profiles\ma001c82.default \

---- FIREFOX POLICIES ----
c:\archivos de programa\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl3.rsa_seed_sha", true);
.

************************************************** ************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-11-09 01:49
Windows 5.1.2600 Service Pack 1 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden files: 0

************************************************** ************************
.
--------------------- DLLs Loaded Under Running Processes ---------------------

- - - - - - - > 'winlogon.exe'(416)
c:\windows\system32\ODBC32.dll
c:\windows\System32\msctfime.ime

- - - - - - - > 'lsass.exe'(472)
c:\windows\System32\dssenh.dll

- - - - - - - > 'explorer.exe'(1960)
c:\windows\System32\msctfime.ime
c:\windows\System32\msi.dll
c:\archivos de programa\Archivos comunes\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
c:\windows\WinSxS\x86_Microsoft.VC80.CRT_1fc8b3b9a 1e18e3b_8.0.50727.163_x-ww_681e29fb\MSVCR80.dll
c:\archivos de programa\Archivos comunes\Microsoft Shared\Encarta Search Bar\E\ESBRes.DLL
.
------------------------ Other Running Processes ------------------------
.
c:\archivos de programa\Ahead\InCD\InCDsrv.exe
c:\archivos de programa\Alwil Software\Avast4\aswUpdSv.exe
c:\archivos de programa\Alwil Software\Avast4\ashServ.exe
c:\windows\System32\nvsvc32.exe
c:\archivos de programa\CyberLink\Shared Files\RichVideo.exe
c:\archivos de programa\Analog Devices\SoundMAX\SMAgent.exe
c:\windows\System32\RUNDLL32.EXE
c:\archivos de programa\Hewlett-Packard\HP Share-to-Web\hpgs2wnf.exe
c:\archivos de programa\Alwil Software\Avast4\ashWebSv.exe
c:\archivos de programa\Alwil Software\Avast4\ashMaiSv.exe
c:\archivos de programa\Hewlett-Packard\Digital Imaging\bin\hpqSTE08.exe
c:\archivos de programa\Hewlett-Packard\Digital Imaging\bin\hpqbam08.exe
c:\archivos de programa\Hewlett-Packard\Digital Imaging\bin\hpqgpc01.exe
.
************************************************** ************************
.
Completion time: 2009-11-09 1:53 - machine was rebooted
ComboFix-quarantined-files.txt 2009-11-09 00:53
ComboFix2.txt 2009-11-06 01:00

Pre-Run: 66.090.508.288 bytes libres
Post-Run: 65.981.038.592 bytes libres

- - End Of File - - 21984E94AB7D91E5995EC78B88C4F5F4


Os comento que el equipo no se reinicia de forma normal y me aparece en pantalla:

"Windows no se ha iniciado correctamente. Es posible que esto se deba a un cambio reciente en el hardware o software.

Si su equipo no responde, se ha reiniciado inesperadamente o se ha cerrado automáticamente para proteger sus archivos y carpetas, elija la última configuración buena conocida para volver a la pantalla más reciente que funcionaba.

Si se interrumpió un intento anterior de reinicio debido a un problema eléctrico, el botón de encendido o inicio estaban presionados, o si no está seguro del problema, elija iniciar Windows normalmente"


Si elijo "La última configuración buena conocida < config. Más reciente que funcionó" Me vuelve a aparecer lo mismo.

Pero si intento entrar en modo seguro pulsando F8 consigo llegar al menú de opciones avanzadas de Windows:

*Modo seguro
*Modo seguro con opciones de red
*Modo seguro con símbolo del sistema


*Habilitar el registro de inicio
*Habilitar modo vga
*La última config. Buena conocida (más reciente que funcionó)
*Modo de restauración de SD (sólo conc. De dominio de Windows)
*Modo de depuración


*Iniciar normalmente
*Reiniciar
*Regresar al menú de opciones del SO


Eligiendo iniciar vuelvo de nuevo a la primera pantalla de aviso.

¿Qué opción elijo? ¿Habilitar el registro de inicio?

Un saludo

Hola de nuevo.

Sólo quería comentar que tras varios intentos el PC ha conseguido reiniciar en Windows hace un momento. Lo que no sé es si volverá a ocurrir. Lo digo por si tenéis alguna recomendación que hacerme o indicación a seguir... Este sería el momento oportuno.

Un saludo.

Hola Luchi_....

No habia visto la edición en tu post, es que así no nos llega ninguna alerta para estar pendientes de nustras subscripcciones. =/

Luego de ComboFix hiciste algo más ¿?

Ahora que estas en el windows, puedes crear un punto de restauración (inicio->todos los programas->herramientas del sistema->restaurar sistemas) para garantizar algo pero lo más recomendable es tener el disco de windows a mano y hacer una reparación para reconfigurar el sistema.

No importa, estimado Anleg: la verdad es que no estábais on line en ese momento y apenas había que comentar. Hoy sonó la flauta y el equipo reinició por casualidad en Windows pero fue efímero. Tras varias intentonas vuelvo a estar en el menú de opciones avanzadas de windows. (post 26)
No porque leí en el manual que no era conveniente realizar nada hasta terminar el proceso al completo y desinstalar CF.
Intenté comprobar si tenía acceso a la red pero todo estaba igual en ese aspecto.
¿Es posible que entre las dos ejecuciones del CF se haya activado el virus en sí?Si consiguiera reiniciar de nuevo en Windows te lo hago saber pero si no, por favor, me gustaría que me explicaras bien los pasos a seguir respecto a esto último que me indicas.

Gracias por tu ayuda.

Un saludo.

De las opcciones del menú luego de F8, también se reinicia al queresr usar la opción de:
"Modo seguro con símbolo del sistema" ¿?

Para lo de la reparación no es necesario entar al windows, aca tenemos un manual de reparación: Manual de Instalación y reparación de Windows 2000/XP/2003

No importa si el disco que consigas no es el mismo con el cual se intaló ese windows o si incluye algun servipack o no, lo importante es que diga o mejor dicho que sea de windows xp.

La opccón de reparar que nos interesa esta en la última parte, como veras hay que configurar primero la BIOS para hacer que se lea desde las unidades e cd-room/dvd antes que lea del disco duro. Para esa parte esta en la introducción un link o tambien ver la sección: ¿Cómo cambiar secuencia de Booteo ? de este Instructivo General Configuración de la BIOS (Setup)


Me comentas cualquier duda o dificultad que tengas