Foro de InfoSpyware - Foro de Hijackthis - Foro de Virus

Mi antivirus (NOD 32) ha encontrado esta amenaza Kryptic.AZL y
no es posible eliminarlo he descargado el programa CCleaner para sacannear
y aun no obtengo resultados..
Cuando estoy trabajando en word y selecciono un texto. mientras esta seleccionado me cambia el orden de las palabras y despues se va la imagen del
texto y aparece de nuevo el texto como estaba al principio
ademas al abrir el messenger empieza a enviarle mensajes instantaneos a mis contactos que se encuentran conectados despues de que termina de enviar los mensajes no puedo abrir ninguna ventana de conversacion.
de antemano les agradezco su ayuda

Hola EdwinAlexandre


Descarga lo siguiente:

º CCLEANER. Lo instalas según Su Manual

º MALWAREBYTE´S. Lo instalas y actualizas según su manual, PERO NO LO EJECUTES AUN

º ComboFix.exe y guárdalo en el escritorio.




Ejecuta ComboFix.exe

• Desactiva temporalmente el Antivirus y/o Antispyware.
• Cierra todas las ventanas abiertas.
• Hacele doble clic al archivo ComboFix.exe y seguí las instrucciones.
• Cuando termine, generara un registro en C:\ComboFix.txt.
  • *Nota* Mientras CF este trabajando no mover el mouse ya que pararía su proceso.
  • *Nota* ComboFix puede reiniciar automáticamente el PC para completar el proceso de eliminación.

• Reinicia y pega el reporte de C:\ComboFix.txt en este mismo mensaje.

En tu próxima respuesta, debes poner lo siguiente:

º El reporte de malwarebyte´s, que se encuentra en su pestaña REGISTROS
º El reporte de ComboFix
º Como funciona tu pc ahora


Saludos

Malwarebytes' Anti-Malware 1.41
Versión de la Base de Datos: 3062
Windows 5.1.2600 Service Pack 2

30/10/2009 13:57:12
mbam-log-2009-11-04 (13-57-12).txt

Tipo de examen : Examen Completo (C:\|D:\|)
Objetos examinados: 121945
Tiempo transcurrido: 27 minute(s), 13 second(s)

Procesos en Memoria Infectados: 0
Módulos en Memoria Infectados: 0
Claves del Registro Infectadas: 1
Valores del Registro Infectados: 2
Elementos de Datos del Registro Infectados: 1
Carpetas Infectadas: 0
Ficheros Infectados: 2

Procesos en Memoria Infectados:
(No se han detectado elementos maliciosos)

Módulos en Memoria Infectados:
(No se han detectado elementos maliciosos)

Claves del Registro Infectadas:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{x9obc5c0-4fcb-11cf-aax5-81cx1c635612} (Generic.Bot.H) -> Quarantined and deleted successfully.

Valores del Registro Infectados:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Policies\Explorer\ForceClassicControlPa nel (Hijack.ControlPanelStyle) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run\Java Update (Backdoor.Bifrose) -> Quarantined and deleted successfully.

Elementos de Datos del Registro Infectados:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\Policies\Explorer\NoSMHelp (Hijack.Help) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

Carpetas Infectadas:
(No se han detectado elementos maliciosos)

Ficheros Infectados:
c:\driver\S-1-4-89-654352344-54323413-6452342-4545\svchost.exe (Generic.Bot.H) -> Quarantined and deleted successfully.
C:\WINDOWS\winscp3.exe.exe (Backdoor.Bifrose) -> Delete on reboot.






ComboFix 09-11-04.02 - Administrador 04/11/2009 16:54.1.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.34.3082.18.479.176 [GMT 1:00]
Running from: c:\documents and settings\Administrador\Escritorio\ComboFix.exe
* Resident AV is active


WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
.

((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\driver
c:\driver\S-1-4-89-654352344-54323413-6452342-4545\Desktop.ini

.
((((((((((((((((((((((((( Files Created from 2009-10-04 to 2009-11-04 )))))))))))))))))))))))))))))))
.

2009-10-30 12:00 . 2009-10-30 12:00 -------- d-----w- c:\documents and settings\Administrador\Datos de programa\Malwarebytes
2009-10-30 11:59 . 2009-09-10 13:54 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2009-10-30 11:59 . 2009-10-30 11:59 -------- d-----w- c:\documents and settings\All Users\Datos de programa\Malwarebytes
2009-10-30 11:59 . 2009-09-10 13:53 19160 ----a-w- c:\windows\system32\drivers\mbam.sys
2009-10-30 11:59 . 2009-10-30 12:00 -------- d-----w- c:\archivos de programa\Malwarebytes' Anti-Malware
2009-10-30 11:58 . 2009-10-30 12:24 -------- d-----w- c:\documents and settings\All Users\Datos de programa\Yahoo! Companion
2009-10-30 11:58 . 2009-10-30 11:58 -------- d-----w- c:\documents and settings\Administrador\Datos de programa\Yahoo!
2009-10-30 11:58 . 2009-10-30 11:58 -------- d-----w- c:\archivos de programa\Yahoo!
2009-10-30 11:34 . 2009-10-30 11:35 -------- d-----w- c:\archivos de programa\Anti-Malware
2009-10-30 11:27 . 2009-10-30 11:58 -------- d-----w- c:\archivos de programa\CCleaner
2009-10-26 12:34 . 2009-10-26 12:34 -------- d--h--w- c:\windows\PIF
2009-10-07 12:14 . 2009-10-07 12:17 -------- d-----w- c:\archivos de programa\Guitar Pro 5
2009-10-06 12:14 . 2009-10-06 12:14 -------- d-----w- c:\archivos de programa\Games OEM

.
(((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))) ))
.
2009-10-28 18:23 . 2001-08-24 15:00 61184 ----a-w- c:\windows\system32\perfc00A.dat
2009-10-28 18:23 . 2001-08-24 15:00 420318 ----a-w- c:\windows\system32\perfh00A.dat
2009-10-28 11:15 . 2009-06-16 13:47 -------- d-----w- c:\archivos de programa\ESET
2009-10-03 11:05 . 2009-10-03 11:05 -------- d-----w- c:\archivos de programa\GameSpy Arcade
2009-10-03 11:01 . 2009-10-03 11:01 -------- d-----w- c:\archivos de programa\Firefly Studios
2009-10-03 11:01 . 2009-06-16 13:33 -------- d--h--w- c:\archivos de programa\InstallShield Installation Information
2009-09-23 11:32 . 2009-09-23 11:26 -------- d-----w- c:\documents and settings\Administrador\Datos de programa\Gearbox Software
2009-09-22 17:20 . 2004-07-17 09:36 163644 ----a-w- c:\windows\system32\drivers\secdrv.sys
2009-09-19 11:21 . 2009-07-07 19:07 -------- d-----w- c:\archivos de programa\PokerStars.NET
2009-09-14 08:11 . 2009-06-16 13:13 -------- d-----w- c:\archivos de programa\Archivos comunes\Adobe
2009-09-14 07:54 . 2009-07-27 15:01 -------- d-----w- c:\documents and settings\All Users\Datos de programa\NOS
2009-09-14 07:53 . 2009-07-27 15:01 -------- d-----w- c:\archivos de programa\NOS
2009-08-30 11:58 . 2009-06-16 14:46 90112 ----a-w- c:\windows\DUMPa652.tmp
2009-06-26 09:54 . 2009-06-26 09:54 848 --sha-w- c:\windows\system32\KGyGaAvL.sys
.

------- Sigcheck -------

[-] 2006-01-11 . 19919189DD07AE40338145EF4AB17715 . 359936 . . [5.1.2600.2685] . . c:\windows\system32\drivers\tcpip.sys

[-] 2006-01-11 . 157B6FCB58270E3DF3ED67D316DCECE0 . 197632 . . [5.1.2600.2743] . . c:\windows\system32\netman.dll

[-] 2006-01-11 . 78793AAE30E77A07D6C5A378D163B909 . 398336 . . [5.1.2600.2726] . . c:\windows\system32\rpcss.dll

[-] 2006-01-11 . AD3D9D191AEA7B5445FE1D82FFBB4788 . 57856 . . [5.1.2600.2696] . . c:\windows\system32\spoolsv.exe

[-] 2006-01-11 21:41 . 0D0F85237E32538F58278D673032676A . 243200 . . [2001.12.4414.308] . . c:\windows\system32\es.dll

[-] 2006-01-11 . C4E7CEFD3802415865E631BE3AB6AC3B . 19968 . . [5.1.2600.2751] . . c:\windows\system32\linkinfo.dll

[-] 2006-01-11 . 39C0091FD92038A4671C7D8791BD996E . 2181888 . . [5.1.2600.2622] . . c:\windows\system32\ntoskrnl.exe

[-] 2006-01-11 . 861E25215BA370D4CA9337C2BC0E647F . 249344 . . [5.1.2600.2716] . . c:\windows\system32\tapisrv.dll

[-] 2006-01-11 . 37CE819E8ECB3517B9981A886876EF72 . 578048 . . [5.1.2600.2622] . . c:\windows\system32\user32.dll



[-] 2004-08-03 19:39 . 1EE7B434BA961EF845DE136224C30FEC . 142464 . . [5.1.2601.2180] . . c:\windows\system32\drivers\aec.sys

[-] 2006-01-11 . 03550E4B6C37D2D31A029E95CCA0354B . 2059264 . . [5.1.2600.2622] . . c:\windows\system32\ntkrnlpa.exe

c:\windows\system32\wscntfy.exe ... is missing !!
c:\windows\system32\regsvc.dll ... is missing !!
.
((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\Run]
"ares"="c:\archivos de programa\Ares\Ares.exe" [2008-11-24 881152]
"swg"="c:\archivos de programa\Google\GoogleToolbarNotifier\GoogleToolba rNotifier.exe" [2009-07-27 39408]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run]
"ISUSPM Startup"="c:\archivos de programa\Archivos comunes\InstallShield\UpdateService\isuspm.exe" [2005-08-11 249856]
"ISUSScheduler"="c:\archivos de programa\Archivos comunes\InstallShield\UpdateService\issch.exe" [2005-08-11 81920]
"nod32kui"="c:\archivos de programa\Eset\nod32kui.exe" [2009-06-16 949376]
"SunJavaUpdateSched"="c:\archivos de programa\Java\jre6\bin\jusched.exe" [2009-06-16 136600]
"SC-Print AL Msgsrv"="c:\archivos de programa\SC-Print AL\Msgsrv.exe" [2006-09-26 53248]
"Adobe Reader Speed Launcher"="c:\archivos de programa\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2009-10-03 35696]
"Adobe ARM"="c:\archivos de programa\Archivos comunes\Adobe\ARM\1.0\AdobeARM.exe" [2009-09-04 935288]
"Malwarebytes Anti-Malware (reboot)"="c:\archivos de programa\Malwarebytes' Anti-Malware\mbam.exe" [2009-09-10 1312080]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\Cur rentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-19 15360]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\Cur rentVersion\RunOnce]
"nlsf"="move" [X]
"tscuninstall"="c:\windows\system32\tscupgrd.e xe" [2004-08-19 44544]

c:\documents and settings\All Users\Men£ Inicio\Programas\Inicio\
Adobe Gamma Loader.lnk - c:\archivos de programa\Archivos comunes\Adobe\Calibration\Adobe Gamma Loader.exe [2009-6-16 113664]

[HKEY_CURRENT_USER\software\microsoft\windows\curre ntversion\policies\explorer]
"NoSMConfigurePrograms"= 1 (0x1)
"NoResolveTrack"= 1 (0x1)

[HKEY_USERS\.default\software\microsoft\windows\cur rentversion\policies\explorer]
"NoSMHelp"= 1 (0x1)
"NoSMConfigurePrograms"= 1 (0x1)
"NoResolveTrack"= 1 (0x1)

[HKLM\~\services\sharedaccess\parameters\firewallpo licy\standardprofile]
"EnableFirewall"= 0 (0x0)
"DisableUnicastResponsesToMulticastBroadcast"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpo licy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Archivos de programa\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Archivos de programa\\Windows Live\\Messenger\\livecall.exe"=

R1 nod32drv;nod32drv;c:\windows\system32\drivers\nod3 2drv.sys [16/06/2009 14:47 15424]
S3 getPlusHelper;getPlus(R) Helper;c:\windows\System32\svchost.exe -k getPlusHelper [19/08/2004 14:43 14336]

--- Other Services/Drivers In Memory ---

*NewlyCreated* - MBR
*NewlyCreated* - PROCEXP113
*Deregistered* - mbr
*Deregistered* - PROCEXP113

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
getPlusHelper REG_MULTI_SZ getPlusHelper

NETSVCS REQUIRES REPAIRS - current entries shown
6to4
AppMgmt
AudioSrv
Browser
CryptSvc
DMServer
DHCP
EventSystem
FastUserSwitchingCompatibility
HidServ
Ias
Iprip
Irmon
LanmanServer
LanmanWorkstation
Netman
Nla
NWCWorkstation
Nwsapagent
Rasauto
Rasman
Remoteaccess
Schedule
Seclogon
SENS
Sharedaccess
SRService
Tapisrv
Themes
TrkWks
WZCSVC
Wmi
WmdmPmSp
winmgmt
xmlprov
BITS
wuauserv
ShellHWDetection
helpsvc
WmdmPmSN

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs

.
.
------- Supplementary Scan -------
.
uStart Page = hxxp://www.google.com/
IE: E&xportar a Microsoft Excel - c:\archiv~1\MICROS~1\Office12\EXCEL.EXE/3000
IE: {{FA9B9510-9FCB-4ca0-818C-5D0987B47C4D} - c:\archivos de programa\PokerStars.NET\PokerStarsUpdate.exe
LSP: c:\windows\system32\imon.dll
.
- - - - ORPHANS REMOVED - - - -

HKLM-Run-Cmaudio - cmicnfg.cpl
AddRemove-AP Guitar Tuner - c:\archivos de programa\Audio Phonics



************************************************** ************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-11-04 17:01
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden files: 0

************************************************** ************************
.
Completion time: 2009-11-04 17:04
ComboFix-quarantined-files.txt 2009-11-04 16:04

Pre-Run: 31.291.777.024 bytes libres
Post-Run: 31.310.131.200 bytes libres





Muchas Gracias de antemano
el pc ahora funciona un poco mas rapido
y los msjs del messenger q habitualmente enviaba
no han aparecido ultimamente ademas no he tenido problemas con las
herramientas de Office. Ahi les dejo los resultados

Hola de nuevo....

Falta un pasito mas.....


Vuelves a ejecutar comboFix y pegas el reporte para verificar que todo halla quedado en òrden.

Nos comentas como va el ordenador ahora.

Saludos