Foro de InfoSpyware - Foro de Hijackthis - Foro de Virus

Hola amigos

Mi problema es que al iniciar el pc hoy dia 1, me empezaron a salir problemas

en el Avast! 4.8 (actualizado) tales como mhbupd32.exe (malware) y diversos

archivos en c:\Documents and Settings\HelpAssistant\Configuracion Local\....
Estos archivos los tengo ahora mismo en el baul de Avast!

Tambien me salio un problema con el archivo startupo.exe.

Los sintomas de problemas son: gran lentitud en el pc, gran uso de CPU y doble

acento (por eso no he acentuado nada). Ademas, no me deja utilizar el Explorer

ya que me dice que debe cerrarse el iexplore.exe; este mensaje lo pude hacer

con una version portable del firefox.

El analisis de hijackthis es este:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 13:31:29, on 01/11/2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Archivos de programa\Archivos comunes\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\Archivos de programa\Alwil Software\Avast4\aswUpdSv.exe
C:\Archivos de programa\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Archivos de programa\Archivos comunes\Apple\Mobile Device

Support\bin\AppleMobileDeviceService.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Archivos de programa\Bonjour\mDNSResponder.exe
C:\Archivos de programa\D-Tools\daemon.exe
C:\ARCHIV~1\ALWILS~1\Avast4\ashDisp.exe
C:\Archivos de programa\iTunes\iTunesHelper.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7DEBUG\mdm.exe
C:\Archivos de programa\CyberLink\Shared Files\RichVideo.exe
C:\Archivos de programa\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Archivos de programa\Alwil Software\Avast4\ashMaiSv.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\Archivos de programa\Alwil Software\Avast4\ashWebSv.exe
C:\Archivos de programa\iPod\bin\iPodService.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\svchost.exe
C:\Archivos de programa\Trend Micro\HijackThis\HijackThis.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =

http://www.realgm.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL =

http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL =

http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page =

http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =

http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet

Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =

Vínculos
F2 - REG:system.ini:

UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDO WS\system32\intel64.exe,
O2 - BHO: Aplicación auxiliar de vínculos de Adobe PDF Reader -

{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Archivos

comunes\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: flashget urlcatch - {2F364306-AA45-47B5-9F9D-39A8B94E7EF7} - (no

file)
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} -

C:\Archivos de programa\Microsoft Office\Office12\GrooveShellExtensions.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} -

C:\Archivos de programa\Java\jre1.6.0_05\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Aplicación auxiliar de inicio de sesión -

{9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Archivos de programa\Archivos

comunes\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Archivos de

programa\D-Tools\daemon.exe" -lang 3082
O4 - HKLM\..\Run: [avast!] C:\ARCHIV~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [AppleSyncNotifier] C:\Archivos de programa\Archivos

comunes\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe
O4 - HKLM\..\Run: [iTunesHelper] "C:\Archivos de

programa\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [NvCplDaemon] C:\WINDOWS\Fonts\nvcpl.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [WAB] C:\Documents and Settings\x x\Datos de

programa\Macromedia\Common\701a007619.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User

'SERVICIO LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User

'Servicio de red')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User

'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User

'Default user')
O8 - Extra context menu item: Add to AMV Converter... - C:\Archivos de

programa\MP3 Player Utilities 4.09\AMVConverter\grab.html
O8 - Extra context menu item: E&xportar a Microsoft Excel -

res://C:\ARCHIV~1\MICROS~2\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: MediaManager tool grab multimedia file -

C:\Archivos de programa\MP3 Player Utilities 4.09\MediaManager\grab.html
O8 - Extra context menu item: Save Flash - res://C:\Archivos de programa\UnH

Solutions\Flash Saving Plugin\FlashSButton.dll/210
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} -

C:\Archivos de programa\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Consola de Sun Java -

{08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de

programa\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: Enviar a OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} -

C:\ARCHIV~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: &Enviar a OneNote -

{2670000A-7350-4f3c-8081-5663EE0C6C49} -

C:\ARCHIV~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} -

C:\ARCHIV~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: Barra de búsqueda de Encarta -

{B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Archivos de programa\Archivos

comunes\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} -

C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 -

{e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network

Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} -

C:\Archivos de programa\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger -

{FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de

programa\Messenger\msmsgs.exe
O9 - Extra button: Flash - {43CF38F3-5AEC-45a3-AD31-04EB06E9C6CA} - C:\Archivos

de programa\UnH Solutions\Flash Saving Plugin\FlashSButton.dll (HKCU)
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) -

http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_sit

e.cab?1173177356234
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) -

http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} -

C:\Archivos de programa\Microsoft Office\Office12\GrooveSystemServices.dll
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Archivos de

programa\Archivos comunes\Apple\Mobile Device

Support\bin\AppleMobileDeviceService.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software -

C:\Archivos de programa\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. -

C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Archivos de

programa\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Archivos de

programa\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Archivos de

programa\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Servicio Bonjour (Bonjour Service) - Apple Inc. - C:\Archivos de

programa\Bonjour\mDNSResponder.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation

- C:\Archivos de programa\Archivos comunes\InstallShield\Driver\1150\Intel

32\IDriverT.exe
O23 - Service: Servicio del iPod (iPod Service) - Apple Inc. - C:\Archivos de

programa\iPod\bin\iPodService.exe
O23 - Service: NBService - Nero AG - C:\Archivos de programa\Nero\Nero 7\Nero

BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Archivos de programa\Archivos

comunes\Ahead\Lib\NMIndexingService.exe
O23 - Service: Programador de LiveUpdate automático - Unknown owner -

C:\Archivos de programa\Symantec\LiveUpdate\ALUSchedulerSvc.exe (file missing)
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner -

C:\Archivos de programa\CyberLink\Shared Files\RichVideo.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division

Software - C:\Archivos de programa\Alcohol Soft\Alcohol

120\StarWind\StarWindService.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Archivos de

programa\Archivos comunes\Symantec Shared\CCPD-LC\symlcsvc.exe
O23 - Service: TuneUp Drive Defrag Service (TuneUp.Defrag) - TuneUp Software -

C:\WINDOWS\System32\TuneUpDefragService.exe


Espero que me podais ayudar ya que estoy desesperado.

Un abrazo.

Hola, el log está mal pegado, con esos saltos de línea no se puede analizar mira como Generar un log de Hijackthis. Pega un nuevo log de manera adecuada para poder analizarlo.


Vamos a comenzar por estos pasos:

• Paso 1- Descarga, instala y actualiza las siguientes herramientas:
  • CCleaner // Manual de uso.
  • Malwarebytes' Anti-Malware // Manual de uso.
• Paso 2- Ejecuta CCleaner para hacerle una limpieza de cookies, archivos temporales e innecesarios para mejorar el rendimiento de tu equipo y generar reportes mas limpios.(NO necesitamos este reporte)
  
• Paso 3- Ejecuta Malwarebytes' Anti-Malware (MBAM) y selecciona todo lo que este encuentre para luego presionar el botón de "Quitar lo Seleccionado" y así mandarlo a cuarentena.
  
• Paso 4- Reinicia tu PC, y vuelve a generar un nuevo reporte de HijackThis 2.0.2 para pegarlo junto con el reporte de MBAM en este mismo mensaje contándonos si hubiera habido alguna mejora en el problema o rendimiento del equipo.

No te olvides de volver a dejarnos los reportes para continuar con el tema....

Saludos

Hola amigo

Ante todo, gracias por tu rápida respuesta y mis disculpas con el log, no entiendo como pude pegarlo tan mal, es la primera vez que me pasa.

El Ccleaner lo pasé sin problemas y no me dió ningún problema. Instalé el Malwarebytes' Anti-Malware pero no pude actualizarlo ya que al intentarlo se bloquea el programa (me pasa lo mismo con el SUPERantiSpyware Free Edition, no puedo actualizar ninguno). Al hacer con el MBAM el examen completo el programa al cabo de un rato se acaba bloqueando. Al hacerle un examen rápido, puedo grabar un reporte pero cuando le doy a "quitar lo seleccionado" el programa se bloquea.

En el reporte rápido del MBAM, de vez en cuando me saltaba el Avast!, y todo lo que me salió lo mandé al baul. Después de esto la única mejora que he comprobado ha sido que puedo acentuar con normalidad.

Aquí dejo los reportes del examen rápido que el MBAM me dejó hacer y el del hijackthis después de reiniciar.

Malwarebytes' Anti-Malware 1.41
Versión de la Base de Datos: 2775
Windows 5.1.2600 Service Pack 3

03/11/2009 22:27:08
REPORTE

Tipo de examen : Examen Rápido
Objetos examinados: 104224
Tiempo transcurrido: 9 minute(s), 18 second(s)

Procesos en Memoria Infectados: 0
Módulos en Memoria Infectados: 0
Claves del Registro Infectadas: 6
Valores del Registro Infectados: 3
Elementos de Datos del Registro Infectados: 13
Carpetas Infectadas: 1
Ficheros Infectados: 11

Procesos en Memoria Infectados:
(No se han detectado elementos maliciosos)

Módulos en Memoria Infectados:
(No se han detectado elementos maliciosos)

Claves del Registro Infectadas:
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\Cur rentVersion\Explorer\{19127ad2-394b-70f5-c650-b97867baa1f7} (Backdoor.Bot) -> No action taken.
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\Cur rentVersion\Explorer\{43bf8cd1-c5d5-2230-7bb2-98f22c2b7dc6} (Backdoor.Bot) -> No action taken.
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\Cur rentVersion\Explorer\{494e6cec-7483-a4ee-0938-895519a84bc7} (Backdoor.Bot) -> No action taken.
HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explo rer\{19127ad2-394b-70f5-c650-b97867baa1f7} (Backdoor.Bot) -> No action taken.
HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explo rer\{43bf8cd1-c5d5-2230-7bb2-98f22c2b7dc6} (Backdoor.Bot) -> No action taken.
HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explo rer\{494e6cec-7483-a4ee-0938-895519a84bc7} (Backdoor.Bot) -> No action taken.

Valores del Registro Infectados:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run\nvcpldaemon (Worm.Archive) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\Run\rundll32.exe (Trojan.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Network\UID (Malware.Trace) -> No action taken.

Elementos de Datos del Registro Infectados:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Trojan.Zbot) -> Data: c:\windows\system32\intel64.exe -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Trojan.Zbot) -> Data: system32\intel64.exe -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Drivers32\aux1 (Hijack.Sound) -> Bad: (C:\DOCUME~1\XX014B~1\DATOSD~1\MACROM~1\Common\701 a00761.dll) Good: (wdmaud.drv) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Drivers32\aux2 (Hijack.Sound) -> Bad: (C:\DOCUME~1\XX014B~1\DATOSD~1\MACROM~1\Common\701 a00761.dll) Good: (wdmaud.drv) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Drivers32\midi1 (Hijack.Sound) -> Bad: (C:\DOCUME~1\XX014B~1\DATOSD~1\MACROM~1\Common\701 a00761.dll) Good: (wdmaud.drv) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Drivers32\midi2 (Hijack.Sound) -> Bad: (C:\DOCUME~1\XX014B~1\DATOSD~1\MACROM~1\Common\701 a00761.dll) Good: (wdmaud.drv) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Drivers32\mixer1 (Hijack.Sound) -> Bad: (C:\DOCUME~1\XX014B~1\DATOSD~1\MACROM~1\Common\701 a00761.dll) Good: (wdmaud.drv) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Drivers32\mixer2 (Hijack.Sound) -> Bad: (C:\DOCUME~1\XX014B~1\DATOSD~1\MACROM~1\Common\701 a00761.dll) Good: (wdmaud.drv) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Drivers32\wave1 (Hijack.Sound) -> Bad: (C:\DOCUME~1\XX014B~1\DATOSD~1\MACROM~1\Common\701 a00761.dll) Good: (wdmaud.drv) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Drivers32\wave2 (Hijack.Sound) -> Bad: (C:\DOCUME~1\XX014B~1\DATOSD~1\MACROM~1\Common\701 a00761.dll) Good: (wdmaud.drv) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Hijack.Userinit) -> Bad: (C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\syste m32\intel64.exe,) Good: (Userinit.exe) -> No action taken.

Carpetas Infectadas:
C:\WINDOWS\system32\terrapof32 (Backdoor.Bot) -> No action taken.

Ficheros Infectados:
C:\WINDOWS\system32\terrapof32\efwef23.gds (Backdoor.Bot) -> No action taken.
C:\WINDOWS\system32\terrapof32\efwef23.gds.lll (Backdoor.Bot) -> No action taken.
C:\WINDOWS\system32\terrapof32\g45hged.gdp (Backdoor.Bot) -> No action taken.
C:\Documents and Settings\HelpAssistant\Datos de programa\Macromedia\Common\701a00761.dll (Hijack.Sound) -> No action taken.
C:\Documents and Settings\x x\Datos de programa\Macromedia\Common\701a00761.dll (Hijack.Sound) -> No action taken.
C:\Documents and Settings\HelpAssistant\Datos de programa\wiaserva.log (Malware.Trace) -> No action taken.
C:\Documents and Settings\x x\Datos de programa\wiaserva.log (Malware.Trace) -> No action taken.
C:\WINDOWS\system32\intel64.exe (Trojan.Zbot) -> No action taken.
C:\WINDOWS\Fonts\nvcpl.exe (Worm.Archive) -> No action taken.
C:\WINDOWS\msacm32.drv (Trojan.Agent) -> No action taken.
C:\WINDOWS\wuasirvy.dll (Trojan.Banker) -> No action taken.


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 22:34:44, on 03/11/2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Archivos de programa\Archivos comunes\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\Archivos de programa\Alwil Software\Avast4\aswUpdSv.exe
C:\Archivos de programa\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Archivos de programa\Archivos comunes\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Archivos de programa\Bonjour\mDNSResponder.exe
C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7DEBUG\mdm.exe
C:\Archivos de programa\CyberLink\Shared Files\RichVideo.exe
C:\Archivos de programa\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
C:\WINDOWS\system32\svchost.exe
C:\Archivos de programa\Alwil Software\Avast4\ashMaiSv.exe
C:\WINDOWS\system32\svchost.exe
C:\Archivos de programa\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Archivos de programa\D-Tools\daemon.exe
C:\ARCHIV~1\ALWILS~1\Avast4\ashDisp.exe
C:\Archivos de programa\iTunes\iTunesHelper.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Archivos de programa\iPod\bin\iPodService.exe
C:\WINDOWS\explorer.exe
C:\Archivos de programa\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.realgm.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDO WS\system32\intel64.exe,
O2 - BHO: Aplicación auxiliar de vínculos de Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Archivos comunes\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: flashget urlcatch - {2F364306-AA45-47B5-9F9D-39A8B94E7EF7} - (no file)
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\Archivos de programa\Microsoft Office\Office12\GrooveShellExtensions.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.6.0_05\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Aplicación auxiliar de inicio de sesión - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Archivos de programa\D-Tools\daemon.exe" -lang 3082
O4 - HKLM\..\Run: [avast!] C:\ARCHIV~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [AppleSyncNotifier] C:\Archivos de programa\Archivos comunes\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe
O4 - HKLM\..\Run: [iTunesHelper] "C:\Archivos de programa\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [NvCplDaemon] C:\WINDOWS\Fonts\nvcpl.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [WAB] C:\Documents and Settings\x x\Datos de programa\Macromedia\Common\701a007619.exe
O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Archivos de programa\SUPERAntiSpyware\SUPERAntiSpyware.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICIO LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Servicio de red')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: Add to AMV Converter... - C:\Archivos de programa\MP3 Player Utilities 4.09\AMVConverter\grab.html
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: MediaManager tool grab multimedia file - C:\Archivos de programa\MP3 Player Utilities 4.09\MediaManager\grab.html
O8 - Extra context menu item: Save Flash - res://C:\Archivos de programa\UnH Solutions\Flash Saving Plugin\FlashSButton.dll/210
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: Enviar a OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\ARCHIV~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: &Enviar a OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\ARCHIV~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: Barra de búsqueda de Encarta - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O9 - Extra button: Flash - {43CF38F3-5AEC-45a3-AD31-04EB06E9C6CA} - C:\Archivos de programa\UnH Solutions\Flash Saving Plugin\FlashSButton.dll (HKCU)
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1173177356234
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\Archivos de programa\Microsoft Office\Office12\GrooveSystemServices.dll
O20 - Winlogon Notify: !SASWinLogon - C:\Archivos de programa\SUPERAntiSpyware\SASWINLO.dll
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Archivos de programa\Archivos comunes\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Archivos de programa\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Archivos de programa\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Archivos de programa\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Archivos de programa\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Servicio Bonjour (Bonjour Service) - Apple Inc. - C:\Archivos de programa\Bonjour\mDNSResponder.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Archivos de programa\Archivos comunes\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: Servicio del iPod (iPod Service) - Apple Inc. - C:\Archivos de programa\iPod\bin\iPodService.exe
O23 - Service: NBService - Nero AG - C:\Archivos de programa\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Archivos de programa\Archivos comunes\Ahead\Lib\NMIndexingService.exe
O23 - Service: Programador de LiveUpdate automático - Unknown owner - C:\Archivos de programa\Symantec\LiveUpdate\ALUSchedulerSvc.exe (file missing)
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Archivos de programa\CyberLink\Shared Files\RichVideo.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Archivos de programa\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\CCPD-LC\symlcsvc.exe
O23 - Service: TuneUp Drive Defrag Service (TuneUp.Defrag) - TuneUp Software - C:\WINDOWS\System32\TuneUpDefragService.exe

--
End of file - 9099 bytes


Gracias por tu ayuda y espero que me puedas seguir ayudando.

Un abrazo.

Aún hay infecciones en tu sistema sigue estos pasos:

- Descarga la herramienta ComboFix.exe y guárdala en el escritorio.

• Desactiva temporalmente el Antivirus y/o Antispyware.
• Cierra todas las ventanas abiertas.
• Haz doble clic al archivo ComboFix.exe y sigue las instrucciones.
• Cuando termine, generará un registro en C:\ComboFix.txt.
  • *Nota* Mientras CF este trabajando no mover el mouse ya que pararía su proceso.
  • *Nota* ComboFix puede reiniciar automáticamente el PC para completar el proceso de eliminación.

• Reinicia y pega el reporte de C:\ComboFix.txt en este mismo mensaje.

Saludos

Hola amigo

Gracias de nuevo por la rapidez en tu respuesta.

Este es el reporte que me dió el combofix; no sé si es correcto ya que saltó el antivirus (aunque lo desactivé) al encontrar algún virus (como me ausenté mientras lo ejecutaba, si reinició es posible que activara el antivirus).

ComboFix 09-11-01.04 - x x 04/11/2009 0:07:09.1.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.3.1252.34.3082.18.1023.518 [GMT 1:00]
Running from: C:\Documents and Settings\x x\Escritorio\ComboFix.exe
AV: avast! antivirus 4.8.1201 [VPS 091102-0] *On-access scanning disabled* (Updated) {7591DB91-41F0-48A3-B128-1A293FD8233D}
* Created a new restore point

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
.
ADS - WINDOWS: deleted 24 bytes in 1 streams.

((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Documents and Settings\x x\Datos de programa\wiaserva.log
C:\WINDOWS\msacm32.drv
C:\WINDOWS\rasqervy.dll
C:\WINDOWS\sdfinacs.dll
C:\WINDOWS\sdfixwcs.dll
C:\WINDOWS\system32\intel64.exe
C:\WINDOWS\system32\terrapof32
C:\WINDOWS\system32\terrapof32\efwef23.gds
C:\WINDOWS\system32\terrapof32\efwef23.gds.lll
C:\WINDOWS\system32\terrapof32\g45hged.gdp
C:\WINDOWS\system32\wbem\proquota.exe
C:\WINDOWS\wuasirvy.dll

C:\WINDOWS\system32\proquota.exe was missing
Restored copy from - C:\WINDOWS\ServicePackFiles\i386\proquota.exe

.
((((((((((((((((((((((((( Files Created from 2009-10-03 to 2009-11-03 )))))))))))))))))))))))))))))))
.

2009-11-03 23:15:15 . 2008-04-14 05:49:10 50688 -c--a-w- C:\WINDOWS\system32\dllcache\proquota.exe
2009-11-03 23:15:15 . 2008-04-14 05:49:10 50688 ----a-w- C:\WINDOWS\system32\proquota.exe
2009-11-02 00:30:52 . 2009-11-02 00:30:52 0 d-----w- C:\Documents and Settings\x x\Datos de programa\Malwarebytes
2009-11-02 00:30:43 . 2009-09-10 13:54:06 38224 ----a-w- C:\WINDOWS\system32\drivers\mbamswissarmy.sys
2009-11-02 00:30:42 . 2009-11-02 00:30:42 0 d-----w- C:\Documents and Settings\All Users\Datos de programa\Malwarebytes
2009-11-02 00:30:42 . 2009-09-10 13:53:50 19160 ----a-w- C:\WINDOWS\system32\drivers\mbam.sys
2009-11-02 00:30:41 . 2009-11-02 00:30:49 0 d-----w- C:\Archivos de programa\Malwarebytes' Anti-Malware
2009-11-02 00:19:04 . 2009-11-02 00:19:04 0 d-----w- C:\Documents and Settings\All Users\Datos de programa\SUPERAntiSpyware.com
2009-11-02 00:18:53 . 2009-11-02 00:18:56 0 d-----w- C:\Archivos de programa\SUPERAntiSpyware
2009-11-02 00:18:53 . 2009-11-02 00:18:53 0 d-----w- C:\Documents and Settings\x x\Datos de programa\SUPERAntiSpyware.com
2009-11-02 00:18:31 . 2009-11-02 00:18:31 0 d-----w- C:\Archivos de programa\Archivos comunes\Wise Installation Wizard
2009-11-01 12:31:13 . 2009-11-01 12:31:13 0 d-----w- C:\Archivos de programa\Trend Micro
2009-10-31 17:07:58 . 2009-10-31 17:08:25 0 d-----w- C:\Documents and Settings\x x\Datos de programa\fretsonfire
2009-10-22 22:00:34 . 2009-10-22 22:00:34 0 d-----w- C:\Documents and Settings\HelpAssistant\WINDOWS
2009-10-22 22:00:34 . 2009-10-22 22:00:34 0 d-----w- C:\Documents and Settings\HelpAssistant\UserData
2009-10-22 22:00:34 . 2009-10-22 22:00:34 0 d-----w- C:\Documents and Settings\HelpAssistant\Saved Games
2009-10-22 22:00:29 . 2009-10-22 22:00:29 0 d-----w- C:\Documents and Settings\HelpAssistant\PrivacIE
2009-10-22 21:55:34 . 2009-10-22 21:55:34 0 d-----w- C:\Documents and Settings\HelpAssistant\IETldCache
2009-10-22 21:55:02 . 2009-10-22 21:55:02 0 d-----w- C:\Documents and Settings\HelpAssistant\Contacts

.
(((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))) ))
.
2009-11-02 23:22:49 . 2009-09-08 23:59:35 0 d-----w- C:\Documents and Settings\All Users\Datos de programa\Spybot - Search & Destroy
2009-10-31 14:20:49 . 2004-08-13 14:28:33 468362 ----a-w- C:\WINDOWS\system32\perfh00A.dat
2009-10-31 14:20:49 . 2004-08-13 14:28:32 83370 ----a-w- C:\WINDOWS\system32\perfc00A.dat
2009-10-17 00:36:25 . 2007-03-06 15:45:33 0 d-----w- C:\Documents and Settings\All Users\Datos de programa\Microsoft Help
2009-10-09 23:50:44 . 2009-01-11 13:08:55 0 d-----w- C:\Documents and Settings\x x\Datos de programa\mani.de
2009-10-09 20:26:47 . 2007-03-14 17:39:36 0 d-----w- C:\Documents and Settings\All Users\Datos de programa\DVD Shrink
2009-10-03 21:44:31 . 2009-10-03 21:39:58 0 d-----w- C:\Documents and Settings\x x\Datos de programa\DMCache
2009-10-03 21:39:57 . 2007-07-19 03:27:12 0 d-----w- C:\Documents and Settings\x x\Datos de programa\Thinstall
2009-10-03 13:25:56 . 2009-10-03 13:25:56 362240 ----a-w- C:\WINDOWS\system32\TuneUpDefragService.exe
2009-10-03 13:14:00 . 2009-10-03 13:14:00 0 d-----w- C:\Documents and Settings\All Users\Datos de programa\TuneUp Software
2009-10-02 22:15:11 . 2009-10-02 22:15:10 0 d-----w- C:\Archivos de programa\TeaTimer (Spybot - Search & Destroy)
2009-10-02 22:15:11 . 2009-10-02 22:15:10 0 d-----w- C:\Archivos de programa\File Scanner Library (Spybot - Search & Destroy)
2009-10-02 22:15:10 . 2009-10-02 22:15:10 0 d-----w- C:\Archivos de programa\Misc. Support Library (Spybot - Search & Destroy)
2009-10-01 22:09:29 . 2009-10-01 22:09:29 60216 ---ha-w- C:\WINDOWS\system32\mlfcache.dat
2009-10-01 08:54:45 . 2009-10-01 08:54:25 0 d-----w- C:\Documents and Settings\x x\Datos de programa\TreeDBNotes 3
2009-09-25 03:07:13 . 2008-09-11 11:25:53 0 d-----w- C:\Archivos de programa\iTunes
2009-09-25 03:06:24 . 2009-09-25 03:06:24 0 d-----w- C:\Archivos de programa\iPod
2009-09-25 03:06:22 . 2008-09-06 1907 0 d-----w- C:\Archivos de programa\Archivos comunes\Apple
2009-09-15 18:02:06 . 2008-09-06 19:12:02 0 d-----w- C:\Documents and Settings\x x\Datos de programa\Apple Computer
2009-09-15 17:59:04 . 2009-09-15 17:58:12 0 d-----w- C:\Documents and Settings\All Users\Datos de programa\{755AC846-7372-4AC8-8550-C52491DAA8BD}
2009-09-15 17:56:31 . 2007-03-14 17:54:19 0 d-----w- C:\Archivos de programa\QuickTime Alternative
2009-09-09 16:28:22 . 2007-03-14 16:17:18 0 d-----w- C:\Archivos de programa\Everest 2007
2009-09-07 18:17:47 . 2007-03-20 17:34:01 0 d-----w- C:\Archivos de programa\CCleaner
2009-09-04 21:04:33 . 2004-08-19 13:42:16 58880 ----a-w- C:\WINDOWS\system32\msasn1.dll
2009-08-29 07:56:51 . 2004-08-19 13:42:32 916480 ----a-w- C:\WINDOWS\system32\wininet.dll
2009-08-28 17:42:52 . 2008-09-11 11:21:03 2065696 ----a-w- C:\WINDOWS\system32\usbaaplrc.dll
2009-08-28 17:42:52 . 2008-09-06 1924 40448 ----a-w- C:\WINDOWS\system32\drivers\usbaapl.sys
2009-08-26 08:01:17 . 2004-08-19 13:42:28 247326 ----a-w- C:\WINDOWS\system32\strmdll.dll
2009-08-17 21:33:52 . 2009-08-17 21:33:52 1193832 ----a-w- C:\WINDOWS\system32\FM20.DLL
2009-08-06 18:24:18 . 2007-03-06 0959 327896 ----a-w- C:\WINDOWS\system32\wucltui.dll
2009-08-06 18:24:18 . 2007-03-06 0959 209632 ----a-w- C:\WINDOWS\system32\wuweb.dll
2009-08-06 18:24:10 . 2007-03-06 10:36:32 44768 ----a-w- C:\WINDOWS\system32\wups2.dll
2009-08-06 18:24:10 . 2007-03-06 0958 35552 ----a-w- C:\WINDOWS\system32\wups.dll
2009-08-06 18:24:06 . 2007-03-06 0958 53472 ----a-w- C:\WINDOWS\system32\wuauclt.exe
2009-08-06 18:24:04 . 2004-08-19 13:41:50 96480 ----a-w- C:\WINDOWS\system32\cdm.dll
2009-08-06 18:23:54 . 2007-03-06 0958 575704 ----a-w- C:\WINDOWS\system32\wuapi.dll
2009-08-06 18:23:46 . 2007-03-06 0959 1929952 ----a-w- C:\WINDOWS\system32\wuaueng.dll
2007-12-03 19:47:54 . 2007-12-03 19:40:48 24 --sh--w- C:\WINDOWS\S22717E5B.tmp
.

((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\Run]
"WAB"="C:\Documents and Settings\x x\Datos de programa\Macromedia\Common\701a007619.exe" [2009-11-03 23:27:32 16384]
"SUPERAntiSpyware"="C:\Archivos de programa\SUPERAntiSpyware\SUPERAntiSpyware.exe" [2009-10-12 20:24:50 2000112]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2008-04-14 05:48:54 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run]
"DAEMON Tools-1033"="C:\Archivos de programa\D-Tools\daemon.exe" [2004-08-22 16:05:02 81920]
"avast!"="C:\ARCHIV~1\ALWILS~1\Avast4\ashDisp. exe" [2008-05-15 23:19:31 79224]
"AppleSyncNotifier"="C:\Archivos de programa\Archivos comunes\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe" [2009-08-13 13:51:42 177440]
"iTunesHelper"="C:\Archivos de programa\iTunes\iTunesHelper.exe" [2009-09-21 14:36:12 305440]
"SoundMan"="SOUNDMAN.EXE" - C:\WINDOWS\soundman.exe [2006-11-17 04:42:52 577536]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\Cur rentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2008-04-14 05:48:54 15360]

[hkey_local_machine\software\microsoft\windows\curr entversion\explorer\ShellExecuteHooks]
"{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA}"= "C:\Archivos de programa\SUPERAntiSpyware\SASSEH.DLL" [2008-05-13 09:13:36 77824]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\!SASWinLogon]
2009-09-03 14:21:42 548352 ----a-w- C:\Archivos de programa\SUPERAntiSpyware\SASWINLO.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"mixer1"=C:\DOCUME~1\XX014B~1\DATOSD~1\MACROM~1\Co mmon\701a00761.dll
"wave1"=C:\DOCUME~1\XX014B~1\DATOSD~1\MACROM~1\Com mon\701a00761.dll
"midi2"=C:\DOCUME~1\XX014B~1\DATOSD~1\MACROM~1\Com mon\701a00761.dll
"aux1"=C:\DOCUME~1\XX014B~1\DATOSD~1\MACROM~1\Comm on\701a00761.dll
"mixer2"=C:\DOCUME~1\XX014B~1\DATOSD~1\MACROM~1\Co mmon\701a00761.dll
"midi1"=C:\DOCUME~1\XX014B~1\DATOSD~1\MACROM~1\Com mon\701a00761.dll
"aux2"=C:\DOCUME~1\XX014B~1\DATOSD~1\MACROM~1\Comm on\701a00761.dll
"wave2"=C:\DOCUME~1\XX014B~1\DATOSD~1\MACROM~1\Com mon\701a00761.dll

Gracias de nuevo por tu ayuda.

Un abrazo.

NOTA: Actualizo 15 minutos después. Noté que ya puedo actualizar el MBAM.

El reporte que pegaste está incompleto, pégalo completo para poder analizarlo.

Hola amigo

Este es el log que me ha creado, no me dejé nada por pegar, ya me imaginé que algo fue mal.

Lo que hoy he hecho ha sido pasar el MBAM y ya por fin me funcionó. Seguidamente ejecuté el HijackThis. Estos son los reportes que me generaron:

Malwarebytes' Anti-Malware 1.41
Versión de la Base de Datos: 3097
Windows 5.1.2600 Service Pack 3

04/11/2009 12:45:18
mbam-log-2009-11-04 (12-45-18).txt

Tipo de examen : Examen Rápido
Objetos examinados: 111394
Tiempo transcurrido: 6 minute(s), 12 second(s)

Procesos en Memoria Infectados: 0
Módulos en Memoria Infectados: 0
Claves del Registro Infectadas: 0
Valores del Registro Infectados: 2
Elementos de Datos del Registro Infectados: 8
Carpetas Infectadas: 0
Ficheros Infectados: 5

Procesos en Memoria Infectados:
(No se han detectado elementos maliciosos)

Módulos en Memoria Infectados:
(No se han detectado elementos maliciosos)

Claves del Registro Infectadas:
(No se han detectado elementos maliciosos)

Valores del Registro Infectados:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\Run\rundll32.exe (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\Run\wab (Trojan.Dropper) -> Quarantined and deleted successfully.

Elementos de Datos del Registro Infectados:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Drivers32\aux1 (Hijack.Sound) -> Bad: (C:\DOCUME~1\XX014B~1\DATOSD~1\MACROM~1\Common\701 a00761.dll) Good: (wdmaud.drv) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Drivers32\aux2 (Hijack.Sound) -> Bad: (C:\DOCUME~1\NETWOR~1\DATOSD~1\MACROM~1\Common\701 a00761.dll) Good: (wdmaud.drv) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Drivers32\midi1 (Hijack.Sound) -> Bad: (C:\DOCUME~1\NETWOR~1\DATOSD~1\MACROM~1\Common\701 a00761.dll) Good: (wdmaud.drv) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Drivers32\midi2 (Hijack.Sound) -> Bad: (C:\DOCUME~1\XX014B~1\DATOSD~1\MACROM~1\Common\701 a00761.dll) Good: (wdmaud.drv) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Drivers32\mixer1 (Hijack.Sound) -> Bad: (C:\DOCUME~1\XX014B~1\DATOSD~1\MACROM~1\Common\701 a00761.dll) Good: (wdmaud.drv) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Drivers32\mixer2 (Hijack.Sound) -> Bad: (C:\DOCUME~1\NETWOR~1\DATOSD~1\MACROM~1\Common\701 a00761.dll) Good: (wdmaud.drv) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Drivers32\wave1 (Hijack.Sound) -> Bad: (C:\DOCUME~1\XX014B~1\DATOSD~1\MACROM~1\Common\701 a00761.dll) Good: (wdmaud.drv) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Drivers32\wave2 (Hijack.Sound) -> Bad: (C:\DOCUME~1\NETWOR~1\DATOSD~1\MACROM~1\Common\701 a00761.dll) Good: (wdmaud.drv) -> Quarantined and deleted successfully.

Carpetas Infectadas:
(No se han detectado elementos maliciosos)

Ficheros Infectados:
C:\Documents and Settings\HelpAssistant\Datos de programa\Macromedia\Common\701a00761.dll (Hijack.Sound) -> Quarantined and deleted successfully.
C:\Documents and Settings\x x\Datos de programa\Macromedia\Common\701a00761.dll (Hijack.Sound) -> Quarantined and deleted successfully.
C:\Documents and Settings\HelpAssistant\Datos de programa\wiaserva.log (Malware.Trace) -> Quarantined and deleted successfully.
C:\WINDOWS\Fonts\nvcpl.exe (Worm.Archive) -> Quarantined and deleted successfully.
C:\Documents and Settings\x x\Datos de programa\Macromedia\Common\701a007619.exe (Trojan.Dropper) -> Quarantined and deleted successfully.

-------------------------------------------------------------------------------------------------------

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12:56:50, on 04/11/2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Archivos de programa\Archivos comunes\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\Archivos de programa\Alwil Software\Avast4\aswUpdSv.exe
C:\Archivos de programa\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Archivos de programa\Archivos comunes\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Archivos de programa\Bonjour\mDNSResponder.exe
C:\Archivos de programa\D-Tools\daemon.exe
C:\ARCHIV~1\ALWILS~1\Avast4\ashDisp.exe
C:\Archivos de programa\iTunes\iTunesHelper.exe
C:\Archivos de programa\SUPERAntiSpyware\SUPERAntiSpyware.exe
C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7DEBUG\mdm.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Archivos de programa\CyberLink\Shared Files\RichVideo.exe
C:\Archivos de programa\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Archivos de programa\Alwil Software\Avast4\ashMaiSv.exe
C:\Archivos de programa\Alwil Software\Avast4\ashWebSv.exe
C:\Archivos de programa\iPod\bin\iPodService.exe
C:\Archivos de programa\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.realgm.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: Aplicación auxiliar de vínculos de Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Archivos comunes\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: flashget urlcatch - {2F364306-AA45-47B5-9F9D-39A8B94E7EF7} - (no file)
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\Archivos de programa\Microsoft Office\Office12\GrooveShellExtensions.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.6.0_05\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Aplicación auxiliar de inicio de sesión - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Archivos de programa\D-Tools\daemon.exe" -lang 3082
O4 - HKLM\..\Run: [avast!] C:\ARCHIV~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [AppleSyncNotifier] C:\Archivos de programa\Archivos comunes\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe
O4 - HKLM\..\Run: [iTunesHelper] "C:\Archivos de programa\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [Malwarebytes Anti-Malware (reboot)] "C:\Archivos de programa\Malwarebytes' Anti-Malware\mbam.exe" /runcleanupscript
O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Archivos de programa\SUPERAntiSpyware\SUPERAntiSpyware.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: Add to AMV Converter... - C:\Archivos de programa\MP3 Player Utilities 4.09\AMVConverter\grab.html
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: MediaManager tool grab multimedia file - C:\Archivos de programa\MP3 Player Utilities 4.09\MediaManager\grab.html
O8 - Extra context menu item: Save Flash - res://C:\Archivos de programa\UnH Solutions\Flash Saving Plugin\FlashSButton.dll/210
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: Enviar a OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\ARCHIV~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: &Enviar a OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\ARCHIV~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: Barra de búsqueda de Encarta - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O9 - Extra button: Flash - {43CF38F3-5AEC-45a3-AD31-04EB06E9C6CA} - C:\Archivos de programa\UnH Solutions\Flash Saving Plugin\FlashSButton.dll (HKCU)
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1173177356234
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\Archivos de programa\Microsoft Office\Office12\GrooveSystemServices.dll
O20 - Winlogon Notify: !SASWinLogon - C:\Archivos de programa\SUPERAntiSpyware\SASWINLO.dll
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Archivos de programa\Archivos comunes\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Archivos de programa\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Archivos de programa\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Archivos de programa\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Archivos de programa\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Servicio Bonjour (Bonjour Service) - Apple Inc. - C:\Archivos de programa\Bonjour\mDNSResponder.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Archivos de programa\Archivos comunes\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: Servicio del iPod (iPod Service) - Apple Inc. - C:\Archivos de programa\iPod\bin\iPodService.exe
O23 - Service: NBService - Nero AG - C:\Archivos de programa\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Archivos de programa\Archivos comunes\Ahead\Lib\NMIndexingService.exe
O23 - Service: Programador de LiveUpdate automático - Unknown owner - C:\Archivos de programa\Symantec\LiveUpdate\ALUSchedulerSvc.exe (file missing)
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Archivos de programa\CyberLink\Shared Files\RichVideo.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Archivos de programa\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Archivos de programa\Archivos comunes\Symantec Shared\CCPD-LC\symlcsvc.exe
O23 - Service: TuneUp Drive Defrag Service (TuneUp.Defrag) - TuneUp Software - C:\WINDOWS\System32\TuneUpDefragService.exe

--
End of file - 8872 bytes

-------------------------------------------------------------------------------------------------------

Lo que me ha dado tiempo a comprobar es que el tema del doble acento quedó resuelto. Pero persisten los siguientes problemas:

1) Sigue el PC muy lento, especialmente al iniciarlo.
2) El Avast! dejó de funcionarme, cuando lo inicializo me indica que la caratula no está completa y el programa no se inicia. Es decir, el residente funciona pero no te deja entrar en el programa.
3) Cuando entro en el Internet Explorer 8, el archivo explorer.exe me ocupa el 100% de la CPU y por tanto hace imposible su funcionamiento.
4) Lo que más me desconcierta, me creó un usuario llamado "HelpAssistant" con derechos de administrador. Jamás lo tuve. Lo descubrí al pasar los antivirus y ver que se creo en C:/Documents and Settings/HelpAssistant/................ Ejecuté "control userpasswords2" dentro del menú inicio y descubrí que tenia derechos de administrador.

Dentro de esta carpeta, C:/Documents and Settings/HelpAssistant/, el avast! encontró varios virus mientras el MBAM realizaba el analisís completo que hice más tarde (que me tardó casi 5 horas).

Gracias amigo por tu tiempo, espero que puedas ayudarme.

Un abrazo

Ejecuta nuevamente el ComboFix y pega su reporte para poder analizarlo.

Hola amigo

Vuelvo a ejecutar el combofix y éste es el resultado:

ComboFix 09-11-01.04 - x x 05/11/2009 23:45.2.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.3.1252.34.3082.18.1023.502 [GMT 1:00]
Running from: c:\documents and settings\x x\Escritorio\ComboFix.exe
AV: avast! antivirus 4.8.1356 [VPS 091104-1] *On-access scanning disabled* (Updated) {7591DB91-41F0-48A3-B128-1A293FD8233D}

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
.
- REDUCED FUNCTIONALITY MODE -
.

((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
---- Previous Run -------
.
c:\documents and settings\x x\Datos de programa\wiaserva.log
c:\windows\msacm32.drv
c:\windows\rasqervy.dll
c:\windows\sdfinacs.dll
c:\windows\sdfixwcs.dll
c:\windows\system32\intel64.exe
c:\windows\system32\terrapof32\efwef23.gds
c:\windows\system32\terrapof32\efwef23.gds.lll
c:\windows\system32\terrapof32\g45hged.gdp
c:\windows\system32\wbem\proquota.exe
c:\windows\wuasirvy.dll

-- Previous Run --

c:\windows\system32\proquota.exe was missing
Restored copy from - c:\windows\ServicePackFiles\i386\proquota.exe

--------

.
((((((((((((((((((((((((( Files Created from 2009-10-05 to 2009-11-05 )))))))))))))))))))))))))))))))
.

2009-11-03 23:15 . 2008-04-14 05:49 50688 -c--a-w- c:\windows\system32\dllcache\proquota.exe
2009-11-03 23:15 . 2008-04-14 05:49 50688 ----a-w- c:\windows\system32\proquota.exe
2009-11-02 00:30 . 2009-11-02 00:30 -------- d-----w- c:\documents and settings\x x\Datos de programa\Malwarebytes
2009-11-02 00:30 . 2009-09-10 13:54 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2009-11-02 00:30 . 2009-11-02 00:30 -------- d-----w- c:\documents and settings\All Users\Datos de programa\Malwarebytes
2009-11-02 00:30 . 2009-09-10 13:53 19160 ----a-w- c:\windows\system32\drivers\mbam.sys
2009-11-02 00:30 . 2009-11-02 00:30 -------- d-----w- c:\archivos de programa\Malwarebytes' Anti-Malware
2009-11-02 00:19 . 2009-11-02 00:19 -------- d-----w- c:\documents and settings\All Users\Datos de programa\SUPERAntiSpyware.com
2009-11-02 00:18 . 2009-11-02 00:18 -------- d-----w- c:\archivos de programa\SUPERAntiSpyware
2009-11-02 00:18 . 2009-11-02 00:18 -------- d-----w- c:\documents and settings\x x\Datos de programa\SUPERAntiSpyware.com
2009-11-02 00:18 . 2009-11-02 00:18 -------- d-----w- c:\archivos de programa\Archivos comunes\Wise Installation Wizard
2009-11-01 12:31 . 2009-11-01 12:31 -------- d-----w- c:\archivos de programa\Trend Micro
2009-10-31 17:07 . 2009-10-31 17:08 -------- d-----w- c:\documents and settings\x x\Datos de programa\fretsonfire
2009-10-22 22:00 . 2009-10-22 22:00 -------- d-----w- c:\documents and settings\HelpAssistant\WINDOWS
2009-10-22 22:00 . 2009-10-22 22:00 -------- d-----w- c:\documents and settings\HelpAssistant\UserData
2009-10-22 22:00 . 2009-10-22 22:00 -------- d-----w- c:\documents and settings\HelpAssistant\Saved Games
2009-10-22 22:00 . 2009-10-22 22:00 -------- d-----w- c:\documents and settings\HelpAssistant\PrivacIE
2009-10-22 21:55 . 2009-11-03 23:25 -------- d-----w- c:\documents and settings\HelpAssistant\IETldCache
2009-10-22 21:55 . 2009-10-22 21:55 -------- d-----w- c:\documents and settings\HelpAssistant\Contacts

.
(((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))) ))
.
2009-11-02 23:22 . 2009-09-08 23:59 -------- d-----w- c:\documents and settings\All Users\Datos de programa\Spybot - Search & Destroy
2009-10-31 14:20 . 2004-08-13 14:28 468362 ----a-w- c:\windows\system32\perfh00A.dat
2009-10-31 14:20 . 2004-08-13 14:28 83370 ----a-w- c:\windows\system32\perfc00A.dat
2009-10-17 00:36 . 2007-03-06 15:45 -------- d-----w- c:\documents and settings\All Users\Datos de programa\Microsoft Help
2009-10-09 23:50 . 2009-01-11 13:08 -------- d-----w- c:\documents and settings\x x\Datos de programa\mani.de
2009-10-09 20:26 . 2007-03-14 17:39 -------- d-----w- c:\documents and settings\All Users\Datos de programa\DVD Shrink
2009-10-03 21:44 . 2009-10-03 21:39 -------- d-----w- c:\documents and settings\x x\Datos de programa\DMCache
2009-10-03 21:39 . 2007-07-19 03:27 -------- d-----w- c:\documents and settings\x x\Datos de programa\Thinstall
2009-10-03 13:25 . 2009-10-03 13:25 362240 ----a-w- c:\windows\system32\TuneUpDefragService.exe
2009-10-03 13:14 . 2009-10-03 13:14 -------- d-----w- c:\documents and settings\All Users\Datos de programa\TuneUp Software
2009-10-02 22:15 . 2009-10-02 22:15 -------- d-----w- c:\archivos de programa\TeaTimer (Spybot - Search & Destroy)
2009-10-02 22:15 . 2009-10-02 22:15 -------- d-----w- c:\archivos de programa\File Scanner Library (Spybot - Search & Destroy)
2009-10-02 22:15 . 2009-10-02 22:15 -------- d-----w- c:\archivos de programa\Misc. Support Library (Spybot - Search & Destroy)
2009-10-01 22:09 . 2009-10-01 22:09 60216 ---ha-w- c:\windows\system32\mlfcache.dat
2009-10-01 08:54 . 2009-10-01 08:54 -------- d-----w- c:\documents and settings\x x\Datos de programa\TreeDBNotes 3
2009-09-25 03:07 . 2008-09-11 11:25 -------- d-----w- c:\archivos de programa\iTunes
2009-09-25 03:06 . 2009-09-25 03:06 -------- d-----w- c:\archivos de programa\iPod
2009-09-25 03:06 . 2008-09-06 19:10 -------- d-----w- c:\archivos de programa\Archivos comunes\Apple
2009-09-15 18:02 . 2008-09-06 19:12 -------- d-----w- c:\documents and settings\x x\Datos de programa\Apple Computer
2009-09-15 17:59 . 2009-09-15 17:58 -------- d-----w- c:\documents and settings\All Users\Datos de programa\{755AC846-7372-4AC8-8550-C52491DAA8BD}
2009-09-15 17:56 . 2007-03-14 17:54 -------- d-----w- c:\archivos de programa\QuickTime Alternative
2009-09-15 11:59 . 2007-12-02 17:00 1279968 ----a-w- c:\windows\system32\aswBoot.exe
2009-09-15 11:56 . 2007-12-02 17:00 93424 ----a-w- c:\windows\system32\drivers\aswmon.sys
2009-09-15 11:56 . 2007-12-02 17:00 94160 ----a-w- c:\windows\system32\drivers\aswmon2.sys
2009-09-15 11:55 . 2008-06-20 23:18 114768 ----a-w- c:\windows\system32\drivers\aswSP.sys
2009-09-15 11:55 . 2008-06-20 23:18 20560 ----a-w- c:\windows\system32\drivers\aswFsBlk.sys
2009-09-15 11:54 . 2007-12-02 17:00 52368 ----a-w- c:\windows\system32\drivers\aswTdi.sys
2009-09-15 11:54 . 2007-12-02 17:00 23152 ----a-w- c:\windows\system32\drivers\aswRdr.sys
2009-09-15 11:53 . 2007-12-02 17:00 27408 ----a-w- c:\windows\system32\drivers\aavmker4.sys
2009-09-15 11:53 . 2007-12-02 17:00 97480 ----a-w- c:\windows\system32\AvastSS.scr
2009-09-09 16:28 . 2007-03-14 16:17 -------- d-----w- c:\archivos de programa\Everest 2007
2009-09-07 18:17 . 2007-03-20 17:34 -------- d-----w- c:\archivos de programa\CCleaner
2009-09-04 21:04 . 2004-08-19 13:42 58880 ----a-w- c:\windows\system32\msasn1.dll
2009-08-29 07:56 . 2004-08-19 13:42 916480 ------w- c:\windows\system32\wininet.dll
2009-08-28 17:42 . 2008-09-11 11:21 2065696 ----a-w- c:\windows\system32\usbaaplrc.dll
2009-08-28 17:42 . 2008-09-06 19:10 40448 ----a-w- c:\windows\system32\drivers\usbaapl.sys
2009-08-26 08:01 . 2004-08-19 13:42 247326 ----a-w- c:\windows\system32\strmdll.dll
2009-08-17 21:33 . 2009-08-17 21:33 1193832 ----a-w- c:\windows\system32\FM20.DLL
2007-12-03 19:47 . 2007-12-03 19:40 24 --sh--w- c:\windows\S22717E5B.tmp
.

((((((((((((((((((((((((((((( SnapShot@2009-11-03_23.19.20 )))))))))))))))))))))))))))))))))))))))))
.
+ 2009-11-05 22:37 . 2009-11-05 22:37 16384 c:\windows\Temp\Perflib_Perfdata_5ac.dat
+ 2007-03-06 15:55 . 2009-08-06 18:23 215920 c:\windows\system32\muweb.dll
+ 2007-03-06 15:55 . 2009-08-06 18:23 274288 c:\windows\system32\mucltui.dll
.
((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown
REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run]
"DAEMON Tools-1033"="c:\archivos de programa\D-Tools\daemon.exe" [2004-08-22 81920]
"avast!"="c:\archiv~1\ALWILS~1\Avast4\ashDisp. exe" [2009-09-15 81000]
"AppleSyncNotifier"="c:\archivos de programa\Archivos comunes\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe" [2009-08-13 177440]
"iTunesHelper"="c:\archivos de programa\iTunes\iTunesHelper.exe" [2009-09-21 305440]
"Malwarebytes Anti-Malware (reboot)"="c:\archivos de programa\Malwarebytes' Anti-Malware\mbam.exe" [2009-09-10 1312080]
"SoundMan"="SOUNDMAN.EXE" - c:\windows\soundman.exe [2006-11-17 577536]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\Cur rentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

[hkey_local_machine\software\microsoft\windows\curr entversion\explorer\ShellExecuteHooks]
"{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA}"= "c:\archivos de programa\SUPERAntiSpyware\SASSEH.DLL" [2008-05-13 77824]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\!SASWinLogon]
2009-09-03 14:21 548352 ----a-w- c:\archivos de programa\SUPERAntiSpyware\SASWINLO.dll

[HKEY_CURRENT_USER\software\microsoft\windows\curre ntversion\run-]
"EA Core"=c:\archivos de programa\Electronic Arts\EA Downloader\Core.exe -silent
"DWQueuedReporting"="c:\archiv~1\ARCHIV~1\MICROS~1 \DW\dwtrig20.exe" -t
"AdobeUpdater"="c:\archivos de programa\Archivos comunes\Adobe\Updater5\AdobeUpdater.exe"
"CTFMON.EXE"=c:\windows\system32\ctfmon.exe
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="c:\archivos de programa\Archivos comunes\Ahead\Lib\NMBgMonitor.exe"
"SUPERAntiSpyware"=c:\archivos de programa\SUPERAntiSpyware\SUPERAntiSpyware.exe

[HKEY_LOCAL_MACHINE\software\microsoft\windows\curr entversion\run-]
"RemoteControl"="c:\archivos de programa\CyberLink\PowerDVD\PDVDServ.exe"
"LanguageShortcut"="c:\archivos de programa\CyberLink\PowerDVD\Language\Language.exe"
"Symantec PIF AlertEng"="c:\archivos de programa\Archivos comunes\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe" /a /m "c:\archivos de programa\Archivos comunes\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\AlertEng.dll"
"GrooveMonitor"="c:\archivos de programa\Microsoft Office\Office12\GrooveMonitor.exe"
"AAWTray"=c:\archivos de programa\Lavasoft\Ad-Aware 2007\AAWTray.exe
"NeroFilterCheck"=c:\archivos de programa\Archivos comunes\Ahead\Lib\NeroCheck.exe
"SunJavaUpdateSched"="c:\archivos de programa\Java\jre1.6.0_05\bin\jusched.exe"
"ATICCC"="c:\archivos de programa\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay
"KernelFaultCheck"=%systemroot%\system32\dumpr ep 0 -k
"QuickTime Task"="c:\archivos de programa\QuickTime Alternative\qttask.exe" -atboottime
"Adobe Reader Speed Launcher"="c:\archivos de programa\Adobe\Reader 8.0\Reader\Reader_sl.exe"
"Malwarebytes Anti-Malware (reboot)"="c:\archivos de programa\Malwarebytes' Anti-Malware\mbam.exe" /runcleanupscript

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpo licy\standardprofile\AuthorizedApplications\List]
"c:\\Archivos de programa\\GIGABYTE\\@BIOS\\gwflash.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Archivos de programa\\Microsoft Office\\Office12\\OUTLOOK.EXE"=
"c:\\Archivos de programa\\Microsoft Office\\Office12\\GROOVE.EXE"=
"c:\\Archivos de programa\\Microsoft Office\\Office12\\ONENOTE.EXE"=
"c:\\WINDOWS\\system32\\sessmgr.exe"=
"c:\\Archivos de programa\\EA SPORTS\\MVP Baseball 2005\\mvp2005.exe"=
"%windir%\\system32\\sessmgr.exe"=
"c:\\Archivos de programa\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Archivos de programa\\Windows Live\\Messenger\\livecall.exe"=
"c:\\Archivos de programa\\Bonjour\\mDNSResponder.exe"=
"c:\\Archivos de programa\\iTunes\\iTunes.exe"=
"c:\\Archivos de programa\\Java\\jre1.6.0_05\\launch4j-tmp\\JDownloader.exe"=
"c:\\WINDOWS\\system32\\java.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpo licy\standardprofile\GloballyOpenPorts\List]
"3389:TCP"= 3389:TCP:Remote Desktop

R1 aswSP;avast! Self Protection;c:\windows\system32\drivers\aswSP.sys [21/06/2008 0:18 114768]
R1 SASDIFSV;SASDIFSV;c:\archivos de programa\SUPERAntiSpyware\sasdifsv.sys [12/10/2009 21:24 9968]
R1 SASKUTIL;SASKUTIL;c:\archivos de programa\SUPERAntiSpyware\SASKUTIL.SYS [12/10/2009 21:24 74480]
R2 aswFsBlk;aswFsBlk;c:\windows\system32\drivers\aswF sBlk.sys [21/06/2008 0:18 20560]
R3 pctvvbi;PCTVVBI;c:\windows\system32\drivers\pctvvb i.sys [06/03/2007 11:12 6400]
S2 Programador de LiveUpdate automático;Programador de LiveUpdate automático;"c:\archivos de programa\Symantec\LiveUpdate\ALUSchedulerSvc.exe" --> c:\archivos de programa\Symantec\LiveUpdate\ALUSchedulerSvc.exe [?]
S3 EraserUtilRebootDrv;EraserUtilRebootDrv;\??\c:\arc hivos de programa\Archivos comunes\Symantec Shared\EENGINE\EraserUtilRebootDrv.sys --> c:\archivos de programa\Archivos comunes\Symantec Shared\EENGINE\EraserUtilRebootDrv.sys [?]
S3 phil2vid;Cámara USB VGA de Philips;c:\windows\system32\drivers\philcam2.sys [06/03/2007 18:53 173696]
S3 SASENUM;SASENUM;c:\archivos de programa\SUPERAntiSpyware\SASENUM.SYS [12/10/2009 21:24 7408]
S3 VMMDriver;VMM Driver;\??\c:\santander\AGOSTO_2007\PORTABLES\Port able Microsoft Virtual Pc 2007\Appdata\bin\VMM\VMM.sys --> c:\santander\AGOSTO_2007\PORTABLES\Portable Microsoft Virtual Pc 2007\Appdata\bin\VMM\VMM.sys [?]

--- Other Services/Drivers In Memory ---

*Deregistered* - mbr
.
.
------- Supplementary Scan -------
.
uStart Page = hxxp://www.realgm.com/
uInternet Settings,ProxyOverride = *.local
IE: Add to AMV Converter... - c:\archivos de programa\MP3 Player Utilities 4.09\AMVConverter\grab.html
IE: E&xportar a Microsoft Excel - c:\archiv~1\MICROS~2\Office12\EXCEL.EXE/3000
IE: MediaManager tool grab multimedia file - c:\archivos de programa\MP3 Player Utilities 4.09\MediaManager\grab.html
IE: Save Flash - c:\archivos de programa\UnH Solutions\Flash Saving Plugin\FlashSButton.dll/210
.

************************************************** ************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-11-05 23:48
Windows 5.1.2600 Service Pack 3 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden files: 0

************************************************** ************************

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully
user: MBR read successfully
called modules: ntoskrnl.exe catchme.sys CLASSPNP.SYS disk.sys >>UNKNOWN [0x867ECE40]<<
kernel: MBR read successfully
detected MBR rootkit hooks:
\Driver\ACPI -> 0x867ece40
\Driver\atapi -> 0x870d3b68
Warning: possible MBR rootkit infection !
copy of MBR has been found in sector 0x0950E4C1
malicious code @ sector 0x0950E4C4 !
PE file found in sector at 0x0950E4DA !
MBR rootkit infection detected ! Use: "mbr.exe -f" to fix.

************************************************** ************************
.
--------------------- LOCKED REGISTRY KEYS ---------------------

[HKEY_USERS\S-1-5-21-1644491937-630328440-725345543-1003\Software\Microsoft\Windows\CurrentVersion\She ll Extensions\Approved\{64933D9A-E207-F295-FF1F-8BDFA24A1E17}*]
@Allowed: (Read) (RestrictedCode)
@Allowed: (Read) (RestrictedCode)
.
--------------------- DLLs Loaded Under Running Processes ---------------------

- - - - - - - > 'winlogon.exe'(536)
c:\archivos de programa\SUPERAntiSpyware\SASWINLO.dll
c:\windows\system32\WININET.dll
c:\windows\system32\Ati2evxx.dll

- - - - - - - > 'explorer.exe'(1304)
c:\windows\system32\WININET.dll
c:\windows\system32\webcheck.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
Completion time: 2009-11-05 23:56
ComboFix-quarantined-files.txt 2009-11-05 22:56

Pre-Run: 40.054.894.592 bytes libres
Post-Run: 39.938.658.304 bytes libres

Current=2 Default=2 Failed=1 LastKnownGood=4 Sets=1,2,3,4
- - End Of File - - 897C4A3A4F255F0AA17710908E67177F

------------------------------------------------------------------------------------------------------

Antes del combofix hice estos descubrimientos de última hora:

1) El internet explorer sigue sin funcionarme. Sigo tirando con una versión portable del Firefox. La única mejora en navegadores es que el firefox ya no se me reinicia cada poco tiempo.
2) He descubierto que la opción "permitir que los usuarios se conecten de forma remota a este equipo" está siempre habilitada. Si la deshabilito, en el siguiente reinicio aparece de nuevo habilitada.
3) Lo normal es que cuando ejecuto alguna aplicación por pequeña que sea se bloquea rápidamente y mi única solución es el RESET.

Te agradezco infinito tu ayuda y me disculpo por las molestias.

Un abrazo.

ComboFix se encargó de eliminar la infección.

Con respecto al escritorio remoto, sería bueno desactivarlo desde las directivas de grupo, para ello ve a Inicio->Ejecutar y escribe gpedit.msc luego sigue los pasos de este enlace y nos comentas como va todo.

Saludos