Foro de InfoSpyware - Foro de Hijackthis - Foro de Virus

Hola a todos

Hace un par de dias que mi tecla de acentos me los pone dobles ´´ `` y, tras revisar la configuracion regional del teclado y que la tecla fisica estaba bien, he leido aqui mismo que se trata de un virus.

He pasado el CCcleaner, el Ad-aware completo, el Spyware Doctor, limpiado los temproales, las cookies y despues le he pasado el Hjackthis. Os pego el reporte a ver si veis algo raro.

Gracias.



Running processes:
D:\WINDOWS\system32\csrss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\system32\ZoneLabs\vsmon.exe
D:\WINDOWS\Explorer.EXE
D:\Archivos de programa\Lavasoft\Ad-Aware\aawservice.exe
D:\WINDOWS\system32\spoolsv.exe
D:\WINDOWS\system32\CTsvcCDA.exe
D:\Archivos de programa\Java\jre6\bin\jqs.exe
D:\WINDOWS\system32\nvsvc32.exe
D:\Archivos de programa\Spyware Doctor\pctsAuxs.exe
D:\Archivos de programa\Spyware Doctor\pctsSvc.exe
D:\Archivos de programa\Spyware Doctor\pctsTray.exe
D:\WINDOWS\System32\alg.exe
D:\Archivos de programa\Zone Labs\ZoneAlarm\zlclient.exe
D:\Archivos de programa\Java\jre6\bin\jusched.exe
D:\Archivos de programa\Creative\Creative ZEN\ZEN Media Explorer\CTCheck.exe
D:\Archivos de programa\Messenger\msmsgs.exe
D:\programas\Seguridad\Hijack\HijackThis_1.99.1.ex e
D:\WINDOWS\system32\taskmgr.exe

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings,ProxyOverride = *.local;<local>
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
F2 - REG:system.ini: UserInit=D:\WINDOWS\SYSTEM32\userinit.exe,D:\WINDO WS\system32\msfkzc32.exe,
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - D:\Archivos de programa\Java\jre6\bin\ssv.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - D:\Archivos de programa\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - D:\Archivos de programa\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dl l
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE D:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE D:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [ZoneAlarm Client] "D:\Archivos de programa\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [C6501Sound] RunDll32 c6501.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [IMJPMIG8.1] "D:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [MSPY2002] D:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC
O4 - HKLM\..\Run: [PHIME2002ASync] D:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] D:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [SunJavaUpdateSched] "D:\Archivos de programa\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [NeroFilterCheck] D:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [CTCheck] D:\Archivos de programa\Creative\Creative ZEN\ZEN Media Explorer\CTCheck.exe
O4 - HKLM\..\Run: [ISTray] "D:\Archivos de programa\Spyware Doctor\pctsTray.exe"
O4 - HKCU\..\Run: [MSMSGS] "D:\Archivos de programa\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [CTSyncU.exe] "D:\Archivos de programa\Creative\Sync Manager Unicode\CTSyncU.exe"
O4 - Global Startup: Privoxy.lnk = D:\Archivos de programa\Vidalia Bundle\Privoxy\privoxy.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Archivos de programa\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Archivos de programa\Messenger\msmsgs.exe
O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - http://downloads.ewido.net/ewidoOnlineScan.cab
O16 - DPF: {20A60F0D-9AFA-4515-A0FD-83BD84642501} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab56986.cab
O16 - DPF: {2D8ED06D-3C30-438B-96AE-4D110FDC1FB8} (ActiveScan 2.0 Installer Class) - http://www.pandasecurity.com/activescan/cabs/as2stubie.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {F5A7706B-B9C0-4C89-A715-7A0C6B05DD48} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab56986.cab
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "D:\ARCHIV~1\MSNMES~1\msgrapp.dll" (file missing)
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - D:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - D:\Archivos de programa\Lavasoft\Ad-Aware\aawservice.exe
O23 - Service: Administrador de discos lógicos (dmserver) - Unknown owner - D:\Archivos de programa\Common Files\\System\\smss.exe (file missing)
O23 - Service: ASP.NET State Service (aspnet_state) - Unknown owner - D:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspn et_state.exe (file missing)
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - D:\WINDOWS\system32\CTsvcCDA.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Unknown owner - D:\Archivos de programa\Java\jre6\bin\jqs.exe" -service -config "D:\Archivos de programa\Java\jre6\lib\deploy\jqs\jqs.conf (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - D:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - D:\Archivos de programa\Spyware Doctor\pctsAuxs.exe
O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - D:\Archivos de programa\Spyware Doctor\pctsSvc.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - D:\WINDOWS\system32\ZoneLabs\vsmon.exe

Que tal,

Estas usando al parecer una vesrión desactualizada de HJT.

Realiza los siguientes pasos porfavor:

• Descarga Malwarebytes. +Manual
• Descarga HijackThis 2.02

Ejecuta MalwareBytes con un examen completo y al finalizar pulsa en eliminar lo seleccionado.
Reinicia, abre el MalwareBytes y dejas el reporte que se encuentar en la pestaña "Registro"


Seguidamente, con todos los programas cerrados ejecuta HijackThis y dejas el reporte que te genere.


Dejas ambos reportes para chekearlos.

Gracias, aqui lo tienes, de momento los acentos siguen igual `` ´´



Malwarebytes' Anti-Malware 1.41
Versión de la Base de Datos: 3081
Windows 5.1.2600 Service Pack 2

02/11/2009 4:33:42
mbam-log-2009-11-02 (04-33-42).txt

Tipo de examen : Examen Completo (C:\|D:\|F:\|)
Objetos examinados: 245264
Tiempo transcurrido: 1 hour(s), 33 minute(s), 30 second(s)

Procesos en Memoria Infectados: 0
Módulos en Memoria Infectados: 0
Claves del Registro Infectadas: 4
Valores del Registro Infectados: 1
Elementos de Datos del Registro Infectados: 0
Carpetas Infectadas: 0
Ficheros Infectados: 3

Procesos en Memoria Infectados:
(No se han detectado elementos maliciosos)

Módulos en Memoria Infectados:
(No se han detectado elementos maliciosos)

Claves del Registro Infectadas:
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\Cur rentVersion\Explorer\{19127ad2-394b-70f5-c650-b97867baa1f7} (Backdoor.Bot) -> Quarantined and deleted successfully.
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\Cur rentVersion\Explorer\{43bf8cd1-c5d5-2230-7bb2-98f22c2b7dc6} (Backdoor.Bot) -> Quarantined and deleted successfully.
HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explo rer\{19127ad2-394b-70f5-c650-b97867baa1f7} (Backdoor.Bot) -> Quarantined and deleted successfully.
HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explo rer\{43bf8cd1-c5d5-2230-7bb2-98f22c2b7dc6} (Backdoor.Bot) -> Quarantined and deleted successfully.

Valores del Registro Infectados:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Network\UID (Malware.Trace) -> Quarantined and deleted successfully.

Elementos de Datos del Registro Infectados:
(No se han detectado elementos maliciosos)

Carpetas Infectadas:
(No se han detectado elementos maliciosos)

Ficheros Infectados:
D:\programas\Edicion de video\Nero vision\FORMAT_Keygen.exe (Trojan.Agent) -> Quarantined and deleted successfully.
D:\programas\Presentaciones\CDMenu Pro v6.02.01\Keygen\keygen.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
D:\programas\Seguridad\ProxyChecker-1.0.0.28.exe (Trojan.Dropper) -> Quarantined and deleted successfully.

-----------------------------------------------------------------------------------------------


Este es el del Hijacjthis:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 4:41:56, on 02/11/2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
D:\WINDOWS\system32\csrss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\system32\ZoneLabs\vsmon.exe
D:\WINDOWS\Explorer.EXE
D:\Archivos de programa\Lavasoft\Ad-Aware\aawservice.exe
D:\WINDOWS\system32\spoolsv.exe
D:\WINDOWS\system32\CTsvcCDA.exe
D:\Archivos de programa\Java\jre6\bin\jqs.exe
D:\WINDOWS\system32\nvsvc32.exe
D:\Archivos de programa\Spyware Doctor\pctsAuxs.exe
D:\Archivos de programa\Spyware Doctor\pctsSvc.exe
D:\Archivos de programa\Spyware Doctor\pctsTray.exe
D:\WINDOWS\System32\alg.exe
D:\WINDOWS\system32\RUNDLL32.EXE
D:\Archivos de programa\Zone Labs\ZoneAlarm\zlclient.exe
D:\WINDOWS\system32\RunDll32.exe
D:\Archivos de programa\Java\jre6\bin\jusched.exe
D:\Archivos de programa\Creative\Creative ZEN\ZEN Media Explorer\CTCheck.exe
D:\Archivos de programa\Messenger\msmsgs.exe
D:\Archivos de programa\Creative\Sync Manager Unicode\CTSyncU.exe
D:\Archivos de programa\Vidalia Bundle\Privoxy\privoxy.exe
D:\Archivos de programa\Trend Micro\HijackThis\HijackThis.exe
D:\WINDOWS\system32\wbem\wmiprvse.exe
D:\WINDOWS\system32\wuauclt.exe

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings,ProxyOverride = *.local;<local>
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
F2 - REG:system.ini: UserInit=D:\WINDOWS\SYSTEM32\userinit.exe,D:\WINDO WS\system32\msfkzc32.exe,
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - D:\Archivos de programa\Java\jre6\bin\ssv.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - D:\Archivos de programa\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - D:\Archivos de programa\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dl l
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE D:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE D:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [ZoneAlarm Client] "D:\Archivos de programa\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [C6501Sound] RunDll32 c6501.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [IMJPMIG8.1] "D:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [MSPY2002] D:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC
O4 - HKLM\..\Run: [PHIME2002ASync] D:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] D:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [SunJavaUpdateSched] "D:\Archivos de programa\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [NeroFilterCheck] D:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [CTCheck] D:\Archivos de programa\Creative\Creative ZEN\ZEN Media Explorer\CTCheck.exe
O4 - HKLM\..\Run: [ISTray] "D:\Archivos de programa\Spyware Doctor\pctsTray.exe"
O4 - HKLM\..\Run: [Malwarebytes Anti-Malware (reboot)] "D:\Archivos de programa\Malwarebytes' Anti-Malware\mbam.exe" /runcleanupscript
O4 - HKCU\..\Run: [MSMSGS] "D:\Archivos de programa\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [CTSyncU.exe] "D:\Archivos de programa\Creative\Sync Manager Unicode\CTSyncU.exe"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'SERVICIO LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'Servicio de red')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Privoxy.lnk = D:\Archivos de programa\Vidalia Bundle\Privoxy\privoxy.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Archivos de programa\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Archivos de programa\Messenger\msmsgs.exe
O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - http://downloads.ewido.net/ewidoOnlineScan.cab
O16 - DPF: {20A60F0D-9AFA-4515-A0FD-83BD84642501} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab56986.cab
O16 - DPF: {2D8ED06D-3C30-438B-96AE-4D110FDC1FB8} (ActiveScan 2.0 Installer Class) - http://www.pandasecurity.com/activescan/cabs/as2stubie.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {F5A7706B-B9C0-4C89-A715-7A0C6B05DD48} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab56986.cab
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - D:\Archivos de programa\Lavasoft\Ad-Aware\aawservice.exe
O23 - Service: Administrador de discos lógicos (dmserver) - Unknown owner - D:\Archivos de programa\Common Files\\System\\smss.exe (file missing)
O23 - Service: ASP.NET State Service (aspnet_state) - Unknown owner - D:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspn et_state.exe (file missing)
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - D:\WINDOWS\system32\CTsvcCDA.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - D:\Archivos de programa\Java\jre6\bin\jqs.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - D:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - D:\Archivos de programa\Spyware Doctor\pctsAuxs.exe
O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - D:\Archivos de programa\Spyware Doctor\pctsSvc.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - D:\WINDOWS\system32\ZoneLabs\vsmon.exe

--
End of file - 6476 bytes

Realiza lo siguiente:

Descarga OTM + MANUAL

• Cierra todos los programas y abre HijackThis
• Activa las casillas correspondientes a las siguientes entradas:

• Luego Pulsa sobre

Seguidamente y sin reiniciar Ejecuta la Herramienta OTMoveIt:

• Haz doble clic sobre OTMoveIt.exe para ejecutarlo.
• Asegurate que esté marcado "Unregister Dll's and Ocx's".
• Copia el texto que te dejo en el recuadrado de abajo, y
  pega el texto en el marco izquierdo de OTMoveIt llamado "Paste Standard List of Files / Folders to be Moved"

• Pulsa sobre MoveIt!para lanzar la supresión.
• Cuando el resultado aparezca en el marco Results, pulsa en Exit
• Si no reinicia automáticamente, entonces debes Reiniciar (muy importante para eliminar todo)
• Se creará un reporte en C: \ _ OTMoveIt\MovedFiles con la extensión ".log" lo buscas y lo dejas en tu siguiente Post.

Luego del reinicio vuelve a ejecutar HijackThis y me dejs su reporte junto con el de OTM

El log del OTM

All processes killed
========== SERVICES/DRIVERS ==========
Service\Driver dmserver stopped successfully.
Service\Driver dmserver deleted successfully.
Service\Driver dmserver stopped successfully.
Service\Driver aspnet_state deleted successfully.
========== FILES ==========
File/Folder D:\WINDOWS\system32\msfkzc32.exe not found.
File/Folder D:\Archivos de programa\Common Files\System\smss.exe not found.
========== COMMANDS ==========

[EMPTYTEMP]

User: All Users

User: calvito
->Temp folder emptied: 930550 bytes
->Temporary Internet Files folder emptied: 12654659 bytes
->Java cache emptied: 10062458 bytes
->FireFox cache emptied: 56566766 bytes
->Google Chrome cache emptied: 21491501 bytes

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes

User: LocalService
File delete failed. D:\Documents and Settings\LocalService\Configuración local\Temp\Historial\History.IE5\index.dat scheduled to be deleted on reboot.
File delete failed. D:\Documents and Settings\LocalService\Configuración local\Temp\Cookies\index.dat scheduled to be deleted on reboot.
File delete failed. D:\Documents and Settings\LocalService\Configuración local\Temp\Archivos temporales de Internet\Content.IE5\index.dat scheduled to be deleted on reboot.
->Temp folder emptied: 65984 bytes
File delete failed. D:\Documents and Settings\LocalService\Configuración local\Archivos temporales de Internet\Content.IE5\index.dat scheduled to be deleted on reboot.
->Temporary Internet Files folder emptied: 33170 bytes

User: NetworkService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 2114656 bytes
%systemroot%\System32 .tmp files removed: 3214202 bytes
File delete failed. D:\WINDOWS\temp\ZLT06bb2.TMP scheduled to be deleted on reboot.
File delete failed. D:\WINDOWS\temp\ZLT06bb6.TMP scheduled to be deleted on reboot.
Windows Temp folder emptied: 68032 bytes
RecycleBin emptied: 0 bytes

Total Files Cleaned = 102,30 mb


OTM by OldTimer - Version 3.0.0.6 log created on 11022009_075445

Files moved on Reboot...
File D:\WINDOWS\temp\ZLT06bb2.TMP not found!
File D:\WINDOWS\temp\ZLT06bb6.TMP not found!

Registry entries deleted on Reboot...


---------------------------------------------------------------------------------------------------

El del hijackthis


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 8:03:30, on 02/11/2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
D:\WINDOWS\system32\csrss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\system32\ZoneLabs\vsmon.exe
D:\WINDOWS\Explorer.EXE
D:\Archivos de programa\Lavasoft\Ad-Aware\aawservice.exe
D:\WINDOWS\system32\spoolsv.exe
D:\WINDOWS\system32\CTsvcCDA.exe
D:\Archivos de programa\Java\jre6\bin\jqs.exe
D:\WINDOWS\system32\nvsvc32.exe
D:\WINDOWS\System32\alg.exe
D:\WINDOWS\system32\RUNDLL32.EXE
D:\Archivos de programa\Zone Labs\ZoneAlarm\zlclient.exe
D:\WINDOWS\system32\RunDll32.exe
D:\Archivos de programa\Java\jre6\bin\jusched.exe
D:\Archivos de programa\Creative\Creative ZEN\ZEN Media Explorer\CTCheck.exe
D:\Archivos de programa\Messenger\msmsgs.exe
D:\Archivos de programa\Creative\Sync Manager Unicode\CTSyncU.exe
C:\Archivos de programa\Mozilla Firefox\firefox.exe
D:\WINDOWS\system32\wuauclt.exe
D:\WINDOWS\notepad.exe
D:\Archivos de programa\Trend Micro\HijackThis\HijackThis.exe
D:\WINDOWS\system32\wbem\wmiprvse.exe

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings,ProxyOverride = *.local;<local>
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
F2 - REG:system.ini: UserInit=D:\WINDOWS\SYSTEM32\Userinit.exe,D:\WINDO WS\system32\msfkzc32.exe,
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - D:\Archivos de programa\Java\jre6\bin\ssv.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - D:\Archivos de programa\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - D:\Archivos de programa\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dl l
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE D:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE D:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [ZoneAlarm Client] "D:\Archivos de programa\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [C6501Sound] RunDll32 c6501.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [IMJPMIG8.1] "D:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [MSPY2002] D:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC
O4 - HKLM\..\Run: [PHIME2002ASync] D:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] D:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [SunJavaUpdateSched] "D:\Archivos de programa\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [NeroFilterCheck] D:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [CTCheck] D:\Archivos de programa\Creative\Creative ZEN\ZEN Media Explorer\CTCheck.exe
O4 - HKLM\..\Run: [Malwarebytes Anti-Malware (reboot)] "D:\Archivos de programa\Malwarebytes' Anti-Malware\mbam.exe" /runcleanupscript
O4 - HKCU\..\Run: [MSMSGS] "D:\Archivos de programa\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [CTSyncU.exe] "D:\Archivos de programa\Creative\Sync Manager Unicode\CTSyncU.exe"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'SERVICIO LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'Servicio de red')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Privoxy.lnk = D:\Archivos de programa\Vidalia Bundle\Privoxy\privoxy.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Archivos de programa\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Archivos de programa\Messenger\msmsgs.exe
O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - http://downloads.ewido.net/ewidoOnlineScan.cab
O16 - DPF: {20A60F0D-9AFA-4515-A0FD-83BD84642501} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab56986.cab
O16 - DPF: {2D8ED06D-3C30-438B-96AE-4D110FDC1FB8} (ActiveScan 2.0 Installer Class) - http://www.pandasecurity.com/activescan/cabs/as2stubie.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {F5A7706B-B9C0-4C89-A715-7A0C6B05DD48} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab56986.cab
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - D:\Archivos de programa\Lavasoft\Ad-Aware\aawservice.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - D:\WINDOWS\system32\CTsvcCDA.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - D:\Archivos de programa\Java\jre6\bin\jqs.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - D:\WINDOWS\system32\nvsvc32.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - D:\WINDOWS\system32\ZoneLabs\vsmon.exe

--
End of file - 5712 bytes

-------------------------------------------------------------------------------------------


No se si tendra algo que ver pero tanto al reiniciarse despues del escaneo con el Malawarebites como con el OTM, mientras estaba cargando el escritorio, el sistema ha dado un error y se ha reiniciado el Pc solo. La siguiente vez ya ha cargado todo bien. Igual hay algun proceso en el inicio que ejectuta el codigo malicioso.

Perdon por no poner los acentos u_u

Realiza lo siguiente:

Descarga la herramienta ComboFix.exe y guárdala en el escritorio. (Ver Video del Manual y Uso)

1.-Cierra todos losprogramas y ejecuta HijackThis
Actaiva la casilla correspondiente a la siguiente entrada y pulsa en

F2 - REG:system.ini: UserInit=D:\WINDOWS\SYSTEM32\Userinit.exe,D:\WINDO WS\system32\msfkzc32.exe,

Luego abre MalwareBytes y ve a su pestaña "Mas Herramientas" alli usa File Assassin para que ubiques y elimines (En caso de que exista) wl siguiente archivo:

D:\WINDOWS\system32\msfkzc32.exe

2. Ejecuta ComboFix siguiendo estas instrucciones:

• Desactiva temporalmente el Antivirus y/o Antispyware. (importante)
• Cierra todos los programas y ventanas que tengas abiertas.
• Haz doble clic al archivo ComboFix.exe y sigue las instrucciones.
• Cuando termine, generara un reporte en C:\ComboFix.txt.

o Nota_1: Mientras CF este trabajando no mover el mouse ya que pararía su proceso.
o Nota_2: ComboFix puede reiniciar automáticamente el PC para completar el proceso de eliminación.

3. Reinicia y pega el reporte de C:\ComboFix.txt en tu siguiente Post.

El pc al iniciarse en el ultimo paso se ha vuelto a cerrar tal y como sucedio con los 2 ultimos pasos de tus ultimos 2 mensajes. Me parece muy raro ya que nunca hace eso ¿sera un mecanismo de autodefensa del virus?

Sobre lo que me dijiste, hize lo del HijackThis y el archivo exe no fue posible eliminar con Malwarebytes porque no existia.

El reporte del ComboFix es este:


ComboFix 09-11-01.04 - calvito 03/11/2009 3:05.2.2 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.34.3082.18.1022.649 [GMT 1:00]
Running from: d:\documents and settings\calvito\Escritorio\ComboFix.exe
FW: ZoneAlarm Firewall *disabled* {829BDA32-94B3-44F4-8446-F8FCFF809F8B}

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
.

((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
---- Previous Run -------
.
d:\recycler\S-1-5-21-299502267-839522115-682003330-1003
d:\recycler\S-1-5-21-299502267-839522115-682003330-500

.
((((((((((((((((((((((((( Files Created from 2009-10-03 to 2009-11-03 )))))))))))))))))))))))))))))))
.

2009-11-02 06:54 . 2009-11-02 06:54 -------- d-----w- D:\_OTM
2009-11-01 23:37 . 2009-11-01 23:37 -------- d-----w- d:\documents and settings\calvito\Datos de programa\Malwarebytes
2009-11-01 23:37 . 2009-09-10 13:54 38224 ----a-w- d:\windows\system32\drivers\mbamswissarmy.sys
2009-11-01 23:37 . 2009-11-01 23:37 -------- d-----w- d:\documents and settings\All Users\Datos de programa\Malwarebytes
2009-11-01 23:37 . 2009-09-10 13:53 19160 ----a-w- d:\windows\system32\drivers\mbam.sys
2009-11-01 23:36 . 2009-11-01 23:37 -------- d-----w- d:\archivos de programa\Malwarebytes' Anti-Malware
2009-11-01 23:35 . 2009-11-01 23:35 -------- d-----w- d:\archivos de programa\Trend Micro
2009-11-01 14:02 . 2009-11-01 14:02 -------- d-----w- d:\archivos de programa\Lavasoft
2009-11-01 14:02 . 2009-11-01 14:04 -------- d-----w- d:\documents and settings\All Users\Datos de programa\Lavasoft
2009-11-01 14:00 . 2009-11-01 14:00 -------- d-----w- d:\archivos de programa\Archivos comunes\Wise Installation Wizard
2009-10-29 18:34 . 2009-10-29 18:35 -------- d-----w- d:\temp\Fastbacks
2009-10-21 15:09 . 2009-10-21 15:09 -------- d-sh--w- d:\windows\ftpcache
2009-10-21 15:04 . 2009-10-21 15:07 -------- d-----w- d:\archivos de programa\ContaWin Office
2009-10-21 14:35 . 2009-10-21 14:35 -------- d-----w- d:\archivos de programa\MSSOAP
2009-10-17 12:05 . 2009-10-17 12:05 114688 ----a-w- d:\windows\SKYPNG32.DLL

.
(((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))) ))
.
2009-11-02 06:17 . 2009-02-28 02:18 -------- d-----w- d:\documents and settings\calvito\Datos de programa\Spotify
2009-11-02 04:51 . 2009-02-26 03:20 -------- d-----w- d:\documents and settings\calvito\Datos de programa\tor
2009-11-02 04:51 . 2009-02-26 03:19 -------- d-----w- d:\documents and settings\calvito\Datos de programa\Vidalia
2009-11-02 03:59 . 2008-09-04 08:44 -------- d---a-w- d:\documents and settings\All Users\Datos de programa\TEMP
2009-11-02 00:21 . 2009-06-25 11:23 -------- d-----w- d:\documents and settings\calvito\Datos de programa\teamspeak2
2009-11-01 17:04 . 2008-09-11 12:21 -------- d-----w- d:\documents and settings\All Users\Datos de programa\Soulseek
2009-11-01 13:12 . 2002-09-10 12:00 390786 ----a-w- d:\windows\system32\perfh00A.dat
2009-11-01 13:12 . 2002-09-10 12:00 66780 ----a-w- d:\windows\system32\perfc00A.dat
2009-10-30 20:43 . 2008-09-08 00:03 -------- d-----w- d:\documents and settings\calvito\Datos de programa\Azureus
2009-10-22 13:35 . 2008-09-08 18:40 -------- d-----w- d:\documents and settings\calvito\Datos de programa\CopyToDvd
2009-10-22 03:40 . 2008-11-29 16:08 5642 --sha-w- d:\windows\system32\KGyGaAvL.sys
2009-10-21 15:04 . 2008-09-08 08:38 -------- d--h--w- d:\archivos de programa\InstallShield Installation Information
2009-09-30 12:09 . 2009-09-30 12:09 2641 ----a-w- d:\windows\unins000.dat
2009-09-30 12:09 . 2009-09-30 12:09 694026 ----a-w- d:\windows\unins000.exe
2009-09-07 04:22 . 2008-12-28 20:08 -------- d-----w- d:\archivos de programa\Pando Networks
2009-09-06 13:50 . 2009-09-06 13:50 -------- d-----w- d:\archivos de programa\Shuangs Audio Editor
2009-08-24 15:24 . 2009-08-24 15:24 25280 ----a-w- d:\windows\system32\drivers\hamachi.sys
2007-02-23 17:11 . 2007-02-23 17:11 7680 --sha-w- d:\archivos de programa\Thumbs.db
2006-12-24 14:43 . 2008-09-26 12:32 276465 ----a-w- d:\archivos de programa\visor.rar
2000-09-15 00:55 . 2008-09-26 12:32 43 ----a-r- d:\archivos de programa\visor.txt
1998-06-07 17:57 . 2008-09-26 12:32 716288 ----a-r- d:\archivos de programa\visor.exe
2008-11-29 16:09 . 2008-11-29 16:09 8 --sh--r- d:\windows\system32\C4BA1D35C6.sys
2006-05-03 10:06 . 2008-11-03 13:03 163328 --sh--r- d:\windows\system32\flvDX.dll
.

((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\Run]
"MSMSGS"="d:\archivos de programa\Messenger\msmsgs.exe" [2004-08-19 1667584]
"CTSyncU.exe"="d:\archivos de programa\Creative\Sync Manager Unicode\CTSyncU.exe" [2007-07-17 868352]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run]
"NvCplDaemon"="d:\windows\system32\NvCpl.dll" [2007-06-28 8466432]
"NvMediaCenter"="d:\windows\system32\NvMcTray. dll" [2007-06-28 81920]
"ZoneAlarm Client"="d:\archivos de programa\Zone Labs\ZoneAlarm\zlclient.exe" [2007-03-08 919280]
"IMJPMIG8.1"="d:\windows\IME\imjp8_1\IMJPMIG.E XE" [2004-08-03 208952]
"MSPY2002"="d:\windows\system32\IME\PINTLGNT\ImScI nst.exe" [2004-08-03 59392]
"PHIME2002ASync"="d:\windows\system32\IME\TINTLGNT \TINTSETP.EXE" [2004-08-03 455168]
"PHIME2002A"="d:\windows\system32\IME\TINTLGNT\TIN TSETP.EXE" [2004-08-03 455168]
"SunJavaUpdateSched"="d:\archivos de programa\Java\jre6\bin\jusched.exe" [2009-01-19 136600]
"NeroFilterCheck"="d:\windows\system32\NeroCheck.e xe" [2001-07-09 155648]
"CTCheck"="d:\archivos de programa\Creative\Creative ZEN\ZEN Media Explorer\CTCheck.exe" [2007-11-06 397312]
"Malwarebytes Anti-Malware (reboot)"="d:\archivos de programa\Malwarebytes' Anti-Malware\mbam.exe" [2009-09-10 1312080]
"nwiz"="nwiz.exe" - d:\windows\system32\nwiz.exe [2007-06-28 1626112]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\Cur rentVersion\Run]
"CTFMON.EXE"="d:\windows\system32\CTFMON.EXE" [2004-08-19 15360]

d:\documents and settings\All Users\Men£ Inicio\Programas\Inicio\
Privoxy.lnk - d:\archivos de programa\Vidalia Bundle\Privoxy\privoxy.exe [2006-11-20 250368]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon]
"Userinit"="d:\windows\system32\userinit.exe,d:\wi ndows\system32\msfkzc32.exe,"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Contro l\SafeBoot\Minimal\aawservice]
@="Service"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"ERSvc"=2 (0x2)

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\ZoneLabsFirewall]
"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpo licy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"d:\\Archivos de programa\\MSN Messenger\\msnmsgr.exe"=
"d:\\WINDOWS\\system32\\dpvsetup.exe"=
"d:\\Archivos de programa\\SoulseekNS\\slsk.exe"=
"d:\\IRcap\\mirc32.exe"=
"d:\\eMule0.45b-pHoeniX1.16b-Binaries-Sources\\emule.exe"=
"c:\\Archivos de programa\\Mozilla Firefox\\firefox.exe"=
"d:\\WINDOWS\\system32\\winver.exe"=
"d:\\Archivos de programa\\Spotify\\spotify.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpo licy\standardprofile\GloballyOpenPorts\List]
"3389:TCP"= 3389:TCP:@xpsp2res.dll,-22009
"7070:TCP"= 7070:TCP:smss
"53:TCP"= 53:TCP:smss

R0 pavboot;pavboot;d:\windows\system32\drivers\pavboo t.sys [10/12/2008 10:05 28544]
R3 c65013264;C-Media CM6501 Like Sound UDAX Interface;d:\windows\system32\drivers\c6501.sys [03/09/2008 23:58 1305600]
S3 athrusb;Atheros Wireless LAN USB device driver;d:\windows\system32\drivers\athrusb.sys [06/11/2008 10:31 446976]
S3 BRGSp50;BRGSp50 NDIS Protocol Driver;d:\windows\system32\drivers\BRGSp50.sys [06/11/2008 10:35 20608]
S3 PciCon;PciCon;\??\e:\pcicon.sys --> e:\PciCon.sys [?]
S3 ZD1211BU(WIFI LINK);WIFI LINK IEEE 802.11 b+g Wireless LAN Driver (USB)(WIFI LINK);d:\windows\system32\drivers\ZD1211BU.sys [10/11/2008 19:54 477696]
S4 Administrador de discos lógicos (dmserver);Administrador de discos lógicos (dmserver);d:\archivos de programa\Common Files\\System\\smss.exe --> d:\archivos de programa\Common Files\\System\\smss.exe [?]

--- Other Services/Drivers In Memory ---

*NewlyCreated* - MBR
*Deregistered* - mbr
*Deregistered* - PROCEXP113
.
Contents of the 'Scheduled Tasks' folder
.
.
------- Supplementary Scan -------
.
uStart Page = hxxp://www.google.com/
uInternet Settings,ProxyOverride = *.local;<local>
DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} - hxxp://downloads.ewido.net/ewidoOnlineScan.cab
FF - ProfilePath - d:\documents and settings\calvito\Datos de programa\Mozilla\Firefox\Profiles\vyq63fzz.default \
FF - prefs.js: browser.startup.homepage - hxxp://www.google.com
FF - plugin: c:\archivos de programa\Mozilla Firefox\plugins\npmozax.dll
FF - plugin: c:\archivos de programa\Mozilla Firefox\plugins\npvlc.dll

---- FIREFOX POLICIES ----
c:\archivos de programa\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl3.rsa_seed_sha", true);
.
- - - - ORPHANS REMOVED - - - -

HKLM-Run-C6501Sound - c6501.cpl



************************************************** ************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-11-03 03:10
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden files: 0

************************************************** ************************
.
--------------------- DLLs Loaded Under Running Processes ---------------------

- - - - - - - > 'explorer.exe'(13940)
d:\windows\system32\WPDShServiceObj.dll
d:\windows\system32\PortableDeviceTypes.dll
d:\windows\system32\PortableDeviceApi.dll
.
Completion time: 2009-11-03 3:13
ComboFix-quarantined-files.txt 2009-11-03 02:12

Pre-Run: 2.016.256.000 bytes libres
Post-Run: 1.987.989.504 bytes libres

- - End Of File - - B5285DC7B6784EA01A378DA6B1F28B03

Si, quizas sea el malware que produzca ese reinicio anormal.

Ahora realiza lo siguiente:

1.-Abre el Bloc de Notas

• Clic en Inicio-> Ejecutar->Escribes: notepad.exe y aceptas.

2.- Ahora copia y pega este código dentro del Bloc

3.- Graba este archivo con el nombre CFScript.txt (Importante)

4.- Arrastra y deja el archivo CFScript.txt dentro del íconoComboFix.exe como lo muestra la animación de abajo. Esto activara ComboFix nuevamente.

Reinicia y nos comentas como esta tu sistema. Junto con un nuevo reporte de ComboFix y seguidamente uno nuevo de Hijackthis para ver la información de ambos

El reporte del combofix (cuando estaba generando el reporte se reinicio y lo he sacado de la carpeta donde esta instalado el programa en lugar del directorio raiz)


ComboFix 09-11-01.04 - calvito 03/11/2009 7:01:04.3.2 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.34.3082.18.1022.692 [GMT 1:00]
Running from: D:\Documents and Settings\calvito\Escritorio\ComboFix.exe
Command switches used :: D:\Documents and Settings\calvito\Escritorio\CFScript.txt
FW: ZoneAlarm Firewall *disabled* {829BDA32-94B3-44F4-8446-F8FCFF809F8B}
* Created a new restore point

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!

FILE ::
"d:\archivos de programa\Common Files\System\smss.exe"
"d:\windows\system32\C4BA1D35C6.sys"
"d:\windows\system32\msfkzc32.exe"
.

((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))
.

d:\windows\system32\C4BA1D35C6.sys

.
((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Service_dmserver


((((((((((((((((((((((((( Files Created from 2009-10-03 to 2009-11-03 )))))))))))))))))))))))))))))))
.

2009-11-02 06:54:45 . 2009-11-02 06:54:45 0 d-----w- D:\_OTM
2009-11-01 23:37:14 . 2009-11-01 23:37:14 0 d-----w- D:\Documents and Settings\calvito\Datos de programa\Malwarebytes
2009-11-01 23:37:04 . 2009-09-10 13:54:06 38224 ----a-w- D:\WINDOWS\system32\drivers\mbamswissarmy.sys
2009-11-01 23:37:01 . 2009-11-01 23:37:01 0 d-----w- D:\Documents and Settings\All Users\Datos de programa\Malwarebytes
2009-11-01 23:37:00 . 2009-09-10 13:53:50 19160 ----a-w- D:\WINDOWS\system32\drivers\mbam.sys
2009-11-01 23:36:58 . 2009-11-01 23:37:12 0 d-----w- D:\Archivos de programa\Malwarebytes' Anti-Malware
2009-11-01 23:35:33 . 2009-11-01 23:35:33 0 d-----w- D:\Archivos de programa\Trend Micro
2009-11-01 14:02:11 . 2009-11-01 14:02:11 0 d-----w- D:\Archivos de programa\Lavasoft
2009-11-01 14:02:10 . 2009-11-01 14:04:08 0 d-----w- D:\Documents and Settings\All Users\Datos de programa\Lavasoft
2009-11-01 14:00:46 . 2009-11-01 14:00:46 0 d-----w- D:\Archivos de programa\Archivos comunes\Wise Installation Wizard
2009-10-29 18:34:58 . 2009-10-29 18:35:05 0 d-----w- D:\temp\Fastbacks
2009-10-21 15:09:12 . 2009-10-21 15:09:12 0 d-sh--w- D:\WINDOWS\ftpcache
2009-10-21 15:04:19 . 2009-10-21 15:07:54 0 d-----w- D:\Archivos de programa\ContaWin Office
2009-10-21 14:35:22 . 2009-10-21 14:35:27 0 d-----w- D:\Archivos de programa\MSSOAP
2009-10-17 12:05:35 . 2009-10-17 12:05:35 114688 ----a-w- D:\WINDOWS\SKYPNG32.DLL

.
(((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))) ))
.
2009-11-03 05:56:54 . 2009-02-26 03:20:05 0 d-----w- D:\Documents and Settings\calvito\Datos de programa\tor
2009-11-03 05:56:54 . 2009-02-26 03:19:23 0 d-----w- D:\Documents and Settings\calvito\Datos de programa\Vidalia
2009-11-02 06:17:03 . 2009-02-28 02:18:33 0 d-----w- D:\Documents and Settings\calvito\Datos de programa\Spotify
2009-11-02 03:59:26 . 2008-09-04 08:44:03 0 d---a-w- D:\Documents and Settings\All Users\Datos de programa\TEMP
2009-11-02 00:21:39 . 2009-06-25 11:23:40 0 d-----w- D:\Documents and Settings\calvito\Datos de programa\teamspeak2
2009-11-01 17:04:45 . 2008-09-11 12:21:09 0 d-----w- D:\Documents and Settings\All Users\Datos de programa\Soulseek
2009-11-01 13:12:54 . 2002-09-10 12:00:00 390786 ----a-w- D:\WINDOWS\system32\perfh00A.dat
2009-11-01 13:12:53 . 2002-09-10 12:00:00 66780 ----a-w- D:\WINDOWS\system32\perfc00A.dat
2009-10-30 20:43:25 . 2008-09-08 00:03:50 0 d-----w- D:\Documents and Settings\calvito\Datos de programa\Azureus
2009-10-22 13:35:32 . 2008-09-08 18:40:49 0 d-----w- D:\Documents and Settings\calvito\Datos de programa\CopyToDvd
2009-10-22 03:40:33 . 2008-11-29 16:08:03 5642 --sha-w- D:\WINDOWS\system32\KGyGaAvL.sys
2009-10-21 15:04:19 . 2008-09-08 08:38:13 0 d--h--w- D:\Archivos de programa\InstallShield Installation Information
2009-09-30 12:09:46 . 2009-09-30 12:09:45 2641 ----a-w- D:\WINDOWS\unins000.dat
2009-09-30 12:09:35 . 2009-09-30 12:09:45 694026 ----a-w- D:\WINDOWS\unins000.exe
2009-09-07 04:22:26 . 2008-12-28 20:08:26 0 d-----w- D:\Archivos de programa\Pando Networks
2009-09-06 13:50:56 . 2009-09-06 13:50:55 0 d-----w- D:\Archivos de programa\Shuangs Audio Editor
2009-08-24 15:24:43 . 2009-08-24 15:24:43 25280 ----a-w- D:\WINDOWS\system32\drivers\hamachi.sys
2007-02-23 17:11:48 . 2007-02-23 17:11:48 7680 --sha-w- D:\Archivos de programa\Thumbs.db
2006-12-24 14:43:43 . 2008-09-26 12:32:41 276465 ----a-w- D:\Archivos de programa\visor.rar
2000-09-15 00:55:48 . 2008-09-26 12:32:42 43 ----a-r- D:\Archivos de programa\visor.txt
1998-06-07 17:57:56 . 2008-09-26 12:32:42 716288 ----a-r- D:\Archivos de programa\visor.exe
2006-05-03 10:06:54 . 2008-11-03 13:03:59 163328 --sh--r- D:\WINDOWS\system32\flvDX.dll
.


------------------------------------------------------------------------------------------------------

El reporte del HijackThis

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 7:20:14, on 03/11/2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
D:\WINDOWS\system32\csrss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\system32\ZoneLabs\vsmon.exe
D:\WINDOWS\Explorer.EXE
D:\Archivos de programa\Lavasoft\Ad-Aware\aawservice.exe
D:\WINDOWS\system32\spoolsv.exe
D:\WINDOWS\system32\CTsvcCDA.exe
D:\Archivos de programa\Java\jre6\bin\jqs.exe
D:\WINDOWS\system32\nvsvc32.exe
D:\WINDOWS\System32\alg.exe
D:\WINDOWS\system32\RUNDLL32.EXE
D:\Archivos de programa\Zone Labs\ZoneAlarm\zlclient.exe
D:\Archivos de programa\Java\jre6\bin\jusched.exe
D:\Archivos de programa\Creative\Creative ZEN\ZEN Media Explorer\CTCheck.exe
D:\Archivos de programa\Messenger\msmsgs.exe
D:\Archivos de programa\Creative\Sync Manager Unicode\CTSyncU.exe
D:\Archivos de programa\Vidalia Bundle\Privoxy\privoxy.exe
D:\Archivos de programa\Trend Micro\HijackThis\HijackThis.exe
D:\WINDOWS\system32\wbem\wmiprvse.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings,ProxyOverride = *.local;<local>
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
F2 - REG:system.ini: UserInit=D:\WINDOWS\system32\userinit.exe,D:\WINDO WS\system32\msfkzc32.exe,
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - D:\Archivos de programa\Java\jre6\bin\ssv.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - D:\Archivos de programa\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - D:\Archivos de programa\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dl l
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE D:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE D:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [ZoneAlarm Client] "D:\Archivos de programa\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [IMJPMIG8.1] "D:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [MSPY2002] D:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC
O4 - HKLM\..\Run: [PHIME2002ASync] D:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] D:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [SunJavaUpdateSched] "D:\Archivos de programa\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] D:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [CTCheck] D:\Archivos de programa\Creative\Creative ZEN\ZEN Media Explorer\CTCheck.exe
O4 - HKLM\..\Run: [Malwarebytes Anti-Malware (reboot)] "D:\Archivos de programa\Malwarebytes' Anti-Malware\mbam.exe" /runcleanupscript
O4 - HKCU\..\Run: [MSMSGS] "D:\Archivos de programa\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [CTSyncU.exe] "D:\Archivos de programa\Creative\Sync Manager Unicode\CTSyncU.exe"
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Privoxy.lnk = D:\Archivos de programa\Vidalia Bundle\Privoxy\privoxy.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Archivos de programa\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Archivos de programa\Messenger\msmsgs.exe
O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - http://downloads.ewido.net/ewidoOnlineScan.cab
O16 - DPF: {20A60F0D-9AFA-4515-A0FD-83BD84642501} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab56986.cab
O16 - DPF: {2D8ED06D-3C30-438B-96AE-4D110FDC1FB8} (ActiveScan 2.0 Installer Class) - http://www.pandasecurity.com/activescan/cabs/as2stubie.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {F5A7706B-B9C0-4C89-A715-7A0C6B05DD48} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab56986.cab
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - D:\Archivos de programa\Lavasoft\Ad-Aware\aawservice.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - D:\WINDOWS\system32\CTsvcCDA.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - D:\Archivos de programa\Java\jre6\bin\jqs.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - D:\WINDOWS\system32\nvsvc32.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - D:\WINDOWS\system32\ZoneLabs\vsmon.exe

--
End of file - 5648 bytes

Con el reinicio no completó todo el reporte, pero en HjT puedo ver que no se corrigió el error con los comandos.

Vamos a usar OTM nuevamente:

Ejecuta la Herramienta OTMoveIt:

• Haz doble clic sobre OTMoveIt.exe para ejecutarlo.
• Asegurate que esté marcado "Unregister Dll's and Ocx's".
• Copia el texto que te dejo en el recuadrado de abajo, y
  pega el texto en el marco izquierdo de OTMoveIt2 llamado "Paste Standard List of Files / Folders to be Moved"

• Pulsa sobre MoveIt!para lanzar la supresión.
• Cuando el resultado aparezca en el marco Results, pulsa en Exit
• Si no reinicia automáticamente, entonces debes Reiniciar (muy importante para eliminar todo)
• Se creará un reporte en C: \ _ OTMoveIt\MovedFiles con la extensión ".log" lo buscas y lo dejas en tu siguiente Post.