• Registrarse
  • Iniciar sesión


  • Página 1 de 3 123 ÚltimoÚltimo
    Resultados 1 al 10 de 27

    Eliminar RECYCLER de la PC y del pendrive!!!

    Resumen del tema: Eliminar RECYCLER de la PC y del pendrive!!! - Hola, aunque éste es un problema muy común, inicio este tema porque he buscado respuestas por todas partes y algunas me resultaron insuficientes, y otras me parecieron riesgosas como para aplicarlas basándome en la experiencia ...

      
    1. #1
      Usuario Avatar de antogar9
      Registrado
      nov 2009
      Ubicación
      Argentina
      Mensajes
      17

      Malware Eliminar virus RECYCLER de la PC y del pendrive!!!



      Hola, aunque éste es un problema muy común, inicio este tema porque he buscado respuestas por todas partes y algunas me resultaron insuficientes, y otras me parecieron riesgosas como para aplicarlas basándome en la experiencia de otros.

      Tengo Windows Vista Home Premium con Service Pack 2 y aunque mis antivirus no detectaban nada (Avast!, Malwarebytes y Spyware Terminator) hiciera lo que hiciera por ahorrar memoria mi pc seguía colgándose constantemente sin razón (¿que cierre el explorador porque está consumiendo demasiada memoria?? ) y algunos programas se cerraban repentinamente. Mi preocupación empeoró cuando estaba consultando las propiedades de algunos archivos. En todos encontré la misma curiosidad: en la pestaña de seguridad, en el listado de grupos o usuarios (además de SYSTEM, administrador y otros usuarios) aparecía: cuenta desconocida (S-1-5-21-992081004-177084460-4040388763-1001).

      A pesar de que la cuenta tenía solamente permisos de usuario, no me gustó para nada, y empecé a averiguar. Muchos decían que no era nada, que debía ser el SID correspondiente al sistema local. Pero yo sabía que esa cuenta antes NO ESTABA AHÍ. Ya sé que hay una serie de números "reconocidos" (como S-1-5-18, "a service account that is used by the operating system") por los que según Microsoft no tengo que preocuparme, pero S-1-5-21 no figura en ninguna parte como no sea asociado al virus RECYCLER. En Internet encontré muchas quejas sobre este virus, que incluso puede aparecer como administrador y así te quita quita el control de la máquina. El resto de los números del SID no coincidían con los virus denunciados, pero eso no me extrañó porque como los bichos mutan, etc.

      Así que me fijé en C:/$RECYCLE.BIN (o sea, en una carpeta oculta) a ver si encontraba lo que todos decían que tenían. Así fue: allí como era esperable (además del citado S-1-5-18) estaba la carpeta "papelera de reciclaje" que mostraba el contenido esperable al abrirla. Pero lo que lo no era esperable es que allí estuviera una carpeta con el SID de la cuenta desconocida (S-1-5-21-992081004-177084460-4040388763-1001), más otras terminadas en 1002, 1003, 1007, 500 y 501, además de una con SID S-1-5-21-2429805799-2640239376-3263209309-500.

      (Ya sé que es aburrido pero doy todos estos números para contribuir a informar sobre las variantes del virus).

      Ninguna de esas carpetas se podía eliminar porque saltaba una advertencia que decía "Acceso denegado". Lo cual no era raro por tratarse de carpetas ocultas del sistema, supuestamente. Como todos decían que se contagiaba a través del pendrive, lo busqué ahí: y ahí estaba, también. Tal como decían: una carpeta "papelera de reciclaje" que al abrirla mostraba el contenido de la papelera de mi pc!!

      Lo curioso es que (después de mucho buscar soluciones seguras nada más que para desanimarme) me desesperé y decidí eliminarlos normalmente () y no tuve ningún problema para eliminar esas carpetas del pen, así que me lancé y volví a intentar lo mismo en la máquina para ver qué pasaba ¡¡¡y ahora sí pude!!! Los mandé a la papelera pero inmediatamente me volví a desesperar y la abrí y los eliminé definitivamente (). Se eliminaron. ¿No eran virus después de todo?

      La cuenta desconocida sigue figurando en propiedades, y dicen que el virus reaparece constantemente, y que puede privarte del control de la máquina. Así que tengo miedo de lo que va a pasar la próxima vez que inicie la máquina, pero bueno, después les cuento.

      Última edición por antogar9 fecha: 08/11/09 a las 16:40:28

    2. #2
      Moderador Gral.
      Avatar de Damianl_77
      Registrado
      ene 2008
      Ubicación
      Argentina
      Mensajes
      22.028

      Re: Eliminar RECYCLER de la PC y del pendrive!!!

      Hola antogar9 bienvenid@ al foro de InfoSpyware


      Realiza los siguientes pasos:

      apaga Restaurar sistema


      Paso 2.- Descarga, Instala y/o actualiza estos programas: (pero no los ejecutes aun).

      Flash_Disinfector.exe (al final del post)
      MalwareBytes anti-malware
      SUPERAntiSpyware
      Ccleaner

      Paso 3.- Reinicias en en Modo seguro Ejecuta de a una:(Modo seguro a prueba de fallos)

      1. Flash_Disinfetor.exe:
      o Con los dispositivos USB desconectados, ejecuta Flash_Disinfector.
      o Luego conecta tu dispositivo USB (Pen Drive, Móvil, MP3/4), y ejecutas Flash_Disinfector de nuevo.

      Nota: Flash_Disinfector creará una carpeta oculta llamado "autorun.inf" en cada partición y cada unidad USB que se encuentre conectado al momento de ejecutar este. No elimine esta carpeta ... eso le ayudara a proteger sus dispositivos USB de futuras infecciones.
      2. Actualiza y Ejecuta MalwareBytes haciendo un escaneo completo y elimina lo que encuentre, previamente lo manda a cuarentena.

      3. Actualiza y Ejecuta SUPERAntiSpware. Lleva a cabo un analisis completo y elimina todo lo que este encuentre.

      4. Ccleaner
      o Usando primero su opción de"Limpiador" para borrar cookies, temporales de Internet y todos los archivos que este te muestre como obsoletos;
      o y luego usa la opción de "Registro" para limpiar todo el registro de Windows (haciendo copia de seguridad).

      Paso 4.- Reinicia la Pc en modo normal y realiza un escaneo completo (MI PC) con Kaspersky online. Manual
      Nota: Conecta el dispositivo USB al puerto durante el analisis.

      - Reactiva el "restaurar sistema".
      - Pegas el reporte de Kaspersky Antivirus online para revisarlo.
      - Para mayor comodidad imprime los pasos.



      Blog | Antivirus Online | Eliminar Malwares | Antivirus Gratis


      * Síguenos en nuestro Twitter y hazte nuestro amigo en Facebook.
      * Infórmate de las ultimas amenazas de la red desde: InfoSpyware Blog
      * No se resuelven dudas por Privados ni por E-mail, ya que para eso esta el foro.

    3. #3
      Usuario Avatar de antogar9
      Registrado
      nov 2009
      Ubicación
      Argentina
      Mensajes
      17

      Malware Re: Eliminar RECYCLER de la PC y del pendrive!!!

      Gracias, ya había hecho algo parecido con los programas de seguridad y mantenimiento que tengo, pero ahora lo voy a hacer tal cual a ver qué pasa.

    4. #4
      Moderador Gral.
      Avatar de Damianl_77
      Registrado
      ene 2008
      Ubicación
      Argentina
      Mensajes
      22.028

      Re: Eliminar RECYCLER de la PC y del pendrive!!!

      Bueno apurate porque ya pasaron dos dias

      Blog | Antivirus Online | Eliminar Malwares | Antivirus Gratis


      * Síguenos en nuestro Twitter y hazte nuestro amigo en Facebook.
      * Infórmate de las ultimas amenazas de la red desde: InfoSpyware Blog
      * No se resuelven dudas por Privados ni por E-mail, ya que para eso esta el foro.

    5. #5
      Usuario Avatar de antogar9
      Registrado
      nov 2009
      Ubicación
      Argentina
      Mensajes
      17

      Malware Re: Eliminar RECYCLER de la PC y del pendrive!!!

      Perdón por la demora, pero trabajo y estudio.
      Bueno, vamos por partes.

      Descargué los programas que me faltaban y los actualicé antes de escanear. Previo desactivar los puntos de restauración automáticos, inicié con modo seguro y fuí ejecutando los programas:

      1) Flashdisinfector (primero con USB desconectado y después conectado) pero aclaro que antes de iniciar el tema había vacunado el pen con USB doctor, así que no sé si este paso habrá funcionado.

      2) Malwarebytes, que ya tenía instalado y que me decía que estaba todo bien. Una vez más no detectó amenazas (hizo un análisis completo).

      3) SUPERantispyware, que no tenía y que detectó ¡un montón de amenazas! Bueno, la mayoría no eran más que cookies de otro usuario, pero también encontró siete troyanos en el registro que los otros programas no encontraban (¿falsos positivos? todos se llamaban LEGACY_...). Eliminé todo igual.

      4) CCleaner, limpié a fondo el registro, temporales, y demás basura (también borré el espacio libre). La papelera quedó limpia, excepto por el extraño impostor del que ya hablé, que ha cambiado de forma (una carpeta $RIBNGFU que CCleaner no puede borrar, y desktop.ini que aparece más seguido que de costumbre y sé que eso es sospechoso).

      5) En cuanto al análisis del Kaspersky... ¡todavía no termina! Espero que lo haga algún día. En cuanto termine, pego el informe.

      Mientras tanto pensé que podía incluir algunas instantáneas para mostrar cómo se muestra el virus en la pestaña seguridad de propiedades y en la carpeta $RECYBLE.BIN, pero... no puedo guardar nada!! No sé qué pasa, hasta hace rato podía... quizás no se puede guardar imágenes ni docs en modo seguro... Bueno, en cuanto lo arregle las subo también.

    6. #6
      Usuario Avatar de antogar9
      Registrado
      nov 2009
      Ubicación
      Argentina
      Mensajes
      17

      Investigación Re: Eliminar RECYCLER de la PC y del pendrive!!!

      Bueno, tampoco encontró nada.
      Solamente un falso positivo (el Spychek que probé una vez y después lo desinstalé o lo eliminé, no me acuerdo).


      --------------------------------------------------------------------------------
      KASPERSKY ONLINE SCANNER 7.0: scan report
      Wednesday, November 11, 2009
      Operating system: Microsoft Windows Vista Home Premium Edition, 32-bit Service Pack 2 (build 6002)
      Kaspersky Online. Scanner version: 7.0.26.13
      Last database update: Wednesday, November 11, 2009 06:41:19
      Records in database: 3190688
      --------------------------------------------------------------------------------

      Scan settings:
      scan using the following database: extended
      Scan archives: yes
      Scan e-mail databases: yes

      Scan area - My Computer:
      C:\
      D:\
      E:\
      G:\

      Scan statistics:
      Objects scanned: 239950
      Threats found: 1
      Infected objects found: 1
      Suspicious objects found: 0
      Scan duration: 03:39:58


      File name / Threat / Threats count
      C:\Windows\Downloaded Installations\{CA96CAAA-F816-4CB5-9676-6A3FCCB81468}\Spycheck Antispyware.msi Infected: not-a-virus:FraudTool.Win32.FastAntiSpyware.a 1

      Selected area has been scanned.


      Sí encontré amenazas interesantes con otros programas:

      GMER 1.0.15.15220 - http://www.gmer.net
      Rootkit scan 2009-11-11 08:12:40
      Windows 6.0.6002 Service Pack 2
      Running: gmer.exe; Driver: C:\Users\Ana\AppData\Local\Temp\pxldrpog.sys

      ---- Services - GMER 1.0.15 ----

      Service C:\Windows\system32\svchost.exe (*** hidden *** ) [AUTO] wsunb


      <-- ROOTKIT !!!


      ---- Registry - GMER 1.0.15 ----

      Reg HKLM\SYSTEM\CurrentControlSet\Services\wsunb@DisplayName Helper Monitor
      Reg HKLM\SYSTEM\CurrentControlSet\Services\wsunb@Type 32
      Reg HKLM\SYSTEM\CurrentControlSet\Services\wsunb@Start 2
      Reg HKLM\SYSTEM\CurrentControlSet\Services\wsunb@ErrorControl 0
      Reg HKLM\SYSTEM\CurrentControlSet\Services\wsunb@ImagePath %SystemRoot%\system32\svchost.exe -k netsvcs
      Reg HKLM\SYSTEM\CurrentControlSet\Services\wsunb@ObjectName LocalSystem
      Reg HKLM\SYSTEM\CurrentControlSet\Services\wsunb@Description Habilita el acceso de entrada gen?rico a los Dispositivos de interfaz humana (HID), que activa y mantiene el uso de botones de acceso directo predefinidos en los teclados, controles remotos y otros dispositivos multimedia. Si este servicio se detiene, los botones de acceso directo controlados por este servicio dejar?n de funcionar. Si este servicio est? deshabilitado, se generar? un error al iniciar cualquier servicio que expl?citamente dependa de ?l.
      Reg HKLM\SYSTEM\CurrentControlSet\Services\wsunb\Parameters
      Reg HKLM\SYSTEM\CurrentControlSet\Services\wsunb\Parameters@ServiceDll C:\Windows\system32\kjdwr.dll
      Reg HKLM\SYSTEM\ControlSet003\Services\wsunb@DisplayName Helper Monitor
      Reg HKLM\SYSTEM\ControlSet003\Services\wsunb@Type 32
      Reg HKLM\SYSTEM\ControlSet003\Services\wsunb@Start 2
      Reg HKLM\SYSTEM\ControlSet003\Services\wsunb@ErrorControl 0
      Reg HKLM\SYSTEM\ControlSet003\Services\wsunb@ImagePath %SystemRoot%\system32\svchost.exe -k netsvcs
      Reg HKLM\SYSTEM\ControlSet003\Services\wsunb@ObjectName LocalSystem
      Reg HKLM\SYSTEM\ControlSet003\Services\wsunb@Description Habilita el acceso de entrada gen?rico a los Dispositivos de interfaz humana (HID), que activa y mantiene el uso de botones de acceso directo predefinidos en los teclados, controles remotos y otros dispositivos multimedia. Si este servicio se detiene, los botones de acceso directo controlados por este servicio dejar?n de funcionar. Si este servicio est? deshabilitado, se generar? un error al iniciar cualquier servicio que expl?citamente dependa de ?l.
      Reg HKLM\SYSTEM\ControlSet003\Services\wsunb\Parameters (not active ControlSet)
      Reg HKLM\SYSTEM\ControlSet003\Services\wsunb\Parameters@ServiceDll C:\Windows\system32\kjdwr.dll

      ---- EOF - GMER 1.0.15 ----

      Estuve analizando los procesos (para saber porqué la máquina andaba lenta) y escaneé con Svchost Analyzer que encontró un par de atípicos en svchost.
      http://img40.imageshack.us/img40/371...winhttpdll.jpg
      http://img91.imageshack.us/img91/3084/wsunbkjdwrdll.jpg
      http://img91.imageshack.us/img91/741...stinfectad.jpg

      Entonces analicé con Gmer y resultó que uno de esos atípicos saltó como un ROOTKIT, los cuales tengo entendido permiten encubrir mayores amenazas, de manera que los antivirus no las detectan. Ya sé que se supone que Kaspersky también detecta rootkits y sin embargo no detectó nada, pero realmente creo que un solo programa no lo puede hacer todo y por eso busqué estos otros más especializados.

      La cosa es que ahora no quisiera actuar apresuradamente. El servicio sospechado de rootkit (wsunb) sigue ahí, supuestamente detenido, junto con el otro atípico que todavía no sé lo que es (winhttp.dll).

      El pendrive hasta acá parece que se mantiene limpio.
      Última edición por antogar9 fecha: 12/11/09 a las 21:08:55 Razón: imágenes agregadas

    7. #7
      Moderador Gral.
      Avatar de Damianl_77
      Registrado
      ene 2008
      Ubicación
      Argentina
      Mensajes
      22.028

      Re: Eliminar RECYCLER de la PC y del pendrive!!!

      Realiza lo siguiente:
      • Descarga OTM by OldTimer en el escritorio.
        • Haz doble clic sobre el icono OTM.exe para ejecutarlo
        • Asegúrate que esté marcada la casilla "Unregister Dll´s and Ocx´s".
        • Pega el siguiente script bajo el area "Paste Instructions for items to be Moved". (Se excluye la palabra "codigo").



          :services
          pxldrpog.sys

          :files
          C:\Windows\Downloaded Installations\{CA96CAAA-F816-4CB5-9676-6A3FCCB81468}\Spycheck Antispyware.msi
          C:\Users\Ana\AppData\Local\Temp\pxldrpog.sys
          C:\Windows\system32\kjdwr.dll
          :commands
          [emptytemp]
          [purity]
          [Reboot]
        • Presiona el boton rojo MoveIt!
        • Espera hasta cuando el resultado aparezca en el marco Results.
        • Permite que se reinicie el equipo, esto es importante.
        • Envía el reporte de OTM situado sobre C: \ _ OTM\MovedFiles\***_***.log




      En modo normal


      . - Descarga la herramienta ComboFix.exe y guárdala en el escritorio.

      * Desactiva temporalmente el Antivirus y/o Antispyware.
      * Cierra todas las ventanas abiertas.
      * Hacele doble clic al archivo ComboFix.exe para continuar.
      * Cuando termine, generara un registro en C:\ComboFix.txt.
      o *Nota* Mientras CF este trabajando no mover el mouse ya que pararía su proceso.
      o *Nota* ComboFix puede reiniciar automáticamente el PC para completar el proceso de eliminación.


      Atención!! No use ComboFix a menos que se le haya indicado específicamente en su mensaje por un integrante de nuestro Staff. Es una herramienta de gran alcance destinada por su creador a ser usada bajo la orientación y supervisión de un experto, no para uso privado. El uso de ComboFix incorrectamente podría generar problemas en su sistema. Por favor, lea las "Negaciones de la Garantía" de ComboFix.
      * Reinicia y pega el reporte de C:\ComboFix.txt en este mismo mensaje.




      En la proxima respuesta:
      Pega el reporte de OTM y de ComboFix

      Última edición por Damianl_77 fecha: 11/11/09 a las 09:37:52

      Blog | Antivirus Online | Eliminar Malwares | Antivirus Gratis


      * Síguenos en nuestro Twitter y hazte nuestro amigo en Facebook.
      * Infórmate de las ultimas amenazas de la red desde: InfoSpyware Blog
      * No se resuelven dudas por Privados ni por E-mail, ya que para eso esta el foro.

    8. #8
      Usuario Avatar de antogar9
      Registrado
      nov 2009
      Ubicación
      Argentina
      Mensajes
      17

      Investigación Re: Eliminar RECYCLER de la PC y del pendrive!!!

      Antes que nada, una crítica constructiva hacia el foro:
      Mi sesión caduca constantemente y pierdo el mensaje que estaba escribiendo sino me cuido de copiarlo cada tanto.
      No sé si esto se pueda evitar de alguna forma.

      Ahora sí (y con cuidado de que no se vuelva a borrar el mensaje) cuento que no tuve problemas para ejecutar OTM (aunque sin muchos resultados... ). El log:

      All processes killed
      ========== SERVICES/DRIVERS ==========
      No service named pxldrpog.sys was found to stop!
      Unable to stop service pxldrpog.sys!
      ========== FILES ==========
      C:\Windows\Downloaded Installations\{CA96CAAA-F816-4CB5-9676-6A3FCCB81468}\Spycheck Antispyware.msi moved successfully.
      File/Folder C:\Users\Ana\AppData\Local\Temp\pxldrpog.sys not found.
      File/Folder C:\Windows\system32\kjdwr.dll not found.
      ========== COMMANDS ==========

      [EMPTYTEMP]

      User: All Users

      User: Ana
      ->Temp folder emptied: 90572952 bytes
      ->Temporary Internet Files folder emptied: 759249 bytes
      ->Java cache emptied: 25971646 bytes
      ->FireFox cache emptied: 41664229 bytes
      ->Google Chrome cache emptied: 289571270 bytes

      User: Default
      ->Temp folder emptied: 0 bytes
      ->Temporary Internet Files folder emptied: 33170 bytes

      User: Default User
      ->Temp folder emptied: 0 bytes
      ->Temporary Internet Files folder emptied: 0 bytes

      User: Antonella
      ->Temp folder emptied: 116916265 bytes
      ->Temporary Internet Files folder emptied: 676561 bytes
      ->Java cache emptied: 0 bytes

      User: Lily
      ->Temp folder emptied: 85721668 bytes
      ->Temporary Internet Files folder emptied: 40905216 bytes
      ->Java cache emptied: 25589859 bytes
      ->FireFox cache emptied: 38427671 bytes

      User: Public

      %systemdrive% .tmp files removed: 0 bytes
      %systemroot% .tmp files removed: 0 bytes
      %systemroot%\System32 .tmp files removed: 256536 bytes
      Windows Temp folder emptied: 1068076 bytes
      %systemroot%\system32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files folder emptied: 31470296 bytes
      RecycleBin emptied: 0 bytes

      Total Files Cleaned = 753,03 mb


      OTM by OldTimer - Version 3.1.1.0 log created on 11112009_210538

      O sea que pudo mover el falso positivo sin problemas (igual que lo haya hecho) pero no detectar el kjdwr.dll que me preocupaba y que SvchostAnalyzer sigue detectando como latente y oculto en C:\Windows\system32\kjdwr.dll. Y le creo, aunque allí por cierto no lo puedo ver, por más que se supone que estoy viendo todas las carpetas ocultas: lo he visto entre los servicios del administrador de tareas.
      http://img195.imageshack.us/img195/3...sunbactivo.jpg

      En cuanto al ComboFix... no es compatible con Vista!!!

      Lo que sí me ofreció un resultado interesante fue el log de otro programa: el Eraser, que suelo ejecutar para vaciar la papelera, entre otras cosas. La papelera muestra indicios del virus tanto en C:\ como en D:\ (disco de recuperación).
      http://img32.imageshack.us/img32/138...eraconviru.jpg
      En modo seguro parece haberla dejado limpita (veamos por cuanto tiempo...) pero en modo normal decía esto:

      Information:
      Statistics:

      Erased area = 35288 kB
      Cluster tips = 848 kB
      Data written = 1206 MB
      Write time = 146.90 s
      Write speed = 8408 kB/s

      Failures:
      Failed: C:\$Recycle.Bin\S-1-5-21-992081004-177084460-4040388763-1000\$R6LI9WI.lnk (Acceso denegado.)
      Failed: C:\$Recycle.Bin\S-1-5-21-992081004-177084460-4040388763-1000\$RCFGJOB.lnk (Acceso denegado.)
      Failed: C:\$Recycle.Bin\S-1-5-21-992081004-177084460-4040388763-1000\$RIBNGFU\AppData\LocalLow\Microsoft\CryptnetUrlCache\Content\0CE7D1B5B333EAFBAB6156C956C4CBF4_5A0F229E74FAABEA1FD66119A0CB7FF1 (Acceso denegado.)
      Failed: C:\$Recycle.Bin\S-1-5-21-992081004-177084460-4040388763-1000\$RIBNGFU\AppData\LocalLow\Microsoft\CryptnetUrlCache\MetaData\0CE7D1B5B333EAFBAB6156C956C4CBF4_5A0F229E74FAABEA1FD66119A0CB7FF1 (Acceso denegado.)

      Y así sigue (es muy largo y todo igual). Lo que me llamó la atención es que $RIBNGFU dirige hacia la carpeta Appdata del usuario administrador, y en ambos directorios (AppData\LocalLow\Microsoft\CryptnetUrlCache\Content y AppData\LocalLow\Microsoft\CryptnetUrlCache\MetaData) se encuentran un mooontón de estos archivos de sistema inaccesibles.
      http://img690.imageshack.us/img690/2...lerribngfu.jpg
      Como dije, ahora la papelera parece limpia, porque borró los archivos que se conectaban con estos otros archivos raros en Content y Metadata, pero estos últimos por supuesto siguen allí, así como la cuenta desconocida sigue en propiedades de la carpeta del usuario administrador aunque teniendo solamente permisos de usuario (no aparece en propiedades de los demás usuarios, me olvidé de aclarar).
      http://img691.imageshack.us/img691/2...adesconoci.jpg
      Y sigue allí a pesar de que yo fácilmente podría quitarla, pero no me animo todavía (he visto que es lo que aconsejan en algunos sitios... pero me parece demasiado simple para ser un buen remedio).
      Última edición por antogar9 fecha: 12/11/09 a las 21:30:43 Razón: imágenes agregadas

    9. #9
      Moderador Gral.
      Avatar de Damianl_77
      Registrado
      ene 2008
      Ubicación
      Argentina
      Mensajes
      22.028

      Re: Eliminar RECYCLER de la PC y del pendrive!!!

      Combofix si es compatible con windows vista, yo uso vista y hoy lo ejecute, solo tenes que detener, antivirus, antispywares (si tenes) firewall, etc.

      solo tenes que dar que si a las advertencias y dejar que el programa realice su tarea sin interrupción.

      Cual es el error que te da?

      Blog | Antivirus Online | Eliminar Malwares | Antivirus Gratis


      * Síguenos en nuestro Twitter y hazte nuestro amigo en Facebook.
      * Infórmate de las ultimas amenazas de la red desde: InfoSpyware Blog
      * No se resuelven dudas por Privados ni por E-mail, ya que para eso esta el foro.

    10. #10
      Usuario Avatar de antogar9
      Registrado
      nov 2009
      Ubicación
      Argentina
      Mensajes
      17

      Investigación Re: Eliminar RECYCLER de la PC y del pendrive!!!

      Es cierto!!! qué idiota soy!! Si bien fue el propio programa el que me lanzó una advertencia de que no era compatible más que con versiones de Windows más viejas (y a continuación se cerró), la culpa era mía por no acordarme que en general la única forma desde ejecutar este tipo de programas en vista es precisamente desde ejecutar...
      Y perdón por demorar tanto, pero es que a) la máquina se cuelga por nada b) prefiero ir despacio para no cometer errores c) tengo que hacer otras cosas... y d) mis posts aparecen como publicados una hora más tarde de lo que en realidad los publiqué!

      Primer informe ComboFix

      ComboFix 09-11-11.02 - Ana 12/11/2009 2:17.1.2 - NTFSx86
      Running from: c:\users\Ana\Desktop\ComboFix.exe
      Command switches used :: combofix /u
      .

      ((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))
      .

      c:\program files\Mx One
      c:\program files\Mx One\info.ini
      c:\program files\Mx One\mog.exe
      c:\program files\Mx One\mogtr.exe
      c:\program files\Mx One\mxone.ini
      c:\program files\Mx One\Uninstall.exe
      c:\program files\Mx One\Uninstall.ini
      c:\program files\Mx One\update.exe
      c:\program files\Mx One\updater.exe
      c:\programdata\Microsoft\Network\Downloader\qmgr0.dat
      c:\programdata\Microsoft\Network\Downloader\qmgr1.dat
      c:\windows\system32\KBL.LOG
      c:\windows\system32\oem4.inf
      c:\windows\system32\prsgrc.dll
      c:\windows\system32\w32apiw.dll

      ----- BITS: Possible infected sites -----

      hxxp://msgr.dlservice.microsoft.com
      .
      ((((((((((((((((((((((((( Files Created from 2009-10-12 to 2009-11-12 )))))))))))))))))))))))))))))))
      .

      2009-11-12 05:15 . 2009-11-12 05:15 -------- d-----w- c:\users\Lily\AppData\Local\temp
      2009-11-12 05:15 . 2009-11-12 05:15 -------- d-----w- c:\users\Antonella\AppData\Local\temp
      2009-11-12 05:15 . 2009-11-12 05:15 -------- d-----w- c:\users\Default\AppData\Local\temp
      2009-11-12 02:36 . 2009-11-12 02:45 -------- d-----w- c:\programdata\SystemExplorer
      2009-11-12 02:36 . 2009-11-12 02:36 -------- d-----w- c:\program files\System Explorer
      2009-11-12 02:31 . 2009-11-12 02:31 4096 d-----w- c:\program files\Gregory Braun
      2009-11-12 02:31 . 2005-05-25 05:00 90112 ------w- c:\windows\SDUnInst.exe
      2009-11-12 02:30 . 2009-11-12 02:30 2208 ----a-w- c:\windows\system32\drivers\nxsIO32.sys
      2009-11-12 01:44 . 2009-11-12 01:44 -------- d-----w- c:\program files\Auslogics
      2009-11-11 23:05 . 2009-11-11 23:05 -------- d-----w- C:\_OTM
      2009-11-11 18:01 . 2009-11-11 18:02 -------- d-----w- c:\users\Ana\AppData\Local\Eraser
      2009-11-11 18:00 . 2009-06-10 13:22 83344 ----a-w- c:\windows\system32\Erasext.dll
      2009-11-11 18:00 . 2009-06-10 13:22 307088 ----a-w- c:\windows\system32\Eraser.dll
      2009-11-11 18:00 . 2009-06-10 13:22 73104 ----a-w- c:\windows\system32\Eraserl.exe
      2009-11-11 18:00 . 2009-11-11 18:00 4096 d-----w- c:\program files\Eraser
      2009-11-11 17:55 . 2009-11-11 17:55 4096 d-----w- c:\program files\Unlocker
      2009-11-11 17:50 . 2009-11-11 17:50 -------- d-----w- c:\program files\Trend Micro
      2009-11-11 17:00 . 2009-11-11 17:41 -------- d-----w- c:\program files\searchmyfiles
      2009-11-11 16:55 . 2009-11-11 16:55 -------- d-----w- c:\program files\Recuva
      2009-11-11 16:39 . 2009-11-11 16:48 46 ----a-w- c:\users\Ana\AppData\Local\DonationCoder_findrunrobot_InstallInfo.dat
      2009-11-11 15:21 . 2009-11-11 15:21 -------- d-----w- c:\programdata\comodo
      2009-11-11 14:40 . 2009-11-11 14:40 -------- d-sh--w- c:\windows\system32\%APPDATA%
      2009-11-11 13:46 . 2009-08-14 13:27 2036736 ----a-w- c:\windows\system32\win32k.sys
      2009-11-11 13:45 . 2009-08-10 12:35 355328 ----a-w- c:\windows\system32\WSDApi.dll
      2009-11-11 12:02 . 2009-11-11 12:02 139 ----a-w- c:\programdata\SecTaskMan\icn_1FBBCDDC3072CB6439B8CB8CA1E1AEAA.dll
      2009-11-11 05:49 . 2009-11-11 05:49 -------- d-----w- c:\users\Ana\AppData\Roaming\FreeCommander
      2009-11-11 05:49 . 2009-11-11 05:49 4096 d-----w- c:\program files\FreeCommander
      2009-11-11 04:05 . 2009-11-11 04:05 -------- d-----w- c:\users\Ana\AppData\Local\Hewlett-Packard
      2009-11-10 13:55 . 2009-11-11 20:57 -------- d-----w- c:\program files\Argente Software
      2009-11-10 13:43 . 2009-11-10 13:43 46 ----a-w- c:\windows\system32\DonationCoder_processtamer_InstallInfo.dat
      2009-11-10 13:43 . 2009-11-10 13:43 46 ----a-w- c:\users\Ana\AppData\Local\DonationCoder_processtamer_InstallInfo.dat
      2009-11-10 13:43 . 2009-11-10 13:43 -------- d-----w- c:\users\Ana\AppData\Roaming\DonationCoder
      2009-11-10 13:37 . 2009-11-10 13:37 -------- d-----w- c:\programdata\DonationCoder
      2009-11-10 12:30 . 2009-11-11 02:59 117760 ----a-w- c:\users\Ana\AppData\Roaming\SUPERAntiSpyware.com\SUPERAntiSpyware\SDDLLS\UIREPAIR.DLL
      2009-11-10 12:28 . 2009-11-10 12:28 -------- d-----w- c:\programdata\SUPERAntiSpyware.com
      2009-11-10 12:27 . 2009-11-10 12:27 4096 d-----w- c:\program files\SUPERAntiSpyware
      2009-11-10 12:27 . 2009-11-10 12:27 -------- d-----w- c:\users\Ana\AppData\Roaming\SUPERAntiSpyware.com
      2009-11-10 12:07 . 2009-11-10 12:15 -------- d-----w- c:\users\Ana\AppData\Roaming\uniblue
      2009-11-10 12:04 . 2009-11-10 14:29 -------- d-----w- c:\program files\Uniblue
      2009-11-10 11:28 . 2009-11-10 11:28 77568 ----a-w- c:\windows\system32\cmfdll32.dll
      2009-11-10 11:22 . 2009-11-10 11:49 74328 ----a-w- c:\windows\system32\drivers\inspect.sys
      2009-11-10 10:59 . 2009-11-12 02:13 4096 d-----w- c:\program files\herramientas portables
      2009-11-10 08:32 . 2009-11-11 12:02 -------- d-----w- c:\programdata\SecTaskMan
      2009-11-10 08:32 . 2009-11-10 08:32 -------- d-----w- c:\program files\Security Task Manager
      2009-11-10 08:13 . 2009-09-23 10:07 59664 ----a-w- c:\windows\system32\drivers\TfSysMon.sys
      2009-11-10 08:13 . 2009-09-23 10:07 51984 ----a-w- c:\windows\system32\drivers\TfFsMon.sys
      2009-11-10 08:13 . 2009-09-23 10:07 33552 ----a-w- c:\windows\system32\drivers\TfNetMon.sys
      2009-11-10 08:13 . 2009-11-10 08:13 12288 d-----w- c:\program files\ThreatFire
      2009-11-10 08:13 . 2009-11-10 08:13 -------- d-----w- c:\programdata\PC Tools
      2009-11-10 08:12 . 2009-11-10 08:12 -------- d-----w- c:\program files\Safer Networking
      2009-11-10 08:07 . 2009-11-11 05:07 -------- d-----w- c:\program files\CCleaner
      2009-11-10 05:56 . 2009-11-11 15:03 -------- d-----w- c:\program files\COMODO
      2009-11-10 05:56 . 2009-11-10 11:28 -------- d-----w- c:\users\Ana\AppData\Roaming\Comodo
      2009-11-10 04:39 . 2009-11-10 04:39 10240 ----a-w- c:\windows\system32\drivers\uje2otk5.sys
      2009-11-10 02:32 . 2007-08-29 17:36 110592 ----a-w- c:\users\Ana\AppData\Roaming\NCH Software\Components\mp3el\mp3enc.exe
      2009-11-10 01:34 . 2009-11-10 01:50 -------- d-----w- c:\users\Ana\AppData\Roaming\NCH Swift Sound
      2009-11-09 05:09 . 2009-07-28 18:33 55656 ----a-w- c:\windows\system32\drivers\avgntflt.sys
      2009-11-09 05:09 . 2009-03-30 12:33 96104 ----a-w- c:\windows\system32\drivers\avipbb.sys
      2009-11-09 05:09 . 2009-11-09 05:09 -------- d-----w- c:\programdata\Avira
      2009-11-09 05:09 . 2009-11-09 05:09 -------- d-----w- c:\program files\Avira
      2009-11-08 17:20 . 2009-11-08 17:20 -------- d-----w- c:\programdata\Autorun Eater
      2009-11-08 17:20 . 2009-11-08 17:20 -------- d-----w- c:\program files\Autorun Eater
      2009-11-08 16:36 . 2009-11-09 22:24 -------- d-----w- c:\programdata\Lavasoft
      2009-11-08 16:26 . 2008-06-17 16:43 573 ----a-w- c:\program files\bat.bat
      2009-11-08 09:36 . 2009-11-08 09:36 4096 d-----w- c:\program files\Messenger Plus! Live
      2009-11-08 02:55 . 2009-11-11 18:41 -------- d-----w- c:\program files\Poker Lines
      2009-11-08 02:49 . 2009-11-08 02:49 -------- d-----w- c:\users\Ana\AppData\Roaming\pokerth
      2009-11-07 13:22 . 2009-11-07 13:26 -------- d-----w- c:\users\Ana\AppData\Roaming\OxelonMC
      2009-11-07 13:22 . 2009-11-07 13:24 4096 d-----w- c:\program files\OxelonMedia
      2009-11-07 12:53 . 2009-11-07 12:53 -------- d-----w- c:\program files\Quick Poker
      2009-11-07 12:43 . 2009-11-07 12:43 4096 d-----w- c:\windows\system32\custom matrices
      2009-11-07 12:42 . 2009-11-07 12:43 4096 d-----w- c:\windows\system32\C2MP
      2009-11-07 12:42 . 2009-11-07 12:42 -------- d-----w- c:\windows\system32\QuickTime
      2009-11-07 02:36 . 2009-11-07 02:36 -------- d-----w- c:\programdata\WindowsSearch
      2009-11-07 00:21 . 2009-11-07 00:22 -------- d-----w- c:\program files\VirtualDubMod_1_5_10_2_All_inclusive
      2009-11-06 23:55 . 2009-11-10 01:51 -------- d-----w- c:\programdata\NCH Swift Sound
      2009-11-06 23:55 . 2009-11-10 01:50 -------- d-----w- c:\program files\NCH Swift Sound
      2009-11-06 23:51 . 2009-11-06 23:51 -------- d-----w- c:\programdata\NCH Software
      2009-11-06 23:50 . 2009-11-10 02:32 -------- d-----w- c:\users\Ana\AppData\Roaming\NCH Software
      2009-11-06 23:49 . 2009-11-06 23:50 -------- d-----w- c:\program files\NCH Software
      2009-11-06 23:09 . 2005-08-26 00:10 9804 ----a-w- c:\windows\system\vdremote.dll
      2009-11-06 23:09 . 2005-08-26 00:09 7244 ----a-w- c:\windows\system\vdsvrlnk.dll
      2009-11-06 21:55 . 2009-11-06 21:55 -------- d-----w- c:\program files\RumleyWare
      2009-11-04 03:31 . 2009-11-04 03:31 -------- dc-h--w- c:\programdata\{CCD0104E-95C0-4C73-A3E3-42C3D2072E43}
      2009-11-04 01:53 . 2009-11-04 01:53 -------- d-----w- c:\program files\VS Revo Group
      2009-11-04 01:24 . 2008-04-26 17:14 58792 ----a-w- c:\windows\system32\wbload.dll
      2009-11-04 01:24 . 2008-04-26 17:14 42672 ----a-w- c:\windows\system32\wbsys.dll
      2009-11-03 23:54 . 2009-11-03 23:54 -------- d-----w- c:\program files\CodeGazer
      2009-11-03 22:42 . 2009-11-03 22:42 -------- d-----w- c:\users\Ana\AppData\Roaming\DivX
      2009-11-02 13:09 . 2009-11-02 13:10 4096 d-----w- c:\program files\Common Files\DivX Shared
      2009-11-02 13:09 . 2009-11-02 13:11 4096 d-----w- c:\program files\DivX
      2009-11-02 08:44 . 2009-11-02 10:25 -------- d-----w- c:\programdata\FarmFrenzy2
      2009-11-02 08:43 . 2009-11-02 08:43 -------- d-----w- c:\program files\Farm Frenzy
      2009-11-02 07:05 . 2009-11-02 07:05 -------- d-----w- c:\program files\Windows Portable Devices
      2009-11-02 06:50 . 2009-09-10 02:00 92672 ----a-w- c:\windows\system32\UIAnimation.dll
      2009-11-02 06:50 . 2009-09-10 02:01 3023360 ----a-w- c:\windows\system32\UIRibbon.dll
      2009-11-02 06:50 . 2009-09-10 02:00 1164800 ----a-w- c:\windows\system32\UIRibbonRes.dll
      2009-11-02 06:48 . 2009-10-01 01:02 30208 ----a-w- c:\windows\system32\WPDShextAutoplay.exe
      2009-11-02 06:48 . 2009-10-01 01:02 31232 ----a-w- c:\windows\system32\BthMtpContextHandler.dll
      2009-11-02 06:48 . 2009-10-01 01:01 81920 ----a-w- c:\windows\system32\wpdbusenum.dll
      2009-11-02 06:48 . 2009-10-01 01:01 60928 ----a-w- c:\windows\system32\PortableDeviceConnectApi.dll
      2009-11-02 06:47 . 2009-10-01 01:02 2537472 ----a-w- c:\windows\system32\wpdshext.dll
      2009-11-02 06:47 . 2009-10-01 01:02 334848 ----a-w- c:\windows\system32\PortableDeviceApi.dll
      2009-11-02 06:47 . 2009-10-01 01:02 87552 ----a-w- c:\windows\system32\WPDShServiceObj.dll
      2009-11-02 06:47 . 2009-10-01 01:01 546816 ----a-w- c:\windows\system32\wpd_ci.dll
      2009-11-02 06:47 . 2009-10-01 01:01 160256 ----a-w- c:\windows\system32\PortableDeviceTypes.dll
      2009-11-02 06:47 . 2009-10-01 01:01 196608 ----a-w- c:\windows\system32\PortableDeviceWMDRM.dll
      2009-11-02 06:47 . 2009-10-01 01:01 100864 ----a-w- c:\windows\system32\PortableDeviceClassExtension.dll
      2009-11-02 06:47 . 2009-10-01 01:01 350208 ----a-w- c:\windows\system32\WPDSp.dll
      2009-11-02 06:45 . 2009-10-08 21:07 4096 ----a-w- c:\windows\system32\oleaccrc.dll
      2009-11-02 06:45 . 2009-10-08 21:08 555520 ----a-w- c:\windows\system32\UIAutomationCore.dll
      2009-11-02 06:45 . 2009-10-08 21:08 234496 ----a-w- c:\windows\system32\oleacc.dll
      2009-11-02 02:14 . 2009-11-07 03:49 4096 d-----w- c:\program files\Diner Dash
      2009-11-01 23:56 . 2009-11-01 23:57 -------- d-----w- c:\windows\system32\ca-ES
      2009-11-01 23:56 . 2009-11-01 23:57 -------- d-----w- c:\windows\system32\eu-ES
      2009-11-01 23:56 . 2009-11-01 23:57 -------- d-----w- c:\windows\system32\vi-VN
      2009-11-01 22:02 . 2009-11-01 22:02 -------- d-----w- c:\windows\system32\EventProviders
      2009-11-01 21:47 . 2009-04-11 05:03 12240896 ----a-w- c:\windows\system32\NlsLexicons0007.dll
      2009-11-01 21:45 . 2009-04-11 06:28 978432 ----a-w- c:\windows\system32\drmv2clt.dll
      2009-11-01 21:44 . 2009-04-11 06:28 115200 ----a-w- c:\windows\system32\AuxiliaryDisplayDriverLib.dll
      2009-11-01 21:43 . 2009-04-11 06:28 302592 ----a-w- c:\windows\system32\QAGENTRT.DLL
      2009-11-01 21:40 . 2009-04-11 06:28 1544704 ----a-w- c:\windows\system32\MSVidCtl.dll
      2009-11-01 21:39 . 2009-04-11 06:28 17408 ----a-w- c:\windows\system32\midimap.dll
      2009-11-01 21:39 . 2009-04-11 04:42 52992 ----a-w- c:\windows\system32\drivers\stream.sys
      2009-11-01 21:39 . 2009-04-11 04:46 33280 ----a-w- c:\windows\system32\drivers\RNDISMP.sys

      .
      (((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
      .
      2009-11-12 04:05 . 2009-10-11 02:55 4096 d-----w- c:\program files\Crawler
      2009-11-12 03:57 . 2008-11-18 04:45 -------- d-----w- c:\program files\Google
      2009-11-12 03:10 . 2009-10-02 21:17 -------- d-----w- c:\program files\WinClamAVShield
      2009-11-12 03:10 . 2009-10-02 21:01 4096 d-----w- c:\programdata\Spyware Terminator
      2009-11-11 15:12 . 2006-11-02 11:18 4096 d-----w- c:\program files\Windows Mail
      2009-11-11 15:10 . 2007-11-27 18:13 24576 d-----w- c:\programdata\Microsoft Help
      2009-11-11 06:27 . 2009-10-06 03:51 680 ----a-w- c:\users\Ana\AppData\Local\d3d9caps.dat
      2009-11-11 06:04 . 2008-03-18 11:57 115032 ----a-w- c:\users\Ana\AppData\Local\GDIPFONTCACHEV1.DAT
      2009-11-10 08:11 . 2008-03-20 16:05 -------- d-----w- c:\program files\Common Files\Wise Installation Wizard
      2009-11-10 04:23 . 2009-10-02 21:01 4096 d-----w- c:\users\Ana\AppData\Roaming\Spyware Terminator
      2009-11-10 04:21 . 2009-10-02 21:01 4096 d-----w- c:\program files\Spyware Terminator
      2009-11-10 04:10 . 2007-11-27 16:31 8192 d--h--w- c:\program files\InstallShield Installation Information
      2009-11-10 03:47 . 2007-11-27 18:20 4096 d-----w- c:\program files\CyberLink
      2009-11-09 20:17 . 2007-11-27 18:44 4096 d-----w- c:\program files\Java
      2009-11-09 03:53 . 2006-11-02 12:37 4096 d-----w- c:\program files\Microsoft Games
      2009-11-08 10:49 . 2009-10-05 05:38 -------- d-----w- c:\program files\7-Zip
      2009-11-07 13:11 . 2008-01-10 09:14 4096 d-----w- c:\programdata\CyberLink
      2009-11-07 13:00 . 2009-06-16 01:58 29480 ----a-w- c:\windows\system32\msxml3a.dll
      2009-11-07 13:00 . 2009-06-16 01:57 53319 ----a-w- c:\programdata\TEMP\{A8516AC9-AAF1-47F9-9766-03E2D4CDBCF8}\PostBuild.exe
      2009-11-05 11:55 . 2009-10-08 07:39 4096 d-----w- c:\users\Ana\AppData\Roaming\HpUpdate
      2009-11-04 08:50 . 2007-11-28 01:06 676686 ----a-w- c:\windows\system32\perfh00A.dat
      2009-11-04 08:50 . 2007-11-28 01:06 134486 ----a-w- c:\windows\system32\perfc00A.dat
      2009-11-02 22:42 . 2009-10-03 22:21 195456 ------w- c:\windows\system32\MpSigStub.exe
      2009-11-02 13:10 . 2009-08-25 05:04 -------- d-----w- c:\program files\Common Files\PX Storage Engine
      2009-11-02 11:29 . 2009-08-24 13:04 4096 d-----w- c:\program files\Opera
      2009-11-02 07:05 . 2006-11-02 10:25 665600 ----a-w- c:\windows\inf\drvindex.dat
      2009-11-02 07:05 . 2009-11-02 07:05 0 ---ha-w- c:\windows\system32\drivers\Msft_User_WpdFs_01_07_00.Wdf
      2009-11-01 23:58 . 2006-11-02 12:37 4096 d-----w- c:\program files\Windows Sidebar
      2009-11-01 23:58 . 2006-11-02 12:37 -------- d-----w- c:\program files\Windows Calendar
      2009-11-01 23:58 . 2006-11-02 12:37 4096 d-----w- c:\program files\Windows Journal
      2009-11-01 23:58 . 2006-11-02 12:37 4096 d-----w- c:\program files\Windows Collaboration
      2009-11-01 23:58 . 2006-11-02 12:37 4096 d-----w- c:\program files\Windows Photo Gallery
      2009-11-01 23:58 . 2006-11-02 12:37 4096 d-----w- c:\program files\Windows Defender
      2009-11-01 23:55 . 2009-11-01 23:55 0 ---ha-w- c:\windows\system32\drivers\Msft_User_WpdFs_01_00_00.Wdf
      2009-11-01 08:14 . 2006-11-02 10:32 101888 ----a-w- c:\windows\system32\ifxcardm.dll
      2009-11-01 08:13 . 2006-11-02 10:32 82432 ----a-w- c:\windows\system32\axaltocm.dll
      2009-10-29 18:26 . 2009-10-09 22:53 4096 d-----w- c:\users\Lily\AppData\Roaming\Spyware Terminator
      2009-10-29 12:47 . 2009-10-08 08:25 119495 ----a-w- c:\windows\hpqins00.dat
      2009-10-27 04:26 . 2009-10-04 17:31 4096 d-----w- c:\program files\Windows Live
      2009-10-26 11:17 . 2009-10-26 11:04 4096 d-----w- c:\program files\Ocean Express en Español
      2009-10-26 08:38 . 2008-01-10 09:22 12288 d-----w- c:\program files\HP Games
      2009-10-22 22:17 . 2008-03-26 00:20 159493 ----a-w- c:\windows\hpoins14.dat
      2009-10-17 21:50 . 2009-10-09 22:53 115032 ----a-w- c:\users\Lily\AppData\Local\GDIPFONTCACHEV1.DAT
      2009-10-16 01:56 . 2009-10-15 02:11 -------- d-----w- c:\program files\Common Files\AGBO Business Architecture S.L
      2009-10-13 04:24 . 2009-10-13 04:24 -------- d-----w- c:\users\Lily\AppData\Roaming\WildTangent
      2009-10-13 03:19 . 2007-11-27 18:19 4096 d-----w- c:\program files\Common Files\Adobe
      2009-10-11 06:17 . 2009-08-29 01:18 411368 ----a-w- c:\windows\system32\deploytk.dll
      2009-10-10 13:49 . 2009-10-10 13:47 -------- d-----w- c:\users\Lily\AppData\Roaming\HP
      2009-10-10 09:19 . 2009-10-10 09:19 -------- d-----w- c:\users\Ana\AppData\Roaming\Webroot
      2009-10-10 09:08 . 2009-10-10 09:08 -------- d-----w- c:\users\Ana\AppData\Roaming\nCleaner
      2009-10-10 05:25 . 2009-10-10 03:19 -------- d-----w- c:\programdata\McAfee
      2009-10-10 04:41 . 2009-10-10 04:41 4096 d-----w- c:\program files\VDOWNLOADER
      2009-10-10 03:20 . 2009-10-10 03:20 -------- d-----w- c:\programdata\SiteAdvisor
      2009-10-09 22:52 . 2009-10-09 22:52 -------- d-----w- c:\users\Lily\AppData\Roaming\yahoo!
      2009-10-09 22:52 . 2009-10-09 22:52 -------- d-----w- c:\users\Lily\AppData\Roaming\DigitalPersona
      2009-10-09 21:58 . 2009-10-08 08:16 -------- d-----w- c:\users\Ana\AppData\Roaming\GTek
      2009-10-09 04:02 . 2009-10-09 04:02 4096 d-----w- c:\program files\MzVistaForce
      2009-10-09 01:37 . 2007-11-27 18:18 4096 d-----w- c:\programdata\HP
      2009-10-08 21:10 . 2008-01-10 09:22 12288 d-----w- c:\programdata\WildTangent
      2009-10-08 08:16 . 2007-11-27 18:18 4096 d-----w- c:\program files\HP
      2009-10-08 08:15 . 2007-11-27 16:26 4096 d-----w- c:\program files\Hewlett-Packard
      2009-10-08 08:08 . 2008-03-18 11:48 -------- d-----w- c:\users\Ana\AppData\Roaming\Hewlett-Packard
      2009-10-08 05:35 . 2008-04-26 14:35 -------- d-----w- c:\program files\IObit
      2009-10-08 05:07 . 2008-03-26 00:28 -------- d-----w- c:\programdata\HP Product Assistant
      2009-10-08 04:09 . 2007-11-27 16:34 4096 d-----w- c:\programdata\Symantec
      2009-10-08 03:00 . 2009-10-08 03:00 -------- d-----w- c:\users\Ana\AppData\Roaming\GlarySoft
      2009-10-06 06:02 . 2009-10-06 06:01 -------- d-----w- c:\users\Antonella\AppData\Roaming\Spyware Terminator
      2009-10-06 06:01 . 2008-03-26 12:53 113760 ----a-w- c:\users\Antonella\AppData\Local\GDIPFONTCACHEV1.DAT
      2009-10-06 06:01 . 2009-10-06 06:01 -------- d-----w- c:\users\Antonella\AppData\Roaming\yahoo!
      2009-10-05 05:25 . 2009-10-05 05:25 -------- d-----w- c:\program files\NKProds
      2009-10-05 04:54 . 2009-10-05 04:54 -------- d-----w- c:\program files\Defraggler
      2009-10-04 17:57 . 2009-10-04 17:57 -------- d-----w- c:\users\Ana\AppData\Roaming\Windows Live Writer
      2009-10-04 17:48 . 2009-10-04 17:48 -------- d-----w- c:\program files\Microsoft SQL Server Compact Edition
      2009-10-04 17:34 . 2009-10-04 17:31 -------- dcsh--w- c:\program files\Common Files\WindowsLiveInstaller
      2009-10-04 17:29 . 2009-10-04 17:29 -------- d-----w- c:\programdata\WLInstaller
      2009-10-02 21:02 . 2009-10-02 21:02 6144 ----a-w- c:\programdata\Spyware Terminator\sp_rsdel.exe
      2009-10-02 21:02 . 2009-10-02 21:02 5632 ----a-w- c:\programdata\Spyware Terminator\fileobjinfo.sys
      2009-10-02 21:01 . 2009-10-02 21:01 142592 ----a-w- c:\windows\system32\drivers\sp_rsdrv2.sys
      2009-10-01 22:19 . 2009-10-01 22:19 2421760 ----a-w- c:\windows\system32\wucltux.dll
      2009-10-01 22:19 . 2009-10-01 22:19 53472 ----a-w- c:\windows\system32\wuauclt.exe
      2009-10-01 22:19 . 2009-10-01 22:19 44768 ----a-w- c:\windows\system32\wups2.dll
      2009-10-01 22:19 . 2009-10-01 22:19 1929952 ----a-w- c:\windows\system32\wuaueng.dll
      2009-10-01 22:17 . 2009-10-01 22:17 87552 ----a-w- c:\windows\system32\wudriver.dll
      2009-10-01 22:17 . 2009-10-01 22:17 575704 ----a-w- c:\windows\system32\wuapi.dll
      2009-10-01 22:17 . 2009-10-01 22:17 35552 ----a-w- c:\windows\system32\wups.dll
      2009-10-01 22:16 . 2009-10-01 22:16 33792 ----a-w- c:\windows\system32\wuapp.exe
      2009-10-01 22:16 . 2009-10-01 22:16 171608 ----a-w- c:\windows\system32\wuwebv.dll
      2009-10-01 21:34 . 2009-10-01 21:34 499712 ----a-w- c:\windows\system32\kerberos.dll
      2009-10-01 21:34 . 2009-10-01 21:34 175104 ----a-w- c:\windows\system32\wdigest.dll
      2009-10-01 21:34 . 2009-10-01 21:34 9728 ----a-w- c:\windows\system32\lsass.exe
      2009-10-01 21:34 . 2009-10-01 21:34 72704 ----a-w- c:\windows\system32\secur32.dll
      2009-10-01 21:34 . 2009-10-01 21:34 439864 ----a-w- c:\windows\system32\drivers\ksecdd.sys
      2009-10-01 21:34 . 2009-10-01 21:34 1259008 ----a-w- c:\windows\system32\lsasrv.dll
      2009-10-01 21:34 . 2009-10-01 21:34 270848 ----a-w- c:\windows\system32\schannel.dll
      2009-10-01 21:31 . 2009-10-01 21:31 1965056 ----a-w- c:\windows\system32\NlsData001a.dll
      2009-10-01 21:31 . 2009-10-01 21:31 1965056 ----a-w- c:\windows\system32\NlsData001b.dll
      2009-10-01 21:31 . 2009-10-01 21:31 4495360 ----a-w- c:\windows\system32\NlsData001d.dll
      2009-10-01 21:31 . 2009-10-01 21:31 9847296 ----a-w- c:\windows\system32\NlsData000a.dll
      2009-10-01 21:31 . 2009-10-01 21:31 2643456 ----a-w- c:\windows\system32\NlsData000c.dll
      2009-10-01 21:31 . 2009-10-01 21:31 2342912 ----a-w- c:\windows\system32\NlsData000d.dll
      2009-09-25 16:41 . 2009-09-25 16:41 1044480 ----a-w- c:\program files\mozilla firefox\plugins\libdivx.dll
      2009-09-25 16:41 . 2009-09-25 16:41 200704 ----a-w- c:\program files\mozilla firefox\plugins\ssldivx.dll
      .

      ((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
      .
      .
      *Note* empty entries & legit default entries are not shown
      REGEDIT4

      [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
      "{3D52425B-A0FE-4288-B1CB-24B3576E01CD}"= "c:\progra~1\Telefonica\InstaladorModems\toolbar5.dll" [2009-02-25 204800]

      [HKEY_CLASSES_ROOT\clsid\{3d52425b-a0fe-4288-b1cb-24b3576e01cd}]
      [HKEY_CLASSES_ROOT\Pugi.PugiObj.1]
      [HKEY_CLASSES_ROOT\TypeLib\{6D3F5DE4-E980-4407-A10F-9AC771ABAAE6}]
      [HKEY_CLASSES_ROOT\Pugi.PugiObj]

      [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\Webbrowser]
      "{3D52425B-A0FE-4288-B1CB-24B3576E01CD}"= "c:\progra~1\Telefonica\InstaladorModems\toolbar5.dll" [2009-02-25 204800]

      [HKEY_CLASSES_ROOT\clsid\{3d52425b-a0fe-4288-b1cb-24b3576e01cd}]
      [HKEY_CLASSES_ROOT\Pugi.PugiObj.1]
      [HKEY_CLASSES_ROOT\TypeLib\{6D3F5DE4-E980-4407-A10F-9AC771ABAAE6}]
      [HKEY_CLASSES_ROOT\Pugi.PugiObj]

      [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
      "ehTray.exe"="c:\windows\ehome\ehTray.exe" [2008-01-19 125952]
      "ISUSPM"="c:\programdata\Macrovision\FLEXnet Connect\6\ISUSPM.exe" [2007-03-29 222128]

      [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
      "SMSERIAL"="c:\program files\Motorola\SMSERIAL\sm56hlpr.exe" [2009-05-05 1466368]
      "IAAnotif"="c:\program files\Intel\Intel Matrix Storage Manager\iaanotif.exe" [2007-07-25 174616]
      "OnScreenDisplay"="c:\program files\Hewlett-Packard\HP QuickTouch\HPKBDAPP.exe" [2007-09-04 554320]
      "DpAgent"="c:\program files\DigitalPersona\Bin\dpagent.exe" [2007-09-20 671744]
      "Windows Defender"="c:\program files\Windows Defender\MSASCui.exe" [2008-01-19 1008184]
      "hpqSRMon"="c:\program files\HP\Digital Imaging\bin\hpqSRMon.exe" [2007-08-22 80896]
      "HP Software Update"="c:\program files\HP\HP Software Update\HPWuSchd2.exe" [2007-03-12 49152]
      "SpywareTerminator"="c:\program files\Spyware Terminator\SpywareTerminatorShield.exe" [2009-10-02 2171904]
      "IgfxTray"="c:\windows\system32\igfxtray.exe" [2008-02-21 141848]
      "HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2008-02-21 166424]
      "Persistence"="c:\windows\system32\igfxpers.exe" [2008-02-21 133656]
      "Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-10-15 39792]
      "SynTPEnh"="c:\program files\Synaptics\SynTP\SynTPEnh.exe" [2008-03-28 1045800]
      "Autorun Eater"="c:\program files\Autorun Eater\oldmcdonald.exe" [2009-05-27 549400]
      "avgnt"="c:\program files\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
      "SunJavaUpdateSched"="c:\program files\Java\jre6\bin\jusched.exe" [2009-10-11 149280]
      "ThreatFire"="c:\program files\ThreatFire\TFTray.exe" [2009-09-23 382224]
      "COMODO Memory Firewall"="c:\program files\COMODO\Memory Firewall\cmf.exe" [2009-11-10 2236160]
      "UnlockerAssistant"="c:\program files\Unlocker\UnlockerAssistant.exe" [2009-10-26 15872]

      [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
      "msnmsgr"="c:\program files\Windows Live\Messenger\msnmsgr.exe" [2009-07-26 3883856]

      [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
      "ConsentPromptBehaviorUser"= 2 (0x2)
      "EnableUIADesktopToggle"= 0 (0x0)

      [hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]
      "{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA}"= "c:\program files\SUPERAntiSpyware\SASSEH.DLL" [2008-05-13 77824]

      [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\!SASWinLogon]
      2009-09-03 17:21 548352 ----a-w- c:\program files\SUPERAntiSpyware\SASWINLO.dll

      [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
      "aux"=wdmaud.drv

      [HKEY_LOCAL_MACHINE\system\currentcontrolset\control\session manager]
      BootExecute REG_MULTI_SZ autocheck autochk *\0SsiEfr.exe\0SsiEfr.exe\0aswBoot.exe /A:* /L:Spanish /KBD:3

      [HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
      Notification Packages REG_MULTI_SZ scecli DPPWDFLT

      [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WinDefend]
      @="Service"

      [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
      "SynTPStart"="c:\program files\Synaptics\SynTP\SynTPStart.exe"

      [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring]
      "DisableMonitoring"=dword:00000001

      [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
      "DisableMonitoring"=dword:00000001

      [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
      "DisableMonitoring"=dword:00000001

      [HKEY_LOCAL_MACHINE\software\microsoft\security center\Svc]
      "VistaSp2"=hex(b):ec,f3,d2,78,50,5b,ca,01

      [HKEY_LOCAL_MACHINE\software\microsoft\security center\Svc\S-1-5-21-992081004-177084460-4040388763-1000]
      "EnableNotificationsRef"=dword:00000002

      R0 TfFsMon;TfFsMon;c:\windows\System32\drivers\TfFsMon.sys [10/11/2009 06:13 a.m. 51984]
      R0 TfSysMon;TfSysMon;c:\windows\System32\drivers\TfSysMon.sys [10/11/2009 06:13 a.m. 59664]
      R1 SASDIFSV;SASDIFSV;c:\program files\SUPERAntiSpyware\sasdifsv.sys [12/10/2009 09:24 p.m. 9968]
      R1 SASKUTIL;SASKUTIL;c:\program files\SUPERAntiSpyware\SASKUTIL.SYS [12/10/2009 09:24 p.m. 74480]
      R1 sp_rsdrv2;Spyware Terminator Driver 2;c:\windows\System32\drivers\sp_rsdrv2.sys [02/10/2009 07:01 p.m. 142592]
      R2 {B154377D-700F-42cc-9474-23858FBDF4BD};Power Control [2009/11/07 11:06];c:\program files\CyberLink\PowerDVD9\000.fcl [07/05/2009 09:05 p.m. 87536]
      R2 AntiVirSchedulerService;Avira AntiVir Scheduler;c:\program files\Avira\AntiVir Desktop\sched.exe [09/11/2009 03:09 a.m. 108289]
      R2 cmfd;cmfd;c:\program files\COMODO\Memory Firewall\cmfd.sys [10/11/2009 09:28 a.m. 11768]
      R2 nxsIO32;NextSensor Kernel I/O Driver;c:\windows\System32\drivers\nxsIO32.sys [12/11/2009 12:30 a.m. 2208]
      R3 TfNetMon;TfNetMon;c:\windows\System32\drivers\TfNetMon.sys [10/11/2009 06:13 a.m. 33552]
      S3 FontCache;Servicio de caché de fuentes de Windows;c:\windows\system32\svchost.exe -k LocalServiceAndNoImpersonation [18/10/2009 04:43 p.m. 21504]
      S3 SASENUM;SASENUM;c:\program files\SUPERAntiSpyware\SASENUM.SYS [12/10/2009 09:24 p.m. 7408]
      S3 uje2otk5;AVZ-SG Kernel Driver;c:\windows\System32\drivers\uje2otk5.sys [10/11/2009 02:39 a.m. 10240]

      --- Other Services/Drivers In Memory ---

      *NewlyCreated* - MBR
      *NewlyCreated* - PROCEXP113
      *Deregistered* - mbr
      *Deregistered* - PROCEXP113

      [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
      HPZ12 REG_MULTI_SZ Pml Driver HPZ12 Net Driver HPZ12
      hpdevmgmt REG_MULTI_SZ hpqcxs08
      LocalServiceAndNoImpersonation REG_MULTI_SZ FontCache

      HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
      wsunb

      [HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{10880D85-AAD9-4558-ABDC-2AB1552D831F}]
      "c:\program files\Common Files\LightScribe\LSRunOnce.exe"
      .
      Contents of the 'Scheduled Tasks' folder

      2009-11-11 c:\windows\Tasks\User_Feed_Synchronization-{52532173-D90C-40A2-AC7B-A47C4CDA3DD4}.job
      - c:\windows\system32\msfeedssync.exe [2009-10-29 03:41]
      .
      .
      ------- Supplementary Scan -------
      .
      uStart Page = hxxp://www.google.com.ar/
      uDefault_Search_URL = hxxp://www.google.com/ie
      mStart Page = hxxp://ar.yahoo.com
      uSearchURL,(Default) = hxxp://ar.rd.yahoo.com/customize/ie/defaults/su/msgr9/*http://ar.search.yahoo.com
      IE: Add to Google Photos Screensa&ver - c:\windows\system32\GPhotos.scr/200
      IE: Crawler Search - tbr:iemenu
      IE: E&xportar a Microsoft Excel - c:\progra~1\MICROS~3\Office12\EXCEL.EXE/3000
      TCP: {BFCB8F4D-AA8F-4695-925E-9DAAC077D091} = 192.168.1.1
      Handler: tbr - {4D25FB7A-8902-4291-960E-9ADA051CFBBF} - c:\progra~1\Crawler\ctbr.dll
      FF - ProfilePath - c:\users\Ana\AppData\Roaming\Mozilla\Firefox\Profiles\8fdk14q7.default\
      FF - prefs.js: browser.startup.homepage - hxxp://www.google.com.ar/
      FF - component: c:\program files\Crawler\firefox\components\xcomm.dll
      FF - component: c:\program files\Crawler\firefox\components\xshared.dll
      FF - component: c:\program files\Crawler\firefox\components\xsupport.dll
      FF - component: c:\program files\Crawler\firefox\components\xwsg.dll
      FF - plugin: c:\program files\Google\Picasa3\npPicasa3.dll
      FF - plugin: c:\program files\Microsoft\Office Live\npOLW.dll
      FF - plugin: c:\program files\Mozilla Firefox\plugins\np-mswmp.dll
      FF - plugin: c:\windows\system32\C2MP\npdivx32.dll
      FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension\

      ---- FIREFOX POLICIES ----
      c:\program files\Mozilla Firefox\greprefs\security-prefs.js - pref("security.ssl3.rsa_seed_sha", true);
      .
      - - - - ORPHANS REMOVED - - - -

      Notify-WBSrv - c:\program files\Stardock\Object Desktop\WindowBlinds\wbsrv.dll
      AddRemove-Mx One Antivirus - Guardian 4.0.4 - c:\program files\Mx One\Uninstall.exe



      **************************************************************************

      catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
      Rootkit scan 2009-11-12 03:17
      Windows 6.0.6002 Service Pack 2 NTFS

      detected NTDLL code modification:
      ZwOpenFile

      scanning hidden processes ...

      scanning hidden autostart entries ...

      scanning hidden files ...

      scan completed successfully
      hidden files: 0

      **************************************************************************

      [HKEY_LOCAL_MACHINE\system\ControlSet001\Services\gafuvfa]
      "ImagePath"="\??\c:\windows\system32\04587.tmp"

      [HKEY_LOCAL_MACHINE\system\ControlSet001\Services\ThreatFire]
      "AlternateImagePath"=""

      [HKEY_LOCAL_MACHINE\system\ControlSet001\Services\{B154377D-700F-42cc-9474-23858FBDF4BD}]
      "ImagePath"="\??\c:\program files\CyberLink\PowerDVD9\000.fcl"

      [HKEY_LOCAL_MACHINE\system\ControlSet001\Services\wsunb]
      "ServiceDll"="c:\windows\system32\kjdwr.dll"
      .
      --------------------- LOCKED REGISTRY KEYS ---------------------

      [HKEY_LOCAL_MACHINE\system\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings]
      @Denied: (A) (Users)
      @Denied: (A) (Everyone)
      @Allowed: (B 1 2 3 4 5) (S-1-5-20)
      "BlindDial"=dword:00000000
      "MSCurrentCountry"=dword:000000b5
      .
      --------------------- DLLs Loaded Under Running Processes ---------------------

      - - - - - - - > 'winlogon.exe'(724)
      c:\program files\ThreatFire\TFWAH.dll

      - - - - - - - > 'lsass.exe'(632)
      c:\windows\system32\DPPWDFLT.dll
      c:\program files\ThreatFire\TFWAH.dll
      .
      Completion time: 2009-11-12 3:44
      ComboFix-quarantined-files.txt 2009-11-12 05:43

      Pre-Run: 48.147.378.176 bytes libres
      Post-Run: 48.059.031.552 bytes libres

      - - End Of File - - A7ECAF0AD9E96DF542F6E8E23CE6C1DD

      Mis impresiones en el post que sigue...
      Última edición por antogar9 fecha: 13/11/09 a las 05:55:31

    Página 1 de 3 123 ÚltimoÚltimo