Foro de InfoSpyware - Foro de Hijackthis - Foro de Virus

Hola,

Cuando estoy navegando se abren ventanas, os pego el log:

Gracias de antemano

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:54:50, on 10/11/2009ae
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16735)
Boot mode: Safe mode

Running processes:
E:\WINDOWS\System32\smss.exe
E:\WINDOWS\system32\winlogon.exe
E:\WINDOWS\system32\services.exe
E:\WINDOWS\system32\lsass.exe
E:\WINDOWS\system32\svchost.exe
E:\WINDOWS\system32\svchost.exe
E:\WINDOWS\Explorer.EXE
E:\Archivos de programa\Trend Micro\HijackThis\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - E:\Archivos de programa\Archivos comunes\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - E:\Archivos de programa\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Windows Live Aplicación auxiliar de inicio de sesión - {9030D464-4C02-4ABF-8ECC-5164760863C6} - E:\Archivos de programa\Archivos comunes\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - E:\Archivos de programa\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - E:\Archivos de programa\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dl l
O4 - HKLM\..\Run: [avast!] E:\ARCHIV~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "E:\Archivos de programa\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [Google Desktop Search] "E:\Archivos de programa\Google\Google Desktop Search\GoogleDesktop.exe" /startup
O4 - HKLM\..\Run: [Malwarebytes Anti-Malware (reboot)] "E:\Archivos de programa\Malwarebytes' Anti-Malware\mbam.exe" /runcleanupscript
O4 - HKLM\..\Run: [QuickTime Task] "E:\Archivos de programa\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [MSConfig] E:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKCU\..\Run: [MSMSGS] "E:\Archivos de programa\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] E:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [H/PC Connection Agent] "E:\Archivos de programa\Microsoft ActiveSync\wcescomm.exe"
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] E:\WINDOWS\system32\CTFMON.EXE (User 'Servicio de red')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] E:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] E:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://E:\ARCHIV~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - E:\ARCHIV~1\MICROS~3\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - E:\ARCHIV~1\MICROS~3\INetRepl.dll
O9 - Extra 'Tools' menuitem: Crear un favorito móvil... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - E:\ARCHIV~1\MICROS~3\INetRepl.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - E:\Archivos de programa\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - E:\Archivos de programa\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - E:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - E:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - E:\Archivos de programa\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - E:\Archivos de programa\Messenger\msmsgs.exe
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - E:\ARCHIV~1\ARCHIV~1\Skype\SKYPE4~1.DLL
O20 - AppInit_DLLs: E:\ARCHIV~1\Google\GOOGLE~1\GOEC62~1.DLL bwvzrs.dll
O23 - Service: Adobe LM Service - Adobe Systems - E:\Archivos de programa\Archivos comunes\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - E:\Archivos de programa\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - E:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: avast! Antivirus - ALWIL Software - E:\Archivos de programa\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - E:\Archivos de programa\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - E:\Archivos de programa\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762# # (Bonjour Service) - Apple Computer, Inc. - E:\Archivos de programa\Bonjour\mDNSResponder.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - E:\Archivos de programa\Archivos comunes\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: Google Desktop Manager 5.7.806.10245 (GoogleDesktopManager-061008-081103) - Google - E:\Archivos de programa\Google\Google Desktop Search\GoogleDesktop.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - E:\Archivos de programa\Archivos comunes\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPod Service - Apple Computer, Inc. - E:\Archivos de programa\iPod\bin\iPodService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - E:\Archivos de programa\Java\jre6\bin\jqs.exe
O23 - Service: MySQL - Unknown owner - E:\Archivos.exe (file missing)
O23 - Service: PostgreSQL Database Server 8.3 (pgsql-8.3) - PostgreSQL Global Development Group - E:\Archivos de programa\PostgreSQL\8.3\bin\pg_ctl.exe
O23 - Service: Pml Driver HPZ12 - HP - E:\WINDOWS\system32\HPZipm12.exe

--
End of file - 6539 bytes

Hola Doskkin


Descarga lo siguiente:

º Ccleaner. Lo instalas según Su Manual

º Malwarebytes. Lo instalas y actualizas según su manual, PERO NO LO EJECUTES AUN
(Si ya lo tienes, solo lo actualizas)

º ComboFix.exe y guárdalo en el escritorio.



Ejecuta ComboFix.exe

• Desactiva temporalmente el Antivirus y/o Antispyware.
• Cierra todas las ventanas abiertas.
• Hacele doble clic al archivo ComboFix.exe y seguí las instrucciones.
• Cuando termine, generara un registro en C:\ComboFix.txt.
  • *Nota* Mientras CF este trabajando no mover el mouse ya que pararía su proceso.
  • *Nota* ComboFix puede reiniciar automáticamente el PC para completar el proceso de eliminación.

• Reinicia y pega el reporte de C:\ComboFix.txt en este mismo mensaje.

En tu próxima respuesta, debes poner lo siguiente:

º El reporte de malwarebyte´s, que se encuentra en su pestaña REGISTROS
º El reporte de ComboFix
º Un nuevo log de Hijackthis, pero en MODO NORMAL
º Como funciona tu pc ahora


Saludos

No consigo descargarme el Combofix.com, ¿Hay algún problema con el link que me has puesto?

¿Existe alguna otra dirección para descargarlo?

Antes te he adjuntado el log al iniciarlo en modo a prueba de fallos, este es el log ejecutando windows de forma normal (No se cambiará algo la cosa)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:38:57, on 10/11/2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16735)
Boot mode: Normal

Running processes:
E:\WINDOWS\System32\smss.exe
E:\WINDOWS\system32\winlogon.exe
E:\WINDOWS\system32\services.exe
E:\WINDOWS\system32\lsass.exe
E:\WINDOWS\system32\Ati2evxx.exe
E:\WINDOWS\system32\svchost.exe
E:\WINDOWS\System32\svchost.exe
E:\WINDOWS\system32\svchost.exe
E:\Archivos de programa\Alwil Software\Avast4\aswUpdSv.exe
E:\Archivos de programa\Alwil Software\Avast4\ashServ.exe
E:\WINDOWS\system32\spoolsv.exe
E:\Archivos de programa\Bonjour\mDNSResponder.exe
E:\Archivos de programa\Java\jre6\bin\jqs.exe
E:\Archivos de programa\Microsoft SQL Server\MSSQL.2\OLAP\bin\msmdsrv.exe
E:\Archivos de programa\Microsoft SQL Server\MSSQL.1\MSSQL\Binn\sqlservr.exe
E:\Archivos de programa\MySQL\MySQL Server 5.0\bin\mysqld-nt.exe
E:\WINDOWS\system32\HPZipm12.exe
E:\WINDOWS\system32\svchost.exe
E:\Archivos de programa\Microsoft SQL Server\MSSQL.1\MSSQL\Binn\msftesql.exe
E:\Archivos de programa\Alwil Software\Avast4\ashMaiSv.exe
E:\Archivos de programa\Alwil Software\Avast4\ashWebSv.exe
E:\WINDOWS\system32\Ati2evxx.exe
E:\WINDOWS\Explorer.EXE
E:\WINDOWS\system32\wscntfy.exe
E:\ARCHIV~1\ALWILS~1\Avast4\ashDisp.exe
E:\Archivos de programa\Java\jre6\bin\jusched.exe
E:\Archivos de programa\Google\Google Desktop Search\GoogleDesktop.exe
E:\Archivos de programa\QuickTime\qttask.exe
E:\Archivos de programa\Messenger\msmsgs.exe
E:\WINDOWS\system32\ctfmon.exe
E:\Archivos de programa\Microsoft ActiveSync\wcescomm.exe
E:\ARCHIV~1\MICROS~3\rapimgr.exe
E:\Archivos de programa\Google\Google Desktop Search\GoogleDesktop.exe
E:\Archivos de programa\CCleaner\ccleaner.exe
E:\Archivos de programa\Mozilla Firefox\firefox.exe
E:\Archivos de programa\Trend Micro\HijackThis\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - E:\Archivos de programa\Archivos comunes\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - E:\Archivos de programa\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Windows Live Aplicación auxiliar de inicio de sesión - {9030D464-4C02-4ABF-8ECC-5164760863C6} - E:\Archivos de programa\Archivos comunes\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - E:\Archivos de programa\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - E:\Archivos de programa\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dl l
O4 - HKLM\..\Run: [avast!] E:\ARCHIV~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "E:\Archivos de programa\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [Google Desktop Search] "E:\Archivos de programa\Google\Google Desktop Search\GoogleDesktop.exe" /startup
O4 - HKLM\..\Run: [Malwarebytes Anti-Malware (reboot)] "E:\Archivos de programa\Malwarebytes' Anti-Malware\mbam.exe" /runcleanupscript
O4 - HKLM\..\Run: [QuickTime Task] "E:\Archivos de programa\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [MSMSGS] "E:\Archivos de programa\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] E:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [H/PC Connection Agent] "E:\Archivos de programa\Microsoft ActiveSync\wcescomm.exe"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] E:\WINDOWS\system32\CTFMON.EXE (User 'SERVICIO LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] E:\WINDOWS\system32\CTFMON.EXE (User 'Servicio de red')
O4 - HKUS\S-1-5-21-484763869-362288127-839522115-1005\..\Run: [CTFMON.EXE] E:\WINDOWS\system32\CTFMON.EXE (User 'postgreuser')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] E:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] E:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://E:\ARCHIV~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - E:\ARCHIV~1\MICROS~3\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - E:\ARCHIV~1\MICROS~3\INetRepl.dll
O9 - Extra 'Tools' menuitem: Crear un favorito móvil... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - E:\ARCHIV~1\MICROS~3\INetRepl.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - E:\Archivos de programa\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - E:\Archivos de programa\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - E:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - E:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - E:\Archivos de programa\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - E:\Archivos de programa\Messenger\msmsgs.exe
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - E:\ARCHIV~1\ARCHIV~1\Skype\SKYPE4~1.DLL
O20 - AppInit_DLLs: E:\ARCHIV~1\Google\GOOGLE~1\GOEC62~1.DLL bwvzrs.dll
O23 - Service: Adobe LM Service - Adobe Systems - E:\Archivos de programa\Archivos comunes\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - E:\Archivos de programa\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - E:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: avast! Antivirus - ALWIL Software - E:\Archivos de programa\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - E:\Archivos de programa\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - E:\Archivos de programa\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762# # (Bonjour Service) - Apple Computer, Inc. - E:\Archivos de programa\Bonjour\mDNSResponder.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - E:\Archivos de programa\Archivos comunes\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: Google Desktop Manager 5.7.806.10245 (GoogleDesktopManager-061008-081103) - Google - E:\Archivos de programa\Google\Google Desktop Search\GoogleDesktop.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - E:\Archivos de programa\Archivos comunes\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPod Service - Apple Computer, Inc. - E:\Archivos de programa\iPod\bin\iPodService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - E:\Archivos de programa\Java\jre6\bin\jqs.exe
O23 - Service: MySQL - Unknown owner - E:\Archivos.exe (file missing)
O23 - Service: PostgreSQL Database Server 8.3 (pgsql-8.3) - PostgreSQL Global Development Group - E:\Archivos de programa\PostgreSQL\8.3\bin\pg_ctl.exe
O23 - Service: Pml Driver HPZ12 - HP - E:\WINDOWS\system32\HPZipm12.exe

Hola de nuevo.

Es un problema momentaneo del servidor. Espera a que se solucione y realiza el procedimiento tal te lo pedì anteriormente.

saludos

Te pego los reportes


Malwarebytes' Anti-Malware 1.41
Versión de la Base de Datos: 3141
Windows 5.1.2600 Service Pack 2

10/11/2009 23:14:58
mbam-log-2009-11-10 (23-14-58).txt

Tipo de examen : Examen Completo (C:\|D:\|E:\|)
Objetos examinados: 274591
Tiempo transcurrido: 59 minute(s), 41 second(s)

Procesos en Memoria Infectados: 0
Módulos en Memoria Infectados: 0
Claves del Registro Infectadas: 0
Valores del Registro Infectados: 0
Elementos de Datos del Registro Infectados: 0
Carpetas Infectadas: 0
Ficheros Infectados: 1

Procesos en Memoria Infectados:
(No se han detectado elementos maliciosos)

Módulos en Memoria Infectados:
(No se han detectado elementos maliciosos)

Claves del Registro Infectadas:
(No se han detectado elementos maliciosos)

Valores del Registro Infectados:
(No se han detectado elementos maliciosos)

Elementos de Datos del Registro Infectados:
(No se han detectado elementos maliciosos)

Carpetas Infectadas:
(No se han detectado elementos maliciosos)

Ficheros Infectados:
E:\Documents and Settings\Ricky\Configuración local\Temp\minime.exe (Trojan.Swizzor) -> Quarantined and deleted successfully.


ComboFix 09-11-11.02 - Ricky 11/11/2009 23:51.1.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.34.3082.18.1023.523 [GMT 1:00]
Running from: e:\documents and settings\Ricky\Escritorio\ComboFix.exe
AV: avast! antivirus 4.8.1201 [VPS 080805-0] *On-access scanning disabled* (Outdated) {7591DB91-41F0-48A3-B128-1A293FD8233D}

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
.

((((((((((((((((((((((((( Files Created from 2009-10-11 to 2009-11-11 )))))))))))))))))))))))))))))))
.

2009-11-09 19:26 . 2009-11-09 22:42 724992 ----a-w- e:\documents and settings\All Users\Datos de programa\Ping Sign Byte Tool\free multi.exe
2009-11-09 19:25 . 2009-11-09 22:45 -------- d-----w- e:\documents and settings\All Users\Datos de programa\Ping Sign Byte Tool
2009-11-09 19:25 . 2009-11-09 19:29 724992 ----a-w- e:\documents and settings\All Users\Datos de programa\Ping Sign Byte Tool\loud grey.exe
2009-11-09 19:24 . 2009-11-09 22:21 -------- d-----w- e:\archivos de programa\TorrentSpeeder
2009-11-07 23:29 . 2009-11-07 23:29 -------- d-----w- e:\documents and settings\All Users\Datos de programa\XHEO INC
2009-10-25 12:16 . 2009-10-25 12:16 -------- d-----w- e:\archivos de programa\Sizer
2009-10-17 09:12 . 2009-11-10 22:37 -------- d-----w- e:\archivos de programa\Everest Poker
2009-10-14 20:08 . 2009-10-14 20:08 -------- d-----w- e:\archivos de programa\Trend Micro

.
(((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))) ))
.
2009-11-09 22:25 . 2009-02-22 14:47 -------- d-----w- e:\documents and settings\Ricky\Datos de programa\uTorrent
2009-11-09 22:22 . 2007-12-25 12:58 -------- d-----w- e:\archivos de programa\Microsoft ActiveSync
2009-11-09 19:37 . 2006-11-02 16:52 -------- d-----w- e:\documents and settings\Ricky\Datos de programa\Image Zone Express
2009-10-25 11:55 . 2001-08-24 10:00 813218 ----a-w- e:\windows\system32\perfh00A.dat
2009-10-25 11:55 . 2001-08-24 10:00 208518 ----a-w- e:\windows\system32\perfc00A.dat
2009-10-14 20:15 . 2008-10-25 14:11 -------- d-----w- e:\archivos de programa\Malwarebytes' Anti-Malware
2009-10-03 10:17 . 2009-09-29 20:45 -------- d-----w- e:\archivos de programa\Microsoft SQL Server
2009-10-03 10:16 . 2009-10-03 10:16 -------- d-----w- e:\archivos de programa\Microsoft Silverlight
2009-10-03 10:16 . 2009-10-03 10:09 -------- d-----w- e:\archivos de programa\Microsoft Visual Studio 9.0
2009-10-03 10:16 . 2009-10-03 10:16 -------- d-----w- e:\archivos de programa\Microsoft Synchronization Services
2009-10-03 10:16 . 2009-10-03 10:16 -------- d-----w- e:\archivos de programa\Microsoft SQL Server Compact Edition
2009-10-03 10:15 . 2009-09-29 21:18 -------- d-----w- e:\documents and settings\All Users\Datos de programa\Microsoft Help
2009-10-03 10:15 . 2009-10-03 10:15 188672 ----a-w- e:\documents and settings\All Users\Datos de programa\Microsoft\VCSExpress\9.0\3082\ResourceCac he.dll
2009-10-03 10:13 . 2009-10-03 10:13 416 ----a-w- e:\documents and settings\All Users\Datos de programa\Microsoft\MSDN\9.0\3082\ResourceCache.dll
2009-10-03 10:09 . 2009-10-03 10:09 -------- d-----w- e:\archivos de programa\Microsoft SDKs
2009-10-03 10:02 . 2009-10-03 10:02 -------- d-----w- e:\archivos de programa\Reference Assemblies
2009-10-03 09:56 . 2009-10-03 09:56 -------- d-----w- e:\archivos de programa\MSXML 6.0
2009-09-29 22:31 . 2009-09-29 22:31 -------- d-----w- e:\archivos de programa\Microsoft Device Emulator
2009-09-29 22:31 . 2009-09-29 22:31 -------- d-----w- e:\archivos de programa\Microsoft SQL Server 2005 Mobile Edition
2009-09-29 22:21 . 2009-09-29 21:18 -------- d-----w- e:\archivos de programa\Microsoft Visual Studio 8
2009-09-29 22:20 . 2009-09-29 22:20 -------- d-----w- e:\archivos de programa\MSBuild
2009-09-29 22:20 . 2009-09-29 22:10 -------- d-----w- e:\archivos de programa\HTML Help Workshop
2009-09-29 22:19 . 2009-09-29 21:18 -------- d-----w- e:\archivos de programa\Archivos comunes\Merge Modules
2009-09-29 22:12 . 2009-09-29 22:10 -------- d-----w- e:\archivos de programa\Archivos comunes\Business Objects
2009-09-29 22:11 . 2009-09-29 22:10 -------- d-----w- e:\documents and settings\All Users\Datos de programa\PreEmptive Solutions
2009-09-29 22:10 . 2009-09-29 22:10 -------- d-----w- e:\archivos de programa\CE Remote Tools
2009-09-29 21:30 . 2009-09-29 21:30 -------- d-----w- e:\archivos de programa\SQLXML 4.0
2009-09-29 21:27 . 2009-09-29 21:06 -------- d-----w- e:\archivos de programa\Microsoft.NET
2009-09-29 21:06 . 2009-09-29 21:06 -------- d-----w- e:\archivos de programa\Microsoft Analysis Services
2009-09-28 21:28 . 2009-09-28 21:28 -------- d-----w- e:\documents and settings\Ricky\Datos de programa\Internet Tablet Video Converter
2009-09-28 21:28 . 2009-09-28 21:28 -------- d-----w- e:\archivos de programa\Archivos comunes\Nokia
2009-09-28 21:28 . 2009-09-28 21:28 -------- d-----w- e:\archivos de programa\Nokia
2009-09-27 21:23 . 2009-09-27 20:54 162816 ----a-w- e:\windows\system32\fmod.dll
2009-09-27 21:15 . 2009-09-27 21:15 -------- d-----w- e:\archivos de programa\Resco
2009-09-25 15:46 . 2009-09-25 15:46 -------- d-----w- e:\archivos de programa\Lonely Cat Games
2009-09-19 19:20 . 2009-09-19 19:20 -------- d-----w- e:\archivos de programa\RVG Software
2009-09-19 19:11 . 2009-09-19 19:11 -------- d-----w- e:\archivos de programa\PostgreSQL
2009-09-19 14:40 . 2009-09-19 14:40 -------- d-----w- e:\documents and settings\Ricky\Datos de programa\Betfair
2009-09-16 21:46 . 2009-09-16 21:44 -------- d-----w- e:\archivos de programa\Windows Live
2009-09-16 21:46 . 2006-11-01 09:58 -------- d-----w- e:\archivos de programa\MSN Messenger
2009-09-16 21:45 . 2009-09-16 21:45 -------- d-----w- e:\archivos de programa\Microsoft
2009-09-16 21:45 . 2009-09-16 21:45 -------- d-----w- e:\archivos de programa\Windows Live SkyDrive
2009-09-16 21:10 . 2009-09-16 21:10 -------- d-----w- e:\archivos de programa\Archivos comunes\Windows Live
2009-09-15 19:12 . 2006-11-13 10:27 -------- d--h--w- e:\archivos de programa\InstallShield Installation Information
2009-09-15 19:12 . 2007-08-06 20:43 -------- d-----w- e:\archivos de programa\Full Tilt Poker
2009-09-15 19:10 . 2008-01-12 16:00 -------- d-----w- e:\archivos de programa\Ant Movie Catalog
2009-09-15 18:50 . 2007-10-14 12:33 -------- d-----w- e:\documents and settings\Ricky\Datos de programa\Skype
2009-09-14 21:33 . 2006-11-01 09:50 -------- d-----w- e:\documents and settings\All Users\Datos de programa\Spybot - Search & Destroy
2009-09-14 20:55 . 2006-11-01 09:50 -------- d-----w- e:\archivos de programa\Spybot - Search & Destroy
2009-09-14 20:17 . 2008-11-09 18:17 -------- d-----w- e:\archivos de programa\File Scanner Library (Spybot - Search & Destroy)
2009-09-14 20:17 . 2008-11-02 23:15 -------- d-----w- e:\archivos de programa\TeaTimer (Spybot - Search & Destroy)
2009-09-10 12:54 . 2008-10-25 14:11 38224 ----a-w- e:\windows\system32\drivers\mbamswissarmy.sys
2009-09-10 12:53 . 2008-10-25 14:12 19160 ----a-w- e:\windows\system32\drivers\mbam.sys
2008-08-29 19:32 . 2006-11-29 15:05 122880 ----a-w- e:\archivos de programa\mozilla firefox\components\GoogleDesktopMozilla.dll
.

((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\Run]
"MSMSGS"="e:\archivos de programa\Messenger\msmsgs.exe" [2004-10-13 1694208]
"H/PC Connection Agent"="e:\archivos de programa\Microsoft ActiveSync\wcescomm.exe" [2006-11-13 1289000]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run]
"avast!"="e:\archiv~1\ALWILS~1\Avast4\ashDisp. exe" [2008-05-15 79224]
"SunJavaUpdateSched"="e:\archivos de programa\Java\jre6\bin\jusched.exe" [2009-04-16 148888]
"Google Desktop Search"="e:\archivos de programa\Google\Google Desktop Search\GoogleDesktop.exe" [2008-08-29 29744]
"Malwarebytes Anti-Malware (reboot)"="e:\archivos de programa\Malwarebytes' Anti-Malware\mbam.exe" [2009-09-10 1312080]
"QuickTime Task"="e:\archivos de programa\QuickTime\qttask.exe" [2006-10-25 282624]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\Cur rentVersion\Run]
"CTFMON.EXE"="e:\windows\system32\CTFMON.EXE" [2004-08-19 15360]

[HKLM\~\startupfolder\E:^Documents and Settings^All Users^Menú Inicio^Programas^Inicio^HP Digital Imaging Monitor.lnk]
path=e:\documents and settings\All Users\Menú Inicio\Programas\Inicio\HP Digital Imaging Monitor.lnk
backup=e:\windows\pss\HP Digital Imaging Monitor.lnkCommon Startup

[HKLM\~\startupfolder\E:^Documents and Settings^All Users^Menú Inicio^Programas^Inicio^Microsoft Office.lnk]
path=e:\documents and settings\All Users\Menú Inicio\Programas\Inicio\Microsoft Office.lnk
backup=e:\windows\pss\Microsoft Office.lnkCommon Startup

[HKLM\~\startupfolder\E:^Documents and Settings^All Users^Menú Inicio^Programas^Inicio^Software Kodak EasyShare.lnk]
path=e:\documents and settings\All Users\Menú Inicio\Programas\Inicio\Software Kodak EasyShare.lnk
backup=e:\windows\pss\Software Kodak EasyShare.lnkCommon Startup

[HKLM\~\startupfolder\E:^Documents and Settings^Ricky^Menú Inicio^Programas^Inicio^Adobe Gamma.lnk]
path=e:\documents and settings\Ricky\Menú Inicio\Programas\Inicio\Adobe Gamma.lnk
backup=e:\windows\pss\Adobe Gamma.lnkStartup

[HKLM\~\services\sharedaccess\parameters\firewallpo licy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Archivos de programa\\eMule\\emule.exe"=
"e:\\Archivos de programa\\HP\\Digital Imaging\\bin\\hpqtra08.exe"=
"e:\\Archivos de programa\\HP\\Digital Imaging\\bin\\hpqste08.exe"=
"e:\\Archivos de programa\\HP\\Digital Imaging\\bin\\hpofxm08.exe"=
"e:\\Archivos de programa\\HP\\Digital Imaging\\bin\\hposfx08.exe"=
"e:\\Archivos de programa\\HP\\Digital Imaging\\bin\\hposid01.exe"=
"e:\\Archivos de programa\\HP\\Digital Imaging\\bin\\hpqscnvw.exe"=
"e:\\Archivos de programa\\HP\\Digital Imaging\\bin\\hpqkygrp.exe"=
"e:\\Archivos de programa\\HP\\Digital Imaging\\bin\\hpqCopy.exe"=
"e:\\Archivos de programa\\HP\\Digital Imaging\\bin\\hpfccopy.exe"=
"e:\\Archivos de programa\\HP\\Digital Imaging\\bin\\hpzwiz01.exe"=
"e:\\Archivos de programa\\HP\\Digital Imaging\\Unload\\HpqPhUnl.exe"=
"e:\\Archivos de programa\\HP\\Digital Imaging\\Unload\\HpqDIA.exe"=
"e:\\Archivos de programa\\HP\\Digital Imaging\\bin\\hpoews01.exe"=
"e:\\Archivos de programa\\HP\\Digital Imaging\\bin\\hpqnrs08.exe"=
"e:\\Archivos de programa\\PPStream\\PPStream.exe"=
"e:\\Archivos de programa\\Mozilla Firefox\\firefox.exe"=
"e:\\Archivos de programa\\Java\\jdk1.5.0_10\\jre\\bin\\java.exe"=
"e:\\Archivos de programa\\iTunes\\iTunes.exe"=
"e:\\Archivos de programa\\Java\\jdk1.5.0_10\\bin\\java.exe"=
"e:\\Archivos de programa\\Bonjour\\mDNSResponder.exe"=
"e:\\Documents and Settings\\Ricky\\Escritorio\\My Mobile\\MyMobiler\\MyMobiler.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"e:\\Archivos de programa\\Kodak\\Kodak EasyShare software\\bin\\EasyShare.exe"=
"e:\\Archivos de programa\\uTorrent\\uTorrent.exe"=
"e:\\Archivos de programa\\Skype\\Phone\\Skype.exe"=
"e:\\Archivos de programa\\Windows Live\\Messenger\\wlcsdk.exe"=
"e:\\Archivos de programa\\Windows Live\\Messenger\\msnmsgr.exe"=
"e:\archivos de programa\Microsoft ActiveSync\rapimgr.exe"= e:\archivos de programa\Microsoft ActiveSync\rapimgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync RAPI Manager
"e:\archivos de programa\Microsoft ActiveSync\wcescomm.exe"= e:\archivos de programa\Microsoft ActiveSync\wcescomm.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Connection Manager
"e:\archivos de programa\Microsoft ActiveSync\WCESMgr.exe"= e:\archivos de programa\Microsoft ActiveSync\WCESMgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Application

[HKLM\~\services\sharedaccess\parameters\firewallpo licy\standardprofile\GloballyOpenPorts\List]
"26675:TCP"= 26675:TCP:169.254.2.0/255.255.255.0:Enabled:ActiveSync Service

R1 aswSP;avast! Self Protection;e:\windows\system32\drivers\aswSP.sys [20/06/2008 18:30 78416]
R2 aswFsBlk;aswFsBlk;e:\windows\system32\drivers\aswF sBlk.sys [20/06/2008 18:30 20560]
R2 DLPortIO;DriverLINX Port I/O Driver;e:\windows\system32\drivers\DLPortIO.SYS [30/01/2007 22:17 3584]
R2 MsDtsServer;SQL Server Integration Services;e:\archivos de programa\Microsoft SQL Server\90\DTS\Binn\MsDtsSrvr.exe [14/10/2005 1:45 199384]
R2 msftesql$INSTANCIA;Búsqueda de texto de SQL Server (INSTANCIA);e:\archivos de programa\Microsoft SQL Server\MSSQL.1\MSSQL\Binn\msftesql.exe [26/08/2005 15:00 92880]
R2 MSOLAP$INSTANCIA;SQL Server Analysis Services (INSTANCIA);e:\archivos de programa\Microsoft SQL Server\MSSQL.2\OLAP\bin\msmdsrv.exe [14/10/2005 1:46 14557912]
R2 MSSQL$INSTANCIA;SQL Server (INSTANCIA);e:\archivos de programa\Microsoft SQL Server\MSSQL.1\MSSQL\Binn\sqlservr.exe [14/10/2005 1:51 28768528]
R2 pgsql-8.3;PostgreSQL Database Server 8.3;e:\archivos de programa\PostgreSQL\8.3\bin\pg_ctl.exe [13/03/2009 4:50 65536]
S3 GoogleDesktopManager-061008-081103;Google Desktop Manager 5.7.806.10245;e:\archivos de programa\Google\Google Desktop Search\GoogleDesktop.exe [29/11/2006 16:05 29744]
S3 SQLAgent$INSTANCIA;Agente SQL Server (INSTANCIA);e:\archivos de programa\Microsoft SQL Server\MSSQL.1\MSSQL\Binn\SQLAGENT90.EXE [14/10/2005 1:51 318680]
S4 msvsmon80;Visual Studio 2005 Remote Debugger;e:\archivos de programa\Microsoft Visual Studio 8\Common7\IDE\Remote Debugger\x86\msvsmon.exe [09/12/2005 9:41 2799808]

--- Other Services/Drivers In Memory ---

*NewlyCreated* - MBR
*Deregistered* - mbr
.
Contents of the 'Scheduled Tasks' folder

2009-10-03 e:\windows\Tasks\Actualización de Productos de IdiomaX.job
- e:\archivos de programa\Archivos comunes\IdiomaX Shared\Cat 6.0\IdxLUpdate.exe [2007-07-15 21:40]

2009-03-13 e:\windows\Tasks\AppleSoftwareUpdate.job
- e:\archivos de programa\Apple Software Update\SoftwareUpdate.exe [2006-10-10 16:13]
.
.
------- Supplementary Scan -------
.
uSearchMigratedDefaultURL = hxxp://www.google.com/search?q={searchTerms}&sourceid=ie7&rls=com.micros oft:en-US&ie=utf8&oe=utf8
uInternet Settings,ProxyOverride = *.local
uSearchURL,(Default) = hxxp://www.google.com/keyword/%s
IE: E&xportar a Microsoft Excel - e:\archiv~1\MICROS~2\Office10\EXCEL.EXE/3000
FF - ProfilePath - e:\documents and settings\Ricky\Datos de programa\Mozilla\Firefox\Profiles\slwk2ks0.default \
FF - prefs.js: browser.startup.homepage - hxxp://google.es/
FF - component: e:\archivos de programa\Mozilla Firefox\components\GoogleDesktopMozilla.dll
FF - plugin: e:\archivos de programa\Mozilla Firefox\plugins\npGoogleGadgetPluginFirefoxWin.dll

---- FIREFOX POLICIES ----
FF - user.js: yahoo.homepage.dontask - true.

************************************************** ************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-11-12 00:00
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden files: 0

************************************************** ************************

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\m sftesql$INSTANCIA]
"ImagePath"="\"e:\archivos de programa\Microsoft SQL Server\MSSQL.1\MSSQL\Binn\msftesql.exe\" -s:MSSQL.1 -f:INSTANCIA"

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\M ySQL]
"ImagePath"="\"e:\archivos de programa\MySQL\MySQL Server 5.0\bin\mysqld-nt\" --defaults-file=\"e:\archivos de programa\MySQL\MySQL Server 5.0\my.ini\" MySQL"
.
--------------------- LOCKED REGISTRY KEYS ---------------------

[HKEY_LOCAL_MACHINE\software\Microsoft\Cryptography \RNG*]
"Seed"=hex:49,31,f4,88,04,28,01,14,c5,ca,fa,5f,f5, cf,66,6e,1f,6c,42,48,3b,1d,
bb,84,6e,c3,98,a3,07,68,b8,a1,8e,3f,71,ca,a8,53,6d ,af,a8,e5,29,51,a3,e5,99,\
"Seed"=hex:49,31,f4,88,04,28,01,14,c5,ca,fa,5f,f5, cf,66,6e,1f,6c,42,48,3b,1d,
bb,84,6e,c3,98,a3,07,68,b8,a1,8e,3f,71,ca,a8,53,6d ,af,a8,e5,29,51,a3,e5,99,\
"Seed"=hex:49,31,f4,88,04,28,01,14,c5,ca,fa,5f,f5, cf,66,6e,1f,6c,42,48,3b,1d,
bb,84,6e,c3,98,a3,07,68,b8,a1,8e,3f,71,ca,a8,53,6d ,af,a8,e5,29,51,a3,e5,99,\
"Seed"=hex:49,31,f4,88,04,28,01,14,c5,ca,fa,5f,f5, cf,66,6e,1f,6c,42,48,3b,1d,
bb,84,6e,c3,98,a3,07,68,b8,a1,8e,3f,71,ca,a8,53,6d ,af,a8,e5,29,51,a3,e5,99,\
"Seed"=hex:49,31,f4,88,04,28,01,14,c5,ca,fa,5f,f5, cf,66,6e,1f,6c,42,48,3b,1d,
bb,84,6e,c3,98,a3,07,68,b8,a1,8e,3f,71,ca,a8,53,6d ,af,a8,e5,29,51,a3,e5,99,\
"Seed"=hex:49,31,f4,88,04,28,01,14,c5,ca,fa,5f,f5, cf,66,6e,1f,6c,42,48,3b,1d,
bb,84,6e,c3,98,a3,07,68,b8,a1,8e,3f,71,ca,a8,53,6d ,af,a8,e5,29,51,a3,e5,99,\
"Seed"=hex:49,31,f4,88,04,28,01,14,c5,ca,fa,5f,f5, cf,66,6e,1f,6c,42,48,3b,1d,
bb,84,6e,c3,98,a3,07,68,b8,a1,8e,3f,71,ca,a8,53,6d ,af,a8,e5,29,51,a3,e5,99,\
"Seed"=hex:49,31,f4,88,04,28,01,14,c5,ca,fa,5f,f5, cf,66,6e,1f,6c,42,48,3b,1d,
bb,84,6e,c3,98,a3,07,68,b8,a1,8e,3f,71,ca,a8,53,6d ,af,a8,e5,29,51,a3,e5,99,\
"Seed"=hex:49,31,f4,88,04,28,01,14,c5,ca,fa,5f,f5, cf,66,6e,1f,6c,42,48,3b,1d,
bb,84,6e,c3,98,a3,07,68,b8,a1,8e,3f,71,ca,a8,53,6d ,af,a8,e5,29,51,a3,e5,99,\
.
--------------------- DLLs Loaded Under Running Processes ---------------------

- - - - - - - > 'winlogon.exe'(688)
e:\windows\system32\Ati2evxx.dll

- - - - - - - > 'explorer.exe'(3372)
e:\windows\system32\WPDShServiceObj.dll
e:\windows\system32\PortableDeviceTypes.dll
e:\windows\system32\PortableDeviceApi.dll
.
------------------------ Other Running Processes ------------------------
.
e:\windows\system32\Ati2evxx.exe
e:\archivos de programa\Alwil Software\Avast4\aswUpdSv.exe
e:\archivos de programa\Alwil Software\Avast4\ashServ.exe
e:\archivos de programa\Bonjour\mDNSResponder.exe
e:\archivos de programa\Java\jre6\bin\jqs.exe
e:\windows\system32\Ati2evxx.exe
e:\archivos de programa\Microsoft SQL Server\MSSQL.3\MSSQL\Binn\sqlservr.exe
e:\windows\system32\HPZipm12.exe
e:\archivos de programa\Microsoft SQL Server\90\Shared\sqlbrowser.exe
e:\archivos de programa\PostgreSQL\8.3\bin\postgres.exe
e:\archivos de programa\PostgreSQL\8.3\bin\postgres.exe
e:\archivos de programa\PostgreSQL\8.3\bin\postgres.exe
e:\archivos de programa\PostgreSQL\8.3\bin\postgres.exe
e:\archivos de programa\PostgreSQL\8.3\bin\postgres.exe
e:\archivos de programa\PostgreSQL\8.3\bin\postgres.exe
e:\archivos de programa\Alwil Software\Avast4\ashMaiSv.exe
e:\archivos de programa\Alwil Software\Avast4\ashWebSv.exe
e:\windows\system32\wscntfy.exe
e:\archiv~1\MICROS~3\rapimgr.exe
.
************************************************** ************************
.
Completion time: 2009-11-11 0:05 - machine was rebooted
ComboFix-quarantined-files.txt 2009-11-11 23:05

Pre-Run: 13.218.844.672 bytes libres
Post-Run: 13.097.988.096 bytes libres

- - End Of File - - 916F32D5793F000236FA2D65196CCA86


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 001, on 12/11/2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16735)
Boot mode: Normal

Running processes:
E:\WINDOWS\System32\smss.exe
E:\WINDOWS\system32\winlogon.exe
E:\WINDOWS\system32\services.exe
E:\WINDOWS\system32\lsass.exe
E:\WINDOWS\system32\Ati2evxx.exe
E:\WINDOWS\system32\svchost.exe
E:\WINDOWS\System32\svchost.exe
E:\WINDOWS\system32\svchost.exe
E:\Archivos de programa\Alwil Software\Avast4\aswUpdSv.exe
E:\Archivos de programa\Alwil Software\Avast4\ashServ.exe
E:\WINDOWS\system32\spoolsv.exe
E:\Archivos de programa\Bonjour\mDNSResponder.exe
E:\Archivos de programa\Java\jre6\bin\jqs.exe
E:\Archivos de programa\Microsoft SQL Server\MSSQL.2\OLAP\bin\msmdsrv.exe
E:\WINDOWS\system32\Ati2evxx.exe
E:\Archivos de programa\Microsoft SQL Server\MSSQL.1\MSSQL\Binn\sqlservr.exe
E:\WINDOWS\system32\HPZipm12.exe
E:\WINDOWS\system32\svchost.exe
E:\Archivos de programa\Microsoft SQL Server\MSSQL.1\MSSQL\Binn\msftesql.exe
E:\Archivos de programa\Alwil Software\Avast4\ashMaiSv.exe
E:\Archivos de programa\Alwil Software\Avast4\ashWebSv.exe
E:\WINDOWS\system32\wscntfy.exe
E:\ARCHIV~1\ALWILS~1\Avast4\ashDisp.exe
E:\Archivos de programa\Java\jre6\bin\jusched.exe
E:\Archivos de programa\Google\Google Desktop Search\GoogleDesktop.exe
E:\Archivos de programa\QuickTime\qttask.exe
E:\Archivos de programa\Messenger\msmsgs.exe
E:\Archivos de programa\Microsoft ActiveSync\wcescomm.exe
E:\ARCHIV~1\MICROS~3\rapimgr.exe
E:\Archivos de programa\Google\Google Desktop Search\GoogleDesktop.exe
E:\WINDOWS\system32\notepad.exe
E:\WINDOWS\explorer.exe
E:\Archivos de programa\Mozilla Firefox\firefox.exe
E:\Archivos de programa\Trend Micro\HijackThis\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - E:\Archivos de programa\Archivos comunes\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - E:\Archivos de programa\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Windows Live Aplicación auxiliar de inicio de sesión - {9030D464-4C02-4ABF-8ECC-5164760863C6} - E:\Archivos de programa\Archivos comunes\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - E:\Archivos de programa\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - E:\Archivos de programa\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dl l
O4 - HKLM\..\Run: [avast!] E:\ARCHIV~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "E:\Archivos de programa\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [Google Desktop Search] "E:\Archivos de programa\Google\Google Desktop Search\GoogleDesktop.exe" /startup
O4 - HKLM\..\Run: [Malwarebytes Anti-Malware (reboot)] "E:\Archivos de programa\Malwarebytes' Anti-Malware\mbam.exe" /runcleanupscript
O4 - HKLM\..\Run: [QuickTime Task] "E:\Archivos de programa\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [MSMSGS] "E:\Archivos de programa\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [H/PC Connection Agent] "E:\Archivos de programa\Microsoft ActiveSync\wcescomm.exe"
O4 - HKUS\S-1-5-21-484763869-362288127-839522115-1005\..\Run: [CTFMON.EXE] E:\WINDOWS\system32\CTFMON.EXE (User 'postgreuser')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] E:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] E:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://E:\ARCHIV~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - E:\ARCHIV~1\MICROS~3\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - E:\ARCHIV~1\MICROS~3\INetRepl.dll
O9 - Extra 'Tools' menuitem: Crear un favorito móvil... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - E:\ARCHIV~1\MICROS~3\INetRepl.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - E:\Archivos de programa\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - E:\Archivos de programa\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - E:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - E:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - E:\Archivos de programa\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - E:\Archivos de programa\Messenger\msmsgs.exe
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - E:\ARCHIV~1\ARCHIV~1\Skype\SKYPE4~1.DLL
O23 - Service: Adobe LM Service - Adobe Systems - E:\Archivos de programa\Archivos comunes\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - E:\Archivos de programa\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - E:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: avast! Antivirus - ALWIL Software - E:\Archivos de programa\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - E:\Archivos de programa\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - E:\Archivos de programa\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762# # (Bonjour Service) - Apple Computer, Inc. - E:\Archivos de programa\Bonjour\mDNSResponder.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - E:\Archivos de programa\Archivos comunes\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: Google Desktop Manager 5.7.806.10245 (GoogleDesktopManager-061008-081103) - Google - E:\Archivos de programa\Google\Google Desktop Search\GoogleDesktop.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - E:\Archivos de programa\Archivos comunes\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPod Service - Apple Computer, Inc. - E:\Archivos de programa\iPod\bin\iPodService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - E:\Archivos de programa\Java\jre6\bin\jqs.exe
O23 - Service: MySQL - Unknown owner - E:\Archivos.exe (file missing)
O23 - Service: PostgreSQL Database Server 8.3 (pgsql-8.3) - PostgreSQL Global Development Group - E:\Archivos de programa\PostgreSQL\8.3\bin\pg_ctl.exe
O23 - Service: Pml Driver HPZ12 - HP - E:\WINDOWS\system32\HPZipm12.exe

--
End of file - 7653 bytes

Hola de nuevo

Desinstala CF de esta manera:

• Ve a Inicio > Ejecutar
• Escribe lo siguiente: ComboFix /u como muestra la imagen debajo:
  
  o
• Esto activara el desinstalador de ComboFix abriendo su pantalla principal y luego de unos segundos veras ("ComboFix is uninstalled")

Esto realizara las siguientes tareas:

• Se borraran:
  • ComboFix: sus archivos y carpetas.
  • VundoFix: copias de seguridad (si está presente)
  • La carpeta C:\Deckard (si está presente)
  • La carpeta C: _OtMoveIt (si está presente)
• Restablece la configuración del reloj.
• Ocultar extensiones de archivo (si es necesario.)
• Oculta los archivos que estaban ocultos
• Reactiva el "Restaurar Sistema"

Nos comentas como va el ordenador ahora.

Saludos

Ya he realizado todos los pasos.

El único problema que ha surgido de momento ha sido, cuando al iniciar el messenger el antivirus avast me ha dicho que tengo el Troyano Win32:Bifrose-CIQ

Hola de nuevo

Desinstala CF de esta manera:

• Ve a Inicio > Ejecutar
• Escribe lo siguiente: ComboFix /u como muestra la imagen debajo:
  
  o
• Esto activara el desinstalador de ComboFix abriendo su pantalla principal y luego de unos segundos veras ("ComboFix is uninstalled")

Actualizá Malwarebytes y hace un escaneo completo del sistema, eliminando todo lo que encuentre.

Luego, haces lo mismo con tu antivirus Avast.

Nos contas al final los resultados.


Saludos

Ýa no se abren ventanas, pero el ordenador va bastante lento, adjunto el log del Malwarebytes:

Malwarebytes' Anti-Malware 1.42
Versión de la Base de Datos: 3303
Windows 5.1.2600 Service Pack 2
Internet Explorer 7.0.5730.13

07/12/2009 0:06:13
mbam-log-2009-12-07 (00-06-13).txt

Tipo de examen : Examen Completo (C:\|D:\|E:\|)
Objetos examinados: 286020
Tiempo transcurrido: 1 hour(s), 6 minute(s), 28 second(s)

Procesos en Memoria Infectados: 0
Módulos en Memoria Infectados: 1
Claves del Registro Infectadas: 1
Valores del Registro Infectados: 1
Elementos de Datos del Registro Infectados: 1
Carpetas Infectadas: 0
Ficheros Infectados: 26

Procesos en Memoria Infectados:
(No se han detectado elementos maliciosos)

Módulos en Memoria Infectados:
E:\WINDOWS\system32\optyhww0.dll (Spyware.OnlineGames) -> Delete on reboot.

Claves del Registro Infectadas:
HKEY_CLASSES_ROOT\CLSID\MADOWN (Worm.Magania) -> Quarantined and deleted successfully.

Valores del Registro Infectados:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\Run\cbvcs (Spyware.OnlineGames) -> Quarantined and deleted successfully.

Elementos de Datos del Registro Infectados:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Explorer\Advanced\Folder\Hidden\SHOWALL \CheckedValue (Hijack.System.Hidden) -> Bad: (0) Good: (1) -> Quarantined and deleted successfully.

Carpetas Infectadas:
(No se han detectado elementos maliciosos)

Ficheros Infectados:
E:\WINDOWS\system32\optyhww0.dll (Spyware.OnlineGames) -> Delete on reboot.
E:\WINDOWS\system32\urretnd.exe (Spyware.OnlineGames) -> Quarantined and deleted successfully.
C:\d1vmq.exe (Spyware.OnlineGames) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{EA2D7294-37FA-4F56-8D64-7FE37AA1EBEE}\RP11\A0001490.exe (Spyware.OnlineGames) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{EA2D7294-37FA-4F56-8D64-7FE37AA1EBEE}\RP12\A0001507.exe (Spyware.OnlineGames) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{EA2D7294-37FA-4F56-8D64-7FE37AA1EBEE}\RP12\A0001532.exe (Spyware.OnlineGames) -> Quarantined and deleted successfully.
D:\d1vmq.exe (Spyware.OnlineGames) -> Quarantined and deleted successfully.
D:\System Volume Information\_restore{EA2D7294-37FA-4F56-8D64-7FE37AA1EBEE}\RP11\A0001492.exe (Spyware.OnlineGames) -> Quarantined and deleted successfully.
D:\System Volume Information\_restore{EA2D7294-37FA-4F56-8D64-7FE37AA1EBEE}\RP12\A0001509.exe (Spyware.OnlineGames) -> Quarantined and deleted successfully.
D:\System Volume Information\_restore{EA2D7294-37FA-4F56-8D64-7FE37AA1EBEE}\RP12\A0001534.exe (Spyware.OnlineGames) -> Quarantined and deleted successfully.
D:\System Volume Information\_restore{EA2D7294-37FA-4F56-8D64-7FE37AA1EBEE}\RP12\A0001548.exe (Spyware.OnlineGames) -> Quarantined and deleted successfully.
D:\System Volume Information\_restore{EA2D7294-37FA-4F56-8D64-7FE37AA1EBEE}\RP12\A0001563.exe (Spyware.OnlineGames) -> Quarantined and deleted successfully.
E:\autorun.inf (Spyware.OnlineGames) -> Quarantined and deleted successfully.
E:\d1vmq.exe (Spyware.OnlineGames) -> Quarantined and deleted successfully.
E:\Documents and Settings\Ricky\Configuración local\Archivos temporales de Internet\Content.IE5\WVBVPH8Z\help[1].exe (Trojan.Dropper) -> Quarantined and deleted successfully.
E:\Documents and Settings\Ricky\Configuración local\Temp\ker13.tmp (Trojan.Dropper) -> Quarantined and deleted successfully.
E:\System Volume Information\_restore{EA2D7294-37FA-4F56-8D64-7FE37AA1EBEE}\RP11\A0001494.exe (Spyware.OnlineGames) -> Quarantined and deleted successfully.
E:\System Volume Information\_restore{EA2D7294-37FA-4F56-8D64-7FE37AA1EBEE}\RP12\A0001511.exe (Spyware.OnlineGames) -> Quarantined and deleted successfully.
E:\System Volume Information\_restore{EA2D7294-37FA-4F56-8D64-7FE37AA1EBEE}\RP12\A0001530.dll (Spyware.OnlineGames) -> Quarantined and deleted successfully.
E:\System Volume Information\_restore{EA2D7294-37FA-4F56-8D64-7FE37AA1EBEE}\RP12\A0001536.exe (Spyware.OnlineGames) -> Quarantined and deleted successfully.
E:\System Volume Information\_restore{EA2D7294-37FA-4F56-8D64-7FE37AA1EBEE}\RP12\A0001546.dll (Spyware.OnlineGames) -> Quarantined and deleted successfully.
E:\System Volume Information\_restore{EA2D7294-37FA-4F56-8D64-7FE37AA1EBEE}\RP12\A0001550.exe (Spyware.OnlineGames) -> Quarantined and deleted successfully.
E:\System Volume Information\_restore{EA2D7294-37FA-4F56-8D64-7FE37AA1EBEE}\RP12\A0001560.dll (Spyware.OnlineGames) -> Quarantined and deleted successfully.
E:\System Volume Information\_restore{EA2D7294-37FA-4F56-8D64-7FE37AA1EBEE}\RP12\A0001565.exe (Spyware.OnlineGames) -> Quarantined and deleted successfully.
E:\WINDOWS\system32\optyhww1.dll (Spyware.OnlineGames) -> Quarantined and deleted successfully.
E:\tvlx2fg.exe (Worm.AutoRun) -> Quarantined and deleted successfully.