Secuelas virus policía

Hola a todos,

Uno más atrapado por el virus policial. Gracias (un millón de ellas) a la información de este foro y la página web, he conseguido deshacerme de él. Sin embargo, algunas secuelas siguen presentes. Explico:

Poseo un HP EliteBook 8540w con Windows XP 32 bits SP3, infectado por una variante del virus que bloquea el arranque en modo seguro con una preciosa BSoD, o pantallazo azul, en castizo.

El proceso que he seguido para desinfectar ha sido:

1. Inicio con CD de arranque y recuperación de Avira. Escaneo. Virus detectado y limpiado.
2. Recuperado el inicio normal del sistema, escaneo completo también con Malwarebytes Anti-Malware, por seguridad. No detecta nada.
3. También he ejecutado vuestra herramienta Polifix 2.0.3 bajo la sesión normal. Tras un reinicio, nada destacable.
4. Viendo que la variante del virus es la que encripta/renombra archivos, he utilizado Kaspersky RannohDecryptor. Más de 18000 (!) archivos "locked-" recuperados.

Hecho todo esto, el virus parece haber desaparecido, pero como decía han quedado las siguientes "cicatrices":

A. El arranque en modo seguro (cualquiera de ellos) sigue sin funcionar bloqueado por BSoD. El mensaje de la pantalla azul ha cambiado tras la desifección, pero sigue impidiéndolo.

B. Las aplicaciones de HP "Power Assistant" y "Wireless Assistant" que se cargan al arrancar la sesión han dejado de funcionar. Dan un mensaje de error y se cierran ambas. He intentado desintalarlas para volver a reinstalarlas, pero al intentarlo en ambas recibo el mensaje informando que la instalación está dañada y no puedo ni desinstalar ni actualizar a una versión posterior de los controladores. Sé que este problema es bastante específico de mi ordenador, o quizá merecería un tema aparte, pero no pierdo nada por preguntar.

¿Ideas? Cualquiera será bienvenida.

Saludos,

Gracias ElPiedra. He empleado ComboFix según las indicaciones y ha habido notable mejoría:

- Los dos programas de HP vuelven a funcionar con normalidad.

- Otro efecto secundario que se ha solucionado, y que no mencioné en mi primer mensaje, era que los iconos no recordaban su posición en el escritorio tras cada reinicio después de haber limpiado el virus. Como si la opción de "Organización automática" estuviera activa aún sin estarlo. Tras ejecutar ComboFix todos los iconos han vuelto a su posición anterior a la infecciónx.

Sin embargo, la opción de arranque en modo seguro sigue secuestrada por la pantalla azul. A continuación te adjunto el informe ComboFix.txt generado.

Saludos,

---

ComboFix 12-05-30.04 - bejlme 31/05/2012 18:09:06.1.4 - x86 DSREPAIR
Running from: c:\documents and settings\bejlme\Escritorio\ComboFix.exe
* Created a new restore point
.
.
((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\documents and settings\Administrador\Mis documentos\LotusInstall.log
c:\documents and settings\All Users\Datos de programa\TEMP
c:\windows\Downloaded Program Files\IDropPTB.dll
c:\windows\system32\drivers\hosts
c:\windows\system32\SET81.tmp
c:\windows\system32\SET83.tmp
c:\windows\system32\SET9F.tmp
c:\windows\system32\TOService.dll
c:\windows\system32\UNWISE.EXE
c:\windows\system32\winsh320
c:\windows\system32\winsh321
c:\windows\system32\winsh322
c:\windows\system32\winsh323
c:\windows\system32\winsh324
c:\windows\system32\winsh325
.
.
((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
-------\Legacy_AAAATOSERVICE
-------\Service_aaaaTOService
.
.
((((((((((((((((((((((((( Files Created from 2012-04-28 to 2012-05-31 )))))))))))))))))))))))))))))))
.
.
2012-05-31 10:02 . 2012-05-31 10:02 -------- d-----w- c:\documents and settings\bejlme\Configuración local\Datos de programa\Sun
2012-05-29 18:25 . 2012-05-31 14:55 -------- d-----w- c:\windows\system32\NtmsData
2012-05-29 17:54 . 2012-04-11 10:09 11520 ----a-w- c:\windows\system32\drivers\wdcsam.sys
2012-05-29 17:52 . 2012-05-29 17:52 5163944 ----a-r- c:\documents and settings\bejlme\Datos de programa\Microsoft\Installer\{E351E189-9E08-4245-AAE0-336D45CB98D1}\icon.exe
2012-05-29 16:57 . 2012-05-29 16:57 -------- d-----w- c:\documents and settings\bejlme\Datos de programa\Hewlett-Packard Company
2012-05-29 16:57 . 2012-05-29 16:57 -------- d-----w- C:\SwSetup
2012-05-29 11:53 . 2012-05-29 11:53 -------- d-----w- c:\archivos de programa\Archivos comunes\Java
2012-05-29 11:53 . 2012-05-29 11:53 -------- d-----w- c:\documents and settings\bejlme\Datos de programa\Oracle
2012-05-29 11:53 . 2012-04-04 16:47 772504 ----a-w- c:\windows\system32\npDeployJava1.dll
2012-05-25 08:59 . 2012-05-29 15:25 -------- d-----w- c:\documents and settings\bejlme\Datos de programa\Fsgrvhyfjr
2012-05-18 07:24 . 2012-05-18 07:24 -------- d-----w- c:\documents and settings\bejlme\Datos de programa\OfficeRecovery
.
.
.
(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2012-05-07 07:54 . 2012-04-01 16:01 419488 ----a-w- c:\windows\system32\FlashPlayerApp.exe
2012-05-07 07:54 . 2011-06-06 06:07 70304 ----a-w- c:\windows\system32\FlashPlayerCPLApp.cpl
2012-04-11 13:53 . 2008-04-14 07:27 2029056 ------w- c:\windows\system32\ntkrnlpa.exe
2012-04-11 13:53 . 2008-04-14 12:00 2150912 ------w- c:\windows\system32\ntoskrnl.exe
2012-04-11 13:53 . 2011-12-12 20:55 1862400 ------w- c:\windows\system32\win32k.sys
2012-04-04 16:47 . 2011-04-13 13:38 143872 ----a-w- c:\windows\system32\javacpl.cpl
2012-04-04 13:56 . 2012-03-09 16:30 22344 ----a-w- c:\windows\system32\drivers\mbam.sys
2008-10-08 10:18 . 2009-04-30 15:41 626688 ----a-w- c:\archivos de programa\Archivos comunes\sapconsaccess.dll
2008-10-08 10:18 . 2009-04-30 15:41 3125248 ----a-w- c:\archivos de programa\Archivos comunes\sapxlhelper.dll
2008-10-08 10:18 . 2009-04-30 15:41 192512 ----a-w- c:\archivos de programa\Archivos comunes\sapconsr3.dll
2008-10-08 10:18 . 2009-04-30 15:41 40960 ----a-w- c:\archivos de programa\Archivos comunes\DigitalSignature.ocx
.
.
((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown
REGEDIT4
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Akamai NetSession Interface"="c:\documents and settings\bejlme\Configuración local\Datos de programa\Akamai\netsession_win.exe" [2012-05-07 3331872]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Cpqset"="c:\archivos de programa\Hewlett-Packard\Default Settings\cpqset.exe" [2009-09-25 75264]
"IFXSPMGT"="c:\archivos de programa\Hewlett-Packard\Embedded Security Software\ifxspmgt.exe" [2009-10-02 1107232]
"acevents"="c:\archivos de programa\ActivIdentity\ActivClient\acevents.exe" [2009-06-03 153640]
"accrdsub"="c:\archivos de programa\ActivIdentity\ActivClient\accrdsub.exe" [2009-06-03 400936]
"File Sanitizer"="c:\archivos de programa\Hewlett-Packard\File Sanitizer\CoreShredder.exe" [2009-11-04 11264000]
"HPPowerAssistant"="c:\archivos de programa\Hewlett-Packard\HP Power Assistant\HPPA_Main.exe" [2009-11-19 1690680]
"HPWirelessAssistant"="c:\archivos de programa\Hewlett-Packard\HP Wireless Assistant\HPWA_Main.exe" [2009-11-19 363064]
"snp2uvc"="c:\windows\system32\csnp2uvc.dll" [2009-09-17 213040]
"AESTFltr"="c:\windows\system32\AESTFltr.exe" [2009-04-22 737280]
"IMSS"="c:\archivos de programa\Intel\Intel(R) Management Engine Components\IMSS\PIconStartup.exe" [2009-11-04 111640]
"IAAnotif"="c:\archivos de programa\Intel\Intel Matrix Storage Manager\iaanotif.exe" [2009-08-25 186904]
"NUSB3MON"="c:\program files\NEC Electronics\USB 3.0 Host Controller Driver\Application\nusb3mon.exe" [2009-11-21 106496]
"QlbCtrl.exe"="c:\archivos de programa\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe" [2009-11-11 287800]
"SynTPEnh"="c:\archivos de programa\Synaptics\SynTP\SynTPEnh.exe" [2010-05-27 1721640]
"AccelerometerSysTrayApplet"="c:\windows\System32\accelerometerST.exe" [2009-08-27 70200]
"ccApp"="c:\archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe" [2012-01-13 115624]
"MOMCLIENT"="c:\archivos de programa\uniFLOW_Client\momclnt.exe" [2009-07-24 1189160]
"CnwiDeviceAgent"="c:\archivos de programa\Canon\GAROStatusMonitor\cnwida.exe" [2006-05-17 65536]
"Adobe ARM"="c:\archivos de programa\Archivos comunes\Adobe\ARM\1.0\AdobeARM.exe" [2012-01-03 843712]
"Adobe Acrobat Speed Launcher"="c:\archivos de programa\Adobe\Acrobat 10.0\Acrobat\Acrobat_sl.exe" [2012-04-04 36760]
"Acrobat Assistant 8.0"="c:\archivos de programa\Adobe\Acrobat 10.0\Acrobat\Acrotray.exe" [2012-04-04 815512]
"BCSSync"="c:\archivos de programa\Microsoft Office\Office14\BCSSync.exe" [2010-03-13 91520]
"AdobeAAMUpdater-1.0"="c:\archivos de programa\Archivos comunes\Adobe\OOBE\PDApp\UWA\UpdaterStartupUtility.exe" [2010-11-08 497648]
"AdobeCS5ServiceManager"="c:\archivos de programa\Archivos comunes\Adobe\CS5ServiceManager\CS5ServiceManager.exe" [2010-07-22 402432]
"RIMBBLaunchAgent.exe"="c:\archivos de programa\Archivos comunes\Research In Motion\USB Drivers\RIMBBLaunchAgent.exe" [2011-02-18 79192]
"EvtMgr6"="c:\archivos de programa\Logitech\SetPointP\SetPoint.exe" [2010-10-28 1352272]
"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2011-01-07 111208]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2011-01-07 13880424]
"nwiz"="c:\archivos de programa\NVIDIA Corporation\nView\nwiz.exe" [2010-11-04 1753192]
"Malwarebytes' Anti-Malware"="c:\archivos de programa\Malwarebytes' Anti-Malware\mbamgui.exe" [2012-04-04 462408]
"SunJavaUpdateSched"="c:\archivos de programa\Archivos comunes\Java\Java Update\jusched.exe" [2012-01-17 252296]
"WD Quick View"="c:\archivos de programa\Western Digital\WD Quick View\WDDMStatus.exe" [2012-04-30 5235608]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
.
c:\documents and settings\All Users\Menú Inicio\Programas\Inicio\
BTTray.lnk - c:\archivos de programa\WIDCOMM\Bluetooth Software\BTTray.exe [2009-7-29 607584]
Citrix Access Gateway.lnk - c:\archivos de programa\Citrix\Secure Access Client\nsload.exe [2010-9-23 1518232]
GARO Status Monitor.lnk - c:\archivos de programa\Canon\GAROStatusMonitor\cnwism.exe [2010-7-12 339968]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\ackpbsc]
2009-06-03 14:14 113152 ----a-w- c:\archivos de programa\ActivIdentity\ActivClient\ackpbsc.dll
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\acunlock]
2009-06-03 14:13 299520 ----a-w- c:\archivos de programa\ActivIdentity\ActivClient\acunlock.dll
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\DeviceNP]
2009-11-09 09:51 75320 ------w- c:\windows\system32\DeviceNP.dll
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\LBTWlgn]
2010-10-28 10:13 64592 ----a-w- c:\archivos de programa\Archivos comunes\Logishrd\Bluetooth\LBTWLgn.dll
.
[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
Notification Packages REG_MULTI_SZ DPPassFilter scecli
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-3271945594-2296210343-2558121275-87210\Scripts\Logon\0\0]
"Script"=CopiaFirewall.bat
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-3271945594-2296210343-2558121275-87210\Scripts\Logon\0\1]
"Script"=firewall.bat
.
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MobileBroadband]
2010-12-31 10:57 398848 ----a-w- c:\archivos de programa\Vodafone\Vodafone Mobile Broadband\Bin\MobileBroadband.exe
.
[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"FirewallDisableNotify"=dword:00000001
"UpdatesDisableNotify"=dword:00000001
"AntiVirusDisableNotify"=dword:00000001
"AllAlertsDisabled"=dword:00000001
"TermService"=dword:00000001
"DisableMonitoring"=dword:00000001
.
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
"DisableMonitoring"=dword:00000001
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
.
R0 BMLoad;Bytemobile Boot Time Load Driver;c:\windows\system32\drivers\BMLoad.sys [11/03/2010 9:36 13184]
R0 SafeBoot;SafeBoot;c:\windows\system32\drivers\SafeBoot.sys [11/11/2009 8:42 110520]
R0 SbAlg;SbAlg;c:\windows\system32\drivers\SbAlg.sys [11/11/2009 8:43 51800]
R0 SbFsLock;SbFsLock;c:\windows\system32\drivers\SbFsLock.sys [11/11/2009 8:42 13256]
R0 sptd;sptd;c:\windows\system32\drivers\sptd.sys [05/07/2010 15:33 691696]
R1 PersonalSecureDrive;PersonalSecureDrive;c:\windows\system32\drivers\psd.sys [02/10/2009 23:47 39712]
R1 RsvLock;RsvLock;c:\windows\system32\drivers\rsvlock.sys [11/11/2009 8:42 40088]
R2 ac.sharedstore;ActivIdentity Shared Store Service;c:\archivos de programa\Archivos comunes\ActivIdentity\ac.sharedstore.exe [03/06/2009 16:16 207400]
R2 Akamai;Akamai NetSession Interface;c:\windows\System32\svchost.exe -k Akamai [14/04/2008 14:00 14336]
R2 cag;Citrix cag plugin for Access Gateway;c:\archivos de programa\Archivos comunes\Deterministic Networks\Common Files\cag.sys [04/08/2010 10:56 82560]
R2 ClienteDistribucion;ClienteDistribucion;c:\archivos de programa\clienteDistribucion\tuner\Tuner.exe [18/12/2008 12:01 36957]
R2 hasplms;Sentinel HASP License Manager;c:\windows\system32\hasplms.exe -run --> c:\windows\system32\hasplms.exe -run [?]
R2 HP Power Assistant Service;HP Power Assistant Service;c:\archivos de programa\Hewlett-Packard\HP Power Assistant\HPPA_Service.exe [19/11/2009 15:14 102968]
R2 HP ProtectTools Service;HP ProtectTools Service;c:\archivos de programa\Hewlett-Packard\2009 Password Filter for HP ProtectTools\PTChangeFilterService.exe [18/11/2009 15:17 36864]
R2 HP Wireless Assistant Service;HP Wireless Assistant Service;c:\archivos de programa\Hewlett-Packard\HP Wireless Assistant\HPWA_Service.exe [19/11/2009 15:11 102968]
R2 HpFkCryptService;Drive Encryption Service;c:\archivos de programa\Hewlett-Packard\Drive Encryption\HpFkCrypt.exe [11/11/2009 8:42 277096]
R2 HPFSService;File Sanitizer for HP ProtectTools;c:\archivos de programa\Hewlett-Packard\File Sanitizer\HPFSService.exe [04/11/2009 8:29 297984]
R2 LBeepKE;Logitech Beep Suppression Driver;c:\windows\system32\drivers\LBeepKE.sys [20/05/2011 11:10 10448]
R2 Lotus Notes Diagnostics;Diagnósticos de Lotus Notes;c:\archivos de programa\IBM\Lotus\Notes\nsd.exe [29/09/2009 11:29 3397000]
R2 MBAMService;MBAMService;c:\archivos de programa\Malwarebytes' Anti-Malware\mbamservice.exe [09/03/2012 18:30 654408]
R2 nsverctl;Citrix Secure Access Client Service;c:\archivos de programa\Citrix\Secure Access Client\nsverctl.exe [23/09/2010 6:21 154776]
R2 UNS;Intel(R) Management & Security Application User Notification Service;c:\archivos de programa\Intel\Intel(R) Management Engine Components\UNS\UNS.EXE [07/06/2010 16:32 2320920]
R2 VmbService;Servicio de Vodafone Mobile Broadband;c:\archivos de programa\Vodafone\Vodafone Mobile Broadband\Bin\VmbService.exe [31/12/2010 12:57 9216]
R2 WDBackup;WD Backup;c:\archivos de programa\Western Digital\WD SmartWare\WDBackupEngine.exe [24/04/2012 9:31 1150368]
R2 WDDriveService;WD Drive Manager;c:\archivos de programa\Western Digital\WD Drive Manager\WDDriveService.exe [11/04/2012 12:01 247704]
R2 WDRulesService;WD Rules;c:\archivos de programa\Western Digital\WD SmartWare\WDRulesEngine.exe [11/04/2012 12:09 1177496]
R3 AESTAud;AE Audio Service;c:\windows\system32\drivers\AESTAud.sys [07/06/2010 16:31 113664]
R3 appliandMP;appliandMP;c:\windows\system32\drivers\appliand.sys [20/01/2012 21:11 28256]
R3 Com4QLBEx;Com4QLBEx;c:\archivos de programa\Hewlett-Packard\HP Quick Launch Buttons\Com4QLBEx.exe [07/06/2010 16:38 228408]
R3 ctxva51;Citrix Virtual Adapter;c:\windows\system32\drivers\ctxva51.sys [23/09/2010 6:21 41624]
R3 DKRtWrt;DKRtWrt;c:\windows\system32\drivers\DKRtWrt.sys [18/11/2011 9:13 38608]
R3 e1kexpress;Intel(R) PRO/1000 PCI Express Network Connection Driver K;c:\windows\system32\drivers\e1k5132.sys [07/06/2010 16:34 166568]
R3 EraserUtilRebootDrv;EraserUtilRebootDrv;c:\archivos de programa\Archivos comunes\Symantec Shared\EENGINE\EraserUtilRebootDrv.sys [31/05/2012 15:14 106656]
R3 huawei_enumerator;huawei_enumerator;c:\windows\system32\drivers\ew_jubusenum.sys [05/04/2011 16:41 72832]
R3 IFXTPM;IFXTPM;c:\windows\system32\drivers\ifxtpm.sys [07/06/2010 13:42 44800]
R3 Impcd;Impcd;c:\windows\system32\drivers\Impcd.sys [07/06/2010 16:35 125696]
R3 MBAMProtector;MBAMProtector;c:\windows\system32\drivers\mbam.sys [09/03/2012 18:30 22344]
R3 nusb3hub;NEC Electronics USB 3.0 Hub Driver;c:\windows\system32\drivers\nusb3hub.sys [21/11/2009 5:15 58880]
R3 nusb3xhc;NEC Electronics USB 3.0 Host Controller Driver;c:\windows\system32\drivers\nusb3xhc.sys [21/11/2009 5:15 137728]
R3 NVHDA;Service for NVIDIA High Definition Audio Driver;c:\windows\system32\drivers\nvhda32.sys [07/06/2010 16:37 100456]
R3 rismc32;RICOH Smart Card Reader;c:\windows\system32\drivers\rismc32.sys [07/06/2010 16:39 49152]
R3 vodafone_K3805-z_dc_enum;vodafone_K3805-z_dc_enum;c:\windows\system32\drivers\vodafone_K3805-z_dc_enum.sys [01/09/2010 15:33 80000]
S2 clr_optimization_v4.0.30319_32;Microsoft .NET Framework NGEN v4.0.30319_X86;c:\windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe [18/03/2010 14:16 130384]
S2 vcsFPService;Validity VCS Fingerprint Service;c:\windows\system32\vcsFPService.exe [21/10/2009 17:30 1639728]
S3 AdobeFlashPlayerUpdateSvc;Adobe Flash Player Update Service;c:\windows\system32\Macromed\Flash\FlashPlayerUpdateService.exe [01/04/2012 18:01 257696]
S3 appliand;Applian Network Service;c:\windows\system32\drivers\appliand.sys [20/01/2012 21:11 28256]
S3 COH_Mon;COH_Mon;c:\windows\system32\drivers\COH_Mon.sys [19/06/2009 11:01 23888]
S3 DAMDrv;DAMDrv;c:\windows\system32\drivers\DAMDrv.sys [21/10/2009 13:37 32312]
S3 ew_hwusbdev;Huawei MobileBroadband USB PNP Device;c:\windows\system32\drivers\ew_hwusbdev.sys [05/04/2011 16:41 102784]
S3 ewusbnet;HUAWEI USB-NDIS miniport;c:\windows\system32\drivers\ewusbnet.sys [05/04/2011 16:41 234368]
S3 FLCDLOCK;Bloqueo de dispositivos/auditoría de HP ProtectTools;c:\windows\system32\flcdlock.exe [09/11/2009 11:52 362040]
S3 LEqdUsb;Logitech SetPoint Unifying KMDF USB Filter;c:\windows\system32\drivers\LEqdUsb.sys [24/08/2010 19:30 40912]
S3 LHidEqd;Logitech SetPoint Unifying KMDF HID Filter;c:\windows\system32\drivers\LHidEqd.sys [24/08/2010 19:30 10448]
S3 Microsoft SharePoint Workspace Audit Service;Microsoft SharePoint Workspace Audit Service;c:\archivos de programa\Microsoft Office\Office14\GROOVE.EXE [12/06/2011 12:15 31125880]
S3 osppsvc;Office Software Protection Platform;c:\archivos de programa\Archivos comunes\Microsoft Shared\OfficeSoftwareProtectionPlatform\OSPPSVC.EXE [09/01/2010 21:37 4640000]
S3 WDC_SAM;WD SCSI Pass Thru driver;c:\windows\system32\drivers\wdcsam.sys [29/05/2012 19:54 11520]
S3 WinRM;Windows Remote Management (WS-Management);c:\windows\system32\svchost.exe -k WINRM [14/04/2008 14:00 14336]
S3 WPFFontCache_v0400;Windows Presentation Foundation Font Cache 4.0.0.0;c:\windows\Microsoft.NET\Framework\v4.0.30319\WPF\WPFFontCache_v0400.exe [18/03/2010 14:16 753504]
.
--- Other Services/Drivers In Memory ---
.
*NewlyCreated* - WS2IFSL
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
WINRM REG_MULTI_SZ WINRM
Akamai REG_MULTI_SZ Akamai
.
Contents of the 'Scheduled Tasks' folder
.
2012-05-31 c:\windows\Tasks\Adobe Flash Player Updater.job
- c:\windows\system32\Macromed\Flash\FlashPlayerUpdateService.exe [2012-04-01 07:54]
.
2012-05-14 c:\windows\Tasks\AdobeAAMUpdater-1.0-PT-120037-bejlme.job
- c:\archivos de programa\Archivos comunes\Adobe\OOBE\PDApp\UWA\updaterstartuputility.exe [2011-04-26 16:52]
.
2012-05-31 c:\windows\Tasks\User_Feed_Synchronization-{2010FB10-AA83-47B5-8AC3-0EAD77FDA055}.job
- c:\windows\system32\msfeedssync.exe [2009-03-08 02:31]
.
2012-05-31 c:\windows\Tasks\User_Feed_Synchronization-{9AA62B04-221F-4FD2-8975-7F43CD37F8B2}.job
- c:\windows\system32\msfeedssync.exe [2009-03-08 02:31]
.
2012-05-31 c:\windows\Tasks\User_Feed_Synchronization-{E5CD7726-1E5B-4A6F-8608-8C5256DF598E}.job
- c:\windows\system32\msfeedssync.exe [2009-03-08 02:31]
.
.
------- Supplementary Scan -------
.
uStart Page = https://www2.abglink.com/vpn/index.html
uInternet Connection Wizard,ShellNext = wmplayer.exe //ICWLaunch
uInternet Settings,ProxyServer =
uInternet Settings,ProxyOverride = ;127.0.0.1:9421;<local>
IE: Anexar a PDF existente - c:\archivos de programa\Archivos comunes\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIEAppend.html
IE: Anexar destino de vínculo a PDF existente - c:\archivos de programa\Archivos comunes\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
IE: Convertir a Adobe PDF - c:\archivos de programa\Archivos comunes\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIECapture.html
IE: Convertir destino de vínculo a Adobe PDF - c:\archivos de programa\Archivos comunes\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
IE: E&xportar a Microsoft Excel - c:\archiv~1\MICROS~2\Office14\EXCEL.EXE/3000
IE: Enviar a &Bluetooth - c:\archivos de programa\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
IE: Enviar a Bluetooth - c:\archivos de programa\WIDCOMM\Bluetooth Software\btsendto_ie.htm
DPF: {12545791-AC9A-44B2-8964-0DA216C4A4E5} - hxxp://autodesk.partcommunity.com/FileService/FileLoader/cnsViewer3D/cnsweb3d.cab
DPF: {CAFECAFE-0013-0001-0022-ABCDEFABCDEF}
.
.
------- File Associations -------
.
.scr=AutoCADScriptFile
.
- - - - ORPHANS REMOVED - - - -
.
HKCU-Run-500D291E - c:\windows\system32\62143DDE500D291EB404.exe
AddRemove-HASP HL Device Driver - c:\windows\system32\UNWISE.EXE
AddRemove-LSI Soft Modem - c:\windows\agrsmdel
.
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2012-05-31 18:21
Windows 5.1.2600 Service Pack 3 NTFS
.
scanning hidden processes ...
.
scanning hidden autostart entries ...
.
HKLM\Software\Microsoft\Windows\CurrentVersion\Run
Cpqset = "c:\archivos de programa\Hewlett-Packard\Default Settings\cpqset.exe"??????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????
.
scanning hidden files ...
.
scan completed successfully
hidden files: 0
.
**************************************************************************
.
[HKEY_LOCAL_MACHINE\System\ControlSet002\Services\Akamai]
"ServiceDll"="c:\archivos de programa\archivos comunes\akamai/netsession_win_80c2ffa.dll"
.
--------------------- DLLs Loaded Under Running Processes ---------------------
.
- - - - - - - > 'winlogon.exe'(1496)
c:\archivos de programa\ActivIdentity\ActivClient\ackpbsc.dll
c:\archivos de programa\ActivIdentity\ActivClient\aclog.dll
c:\archivos de programa\ActivIdentity\ActivClient\accrypto.dll
c:\archivos de programa\ActivIdentity\ActivClient\ACLIBEAY.dll
c:\archivos de programa\archivos comunes\logishrd\bluetooth\LBTWlgn.dll
c:\windows\system32\DPSCEL.DLL
c:\windows\system32\DPFPApi.DLL
c:\windows\system32\DPCLBACK.dll
c:\archivos de programa\ActivIdentity\ActivClient\acunlock.dll
c:\archivos de programa\ActivIdentity\ActivClient\aipingui.dll
c:\archivos de programa\ActivIdentity\ActivClient\acevtsub.dll
c:\archivos de programa\ActivIdentity\ActivClient\asphat32.dll
c:\archivos de programa\ActivIdentity\ActivClient\acerrmes.dll
c:\archivos de programa\ActivIdentity\ActivClient\aiwinext.dll
c:\archivos de programa\ActivIdentity\ActivClient\aspcom.dll
c:\archivos de programa\ActivIdentity\ActivClient\aicext.dll
c:\archivos de programa\ActivIdentity\ActivClient\Resources\acerrmrc.dll
c:\archivos de programa\ActivIdentity\ActivClient\Resources\asphatrc.dll
c:\archivos de programa\ActivIdentity\ActivClient\Resources\aipinguirc.dll
c:\archivos de programa\ActivIdentity\ActivClient\resources\acCobAPIrc.dll
c:\archivos de programa\ActivIdentity\ActivClient\resources\acCobAPIlrc.dll
c:\archivos de programa\ActivIdentity\ActivClient\Resources\acunlockrc.dll
c:\windows\system32\DeviceNP.dll
c:\windows\system32\SSREGLIB.dll
c:\windows\system32\HPPTLog.dll
.
- - - - - - - > 'lsass.exe'(1556)
c:\windows\system32\DPPassFilter.dll
c:\windows\system32\DPFPApi.DLL
.
- - - - - - - > 'explorer.exe'(2076)
c:\windows\system32\WININET.dll
c:\windows\system32\AcSignIcon.dll
c:\archiv~1\ARCHIV~1\MICROS~1\OFFICE14\Cultures\office.odf
c:\archiv~1\MICROS~2\Office14\3082\GrooveIntlResource.dll
c:\windows\system32\btmmhook.dll
c:\archivos de programa\Archivos comunes\Autodesk Shared\AcSignCore16.dll
c:\windows\system32\msi.dll
c:\windows\system32\webcheck.dll
c:\windows\system32\WPDShServiceObj.dll
c:\windows\system32\btncopy.dll
c:\windows\system32\PortableDeviceTypes.dll
c:\windows\system32\PortableDeviceApi.dll
.
------------------------ Other Running Processes ------------------------
.
c:\windows\system32\nvsvc32.exe
c:\archivos de programa\Symantec\Symantec Endpoint Protection\Smc.exe
c:\archivos de programa\Archivos comunes\Symantec Shared\ccSvcHst.exe
c:\archivos de programa\idt\wdm\STacSV.exe
c:\windows\System32\SCardSvr.exe
c:\archivos de programa\Hewlett-Packard\HP ProtectTools Security Manager\Bin\DpHostW.exe
c:\archivos de programa\LSI SoftModem\agrsmsvc.exe
c:\archivos de programa\clienteDistribucion\tuner\lib\jre\bin\java.exe
c:\archivos de programa\Diskeeper Corporation\Diskeeper\DkService.exe
c:\windows\system32\hasplms.exe
c:\archivos de programa\Hewlett-Packard\Embedded Security Software\ifxtcs.exe
c:\archivos de programa\Oracle\JavaFX 2.1 Runtime\bin\jqs.exe
c:\archivos de programa\Intel\Intel(R) Management Engine Components\LMS\LMS.exe
c:\archivos de programa\Archivos comunes\Microsoft Shared\VS7DEBUG\MDM.EXE
c:\archivos de programa\IBM\Lotus\Notes\ntmulti.exe
c:\archivos de programa\Hewlett-Packard\Embedded Security Software\IfxPsdSv.exe
c:\archivos de programa\Symantec\Symantec Endpoint Protection\Rtvscan.exe
c:\archivos de programa\Intel\Intel Matrix Storage Manager\IAANTMon.exe
c:\archivos de programa\WIDCOMM\Bluetooth Software\bin\btwdins.exe
c:\archivos de programa\Hewlett-Packard\Embedded Security Software\PSDrt.exe
c:\windows\system32\RUNDLL32.EXE
c:\archivos de programa\Archivos comunes\LogiShrd\KHAL3\KHALMNPR.EXE
c:\archivos de programa\Intel\Intel(R) Management Engine Components\IMSS\PrivacyIconClient.exe
c:\archivos de programa\Hewlett-Packard\Shared\hpqwmiex.exe
c:\windows\system32\wbem\wmiapsrv.exe
c:\archivos de programa\Symantec\Symantec Endpoint Protection\SmcGui.exe
c:\windows\Microsoft.NET\Framework\v3.0\WPF\PresentationFontCache.exe
.
**************************************************************************
.
Completion time: 2012-05-31 18:23:53 - machine was rebooted
ComboFix-quarantined-files.txt 2012-05-31 16:23
.
Pre-Run: 204.119.896.064 bytes libres
Post-Run: 212.707.704.832 bytes libres
.
WindowsXP-KB310994-SP2-Home-BootDisk-ENU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
UnsupportedDebug="do not select this" /debug
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /noexecute=optin /fastdetect
.
- - End Of File - - FF4F40808DB2E9DD25333D7AE8F21FD4

He revisado el registro con TuneUp y también con Ccleaner, y aunque han reparado numerosos errores, el problema de la pantalla azul durante el arranque en modo seguro persiste.

¿Alguna otra idea, abusando de tu amabilidad?

Saludos,