• Registrarse
  • Iniciar sesión


  • Resultados 1 al 6 de 6

    Secuelas virus policía

    Resumen del tema: Secuelas virus policía - Hola a todos, Uno más atrapado por el virus policial. Gracias (un millón de ellas) a la información de este foro y la página web, he conseguido deshacerme de él. Sin embargo, algunas secuelas siguen ...

      
    1. #1
      Usuario Avatar de owlamoo
      Registrado
      may 2012
      Ubicación
      Barcelona
      Mensajes
      3

      Secuelas virus policía

      Hola a todos,

      Uno más atrapado por el virus policial. Gracias (un millón de ellas) a la información de este foro y la página web, he conseguido deshacerme de él. Sin embargo, algunas secuelas siguen presentes. Explico:

      Poseo un HP EliteBook 8540w con Windows XP 32 bits SP3, infectado por una variante del virus que bloquea el arranque en modo seguro con una preciosa BSoD, o pantallazo azul, en castizo.

      El proceso que he seguido para desinfectar ha sido:

      1. Inicio con CD de arranque y recuperación de Avira. Escaneo. Virus detectado y limpiado.
      2. Recuperado el inicio normal del sistema, escaneo completo también con Malwarebytes Anti-Malware, por seguridad. No detecta nada.
      3. También he ejecutado vuestra herramienta Polifix 2.0.3 bajo la sesión normal. Tras un reinicio, nada destacable.
      4. Viendo que la variante del virus es la que encripta/renombra archivos, he utilizado Kaspersky RannohDecryptor. Más de 18000 (!) archivos "locked-" recuperados.

      Hecho todo esto, el virus parece haber desaparecido, pero como decía han quedado las siguientes "cicatrices":

      A. El arranque en modo seguro (cualquiera de ellos) sigue sin funcionar bloqueado por BSoD. El mensaje de la pantalla azul ha cambiado tras la desifección, pero sigue impidiéndolo.

      B. Las aplicaciones de HP "Power Assistant" y "Wireless Assistant" que se cargan al arrancar la sesión han dejado de funcionar. Dan un mensaje de error y se cierran ambas. He intentado desintalarlas para volver a reinstalarlas, pero al intentarlo en ambas recibo el mensaje informando que la instalación está dañada y no puedo ni desinstalar ni actualizar a una versión posterior de los controladores. Sé que este problema es bastante específico de mi ordenador, o quizá merecería un tema aparte, pero no pierdo nada por preguntar.

      ¿Ideas? Cualquiera será bienvenida.

      Saludos,

    2. #2
      FS-Admin
      Avatar de ElPiedra
      Registrado
      ene 2005
      Ubicación
      Miami
      Mensajes
      39.861

      Re: Secuelas virus policía

      Hola owlamoo, te doy la bienvenida al Foro de InfoSpyware.

      Probemos con ComboFix en tu caso...


      - Descarga la herramienta ComboFix.exe y guárdala en el escritorio.
      • Desactiva temporalmente el Antivirus y/o Antispyware.
      • Cierra todas las ventanas abiertas.
      • Hacerle doble clic al archivo ComboFix.exe y seguí las instrucciones.
      • Cuando termine, generara un registro en C:\ComboFix.txt.
        • *Nota* Mientras CF este trabajando no mover el mouse ya que pararía su proceso.
        • *Nota* ComboFix puede reiniciar automáticamente el PC para completar el proceso de eliminación.
      Atención!! No use ComboFix a menos que se le haya indicado específicamente en su mensaje por un integrante de nuestro Staff. Es una herramienta de gran alcance destinada por su creador a ser usada bajo la orientación y supervisión de un experto, no para uso privado. El uso de ComboFix incorrectamente podría generar problemas en su sistema. Por favor, lea las "Negaciones de la Garantía" de ComboFix.
      • Reinicia y pega el reporte de C:\ComboFix.txt en este mismo mensaje.




      Salu2
      Marcelo Rivero
      Microsoft MVP Enterprise Security.



      * Síguenos en nuestro Twitter y hazte nuestro amigo en Facebook.
      * Infórmate de las ultimas amenazas de la red desde: InfoSpyware Blog
      * No se resuelven dudas por Privados ni por E-mail, ya que para eso esta el foro.

    3. #3
      Usuario Avatar de owlamoo
      Registrado
      may 2012
      Ubicación
      Barcelona
      Mensajes
      3

      Re: Secuelas virus policía

      Gracias ElPiedra. He empleado ComboFix según las indicaciones y ha habido notable mejoría:

      - Los dos programas de HP vuelven a funcionar con normalidad.

      - Otro efecto secundario que se ha solucionado, y que no mencioné en mi primer mensaje, era que los iconos no recordaban su posición en el escritorio tras cada reinicio después de haber limpiado el virus. Como si la opción de "Organización automática" estuviera activa aún sin estarlo. Tras ejecutar ComboFix todos los iconos han vuelto a su posición anterior a la infecciónx.

      Sin embargo, la opción de arranque en modo seguro sigue secuestrada por la pantalla azul. A continuación te adjunto el informe ComboFix.txt generado.

      Saludos,

      ---

      ComboFix 12-05-30.04 - bejlme 31/05/2012 18:09:06.1.4 - x86 DSREPAIR
      Running from: c:\documents and settings\bejlme\Escritorio\ComboFix.exe
      * Created a new restore point
      .
      .
      ((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))
      .
      .
      c:\documents and settings\Administrador\Mis documentos\LotusInstall.log
      c:\documents and settings\All Users\Datos de programa\TEMP
      c:\windows\Downloaded Program Files\IDropPTB.dll
      c:\windows\system32\drivers\hosts
      c:\windows\system32\SET81.tmp
      c:\windows\system32\SET83.tmp
      c:\windows\system32\SET9F.tmp
      c:\windows\system32\TOService.dll
      c:\windows\system32\UNWISE.EXE
      c:\windows\system32\winsh320
      c:\windows\system32\winsh321
      c:\windows\system32\winsh322
      c:\windows\system32\winsh323
      c:\windows\system32\winsh324
      c:\windows\system32\winsh325
      .
      .
      ((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))
      .
      .
      -------\Legacy_AAAATOSERVICE
      -------\Service_aaaaTOService
      .
      .
      ((((((((((((((((((((((((( Files Created from 2012-04-28 to 2012-05-31 )))))))))))))))))))))))))))))))
      .
      .
      2012-05-31 10:02 . 2012-05-31 10:02 -------- d-----w- c:\documents and settings\bejlme\Configuración local\Datos de programa\Sun
      2012-05-29 18:25 . 2012-05-31 14:55 -------- d-----w- c:\windows\system32\NtmsData
      2012-05-29 17:54 . 2012-04-11 10:09 11520 ----a-w- c:\windows\system32\drivers\wdcsam.sys
      2012-05-29 17:52 . 2012-05-29 17:52 5163944 ----a-r- c:\documents and settings\bejlme\Datos de programa\Microsoft\Installer\{E351E189-9E08-4245-AAE0-336D45CB98D1}\icon.exe
      2012-05-29 16:57 . 2012-05-29 16:57 -------- d-----w- c:\documents and settings\bejlme\Datos de programa\Hewlett-Packard Company
      2012-05-29 16:57 . 2012-05-29 16:57 -------- d-----w- C:\SwSetup
      2012-05-29 11:53 . 2012-05-29 11:53 -------- d-----w- c:\archivos de programa\Archivos comunes\Java
      2012-05-29 11:53 . 2012-05-29 11:53 -------- d-----w- c:\documents and settings\bejlme\Datos de programa\Oracle
      2012-05-29 11:53 . 2012-04-04 16:47 772504 ----a-w- c:\windows\system32\npDeployJava1.dll
      2012-05-25 08:59 . 2012-05-29 15:25 -------- d-----w- c:\documents and settings\bejlme\Datos de programa\Fsgrvhyfjr
      2012-05-18 07:24 . 2012-05-18 07:24 -------- d-----w- c:\documents and settings\bejlme\Datos de programa\OfficeRecovery
      .
      .
      .
      (((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
      .
      2012-05-07 07:54 . 2012-04-01 16:01 419488 ----a-w- c:\windows\system32\FlashPlayerApp.exe
      2012-05-07 07:54 . 2011-06-06 06:07 70304 ----a-w- c:\windows\system32\FlashPlayerCPLApp.cpl
      2012-04-11 13:53 . 2008-04-14 07:27 2029056 ------w- c:\windows\system32\ntkrnlpa.exe
      2012-04-11 13:53 . 2008-04-14 12:00 2150912 ------w- c:\windows\system32\ntoskrnl.exe
      2012-04-11 13:53 . 2011-12-12 20:55 1862400 ------w- c:\windows\system32\win32k.sys
      2012-04-04 16:47 . 2011-04-13 13:38 143872 ----a-w- c:\windows\system32\javacpl.cpl
      2012-04-04 13:56 . 2012-03-09 16:30 22344 ----a-w- c:\windows\system32\drivers\mbam.sys
      2008-10-08 10:18 . 2009-04-30 15:41 626688 ----a-w- c:\archivos de programa\Archivos comunes\sapconsaccess.dll
      2008-10-08 10:18 . 2009-04-30 15:41 3125248 ----a-w- c:\archivos de programa\Archivos comunes\sapxlhelper.dll
      2008-10-08 10:18 . 2009-04-30 15:41 192512 ----a-w- c:\archivos de programa\Archivos comunes\sapconsr3.dll
      2008-10-08 10:18 . 2009-04-30 15:41 40960 ----a-w- c:\archivos de programa\Archivos comunes\DigitalSignature.ocx
      .
      .
      ((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
      .
      .
      *Note* empty entries & legit default entries are not shown
      REGEDIT4
      .
      [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
      "Akamai NetSession Interface"="c:\documents and settings\bejlme\Configuración local\Datos de programa\Akamai\netsession_win.exe" [2012-05-07 3331872]
      .
      [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
      "Cpqset"="c:\archivos de programa\Hewlett-Packard\Default Settings\cpqset.exe" [2009-09-25 75264]
      "IFXSPMGT"="c:\archivos de programa\Hewlett-Packard\Embedded Security Software\ifxspmgt.exe" [2009-10-02 1107232]
      "acevents"="c:\archivos de programa\ActivIdentity\ActivClient\acevents.exe" [2009-06-03 153640]
      "accrdsub"="c:\archivos de programa\ActivIdentity\ActivClient\accrdsub.exe" [2009-06-03 400936]
      "File Sanitizer"="c:\archivos de programa\Hewlett-Packard\File Sanitizer\CoreShredder.exe" [2009-11-04 11264000]
      "HPPowerAssistant"="c:\archivos de programa\Hewlett-Packard\HP Power Assistant\HPPA_Main.exe" [2009-11-19 1690680]
      "HPWirelessAssistant"="c:\archivos de programa\Hewlett-Packard\HP Wireless Assistant\HPWA_Main.exe" [2009-11-19 363064]
      "snp2uvc"="c:\windows\system32\csnp2uvc.dll" [2009-09-17 213040]
      "AESTFltr"="c:\windows\system32\AESTFltr.exe" [2009-04-22 737280]
      "IMSS"="c:\archivos de programa\Intel\Intel(R) Management Engine Components\IMSS\PIconStartup.exe" [2009-11-04 111640]
      "IAAnotif"="c:\archivos de programa\Intel\Intel Matrix Storage Manager\iaanotif.exe" [2009-08-25 186904]
      "NUSB3MON"="c:\program files\NEC Electronics\USB 3.0 Host Controller Driver\Application\nusb3mon.exe" [2009-11-21 106496]
      "QlbCtrl.exe"="c:\archivos de programa\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe" [2009-11-11 287800]
      "SynTPEnh"="c:\archivos de programa\Synaptics\SynTP\SynTPEnh.exe" [2010-05-27 1721640]
      "AccelerometerSysTrayApplet"="c:\windows\System32\accelerometerST.exe" [2009-08-27 70200]
      "ccApp"="c:\archivos de programa\Archivos comunes\Symantec Shared\ccApp.exe" [2012-01-13 115624]
      "MOMCLIENT"="c:\archivos de programa\uniFLOW_Client\momclnt.exe" [2009-07-24 1189160]
      "CnwiDeviceAgent"="c:\archivos de programa\Canon\GAROStatusMonitor\cnwida.exe" [2006-05-17 65536]
      "Adobe ARM"="c:\archivos de programa\Archivos comunes\Adobe\ARM\1.0\AdobeARM.exe" [2012-01-03 843712]
      "Adobe Acrobat Speed Launcher"="c:\archivos de programa\Adobe\Acrobat 10.0\Acrobat\Acrobat_sl.exe" [2012-04-04 36760]
      "Acrobat Assistant 8.0"="c:\archivos de programa\Adobe\Acrobat 10.0\Acrobat\Acrotray.exe" [2012-04-04 815512]
      "BCSSync"="c:\archivos de programa\Microsoft Office\Office14\BCSSync.exe" [2010-03-13 91520]
      "AdobeAAMUpdater-1.0"="c:\archivos de programa\Archivos comunes\Adobe\OOBE\PDApp\UWA\UpdaterStartupUtility.exe" [2010-11-08 497648]
      "AdobeCS5ServiceManager"="c:\archivos de programa\Archivos comunes\Adobe\CS5ServiceManager\CS5ServiceManager.exe" [2010-07-22 402432]
      "RIMBBLaunchAgent.exe"="c:\archivos de programa\Archivos comunes\Research In Motion\USB Drivers\RIMBBLaunchAgent.exe" [2011-02-18 79192]
      "EvtMgr6"="c:\archivos de programa\Logitech\SetPointP\SetPoint.exe" [2010-10-28 1352272]
      "NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2011-01-07 111208]
      "NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2011-01-07 13880424]
      "nwiz"="c:\archivos de programa\NVIDIA Corporation\nView\nwiz.exe" [2010-11-04 1753192]
      "Malwarebytes' Anti-Malware"="c:\archivos de programa\Malwarebytes' Anti-Malware\mbamgui.exe" [2012-04-04 462408]
      "SunJavaUpdateSched"="c:\archivos de programa\Archivos comunes\Java\Java Update\jusched.exe" [2012-01-17 252296]
      "WD Quick View"="c:\archivos de programa\Western Digital\WD Quick View\WDDMStatus.exe" [2012-04-30 5235608]
      .
      [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
      "CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
      .
      c:\documents and settings\All Users\Menú Inicio\Programas\Inicio\
      BTTray.lnk - c:\archivos de programa\WIDCOMM\Bluetooth Software\BTTray.exe [2009-7-29 607584]
      Citrix Access Gateway.lnk - c:\archivos de programa\Citrix\Secure Access Client\nsload.exe [2010-9-23 1518232]
      GARO Status Monitor.lnk - c:\archivos de programa\Canon\GAROStatusMonitor\cnwism.exe [2010-7-12 339968]
      .
      [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\ackpbsc]
      2009-06-03 14:14 113152 ----a-w- c:\archivos de programa\ActivIdentity\ActivClient\ackpbsc.dll
      .
      [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\acunlock]
      2009-06-03 14:13 299520 ----a-w- c:\archivos de programa\ActivIdentity\ActivClient\acunlock.dll
      .
      [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\DeviceNP]
      2009-11-09 09:51 75320 ------w- c:\windows\system32\DeviceNP.dll
      .
      [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\LBTWlgn]
      2010-10-28 10:13 64592 ----a-w- c:\archivos de programa\Archivos comunes\Logishrd\Bluetooth\LBTWLgn.dll
      .
      [HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
      Notification Packages REG_MULTI_SZ DPPassFilter scecli
      .
      [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-3271945594-2296210343-2558121275-87210\Scripts\Logon\0\0]
      "Script"=CopiaFirewall.bat
      .
      [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-3271945594-2296210343-2558121275-87210\Scripts\Logon\0\1]
      "Script"=firewall.bat
      .
      [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MobileBroadband]
      2010-12-31 10:57 398848 ----a-w- c:\archivos de programa\Vodafone\Vodafone Mobile Broadband\Bin\MobileBroadband.exe
      .
      [HKEY_LOCAL_MACHINE\software\microsoft\security center]
      "FirewallDisableNotify"=dword:00000001
      "UpdatesDisableNotify"=dword:00000001
      "AntiVirusDisableNotify"=dword:00000001
      "AllAlertsDisabled"=dword:00000001
      "TermService"=dword:00000001
      "DisableMonitoring"=dword:00000001
      .
      [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
      "DisableMonitoring"=dword:00000001
      .
      [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
      "%windir%\\system32\\sessmgr.exe"=
      .
      R0 BMLoad;Bytemobile Boot Time Load Driver;c:\windows\system32\drivers\BMLoad.sys [11/03/2010 9:36 13184]
      R0 SafeBoot;SafeBoot;c:\windows\system32\drivers\SafeBoot.sys [11/11/2009 8:42 110520]
      R0 SbAlg;SbAlg;c:\windows\system32\drivers\SbAlg.sys [11/11/2009 8:43 51800]
      R0 SbFsLock;SbFsLock;c:\windows\system32\drivers\SbFsLock.sys [11/11/2009 8:42 13256]
      R0 sptd;sptd;c:\windows\system32\drivers\sptd.sys [05/07/2010 15:33 691696]
      R1 PersonalSecureDrive;PersonalSecureDrive;c:\windows\system32\drivers\psd.sys [02/10/2009 23:47 39712]
      R1 RsvLock;RsvLock;c:\windows\system32\drivers\rsvlock.sys [11/11/2009 8:42 40088]
      R2 ac.sharedstore;ActivIdentity Shared Store Service;c:\archivos de programa\Archivos comunes\ActivIdentity\ac.sharedstore.exe [03/06/2009 16:16 207400]
      R2 Akamai;Akamai NetSession Interface;c:\windows\System32\svchost.exe -k Akamai [14/04/2008 14:00 14336]
      R2 cag;Citrix cag plugin for Access Gateway;c:\archivos de programa\Archivos comunes\Deterministic Networks\Common Files\cag.sys [04/08/2010 10:56 82560]
      R2 ClienteDistribucion;ClienteDistribucion;c:\archivos de programa\clienteDistribucion\tuner\Tuner.exe [18/12/2008 12:01 36957]
      R2 hasplms;Sentinel HASP License Manager;c:\windows\system32\hasplms.exe -run --> c:\windows\system32\hasplms.exe -run [?]
      R2 HP Power Assistant Service;HP Power Assistant Service;c:\archivos de programa\Hewlett-Packard\HP Power Assistant\HPPA_Service.exe [19/11/2009 15:14 102968]
      R2 HP ProtectTools Service;HP ProtectTools Service;c:\archivos de programa\Hewlett-Packard\2009 Password Filter for HP ProtectTools\PTChangeFilterService.exe [18/11/2009 15:17 36864]
      R2 HP Wireless Assistant Service;HP Wireless Assistant Service;c:\archivos de programa\Hewlett-Packard\HP Wireless Assistant\HPWA_Service.exe [19/11/2009 15:11 102968]
      R2 HpFkCryptService;Drive Encryption Service;c:\archivos de programa\Hewlett-Packard\Drive Encryption\HpFkCrypt.exe [11/11/2009 8:42 277096]
      R2 HPFSService;File Sanitizer for HP ProtectTools;c:\archivos de programa\Hewlett-Packard\File Sanitizer\HPFSService.exe [04/11/2009 8:29 297984]
      R2 LBeepKE;Logitech Beep Suppression Driver;c:\windows\system32\drivers\LBeepKE.sys [20/05/2011 11:10 10448]
      R2 Lotus Notes Diagnostics;Diagnósticos de Lotus Notes;c:\archivos de programa\IBM\Lotus\Notes\nsd.exe [29/09/2009 11:29 3397000]
      R2 MBAMService;MBAMService;c:\archivos de programa\Malwarebytes' Anti-Malware\mbamservice.exe [09/03/2012 18:30 654408]
      R2 nsverctl;Citrix Secure Access Client Service;c:\archivos de programa\Citrix\Secure Access Client\nsverctl.exe [23/09/2010 6:21 154776]
      R2 UNS;Intel(R) Management & Security Application User Notification Service;c:\archivos de programa\Intel\Intel(R) Management Engine Components\UNS\UNS.EXE [07/06/2010 16:32 2320920]
      R2 VmbService;Servicio de Vodafone Mobile Broadband;c:\archivos de programa\Vodafone\Vodafone Mobile Broadband\Bin\VmbService.exe [31/12/2010 12:57 9216]
      R2 WDBackup;WD Backup;c:\archivos de programa\Western Digital\WD SmartWare\WDBackupEngine.exe [24/04/2012 9:31 1150368]
      R2 WDDriveService;WD Drive Manager;c:\archivos de programa\Western Digital\WD Drive Manager\WDDriveService.exe [11/04/2012 12:01 247704]
      R2 WDRulesService;WD Rules;c:\archivos de programa\Western Digital\WD SmartWare\WDRulesEngine.exe [11/04/2012 12:09 1177496]
      R3 AESTAud;AE Audio Service;c:\windows\system32\drivers\AESTAud.sys [07/06/2010 16:31 113664]
      R3 appliandMP;appliandMP;c:\windows\system32\drivers\appliand.sys [20/01/2012 21:11 28256]
      R3 Com4QLBEx;Com4QLBEx;c:\archivos de programa\Hewlett-Packard\HP Quick Launch Buttons\Com4QLBEx.exe [07/06/2010 16:38 228408]
      R3 ctxva51;Citrix Virtual Adapter;c:\windows\system32\drivers\ctxva51.sys [23/09/2010 6:21 41624]
      R3 DKRtWrt;DKRtWrt;c:\windows\system32\drivers\DKRtWrt.sys [18/11/2011 9:13 38608]
      R3 e1kexpress;Intel(R) PRO/1000 PCI Express Network Connection Driver K;c:\windows\system32\drivers\e1k5132.sys [07/06/2010 16:34 166568]
      R3 EraserUtilRebootDrv;EraserUtilRebootDrv;c:\archivos de programa\Archivos comunes\Symantec Shared\EENGINE\EraserUtilRebootDrv.sys [31/05/2012 15:14 106656]
      R3 huawei_enumerator;huawei_enumerator;c:\windows\system32\drivers\ew_jubusenum.sys [05/04/2011 16:41 72832]
      R3 IFXTPM;IFXTPM;c:\windows\system32\drivers\ifxtpm.sys [07/06/2010 13:42 44800]
      R3 Impcd;Impcd;c:\windows\system32\drivers\Impcd.sys [07/06/2010 16:35 125696]
      R3 MBAMProtector;MBAMProtector;c:\windows\system32\drivers\mbam.sys [09/03/2012 18:30 22344]
      R3 nusb3hub;NEC Electronics USB 3.0 Hub Driver;c:\windows\system32\drivers\nusb3hub.sys [21/11/2009 5:15 58880]
      R3 nusb3xhc;NEC Electronics USB 3.0 Host Controller Driver;c:\windows\system32\drivers\nusb3xhc.sys [21/11/2009 5:15 137728]
      R3 NVHDA;Service for NVIDIA High Definition Audio Driver;c:\windows\system32\drivers\nvhda32.sys [07/06/2010 16:37 100456]
      R3 rismc32;RICOH Smart Card Reader;c:\windows\system32\drivers\rismc32.sys [07/06/2010 16:39 49152]
      R3 vodafone_K3805-z_dc_enum;vodafone_K3805-z_dc_enum;c:\windows\system32\drivers\vodafone_K3805-z_dc_enum.sys [01/09/2010 15:33 80000]
      S2 clr_optimization_v4.0.30319_32;Microsoft .NET Framework NGEN v4.0.30319_X86;c:\windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe [18/03/2010 14:16 130384]
      S2 vcsFPService;Validity VCS Fingerprint Service;c:\windows\system32\vcsFPService.exe [21/10/2009 17:30 1639728]
      S3 AdobeFlashPlayerUpdateSvc;Adobe Flash Player Update Service;c:\windows\system32\Macromed\Flash\FlashPlayerUpdateService.exe [01/04/2012 18:01 257696]
      S3 appliand;Applian Network Service;c:\windows\system32\drivers\appliand.sys [20/01/2012 21:11 28256]
      S3 COH_Mon;COH_Mon;c:\windows\system32\drivers\COH_Mon.sys [19/06/2009 11:01 23888]
      S3 DAMDrv;DAMDrv;c:\windows\system32\drivers\DAMDrv.sys [21/10/2009 13:37 32312]
      S3 ew_hwusbdev;Huawei MobileBroadband USB PNP Device;c:\windows\system32\drivers\ew_hwusbdev.sys [05/04/2011 16:41 102784]
      S3 ewusbnet;HUAWEI USB-NDIS miniport;c:\windows\system32\drivers\ewusbnet.sys [05/04/2011 16:41 234368]
      S3 FLCDLOCK;Bloqueo de dispositivos/auditoría de HP ProtectTools;c:\windows\system32\flcdlock.exe [09/11/2009 11:52 362040]
      S3 LEqdUsb;Logitech SetPoint Unifying KMDF USB Filter;c:\windows\system32\drivers\LEqdUsb.sys [24/08/2010 19:30 40912]
      S3 LHidEqd;Logitech SetPoint Unifying KMDF HID Filter;c:\windows\system32\drivers\LHidEqd.sys [24/08/2010 19:30 10448]
      S3 Microsoft SharePoint Workspace Audit Service;Microsoft SharePoint Workspace Audit Service;c:\archivos de programa\Microsoft Office\Office14\GROOVE.EXE [12/06/2011 12:15 31125880]
      S3 osppsvc;Office Software Protection Platform;c:\archivos de programa\Archivos comunes\Microsoft Shared\OfficeSoftwareProtectionPlatform\OSPPSVC.EXE [09/01/2010 21:37 4640000]
      S3 WDC_SAM;WD SCSI Pass Thru driver;c:\windows\system32\drivers\wdcsam.sys [29/05/2012 19:54 11520]
      S3 WinRM;Windows Remote Management (WS-Management);c:\windows\system32\svchost.exe -k WINRM [14/04/2008 14:00 14336]
      S3 WPFFontCache_v0400;Windows Presentation Foundation Font Cache 4.0.0.0;c:\windows\Microsoft.NET\Framework\v4.0.30319\WPF\WPFFontCache_v0400.exe [18/03/2010 14:16 753504]
      .
      --- Other Services/Drivers In Memory ---
      .
      *NewlyCreated* - WS2IFSL
      .
      [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
      WINRM REG_MULTI_SZ WINRM
      Akamai REG_MULTI_SZ Akamai
      .
      Contents of the 'Scheduled Tasks' folder
      .
      2012-05-31 c:\windows\Tasks\Adobe Flash Player Updater.job
      - c:\windows\system32\Macromed\Flash\FlashPlayerUpdateService.exe [2012-04-01 07:54]
      .
      2012-05-14 c:\windows\Tasks\AdobeAAMUpdater-1.0-PT-120037-bejlme.job
      - c:\archivos de programa\Archivos comunes\Adobe\OOBE\PDApp\UWA\updaterstartuputility.exe [2011-04-26 16:52]
      .
      2012-05-31 c:\windows\Tasks\User_Feed_Synchronization-{2010FB10-AA83-47B5-8AC3-0EAD77FDA055}.job
      - c:\windows\system32\msfeedssync.exe [2009-03-08 02:31]
      .
      2012-05-31 c:\windows\Tasks\User_Feed_Synchronization-{9AA62B04-221F-4FD2-8975-7F43CD37F8B2}.job
      - c:\windows\system32\msfeedssync.exe [2009-03-08 02:31]
      .
      2012-05-31 c:\windows\Tasks\User_Feed_Synchronization-{E5CD7726-1E5B-4A6F-8608-8C5256DF598E}.job
      - c:\windows\system32\msfeedssync.exe [2009-03-08 02:31]
      .
      .
      ------- Supplementary Scan -------
      .
      uStart Page = https://www2.abglink.com/vpn/index.html
      uInternet Connection Wizard,ShellNext = wmplayer.exe //ICWLaunch
      uInternet Settings,ProxyServer =
      uInternet Settings,ProxyOverride = ;127.0.0.1:9421;<local>
      IE: Anexar a PDF existente - c:\archivos de programa\Archivos comunes\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIEAppend.html
      IE: Anexar destino de vínculo a PDF existente - c:\archivos de programa\Archivos comunes\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
      IE: Convertir a Adobe PDF - c:\archivos de programa\Archivos comunes\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIECapture.html
      IE: Convertir destino de vínculo a Adobe PDF - c:\archivos de programa\Archivos comunes\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
      IE: E&xportar a Microsoft Excel - c:\archiv~1\MICROS~2\Office14\EXCEL.EXE/3000
      IE: Enviar a &Bluetooth - c:\archivos de programa\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
      IE: Enviar a Bluetooth - c:\archivos de programa\WIDCOMM\Bluetooth Software\btsendto_ie.htm
      DPF: {12545791-AC9A-44B2-8964-0DA216C4A4E5} - hxxp://autodesk.partcommunity.com/FileService/FileLoader/cnsViewer3D/cnsweb3d.cab
      DPF: {CAFECAFE-0013-0001-0022-ABCDEFABCDEF}
      .
      .
      ------- File Associations -------
      .
      .scr=AutoCADScriptFile
      .
      - - - - ORPHANS REMOVED - - - -
      .
      HKCU-Run-500D291E - c:\windows\system32\62143DDE500D291EB404.exe
      AddRemove-HASP HL Device Driver - c:\windows\system32\UNWISE.EXE
      AddRemove-LSI Soft Modem - c:\windows\agrsmdel
      .
      .
      .
      **************************************************************************
      .
      catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
      Rootkit scan 2012-05-31 18:21
      Windows 5.1.2600 Service Pack 3 NTFS
      .
      scanning hidden processes ...
      .
      scanning hidden autostart entries ...
      .
      HKLM\Software\Microsoft\Windows\CurrentVersion\Run
      Cpqset = "c:\archivos de programa\Hewlett-Packard\Default Settings\cpqset.exe"??????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????
      .
      scanning hidden files ...
      .
      scan completed successfully
      hidden files: 0
      .
      **************************************************************************
      .
      [HKEY_LOCAL_MACHINE\System\ControlSet002\Services\Akamai]
      "ServiceDll"="c:\archivos de programa\archivos comunes\akamai/netsession_win_80c2ffa.dll"
      .
      --------------------- DLLs Loaded Under Running Processes ---------------------
      .
      - - - - - - - > 'winlogon.exe'(1496)
      c:\archivos de programa\ActivIdentity\ActivClient\ackpbsc.dll
      c:\archivos de programa\ActivIdentity\ActivClient\aclog.dll
      c:\archivos de programa\ActivIdentity\ActivClient\accrypto.dll
      c:\archivos de programa\ActivIdentity\ActivClient\ACLIBEAY.dll
      c:\archivos de programa\archivos comunes\logishrd\bluetooth\LBTWlgn.dll
      c:\windows\system32\DPSCEL.DLL
      c:\windows\system32\DPFPApi.DLL
      c:\windows\system32\DPCLBACK.dll
      c:\archivos de programa\ActivIdentity\ActivClient\acunlock.dll
      c:\archivos de programa\ActivIdentity\ActivClient\aipingui.dll
      c:\archivos de programa\ActivIdentity\ActivClient\acevtsub.dll
      c:\archivos de programa\ActivIdentity\ActivClient\asphat32.dll
      c:\archivos de programa\ActivIdentity\ActivClient\acerrmes.dll
      c:\archivos de programa\ActivIdentity\ActivClient\aiwinext.dll
      c:\archivos de programa\ActivIdentity\ActivClient\aspcom.dll
      c:\archivos de programa\ActivIdentity\ActivClient\aicext.dll
      c:\archivos de programa\ActivIdentity\ActivClient\Resources\acerrmrc.dll
      c:\archivos de programa\ActivIdentity\ActivClient\Resources\asphatrc.dll
      c:\archivos de programa\ActivIdentity\ActivClient\Resources\aipinguirc.dll
      c:\archivos de programa\ActivIdentity\ActivClient\resources\acCobAPIrc.dll
      c:\archivos de programa\ActivIdentity\ActivClient\resources\acCobAPIlrc.dll
      c:\archivos de programa\ActivIdentity\ActivClient\Resources\acunlockrc.dll
      c:\windows\system32\DeviceNP.dll
      c:\windows\system32\SSREGLIB.dll
      c:\windows\system32\HPPTLog.dll
      .
      - - - - - - - > 'lsass.exe'(1556)
      c:\windows\system32\DPPassFilter.dll
      c:\windows\system32\DPFPApi.DLL
      .
      - - - - - - - > 'explorer.exe'(2076)
      c:\windows\system32\WININET.dll
      c:\windows\system32\AcSignIcon.dll
      c:\archiv~1\ARCHIV~1\MICROS~1\OFFICE14\Cultures\office.odf
      c:\archiv~1\MICROS~2\Office14\3082\GrooveIntlResource.dll
      c:\windows\system32\btmmhook.dll
      c:\archivos de programa\Archivos comunes\Autodesk Shared\AcSignCore16.dll
      c:\windows\system32\msi.dll
      c:\windows\system32\webcheck.dll
      c:\windows\system32\WPDShServiceObj.dll
      c:\windows\system32\btncopy.dll
      c:\windows\system32\PortableDeviceTypes.dll
      c:\windows\system32\PortableDeviceApi.dll
      .
      ------------------------ Other Running Processes ------------------------
      .
      c:\windows\system32\nvsvc32.exe
      c:\archivos de programa\Symantec\Symantec Endpoint Protection\Smc.exe
      c:\archivos de programa\Archivos comunes\Symantec Shared\ccSvcHst.exe
      c:\archivos de programa\idt\wdm\STacSV.exe
      c:\windows\System32\SCardSvr.exe
      c:\archivos de programa\Hewlett-Packard\HP ProtectTools Security Manager\Bin\DpHostW.exe
      c:\archivos de programa\LSI SoftModem\agrsmsvc.exe
      c:\archivos de programa\clienteDistribucion\tuner\lib\jre\bin\java.exe
      c:\archivos de programa\Diskeeper Corporation\Diskeeper\DkService.exe
      c:\windows\system32\hasplms.exe
      c:\archivos de programa\Hewlett-Packard\Embedded Security Software\ifxtcs.exe
      c:\archivos de programa\Oracle\JavaFX 2.1 Runtime\bin\jqs.exe
      c:\archivos de programa\Intel\Intel(R) Management Engine Components\LMS\LMS.exe
      c:\archivos de programa\Archivos comunes\Microsoft Shared\VS7DEBUG\MDM.EXE
      c:\archivos de programa\IBM\Lotus\Notes\ntmulti.exe
      c:\archivos de programa\Hewlett-Packard\Embedded Security Software\IfxPsdSv.exe
      c:\archivos de programa\Symantec\Symantec Endpoint Protection\Rtvscan.exe
      c:\archivos de programa\Intel\Intel Matrix Storage Manager\IAANTMon.exe
      c:\archivos de programa\WIDCOMM\Bluetooth Software\bin\btwdins.exe
      c:\archivos de programa\Hewlett-Packard\Embedded Security Software\PSDrt.exe
      c:\windows\system32\RUNDLL32.EXE
      c:\archivos de programa\Archivos comunes\LogiShrd\KHAL3\KHALMNPR.EXE
      c:\archivos de programa\Intel\Intel(R) Management Engine Components\IMSS\PrivacyIconClient.exe
      c:\archivos de programa\Hewlett-Packard\Shared\hpqwmiex.exe
      c:\windows\system32\wbem\wmiapsrv.exe
      c:\archivos de programa\Symantec\Symantec Endpoint Protection\SmcGui.exe
      c:\windows\Microsoft.NET\Framework\v3.0\WPF\PresentationFontCache.exe
      .
      **************************************************************************
      .
      Completion time: 2012-05-31 18:23:53 - machine was rebooted
      ComboFix-quarantined-files.txt 2012-05-31 16:23
      .
      Pre-Run: 204.119.896.064 bytes libres
      Post-Run: 212.707.704.832 bytes libres
      .
      WindowsXP-KB310994-SP2-Home-BootDisk-ENU.exe
      [boot loader]
      timeout=2
      default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
      [operating systems]
      c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
      UnsupportedDebug="do not select this" /debug
      multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /noexecute=optin /fastdetect
      .
      - - End Of File - - FF4F40808DB2E9DD25333D7AE8F21FD4

    4. #4
      FS-Admin
      Avatar de ElPiedra
      Registrado
      ene 2005
      Ubicación
      Miami
      Mensajes
      39.861

      Re: Secuelas virus policía

      Te recomiendo pasarle alguna herramienta como TuneUP a ver si se puede encargar de corregir los errores en el registro.


      Salu2
      Marcelo Rivero
      Microsoft MVP Enterprise Security.



      * Síguenos en nuestro Twitter y hazte nuestro amigo en Facebook.
      * Infórmate de las ultimas amenazas de la red desde: InfoSpyware Blog
      * No se resuelven dudas por Privados ni por E-mail, ya que para eso esta el foro.

    5. #5
      Usuario Avatar de owlamoo
      Registrado
      may 2012
      Ubicación
      Barcelona
      Mensajes
      3

      Re: Secuelas virus policía

      He revisado el registro con TuneUp y también con Ccleaner, y aunque han reparado numerosos errores, el problema de la pantalla azul durante el arranque en modo seguro persiste.

      ¿Alguna otra idea, abusando de tu amabilidad?

      Saludos,

    6. #6
      FS-Admin
      Avatar de ElPiedra
      Registrado
      ene 2005
      Ubicación
      Miami
      Mensajes
      39.861

      Re: Secuelas virus policía

      Podrías probar utilizando un CD de Windows en el arranque y usar la opción de "Reparar Windows"


      Salu2
      Marcelo Rivero
      Microsoft MVP Enterprise Security.



      * Síguenos en nuestro Twitter y hazte nuestro amigo en Facebook.
      * Infórmate de las ultimas amenazas de la red desde: InfoSpyware Blog
      * No se resuelven dudas por Privados ni por E-mail, ya que para eso esta el foro.