Virus de la policia (Solucionado)

Perdona la tardanza, pero he vuelto a instalar el SP3 con sus innumerables actualizaciones. Además he reinstalado una versión más moderna del antivirus que tenía y lo he pasado por el disco. No ha encontrado nada. También he pasado Malwarebytes, y me ha encontrado dos cosas que ha destruido.
Por si te interesa éste ha sido el reporte:

Malwarebytes Anti-Malware 1.62.0.1300
www.malwarebytes.org

Versión de la Base de Datos: v2012.07.30.10

30/07/2012 21:24:38
mbam-log-2012-07-30 (21-24-38).txt

Tipos de Análisis: Análisis Completo (H:\|)
Opciones de análisis activado: Memoria | Inicio | Registro | Sistema de archivos | Heurística/Extra | Heurística/Shuriken | PUP | PUM
Opciones de análisis desactivados: P2P
Objetos examinados: 266103
Tiempo transcurrido: 38 minuto(s), 29 segundo(s)

Procesos en Memoria Detectados: 0
(No se han detectado elementos maliciosos)

Módulos de Memoria Detectados: 0
(No se han detectado elementos maliciosos)

Claves del Registro Detectados: 0
(No se han detectado elementos maliciosos)

Valores del Registro Detectados: 2
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System|DisableRegedit (Hijack.Regedit) -> datos: 0 -> En cuarentena y eliminado con éxito.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System|DisableRegedit (Hijack.Regedit) -> datos: 0 -> En cuarentena y eliminado con éxito.

Elementos de Datos del Registro Detectados: 0
(No se han detectado elementos maliciosos)

Carpetas Detectadas: 0
(No se han detectado elementos maliciosos)

Archivos Detectados: 0
(No se han detectado elementos maliciosos)

fin)[/COLOR]


A su vez, como te comenté, previamente, le pasé el polifix. Aquí está su informe:

[COLOR="Red"]#################################################### PoliFix by InfoSpyware ############

PoliFix Versión 2.0.3 By InfoSpyware
Windows XP 32 Bits
Fecha: 29/07/2012
Hora: 18:03:26
java version "1.6.0_31"

--------------------------------- Malware eliminado by PoliFix ---------------------------------

[HKEY_USERS\S-1-5-21-823518204-1958367476-839522115-1003\Software\Microsoft\Windows\CurrentVersion\Run | update]
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run | update]

--------------------------------------- Clear Java Cache ---------------------------------------



--------------------------------- Valores WINLOGON y USERINIT ---------------------------------





HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon
Shell REG_SZ Explorer.exe




HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon
Userinit REG_SZ H:\WINDOWS\system32\userinit.exe

-------------------------------------- Valores claves RUN -------------------------------------




HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run
NvCplDaemon REG_SZ RUNDLL32.EXE H:\WINDOWS\system32\NvCpl.dll,NvStartup
nwiz REG_SZ nwiz.exe /install
RTHDCPL REG_SZ RTHDCPL.EXE
SkyTel REG_SZ SkyTel.EXE
Alcmtr REG_SZ ALCMTR.EXE
{EC2170E3-0FB2-4C41-ACB9-F2C494F92C67} REG_SZ G:\AT\asistente.exe H:\DOCUME~1\BEGOA~1\CONFIG~1\Temp\GLF36.tmp\settings.ini
NeroFilterCheck REG_SZ H:\WINDOWS\system32\NeroCheck.exe
QuickTime Task REG_SZ "H:\Archivos de programa\QuickTime\qttask.exe" -atboottime
AVG9_TRAY REG_SZ H:\ARCHIV~1\AVG\AVG9\avgtray.exe
CanonMyPrinter REG_SZ H:\Archivos de programa\Canon\MyPrinter\BJMyPrt.exe /logon
CanonSolutionMenuEx REG_SZ H:\Archivos de programa\Canon\Solution Menu EX\CNSEMAIN.EXE /logon
Adobe ARM REG_SZ "H:\Archivos de programa\Archivos comunes\Adobe\ARM\1.0\AdobeARM.exe"
vProt REG_SZ "H:\Archivos de programa\AVG Secure Search\vprot.exe"
ROC_roc_dec12 REG_SZ "H:\Archivos de programa\AVG Secure Search\ROC_roc_dec12.exe" /PROMPT /CMPID=roc_dec12
SunJavaUpdateSched REG_SZ "H:\Archivos de programa\Archivos comunes\Java\Java Update\jusched.exe"
Babylon Client REG_SZ H:\Documents and Settings\Begoña\Escritorio\Babylon\Babylon.exe -AutoStart
BCSSync REG_SZ "H:\Archivos de programa\Microsoft Office\Office14\BCSSync.exe" /DelayServices
HF_G_Jul REG_SZ "H:\Archivos de programa\AVG Secure Search\HF_G_Jul.exe" /DoAction
IMJPMIG8.1 REG_SZ "H:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
IMEKRMIG6.1 REG_SZ H:\WINDOWS\ime\imkr6_1\IMEKRMIG.EXE
NvMediaCenter REG_SZ RUNDLL32.EXE H:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit




HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run
CTFMON.EXE REG_SZ H:\WINDOWS\system32\ctfmon.exe
<NO NAME> REG_SZ
DAEMON Tools Lite REG_SZ "H:\Archivos de programa\DAEMON Tools Lite\daemon.exe" -autorun
OfficeSyncProcess REG_SZ "H:\Archivos de programa\Microsoft Office\Office14\MSOSYNC.EXE"
MSMSGS REG_SZ "H:\Archivos de programa\Messenger\msmsgs.exe" /background




HKEY_USERS\s-1-5-21-823518204-1958367476-839522115-1003\software\microsoft\windows\currentversion\run
CTFMON.EXE REG_SZ H:\WINDOWS\system32\ctfmon.exe
<NO NAME> REG_SZ
DAEMON Tools Lite REG_SZ "H:\Archivos de programa\DAEMON Tools Lite\daemon.exe" -autorun
OfficeSyncProcess REG_SZ "H:\Archivos de programa\Microsoft Office\Office14\MSOSYNC.EXE"
MSMSGS REG_SZ "H:\Archivos de programa\Messenger\msmsgs.exe" /background




HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\runonce




HKEY_CURRENT_USER\software\microsoft\windows\currentversion\runonce




HKEY_USERS\s-1-5-21-823518204-1958367476-839522115-1003\software\microsoft\windows\currentversion\runonce




HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\runonceex

------------------------------------------- LISTING -----------------------------------------

- Carpeta temporal -

El volumen de la unidad H es Disco duro
El número de serie del volumen es: 68ED-B2C4

29/07/2012 18:03 <DIR> .
29/07/2012 18:03 <DIR> ..
29/07/2012 18:03 <DIR> Polifix
1 archivos 26.186 bytes
3 dirs 40.268.791.808 bytes libres

- Carpeta Datos de Programas -

El volumen de la unidad H es Disco duro
El número de serie del volumen es: 68ED-B2C4

Directorio de H:\Documents and Settings\Bego¤a\Datos de programa

03/10/2011 20:11 <DIR> Adobe
02/06/2010 07:55 <DIR> AdobeUM
23/01/2009 15:53 <DIR> Ahead
29/12/2009 13:38 <DIR> Apple Computer
07/12/2011 09:38 <DIR> AVG Secure Search
11/10/2011 13:54 <DIR> AVS4YOU
01/07/2012 21:55 <DIR> Babylon
27/03/2011 13:59 <DIR> Canon
20/09/2011 19:45 <DIR> Canon Easy-WebPrint EX
03/06/2010 17:37 <DIR> com.fox.simpsons.simpsonsgags.8DB2FB41E3AF9617470F9C3E78FDAAA51EF66383.1
27/04/2009 08:19 <DIR> DAEMON Tools
21/01/2009 19:32 62 desktop.ini
21/10/2010 11:56 <DIR> dvdcss
14/10/2009 13:19 <DIR> DVDFab
10/10/2011 13:37 <DIR> FFSJ
07/07/2010 19:14 <DIR> GRETECH
21/01/2009 19:44 <DIR> Identities
22/05/2012 13:24 87.608 inst.exe
21/01/2009 19:48 <DIR> InstallShield
05/06/2012 12:55 <DIR> Lionhead Studios
21/01/2009 21:53 <DIR> Macromedia
14/08/2010 20:05 <DIR> Malwarebytes
22/07/2012 18:29 <DIR> Media Player Classic
20/07/2012 11:44 <DIR> Mipony
21/01/2009 22:01 <DIR> Mozilla
22/01/2009 16:28 <DIR> OfficeUpdate12
10/07/2011 20:22 <DIR> Opera
22/05/2012 13:24 7.887 pcouffin.cat
22/05/2012 13:24 1.144 pcouffin.inf
22/05/2012 13:24 55 pcouffin.log
22/05/2012 13:24 47.360 pcouffin.sys
05/07/2011 12:28 <DIR> Sports Interactive
21/01/2009 21:32 <DIR> Sun
26/08/2010 18:11 <DIR> The Creative Assembly
21/03/2011 12:46 <DIR> Thinstall
06/04/2012 15:11 <DIR> vlc
22/05/2012 13:24 <DIR> Vso
21/01/2009 22:18 <DIR> WinRAR
25/03/2009 17:17 <DIR> Yahoo!
6 archivos 144.116 bytes
33 dirs 40.268.791.808 bytes libres

#################################################### PoliFix - Search Log -Finalizado- ############

Tú me dirás.
Sólo comentarte que también he pasado el Spybot Search&Destroy y me ha encontrado varios toolbars, pero lo que me ha dejado alucinado es que ha encontrado 500 entradas en el registro de Babylon. Las he destruido manualmente entrando al registro.

Aparentemente todo ha vuelto a la normalidad.

Pasado el AT destroyer y aquí su reporte:

A/T-Destroyer 1.0.6 By Infospyware
www.infospyware.com
Fecha iniciada en el analisis 31/07/2012
Hora iniciada en el analisis 19:51:50,73
Usuario Actual : [H:\Documents and Settings\Begoña]
Sistema Operativo: Windows XP
Service pack: 3
Arquitectura: Sistema operativo de 32 bits
Versión Internet Explorer: 8.0.6001.18702
Modo Actual: Modo Normal.
Privilegios: [Begoña-Administrador]
Versión Google Chrome:
Versión Mozilla Firefox: 13.0.1

====== Servicios Eliminados By A/T-Destroyer ======




====== Claves Eliminadas By A/T-Destroyer ======


HKEY_CURRENT_USER\Software\Conduit
HKEY_CURRENT_USER\Software\Conduit\Communicator
HKEY_CURRENT_USER\Software\Conduit\Communicator\RegisteredSources
HKEY_CURRENT_USER\Software\Conduit\Community Alerts
HKEY_CURRENT_USER\Software\Conduit\Community Alerts\Data
HKEY_CURRENT_USER\Software\Conduit\Community Alerts\Data\Channels
HKEY_CURRENT_USER\Software\Conduit\Community Alerts\Data\Channels\825439
HKEY_CURRENT_USER\Software\Conduit\Community Alerts\Data\Channels\825439\Feeds
HKEY_CURRENT_USER\Software\Conduit\Community Alerts\Data\Feeds
HKEY_CURRENT_USER\Software\Conduit\Community Alerts\Data\Feeds\821247
HKEY_CURRENT_USER\Software\Conduit\Community Alerts\Data\Sources
HKEY_CURRENT_USER\Software\Conduit\Community Alerts\Data\Sources\FF_TB_CT2431232
HKEY_CURRENT_USER\Software\Conduit\Community Alerts\RegisteredSources
HKEY_CURRENT_USER\Software\Conduit\Community Alerts\Settings
HKEY_CURRENT_USER\Software\Conduit\Community Alerts\Settings\Locales
HKEY_CURRENT_USER\Software\Conduit\Community Alerts\Settings\Locales\en
HKEY_CURRENT_USER\Software\Conduit\Repository
HKEY_CURRENT_USER\Software\Conduit\Repository\RegisteredSources
HKEY_CURRENT_USER\Software\Conduit\Toolbar
HKEY_CURRENT_USER\Software\Conduit\Toolbar\EmailNotifier
HKEY_CURRENT_USER\Software\Conduit\Toolbar\EmailNotifier\SourcesLastCheckTimes
HKEY_CURRENT_USER\Software\Conduit\Toolbar\Facebook
HKEY_CURRENT_USER\Software\Conduit\Toolbar\Facebook\InfoService
HKEY_CURRENT_USER\Software\Conduit\Toolbar\Facebook\InfoService\http://facebook.conduit-services.com/Settings.ashx?locale=es-es&browserType=IE&toolbarVersion=5.7.1.1
HKEY_CURRENT_USER\Software\Conduit\Toolbar\Facebook\InfoService\http://facebook.conduit-services.com/Settings.ashx?locale=es-es&browserType=IE&toolbarVersion=5.7.2.2
HKEY_CURRENT_USER\Software\Conduit\Toolbar\Facebook\InfoService\http://facebook.conduit-services.com/Settings.ashx?locale=es-es&browserType=IE&toolbarVersion=5.7.3.1
HKEY_CURRENT_USER\Software\Conduit
HKEY_LOCAL_MACHINE\SOFTWARE\Conduit
HKEY_LOCAL_MACHINE\SOFTWARE\Conduit\AppPaths
HKEY_LOCAL_MACHINE\SOFTWARE\Conduit\AppPaths\Mipony.exe
HKEY_LOCAL_MACHINE\SOFTWARE\Conduit\Community Alerts
HKEY_LOCAL_MACHINE\SOFTWARE\Conduit


====== Archivos/Carpetas Eliminados By A/T-Destroyer ======


H:\Archivos de programa\Conduit\Community Alerts
H:\Archivos de programa\Conduit\Community Alerts\Alert.dll
H:\Archivos de programa\Conduit\Community Alerts\Alert0.dll
"H:\Archivos de programa\Conduit"
H:\Documents and Settings\Begoña\Datos de programa\FFSJ\FFSJ.cfg
"H:\Documents and Settings\Begoña\Datos de programa\FFSJ"
H:\Archivos de programa\mozilla firefox\searchplugins\babylon.xml


====== Información Extra ======


-_-_-_-_-_-_-_-_ Configuraciones de internet Explorer -_-_-_-_-_-_-_-_
"HKCU\Software\Microsoft\Internet Explorer\Main"
-
Start Page == http://www.google.com
-
Search Page ==
-
Local Page == H:\WINDOWS\system32\blank.htm
-
-
Default_Page_URL == http://es.yahoo.com/?fr=fp-yie8

"HKLM\Software\Microsoft\Internet Explorer\Main"
-
Start Page == http://www.google.com
-
Search Page == http://go.microsoft.com/fwlink/?LinkId=54896
-
Local Page == H:\WINDOWS\system32\blank.htm
-
Default_Search_URL == http://go.microsoft.com/fwlink/?LinkId=54896
-
Default_Page_URL == http://go.microsoft.com/fwlink/?LinkId=69157


"HKEY_USERS\S-1-5-21-823518204-1958367476-839522115-1003\Software\Microsoft\Internet Explorer\Main"
-
Start Page == http://www.google.com
-
Search Page ==
-
Local Page == H:\WINDOWS\system32\blank.htm
-
-
Default_Page_URL == http://es.yahoo.com/?fr=fp-yie8


-_-_-_-_-_-_-_-_ Configuraciones de Google Chrome-_-_-_-_-_-_-_-_
"homepage": "http://www.google.com/",
"homepage_changed": true,
"homepage_is_newtabpage": false,


-_-_-_-_-_-_-_-_ Configuraciones de mozilla Firefox -_-_-_-_-_-_-_-_
user_pref("CT2431232.homepageProtectorEnableByLogin", true);
user_pref("pref.browser.homepage.disable_button.current_page", false);
user_pref("pref.browser.homepage.disable_button.restore_default", false);
user_pref("browser.startup.homepage", "http://google.com");


-_-_-_-_-_-_-_-_ Configuraciones de Opera-_-_-_-_-_-_-_-_
URL Fav Menu Dialog=654,18,192,92,0
Save Dir={Home}Escritorio


======= EOF =======


Me ha detectado algunos problemas, pero no sé si los ha corregido. Supongo que sí.

Originalmente publicado por Superlucas

Hola ,

Solo restaría desistalar usbfix, lo ejecutas y le das al botón "desistalar". Nos comentas si damos el tema por solucionado

Pues creo que está resuelto el problema.
Una vez más, muchas gracias por tu ayuda y sabes que tienes un amigo al otro lado del charco. Hasta siempre.