• Registrarse
  • Iniciar sesión


  • Resultados 1 al 8 de 8

    Virus Virus 0i763f66bz.exe and Trojan WIN64/Necrus.a

    Hola a todos; El primer problema detectado fué que se detuvo el antivirus y no podía iniciar el servicio nuevamente esto con Windows Security Essentials, entonces instalé Avast gratuito y entré a Windows 7 en ...

    1. #1
      Usuario Avatar de ironman27
      Registrado
      sep 2012
      Ubicación
      Canada
      Mensajes
      4

      Molesto Virus 0i763f66bz.exe and Trojan WIN64/Necrus.a

      Hola a todos;


      El primer problema detectado fué que se detuvo el antivirus y no podía iniciar el servicio nuevamente esto con Windows Security Essentials, entonces instalé Avast gratuito y entré a Windows 7 en modo a prueba de fallos, después de escanear C: me enontré con que tenía un archivo llamado "0i763f66bz.exe" el cual el antivirus no podía borrar, por lo cual buscando en internet encontré su progama Combofix, lo ejecuté y nada, el archivo segía ahí, entonces segí buscando y me encontré con el Malwarebytes, con el cual pude eliminar ese archivo "0i763f66bz.exe"

      Sin embargo despues de analizar nuevamente la unidad C: me enontré con un archivo en System32\Drivers el cual tiene extensión ".sys" y no puedo borrar, dice que no tengo premisos y el Malwarebytes ya no lo detecta como virus, y Avast y WSE lo detectan como Trojan WIN64/Necrus.a, quisiera que me ayudaran a borrarlo ya que por más que he intentado no logro eliminarlo con ningun antivirus, o ponerlo en cuarentena,

      Saludos
      Última edición por ironman27 fecha: 20/09/12 a las 11:29:02

    2. #2
      Ex-Colaboradora Avatar de @SanMar
      Registrado
      jun 2008
      Ubicación
      Argentina
      Mensajes
      22.290

      Re: Virus Virus 0i763f66bz.exe and Trojan WIN64/Necrus.a

      Hola ironman27

      al Foro.

      Consejos para antes de publicar un nuevo mensaje

      Políticas del Foro de InfoSpyware

      Políticas Foro Oficial de HijackThis en español
      --------------------------------------------------

      encontré su progama Combofix, lo ejecuté

      Sobre Combofix olvidaste leer algo muy importante:




      Atención!! No use ComboFix a menos que se le haya indicado específicamente en su mensaje por un integrante de nuestro Staff. Es una herramienta de gran alcance destinada por su creador a ser usada bajo la orientación y supervisión de un experto, no para uso privado. El uso de ComboFix incorrectamente podría generar problemas en su sistema. Por favor, lea las "Negaciones de la Garantía" de ComboFix.

      En tu próxima respuesta pega los reportes de Malwarebytes y Combofix


      Y no ejecutes ninguna herramienta mas ya que podrías cargarte el sistema.


      PD/ Dinos si cuentas con acceso a otro ordenador limpio y un USB.




      Salu2.

      * Síguenos en nuestro Twitter y hazte nuestro amigo en Facebook.
      * Infórmate de las ultimas amenazas de la red desde: InfoSpyware Blog
      * No se resuelven dudas por Privados ni por E-mail, ya que para eso esta el foro.

    3. #3
      Usuario Avatar de ironman27
      Registrado
      sep 2012
      Ubicación
      Canada
      Mensajes
      4

      Re: Virus Virus 0i763f66bz.exe and Trojan WIN64/Necrus.a

      Hola, gracias por la aclaración, omití eso debido a que me urgia eliminar el virus, pero ya no ejecutaré más sin que antes me lo recomienden, desafortunadamente el resultado de ComboFix lo eliminé pero aqui esta el de el escaneo de Malwarebytes:

      Malwarebytes Anti-Malware (Versión de Prueba) 1.65.0.1400
      www.malwarebytes.org

      Versión de la Base de Datos: v2012.09.19.10

      Windows 7 Service Pack 1 x64 NTFS
      Internet Explorer 9.0.8112.16421
      Administrador :: MIPC [administrador]

      Protección: Personas de movilidad reducida

      19/09/2012 01:35:29 p.m.
      mbam-log-2012-09-19 (13-35-29).txt

      Tipos de Análisis: Análisis Completo (C:\|)
      Opciones de análisis activado: Memoria | Inicio | Registro | Sistema de archivos | Heurística/Extra | Heurística/Shuriken | PUP | PUM
      Opciones de análisis desactivados: P2P
      Objetos examinados: 358576
      Tiempo transcurrido: 25 minuto(s), 38 segundo(s)

      Procesos en Memoria Detectados: 1
      C:\Windows\KMService.exe (RiskWare.Tool.CK) -> 1772 -> Se eliminarán al reiniciar.

      Módulos de Memoria Detectados: 0
      (No se han detectado elementos maliciosos)

      Claves del Registro Detectados: 13
      HKCR\CLSID\{963B125B-8B21-49A2-A3A8-E37092276531} (PUP.Blabbers) -> En cuarentena y eliminado con éxito.
      HKCR\TypeLib\{955B782E-CDC8-4CEE-B6F6-AD7D541A8D8A} (PUP.Blabbers) -> En cuarentena y eliminado con éxito.
      HKCR\Interface\{9F0C17EB-EF2C-4278-9136-2D547656BC03} (PUP.Blabbers) -> En cuarentena y eliminado con éxito.
      HKCR\updatebho.TimerBHO.1 (PUP.Blabbers) -> En cuarentena y eliminado con éxito.
      HKCR\updatebho.TimerBHO (PUP.Blabbers) -> En cuarentena y eliminado con éxito.
      HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{963B125B-8B21-49A2-A3A8-E37092276531} (PUP.Blabbers) -> En cuarentena y eliminado con éxito.
      HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{963B125B-8B21-49A2-A3A8-E37092276531} (PUP.Blabbers) -> En cuarentena y eliminado con éxito.
      HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{963B125B-8B21-49A2-A3A8-E37092276531} (PUP.Blabbers) -> En cuarentena y eliminado con éxito.
      HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{00CBB66B-1D3B-46D3-9577-323A336ACB50} (PUP.Blabbers) -> En cuarentena y eliminado con éxito.
      HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{00CBB66B-1D3B-46D3-9577-323A336ACB50} (PUP.Blabbers) -> En cuarentena y eliminado con éxito.
      HKCR\PROTOCOLS\HANDLER\BASE64 (PUP.Blabbers) -> En cuarentena y eliminado con éxito.
      HKCR\PROTOCOLS\HANDLER\CHROME (PUP.Blabbers) -> En cuarentena y eliminado con éxito.
      HKCR\PROTOCOLS\HANDLER\PROX (PUP.Blabbers) -> En cuarentena y eliminado con éxito.

      Valores del Registro Detectados: 4
      HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|0i763f66bz (Trojan.Ransom) -> datos: C:\Users\Administrador\0i763f66bz.exe -> En cuarentena y eliminado con éxito.
      HKCR\protocols\Handler\base64|CLSID (PUP.Blabbers) -> datos: {5ACE96C0-C70A-4A4D-AF14-2E7B869345E1} -> En cuarentena y eliminado con éxito.
      HKCR\protocols\Handler\chrome|CLSID (PUP.Blabbers) -> datos: {5ACE96C0-C70A-4A4D-AF14-2E7B869345E1} -> En cuarentena y eliminado con éxito.
      HKCR\protocols\Handler\prox|CLSID (PUP.Blabbers) -> datos: {5ACE96C0-C70A-4A4D-AF14-2E7B869345E1} -> En cuarentena y eliminado con éxito.

      Elementos de Datos del Registro Detectados: 0
      (No se han detectado elementos maliciosos)

      Carpetas Detectadas: 0
      (No se han detectado elementos maliciosos)

      Archivos Detectados: 3
      C:\Windows\KMService.exe (RiskWare.Tool.CK) -> Se eliminarán al reiniciar.
      C:\Users\Administrador\0i763f66bz.exe (Trojan.Ransom) -> En cuarentena y eliminado con éxito.
      C:\Users\Administrador\AppData\LocalLow\bbrs_002.tb\content\BCHelper.exe (PUP.Blabbers) -> En cuarentena y eliminado con éxito.

      fin)


      Y SI cuento con una PC que no esta infectada y USB, espero me puedan ayudar, he vuelto a escanear con Security Essentials y sigue apareciendo el archivo que les comento ".sys" como amenaza de trojano WIN64/Necrus.a


      Saludos.
      Última edición por ironman27 fecha: 20/09/12 a las 11:28:40

    4. #4
      Ex-Colaboradora Avatar de @SanMar
      Registrado
      jun 2008
      Ubicación
      Argentina
      Mensajes
      22.290

      Re: Virus Virus 0i763f66bz.exe and Trojan WIN64/Necrus.a

      Hola ironman27:


      Faltaría que pegues el reporte de Combofix de cuando lo ejecutaste, necesito ver lo eliminado se encuentra en C.\Combofix.txt.


      Este rootkit es un poquin mas difícil de eliminar en tu equipo por el SO de 64 bits que tienes, mas no imposible...


      Herramientas necesarias.

      • Un ordenador limpio con conexión a Internet.
      • Un USB.


      Desde el ordenador limpio:.

      • Descargue FRST64.exe a su escritorio.
      • Copie Frst64.exe a su unidad USB.



      Desde el equipo Infectado:

      Ingresa en las opciones de reparación del sistema.

      Para acceder a las Opciones de Recuperación del Sistema de las opciones de inicio avanzadas:

      • Reinicie el equipo.
      • Tan pronto como se carga el BIOS comienze a apretar la tecla F8 hasta que aparezcan las opciones avanzadas de arranque.
      • Selecciona Reparar el Equipo y presione enter.
      • Espere a que cargue, seleccione el idioma y configuración de teclado, clic en siguiente.
      • Seleccione el sistema operativo que desee reparar y haga clic en siguiente.
      • Seleccione su cuenta de usuario haga clic en siguiente.



      En el menú de Opciones de Recuperación del Sistema vera las siguientes opciones


      • Reparación de inicio.
      • Restaurar sistema.
      • Restauración de imagen del sistema.
      • Diagnóstico de memoria de Windows.
      • Símbolo del sistema.



      • Seleccione el Símbolo del Sistema.
      • Conecta el Usb.
      • En la ventana de Comandos, escriba notepad.exe.
      • En la parte superior vaya a Archivo>>> Abrir.
      • Seleccione "Equipo" para encontrar la letra de su Unidad USB, cierre el Bloc de Notas.



      • Una vez dentro de la Ventana de Comandos escribe tal cual x:frst64.exe donde x debe ser reemplazada por la letra de Su unidad Usb.
      • Presionas Enter.


      Deberá ver algo similar a lo que muestra la imagen:


      • La herramienta comenzará a correr.
      • Cuando la herramienta se abra le mostrara la ventana Disclaimer, haga clic en Sí.


      Luego abrirá la ventana del programa:



      • Pulse el botón Scan.

      Al finalizar el escaneo se creara un reporte Frst.txt en el USB. Conecte de nuevo el USB en el ordenador limpio, abra el archivo (Frst.txt) copie y pegue su contenido en su próxima respuesta.

      Cualquier duda nos consultas.

      Para tu seguridad imprime los pasos.

      Salu2.

      * Síguenos en nuestro Twitter y hazte nuestro amigo en Facebook.
      * Infórmate de las ultimas amenazas de la red desde: InfoSpyware Blog
      * No se resuelven dudas por Privados ni por E-mail, ya que para eso esta el foro.

    5. #5
      Usuario Avatar de ironman27
      Registrado
      sep 2012
      Ubicación
      Canada
      Mensajes
      4

      Re: Virus Virus 0i763f66bz.exe and Trojan WIN64/Necrus.a

      Hola;

      Gracias por la ayuda, aqui el resultado;

      Scan result of Farbar Recovery Scan Tool (FRST) (x64) Version: 20-09-2012
      Ran by SYSTEM at 21-09-2012 10:05:11
      Running from F:\
      Windows 7 Professional Service Pack 1 (X64) OS Language: Spanish Modern Sort
      The current controlset is ControlSet001

      ==================== Registry (Whitelisted) ===================

      HKLM\...\Run: [RtHDVCpl] C:\Program Files\Realtek\Audio\HDA\RAVCpl64.exe -s [12558440 2011-07-07] (Realtek Semiconductor)
      HKLM\...\Run: [BCSSync] "C:\Program Files\Microsoft Office\Office14\BCSSync.exe" /DelayServices [112512 2010-03-13] (Microsoft Corporation)
      HKLM-x32\...\Run: [StartCCC] "C:\Program Files (x86)\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun [336384 2011-07-28] (Advanced Micro Devices, Inc.)
      HKLM-x32\...\Run: [TkBellExe] "C:\Program Files (x86)\Real\RealPlayer\update\realsched.exe" -osboot [273528 2011-10-28] (RealNetworks, Inc.)
      HKLM-x32\...\Run: [Adobe ARM] "C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe" [919008 2012-07-27] (Adobe Systems Incorporated)
      HKLM-x32\...\Run: [MessengerPlusForSkypeService] "C:\Program Files (x86)\Yuna Software\Messenger Plus! for Skype\MsgPlusForSkypeService.exe" [124832 2012-01-22] (Yuna Software)
      HKU\Administrador\...\Run: [msnmsgr] "C:\Program Files (x86)\Windows Live\Messenger\msnmsgr.exe" /background [4280184 2012-03-09] (Microsoft Corporation)
      HKU\Administrador\...\Run: [DAEMON Tools Lite] "C:\Program Files (x86)\DAEMON Tools Lite\DTLite.exe" -autorun [x]
      HKU\Administrador\...\Run: [Skype] "C:\Program Files (x86)\Skype\Phone\Skype.exe" /minimized /regrun [17148552 2012-02-29] (Skype Technologies S.A.)
      HKU\Administrador\...\Run: [Browser Infrastructure Helper] C:\Users\Administrador\AppData\Local\Smartbar\Application\Smartbar.exe startup [18800 2012-09-02] (Smartbar)
      HKU\Administrador\...\Policies\system: [LogonHoursAction] 2
      HKU\Administrador\...\Policies\system: [DontDisplayLogonHoursWarnings] 1
      HKU\Administrator\...\Policies\system: [LogonHoursAction] 2
      HKU\Administrator\...\Policies\system: [DontDisplayLogonHoursWarnings] 1
      HKU\Etiquetas\...\Policies\system: [LogonHoursAction] 2
      HKU\Etiquetas\...\Policies\system: [DontDisplayLogonHoursWarnings] 1
      Tcpip\Parameters: [DhcpNameServer] 10.1.0.254
      Startup: C:\Users\All Users\Start Menu\Programs\Startup\Microsoft Office.lnk
      ShortcutTarget: Microsoft Office.lnk -> C:\Program Files (x86)\Office 2000\Office\OSA9.EXE (Microsoft Corporation)

      ==================== Services (Whitelisted) ===================

      2 avast! Antivirus; "C:\Program Files\AVAST Software\Avast\AvastSvc.exe" [44808 2012-08-21] (AVAST Software)
      2 BarTender System Service; "C:\Program Files (x86)\Seagull\BarTender Suite\System\BtSystem.Service.exe" [42392 2010-01-22] (Seagull Scientific, Inc.)
      2 Commander Service; C:\Program Files (x86)\Seagull\BarTender Suite\BarTender\CmdrSrv.exe [1992128 2010-01-22] (Seagull Scientific)
      2 Irmon; C:\Windows\System32\irmon.dll [23552 2009-07-14] (Microsoft Corporation)
      2 KMService; C:\Windows\SysWow64\srvany.exe [8192 2011-09-21] ()
      2 Maestro; "C:\Program Files (x86)\Seagull\BarTender Suite\Printer Maestro\Maestro.Service.exe" [239000 2010-01-22] (Seagull Scientific, Inc.)
      2 MBAMScheduler; "C:\Program Files (x86)\Malwarebytes' Anti-Malware\mbamscheduler.exe" [399432 2012-09-07] (Malwarebytes Corporation)
      2 MBAMService; "C:\Program Files (x86)\Malwarebytes' Anti-Malware\mbamservice.exe" [676936 2012-09-07] (Malwarebytes Corporation)
      2 MsgPlusService; "C:\Program Files (x86)\Yuna Software\Messenger Plus! for Skype\MsgPlusForSkypeService.exe" [124832 2012-01-22] (Yuna Software)
      2 nlsX86cc; C:\Windows\SysWOW64\nlssrv32.exe [x]

      ==================== Drivers (Whitelisted) =====================

      0 a81c7d9e27d541c; C:\Windows\System32\Drivers\a81c7d9e27d541c.sys [74184 2012-06-23] () ATTENTION =====> Rootkit?
      0 amdide64; C:\Windows\System32\Drivers\amdide64.sys [11832 2010-07-01] (Advanced Micro Devices Inc.)
      2 AODDriver4.01; \??\C:\Program Files\ATI Technologies\ATI.ACE\Fuel\amd64\AODDriver2.sys [55424 2011-06-24] (Advanced Micro Devices)
      2 aswFsBlk; C:\Windows\System32\Drivers\aswFsBlk.sys [25232 2012-08-21] (AVAST Software)
      2 aswMonFlt; C:\Windows\System32\Drivers\aswMonFlt.sys [71600 2012-08-21] (AVAST Software)
      1 aswRdr; C:\Windows\System32\Drivers\aswrdr2.sys [54072 2012-08-21] (AVAST Software)
      1 aswSnx; C:\Windows\System32\Drivers\aswSnx.sys [969200 2012-08-21] (AVAST Software)
      1 aswSP; C:\Windows\System32\Drivers\aswSP.sys [359464 2012-08-21] (AVAST Software)
      1 aswTdi; C:\Windows\System32\Drivers\aswTdi.sys [59728 2012-08-21] (AVAST Software)
      2 irda; C:\Windows\System32\Drivers\irda.sys [120320 2009-07-14] (Microsoft Corporation)
      3 irsir; C:\Windows\System32\Drivers\irsir.sys [27648 2008-01-19] (Microsoft Corporation)
      3 MBAMProtector; \??\C:\Windows\system32\drivers\mbam.sys [25928 2012-09-07] (Malwarebytes Corporation)
      0 nvamacpi; C:\Windows\System32\Drivers\nvamacpi.sys [28264 2009-11-24] (NVIDIA Corporation)
      3 AtiDCM; \??\C:\Users\Administrator\AppData\Local\Temp\atdcm64a.sys [x]
      3 catchme; \??\C:\ComboFix\catchme.sys [x]
      3 DrvAgent64; \??\C:\Windows\SysWOW64\Drivers\DrvAgent64.SYS [x]

      ==================== NetSvcs (Whitelisted) ====================


      ==================== One Month Created Files and Folders ========

      2012-09-21 10:05 - 2012-09-21 10:05 - 00000000 ____D C:\FRST
      2012-09-20 19:08 - 2012-09-20 19:08 - 00000000 ____D C:\Users\Administrador\AppData\Roaming\Panda Security
      2012-09-20 19:07 - 2012-09-20 19:07 - 00000000 ____D C:\Users\All Users\Panda Security
      2012-09-20 19:07 - 2012-09-20 19:07 - 00000000 ____D C:\Program Files (x86)\Panda Security
      2012-09-20 18:25 - 2012-09-20 18:25 - 00000000 ____D C:\Users\Default\Documents\BarTender
      2012-09-20 18:25 - 2012-09-20 18:25 - 00000000 ____D C:\Users\Default User\Documents\BarTender
      2012-09-20 14:53 - 2012-09-20 14:53 - 00000000 ____D C:\Users\Administrador\AppData\Local\{82B80A8B-C0B7-43F2-AAFB-A7697B61AF4F}
      2012-09-19 22:36 - 2012-09-21 09:30 - 00000000 ____D C:\Program Files (x86)\Microsoft Security Client
      2012-09-19 22:35 - 2012-09-21 09:30 - 00000000 ____D C:\Program Files\Microsoft Security Client
      2012-09-19 22:31 - 2012-09-21 09:30 - 00000000 ___SD C:\ComboFix
      2012-09-19 21:58 - 2012-09-19 21:58 - 00000000 ____D C:\Users\Administrator\AppData\Roaming\Malwarebytes
      2012-09-19 19:34 - 2012-09-19 19:34 - 00001109 ____A C:\Users\Public\Desktop\Malwarebytes Anti-Malware.lnk
      2012-09-19 19:34 - 2012-09-19 19:34 - 00000000 ____D C:\Users\All Users\Malwarebytes
      2012-09-19 19:34 - 2012-09-19 19:34 - 00000000 ____D C:\Users\Administrador\AppData\Roaming\Malwarebytes
      2012-09-19 19:34 - 2012-09-19 19:34 - 00000000 ____D C:\Program Files (x86)\Malwarebytes' Anti-Malware
      2012-09-19 19:34 - 2012-09-07 23:04 - 00025928 ____A (Malwarebytes Corporation) C:\Windows\System32\Drivers\mbam.sys
      2012-09-19 18:56 - 2011-06-26 07:45 - 00256000 ____A C:\Windows\PEV.exe
      2012-09-19 18:56 - 2010-11-07 18:20 - 00208896 ____A C:\Windows\MBR.exe
      2012-09-19 18:56 - 2009-04-20 05:56 - 00060416 ____A (NirSoft) C:\Windows\NIRCMD.exe
      2012-09-19 18:56 - 2000-08-31 01:00 - 00518144 ____A (SteelWerX) C:\Windows\SWREG.exe
      2012-09-19 18:56 - 2000-08-31 01:00 - 00406528 ____A (SteelWerX) C:\Windows\SWSC.exe
      2012-09-19 18:56 - 2000-08-31 01:00 - 00098816 ____A C:\Windows\sed.exe
      2012-09-19 18:56 - 2000-08-31 01:00 - 00080412 ____A C:\Windows\grep.exe
      2012-09-19 18:56 - 2000-08-31 01:00 - 00068096 ____A C:\Windows\zip.exe
      2012-09-19 18:47 - 2012-09-19 18:36 - 04752754 ___RA (Swearware) C:\Users\Administrator\Desktop\ComboFix.exe
      2012-09-19 18:43 - 2012-09-19 22:31 - 00000000 ____D C:\Windows\erdnt
      2012-09-19 14:41 - 2012-09-19 14:41 - 00000000 ____D C:\Users\Administrador\AppData\Local\{C9402AA7-20CD-41A0-BC37-C706B0AF4078}
      2012-09-18 23:59 - 2012-09-18 23:59 - 00000000 ____D C:\Users\Administrator\AppData\Roaming\DAEMON Tools Lite
      2012-09-18 23:53 - 2012-09-18 23:53 - 00000000 ____A C:\Windows\SysWOW64\config.nt
      2012-09-18 23:53 - 2012-08-21 10:13 - 00969200 ____A (AVAST Software) C:\Windows\System32\Drivers\aswSnx.sys
      2012-09-18 23:53 - 2012-08-21 10:13 - 00359464 ____A (AVAST Software) C:\Windows\System32\Drivers\aswSP.sys
      2012-09-18 23:53 - 2012-08-21 10:13 - 00071600 ____A (AVAST Software) C:\Windows\System32\Drivers\aswMonFlt.sys
      2012-09-18 23:53 - 2012-08-21 10:13 - 00059728 ____A (AVAST Software) C:\Windows\System32\Drivers\aswTdi.sys
      2012-09-18 23:53 - 2012-08-21 10:13 - 00054072 ____A (AVAST Software) C:\Windows\System32\Drivers\aswRdr2.sys
      2012-09-18 23:53 - 2012-08-21 10:13 - 00025232 ____A (AVAST Software) C:\Windows\System32\Drivers\aswFsBlk.sys
      2012-09-18 23:53 - 2012-08-21 10:12 - 00285328 ____A (AVAST Software) C:\Windows\System32\aswBoot.exe
      2012-09-18 23:52 - 2012-09-21 09:30 - 00000000 ____D C:\Users\All Users\AVAST Software
      2012-09-18 23:52 - 2012-09-21 09:30 - 00000000 ____D C:\Program Files\AVAST Software
      2012-09-18 23:52 - 2012-08-21 10:12 - 00227648 ____A (AVAST Software) C:\Windows\SysWOW64\aswBoot.exe
      2012-09-18 23:52 - 2012-08-21 10:12 - 00041224 ____A (AVAST Software) C:\Windows\avastSS.scr
      2012-09-18 23:50 - 2012-09-18 23:51 - 93654616 ____A C:\Users\Administrator\Downloads\avast_free_antivirus_setup.exe
      2012-09-18 23:44 - 2012-09-18 23:44 - 00328704 ____A (Microsoft Corporation) C:\Windows\System32\services.exe.E97FEDD4F6736955
      2012-09-18 14:52 - 2012-09-18 14:53 - 00000000 ____D C:\Users\Administrador\AppData\Local\{A39CDEE1-B699-4661-8335-9D3A3805ED97}
      2012-09-17 16:31 - 2012-09-18 15:23 - 00116224 ____A C:\Users\Administrador\Desktop\RETAIL AEROSOL URGENTE.xls
      2012-09-17 15:32 - 2012-09-17 15:32 - 00000000 ____D C:\Users\Administrador\AppData\Local\{6FD00280-4D92-47C0-81C6-42899EEF4EC8}
      2012-09-14 23:47 - 2012-09-19 19:47 - 00034816 ____A C:\Users\Administrador\Desktop\CARGA RETAIL 1409.xls
      2012-09-14 15:07 - 2012-09-18 22:48 - 00035328 ____A C:\Users\Administrador\Desktop\RETAIL SEP 3.xls
      2012-09-14 14:59 - 2012-09-14 14:59 - 00000000 ____D C:\Users\Administrador\AppData\Local\{172A2435-18CA-4316-AAF6-2CC9A701E0F4}
      2012-09-13 17:23 - 2012-09-14 22:23 - 01607168 ____A C:\Users\Administrador\Desktop\TXT LIV LUNES DAMAS.xls
      2012-09-13 15:03 - 2012-09-13 15:04 - 00000000 ____D C:\Users\Administrador\AppData\Local\{61AF1EDE-EC6B-462E-AA7D-4929C2B281EE}
      2012-09-12 17:34 - 2012-09-12 17:34 - 00390144 ____N C:\Users\Administrador\Desktop\Actualizacion Fall12 Tommy Sept 05.xls
      2012-09-12 16:55 - 2012-09-12 16:55 - 00383488 ____A C:\Users\Administrador\Desktop\BASECO SEP.xls
      2012-09-12 14:59 - 2012-09-12 14:59 - 00000000 ____D C:\Users\Administrador\AppData\Local\{558B7628-1C89-4DF4-82BF-95B17FC5EEE7}
      2012-09-11 20:34 - 2012-09-13 18:49 - 00123904 ____A C:\Users\Administrador\Desktop\txt liv men 1409.xls
      2012-09-11 15:18 - 2012-09-11 15:18 - 00000000 ____D C:\Users\Administrador\AppData\Local\{251DA245-D848-45E7-8DC9-B3E0C20C6E40}
      2012-09-10 23:32 - 2012-09-19 15:09 - 00441856 ____A C:\Users\Administrador\Desktop\tiendas women Liverpool.xls
      2012-09-10 14:47 - 2012-09-10 14:47 - 00000000 ____D C:\Users\Administrador\AppData\Local\{E04858AE-1712-4FEE-B927-88F071A73B27}
      2012-09-07 14:53 - 2012-09-07 14:53 - 00000000 ____D C:\Users\Administrador\AppData\Local\{7DC0873D-1973-4DDF-A0B8-4FC8265509BF}
      2012-09-06 14:48 - 2012-09-06 14:49 - 00000000 ____D C:\Users\Administrador\AppData\Local\{C9702B5C-2921-47D6-86E7-C8E04B5101B3}
      2012-09-06 14:47 - 2012-09-07 00:03 - 00322048 ____A C:\Users\Administrador\Desktop\TXT LIV KIDS SEP.xls
      2012-09-05 23:55 - 2012-09-14 19:09 - 00315904 ____A C:\Users\Administrador\Desktop\RETAIL SEP. parte 2.xls
      2012-09-05 14:47 - 2012-09-06 02:48 - 00000000 ____D C:\Users\Administrador\AppData\Local\{BD48E509-BD6F-4069-8751-D6C777DEA918}
      2012-09-04 14:57 - 2012-09-04 14:58 - 00000000 ____D C:\Users\Administrador\AppData\Local\{535E0852-A75F-4C24-B27A-C7A69D7D6AB6}
      2012-09-03 20:37 - 2012-09-05 16:59 - 01960960 ____A C:\Users\Administrador\Desktop\txt aerosoles.xls
      2012-09-03 14:55 - 2012-09-03 14:55 - 00000000 ____D C:\Users\Administrador\AppData\Local\{4F7A65D2-5CB7-4975-81A3-29DC8F381602}
      2012-09-02 15:09 - 2012-09-02 15:09 - 00000000 ____D C:\Users\Administrador\AppData\Local\{197B36C0-1903-4C9C-B1F8-4C8AE274F9E9}
      2012-08-31 22:31 - 2012-09-20 21:17 - 00205824 ____A C:\Users\Administrador\Desktop\PEDIDOS SEPTIEMBRE.xls
      2012-08-31 20:47 - 2012-09-14 17:12 - 00448512 ____A C:\Users\Administrador\Desktop\RETAIL SEP.xls
      2012-08-31 15:21 - 2012-08-31 15:21 - 00000000 ____D C:\Users\Administrador\AppData\Local\{862D5970-2565-4403-96DB-9ED0ED0E8A0F}
      2012-08-30 20:44 - 2012-08-30 20:44 - 00000000 ____D C:\Users\Administrador\Desktop\AEROSOLES
      2012-08-30 14:38 - 2012-08-30 14:38 - 00000000 ____D C:\Users\Administrador\AppData\Local\{42AF1633-D40C-427B-80A8-35B9B31779B4}
      2012-08-29 16:40 - 2012-09-21 00:03 - 03918336 ____A C:\Users\Administrador\Desktop\TXT LIV SEP.xls
      2012-08-29 14:53 - 2012-08-29 14:53 - 00083390 ____A C:\Users\Administrador\Documents\firma 1.pptx
      2012-08-29 14:46 - 2012-08-29 14:46 - 00000000 ____D C:\Users\Administrador\AppData\Local\{B393714B-B56E-4501-BA73-BD70A8D68184}
      2012-08-28 15:04 - 2012-08-28 15:04 - 00000000 ____D C:\Users\Administrador\AppData\Local\{B4A821D6-E2FE-4ED0-BA5D-50443155740B}
      2012-08-27 21:22 - 2012-09-21 15:52 - 00000000 ____D C:\Users\Administrador\AppData\Roaming\BrowserCompanion
      2012-08-27 21:22 - 2012-09-02 15:24 - 00000000 ____D C:\Users\Administrador\AppData\Local\Smartbar
      2012-08-27 14:36 - 2012-08-27 14:37 - 00000000 ____D C:\Users\Administrador\AppData\Local\{08BFDBE0-EADB-4C2D-B2EA-C425B0DF689A}
      2012-08-25 17:34 - 2012-08-25 17:34 - 00000000 ____D C:\Users\Administrador\AppData\Local\{4F739200-7248-44B4-8D03-90B295EF9FE7}
      2012-08-24 14:37 - 2012-08-24 14:37 - 00000000 ____D C:\Users\Administrador\AppData\Local\{86819581-9141-43A9-A31D-1F806F007DDC}
      2012-08-23 14:42 - 2012-08-23 14:42 - 00000000 ____D C:\Users\Administrador\AppData\Local\{84BBAB83-ADD2-4316-84BF-0F409A343CC1}
      2012-08-22 14:45 - 2012-08-22 14:45 - 00000000 ____D C:\Users\Administrador\AppData\Local\{51DEC5AB-8AA4-4CC7-BD20-8482BF59AFE5}
      2012-08-22 00:12 - 2012-08-22 00:12 - 00000000 ____D C:\Users\Administrador\AppData\Local\{00F7C7BE-4C90-4B2C-9F31-871E1D6D9982}


      ==================== 3 Months Modified Files ==================

      2012-09-21 15:54 - 2011-09-20 23:50 - 01440681 ____A C:\Windows\WindowsUpdate.log
      2012-09-21 15:40 - 2011-10-28 00:10 - 00001050 ____A C:\Windows\Tasks\GoogleUpdateTaskMachineUA.job
      2012-09-21 15:40 - 2011-10-28 00:10 - 00001046 ____A C:\Windows\Tasks\GoogleUpdateTaskMachineCore.job
      2012-09-21 15:39 - 2009-07-14 05:45 - 00021680 ___AH C:\Windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-1.C7483456-A289-439d-8115-601632D005A0
      2012-09-21 15:39 - 2009-07-14 05:45 - 00021680 ___AH C:\Windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-0.C7483456-A289-439d-8115-601632D005A0
      2012-09-21 15:37 - 2011-04-12 10:10 - 00710060 ____A C:\Windows\System32\perfh00A.dat
      2012-09-21 15:37 - 2011-04-12 10:10 - 00140894 ____A C:\Windows\System32\perfc00A.dat
      2012-09-21 15:37 - 2009-07-14 06:13 - 01574702 ____A C:\Windows\System32\PerfStringBackup.INI
      2012-09-21 15:32 - 2011-09-20 23:44 - 00118664 ____A C:\Users\Administrador\AppData\Local\GDIPFONTCACHEV1.DAT
      2012-09-21 15:32 - 2009-07-14 06:08 - 00000006 ___AH C:\Windows\Tasks\SA.DAT
      2012-09-21 15:32 - 2009-07-14 05:51 - 00056618 ____A C:\Windows\setupact.log
      2012-09-21 00:03 - 2012-08-29 16:40 - 03918336 ____A C:\Users\Administrador\Desktop\TXT LIV SEP.xls
      2012-09-20 23:48 - 2012-01-07 00:18 - 04319232 ____A C:\Users\Administrador\Desktop\ESTATUS DICANCO 2008.xls
      2012-09-20 21:17 - 2012-08-31 22:31 - 00205824 ____A C:\Users\Administrador\Desktop\PEDIDOS SEPTIEMBRE.xls
      2012-09-20 19:39 - 2012-05-11 22:46 - 00026624 ____A C:\Users\Administrador\Desktop\QUERY.xls
      2012-09-19 21:56 - 2010-11-21 04:47 - 00350510 ____A C:\Windows\PFRO.log
      2012-09-19 19:47 - 2012-09-14 23:47 - 00034816 ____A C:\Users\Administrador\Desktop\CARGA RETAIL 1409.xls
      2012-09-19 19:34 - 2012-09-19 19:34 - 00001109 ____A C:\Users\Public\Desktop\Malwarebytes Anti-Malware.lnk
      2012-09-19 19:08 - 2009-07-14 03:34 - 00000215 ____A C:\Windows\system.ini
      2012-09-19 18:36 - 2012-09-19 18:47 - 04752754 ___RA (Swearware) C:\Users\Administrator\Desktop\ComboFix.exe
      2012-09-19 15:09 - 2012-09-10 23:32 - 00441856 ____A C:\Users\Administrador\Desktop\tiendas women Liverpool.xls
      2012-09-19 01:28 - 2012-02-23 02:23 - 00000235 ____A C:\LIST3.txt
      2012-09-18 23:53 - 2012-09-18 23:53 - 00000000 ____A C:\Windows\SysWOW64\config.nt
      2012-09-18 23:51 - 2012-09-18 23:50 - 93654616 ____A C:\Users\Administrator\Downloads\avast_free_antivirus_setup.exe
      2012-09-18 23:51 - 2011-09-20 23:36 - 00001912 ____A C:\Windows\epplauncher.mif
      2012-09-18 23:44 - 2012-09-18 23:44 - 00328704 ____A (Microsoft Corporation) C:\Windows\System32\services.exe.E97FEDD4F6736955
      2012-09-18 23:39 - 2012-05-07 23:22 - 00696240 ____A (Adobe Systems Incorporated) C:\Windows\SysWOW64\FlashPlayerApp.exe
      2012-09-18 23:39 - 2012-02-21 19:26 - 00000656 _RASH C:\Users\Administrator\ntuser.pol
      2012-09-18 23:39 - 2011-09-20 23:37 - 00073136 ____A (Adobe Systems Incorporated) C:\Windows\SysWOW64\FlashPlayerCPLApp.cpl
      2012-09-18 23:38 - 2011-09-20 23:35 - 01603270 ____A C:\Windows\SysWOW64\PerfStringBackup.INI
      2012-09-18 22:48 - 2012-09-14 15:07 - 00035328 ____A C:\Users\Administrador\Desktop\RETAIL SEP 3.xls
      2012-09-18 15:23 - 2012-09-17 16:31 - 00116224 ____A C:\Users\Administrador\Desktop\RETAIL AEROSOL URGENTE.xls
      2012-09-15 02:13 - 2012-02-23 02:22 - 00000525 ____A C:\LIST.txt
      2012-09-14 22:23 - 2012-09-13 17:23 - 01607168 ____A C:\Users\Administrador\Desktop\TXT LIV LUNES DAMAS.xls
      2012-09-14 19:09 - 2012-09-05 23:55 - 00315904 ____A C:\Users\Administrador\Desktop\RETAIL SEP. parte 2.xls
      2012-09-14 17:12 - 2012-08-31 20:47 - 00448512 ____A C:\Users\Administrador\Desktop\RETAIL SEP.xls
      2012-09-13 18:49 - 2012-09-11 20:34 - 00123904 ____A C:\Users\Administrador\Desktop\txt liv men 1409.xls
      2012-09-12 17:34 - 2012-09-12 17:34 - 00390144 ____N C:\Users\Administrador\Desktop\Actualizacion Fall12 Tommy Sept 05.xls
      2012-09-12 16:55 - 2012-09-12 16:55 - 00383488 ____A C:\Users\Administrador\Desktop\BASECO SEP.xls
      2012-09-07 23:04 - 2012-09-19 19:34 - 00025928 ____A (Malwarebytes Corporation) C:\Windows\System32\Drivers\mbam.sys
      2012-09-07 00:03 - 2012-09-06 14:47 - 00322048 ____A C:\Users\Administrador\Desktop\TXT LIV KIDS SEP.xls
      2012-09-05 16:59 - 2012-09-03 20:37 - 01960960 ____A C:\Users\Administrador\Desktop\txt aerosoles.xls
      2012-09-05 14:46 - 2009-07-14 06:08 - 00032636 ____A C:\Windows\Tasks\SCHEDLGU.TXT
      2012-09-03 19:39 - 2012-08-16 19:47 - 00678400 ____A C:\Users\Administrador\Desktop\PEDIDOS RESTO AGOSTO.xls
      2012-08-31 18:30 - 2012-03-29 00:40 - 00055808 ____A C:\Users\Administrador\Desktop\exp arribados.xls
      2012-08-29 14:53 - 2012-08-29 14:53 - 00083390 ____A C:\Users\Administrador\Documents\firma 1.pptx
      2012-08-21 10:13 - 2012-09-18 23:53 - 00969200 ____A (AVAST Software) C:\Windows\System32\Drivers\aswSnx.sys
      2012-08-21 10:13 - 2012-09-18 23:53 - 00359464 ____A (AVAST Software) C:\Windows\System32\Drivers\aswSP.sys
      2012-08-21 10:13 - 2012-09-18 23:53 - 00071600 ____A (AVAST Software) C:\Windows\System32\Drivers\aswMonFlt.sys
      2012-08-21 10:13 - 2012-09-18 23:53 - 00059728 ____A (AVAST Software) C:\Windows\System32\Drivers\aswTdi.sys
      2012-08-21 10:13 - 2012-09-18 23:53 - 00054072 ____A (AVAST Software) C:\Windows\System32\Drivers\aswRdr2.sys
      2012-08-21 10:13 - 2012-09-18 23:53 - 00025232 ____A (AVAST Software) C:\Windows\System32\Drivers\aswFsBlk.sys
      2012-08-21 10:12 - 2012-09-18 23:53 - 00285328 ____A (AVAST Software) C:\Windows\System32\aswBoot.exe
      2012-08-21 10:12 - 2012-09-18 23:52 - 00227648 ____A (AVAST Software) C:\Windows\SysWOW64\aswBoot.exe
      2012-08-21 10:12 - 2012-09-18 23:52 - 00041224 ____A (AVAST Software) C:\Windows\avastSS.scr
      2012-07-06 15:52 - 2011-11-10 18:30 - 00013798 ____A C:\Users\Administrador\Desktop\bart .btw
      2012-06-29 20:56 - 2012-06-29 20:29 - 00040448 ____A C:\Users\Administrador\Documents\DIRECTORIO.xls
      2012-06-29 18:47 - 2012-05-31 16:48 - 00043008 ____A C:\Users\Administrador\Documents\PAPELERIA2.xls


      ZeroAccess:
      C:\Windows\Installer\{e8cad60d-dfe6-438b-8ff8-c45f9fad880d}
      C:\Windows\Installer\{e8cad60d-dfe6-438b-8ff8-c45f9fad880d}\L
      C:\Windows\Installer\{e8cad60d-dfe6-438b-8ff8-c45f9fad880d}\U

      ZeroAccess:
      C:\Users\Administrador\AppData\Local\{e8cad60d-dfe6-438b-8ff8-c45f9fad880d}
      C:\Users\Administrador\AppData\Local\{e8cad60d-dfe6-438b-8ff8-c45f9fad880d}\@
      C:\Users\Administrador\AppData\Local\{e8cad60d-dfe6-438b-8ff8-c45f9fad880d}\L
      C:\Users\Administrador\AppData\Local\{e8cad60d-dfe6-438b-8ff8-c45f9fad880d}\U

      ==================== Known DLLs (Whitelisted) =================


      ==================== Bamital & volsnap Check =================

      C:\Windows\System32\winlogon.exe => MD5 is legit
      C:\Windows\System32\wininit.exe => MD5 is legit
      C:\Windows\SysWOW64\wininit.exe => MD5 is legit
      C:\Windows\explorer.exe => MD5 is legit
      C:\Windows\SysWOW64\explorer.exe => MD5 is legit
      C:\Windows\System32\svchost.exe => MD5 is legit
      C:\Windows\SysWOW64\svchost.exe => MD5 is legit
      C:\Windows\System32\services.exe => MD5 is legit
      C:\Windows\System32\User32.dll => MD5 is legit
      C:\Windows\SysWOW64\User32.dll => MD5 is legit
      C:\Windows\System32\userinit.exe => MD5 is legit
      C:\Windows\SysWOW64\userinit.exe => MD5 is legit
      C:\Windows\System32\Drivers\volsnap.sys => MD5 is legit


      testsigning: ==> Check for possible unsigned rootkit driver <===== ATTENTION!

      ==================== EXE ASSOCIATION =====================

      HKLM\...\.exe: exefile => OK
      HKLM\...\exefile\DefaultIcon: %1 => OK
      HKLM\...\exefile\open\command: "%1" %* => OK

      ==================== Restore Points =========================

      Restore point made on: 2012-09-19 22:31:11

      ==================== Memory info ===========================

      Percentage of memory in use: 16%
      Total physical RAM: 3583.24 MB
      Available physical RAM: 2979.85 MB
      Total Pagefile: 3581.44 MB
      Available Pagefile: 2964.83 MB
      Total Virtual: 8192 MB
      Available Virtual: 8191.9 MB

      ==================== Partitions =============================

      1 Drive c: () (Fixed) (Total:465.66 GB) (Free:427.74 GB) NTFS
      3 Drive f: (GEORGE USB) (Removable) (Total:0.94 GB) (Free:0.93 GB) FAT32
      5 Drive x: (Boot) (Fixed) (Total:0.03 GB) (Free:0.03 GB) NTFS
      6 Drive y: (Reservado para el sistema) (Fixed) (Total:0.1 GB) (Free:0.07 GB) NTFS ==>[System with boot components (obtained from reading drive)]

      N£m Disco Estado Tama¤o Disp Din Gpt
      ---------- ---------- ------- ------- --- ---
      Disco 0 En l¡nea 465 GB 0 B
      Disco 1 En l¡nea 971 MB 0 B
      Disco 2 No hay med 0 B 0 B

      Partitions of Disk 0:
      ===============

      N£m Partici¢n Tipo Tama¤o Desplazamiento
      ------------- ---------------- ------- ---------------
      Partici¢n 1 Principal 100 MB 1024 KB
      Partici¢n 2 Principal 465 GB 101 MB

      ==================================================================================

      Disk: 0
      Partici¢n 1
      Tipo : 07
      Oculta : No
      Activa : S¡

      N£m Volumen Ltr Etiqueta Fs Tipo Tama¤o Estado Info
      ----------- --- ----------- ----- ---------- ------- --------- --------
      * Volumen 1 Y Reservado NTFS Partici¢n 100 MB Correcto

      =========================================================

      Disk: 0
      Partici¢n 2
      Tipo : 07
      Oculta : No
      Activa : No

      N£m Volumen Ltr Etiqueta Fs Tipo Tama¤o Estado Info
      ----------- --- ----------- ----- ---------- ------- --------- --------
      * Volumen 2 C NTFS Partici¢n 465 GB Correcto

      =========================================================

      Partitions of Disk 1:
      ===============

      N£m Partici¢n Tipo Tama¤o Desplazamiento
      ------------- ---------------- ------- ---------------
      Partici¢n 1 Principal 971 MB 16 KB

      ==================================================================================

      Disk: 1
      Partici¢n 1
      Tipo : 0B
      Oculta : No
      Activa : S¡

      N£m Volumen Ltr Etiqueta Fs Tipo Tama¤o Estado Info
      ----------- --- ----------- ----- ---------- ------- --------- --------
      * Volumen 3 F GEORGE USB FAT32 Extra¡ble 971 MB Correcto

      =========================================================

      Last Boot: 2012-09-17 19:33

      ==================== End Of Log =============================


      SAludos

    6. #6
      Ex-Colaboradora Avatar de @SanMar
      Registrado
      jun 2008
      Ubicación
      Argentina
      Mensajes
      22.290

      Re: Virus Virus 0i763f66bz.exe and Trojan WIN64/Necrus.a

      Hola ironman27


      Realiza lo siguiente:

      Paso 1.-: En el equipo limpio:

      Inicio >>> Ejecutar >>>Escribes notepad.exe.

      Ahora copia y pega estos archivos dentro del Notepad: (Se excluye la palabra código)

      Código:
      start
      0 a81c7d9e27d541c; C:\Windows\System32\Drivers\a81c7d9e27d541c.sys [74184 2012-06-23] () ATTENTION =====> Rootkit?
      C:\Windows\System32\Drivers\a81c7d9e27d541c.sys
      2012-09-18 23:44 - 2012-09-18 23:44 - 00328704 ____A (Microsoft Corporation) C:\Windows\System32\services.exe.E97FEDD4F6736955
      2012-09-18 23:44 - 2012-09-18 23:44 - 00328704 ____A (Microsoft Corporation) C:\Windows\System32\services.exe.E97FEDD4F6736955
      C:\Windows\Installer\{e8cad60d-dfe6-438b-8ff8-c45f9fad880d}
      C:\Users\Administrador\AppData\Local\{e8cad60d-dfe6-438b-8ff8-c45f9fad880d}
      testsigning: ==> Check for possible unsigned rootkit driver <===== ATTENTION!
      
      end
      Lo guardas bajo el nombre de fixlist.txt en la misma USB donde se encuentra frst64.exe.. <<< Esto es muy importante.


      Paso 2.-: En el equipo infectado:

      • Inicia nuevamente las opciones de Recuperación del Sistema hasta seleccionar Símbolo del Sistema.
      • Una vez dentro de la Ventana de Comandos escribe tal cual x:frst64.exe donde x debe ser reemplazada por la letra de Tu unidad Usb.
      • Presionas Enter.


      Deberás ver algo similar a lo que muestra la imagen:



      Se abrirá la ventana del programa:


      • Presionas una sola vez el botón Fix y esperas a que termine.
      • Se guardara un reporte en tu unidad Usb llamado (Fixlog.txt) que pegaras en tu próxima respuesta.
      • Cierras la ventana del programa si quedo abierta.
      • En la Consola escribes tal cual : shutdown /r esto reiniciara el equipo y deberías poder entrar en modo normal.



      Paso 3.-: Inmediatamente sigues con lo siguiente:




      Botón Derecho sobre el ejecutable de ComboFix en tu escritorio>>> eliminar>>> vaciás la papelera.


      Vuelves a descargarlo y a correrlo de la siguiente manera:



      - Descarga la herramienta ComboFix.exe y guárdala en el escritorio.
      • Desactiva temporalmente el Antivirus y/o Antispyware.
      • Cierra todas las ventanas abiertas.
      • Hacele doble clic al archivo ComboFix.exe y seguí las instrucciones.
      • Si te pide actualizar Aceptas.
      • Cuando termine, generara un registro en C:\ComboFix.txt.
        • *Nota* Mientras CF este trabajando no mover el mouse ya que pararía su proceso.
        • *Nota* ComboFix puede reiniciar automáticamente el PC para completar el proceso de eliminación.
      Atención!! No use ComboFix a menos que se le haya indicado específicamente en su mensaje por un integrante de nuestro Staff. Es una herramienta de gran alcance destinada por su creador a ser usada bajo la orientación y supervisión de un experto, no para uso privado. El uso de ComboFix incorrectamente podría generar problemas en su sistema. Por favor, lea las "Negaciones de la Garantía" de ComboFix.
      • Reinicia y pega el reporte de C:\ComboFix.txt en este mismo mensaje.



      No olvides comentar como sigue el equipo.


      Salu2.

      * Síguenos en nuestro Twitter y hazte nuestro amigo en Facebook.
      * Infórmate de las ultimas amenazas de la red desde: InfoSpyware Blog
      * No se resuelven dudas por Privados ni por E-mail, ya que para eso esta el foro.

    7. #7
      Usuario Avatar de ironman27
      Registrado
      sep 2012
      Ubicación
      Canada
      Mensajes
      4

      Bien Re: Virus Virus 0i763f66bz.exe and Trojan WIN64/Necrus.a

      Hola SAnMar;

      Muchas gracias por la ayuda, por ahora he ejecutado el FIx, y aqui el resultado

      Fix result of Farbar Recovery Tool (FRST written by Farbar) (x64) Version: 20-09-2012
      Ran by SYSTEM at 2012-09-24 11:36:56 Run:1
      Running from F:\

      ==============================================

      a81c7d9e27d541c service deleted successfully.
      C:\Windows\System32\Drivers\a81c7d9e27d541c.sys moved successfully.
      C:\Windows\System32\services.exe.E97FEDD4F6736955 moved successfully.
      C:\Windows\System32\services.exe.E97FEDD4F6736955 not found.
      C:\Windows\Installer\{e8cad60d-dfe6-438b-8ff8-c45f9fad880d} moved successfully.
      C:\Users\Administrador\AppData\Local\{e8cad60d-dfe6-438b-8ff8-c45f9fad880d} moved successfully.

      La operaci¢n se complet¢ correctamente.

      ==== End of Fixlog ====

      YA SE BORRó EL ARCHIVO!!!

      AQUI EL RESULTADO DE COMBOFIX

      ComboFix 12-09-24.02 - Administrador 24/09/2012 13:05:34.2.4 - x64
      Microsoft Windows 7 Professional 6.1.7601.1.1252.52.3082.18.3583.2125 [GMT -5:00]
      Running from: c:\users\Administrator\Desktop\ComboFix.exe
      AV: Microsoft Security Essentials *Disabled/Updated* {9765EA51-0D3C-7DFB-6091-10E4E1F341F6}
      SP: Microsoft Security Essentials *Disabled/Updated* {2C040BB5-2B06-7275-5A21-2B969A740B4B}
      SP: Windows Defender *Disabled/Outdated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
      * Created a new restore point
      .
      .
      ((((((((((((((((((((((((( Files Created from 2012-08-24 to 2012-09-24 )))))))))))))))))))))))))))))))
      .
      .
      2012-09-24 18:09 . 2012-09-24 18:09 -------- d-----w- c:\users\Propietario\AppData\Local\temp
      2012-09-24 18:09 . 2012-09-24 18:09 -------- d-----w- c:\users\Etiquetas\AppData\Local\temp
      2012-09-24 18:09 . 2012-09-24 18:09 -------- d-----w- c:\users\Default\AppData\Local\temp
      2012-09-24 18:09 . 2012-09-24 18:09 -------- d-----w- c:\users\Administrator\AppData\Local\temp
      2012-09-24 17:02 . 2012-08-24 10:24 499200 ----a-w- c:\program files\Internet Explorer\jsdbgui.dll
      2012-09-24 17:02 . 2012-08-24 10:14 816640 ----a-w- c:\windows\system32\jscript.dll
      2012-09-24 17:02 . 2012-08-24 10:12 2144768 ----a-w- c:\windows\system32\iertutil.dll
      2012-09-24 17:02 . 2012-08-24 06:52 387584 ----a-w- c:\program files (x86)\Internet Explorer\jsdbgui.dll
      2012-09-24 17:02 . 2012-08-24 10:25 887296 ----a-w- c:\program files\Internet Explorer\iedvtool.dll
      2012-09-24 17:02 . 2012-08-24 06:53 678912 ----a-w- c:\program files (x86)\Internet Explorer\iedvtool.dll
      2012-09-24 17:02 . 2012-08-24 11:15 17810944 ----a-w- c:\windows\system32\mshtml.dll
      2012-09-24 17:02 . 2012-08-24 10:39 10925568 ----a-w- c:\windows\system32\ieframe.dll
      2012-09-24 16:48 . 2012-09-24 16:48 927800 ----a-w- c:\programdata\Microsoft\Microsoft Antimalware\Definition Updates\{5352E28F-3CF4-4B44-BDB1-013415A9D636}\gapaengine.dll
      2012-09-24 16:48 . 2012-08-30 05:27 9308616 ----a-w- c:\programdata\Microsoft\Microsoft Antimalware\Definition Updates\{0D12F23F-A16E-4D5E-BA5A-74201CABFC5D}\mpengine.dll
      2012-09-21 09:05 . 2012-09-21 09:05 -------- d-----w- C:\FRST
      2012-09-20 18:08 . 2012-09-20 18:08 -------- d-----w- c:\users\Administrador\AppData\Roaming\Panda Security
      2012-09-20 18:07 . 2012-09-20 18:07 -------- d-----w- c:\programdata\Panda Security
      2012-09-20 18:07 . 2012-09-20 18:07 -------- d-----w- c:\program files (x86)\Panda Security
      2012-09-19 21:36 . 2012-09-24 16:45 -------- d-----w- c:\program files (x86)\Microsoft Security Client
      2012-09-19 21:35 . 2012-09-24 16:45 -------- d-----w- c:\program files\Microsoft Security Client
      2012-09-19 20:58 . 2012-09-19 20:58 -------- d-----w- c:\users\Administrator\AppData\Roaming\Malwarebytes
      2012-09-19 18:34 . 2012-09-19 18:34 -------- d-----w- c:\users\Administrador\AppData\Roaming\Malwarebytes
      2012-09-19 18:34 . 2012-09-19 18:34 -------- d-----w- c:\programdata\Malwarebytes
      2012-09-19 18:34 . 2012-09-19 18:34 -------- d-----w- c:\program files (x86)\Malwarebytes' Anti-Malware
      2012-09-19 18:34 . 2012-09-07 22:04 25928 ----a-w- c:\windows\system32\drivers\mbam.sys
      2012-09-19 18:13 . 2012-09-24 18:09 -------- d-----w- c:\users\Administrador\AppData\Local\temp
      2012-09-18 22:59 . 2012-09-18 22:59 -------- d-----w- c:\users\Administrator\AppData\Roaming\DAEMON Tools Lite
      2012-09-18 22:53 . 2012-08-21 09:12 285328 ----a-w- c:\windows\system32\aswBoot.exe
      2012-09-18 22:52 . 2012-09-24 16:44 -------- d-----w- c:\programdata\AVAST Software
      2012-09-18 22:52 . 2012-09-21 08:30 -------- d-----w- c:\program files\AVAST Software
      2012-08-27 20:22 . 2012-09-24 18:02 -------- d-----w- c:\users\Administrador\AppData\Roaming\BrowserCompanion
      2012-08-27 20:22 . 2012-09-02 14:24 -------- d-----w- c:\users\Administrador\AppData\Local\Smartbar
      .
      .
      .
      (((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
      .
      2012-09-18 22:39 . 2012-05-07 22:22 696240 ----a-w- c:\windows\SysWow64\FlashPlayerApp.exe
      2012-09-18 22:39 . 2011-09-20 22:37 73136 ----a-w- c:\windows\SysWow64\FlashPlayerCPLApp.cpl
      2012-08-31 05:43 . 2011-09-20 22:00 64462936 ----a-w- c:\windows\system32\MRT.exe
      .
      .
      ------- Sigcheck -------
      Note: Unsigned files aren't necessarily malware.
      .
      [-] 2010-11-21 . E589BCD6041786C5E38E2D223C24C193 . 680960 . . [6.1.7601.17514] .. c:\windows\winsxs\amd64_microsoft-windows-t..teconnectionmanager_31bf3856ad364e35_6.1.7601.17514_none_ecc547376ae3a1a3\termsrv.dll
      [-] 2010-11-21 . E589BCD6041786C5E38E2D223C24C193 . 680960 . . [6.1.7601.17514] .. c:\windows\system32\termsrv.dll
      .
      ((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
      .
      .
      *Note* empty entries & legit default entries are not shown
      REGEDIT4
      .
      [HKEY_LOCAL_MACHINE\Wow6432Node\~\Browser Helper Objects\{31ad400d-1b06-4e33-a59a-90c2c140cba0}]
      2010-11-21 03:24 297808 ----a-w- c:\windows\System32\mscoree.dll
      .
      [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
      "Skype"="c:\program files (x86)\Skype\Phone\Skype.exe" [2012-07-13 17418928]
      "Browser Infrastructure Helper"="c:\users\Administrador\AppData\Local\Smartbar\Application\Smartbar.exe" [2012-09-02 18800]
      .
      [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run]
      "StartCCC"="c:\program files (x86)\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2011-07-28 336384]
      "TkBellExe"="c:\program files (x86)\Real\RealPlayer\update\realsched.exe" [2011-10-27 273528]
      "Adobe ARM"="c:\program files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe" [2012-07-27 919008]
      "MessengerPlusForSkypeService"="c:\program files (x86)\Yuna Software\Messenger Plus! for Skype\MsgPlusForSkypeService.exe" [2012-01-22 124832]
      .
      c:\users\Administrador\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\
      tbhcn.lnk - c:\users\Administrador\AppData\Roaming\BrowserCompanion\tbhcn.exe [2012-7-24 698048]
      .
      c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\
      Microsoft Office.lnk - c:\program files (x86)\Office 2000\Office\OSA9.EXE [1999-2-17 65588]
      .
      [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
      "ConsentPromptBehaviorAdmin"= 0 (0x0)
      "ConsentPromptBehaviorUser"= 3 (0x3)
      "EnableLUA"= 0 (0x0)
      "EnableUIADesktopToggle"= 0 (0x0)
      "PromptOnSecureDesktop"= 0 (0x0)
      .
      [HKEY_LOCAL_MACHINE\software\wow6432node\microsoft\windows nt\currentversion\drivers32]
      "aux1"=wdmaud.drv
      .
      [HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]
      Security Packages REG_MULTI_SZ kerberos msv1_0 schannel wdigest tspkg pku2u livessp
      .
      [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\MsMpSvc]
      @="Service"
      .
      R2 clr_optimization_v4.0.30319_64;Microsoft .NET Framework NGEN v4.0.30319_X64;c:\windows\Microsoft.NET\Framework64\v4.0.30319\mscorsvw.exe [2010-03-18 138576]
      R2 gupdate;Servicio de actualización de Google (gupdate);c:\program files (x86)\Google\Update\GoogleUpdate.exe [2011-10-27 136176]
      R2 KMService;KMService;c:\windows\system32\srvany.exe [x]
      R2 nlsX86cc;Nalpeiron Licensing Service;c:\windows\SysWOW64\nlssrv32.exe [x]
      R2 Skype C2C Service;Skype C2C Service;c:\programdata\Skype\Toolbars\Skype C2C Service\c2c_service.exe [2012-08-13 3064000]
      R2 SkypeUpdate;Skype Updater;c:\program files (x86)\Skype\Updater\Updater.exe [2012-07-13 160944]
      R3 AtiDCM;AtiDCM;c:\users\Administrator\AppData\Local\Temp\atdcm64a.sys [x]
      R3 dmvsc;dmvsc;c:\windows\system32\drivers\dmvsc.sys [2010-11-21 71168]
      R3 DrvAgent64;DrvAgent64;c:\windows\SysWOW64\Drivers\DrvAgent64.SYS [x]
      R3 gupdatem;Google Update Servicio (gupdatem);c:\program files (x86)\Google\Update\GoogleUpdate.exe [2011-10-27 136176]
      R3 Microsoft SharePoint Workspace Audit Service;Microsoft SharePoint Workspace Audit Service;c:\program files\Microsoft Office\Office14\GROOVE.EXE [2011-06-12 51740536]
      R3 NisDrv;Microsoft Network Inspection System;c:\windows\system32\DRIVERS\NisDrvWFP.sys [2012-03-21 98688]
      R3 NisSrv;Inspección de red de Microsoft;c:\program files\Microsoft Security Client\NisSrv.exe [2012-03-26 291696]
      R3 ose64;Office 64 Source Engine;c:\program files\Common Files\Microsoft Shared\Source Engine\OSE.EXE [2010-01-10 174440]
      R3 TsUsbFlt;TsUsbFlt;c:\windows\system32\drivers\tsusbflt.sys [2010-11-21 59392]
      R3 TsUsbGD;Remote Desktop Generic USB Device;c:\windows\system32\drivers\TsUsbGD.sys [2010-11-21 31232]
      R4 wlcrasvc;Windows Live Mesh remote connections service;c:\program files\Windows Live\Mesh\wlcrasvc.exe [2010-09-22 57184]
      S0 amdide64;amdide64;c:\windows\system32\DRIVERS\amdide64.sys [2010-06-30 11832]
      S0 nvamacpi;NVIDIA Away Mode System;c:\windows\system32\DRIVERS\NVAMACPI.sys [2009-11-24 28264]
      S2 AdobeARMservice;Adobe Acrobat Update Service;c:\program files (x86)\Common Files\Adobe\ARM\1.0\armsvc.exe [2012-07-27 63960]
      S2 AMD External Events Utility;AMD External Events Utility;c:\windows\system32\atiesrxx.exe [2011-07-28 204288]
      S2 AMD FUEL Service;AMD FUEL Service;c:\program files\ATI Technologies\ATI.ACE\Fuel\Fuel.Service.exe [2011-07-28 361984]
      S2 AODDriver4.01;AODDriver4.01;c:\program files\ATI Technologies\ATI.ACE\Fuel\amd64\AODDriver2.sys [2011-06-24 55424]
      S2 BarTender System Service;BarTender System Service;c:\program files (x86)\Seagull\BarTender Suite\System\BtSystem.Service.exe [2010-01-22 42392]
      S2 Commander Service;Commander Service;c:\program files (x86)\Seagull\BarTender Suite\BarTender\CmdrSrv.exe [2010-01-22 1992128]
      S2 Maestro;Printer Maestro;c:\program files (x86)\Seagull\BarTender Suite\Printer Maestro\Maestro.Service.exe [2010-01-22 239000]
      S2 MBAMScheduler;MBAMScheduler;c:\program files (x86)\Malwarebytes' Anti-Malware\mbamscheduler.exe [2012-09-07 399432]
      S2 MBAMService;MBAMService;c:\program files (x86)\Malwarebytes' Anti-Malware\mbamservice.exe [2012-09-07 676936]
      S2 MsgPlusService;Messenger Plus! Service;c:\program files (x86)\Yuna Software\Messenger Plus! for Skype\MsgPlusForSkypeService.exe [2012-01-22 124832]
      S3 amdiox64;AMD IO Driver;c:\windows\system32\DRIVERS\amdiox64.sys [2010-02-18 46136]
      S3 amdkmdag;amdkmdag;c:\windows\system32\DRIVERS\atikmdag.sys [2011-07-28 9980416]
      S3 amdkmdap;amdkmdap;c:\windows\system32\DRIVERS\atikmpag.sys [2011-07-28 309248]
      S3 AtiHDAudioService;AMD Function Driver for HD Audio Service;c:\windows\system32\drivers\AtihdW76.sys [2011-06-06 231440]
      S3 MBAMProtector;MBAMProtector;c:\windows\system32\drivers\mbam.sys [2012-09-07 25928]
      S3 osppsvc;Office Software Protection Platform;c:\program files\Common Files\Microsoft Shared\OfficeSoftwareProtectionPlatform\OSPPSVC.EXE [2010-01-10 4925184]
      S3 RTL8167;Realtek 8167 NT Driver;c:\windows\system32\DRIVERS\Rt64win7.sys [2011-08-24 565352]
      .
      .
      Contents of the 'Scheduled Tasks' folder
      .
      2012-09-24 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
      - c:\program files (x86)\Google\Update\GoogleUpdate.exe [2011-10-27 23:10]
      .
      2012-09-24 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
      - c:\program files (x86)\Google\Update\GoogleUpdate.exe [2011-10-27 23:10]
      .
      .
      --------- X64 Entries -----------
      .
      .
      [HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{31ad400d-1b06-4e33-a59a-90c2c140cba0}]
      2010-11-21 03:23 444752 ----a-w- c:\windows\System32\mscoree.dll
      .
      [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
      "RtHDVCpl"="c:\program files\Realtek\Audio\HDA\RAVCpl64.exe" [2011-07-07 12558440]
      "BCSSync"="c:\program files\Microsoft Office\Office14\BCSSync.exe" [2010-03-13 112512]
      "MSC"="c:\program files\Microsoft Security Client\msseces.exe" [2012-03-26 1271168]
      .
      ------- Supplementary Scan -------
      .
      uLocal Page = c:\windows\system32\blank.htm
      uStart Page = hxxp://feed.plusnetwork.com/?publisher=MessengerPlus&dpid=MessengerPlus&co=MX&userid=6baf9e71-2070-42fc-93d5-79770b08f17f&sp=hp&searchtype=hp&t=a0902
      mLocal Page = c:\windows\SysWOW64\blank.htm
      uSearchAssistant = hxxp://feed.plusnetwork.com/?publisher=MessengerPlus&dpid=MessengerPlus&co=MX&userid=6baf9e71-2070-42fc-93d5-79770b08f17f&sp=addr&q={searchTerms}&t=a0902
      IE: &Enviar a OneNote - c:\progra~1\MICROS~1\Office14\ONBttnIE.dll/105
      IE: Buscar en la web - c:\program files (x86)\SweetIM\Toolbars\Internet Explorer\resources\menuext.html
      IE: E&xportar a Microsoft Excel - c:\progra~1\MICROS~1\Office14\EXCEL.EXE/3000
      FF - ProfilePath - c:\users\Administrador\AppData\Roaming\Mozilla\Firefox\Profiles\fki43kcc.default\
      FF - prefs.js: browser.startup.homepage - hxxp://feed.plusnetwork.com/?publisher=MessengerPlus&dpid=MessengerPlus&co=MX&userid=6baf9e71-2070-42fc-93d5-79770b08f17f&sp=hp&searchtype=hp&t=a0902
      FF - prefs.js: browser.search.selectedEngine - Messenger Plus Smartbar Search
      FF - prefs.js: keyword.URL - hxxp://feed.plusnetwork.com/?publisher=MessengerPlus&dpid=MessengerPlus&co=MX&userid=6baf9e71-2070-42fc-93d5-79770b08f17f&sp=faddr&t=a0902&q=
      .
      - - - - ORPHANS REMOVED - - - -
      .
      Wow6432Node-HKCU-Run-DAEMON Tools Lite - c:\program files (x86)\DAEMON Tools Lite\DTLite.exe
      WebBrowser-{D4027C7F-154A-4066-A1AD-4243D8127440} - (no file)
      WebBrowser-{977AE9CC-AF83-45E8-9E03-E2798216E2D5} - (no file)
      WebBrowser-{5AAF65E2-643B-4D18-A977-B28165C54949} - (no file)
      WebBrowser-{EEE6C35B-6118-11DC-9C72-001320C79847} - (no file)
      WebBrowser-{30F9B915-B755-4826-820B-08FBA6BD249D} - (no file)
      AddRemove-BrowserCompanion - c:\program files (x86)\BrowserCompanion\uninstall.exe
      .
      .
      .
      --------------------- LOCKED REGISTRY KEYS ---------------------
      .
      [HKEY_USERS\S-1-5-21-325022496-2994960769-1985707073-500\Software\Microsoft\Internet Explorer\Approved Extensions]
      @Denied: (2) (Administrator)
      "{2A541AE1-5BF6-4665-A8A3-CFA9672E4291}"=hex:51,66,7a,6c,4c,1d,3b,1b,f1,07,44,
      36,c1,0a,08,0f,bd,ae,90,f6,6e,64,03,84
      "{18DF081C-E8AD-4283-A596-FA578C2EBDC3}"=hex:51,66,7a,6c,4c,1d,3b,1b,0c,15,cf,
      04,9a,b9,ee,0b,b0,9b,a5,08,85,64,fc,d6
      "{3049C3E9-B461-4BC5-8870-4C09146192CA}"=hex:51,66,7a,6c,4c,1d,3b,1b,f9,de,59,
      2c,56,e5,a8,02,9d,7d,13,56,1d,2b,d3,df
      "{72853161-30C5-4D22-B7F9-0BBC1D38A37E}"=hex:51,66,7a,6c,4c,1d,3b,1b,71,2c,95,
      6e,f2,61,4f,04,a2,f4,54,e3,14,72,e2,6b
      "{9030D464-4C02-4ABF-8ECC-5164760863C6}"=hex:51,66,7a,6c,4c,1d,3b,1b,74,c9,20,
      8c,35,1d,d2,03,9b,c1,0e,3b,7f,42,22,d3
      "{AE805869-2E5C-4ED4-8F7B-F1F7851A4497}"=hex:51,66,7a,6c,4c,1d,3b,1b,79,45,90,
      b2,6b,7f,b9,07,9a,76,ae,a8,8c,50,05,82
      "{B4F3A835-0E21-4959-BA22-42B3008E02FF}"=hex:51,66,7a,6c,4c,1d,3b,1b,25,b5,e3,
      a8,16,5f,34,00,af,2f,1d,ec,09,c4,43,ea
      "{DBC80044-A445-435B-BC74-9C25C1C588A9}"=hex:51,66,7a,6c,4c,1d,3b,1b,54,1d,d8,
      c7,72,f5,36,0a,a9,79,c3,7a,c8,8f,c9,bc
      "{9FDDE16B-836F-4806-AB1F-1455CBEFF289}"=hex:51,66,7a,6c,4c,1d,3b,1b,7b,fc,cd,
      83,58,d2,6b,01,be,12,4b,0a,c2,a5,b3,9c
      "{963B125B-8B21-49A2-A3A8-E37092276531}"=hex:51,66,7a,6c,4c,1d,3b,1b,4b,0f,2b,
      8a,16,da,cf,00,b6,a5,bc,2f,9b,6d,24,24
      .
      [HKEY_USERS\S-1-5-21-325022496-2994960769-1985707073-500\Software\Microsoft\Internet Explorer\ApprovedExtensionsMigration]
      @Denied: (2) (Administrator)
      "{AE07101B-46D4-4A98-AF68-0333EA26E113}"=""
      "Timestamp"=hex:9b,f2,71,df,e1,89,cd,01
      .
      [HKEY_USERS\S-1-5-21-325022496-2994960769-1985707073-500\Software\Microsoft\Internet Explorer\User Preferences]
      @Denied: (2) (Administrator)
      "88D7D0879DAB32E14DE5B3A805A34F98AFF34F5977"=hex:01,00,00,00,d0,8c,9d,df,01,15,
      d1,11,8c,7a,00,c0,4f,c2,97,eb,01,00,00,00,f0,0f,91,c1,f7,9d,d1,43,b2,87,ea,\
      "2D53CFFC5C1A3DD2E97B7979AC2A92BD59BC839E81"=hex:01,00,00,00,d0,8c,9d,df,01,15,
      d1,11,8c,7a,00,c0,4f,c2,97,eb,01,00,00,00,f0,0f,91,c1,f7,9d,d1,43,b2,87,ea,\
      .
      [HKEY_USERS\S-1-5-21-325022496-2994960769-1985707073-500\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.3g2\UserChoice]
      @Denied: (2) (Administrator)
      "Progid"="WMP11.AssocFile.3G2"
      .
      [HKEY_USERS\S-1-5-21-325022496-2994960769-1985707073-500\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.3gp\UserChoice]
      @Denied: (2) (Administrator)
      "Progid"="WMP11.AssocFile.3GP"
      .
      [HKEY_USERS\S-1-5-21-325022496-2994960769-1985707073-500\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.3gp2\UserChoice]
      @Denied: (2) (Administrator)
      "Progid"="WMP11.AssocFile.3G2"
      .
      [HKEY_USERS\S-1-5-21-325022496-2994960769-1985707073-500\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.3gpp\UserChoice]
      @Denied: (2) (Administrator)
      "Progid"="WMP11.AssocFile.3GP"
      .
      [HKEY_USERS\S-1-5-21-325022496-2994960769-1985707073-500\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.AAC\UserChoice]
      @Denied: (2) (Administrator)
      "Progid"="WMP11.AssocFile.ADTS"
      .
      [HKEY_USERS\S-1-5-21-325022496-2994960769-1985707073-500\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.ADT\UserChoice]
      @Denied: (2) (Administrator)
      "Progid"="WMP11.AssocFile.ADTS"
      .
      [HKEY_USERS\S-1-5-21-325022496-2994960769-1985707073-500\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.ADTS\UserChoice]
      @Denied: (2) (Administrator)
      "Progid"="WMP11.AssocFile.ADTS"
      .
      [HKEY_USERS\S-1-5-21-325022496-2994960769-1985707073-500\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.aif\UserChoice]
      @Denied: (2) (Administrator)
      "Progid"="WMP11.AssocFile.AIFF"
      .
      [HKEY_USERS\S-1-5-21-325022496-2994960769-1985707073-500\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.aifc\UserChoice]
      @Denied: (2) (Administrator)
      "Progid"="WMP11.AssocFile.AIFF"
      .
      [HKEY_USERS\S-1-5-21-325022496-2994960769-1985707073-500\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.aiff\UserChoice]
      @Denied: (2) (Administrator)
      "Progid"="WMP11.AssocFile.AIFF"
      .
      [HKEY_USERS\S-1-5-21-325022496-2994960769-1985707073-500\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.asf\UserChoice]
      @Denied: (2) (Administrator)
      "Progid"="WMP11.AssocFile.ASF"
      .
      [HKEY_USERS\S-1-5-21-325022496-2994960769-1985707073-500\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.asx\UserChoice]
      @Denied: (2) (Administrator)
      "Progid"="WMP11.AssocFile.ASX"
      .
      [HKEY_USERS\S-1-5-21-325022496-2994960769-1985707073-500\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.au\UserChoice]
      @Denied: (2) (Administrator)
      "Progid"="WMP11.AssocFile.AU"
      .
      [HKEY_USERS\S-1-5-21-325022496-2994960769-1985707073-500\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.avi\UserChoice]
      @Denied: (2) (Administrator)
      "Progid"="WMP11.AssocFile.AVI"
      .
      [HKEY_USERS\S-1-5-21-325022496-2994960769-1985707073-500\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.cda\UserChoice]
      @Denied: (2) (Administrator)
      "Progid"="WMP11.AssocFile.CDA"
      .
      [HKEY_USERS\S-1-5-21-325022496-2994960769-1985707073-500\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.eml\UserChoice]
      @Denied: (2) (Administrator)
      "Progid"="Outlook.File.eml.14"
      .
      [HKEY_USERS\S-1-5-21-325022496-2994960769-1985707073-500\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.ETQ\UserChoice]
      @Denied: (2) (Administrator)
      "Progid"="Applications\\ZDARC.exe"
      .
      [HKEY_USERS\S-1-5-21-325022496-2994960769-1985707073-500\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.hol\UserChoice]
      @Denied: (2) (Administrator)
      "Progid"="Outlook.File.hol.14"
      .
      [HKEY_USERS\S-1-5-21-325022496-2994960769-1985707073-500\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.htm\UserChoice]
      @Denied: (2) (Administrator)
      "Progid"="IE.AssocFile.HTM"
      .
      [HKEY_USERS\S-1-5-21-325022496-2994960769-1985707073-500\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.html\UserChoice]
      @Denied: (2) (Administrator)
      "Progid"="IE.AssocFile.HTM"
      .
      [HKEY_USERS\S-1-5-21-325022496-2994960769-1985707073-500\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.ics\UserChoice]
      @Denied: (2) (Administrator)
      "Progid"="Outlook.File.ics.14"
      .
      [HKEY_USERS\S-1-5-21-325022496-2994960769-1985707073-500\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.inf\UserChoice]
      @Denied: (2) (Administrator)
      "Progid"="inffile"
      .
      [HKEY_USERS\S-1-5-21-325022496-2994960769-1985707073-500\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.m1v\UserChoice]
      @Denied: (2) (Administrator)
      "Progid"="WMP11.AssocFile.MPEG"
      .
      [HKEY_USERS\S-1-5-21-325022496-2994960769-1985707073-500\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.M2T\UserChoice]
      @Denied: (2) (Administrator)
      "Progid"="WMP11.AssocFile.M2TS"
      .
      [HKEY_USERS\S-1-5-21-325022496-2994960769-1985707073-500\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.M2TS\UserChoice]
      @Denied: (2) (Administrator)
      "Progid"="WMP11.AssocFile.M2TS"
      .
      [HKEY_USERS\S-1-5-21-325022496-2994960769-1985707073-500\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.M2V\UserChoice]
      @Denied: (2) (Administrator)
      "Progid"="WMP11.AssocFile.MPEG"
      .
      [HKEY_USERS\S-1-5-21-325022496-2994960769-1985707073-500\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.m3u\UserChoice]
      @Denied: (2) (Administrator)
      "Progid"="WMP11.AssocFile.m3u"
      .
      [HKEY_USERS\S-1-5-21-325022496-2994960769-1985707073-500\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.m4a\UserChoice]
      @Denied: (2) (Administrator)
      "Progid"="WMP11.AssocFile.M4A"
      .
      [HKEY_USERS\S-1-5-21-325022496-2994960769-1985707073-500\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.m4v\UserChoice]
      @Denied: (2) (Administrator)
      "Progid"="WMP11.AssocFile.MP4"
      .
      [HKEY_USERS\S-1-5-21-325022496-2994960769-1985707073-500\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.mht\UserChoice]
      @Denied: (2) (Administrator)
      "Progid"="IE.AssocFile.MHT"
      .
      [HKEY_USERS\S-1-5-21-325022496-2994960769-1985707073-500\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.mhtml\UserChoice]
      @Denied: (2) (Administrator)
      "Progid"="IE.AssocFile.MHT"
      .
      [HKEY_USERS\S-1-5-21-325022496-2994960769-1985707073-500\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.mid\UserChoice]
      @Denied: (2) (Administrator)
      "Progid"="WMP11.AssocFile.MIDI"
      .
      [HKEY_USERS\S-1-5-21-325022496-2994960769-1985707073-500\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.midi\UserChoice]
      @Denied: (2) (Administrator)
      "Progid"="WMP11.AssocFile.MIDI"
      .
      [HKEY_USERS\S-1-5-21-325022496-2994960769-1985707073-500\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.MOD\UserChoice]
      @Denied: (2) (Administrator)
      "Progid"="WMP11.AssocFile.MPEG"
      .
      [HKEY_USERS\S-1-5-21-325022496-2994960769-1985707073-500\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.mov\UserChoice]
      @Denied: (2) (Administrator)
      "Progid"="WMP11.AssocFile.MOV"
      .
      [HKEY_USERS\S-1-5-21-325022496-2994960769-1985707073-500\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.mp2\UserChoice]
      @Denied: (2) (Administrator)
      "Progid"="WMP11.AssocFile.MP3"
      .
      [HKEY_USERS\S-1-5-21-325022496-2994960769-1985707073-500\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.mp2v\UserChoice]
      @Denied: (2) (Administrator)
      "Progid"="WMP11.AssocFile.MPEG"
      .
      [HKEY_USERS\S-1-5-21-325022496-2994960769-1985707073-500\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.mp3\UserChoice]
      @Denied: (2) (Administrator)
      "Progid"="WMP11.AssocFile.MP3"
      .
      [HKEY_USERS\S-1-5-21-325022496-2994960769-1985707073-500\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.mp4\UserChoice]
      @Denied: (2) (Administrator)
      "Progid"="WMP11.AssocFile.MP4"
      .
      [HKEY_USERS\S-1-5-21-325022496-2994960769-1985707073-500\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.mp4v\UserChoice]
      @Denied: (2) (Administrator)
      "Progid"="WMP11.AssocFile.MP4"
      .
      [HKEY_USERS\S-1-5-21-325022496-2994960769-1985707073-500\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.mpa\UserChoice]
      @Denied: (2) (Administrator)
      "Progid"="WMP11.AssocFile.MPEG"
      .
      [HKEY_USERS\S-1-5-21-325022496-2994960769-1985707073-500\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.mpe\UserChoice]
      @Denied: (2) (Administrator)
      "Progid"="WMP11.AssocFile.MPEG"
      .
      [HKEY_USERS\S-1-5-21-325022496-2994960769-1985707073-500\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.mpeg\UserChoice]
      @Denied: (2) (Administrator)
      "Progid"="WMP11.AssocFile.MPEG"
      .
      [HKEY_USERS\S-1-5-21-325022496-2994960769-1985707073-500\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.mpg\UserChoice]
      @Denied: (2) (Administrator)
      "Progid"="WMP11.AssocFile.MPEG"
      .
      [HKEY_USERS\S-1-5-21-325022496-2994960769-1985707073-500\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.mpv2\UserChoice]
      @Denied: (2) (Administrator)
      "Progid"="WMP11.AssocFile.MPEG"
      .
      [HKEY_USERS\S-1-5-21-325022496-2994960769-1985707073-500\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.msg\UserChoice]
      @Denied: (2) (Administrator)
      "Progid"="Outlook.File.msg.14"
      .
      [HKEY_USERS\S-1-5-21-325022496-2994960769-1985707073-500\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.MTS\UserChoice]
      @Denied: (2) (Administrator)
      "Progid"="WMP11.AssocFile.M2TS"
      .
      [HKEY_USERS\S-1-5-21-325022496-2994960769-1985707073-500\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.oft\UserChoice]
      @Denied: (2) (Administrator)
      "Progid"="Outlook.File.oft.14"
      .
      [HKEY_USERS\S-1-5-21-325022496-2994960769-1985707073-500\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.partial\UserChoice]
      @Denied: (2) (Administrator)
      "Progid"="IE.AssocFile.PARTIAL"
      .
      [HKEY_USERS\S-1-5-21-325022496-2994960769-1985707073-500\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.pst\UserChoice]
      @Denied: (2) (Administrator)
      "Progid"="Outlook.File.pst.14"
      .
      [HKEY_USERS\S-1-5-21-325022496-2994960769-1985707073-500\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.rmi\UserChoice]
      @Denied: (2) (Administrator)
      "Progid"="WMP11.AssocFile.MIDI"
      .
      [HKEY_USERS\S-1-5-21-325022496-2994960769-1985707073-500\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.snd\UserChoice]
      @Denied: (2) (Administrator)
      "Progid"="WMP11.AssocFile.AU"
      .
      [HKEY_USERS\S-1-5-21-325022496-2994960769-1985707073-500\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.svg\UserChoice]
      @Denied: (2) (Administrator)
      "Progid"="IE.AssocFile.SVG"
      .
      [HKEY_USERS\S-1-5-21-325022496-2994960769-1985707073-500\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.sxc\UserChoice]
      @Denied: (2) (Administrator)
      "Progid"="Applications\\notepad.exe"
      .
      [HKEY_USERS\S-1-5-21-325022496-2994960769-1985707073-500\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.TS\UserChoice]
      @Denied: (2) (Administrator)
      "Progid"="WMP11.AssocFile.TTS"
      .
      [HKEY_USERS\S-1-5-21-325022496-2994960769-1985707073-500\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.TTS\UserChoice]
      @Denied: (2) (Administrator)
      "Progid"="WMP11.AssocFile.TTS"
      .
      [HKEY_USERS\S-1-5-21-325022496-2994960769-1985707073-500\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.txt\UserChoice]
      @Denied: (2) (Administrator)
      "Progid"="textfile"
      .
      [HKEY_USERS\S-1-5-21-325022496-2994960769-1985707073-500\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.url\UserChoice]
      @Denied: (2) (Administrator)
      "Progid"="IE.AssocFile.URL"
      .
      [HKEY_USERS\S-1-5-21-325022496-2994960769-1985707073-500\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.vcf\UserChoice]
      @Denied: (2) (Administrator)
      "Progid"="Outlook.File.vcf.14"
      .
      [HKEY_USERS\S-1-5-21-325022496-2994960769-1985707073-500\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.vcs\UserChoice]
      @Denied: (2) (Administrator)
      "Progid"="Outlook.File.vcs.14"
      .
      [HKEY_USERS\S-1-5-21-325022496-2994960769-1985707073-500\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.wav\UserChoice]
      @Denied: (2) (Administrator)
      "Progid"="WMP11.AssocFile.WAV"
      .
      [HKEY_USERS\S-1-5-21-325022496-2994960769-1985707073-500\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.wax\UserChoice]
      @Denied: (2) (Administrator)
      "Progid"="WMP11.AssocFile.WAX"
      .
      [HKEY_USERS\S-1-5-21-325022496-2994960769-1985707073-500\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.website\UserChoice]
      @Denied: (2) (Administrator)
      "Progid"="IE.AssocFile.WEBSITE"
      .
      [HKEY_USERS\S-1-5-21-325022496-2994960769-1985707073-500\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.wm\UserChoice]
      @Denied: (2) (Administrator)
      "Progid"="WMP11.AssocFile.ASF"
      .
      [HKEY_USERS\S-1-5-21-325022496-2994960769-1985707073-500\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.wma\UserChoice]
      @Denied: (2) (Administrator)
      "Progid"="WMP11.AssocFile.WMA"
      .
      [HKEY_USERS\S-1-5-21-325022496-2994960769-1985707073-500\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.wmd\UserChoice]
      @Denied: (2) (Administrator)
      "Progid"="WMP11.AssocFile.WMD"
      .
      [HKEY_USERS\S-1-5-21-325022496-2994960769-1985707073-500\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.wms\UserChoice]
      @Denied: (2) (Administrator)
      "Progid"="WMP11.AssocFile.WMS"
      .
      [HKEY_USERS\S-1-5-21-325022496-2994960769-1985707073-500\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.wmv\UserChoice]
      @Denied: (2) (Administrator)
      "Progid"="WMP11.AssocFile.WMV"
      .
      [HKEY_USERS\S-1-5-21-325022496-2994960769-1985707073-500\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.wmx\UserChoice]
      @Denied: (2) (Administrator)
      "Progid"="WMP11.AssocFile.ASX"
      .
      [HKEY_USERS\S-1-5-21-325022496-2994960769-1985707073-500\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.wmz\UserChoice]
      @Denied: (2) (Administrator)
      "Progid"="WMP11.AssocFile.WMZ"
      .
      [HKEY_USERS\S-1-5-21-325022496-2994960769-1985707073-500\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.wpl\UserChoice]
      @Denied: (2) (Administrator)
      "Progid"="WMP11.AssocFile.WPL"
      .
      [HKEY_USERS\S-1-5-21-325022496-2994960769-1985707073-500\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.wvx\UserChoice]
      @Denied: (2) (Administrator)
      "Progid"="WMP11.AssocFile.WVX"
      .
      [HKEY_USERS\S-1-5-21-325022496-2994960769-1985707073-500\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.xht\UserChoice]
      @Denied: (2) (Administrator)
      "Progid"="IE.AssocFile.XHT"
      .
      [HKEY_USERS\S-1-5-21-325022496-2994960769-1985707073-500\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.xhtml\UserChoice]
      @Denied: (2) (Administrator)
      "Progid"="IE.AssocFile.XHT"
      .
      [HKEY_USERS\S-1-5-21-325022496-2994960769-1985707073-500\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.xls\UserChoice]
      @Denied: (2) (Administrator)
      "Progid"="Excel.Sheet.8"
      .
      [HKEY_LOCAL_MACHINE\software\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}]
      @Denied: (A 2) (Everyone)
      @="FlashBroker"
      "LocalizedString"="@c:\\Windows\\system32\\Macromed\\Flash\\FlashUtil64_11_4_402_278_ActiveX.exe,-101"
      .
      [HKEY_LOCAL_MACHINE\software\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\Elevation]
      "Enabled"=dword:00000001
      .
      [HKEY_LOCAL_MACHINE\software\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\LocalServer32]
      @="c:\\Windows\\system32\\Macromed\\Flash\\FlashUtil64_11_4_402_278_ActiveX.exe"
      .
      [HKEY_LOCAL_MACHINE\software\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\TypeLib]
      @="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
      .
      [HKEY_LOCAL_MACHINE\software\Classes\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}]
      @Denied: (A 2) (Everyone)
      @="IFlashBroker5"
      .
      [HKEY_LOCAL_MACHINE\software\Classes\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}\ProxyStubClsid32]
      @="{00020424-0000-0000-C000-000000000046}"
      .
      [HKEY_LOCAL_MACHINE\software\Classes\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}\TypeLib]
      @="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
      "Version"="1.0"
      .
      [HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}]
      @Denied: (A 2) (Everyone)
      @="FlashBroker"
      "LocalizedString"="@c:\\Windows\\SysWOW64\\Macromed\\Flash\\FlashUtil32_11_4_402_278_ActiveX.exe,-101"
      .
      [HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\Elevation]
      "Enabled"=dword:00000001
      .
      [HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\LocalServer32]
      @="c:\\Windows\\SysWOW64\\Macromed\\Flash\\FlashUtil32_11_4_402_278_ActiveX.exe"
      .
      [HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\TypeLib]
      @="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
      .
      [HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}]
      @Denied: (A 2) (Everyone)
      @="Shockwave Flash Object"
      .
      [HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\InprocServer32]
      @="c:\\Windows\\SysWOW64\\Macromed\\Flash\\Flash32_11_4_402_278.ocx"
      "ThreadingModel"="Apartment"
      .
      [HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\MiscStatus]
      @="0"
      .
      [HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\ProgID]
      @="ShockwaveFlash.ShockwaveFlash.11"
      .
      [HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\ToolboxBitmap32]
      @="c:\\Windows\\SysWOW64\\Macromed\\Flash\\Flash32_11_4_402_278.ocx, 1"
      .
      [HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\TypeLib]
      @="{D27CDB6B-AE6D-11cf-96B8-444553540000}"
      .
      [HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\Version]
      @="1.0"
      .
      [HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\VersionIndependentProgID]
      @="ShockwaveFlash.ShockwaveFlash"
      .
      [HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}]
      @Denied: (A 2) (Everyone)
      @="Macromedia Flash Factory Object"
      .
      [HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\InprocServer32]
      @="c:\\Windows\\SysWOW64\\Macromed\\Flash\\Flash32_11_4_402_278.ocx"
      "ThreadingModel"="Apartment"
      .
      [HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\ProgID]
      @="FlashFactory.FlashFactory.1"
      .
      [HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\ToolboxBitmap32]
      @="c:\\Windows\\SysWOW64\\Macromed\\Flash\\Flash32_11_4_402_278.ocx, 1"
      .
      [HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\TypeLib]
      @="{D27CDB6B-AE6D-11cf-96B8-444553540000}"
      .
      [HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\Version]
      @="1.0"
      .
      [HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\VersionIndependentProgID]
      @="FlashFactory.FlashFactory"
      .
      [HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}]
      @Denied: (A 2) (Everyone)
      @="IFlashBroker5"
      .
      [HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}\ProxyStubClsid32]
      @="{00020424-0000-0000-C000-000000000046}"
      .
      [HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}\TypeLib]
      @="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
      "Version"="1.0"
      .
      [HKEY_LOCAL_MACHINE\system\ControlSet001\Control\PCW\Security]
      @Denied: (Full) (Everyone)
      .
      Completion time: 2012-09-24 13:11:23
      ComboFix-quarantined-files.txt 2012-09-24 18:11
      .
      Pre-Run: 459,752,493,056 bytes libres
      Post-Run: 459,777,519,616 bytes libres
      .
      - - End Of File - - 833B028B6841D4765FC5D3DF4CDAF55F


      Saludos y gracias nuevamente, creo que la maquina anda bien!!

    8. #8
      Ex-Colaboradora Avatar de @SanMar
      Registrado
      jun 2008
      Ubicación
      Argentina
      Mensajes
      22.290

      Re: Virus Virus 0i763f66bz.exe and Trojan WIN64/Necrus.a

      Hola:


      Ya el Rootkit ha sido eliminado....


      Realiza lo siguiente:


      1.-Abrir el Notepad (Bloc de Notas)
      • Ir a INICIO > EJECUTAR >
      • Y ahí pones notepad.exe y ACEPTAR

      2.-Ahora copia y pega estos archivos dentro del Notepad

      Código:
      KillAll::
      
      ClearJavaCache:: 
      
      File:: 
      c:\windows\System32\mscoree.dll
      c:\users\Administrador\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\tbhcn.lnk
      
      Folder::
      c:\programdata\Panda Security
      c:\program files (x86)\Panda Security
      c:\windows\system32\aswBoot.exe
      c:\programdata\AVAST Software
      c:\program files\AVAST Software
      c:\users\Administrador\AppData\Roaming\BrowserCompanion
      c:\users\Administrador\AppData\Local\Smartbar
      
      Registry::
      [-HKEY_LOCAL_MACHINE\Wow6432Node\~\Browser Helper Objects\{31ad400d-1b06-4e33-a59a-90c2c140cba0}]
      [-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{31ad400d-1b06-4e33-a59a-90c2c140cba0}]
      
      [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
      "Browser Infrastructure Helper"=-
      
      DDS:: 
      uStart Page = hxxp://feed.plusnetwork.com/?publisher=MessengerPlus&dpid=MessengerPlus&co=MX&userid=6baf9e71-2070-42fc-93d5-79770b08f17f&sp=hp&searchtype=hp&t=a0902
      uSearchAssistant = hxxp://feed.plusnetwork.com/?publisher=MessengerPlus&dpid=MessengerPlus&co=MX&userid=6baf9e71-2070-42fc-93d5-79770b08f17f&sp=addr&q={searchTerms}&t=a0902
      IE: Buscar en la web - c:\program files (x86)\SweetIM\Toolbars\Internet Explorer\resources\menuext.html
      
      
      FireFox::
      FF - ProfilePath - c:\users\Administrador\AppData\Roaming\Mozilla\Firefox\Profiles\fki43kcc.default\
      FF - prefs.js: browser.startup.homepage - hxxp://feed.plusnetwork.com/?publisher=MessengerPlus&dpid=MessengerPlus&co=MX&userid=6baf9e71-2070-42fc-93d5-79770b08f17f&sp=hp&searchtype=hp&t=a0902
      FF - prefs.js: browser.search.selectedEngine - Messenger Plus Smartbar Search
      FF - prefs.js: keyword.URL - hxxp://feed.plusnetwork.com/?publisher=MessengerPlus&dpid=MessengerPlus&co=MX&userid=6baf9e71-2070-42fc-93d5-79770b08f17f&sp=faddr&t=a0902&q=
      3.- Graba este archivo con el nombre CFScript.txt y déjalo en tu escritorio.

      4.- Arrastrar y soltar el archivo CFScript.txt dentro del archivo ComboFix.exe como lo muestra la animación de abajo. Esto activara ComboFix nuevamente.

      • Reinicia tu PC y nos dejas un el nuevo reporte de ComboFix, comentándonos como esta funcionado todo actualmente?



      Salu2.

      * Síguenos en nuestro Twitter y hazte nuestro amigo en Facebook.
      * Infórmate de las ultimas amenazas de la red desde: InfoSpyware Blog
      * No se resuelven dudas por Privados ni por E-mail, ya que para eso esta el foro.