• Registrarse
  • Iniciar sesión


  • Resultados 1 al 8 de 8

    Virus de la policia. (Reabierto)

    Hola tengo otra vez otro ordenador con el virus de la policia le he pasado el malwarebytes y me ha detectado 4 troyanos y los he desinfectado he arrancado y parece normal pero lo he ...

    1. #1
      Usuario Avatar de diegito11
      Registrado
      mar 2012
      Ubicación
      Arcos
      Mensajes
      194

      Malware Virus de la policia. (Reabierto)

      Hola tengo otra vez otro ordenador con el virus de la policia le he pasado el malwarebytes y me ha detectado 4 troyanos y los he desinfectado he arrancado y parece normal pero lo he puesto en modo seguro y al ejecutar el polifix me pide actualizar java lo he actualizado y sigue igual pero me da un archivo que tambien adjunto.
      Lo unico raro es que ahora en modo normal llega a cargar windows 7 pero cuando tiene que salirme el escritorio se queda todo en negro con el puntero del raton y nada mas.
      En espera de instucciones.
      Polifix

      //////////////////// PoliFix 2.0.7 By InfoSpyware ////////////////////

      Ejecutado Desde: G:\polifix.exe
      Fecha: 23/01/2013 | Hora: 1106
      Sistema Operativo: Windows 7 De X86 Bits
      Modo De Arranque: Modo Seguro
      Usuario: Rafael Yesa | (Administrador)
      Version De Java 32: 7.0.110.21


      =========================== Malwares Eliminados ===========================



      ============================= Poli-Heurística =============================


      ================================== Startup ================================

      HKLM - Run: [egui] - "C:\Program Files\ESET\ESET NOD32 Antivirus\egui.exe" /hide /waitservice
      HKLM - Run: [NeroFilterCheck] - C:\Program Files\Common Files\Ahead\Lib\NeroCheck.exe
      HKLM - Run: [SunJavaUpdateSched] - "C:\Program Files\Common Files\Java\Java Update\jusched.exe"
      HKLM - Run: [Adobe ARM] - "C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe"
      HKCU - Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] - "C:\Program Files\Common Files\Ahead\Lib\NMBgMonitor.exe"
      HKCU - Run: [ares] - "C:\Program Files\Ares\Ares.exe" -h
      HKCU - Run: [Bubble Dock] - "C:\Users\Rafael Yesa\AppData\Roaming\Nosibay\Bubble Dock\LBubble Dock.exe" /winstartup
      HKCU - Run: [EPSON SX420W Series] - C:\Windows\system32\spool\DRIVERS\W32X86\3\E_FATIGCE.EXE /FU "C:\Windows\TEMP\E_SC6D7.tmp" /EF "HKCU"
      HKCU - Run: [Epson Stylus SX420W(Red)] - C:\Windows\system32\spool\DRIVERS\W32X86\3\E_FATIGCE.EXE /FU "C:\Windows\TEMP\E_SEAFA.tmp" /EF "HKCU"
      HKCU - Run: [Skype] - "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized


      ============================ Scan Suplementario ===========================

      C:\ProgramData\1.bmp
      C:\ProgramData\1.jpg
      C:\ProgramData\Adobe
      C:\ProgramData\Application Data
      C:\ProgramData\Datos de programa
      C:\ProgramData\Desktop
      C:\ProgramData\Documentos
      C:\ProgramData\Documents
      C:\ProgramData\EPSON
      C:\ProgramData\Escritorio
      C:\ProgramData\ESET
      C:\ProgramData\Favorites
      C:\ProgramData\Favoritos
      C:\ProgramData\Malwarebytes
      C:\ProgramData\Menú Inicio
      C:\ProgramData\Microsoft
      C:\ProgramData\Nero
      C:\ProgramData\netdislw.pad
      C:\ProgramData\Plantillas
      C:\ProgramData\Skype
      C:\ProgramData\Start Menu
      C:\ProgramData\Sun
      C:\ProgramData\Templates
      C:\Users\Rafael Yesa\AppData\Roaming\Adobe
      C:\Users\Rafael Yesa\AppData\Roaming\Ahead
      C:\Users\Rafael Yesa\AppData\Roaming\Bubble Dock.boostrap.log
      C:\Users\Rafael Yesa\AppData\Roaming\Bubble Dock.installation.log
      C:\Users\Rafael Yesa\AppData\Roaming\DAZ 3D
      C:\Users\Rafael Yesa\AppData\Roaming\Identities
      C:\Users\Rafael Yesa\AppData\Roaming\InstallShield
      C:\Users\Rafael Yesa\AppData\Roaming\Macromedia
      C:\Users\Rafael Yesa\AppData\Roaming\Malwarebytes
      C:\Users\Rafael Yesa\AppData\Roaming\Media Center Programs
      C:\Users\Rafael Yesa\AppData\Roaming\Media Player Classic
      C:\Users\Rafael Yesa\AppData\Roaming\Microsoft
      C:\Users\Rafael Yesa\AppData\Roaming\Nosibay
      C:\Users\Rafael Yesa\AppData\Roaming\Skype
      C:\Users\Rafael Yesa\AppData\Roaming\UserTile.png
      C:\Users\Rafael Yesa\AppData\Roaming\WinRAR
      C:\Users\RAFAEL~1\AppData\Local\Temp\~DFBE515E65FC9F2ACD.TMP


      ========================== 23/01/2013 - 1108 ==========================

      Malwarebytes


      Malwarebytes Anti-Malware (PRO) 1.70.0.1100
      www.malwarebytes.org

      Versión de la Base de Datos: v2013.01.23.04

      Windows 7 x86 NTFS (Modo Seguro/Red)
      Internet Explorer 8.0.7600.16385
      Rafael Yesa :: RAFAELYESA-PC [administrador]

      Protección: Personas de movilidad reducida

      23/01/2013 10:01:03
      mbam-log-2013-01-23 (10-01-03).txt

      Tipos de Análisis: Análisis Completo (C:\|)
      Opciones de análisis activado: Memoria | Inicio | Registro | Sistema de archivos | Heurística/Extra | Heurística/Shuriken | PUP | PUM
      Opciones de análisis desactivados: P2P
      Objetos examinados: 255962
      Tiempo transcurrido: 16 minuto(s), 56 segundo(s)

      Procesos en Memoria Detectados: 0
      (No se han detectado elementos maliciosos)

      Módulos de Memoria Detectados: 0
      (No se han detectado elementos maliciosos)

      Claves del Registro Detectados: 0
      (No se han detectado elementos maliciosos)

      Valores del Registro Detectados: 1
      HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|Adobe ARM (Trojan.FakeMS) -> datos: "C:\ProgramData\ifgxpers.exe" -> En cuarentena y eliminado con éxito.

      Elementos de Datos del Registro Detectados: 0
      (No se han detectado elementos maliciosos)

      Carpetas Detectadas: 0
      (No se han detectado elementos maliciosos)

      Archivos Detectados: 3
      C:\Users\Rafael Yesa\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\RN4C67MN\image[1].jpg (Trojan.FakeMS) -> En cuarentena y eliminado con éxito.
      C:\Users\Rafael Yesa\AppData\Roaming\csrsss.exe (Trojan.FakeMS) -> En cuarentena y eliminado con éxito.
      C:\ProgramData\ifgxpers.exe (Trojan.FakeMS) -> En cuarentena y eliminado con éxito.

      fin)

    2. #2
      Developer Avatar de Dany3j
      Registrado
      mar 2011
      Ubicación
      China
      Mensajes
      6.652

      Re: virus de la policia

      Hola, realiza lo siguiente:

      Realiza lo siguiente en modo seguro con funciones de red.



      - Descarga la herramienta ComboFix.exe y guárdala en el escritorio.

      • Desactiva temporalmente el Antivirus y/o Antispyware.
      • Cierra todas las ventanas abiertas.
      • Hacele doble clic al archivo ComboFix.exe y seguí las instrucciones.
      • Cuando termine, generara un registro en C:\ComboFix.txt.
        • *Nota* Mientras CF este trabajando no mover el mouse ya que pararía su proceso.
        • *Nota* ComboFix puede reiniciar automáticamente el PC para completar el proceso de eliminación.
        • *Nota* No vuelvas a utilizar ComboFix ni ningun otro programa antivirus hasta que no te de una respuesta.

      Atención!! No use ComboFix a menos que se le haya indicado específicamente en su mensaje por un integrante de nuestro Staff. Es una herramienta de gran alcance destinada por su creador a ser usada bajo la orientación y supervisión de un experto, no para uso privado. El uso de ComboFix incorrectamente podría generar problemas en su sistema. Por favor, lea las "Negaciones de la Garantía" de ComboFix.


      El reporte generado, se encuentra en C:\ComboFix.txt . Abrilo, seleccionas Todo y lo copias y pegas en Tu próxima respuesta.

      Me tope con un gato negro y tuve que desviarme por el camino largo.

      * Síguenos en nuestro Twitter y hazte nuestro amigo en Facebook.
      * Infórmate de las ultimas amenazas de la red desde: InfoSpyware Blog
      * No se resuelven dudas por Privados ni por E-mail, ya que para eso esta el foro.

    3. #3
      Usuario Avatar de diegito11
      Registrado
      mar 2012
      Ubicación
      Arcos
      Mensajes
      194

      Re: virus de la policia

      Malwarebytes Anti-Malware (PRO) 1.70.0.1100
      Malwarebytes : Free anti-malware download

      Versión de la Base de Datos: v2013.01.23.04

      Windows 7 x86 NTFS (Modo Seguro/Red)
      Internet Explorer 8.0.7600.16385
      Rafael Yesa :: RAFAELYESA-PC [administrador]

      Protección: Personas de movilidad reducida

      23/01/2013 10:01:03
      mbam-log-2013-01-23 (10-01-03).txt

      Tipos de Análisis: Análisis Completo (C:\|)
      Opciones de análisis activado: Memoria | Inicio | Registro | Sistema de archivos | Heurística/Extra | Heurística/Shuriken | PUP | PUM
      Opciones de análisis desactivados: P2P
      Objetos examinados: 255962
      Tiempo transcurrido: 16 minuto(s), 56 segundo(s)

      Procesos en Memoria Detectados: 0
      (No se han detectado elementos maliciosos)

      Módulos de Memoria Detectados: 0
      (No se han detectado elementos maliciosos)

      Claves del Registro Detectados: 0
      (No se han detectado elementos maliciosos)

      Valores del Registro Detectados: 1
      HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|Adobe ARM (Trojan.FakeMS) -> datos: "C:\ProgramData\ifgxpers.exe" -> En cuarentena y eliminado con éxito.

      Elementos de Datos del Registro Detectados: 0
      (No se han detectado elementos maliciosos)

      Carpetas Detectadas: 0
      (No se han detectado elementos maliciosos)

      Archivos Detectados: 3
      C:\Users\Rafael Yesa\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\RN4C67MN\image[1].jpg (Trojan.FakeMS) -> En cuarentena y eliminado con éxito.
      C:\Users\Rafael Yesa\AppData\Roaming\csrsss.exe (Trojan.FakeMS) -> En cuarentena y eliminado con éxito.
      C:\ProgramData\ifgxpers.exe (Trojan.FakeMS) -> En cuarentena y eliminado con éxito.

      fin)

    4. #4
      Usuario Avatar de diegito11
      Registrado
      mar 2012
      Ubicación
      Arcos
      Mensajes
      194

      Re: virus de la policia

      Malwarebytes Anti-Malware (PRO) 1.70.0.1100
      Malwarebytes : Free anti-malware download

      Versión de la Base de Datos: v2013.01.23.04

      Windows 7 x86 NTFS (Modo Seguro/Red)
      Internet Explorer 8.0.7600.16385
      Rafael Yesa :: RAFAELYESA-PC [administrador]

      Protección: Personas de movilidad reducida

      23/01/2013 10:01:03
      mbam-log-2013-01-23 (10-01-03).txt

      Tipos de Análisis: Análisis Completo (C:\|)
      Opciones de análisis activado: Memoria | Inicio | Registro | Sistema de archivos | Heurística/Extra | Heurística/Shuriken | PUP | PUM
      Opciones de análisis desactivados: P2P
      Objetos examinados: 255962
      Tiempo transcurrido: 16 minuto(s), 56 segundo(s)

      Procesos en Memoria Detectados: 0
      (No se han detectado elementos maliciosos)

      Módulos de Memoria Detectados: 0
      (No se han detectado elementos maliciosos)

      Claves del Registro Detectados: 0
      (No se han detectado elementos maliciosos)

      Valores del Registro Detectados: 1
      HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|Adobe ARM (Trojan.FakeMS) -> datos: "C:\ProgramData\ifgxpers.exe" -> En cuarentena y eliminado con éxito.

      Elementos de Datos del Registro Detectados: 0
      (No se han detectado elementos maliciosos)

      Carpetas Detectadas: 0
      (No se han detectado elementos maliciosos)

      Archivos Detectados: 3
      C:\Users\Rafael Yesa\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\RN4C67MN\image[1].jpg (Trojan.FakeMS) -> En cuarentena y eliminado con éxito.
      C:\Users\Rafael Yesa\AppData\Roaming\csrsss.exe (Trojan.FakeMS) -> En cuarentena y eliminado con éxito.
      C:\ProgramData\ifgxpers.exe (Trojan.FakeMS) -> En cuarentena y eliminado con éxito.

      fin)

    5. #5
      Usuario Avatar de diegito11
      Registrado
      mar 2012
      Ubicación
      Arcos
      Mensajes
      194

      Re: virus de la policia

      ComboFix 13-01-23.01 - Rafael Yesa 23/01/2013 13:22:18.1.1 - x86 NETWORK
      Microsoft Windows 7 Ultimate 6.1.7600.0.1252.34.3082.18.3003.2567 [GMT 1:00]
      Running from: G:\ComboFix.exe
      AV: ESET NOD32 Antivirus 4.2 *Enabled/Outdated* {77DEAFED-8149-104B-25A1-21771CA47CD1}
      SP: ESET NOD32 Antivirus 4.2 *Enabled/Outdated* {CCBF4E09-A773-1FC5-1F11-1A056723366C}
      SP: Windows Defender *Enabled/Outdated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
      * Created a new restore point
      .
      .
      ((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))
      .
      .
      c:\program files\IMinent Toolbar\tbHElper.dll
      c:\programdata\netdislw.pad
      .
      .
      ((((((((((((((((((((((((( Files Created from 2012-12-23 to 2013-01-23 )))))))))))))))))))))))))))))))
      .
      .
      2013-01-23 12:26 . 2013-01-23 12:27 -------- d-----w- c:\users\Rafael Yesa\AppData\Local\temp
      2013-01-23 12:26 . 2013-01-23 12:26 -------- d-----w- c:\users\Default\AppData\Local\temp
      2013-01-23 09:42 . 2013-01-23 09:42 -------- d-----w- c:\windows\Sun
      2013-01-23 09:41 . 2013-01-12 02:30 94112 ----a-w- c:\windows\system32\WindowsAccessBridge.dll
      2013-01-23 08:50 . 2013-01-23 08:50 -------- d-----w- c:\users\Rafael Yesa\AppData\Local\Programs
      .
      .
      .
      (((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
      .
      2013-01-08 22:49 . 2012-08-27 13:03 697864 ----a-w- c:\windows\system32\FlashPlayerApp.exe
      2013-01-08 22:49 . 2012-08-27 13:03 74248 ----a-w- c:\windows\system32\FlashPlayerCPLApp.cpl
      2012-12-14 15:49 . 2012-10-02 19:03 21104 ----a-w- c:\windows\system32\drivers\mbam.sys
      .
      .
      ------- Sigcheck -------
      Note: Unsigned files aren't necessarily malware.
      .
      [-] 2009-07-14 . 8626F0C30D4E3564FFDD25C90F4426F1 . 811520 . . [6.1.7600.16385] . . c:\windows\System32\user32.dll
      [7] 2009-07-14 . 34B7E222E81FAFA885F0C5F2CFA56861 . 811520 . . [6.1.7600.16385] . . c:\windows\winsxs\x86_microsoft-windows-user32_31bf3856ad364e35_6.1.7600.16385_none_cd0ec264ceb014a3\user32.dll
      .
      ((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
      .
      .
      *Note* empty entries & legit default entries are not shown
      REGEDIT4
      .
      [HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{58124A0B-DC32-4180-9BFF-E0E21AE34026}]
      2010-07-02 07:54 2607872 ----a-w- c:\program files\IMinent Toolbar\tbcore3.dll
      .
      [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
      "{977AE9CC-AF83-45E8-9E03-E2798216E2D5}"= "c:\program files\IMinent Toolbar\tbcore3.dll" [2010-07-02 2607872]
      .
      [HKEY_CLASSES_ROOT\clsid\{977ae9cc-af83-45e8-9e03-e2798216e2d5}]
      [HKEY_CLASSES_ROOT\TBSB01620.TBSB01620.3]
      [HKEY_CLASSES_ROOT\TypeLib\{EC4085F2-8DB3-45a6-AD0B-CA289F3C5D7E}]
      [HKEY_CLASSES_ROOT\TBSB01620.TBSB01620]
      .
      [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\Webbrowser]
      "{977AE9CC-AF83-45E8-9E03-E2798216E2D5}"= "c:\program files\IMinent Toolbar\tbcore3.dll" [2010-07-02 2607872]
      .
      [HKEY_CLASSES_ROOT\clsid\{977ae9cc-af83-45e8-9e03-e2798216e2d5}]
      [HKEY_CLASSES_ROOT\TBSB01620.TBSB01620.3]
      [HKEY_CLASSES_ROOT\TypeLib\{EC4085F2-8DB3-45a6-AD0B-CA289F3C5D7E}]
      [HKEY_CLASSES_ROOT\TBSB01620.TBSB01620]
      .
      [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
      "BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="c:\program files\Common Files\Ahead\Lib\NMBgMonitor.exe" [2007-01-15 147456]
      "ares"="c:\program files\Ares\Ares.exe" [2011-07-29 3681792]
      "Skype"="c:\program files\Skype\Phone\Skype.exe" [2010-12-03 14944136]
      .
      [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
      "egui"="c:\program files\ESET\ESET NOD32 Antivirus\egui.exe" [2010-08-12 2215064]
      "NeroFilterCheck"="c:\program files\Common Files\Ahead\Lib\NeroCheck.exe" [2006-01-12 155648]
      "SunJavaUpdateSched"="c:\program files\Common Files\Java\Java Update\jusched.exe" [2012-07-03 252848]
      "Adobe ARM"="c:\program files\Common Files\Adobe\ARM\1.0\AdobeARM.exe" [2012-12-03 946352]
      .
      [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]
      "GrpConv"="grpconv -o" [X]
      "PoliFix"="G:\polifix.exe" [2013-01-23 572430]
      .
      [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
      "ConsentPromptBehaviorAdmin"= 5 (0x5)
      "ConsentPromptBehaviorUser"= 3 (0x3)
      "EnableUIADesktopToggle"= 0 (0x0)
      "PromptOnSecureDesktop"= 0 (0x0)
      "DisableRegedit"= 0 (0x0)
      .
      [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\system]
      "DisableRegedit"= 0 (0x0)
      .
      [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
      "aux1"=wdmaud.drv
      .
      R1 ehdrv;ehdrv;c:\windows\system32\DRIVERS\ehdrv.sys [x]
      R2 eamonm;eamonm;c:\windows\system32\DRIVERS\eamonm.sys [x]
      R2 ekrn;ESET Service;c:\program files\ESET\ESET NOD32 Antivirus\ekrn.exe [x]
      R2 epfwwfpr;epfwwfpr;c:\windows\system32\DRIVERS\epfwwfpr.sys [x]
      R2 MBAMScheduler;MBAMScheduler;c:\program files\Malwarebytes' Anti-Malware\mbamscheduler.exe [x]
      R2 MBAMService;MBAMService;c:\program files\Malwarebytes' Anti-Malware\mbamservice.exe [x]
      R3 MBAMProtector;MBAMProtector;c:\windows\system32\drivers\mbam.sys [x]
      R3 RTL8187;Realtek RTL8187 Wireless 802.11b/g 54Mbps USB 2.0 Network Adapter;c:\windows\system32\DRIVERS\RTL8187.sys [x]
      R3 SrvHsfHDA;SrvHsfHDA;c:\windows\system32\DRIVERS\VSTAZL3.SYS [x]
      R3 SrvHsfV92;SrvHsfV92;c:\windows\system32\DRIVERS\VSTDPV3.SYS [x]
      R3 SrvHsfWinac;SrvHsfWinac;c:\windows\system32\DRIVERS\VSTCNXT3.SYS [x]
      S3 RTL8167;Controlador NT de Realtek 8167;c:\windows\system32\DRIVERS\Rt86win7.sys [x]
      .
      .
      [HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{8A69D345-D564-463c-AFF1-A69D9E530F96}]
      2013-01-10 21:28 1606760 ----a-w- c:\program files\Google\Chrome\Application\24.0.1312.52\Installer\setup.exe
      .
      Contents of the 'Scheduled Tasks' folder
      .
      2013-01-23 c:\windows\Tasks\Adobe Flash Player Updater.job
      - c:\windows\system32\Macromed\Flash\FlashPlayerUpdateService.exe [2012-08-27 22:49]
      .
      2013-01-23 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
      - c:\program files\Google\Update\GoogleUpdate.exe [2012-08-27 13:04]
      .
      2013-01-23 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
      - c:\program files\Google\Update\GoogleUpdate.exe [2012-08-27 13:04]
      .
      .
      ------- Supplementary Scan -------
      .
      uStart Page = hxxp://www.google.es/
      TCP: DhcpNameServer = 192.168.1.1
      .
      - - - - ORPHANS REMOVED - - - -
      .
      HKCU-Run-Bubble Dock - c:\users\Rafael Yesa\AppData\Roaming\Nosibay\Bubble Dock\LBubble Dock.exe
      HKLM-RunOnce-<NO NAME> - (no file)
      .
      .
      .
      --------------------- LOCKED REGISTRY KEYS ---------------------
      .
      [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}]
      @Denied: (A 2) (Everyone)
      @="FlashBroker"
      "LocalizedString"="@c:\\Windows\\system32\\Macromed\\Flash\\FlashUtil32_11_5_502_146_ActiveX.exe,-101"
      .
      [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\Elevation]
      "Enabled"=dword:00000001
      .
      [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\LocalServer32]
      @="c:\\Windows\\system32\\Macromed\\Flash\\FlashUtil32_11_5_502_146_ActiveX.exe"
      .
      [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\TypeLib]
      @="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
      .
      [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}]
      @Denied: (A 2) (Everyone)
      @="IFlashBroker5"
      .
      [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}\ProxyStubClsid32]
      @="{00020424-0000-0000-C000-000000000046}"
      .
      [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}\TypeLib]
      @="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
      "Version"="1.0"
      .
      [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings]
      @Denied: (A) (Users)
      @Denied: (A) (Everyone)
      @Allowed: (B 1 2 3 4 5) (S-1-5-20)
      "BlindDial"=dword:00000000
      .
      [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\PCW\Security]
      @Denied: (Full) (Everyone)
      .
      Completion time: 2013-01-23 13:28:45
      ComboFix-quarantined-files.txt 2013-01-23 12:28
      .
      Pre-Run: 51.700.637.696 bytes libres
      Post-Run: 52.583.735.296 bytes libres
      .
      - - End Of File - - F850EADE81E2AAED23443D4A61002E08

    6. #6
      Developer Avatar de Dany3j
      Registrado
      mar 2011
      Ubicación
      China
      Mensajes
      6.652

      Re: virus de la policia

      Hola de nuevo

      Realiza lo siguiente :

      • Clic en INICIO > EJECUTAR >
        • Y ahí pones notepad.exe y ACEPTAR
        • Ahora copia y pega el texto del cuadro de mas abajo dentro del Notepad


      Código:
      KillAll::
      ClearJavaCache::
      
      Folder::
      c:\program files\IMinent Toolbar
      
      Registry::
      [-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{58124A0B-DC32-4180-9BFF-E0E21AE34026}]
      [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
      [-HKEY_CLASSES_ROOT\clsid\{977ae9cc-af83-45e8-9e03-e2798216e2d5}]
      [-HKEY_CLASSES_ROOT\TBSB01620.TBSB01620.3]
      [-HKEY_CLASSES_ROOT\TypeLib\{EC4085F2-8DB3-45a6-AD0B-CA289F3C5D7E}]
      [-HKEY_CLASSES_ROOT\TBSB01620.TBSB01620]
      [-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\Webbrowser]
      [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
      "BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"=-
      [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
      "NeroFilterCheck"=-
      "Adobe ARM"=-
      [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]
      "GrpConv"=-
      "PoliFix"=-
      [-HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{8A69D345-D564-463c-AFF1-A69D9E530F96}]


      • Guarda este archivo con el nombre CFScript.txt
      • Arrastra y suelta el archivo CFScript.txt dentro del archivo ComboFix.exe como lo muestra el screenshot de abajo.



      • ComboFix comenzará otra vez a ejecutarse. Cuando termine generara un nuevo reporte que tendras que pegar en este mismo tema.




      Después de reiniciar, comprobas en funcionamiento y nos comentás.



      saludos

      Me tope con un gato negro y tuve que desviarme por el camino largo.

      * Síguenos en nuestro Twitter y hazte nuestro amigo en Facebook.
      * Infórmate de las ultimas amenazas de la red desde: InfoSpyware Blog
      * No se resuelven dudas por Privados ni por E-mail, ya que para eso esta el foro.

    7. #7
      Usuario Avatar de diegito11
      Registrado
      mar 2012
      Ubicación
      Arcos
      Mensajes
      194

      Re: virus de la policia

      ComboFix 13-01-23.01 - Rafael Yesa 23/01/2013 21:01:50.2.1 - x86 NETWORK
      Microsoft Windows 7 Ultimate 6.1.7600.0.1252.34.3082.18.3003.2565 [GMT 1:00]
      Running from: G:\ComboFix.exe
      Command switches used :: c:\users\Rafael Yesa\Desktop\CFScript.exe
      AV: ESET NOD32 Antivirus 4.2 *Enabled/Outdated* {77DEAFED-8149-104B-25A1-21771CA47CD1}
      SP: ESET NOD32 Antivirus 4.2 *Enabled/Outdated* {CCBF4E09-A773-1FC5-1F11-1A056723366C}
      SP: Windows Defender *Enabled/Outdated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
      * Created a new restore point
      .
      .
      ((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))
      .
      .
      c:\program files\IMinent Toolbar
      c:\program files\IMinent Toolbar\IMinent_Toolbar.dll
      c:\program files\IMinent Toolbar\TbCommonUtils.dll
      c:\program files\IMinent Toolbar\tbcore3.dll
      c:\program files\IMinent Toolbar\TbHelper2.exe
      c:\program files\IMinent Toolbar\uninstall.exe
      c:\program files\IMinent Toolbar\update.exe
      .
      .
      ((((((((((((((((((((((((( Files Created from 2012-12-23 to 2013-01-23 )))))))))))))))))))))))))))))))
      .
      .
      2013-01-23 20:06 . 2013-01-23 20:09 -------- d-----w- c:\users\Rafael Yesa\AppData\Local\temp
      2013-01-23 20:06 . 2013-01-23 20:06 -------- d-----w- c:\users\Default\AppData\Local\temp
      2013-01-23 09:42 . 2013-01-23 09:42 -------- d-----w- c:\windows\Sun
      2013-01-23 09:41 . 2013-01-12 02:30 94112 ----a-w- c:\windows\system32\WindowsAccessBridge.dll
      2013-01-23 08:50 . 2013-01-23 08:50 -------- d-----w- c:\users\Rafael Yesa\AppData\Local\Programs
      .
      .
      .
      (((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
      .
      2013-01-08 22:49 . 2012-08-27 13:03 697864 ----a-w- c:\windows\system32\FlashPlayerApp.exe
      2013-01-08 22:49 . 2012-08-27 13:03 74248 ----a-w- c:\windows\system32\FlashPlayerCPLApp.cpl
      2012-12-14 15:49 . 2012-10-02 19:03 21104 ----a-w- c:\windows\system32\drivers\mbam.sys
      .
      .
      ------- Sigcheck -------
      Note: Unsigned files aren't necessarily malware.
      .
      [-] 2009-07-14 . 8626F0C30D4E3564FFDD25C90F4426F1 . 811520 . . [6.1.7600.16385] . . c:\windows\System32\user32.dll
      [7] 2009-07-14 . 34B7E222E81FAFA885F0C5F2CFA56861 . 811520 . . [6.1.7600.16385] . . c:\windows\winsxs\x86_microsoft-windows-user32_31bf3856ad364e35_6.1.7600.16385_none_cd0ec264ceb014a3\user32.dll
      .
      ((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
      .
      .
      *Note* empty entries & legit default entries are not shown
      REGEDIT4
      .
      [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
      "ares"="c:\program files\Ares\Ares.exe" [2011-07-29 3681792]
      "Skype"="c:\program files\Skype\Phone\Skype.exe" [2010-12-03 14944136]
      .
      [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
      "egui"="c:\program files\ESET\ESET NOD32 Antivirus\egui.exe" [2010-08-12 2215064]
      "SunJavaUpdateSched"="c:\program files\Common Files\Java\Java Update\jusched.exe" [2012-07-03 252848]
      .
      [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
      "ConsentPromptBehaviorAdmin"= 5 (0x5)
      "ConsentPromptBehaviorUser"= 3 (0x3)
      "EnableUIADesktopToggle"= 0 (0x0)
      "PromptOnSecureDesktop"= 0 (0x0)
      "DisableRegedit"= 0 (0x0)
      .
      [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\system]
      "DisableRegedit"= 0 (0x0)
      .
      [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
      "aux1"=wdmaud.drv
      .
      R3 RTL8187;Realtek RTL8187 Wireless 802.11b/g 54Mbps USB 2.0 Network Adapter;c:\windows\system32\DRIVERS\RTL8187.sys [x]
      S1 ehdrv;ehdrv;c:\windows\system32\DRIVERS\ehdrv.sys [x]
      S2 eamonm;eamonm;c:\windows\system32\DRIVERS\eamonm.sys [x]
      S2 ekrn;ESET Service;c:\program files\ESET\ESET NOD32 Antivirus\ekrn.exe [x]
      S2 epfwwfpr;epfwwfpr;c:\windows\system32\DRIVERS\epfwwfpr.sys [x]
      S2 MBAMScheduler;MBAMScheduler;c:\program files\Malwarebytes' Anti-Malware\mbamscheduler.exe [x]
      S2 MBAMService;MBAMService;c:\program files\Malwarebytes' Anti-Malware\mbamservice.exe [x]
      S3 MBAMProtector;MBAMProtector;c:\windows\system32\drivers\mbam.sys [x]
      S3 RTL8167;Controlador NT de Realtek 8167;c:\windows\system32\DRIVERS\Rt86win7.sys [x]
      S3 SrvHsfHDA;SrvHsfHDA;c:\windows\system32\DRIVERS\VSTAZL3.SYS [x]
      S3 SrvHsfV92;SrvHsfV92;c:\windows\system32\DRIVERS\VSTDPV3.SYS [x]
      S3 SrvHsfWinac;SrvHsfWinac;c:\windows\system32\DRIVERS\VSTCNXT3.SYS [x]
      .
      .
      Contents of the 'Scheduled Tasks' folder
      .
      2013-01-23 c:\windows\Tasks\Adobe Flash Player Updater.job
      - c:\windows\system32\Macromed\Flash\FlashPlayerUpdateService.exe [2012-08-27 22:49]
      .
      2013-01-23 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
      - c:\program files\Google\Update\GoogleUpdate.exe [2012-08-27 13:04]
      .
      2013-01-23 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
      - c:\program files\Google\Update\GoogleUpdate.exe [2012-08-27 13:04]
      .
      .
      ------- Supplementary Scan -------
      .
      uStart Page = hxxp://www.google.es/
      TCP: DhcpNameServer = 192.168.1.1
      .
      .
      --------------------- LOCKED REGISTRY KEYS ---------------------
      .
      [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}]
      @Denied: (A 2) (Everyone)
      @="FlashBroker"
      "LocalizedString"="@c:\\Windows\\system32\\Macromed\\Flash\\FlashUtil32_11_5_502_146_ActiveX.exe,-101"
      .
      [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\Elevation]
      "Enabled"=dword:00000001
      .
      [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\LocalServer32]
      @="c:\\Windows\\system32\\Macromed\\Flash\\FlashUtil32_11_5_502_146_ActiveX.exe"
      .
      [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\TypeLib]
      @="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
      .
      [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}]
      @Denied: (A 2) (Everyone)
      @="IFlashBroker5"
      .
      [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}\ProxyStubClsid32]
      @="{00020424-0000-0000-C000-000000000046}"
      .
      [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}\TypeLib]
      @="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
      "Version"="1.0"
      .
      [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings]
      @Denied: (A) (Users)
      @Denied: (A) (Everyone)
      @Allowed: (B 1 2 3 4 5) (S-1-5-20)
      "BlindDial"=dword:00000000
      .
      [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\PCW\Security]
      @Denied: (Full) (Everyone)
      .
      ------------------------ Other Running Processes ------------------------
      .
      c:\windows\system32\AUDIODG.EXE
      c:\windows\system32\taskhost.exe
      c:\program files\Common Files\EPSON\EBAPI\eEBSVC.exe
      c:\program files\Common Files\Adobe\ARM\1.0\armsvc.exe
      c:\program files\Malwarebytes' Anti-Malware\mbamgui.exe
      c:\windows\system32\WUDFHost.exe
      c:\windows\system32\conhost.exe
      c:\windows\System32\rundll32.exe
      c:\windows\system32\sppsvc.exe
      c:\\?\c:\windows\system32\wbem\WMIADAP.EXE
      .
      **************************************************************************
      .
      Completion time: 2013-01-23 21:12:29 - machine was rebooted
      ComboFix-quarantined-files.txt 2013-01-23 20:12
      ComboFix2.txt 2013-01-23 12:28
      .
      Pre-Run: 52.653.768.704 bytes libres
      Post-Run: 52.235.341.824 bytes libres
      .
      - - End Of File - - 1937986A51954184FC90CF9D8B2F7411

      Se ha reiniciado y parece estar bien ,estoy navegango ,tengo vision con el escritorio y en principio todo bien,en espera de vuestra opinion

    8. #8
      Developer Avatar de Dany3j
      Registrado
      mar 2011
      Ubicación
      China
      Mensajes
      6.652

      Re: virus de la policia

      Todo en orden.

      Para terminar solo te quedaría desinstalar CF de la siguiente manera:

      • Ir a Inicio > Ejecutar
      • Escribir lo siguiente: ComboFix /Uninstall como muestra la imagen debajo:



      • Esto activara el desinstalador de ComboFix abriendo su pantalla principal y luego de unos segundos veras ("ComboFix is uninstalled")


      Si el procedimiento falla realiza lo siguiente:

      Descarga OTC by OldTimer a tu escritorio.
      • Ejecuta OTC.exe, Si usas Vista o 7 presiona clic derecho ejecutar como administrador.
      • Presiona clic en el botón CleanUp! y luego en "Yes"
      • Permite que el equipo se reinicie presionando nuevamente en "Yes" >>> Esto es importante.

      Damos el tema por

      Solucionado.


      Si deseas reabrir este tema, pulsa clic sobre el símbolo
      Abajo y a la izquierda de cualquier mensaje en este tema.
      Coloca el motivo del reporte y un Moderador atenderá tu petición.
      Como recomendación final, Te invitamos a seguirnos en nuestros canales de difusión:

      Blog Twitter Facebook vía E-Mail
      Última edición por Dany3j fecha: 24/01/13 a las 12:01:10

      Me tope con un gato negro y tuve que desviarme por el camino largo.

      * Síguenos en nuestro Twitter y hazte nuestro amigo en Facebook.
      * Infórmate de las ultimas amenazas de la red desde: InfoSpyware Blog
      * No se resuelven dudas por Privados ni por E-mail, ya que para eso esta el foro.