Bueno amigos, tanto leerlos buscando por goole me decidi registrar y preguntar ya que no he encontrado la solucion en ningun otro post de ustedes, he leido cosas parecidas pero las soluciones que han dado no me sirvieron.
Baje el hackthis como recomiendan y me dio este log.
Logfile of Trend Micro HijackThis v2.0.0 (BETA)
Scan saved at 08:55:53 p.m., on 16/04/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Archivos de programa\TOSHIBA\Power Management\CePMTray.exe
C:\WINDOWS\twain_32\SiPix\SCDeluxe\DELUXECC.exe
C:\Archivos de programa\AntiVir PersonalEdition Classic\sched.exe
C:\Archivos de programa\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ezSP_Px.exe
C:\Archivos de programa\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\Archivos de programa\Agnitum\Outpost Firewall\outpost.exe
C:\Archivos de programa\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\svchost.exe
C:\Documents and Settings\Mau\Escritorio\HiJackThis_v2.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.netpede.com/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings,ProxyServer = 192.168.0.1:8080
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: WWWIEHlprObj Class - {0033669F-AADD-AA59-AA7D-AA4B78888000} - (no file)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {2F364306-AA45-47B5-9F9D-39A8B94E7EF7} - (no file)
O2 - BHO: Owlforce - {37E1A9E5-00D4-4203-8E58-B91F383A3809} - (no file)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: FlashFXP Helper for Internet Explorer - {E5A1691B-D188-4419-AD02-90002030B8EE} - C:\ARCHIV~1\FlashFXP\IEFlash.dll
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\ARCHIV~1\FlashGet\fgiebar.dll
O4 - HKLM\..\Run: [CeEPOWER] C:\Archivos de programa\TOSHIBA\Power Management\CePMTray.exe
O4 - HKLM\..\Run: [DELUXECC] C:\WINDOWS\twain_32\SiPix\SCDeluxe\DELUXECC.exe
O4 - HKLM\..\Run: [avgnt] "C:\Archivos de programa\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [ezShieldProtector for Px] C:\WINDOWS\system32\ezSP_Px.exe
O4 - HKLM\..\Run: [Outpost Firewall] C:\Archivos de programa\Agnitum\Outpost Firewall\outpost.exe /waitservice
O4 - HKLM\..\Run: [OutpostFeedBack] C:\Archivos de programa\Agnitum\Outpost Firewall\feedback.exe /dump:os_startup
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICIO LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Servicio de red')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: Descargar con Fl&ashGet - C:\Archivos de programa\FlashGet\jc_link.htm
O8 - Extra context menu item: Descargar todo con Flas&hGet - C:\Archivos de programa\FlashGet\jc_all.htm
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\ARCHIV~1\FlashGet\flashget.exe
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\ARCHIV~1\FlashGet\flashget.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1161894141553
O16 - DPF: {D8089245-3211-40F6-819B-9E5E92CD61A2} (FlashXControl Object) - https://fortunelounge.microgaming.com/generic/FlashAX.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{A1F78B93-D53E-4E2F-BD41-855ADF56BBE1}: NameServer = 200.42.97.111,200.42.0.111
O20 - Winlogon Notify: winsys2freg - C:\Documents and Settings\All Users\Documentos\Settings\winsys2f.dll (file missing)
O22 - SharedTaskScheduler: Precargador Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Demonio de caché de las categorías de componente - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Archivos de programa\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Archivos de programa\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ares Chatroom server (AresChatServer) - Ares Development Group - C:\Archivos de programa\Ares\chatServer.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: Servicio del administrador de discos lógicos (dmadmin) - Unknown owner - C:\WINDOWS\System32\dmadmin.exe
O23 - Service: Registro de sucesos (Eventlog) - Unknown owner - C:\WINDOWS\system32\services.exe
O23 - Service: Servicio COM de grabación de CD de IMAPI (ImapiService) - Unknown owner - C:\WINDOWS\system32\imapi.exe
O23 - Service: Outpost Firewall Service (OutpostFirewall) - Agnitum Ltd. - C:\Archivos de programa\Agnitum\Outpost Firewall\outpost.exe
O23 - Service: Plug and Play (PlugPlay) - Unknown owner - C:\WINDOWS\system32\services.exe
O23 - Service: Administrador de sesión de Ayuda de escritorio remoto (RDSessMgr) - Unknown owner - C:\WINDOWS\system32\sessmgr.exe
O23 - Service: Registros y alertas de rendimiento (SysmonLog) - Unknown owner - C:\WINDOWS\system32\smlogsvc.exe
O23 - Service: Telnet (TlntSvr) - Unknown owner - C:\WINDOWS\System32\tlntsvr.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Archivos de programa\TuneUp Utilities 2006\WinStylerThemeSvc.exe
O23 - Service: Instantáneas de volumen (VSS) - Unknown owner - C:\WINDOWS\System32\vssvc.exe
O23 - Service: Adaptador de rendimiento de WMI (WmiApSrv) - Unknown owner - C:\WINDOWS\system32\wbem\wmiapsrv.exe

--
End of file - 6765 bytes

El problema es que el services.exe (esta en windows\system32 y pesa 106 k) cuando me conecto a internet me envia constantemente datos a distintos puertos por lo que lo bloquie con el outpost firewall.
Gracias al fileassesain pude borrar el winsys2f.dll que me estaba molestando pero el services.exe no lo puedo frenar, aparte desaparecio el firewall de windows literalmente, desaparecio el servicio completo, tengo winxp sp2 pro actualizado, uso el antivir de avira, el adware y el spybotsearchdestroy para limpiar, y ya no encuentran nada, en ningun modo y los antivirus online tampoco.
Tambien reemplace el services.exe por el de otra maquina y tampoco resulto.

GRacias y espero no haberlos aburrido con tanta explicacion.
Saludos

Hola mau84, te doy la bienvenida al Foro de InfoSpyware.

Por el momento todavía no brindamos soporte para la nueva versión de HijackThis 2.0.0 (BETA) por lo que descarga la versión 1.99.1 y déjanos un nuevo log en este mismo mensaje.

Descarga CCleaner y ejecútalo usando primero su opción de "Limpiador" para borrar cookies, temporales de Internet y todos los archivos que este te muestre como obsoletos, y luego usa su opción de "Registro" para limpiar todo el registro de Windows (haciendo copia de seguridad).

Descarga, actualiza y ejecuta

• AVG Antispyware 7.5
• SuperAntiSpyware

Realiza un escaneo online con "Panda ActiveScan Online" y nos dejas sus reportes en este mismo mensaje.

Salu2

Logfile of HijackThis v1.99.1
Scan saved at 09:35:31 a.m., on 18/04/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Archivos de programa\TOSHIBA\Power Management\CePMTray.exe
C:\WINDOWS\twain_32\SiPix\SCDeluxe\DELUXECC.exe
C:\Archivos de programa\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ezSP_Px.exe
C:\Archivos de programa\AntiVir PersonalEdition Classic\sched.exe
C:\Archivos de programa\MSN Messenger\msnmsgr.exe
C:\Archivos de programa\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\Archivos de programa\Agnitum\Outpost Firewall\outpost.exe
C:\WINDOWS\system32\svchost.exe
C:\Archivos de programa\Mozilla Firefox\firefox.exe
C:\Archivos de programa\HJT\HijackThis.exe

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings,ProxyServer = 192.168.0.1:8080
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.5.0_06\bin\ssv.dll
O4 - HKLM\..\Run: [CeEPOWER] C:\Archivos de programa\TOSHIBA\Power Management\CePMTray.exe
O4 - HKLM\..\Run: [DELUXECC] C:\WINDOWS\twain_32\SiPix\SCDeluxe\DELUXECC.exe
O4 - HKLM\..\Run: [avgnt] "C:\Archivos de programa\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [ezShieldProtector for Px] C:\WINDOWS\system32\ezSP_Px.exe
O4 - HKLM\..\Run: [Outpost Firewall] C:\Archivos de programa\Agnitum\Outpost Firewall\outpost.exe /waitservice
O4 - HKLM\..\Run: [OutpostFeedBack] C:\Archivos de programa\Agnitum\Outpost Firewall\feedback.exe /dump:os_startup
O4 - HKCU\..\Run: [msnmsgr] "C:\Archivos de programa\MSN Messenger\msnmsgr.exe" /background
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1161894141553
O17 - HKLM\System\CCS\Services\Tcpip\..\{A1F78B93-D53E-4E2F-BD41-855ADF56BBE1}: NameServer = 200.42.97.111,200.42.0.111
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Archivos de programa\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Archivos de programa\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ares Chatroom server (AresChatServer) - Ares Development Group - C:\Archivos de programa\Ares\chatServer.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: Outpost Firewall Service (OutpostFirewall) - Agnitum Ltd. - C:\Archivos de programa\Agnitum\Outpost Firewall\outpost.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Archivos de programa\TuneUp Utilities 2006\WinStylerThemeSvc.exe

gracias por contestar, tengo un problemita no puedo pasar el antivirus online en modo completo y en modo rapido no me detecta nada, despues un tiempo de uso en internet me dice que el servicio services.exe se debio cerrar y la maquina se apagara en 1 minuto LO DEL AUTORITY SYSTEM.
Para agregarte algo mas de info, tambien puse a reparar windows desde el cd y no arreglo nada.

Queria que me digan si el limpiador de registro del tuneup 2006 sirve, y el regcleaner, porque uso esos ademas de los que me recomiendan ustedes.

pase el rootkitreveal y me tiro estos problemas ocultos en el registro
HKU\S-1-5-21-4210259494-2935130677-2106517767-1004\RemoteAccess\InternetProfile 27/7/2006 03:29 p.m. 23 bytes Data mismatch between Windows API and raw hive data.
HKU\S-1-5-21-4210259494-2935130677-2106517767-1004\Software\Nico Mak Computing\WinZip\WinIni\UZQF 18/4/2007 01:42 p.m. 10 bytes Data mismatch between Windows API and raw hive data.
HKLM\SECURITY\Policy\Secrets\SAC* 23/9/2002 04:08 p.m. 0 bytes Key name contains embedded nulls (*)
HKLM\SECURITY\Policy\Secrets\SAI* 23/9/2002 04:08 p.m. 0 bytes Key name contains embedded nulls (*)
HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_WINDEV-5F5-64B 12/4/2007 04:08 p.m. 0 bytes Hidden from Windows API.
HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_WINDEV-5F5-64B\0000\Service 18/4/2007 12:58 p.m. 30 bytes Hidden from Windows API.
HKLM\SYSTEM\ControlSet001\Enum\Root\LEGACY_WINDEV-5F5-64B\0000\DeviceDesc 18/4/2007 12:58 p.m. 30 bytes Hidden from Windows API.
HKLM\SYSTEM\ControlSet001\Services\sptd\Cfg 19/9/2006 04:56 p.m. 0 bytes Access is denied.
HKLM\SYSTEM\ControlSet001\Services\windev-5f5-64b 18/4/2007 12:58 p.m. 0 bytes Hidden from Windows API.
HKLM\SYSTEM\ControlSet001\Services\windev-5f5-64b\ImagePath 18/4/2007 12:58 p.m. 86 bytes Hidden from Windows API.
HKLM\SYSTEM\ControlSet001\Services\windev-5f5-64b\DisplayName 18/4/2007 12:58 p.m. 30 bytes Hidden from Windows API.
HKLM\SYSTEM\ControlSet002\Services\windev-5f5-64b 13/4/2007 12:00 p.m. 0 bytes Hidden from Windows API.
HKLM\SYSTEM\ControlSet002\Services\windev-5f5-64b\ImagePath 13/4/2007 12:00 p.m. 86 bytes Hidden from Windows API.
HKLM\SYSTEM\ControlSet002\Services\windev-5f5-64b\DisplayName 13/4/2007 12:00 p.m. 30 bytes Hidden from Windows API.
HKLM\SYSTEM\ControlSet004\Enum\Root\LEGACY_WINDEV-5F5-64B 12/4/2007 04:08 p.m. 0 bytes Hidden from Windows API.
HKLM\SYSTEM\ControlSet004\Enum\Root\LEGACY_WINDEV-5F5-64B\0000\Service 18/4/2007 12:58 p.m. 30 bytes Hidden from Windows API.
HKLM\SYSTEM\ControlSet004\Enum\Root\LEGACY_WINDEV-5F5-64B\0000\DeviceDesc 18/4/2007 12:58 p.m. 30 bytes Hidden from Windows API.
HKLM\SYSTEM\ControlSet004\Services\windev-5f5-64b 18/4/2007 12:58 p.m. 0 bytes Hidden from Windows API.
HKLM\SYSTEM\ControlSet004\Services\windev-5f5-64b\ImagePath 18/4/2007 12:58 p.m. 86 bytes Hidden from Windows API.
HKLM\SYSTEM\ControlSet004\Services\windev-5f5-64b\DisplayName 18/4/2007 12:58 p.m. 30 bytes Hidden from Windows API.

uno de estos LEGACY_WINDEV-5F5-64B coincide la fecha cuando empezaron los problemas, tienen idea como borrar eso?
el programa solo te deja escanear.

saludos

• Descarga la herramienta ComboFix.exe y guárdala en el escritorio de Win.
• Hace doble-click en el archivo combofix.exe y seguí los avisos.
• Cuando termine este generara un reporte que tendrías que pegar en este mismo mensaje para que lo analicemos.

Salu2

"Mau" - 07-04-18 18:40:59 Service Pack 2
ComboFix 07-04-19V - Running from: C:\WINDOWS\


(((((((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))


C:\DOCUME~1\Mau\DATOSD~1.\install.dat
C:\WINDOWS\system32\srvswc2.dll
C:\WINDOWS\system32\info.txt


((((((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))


-------\nm
-------\LEGACY_WINCOM32


((((((((((((((((((((((((((((((( Files Created from 2007-03-18 to 2007-04-18 ))))))))))))))))))))))))))))))))))


2007-04-18 18:39 974,603 --a------ C:\WINDOWS\ComboFix.exe
2007-04-18 13:48 <DIR> dr-h----- C:\DOCUME~1\LOCALS~1\Reciente
2007-04-18 10:00 <DIR> d-------- C:\DOCUME~1\Mau\DATOSD~1\SUPERAntiSpyware.com
2007-04-18 10:00 <DIR> d-------- C:\DOCUME~1\ALLUSE~1\DATOSD~1\SUPERAntiSpyware.com
2007-04-18 09:42 <DIR> d-------- C:\Archivos de programa\CCleaner
2007-04-18 08:09 76,560 --a------ C:\WINDOWS\system32\drivers\tmcomm.sys
2007-04-18 07:48 <DIR> d-------- C:\Archivos de programa\HJT
2007-04-17 20:34 <DIR> d-------- C:\Archivos de programa\IFC Markets
2007-04-16 20:19 <DIR> d-------- C:\Archivos de programa\FileASSASSIN
2007-04-16 17:07 <DIR> d-------- C:\DOCUME~1\Mau\DATOSD~1\Mobile Master
2007-04-15 09:36 <DIR> d-------- C:\Archivos de programa\NoPayPoker
2007-04-13 16:40 <DIR> d-------- C:\Archivos de programa\msn gaming zone
2007-04-13 16:39 0 --a------ C:\CONFIG.SYS
2007-04-13 16:39 0 --a------ C:\AUTOEXEC.BAT
2007-04-13 16:16 87,424 --a------ C:\WINDOWS\system32\drivers\irda.sys
2007-04-13 16:16 8,192 --a------ C:\WINDOWS\system32\wshirda.dll
2007-04-13 16:16 28,160 --a------ C:\WINDOWS\system32\irmon.dll
2007-04-13 16:16 153,600 --a------ C:\WINDOWS\system32\irftp.exe
2007-04-13 16:04 19,584 --a------ C:\WINDOWS\system32\drivers\rasirda.sys
2007-04-13 16:00 24,661 --a------ C:\WINDOWS\system32\spxcoins.dll
2007-04-13 16:00 13,312 --a------ C:\WINDOWS\system32\irclass.dll
2007-04-13 14:10 <DIR> d-------- C:\DOCUME~1\ALLUSE~1\DATOSD~1\Spybot - Search & Destroy
2007-04-13 12:28 311,296 --a------ C:\WINDOWS\Setup1.exe
2007-04-13 12:27 73,216 --a------ C:\WINDOWS\ST6UNST.EXE
2007-04-13 11:35 <DIR> d-------- C:\Archivos de programa\Globe7
2007-04-13 08:31 <DIR> d-------- C:\WINDOWS\ehome
2007-04-13 08:31 <DIR> d-------- C:\WINDOWS\Connection Wizard
2007-04-13 08:03 <DIR> d-------- C:\Archivos de programa\Archivos comunes\Agnitum Shared
2007-04-13 08:03 <DIR> d-------- C:\Archivos de programa\Agnitum
2007-04-12 19:43 <DIR> d-------- C:\DOCUME~1\Mau\DATOSD~1\Uniblue
2007-04-10 13:12 <DIR> d-------- C:\DOCUME~1\Mau\DATOSD~1\Ahead
2007-04-06 15:47 <DIR> d-------- C:\Archivos de programa\Planeta_de_Ajedrez
2007-04-06 14:15 <DIR> d-------- C:\Casino
2007-04-06 10:38 <DIR> d-------- C:\WINDOWS\system32\FlashAX
2007-04-05 17:44 <DIR> d--hs---- C:\WINDOWS\CSC
2007-03-27 22:22 <DIR> d--hs---- C:\WINDOWS\ftpcache
2007-03-25 19:53 <DIR> d-------- C:\DOCUME~1\Mau\DATOSD~1\Ascaron Entertainment
2007-03-25 19:48 <DIR> d--h----- C:\Archivos de programa\FX Uninstall Information
2007-03-24 11:13 <DIR> d--h----- C:\WINDOWS\PIF


(((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))) )))


2007-04-18 12:35 80462 --a------ C:\WINDOWS\system32\perfc00a.dat
2007-04-18 12:35 459340 --a------ C:\WINDOWS\system32\perfh00a.dat
2007-04-18 10:24 -------- d-------- C:\Archivos de programa\Archivos comunes\wise installation wizard
2007-04-16 21:41 -------- d-------- C:\DOCUME~1\Mau\DATOSD~1\secondlife
2007-04-16 20:04 -------- d-------- C:\Archivos de programa\flashget
2007-04-13 16:32 23676 --a------ C:\WINDOWS\system32\emptyregdb.dat
2007-04-13 16:31 -------- d-------- C:\Archivos de programa\messenger
2007-04-10 14:32 49296 --a------ C:\DOCUME~1\Mau\DATOSD~1\gdipfontcachev1.dat
2007-04-06 16:05 3804 --a------ C:\WINDOWS\mozver.dat
2007-04-05 10:00 -------- d-------- C:\Archivos de programa\ares
2007-04-02 14:21 1423 --a------ C:\DOCUME~1\Mau\DATOSD~1\arasan.log
2007-04-02 14:21 100720 --a------ C:\DOCUME~1\Mau\DATOSD~1\games.pgn
2007-03-25 19:48 -------- d--h----- C:\Archivos de programa\installshield installation information
2007-02-19 18:22 -------- d-------- C:\Archivos de programa\jasc software inc
2007-02-19 18:20 -------- d-------- C:\DOCUME~1\Mau\DATOSD~1\jasc software inc
2007-02-18 22:02 -------- d-------- C:\DOCUME~1\Mau\DATOSD~1\sierra


(((((((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))


*Note* empty entries & legit default entries are not shown

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Explorer\Browser Helper Objects]
{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} C:\Archivos de programa\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
{761497BB-D6F0-462C-B6EB-D4DAF1D92D43} C:\Archivos de programa\Java\jre1.5.0_06\bin\ssv.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows\curr entversion\run]
"CeEPOWER"="C:\\Archivos de programa\\TOSHIBA\\Power Management\\CePMTray.exe"
"DELUXECC"="C:\\WINDOWS\\twain_32\\SiPix\\SCDeluxe \\DELUXECC.exe"
"avgnt"="\"C:\\Archivos de programa\\AntiVir PersonalEdition Classic\\avgnt.exe\" /min"
"ezShieldProtector for Px"="C:\\WINDOWS\\system32\\ezSP_Px.exe"
"Outpost Firewall"="C:\\Archivos de programa\\Agnitum\\Outpost Firewall\\outpost.exe /waitservice"
"OutpostFeedBack"="C:\\Archivos de programa\\Agnitum\\Outpost Firewall\\feedback.exe /dump:os_startup"
"MSConfig"="C:\\WINDOWS\\PCHealth\\HelpCtr\\Binari es\\MSConfig.exe /auto"

[HKEY_CURRENT_USER\software\microsoft\windows\curre ntversion\policies\explorer]
"NoSharedDocuments"=hex:00,00,00,00
"NoRecentDocsHistory"=dword:00000001
"NoRecentDocsNetHood"=dword:00000001

[HKEY_CURRENT_USER\software\microsoft\windows\curre ntversion\policies\explorer\run]

HKEY_LOCAL_MACHINE\system\currentcontrolset\contro l\lsa
Authentication Packages REG_MULTI_SZ msv1_0\0\0
Security Packages REG_MULTI_SZ kerberos\0msv1_0\0schannel\0wdigest\0\0
Notification Packages REG_MULTI_SZ scecli\0\0


[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Documents and Settings^All Users^Menú Inicio^Programas^Inicio^Adobe Reader Speed Launch.lnk]
"path"="C:\\Documents and Settings\\All Users\\Menú Inicio\\Programas\\Inicio\\Adobe Reader Speed Launch.lnk"
"backup"="C:\\WINDOWS\\pss\\Adobe Reader Speed Launch.lnkCommon Startup"
"location"="Common Startup"
"command"="C:\\ARCHIV~1\\Adobe\\ACROBA~3.0\\Reader \\READER~1.EXE "
"item"="Adobe Reader Speed Launch"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Documents and Settings^All Users^Menú Inicio^Programas^Inicio^Run Google Web Accelerator.lnk]
"path"="C:\\Documents and Settings\\All Users\\Menú Inicio\\Programas\\Inicio\\Run Google Web Accelerator.lnk"
"backup"="C:\\WINDOWS\\pss\\Run Google Web Accelerator.lnkCommon Startup"
"location"="Common Startup"
"command"="C:\\ARCHIV~1\\Google\\WEBACC~1\\GOOGLE~ 2.EXE "
"item"="Run Google Web Accelerator"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Documents and Settings^Mau^Menú Inicio^Programas^Inicio^Eurobarre.lnk]
"path"="C:\\Documents and Settings\\Mau\\Menú Inicio\\Programas\\Inicio\\Eurobarre.lnk"
"backup"="C:\\WINDOWS\\pss\\Eurobarre.lnkStart up"
"location"="Startup"
"command"="C:\\ARCHIV~1\\EUROBA~1\\eb.exe "
"item"="Eurobarre"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersio n\\Run"
"item"=""
"hkey"="HKLM"
"command"=""
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Apoint]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersio n\\Run"
"item"="Apoint"
"hkey"="HKLM"
"command"="C:\\Archivos de programa\\Apoint2K\\Apoint.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ares]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersio n\\Run"
"item"="Ares"
"hkey"="HKCU"
"command"="\"C:\\Archivos de programa\\Ares\\Ares.exe\" -h"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ATIModeChange]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersio n\\Run"
"item"="Ati2mdxx"
"hkey"="HKLM"
"command"="Ati2mdxx.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AtiPTA]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersio n\\Run"
"item"="atiptaxx"
"hkey"="HKLM"
"command"="atiptaxx.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Babylon Client]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersio n\\Run"
"item"="Babylon"
"hkey"="HKLM"
"command"="C:\\Archivos de programa\\Babylon\\Babylon-Pro\\Babylon.exe -AutoStart"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Brave-Sentry]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersio n\\Run"
"item"="BraveSentry"
"hkey"="HKCU"
"command"="C:\\Program Files\\BraveSentry\\BraveSentry.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CeEKEY]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersio n\\Run"
"item"="CeEKey"
"hkey"="HKLM"
"command"="C:\\Archivos de programa\\TOSHIBA\\E-KEY\\CeEKey.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CTFMON.EXE]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersio n\\Run"
"item"="ctfmon"
"hkey"="HKCU"
"command"="C:\\WINDOWS\\system32\\ctfmon.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DAEMON Tools]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersio n\\Run"
"item"="daemon"
"hkey"="HKLM"
"command"="\"C:\\Archivos de programa\\DAEMON Tools\\daemon.exe\" -lang 1033"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Globe7]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersio n\\Run"
"item"="Globe7"
"hkey"="HKLM"
"command"="\"C:\\Archivos de programa\\Globe7\\Globe7.exe\" /hide"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LanguageShortcut]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersio n\\Run"
"item"="Language"
"hkey"="HKLM"
"command"="\"C:\\Archivos de programa\\CyberLink\\PowerDVD\\Language\\Language. exe\""
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MMAgent]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersio n\\Run"
"item"="MMAgent"
"hkey"="HKCU"
"command"="C:\\Archivos de programa\\Mobile Master\\MMAgent.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MsnMsgr]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersio n\\Run"
"item"="msnmsgr"
"hkey"="HKCU"
"command"="\"C:\\Archivos de programa\\MSN Messenger\\msnmsgr.exe\" /background"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersio n\\Run"
"item"="NeroCheck"
"hkey"="HKLM"
"command"="C:\\WINDOWS\\system32\\NeroCheck.ex e"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PermissionResearch]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersio n\\Run"
"item"="prmrsr"
"hkey"="HKLM"
"command"="c:\\windows\\system32\\prmrsr.exe -boot"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Pinger]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersio n\\Run"
"item"="pinger"
"hkey"="HKLM"
"command"="c:\\toshiba\\ivp\\ism\\pinger.exe /run"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RamBooster]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersio n\\Run"
"item"="Rambooster"
"hkey"="HKCU"
"command"="C:\\Archivos de programa\\RamBooster 2.0\\Rambooster.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RemoteControl]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersio n\\Run"
"item"="PDVDServ"
"hkey"="HKLM"
"command"="\"C:\\Archivos de programa\\CyberLink\\PowerDVD\\PDVDServ.exe\""
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SoundFusion]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersio n\\Run"
"item"="RunDll32 cwaprops"
"hkey"="HKLM"
"command"="RunDll32 cwaprops.cpl,CrystalControlWnd"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SpybotSD TeaTimer]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersio n\\Run"
"item"="TeaTimer"
"hkey"="HKCU"
"command"="C:\\Archivos de programa\\Spybot - Search & Destroy\\TeaTimer.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersio n\\Run"
"item"="jusched"
"hkey"="HKLM"
"command"="C:\\Archivos de programa\\Java\\jre1.5.0_06\\bin\\jusched.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\System]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersio n\\Run"
"item"="kernels32"
"hkey"="HKLM"
"command"="C:\\WINDOWS\\system32\\kernels32.ex e"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TkBellExe]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersio n\\Run"
"item"="realsched"
"hkey"="HKLM"
"command"="\"C:\\Archivos de programa\\Archivos comunes\\Real\\Update_OB\\realsched.exe\" -osboot"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TPNF]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersio n\\Run"
"item"="TPTray"
"hkey"="HKLM"
"command"="C:\\Archivos de programa\\TOSHIBA\\TouchPad\\TPTray.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TSysSMon]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersio n\\Run"
"item"="tsyssmon"
"hkey"="HKLM"
"command"="c:\\toshiba\\sysstability\\tsyssmon .exe /detect"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Windows update loader]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersio n\\Run"
"item"="xpupdate"
"hkey"="HKCU"
"command"="C:\\Windows\\xpupdate.exe"
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Zone Labs Client]
"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersio n\\Run"
"item"="zlclient"
"hkey"="HKLM"
"command"="\"C:\\Archivos de programa\\Zone Labs\\ZoneAlarm\\zlclient.exe\""
"inimapping"="0"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"Messenger"=dword:00000002
"RichVideo"=dword:00000002
"MDM"=dword:00000002
"Services an controller settings"=dword:00000002
"Schedule"=dword:00000002
"SCardSvr"=dword:00000003
"SCardDrv"=dword:00000003
"mnmsrvc"=dword:00000003
"SENS"=dword:00000002
"srservice"=dword:00000002

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows NT\CurrentVersion\Svchost]
LocalService REG_MULTI_SZ Alerter\0WebClient\0LmHosts\0RemoteRegistry\0upnph ost\0SSDPSRV\0\0
NetworkService REG_MULTI_SZ DnsCache\0\0
rpcss REG_MULTI_SZ RpcSs\0\0
imgsvc REG_MULTI_SZ StiSvc\0\0
termsvcs REG_MULTI_SZ TermService\0\0
HTTPFilter REG_MULTI_SZ HTTPFilter\0\0
DcomLaunch REG_MULTI_SZ DcomLaunch\0TermService\0\0



Contents of the 'Scheduled Tasks' folder
C:\WINDOWS\tasks\Aviso de registro 1.job
C:\WINDOWS\tasks\Aviso de registro 3.job

************************************************** ******************

catchme 0.2 W2K/XP/Vista - userland rootkit detector by Gmer, 17 October 2006
http://www.gmer.net

scanning hidden processes ...

scanning hidden services ...

HKLM\SYSTEM\CurrentControlSet\Services\winmgmt5f5-64b

scanning hidden autostart entries ...

scanning hidden files ...

C:\WINDOWS\system32\windev-5f5-64b.sys 139264 bytes
C:\WINDOWS\system32\windev-peers.ini 8192 bytes

scan completed successfully
hidden processes: 0
hidden services: 1
hidden files: 2

************************************************** ******************

Completion time: 07-04-18 18:46:52
C:\ComboFix-quarantined-files.txt ... 07-04-18 18:46


Ahi salio el archivo que me alerto el rootkit pero no lo puedo ver en la carpeta, ya lo borro? (esta puesto mostrar todos los archivos)

solucionado, entre a modo a prueba de fallos y elimine todo, pase todos los limpiadores de registro otra vez y ya estoy limpito.
Nadie manda nada, sin que yo lo deje, jaja.

Saludos y mas que gracias, voy a estar dando vueltas por el foro para dar una mano en lo que pueda