Foro de InfoSpyware - Foro de Hijackthis - Foro de Virus

quiero decirles que estoy infectado y no se con que, algunos programas dejaron de funcionar y de CASUALIDAD Y SUERTE que pude conectarme, pues Firefox dejó de funcionar, al igual que SiteAdvisor y Ad-Adware, para poder entrar acá tardó 11 minutos luego de varios intentos, lo unico que puedo decirles que el Ad-Watch SE me informó antes que dejara de funcionar, lo siguiente:
MODIFICACION DE REGISTRO DETECTADO
LLAVE: SOFTWARE\CLASSES\REGFILE\SHELL\OPEN\COMMAND
DATO: NOTEPAD.EXE %1
NUEVO DATO: REGEDIT.EXE "%1"
Limpie mi PC con AD-Adware y lo rwealizó bien, luego le pasé SUPERAntispyware y no detectó nada, traté de pasar Ewido online y no funciona de ningun modo, pasé el DiskCleaner bien, tambien el RegSeeker, el NOD32 no detectó nada, restaurar el sistema no me dejó ningun punto para hacerlo y ahora temo desconectarme porque sé positivamente que quizas no lo pueda volver a hacer. Temo tener que formatear, pues tengo muchos datos muy importantes personales. La velocidad no me permite bajar programas de seguridad ni navegar dentro de nuestro foro. Les pido que me disculpen y me den una mano si logro pegar el reporte de HijackThis acá, lo dudo, pues la descarga de dicho programa dice que demorará dos horas con cincuenta minutos!!! es el unico lugar donde pude aterrizar de emergencia. Les pido mil perdones.

Pude rescatar esto de NOD32
MODULO IMON
WIN32/TROJAN DROPPER.VB.NAI

Hola.

Descarga el DelPSGuard , creo que te dara bueno resultados.

Pasalo en modo seguro y en modo normal.


Regresa y dinos que paso.!°

Queria agradecer tu respuesta, te comento que hice correr PSGuard y los cambios no fueron muchos o importantes, pues AD-Watch volvio a notificar modificacion en el registro y para poder entrar al foro estuvo corriendo IE 18 minutos, y para responder este mensaje demoró 12 minuitos. El programa no notifico nada si encontro algo, pidió reiniciar y los navegadores se portan de una manera incorrecta, pienso que continúo infectado por el comportamiento en general, es más, SiteAdvisor se desinstaló y Nod32 lo tuve que activar en forma manual.

Saludos

Hola.

No se si este bien qur yo pida la utilizacion de esto , pero es por ayudar,descarga el ComboFix .

Sigue estas instrucciones para usarlo:


suerte!

Este es el reporte

"Roberto" - 2007-05-14 5:36:01 Service Pack 2
ComboFix 07-05.13.V - Running from: "C:\Documents and Settings\Roberto\Escritorio\"


((((((((((((((((((((((((((((((( Files Created from 2007-04-05 to 2007-05-14 ))))))))))))))))))))))))))))))))))


2007-05-13 21:50 <DIR> d-------- C:\Archivos de programa\DelPSGuard
2007-05-13 21:00 <DIR> d-------- C:\Archivos de programa\HJT
2007-05-11 20:20 89,360 --a------ C:\WINDOWS\system32\VB5DB.DLL
2007-05-11 20:20 <DIR> d-------- C:\Archivos de programa\SatScape
2007-05-05 10:07 <DIR> d-------- C:\Archivos de programa\Lavasoft
2007-05-05 08:14 <DIR> d-------- C:\DOCUME~1\Roberto\.rssowl
2007-05-05 08:14 <DIR> d-------- C:\Archivos de programa\RSSOwl
2007-05-05 08:02 <DIR> d-------- C:\DOCUME~1\Roberto\DATOSD~1\Feedreader
2007-05-05 08:01 <DIR> d-------- C:\Archivos de programa\FeedReader
2007-05-01 14:36 <DIR> d-------- C:\Archivos de programa\MP3Gain
2007-04-30 21:49 <DIR> d-------- C:\WINDOWS\SxsCaPendDel
2007-04-30 21:07 <DIR> d-------- C:\DOCUME~1\Roberto\Parts
2007-04-29 18:13 6,029,312 --a------ C:\DOCUME~1\Roberto\ntuser.dat
2007-04-29 09:48 248,988 --a------ C:\WINDOWS\system32\rwafdosxca_nav.dat
2007-04-29 09:47 4,486 --a------ C:\WINDOWS\system32\rwafdosxca.dat
2007-04-29 09:47 330 --a------ C:\WINDOWS\system32\rwafdosxca_navps.dat
2007-04-28 19:05 <DIR> d-------- C:\DOCUME~1\Roberto\DATOSD~1\PCToolsFirewallPlus
2007-04-28 19:00 55,904 --a------ C:\WINDOWS\system32\drivers\pctfw.sys
2007-04-28 19:00 <DIR> d-------- C:\Archivos de programa\PC Tools Firewall Plus
2007-04-27 17:50 <DIR> d-------- C:\Programas para guardar
2007-04-15 10:04 696,320 --a------ C:\WINDOWS\system32\libeay32.dll
2007-04-15 10:04 155,648 --a------ C:\WINDOWS\system32\ssleay32.dll
2007-04-15 10:04 <DIR> d-------- C:\DOCUME~1\LOCALS~1\DATOSD~1\iolo
2007-04-15 10:03 435,816 --a------ C:\WINDOWS\system32\Incinerator.dll
2007-04-15 10:03 41,472 --a------ C:\WINDOWS\system32\iolobtdfg.exe
2007-04-15 10:03 25,264 --a------ C:\WINDOWS\system32\smrgdf.exe
2007-04-15 10:03 <DIR> d-------- C:\Archivos de programa\iolo
2007-04-15 09:50 <DIR> d-------- C:\DOCUME~1\Roberto\DATOSD~1\iolo
2007-04-15 09:50 <DIR> d-------- C:\DOCUME~1\ALLUSE~1\DATOSD~1\iolo


(((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))) )))


2007-05-13 22:01:21 -------- d-----w C:\Archivos de programa\SUPERAntiSpyware
2007-05-12 15:09:12 -------- d-----w C:\Archivos de programa\LimeWire
2007-05-11 23:20:09 -------- d--h--w C:\Archivos de programa\InstallShield Installation Information
2007-05-11 09:05:25 -------- d-----w C:\Archivos de programa\SpywareBlaster
2007-05-07 23:27:41 -------- d-----w C:\Archivos de programa\MSN Messenger
2007-05-07 20:48:10 1,080 ----a-w C:\WINDOWS\AUTOLNCH.REG
2007-05-05 21:27:51 -------- d-----w C:\Archivos de programa\Google
2007-05-05 13:09:19 -------- d-----w C:\DOCUME~1\Roberto\DATOSD~1\Lavasoft
2007-05-04 23:52:34 -------- d-----w C:\Archivos de programa\Messenger Plus! Live
2007-04-26 23:47:26 -------- d-----w C:\Archivos de programa\a-squared Free
2007-04-25 21:16:23 -------- d-----w C:\Archivos de programa\Free Audio Pack
2007-04-18 23:57:17 -------- d-----w C:\Archivos de programa\MiniReminder
2007-04-18 23:57:01 -------- d-----w C:\Archivos de programa\Microsoft Private Folder 1.0
2007-04-18 01:37:10 -------- d-----w C:\Archivos de programa\TuneUp Utilities 2006
2007-03-29 01:36:33 2,341 --sh--w C:\WINDOWS\system32\abadd.ini2
2007-03-29 01:14:20 -------- d-----w C:\DOCUME~1\Roberto\DATOSD~1\SUPERAntiSpyware.com
2007-03-29 01:13:48 -------- d-----w C:\Archivos de programa\Archivos comunes\Wise Installation Wizard
2007-03-25 21:55:04 -------- d-----w C:\Archivos de programa\Free Download Manager
2007-03-25 21:30:16 30,080 ----a-w C:\WINDOWS\system32\drivers\tifsfilt.sys
2007-03-25 21:30:16 247,008 ----a-w C:\WINDOWS\system32\drivers\timntr.sys
2007-03-25 21:30:04 96,032 ----a-w C:\WINDOWS\system32\drivers\snapman.sys
2007-03-25 18:17:21 -------- d-----w C:\DOCUME~1\Roberto\DATOSD~1\WholeSecurity
2007-03-22 00:15:52 8,561 ----a-w C:\WINDOWS\mozver.dat
2007-03-21 21:48:32 -------- d-----w C:\DOCUME~1\Roberto\DATOSD~1\Azureus
2007-03-21 18:18:56 -------- d-----w C:\Archivos de programa\XnView
2007-03-17 13:45:06 293,376 ----a-w C:\WINDOWS\system32\winsrv.dll
2007-03-11 16:34:37 -------- d-----w C:\DOCUME~1\Roberto\DATOSD~1\XnView
2007-03-11 16:22:15 -------- d-----w C:\DOCUME~1\Roberto\DATOSD~1\ACD Systems
2007-03-11 16:09:48 -------- d-----w C:\Archivos de programa\Archivos comunes\ACD Systems
2007-03-11 16:09:44 -------- d-----w C:\Archivos de programa\ACD Systems
2007-03-11 15:30:24 -------- d-----w C:\Archivos de programa\ACD
2007-03-11 14:40:51 -------- d-----w C:\Archivos de programa\Hewlett-Packard
2007-03-09 00:01:08 -------- d-----w C:\Archivos de programa\Mensajería de Windows
2007-03-09 00:01:07 -------- d-----w C:\DOCUME~1\Roberto\DATOSD~1\GetRightToGo
2007-03-09 00:01:06 -------- d---a-w C:\Archivos de programa\RegSeeker
2007-03-08 15:36:30 578,560 ----a-w C:\WINDOWS\system32\user32.dll
2007-03-08 15:36:30 40,960 ----a-w C:\WINDOWS\system32\mf3216.dll
2007-03-08 15:36:30 281,600 ----a-w C:\WINDOWS\system32\gdi32.dll
2007-03-08 15:32:46 1,843,712 ----a-w C:\WINDOWS\system32\win32k.sys
2007-02-19 00:07:54 2,560 ----a-w C:\WINDOWS\_MSRSTRT.EXE
2007-02-05 20:18:39 185,344 ----a-w C:\WINDOWS\system32\upnphost.dll


(((((((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))


*Note* empty entries & legit default entries are not shown

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Explorer\Browser Helper Objects]
{089FD14D-132B-48FC-8861-0048AE113215}=C:\Archivos de programa\SiteAdvisor\6028\SiteAdv.dll [2007-02-08 23:38]
{761497BB-D6F0-462C-B6EB-D4DAF1D92D43}=C:\Archivos de programa\Java\jre1.5.0_11\bin\ssv.dll [2006-12-15 03:23]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\curr entversion\run]
"NeroFilterCheck"="C:\\WINDOWS\\system32\\NeroChec k.exe"
"SoundMAXPnP"="C:\\Archivos de programa\\Analog Devices\\SoundMAX\\SMax4PNP.exe"
"nod32kui"="\"C:\\Archivos de programa\\Eset\\nod32kui.exe\" /WAITSERVICE"
"CnxDslTaskBar"="C:\\Archivos de programa\\CA-85UR\\ADSL\\CnxDslTb.exe"
"Ink Monitor"="C:\\Archivos de programa\\EPSON\\Ink Monitor\\InkMonitor.exe"
"NvCplDaemon"="RUNDLL32.EXE C:\\WINDOWS\\system32\\NvCpl.dll,NvStartup"
"SiteAdvisor"="C:\\Archivos de programa\\SiteAdvisor\\6028\\SiteAdv.exe"
"nwiz"="nwiz.exe /install"
"COMODO Firewall Pro"="\"C:\\Archivos de programa\\Comodo\\Firewall\\CPF.exe\" /background"
"Device Detector"="DevDetect.exe -autorun"
"AWMON"="\"C:\\ARCHIV~1\\Lavasoft\\AD-AWA~1\\Ad-Watch.exe\""
"KernelFaultCheck"=hex(2):25,73,79,73,74,65,6d,72, 6f,6f,74,25,5c,73,79,73,74,\

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run]
"NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.e xe" [2001-07-09 11:50]
"SoundMAXPnP"="C:\Archivos de programa\Analog Devices\SoundMAX\SMax4PNP.exe" [2003-05-29 16:28]
"nod32kui"="C:\Archivos de programa\Eset\nod32kui.exe" [2006-09-03 19:59]
"CnxDslTaskBar"="C:\Archivos de programa\CA-85UR\ADSL\CnxDslTb.exe" [2002-09-26 16:14]
"Ink Monitor"="C:\Archivos de programa\EPSON\Ink Monitor\InkMonitor.exe" [2003-05-05 01:27]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2006-08-11 21:43]
"SiteAdvisor"="C:\Archivos de programa\SiteAdvisor\6028\SiteAdv.exe" [2006-10-02 16:09]
"nwiz"="nwiz.exe" [2006-08-11 21:43 C:\WINDOWS\system32\nwiz.exe])
"COMODO Firewall Pro"="C:\Archivos de programa\Comodo\Firewall\CPF.exe" [2007-02-18 21:16]
"Device Detector"="DevDetect.exe" [])
"AWMON"="C:\ARCHIV~1\Lavasoft\AD-AWA~1\Ad-Watch.exe" [2004-09-16 16:15]
"KernelFaultCheck"="%systemroot%\system32\dump rep 0 -k" []

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-20 09:00]
"SpybotSD TeaTimer"="C:\Archivos de programa\Spybot - Search & Destroy\TeaTimer.exe" [2005-05-31 01:04]
"SUPERAntiSpyware"="C:\Archivos de programa\SUPERAntiSpyware\SUPERAntiSpyware.exe" [2007-02-27 11:39]
"MsnMsgr"="C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe" [2007-01-19 12:55]

[HKEY_CURRENT_USER\software\microsoft\windows\curre ntversion\run]
"CTFMON.EXE"="C:\\WINDOWS\\system32\\ctfmon.ex e"
"SpybotSD TeaTimer"="C:\\Archivos de programa\\Spybot - Search & Destroy\\TeaTimer.exe"
"SUPERAntiSpyware"="C:\\Archivos de programa\\SUPERAntiSpyware\\SUPERAntiSpyware.exe"
"MsnMsgr"="\"C:\\Archivos de programa\\MSN Messenger\\MsnMsgr.Exe\" /background"


HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\!SASWinLogon

HKEY_LOCAL_MACHINE\system\currentcontrolset\contro l\lsa
Authentication Packages msv1_0\0\0
Security Packages kerberos\0msv1_0\0schannel\0wdigest\0\0
Notification Packages scecli\0\0


[HKEY_CURRENT_USER\software\microsoft\windows\curre ntversion\run-]
"MSMSGS"="\"C:\\Archivos de programa\\Messenger\\msmsgs.exe\" /background"

[HKEY_LOCAL_MACHINE\software\microsoft\windows\curr entversion\run-]
"nwiz"="nwiz.exe /install"
"NvCplDaemon"="RUNDLL32.EXE C:\\WINDOWS\\system32\\NvCpl.dll,NvStartup"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Svchost]
HTTPFilter HTTPFilter\0\0
LocalService Alerter\0WebClient\0LmHosts\0RemoteRegistry\0upnph ost\0SSDPSRV\0\0
NetworkService DnsCache\0\0
DcomLaunch DcomLaunch\0TermService\0\0
rpcss RpcSs\0\0
imgsvc StiSvc\0\0
termsvcs TermService\0\0
WudfServiceGroup WUDFSvc\0\0

HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost


Contents of the 'Scheduled Tasks' folder
C:\WINDOWS\tasks\Mantenimiento con 1 clic.job

************************************************** ******************

catchme 0.3.660 W2K/XP/Vista - userland rootkit detector by Gmer, http://www.gmer.net
Rootkit scan 2007-05-14 05:39:14
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden services ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0


************************************************** ******************

Completion time: 2007-05-14 5:39:21
C:\ComboFix-quarantined-files.txt ... 2007-05-14 05:39

Esperemos tener suerte, gracias.

Hola.

Dime se a mejorado algo tu problema o no ?

Espero tu respuestas !

Te comento que mejoró bastante, mil gracias por molestarte en ayudarme . Me gustaría saber de que modo puedo hacer un chequeo general para ver si mi PC está limpia. Después de revisar bien daría el tema por finalizado.

Mis saludos y nuevamente muchas gracias.

Hoy por la tarde estuve corriendo a-squared free y encontró algunas cosas como dialers de riesgo alto y lo borró, en Firefox no pme permite agregar "marcadores", ahora pasaré Panda online y luego te diré que pasó.

Saludos.

hola .......

para verificar que tu pc este limpia....
pasa un escaneo con...
chao.... ... nos cuentas como te fue....

Este es el reporte de Panda, ¿como elimino esto?

Incidencia Estado Elemento

Adware:adware/navipromo No desinfectado c:\windows\system32\rwafdosxca_nav.dat
Spyware:Cookie/ademails No desinfectado C:\Documents and Settings\Roberto\Cookies\roberto@www.ademails[1].txt
Herramienta potencialmente no deseada:Application/NirCmd.A No desinfectado C:\Documents and Settings\Roberto\Escritorio\ComboFix.exe[ComboFixT\nircmd.exe]

Saludos

hola... .
elimina estos archivos si no se dejan eliminar, los puedes eliminar utilizando FileAssasin

Cita:

c:\windows\system32\rwafdosxca_nav.dat

luego pasa el Ccleaner-Manual elimina cookies y temporales RegSeeker -Manual limpia el registro hazta que no quede nada con la opcion de backup habilitada....
el combo fix puede ser identificado por ciertos antivirus como peligroso... si utilizaste la herramienta no hay problema si no borra la entrada....
Pasa un escaneo con..........
Ewido le das a la opcion de Remove Infections
Kaspersky ... nos pegas el reporte que te genere el Kaspersky

chao.... ... nos cuentas como te fue....