Foro de InfoSpyware - Foro de Hijackthis - Foro de Virus

Hola: Creo que tengo el PC infectado por spyware. He pasado mi antivirus (ClamWin) y me quitó algún troyano. Luego pasé el Search y Destroy, Panda on line y Trend Micro on line.
Después de todo eso, siguen emergiendo ventanas y el pc va lento. Además no conseguí restaurar el sistema un punto anterior, por lo cual lo desactivé.
He sacado un log con el HijackThis, pero no sé qué hacer con él.
¿Me podeis ayudar?

Logfile of Trend Micro HijackThis v2.0.0 (BETA)
Scan saved at 9:27:42, on 21/05/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\svchost.exe
C:\Archivos de programa\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Archivos de programa\Roxio\WinOnCD 6 DVD\DirectCD\DirectCD.exe
C:\WINDOWS\SOUNDMAN.EXE
F:\Archivos de programa\CloneCD\CloneCDTray.exe
C:\Archivos de programa\Java\jre1.5.0_11\bin\jusched.exe
C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe
C:\Archivos de programa\QuickTime\qttask.exe
C:\Archivos de programa\ClamWin\bin\ClamTray.exe
C:\Archivos de programa\D-Tools\daemon.exe
C:\WINDOWS\system32\svchost.exe
F:\Archivos de programa\Picasa2\PicasaMediaDetector.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe
C:\Archivos de programa\Adobe\Acrobat 6.0\Distillr\acrotray.exe
C:\Archivos de programa\VIA\RAID\raid_tool.exe
C:\Archivos de programa\Java\jre1.5.0_11\bin\jucheck.exe
C:\Archivos de programa\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Archivos de programa\Mozilla Firefox\firefox.exe
C:\Documents and Settings\pc\Mis documentos\Archivos\Software\Seguridad\HiJackThis_ v2.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.es/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O1 - Hosts: <!DOCTYPE HTML PUBLIC "-//IETF//DTD HTML 2.0//EN">
O1 - Hosts: <HTML><HEAD>
O1 - Hosts: <TITLE>404 Not Found</TITLE>
O1 - Hosts: </HEAD><BODY>
O1 - Hosts: <H1>Not Found</H1>
O1 - Hosts: The requested URL /stat.dat was not found on this server.<P>
O1 - Hosts: </BODY></HTML>
O1 - Hosts: 62.75.224.159 www.bns3.net
O1 - Hosts: 62.75.224.159 www.bns4.net
O1 - Hosts: 62.75.224.159 www.bns5.net
O1 - Hosts: 62.75.224.159 www.bns6.net
O1 - Hosts: 62.75.224.159 www.bns7.net
O1 - Hosts: 62.75.224.159 www.bns8.net
O1 - Hosts: 62.75.224.159 www.cms3.net
O1 - Hosts: 62.75.224.159 www.cms4.net
O1 - Hosts: 62.75.224.159 www.cms5.net
O1 - Hosts: 62.75.224.159 www.cms6.net
O1 - Hosts: 62.75.224.159 www.cms7.net
O1 - Hosts: 62.75.224.159 www.cms8.net
O1 - Hosts: 62.75.224.159 www.rg1.com
O1 - Hosts: 62.75.224.159 www.rg2.com
O1 - Hosts: 62.75.224.159 www.rg3.com
O1 - Hosts: 62.75.224.159 www.rg4.com
O1 - Hosts: 62.75.224.159 www.rg5.com
O1 - Hosts: 62.75.224.159 www.rg6.com
O1 - Hosts: 62.75.224.159 www.rg7.com
O1 - Hosts: 62.75.224.159 www.rg8.com
O1 - Hosts: 62.75.224.159 bns3.net
O1 - Hosts: 62.75.224.159 bns4.net
O1 - Hosts: 62.75.224.159 bns5.net
O1 - Hosts: 62.75.224.159 bns6.net
O1 - Hosts: 62.75.224.159 bns7.net
O1 - Hosts: 62.75.224.159 bns8.net
O1 - Hosts: 62.75.224.159 cms3.net
O1 - Hosts: 62.75.224.159 cms4.net
O1 - Hosts: 62.75.224.159 cms5.net
O1 - Hosts: 62.75.224.159 cms6.net
O1 - Hosts: 62.75.224.159 cms7.net
O1 - Hosts: 62.75.224.159 cms8.net
O1 - Hosts: 62.75.224.159 rg1.com
O1 - Hosts: 62.75.224.159 rg2.com
O1 - Hosts: 62.75.224.159 rg3.com
O1 - Hosts: 62.75.224.159 rg4.com
O1 - Hosts: 62.75.224.159 rg5.com
O1 - Hosts: 62.75.224.159 rg6.com
O1 - Hosts: 62.75.224.159 rg7.com
O1 - Hosts: 62.75.224.159 rg8.com
O1 - Hosts: 62.75.224.159 www.m7z.net
O1 - Hosts: 62.75.224.159 m7z.net
O1 - Hosts: 62.75.224.159 jcontent.bns1.m7z.net
O1 - Hosts: 62.75.224.159 j.2004CMS.com
O1 - Hosts: 62.75.224.159 2004CMS.com
O1 - Hosts: 62.75.224.159 bns1.m7z.net
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {3299FB31-64D0-612D-AB40-1DE34894A9EA} - (no file)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.5.0_11\bin\ssv.dll
O2 - BHO: 0 - {B0711BD5-74B3-4F53-BBBB-60776832ECB0} - C:\Archivos de programa\Windows Media Player\lavujatuk.dll (file missing)
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Archivos de programa\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [Ptipbmf] rundll32.exe ptipbmf.dll,SetWriteCacheMode
O4 - HKLM\..\Run: [ATIPTA] C:\Archivos de programa\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Archivos de programa\Roxio\WinOnCD 6 DVD\DirectCD\DirectCD.exe"
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "F:\Archivos de programa\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [CloneCDTray] "F:\Archivos de programa\CloneCD\CloneCDTray.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Archivos de programa\Java\jre1.5.0_11\bin\jusched.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [ClamWin] "C:\Archivos de programa\ClamWin\bin\ClamTray.exe" --logon
O4 - HKLM\..\Run: [.nvsvc] C:\WINDOWS\system\smss.exe /w
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Archivos de programa\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [Picasa Media Detector] F:\Archivos de programa\Picasa2\PicasaMediaDetector
O4 - HKLM\..\Run: [WindowsServicesStartup] C:\DOCUME~1\pc\CONFIG~1\Temp\svchost.exe 1
O4 - HKLM\..\Run: [runner1] C:\WINDOWS\retadpu1000137.exe 61A847B5BBF72813329B385771FE01F0B3E35B6638993F4661 AA4EBD86D67C56389B284534F310
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [Awlr] "C:\WINDOWS\MBOLS~1\fast.exe" -vt yazb
O4 - HKCU\..\Run: [Aoistcl] C:\WINDOWS\??sks\?srss.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICIO LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Servicio de red')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Acrobat Assistant.lnk = C:\Archivos de programa\Adobe\Acrobat 6.0\Distillr\acrotray.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Archivos de programa\Archivos comunes\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: VIA RAID TOOL.lnk = C:\Archivos de programa\VIA\RAID\raid_tool.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O12 - Plugin for .spop: C:\Archivos de programa\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O21 - SSODL: msin32.dll - {C38B28EC-E7F1-012A-5197-2D99899915CA} - (no file)
O22 - SharedTaskScheduler: Precargador Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\System32\browseui.dll
O22 - SharedTaskScheduler: Demonio de caché de las categorías de componente - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\System32\browseui.dll
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Servicio del administrador de discos lógicos (dmadmin) - Unknown owner - C:\WINDOWS\System32\dmadmin.exe
O23 - Service: Registro de sucesos (Eventlog) - Unknown owner - C:\WINDOWS\system32\services.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Archivos de programa\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Servicio COM de grabación de CD de IMAPI (ImapiService) - Unknown owner - C:\WINDOWS\System32\imapi.exe
O23 - Service: Escritorio remoto compartido de NetMeeting (mnmsrvc) - Unknown owner - C:\WINDOWS\System32\mnmsrvc.exe
O23 - Service: Plug and Play (PlugPlay) - Unknown owner - C:\WINDOWS\system32\services.exe
O23 - Service: Administrador de sesión de Ayuda de escritorio remoto (RDSessMgr) - Unknown owner - C:\WINDOWS\system32\sessmgr.exe
O23 - Service: Tarjeta inteligente (SCardSvr) - Unknown owner - C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: Registros y alertas de rendimiento (SysmonLog) - Unknown owner - C:\WINDOWS\system32\smlogsvc.exe
O23 - Service: Instantáneas de volumen (VSS) - Unknown owner - C:\WINDOWS\System32\vssvc.exe
O23 - Service: Adaptador de rendimiento de WMI (WmiApSrv) - Unknown owner - C:\WINDOWS\System32\wbem\wmiapsrv.exe
O24 - Desktop Component 0: (no name) - (no file)

--
End of file - 10163 bytes

Hola misbel y bienvenida a InfoSpyware

** Descarga la herramienta CCleaner y instalala ; en el menú Opciones / Avanzada, demarca la casilla "Sólo borrar de las carpetas Temp de Windows los archivos de más de 48hrs". No ejecutes el limpiador todavia.

Cierra todos los programas, ejecuta HijackThis y dale "Fix Cheked" a estas entradas:

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
O1 -> todas las lineas ni no has modificado el archivo Hosts
O2 - BHO: (no name) - {3299FB31-64D0-612D-AB40-1DE34894A9EA} - (no file)
O2 - BHO: 0 - {B0711BD5-74B3-4F53-BBBB-60776832ECB0} - C:\Archivos de programa\Windows Media Player\lavujatuk.dll (file missing)
O21 - SSODL: msin32.dll - {C38B28EC-E7F1-012A-5197-2D99899915CA} - (no file)

Descarga la utilidad ComboFix.exe.
Ejecuta ComboFix.exe para iniciar el programa. Se abrirá la ventana del programa en modo MS-DOS.
Pulsa inmediatamente la tecla "Y" (Yes) y después sobre ENTER para iniciar el proceso de detección y limpieza.
Los iconos del Escritorio desaparecerán (esto es normal) y aparecerá el mensaje "Performing a scan of your machine".
A continuación, aparecerá el mensaje "Preparing a log report" "This takes a while. So, please be patient".
Seguidamente, aparecerán los mensajes "Almost done..." "A report of Combofix's actions would be produced at C:\Combofix.txt".
Se paciente y espera a que la ventana del programa se cierre sola y se muestre el archivo C:\Combofix.txt. Los iconos del Escritorio volverán a su sitio sin necesidad de tener que reiniciar el PC.

*Descarga la utilidad SDFix de Andy Manchesta.

*Reinicia el PC en Modo Seguro (a prueba de fallos).

** Utiliza la opcion "Ejecutar el limpiador" del CCleaner.

*Haz doble-clic en SDFix.zip para extraer el contenido en C:\SDFix.

*NOTA: Algunos antivirus y/o programas anti-malware detectan el proceso "process.exe" como malicioso (al igual que ocurre con la utilidad smitRem de Noahd Fear) en las siguientes ubicaciones:
Mis Documentos o carpeta donde has descargado "SDFix\SDFix.zip\SDFix.exe\Process.exe" y en
"C:\SDFix\apps\Process.exe" (Risktool.Win32.Processor.20)
Debes ignorar esas alertas y desactivar el antivirus temporalmente para permitir que SDFix lleve a cabo el proceso de desinfección.

*Abre la carpeta C:\SDFix y haz doble-clic sobre el archivo "RunThis.bat".

*En la pantalla en modo MS-DOS (modo con símbolo del sistema), teclea "Y" (Yes) para empezar la ejecución del programa. Aparecerá una ventana mostrando los siguientes textos:
Please wait...
"Checking Running Processes"
"Checking Running Services"
Se eliminarán todos los servicios (entradas 023 del log de HijackThis) relacionados con el troyano en cuestión y se realizarán las reparaciones pertinentes en el registro del sistema.
*Cuando haya terminado, presiona cualquier tecla para reiniciar. Notarás que el sistema tardará algo más en reiniciar. Esto es normal.

*Cuando el PC haya reiniciado, aparecerá una ventana indicando lo siguiente:
"Stage Two"
"This may take 4-5 Minutes..."
"Please be patient as this may take a few minutes..."
"Checking for Remaining Files and Services..."
Se paciente y espera a que transcurran los 4 ó 5 minutos necesarios para completar el proceso de desinfección.

Por último, aparecerá la ventana "The FixTool has finished".
*Presiona cualquier tecla para finalizar el script y cargar los iconos del Escritorio normalmente.
Se habrá generado un informe detallado "report.txt" en la carpeta C:\SDFix indicando los resultados de la limpieza y eliminación de los troyanos detectados, así como cualquier referencia de los mismos en el registro del sistema.
Para que el antivirus y/o programa anti-spyware no sigan alertándote, elimina las carpetas "SDFix" en las ubicaciones mencionadas anteriormente: Mis Documentos o carpeta donde descargaste "SDFix" y C:\SDFix.

Pega los siguientes reportes :

C:\SDFix\report.txt
C:\Combofix.txt
- un nuevo HJT

y nos dice si piensas que la situacion se mejora

Hola, Jean-Crétien:
Muchas gracias por la bienvenida y la rapidez en contestar.
He hecho "Fix cheked" a las entradas que me has indicado. Luego he ejecutado Combo Fix. Después he reinicicado windowsXP en "modo a prueba de errores" y he tenido problemas, no me salía la interfaz que he visto en otros sistemas windows y no he sabido ejecutar el SDFix. He vuelto al modo normal y he pasado el CCleaner. Adjunto los log que he sacado:
"pc" - 2007-05-21 12:49:43 Service Pack 2
ComboFix 07-05.21.6.V - Running from: "C:\Documents and Settings\pc\Mis documentos\Archivos\Software\Seguridad\Soluci¢n spyware\"


(((((((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))


C:\WINDOWS\retadpu1000106.exe
C:\WINDOWS\retadpu1000137.exe
C:\Temp\17O7\tmpTF.log
C:\WINDOWS\hosts
C:\WINDOWS\system32\smpi1
C:\Temp\17O7
C:\Temp\tn3
C:\WINDOWS\system32\drivers\core.sys
~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ Purity ~ ~ ~ ~ ~ ~ ~ ~~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~
Folders Quarantined:
C:\qoobox\purity\C\WINDOWS\MBOLS~1
C:\qoobox\purity\C\WINDOWS\SKS~1
C:\qoobox\purity\C\WINDOWS\MBOLS~1\??mbols


((((((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))


-------\LEGACY_CORE
-------\core


((((((((((((((((((((((((((((((( Files Created from 2007-04-05 to 2007-05-21 ))))))))))))))))))))))))))))))))))


2007-05-21 12:51 <DIR> d-------- C:\Temp\tn3
2007-05-21 11:21 <DIR> d-------- C:\Archivos de programa\FileASSASSIN
2007-05-21 10:42 <DIR> d-------- C:\Archivos de programa\SpywareBlaster
2007-05-20 22:22 <DIR> d-------- C:\DOCUME~1\pc\.housecall6.6
2007-05-20 21:27 2 --a------ C:\WINDOWS\system32\wnstsisv32.exe
2007-05-20 21:27 <DIR> dr-h----- C:\DOCUME~1\Maribel\Reciente
2007-05-20 21:27 <DIR> dr------- C:\DOCUME~1\Maribel\Mis documentos
2007-05-20 21:27 <DIR> dr------- C:\DOCUME~1\Maribel\Men£ Inicio
2007-05-20 21:27 <DIR> d--h----- C:\DOCUME~1\Maribel\Impresoras
2007-05-20 21:27 <DIR> d--h----- C:\DOCUME~1\Maribel\Entorno de red
2007-05-20 21:27 <DIR> d-------- C:\DOCUME~1\Maribel\Escritorio
2007-05-20 21:27 <DIR> d-------- C:\DOCUME~1\Maribel\DATOSD~1\Real
2007-05-20 21:27 <DIR> d-------- C:\DOCUME~1\ALLUSE~1\DATOSD~1\SUPERAntiSpyware.com
2007-05-20 21:20 786,432 --ah----- C:\DOCUME~1\Maribel\NTUSER.DAT
2007-05-20 21:20 <DIR> dr-h----- C:\DOCUME~1\Maribel\Datos de programa
2007-05-20 21:20 <DIR> dr------- C:\DOCUME~1\Maribel\Favoritos
2007-05-20 21:20 <DIR> d--h----- C:\DOCUME~1\Maribel\Plantillas
2007-05-20 21:20 <DIR> d--h----- C:\DOCUME~1\Maribel\Configuraci¢n local
2007-05-20 21:20 <DIR> d-------- C:\DOCUME~1\Maribel\DATOSD~1\.clamwin
2007-05-19 14:19 <DIR> d-------- C:\Archivos de programa\ToniArts
2007-05-19 12:41 <DIR> d-------- C:\WINDOWS\McAfee.com
2007-05-19 12:30 <DIR> d-------- C:\DOCUME~1\pc\DoctorWeb
2007-05-18 16:13 167 --a------ C:\WINDOWS\system32\3655.bat
2007-05-18 16:12 73 --a------ C:\WINDOWS\system32\n.bat
2007-05-18 16:12 32,768 --a------ C:\WINDOWS\system32\setup9x.exe
2007-05-18 16:12 206,234 --a------ C:\WINDOWS\system32\x.dat
2007-05-18 16:12 109,360 --a------ C:\WINDOWS\system32\app.exe
2007-05-18 16:12 <DIR> d-------- C:\WINDOWS\system32\SBO
2007-05-18 10:53 147,456 --a------ C:\WINDOWS\system32\vbzip10.dll
2007-05-18 08:43 <DIR> d-a------ C:\DOCUME~1\ALLUSE~1\DATOSD~1\TEMP
2007-05-14 10:53 <DIR> d-------- C:\Archivos de programa\SimilarImages
2007-05-14 10:48 <DIR> d-------- C:\DOCUME~1\ALLUSE~1\DATOSD~1\MSN6
2007-05-14 09:04 <DIR> d-------- C:\DOCUME~1\pc\DATOSD~1\Prevx
2007-05-14 09:04 <DIR> d-------- C:\DOCUME~1\ALLUSE~1\DATOSD~1\Prevx
2007-05-13 22:41 <DIR> d-------- C:\DOCUME~1\pc\DATOSD~1\SUPERAntiSpyware.com
2007-05-11 21:23 <DIR> d-------- C:\Archivos de programa\SimilarImages(2)
2007-05-11 13:07 12,845,056 --a------ C:\DOCUME~1\pc\ntuser.dat
2007-04-22 20:10 <DIR> d-------- C:\Archivos de programa\CCleaner


(((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))) )))

2007-05-20 20:33:12 -------- d-----w C:\Archivos de programa\QuickTime
2007-05-20 20:30:42 -------- d-----w C:\Archivos de programa\MSN Messenger
2007-05-20 20:23:45 -------- d-----w C:\Archivos de programa\D-Tools
2007-05-20 19:27:44 -------- d-----w C:\Archivos de programa\GoldMine
2007-05-19 19:49:09 -------- d-----w C:\Archivos de programa\Archivos comunes\Wise Installation Wizard
2007-05-19 12:44:34 -------- d-----w C:\DOCUME~1\pc\DATOSD~1\Azureus
2007-05-19 12:44:32 -------- d-----w C:\DOCUME~1\pc\DATOSD~1\Canon
2007-05-19 12:19:22 -------- d--h--w C:\Archivos de programa\InstallShield Installation Information
2007-05-12 08:43:36 3,538 -c--a-w C:\WINDOWS\mozver.dat
2007-04-29 10:40:41 -------- d-----w C:\DOCUME~1\pc\DATOSD~1\MSN6
2007-04-17 06:42:59 35,680 ----a-w C:\DOCUME~1\pc\DATOSD~1\GDIPFONTCACHEV1.DAT
2007-04-10 20:13:19 -------- d-----w C:\DOCUME~1\pc\DATOSD~1\Creative
2007-04-10 20:12:39 -------- d-----w C:\Archivos de programa\Creative
2007-04-09 20:22:47 12,528 -c--a-w C:\WINDOWS\system32\drivers\secdrv.sys
2007-04-09 20:07:44 -------- d-----w C:\Archivos de programa\Ubisoft
2007-03-25 11:08:14 68,696 ----a-w C:\WINDOWS\system32\perfc00A.dat
2007-03-25 11:08:14 439,680 ----a-w C:\WINDOWS\system32\perfh00A.dat
2007-02-18 19:33:15 6,688 ----a-w C:\WINDOWS\movexe.exe


(((((((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))


*Note* empty entries & legit default entries are not shown

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Explorer\Browser Helper Objects]
{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}=C:\Archivos de programa\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll [2003-05-15 01:47]
{761497BB-D6F0-462C-B6EB-D4DAF1D92D43}=C:\Archivos de programa\Java\jre1.5.0_11\bin\ssv.dll [2006-12-15 04:23]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run]
"Ptipbmf"="ptipbmf.dll" [2003-06-20 09:06 C:\WINDOWS\system32\ptipbmf.dll]
"ATIPTA"="C:\Archivos de programa\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2004-09-29 08:15]
"AdaptecDirectCD"="C:\Archivos de programa\Roxio\WinOnCD 6 DVD\DirectCD\DirectCD.exe" [2002-11-25 19:32]
"SoundMan"="SOUNDMAN.EXE" []
"CloneCDElbyCDFL"="F:\Archivos de programa\CloneCD\ElbyCheck.exe" [2002-11-02 08:33]
"CloneCDTray"="F:\Archivos de programa\CloneCD\CloneCDTray.exe" [2002-12-02 16:17]
"SunJavaUpdateSched"="C:\Archivos de programa\Java\jre1.5.0_11\bin\jusched.exe" [2006-12-15 04:23]
"TkBellExe"="C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe" [2006-02-28 15:00]
"QuickTime Task"="C:\Archivos de programa\QuickTime\qttask.exe" [2006-03-27 00:13]
"ClamWin"="C:\Archivos de programa\ClamWin\bin\ClamTray.exe" [2006-12-12 17:13]
"DAEMON Tools-1033"="C:\Archivos de programa\D-Tools\daemon.exe" [2004-08-22 17:05]
"Picasa Media Detector"="F:\Archivos de programa\Picasa2\PicasaMediaDetector" []
"MSConfig"="C:\WINDOWS\PCHealth\HelpCtr\Binaries\M SConfig.exe" [2004-08-19 15:42]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-19 15:42]
"MsnMsgr"="C:\Archivos de programa\MSN Messenger\MsnMsgr.exe" [2005-06-14 17:05]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\curr entversion\policies\explorer]
"NoCDBurning"=0 (0x0)

[HKEY_CURRENT_USER\software\microsoft\windows\curre ntversion\policies\explorer]
"EditLevel"=0 (0x0)
"NoClose"=0 (0x0)
"NoSaveSettings"=0 (0x0)
"NoFileMenu"=0 (0x0)
"NoCommonGroups"=0 (0x0)

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"ERSvc"=2 (0x2)


[HKEY_CURRENT_USER\software\microsoft\windows\curre ntversion\explorer\mountpoints2\D]
AutoRun\command- D:\beatles.exe



~ ~ ~ ~ ~ ~ ~ ~ Hijackthis Backups ~ ~ ~ ~ ~ ~ ~ ~ ~ ~ ~

backup-20070521-124810-269
O21 - SSODL: msin32.dll - {C38B28EC-E7F1-012A-5197-2D99899915CA} - (no file)

Windows Registry Editor Version 5.00

[HKEY_CLASSES_ROOT\CLSID\{C38B28EC-E7F1-012A-5197-2D99899915CA}]



backup-20070521-124810-692
O1 - Hosts: 62.75.224.159 rg7.com

backup-20070521-124810-530
O1 - Hosts: 62.75.224.159 jcontent.bns1.m7z.net

backup-20070521-124810-949
O2 - BHO: (no name) - {3299FB31-64D0-612D-AB40-1DE34894A9EA} - (no file)

backup-20070521-124810-696
O1 - Hosts: 62.75.224.159 www.m7z.net

backup-20070521-124810-515
O1 - Hosts: 62.75.224.159 j.2004CMS.com

backup-20070521-124810-788
O2 - BHO: 0 - {B0711BD5-74B3-4F53-BBBB-60776832ECB0} - (no file)

backup-20070521-124810-895
O1 - Hosts: 62.75.224.159 bns1.m7z.net

backup-20070521-124810-280
O1 - Hosts: 62.75.224.159 m7z.net

backup-20070521-124810-825
O1 - Hosts: 62.75.224.159 2004CMS.com

backup-20070521-124810-558
O1 - Hosts: 62.75.224.159 rg8.com

backup-20070521-124810-206
O1 - Hosts: 62.75.224.159 www.rg8.com

backup-20070521-124810-830
O1 - Hosts: 62.75.224.159 cms4.net

backup-20070521-124810-249
O1 - Hosts: 62.75.224.159 cms8.net

backup-20070521-124810-264
O1 - Hosts: 62.75.224.159 cms3.net

backup-20070521-124810-268
O1 - Hosts: 62.75.224.159 bns3.net

backup-20070521-124810-879
O1 - Hosts: 62.75.224.159 cms7.net

backup-20070521-124810-174
O1 - Hosts: 62.75.224.159 bns7.net

backup-20070521-124810-140
O1 - Hosts: 62.75.224.159 rg1.com

backup-20070521-124810-794
O1 - Hosts: 62.75.224.159 rg6.com

backup-20070521-124810-364
O1 - Hosts: 62.75.224.159 bns8.net

backup-20070521-124810-132
O1 - Hosts: 62.75.224.159 cms5.net

backup-20070521-124810-730
O1 - Hosts: 62.75.224.159 rg4.com

backup-20070521-124810-719
O1 - Hosts: 62.75.224.159 rg3.com

backup-20070521-124810-492
O1 - Hosts: 62.75.224.159 cms6.net

backup-20070521-124810-698
O1 - Hosts: 62.75.224.159 rg5.com

backup-20070521-124810-937
O1 - Hosts: 62.75.224.159 rg2.com

backup-20070521-124810-943
O1 - Hosts: 62.75.224.159 www.rg6.com

backup-20070521-124810-965
O1 - Hosts: 62.75.224.159 bns5.net

backup-20070521-124810-993
O1 - Hosts: 62.75.224.159 bns6.net

backup-20070521-124810-982
O1 - Hosts: 62.75.224.159 www.rg7.com

backup-20070521-124810-533
O1 - Hosts: 62.75.224.159 www.rg5.com

backup-20070521-124810-552
O1 - Hosts: 62.75.224.159 bns4.net

backup-20070521-124810-546
O1 - Hosts: 62.75.224.159 www.cms7.net

backup-20070521-124810-544
O1 - Hosts: 62.75.224.159 www.bns4.net

backup-20070521-124810-668
O1 - Hosts: </HEAD><BODY>

backup-20070521-124810-675
O1 - Hosts: 62.75.224.159 www.rg3.com

backup-20070521-124810-536
O1 - Hosts: The requested URL /stat.dat was not found on this server.<P>

backup-20070521-124810-529
O1 - Hosts: </BODY></HTML>

backup-20070521-124810-497
O1 - Hosts: 62.75.224.159 www.cms8.net

backup-20070521-124810-490
O1 - Hosts: 62.75.224.159 www.bns7.net

backup-20070521-124810-469
O1 - Hosts: 62.75.224.159 www.cms3.net

backup-20070521-124810-732
O1 - Hosts: 62.75.224.159 www.rg2.com

backup-20070521-124810-775
O1 - Hosts: 62.75.224.159 www.cms6.net

backup-20070521-124810-379
O1 - Hosts: 62.75.224.159 www.rg1.com

backup-20070521-124810-283
O1 - Hosts: 62.75.224.159 www.bns3.net

backup-20070521-124810-277
O1 - Hosts: 62.75.224.159 www.cms5.net

backup-20070521-124810-215
O1 - Hosts: 62.75.224.159 www.bns6.net

backup-20070521-124810-867
O1 - Hosts: <H1>Not Found</H1>

backup-20070521-124810-198
O1 - Hosts: 62.75.224.159 www.cms4.net

backup-20070521-124810-134
O1 - Hosts: 62.75.224.159 www.bns8.net

backup-20070521-124810-112
O1 - Hosts: 62.75.224.159 www.rg4.com

backup-20070521-124809-695
O1 - Hosts: <TITLE>404 Not Found</TITLE>

backup-20070521-124810-974
O1 - Hosts: 62.75.224.159 www.bns5.net

backup-20070521-124809-872
O1 - Hosts: <HTML><HEAD>

backup-20070521-124809-883
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

backup-20070521-124809-663
O1 - Hosts: <!DOCTYPE HTML PUBLIC "-//IETF//DTD HTML 2.0//EN">

backup-20070521-124809-841
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
************************************************** ******************

catchme 0.3.660 W2K/XP/Vista - userland rootkit detector by Gmer, http://www.gmer.net
Rootkit scan 2007-05-21 12:52:45
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

C:\Documents and Settings\pc\Mis documentos\Archivos\Documentos\Vacaciones\Chequia\ vuelos Praga\Terminal A - vuelos baratos billetes baratos tarifas reducidas viajes al mejor precio vacaciones baratas ofertas última hora avion aéreo agencia de viajes_archivos\abrir.js 16384 bytes
C:\Documents and Settings\pc\Mis documentos\Archivos\Documentos\Vacaciones\Chequia\ vuelos Praga\Terminal A - vuelos baratos billetes baratos tarifas reducidas viajes al mejor precio vacaciones baratas ofertas última hora avion aéreo agencia de viajes_archivos\back_logo.jpg 376 bytes
C:\Documents and Settings\pc\Mis documentos\Archivos\Documentos\Vacaciones\Chequia\ vuelos Praga\Terminal A - vuelos baratos billetes baratos tarifas reducidas viajes al mejor precio vacaciones baratas ofertas última hora avion aéreo agencia de viajes_archivos\back_numeros2.gif 64 bytes
C:\Documents and Settings\pc\Mis documentos\Archivos\Documentos\Vacaciones\Chequia\ vuelos Praga\Terminal A - vuelos baratos billetes baratos tarifas reducidas viajes al mejor precio vacaciones baratas ofertas última hora avion aéreo agencia de viajes_archivos\back_page.gif 56 bytes
C:\Documents and Settings\pc\Mis documentos\Archivos\Documentos\Vacaciones\Chequia\ vuelos Praga\Terminal A - vuelos baratos billetes baratos tarifas reducidas viajes al mejor precio vacaciones baratas ofertas última hora avion aéreo agencia de viajes_archivos\back_titu2.gif 72 bytes
C:\Documents and Settings\pc\Mis documentos\Archivos\Documentos\Vacaciones\Chequia\ vuelos Praga\Terminal A - vuelos baratos billetes baratos tarifas reducidas viajes al mejor precio vacaciones baratas ofertas última hora avion aéreo agencia de viajes_archivos\banner_callcenter.jpg 20480 bytes
C:\Documents and Settings\pc\Mis documentos\Archivos\Documentos\Vacaciones\Chequia\ vuelos Praga\Terminal A - vuelos baratos billetes baratos tarifas reducidas viajes al mejor precio vacaciones baratas ofertas última hora avion aéreo agencia de viajes_archivos\bot_mas.gif 4096 bytes
C:\Documents and Settings\pc\Mis documentos\Archivos\Documentos\Vacaciones\Chequia\ vuelos Praga\Terminal A - vuelos baratos billetes baratos tarifas reducidas viajes al mejor precio vacaciones baratas ofertas última hora avion aéreo agencia de viajes_archivos\corner_titu.gif 72 bytes
C:\Documents and Settings\pc\Mis documentos\Archivos\Documentos\Vacaciones\Chequia\ vuelos Praga\Terminal A - vuelos baratos billetes baratos tarifas reducidas viajes al mejor precio vacaciones baratas ofertas última hora avion aéreo agencia de viajes_archivos\diagonal.gif 128 bytes
C:\Documents and Settings\pc\Mis documentos\Archivos\Documentos\Vacaciones\Chequia\ vuelos Praga\Terminal A - vuelos baratos billetes baratos tarifas reducidas viajes al mejor precio vacaciones baratas ofertas última hora avion aéreo agencia de viajes_archivos\diagonal2.gif 72 bytes
C:\Documents and Settings\pc\Mis documentos\Archivos\Documentos\Vacaciones\Chequia\ vuelos Praga\Terminal A - vuelos baratos billetes baratos tarifas reducidas viajes al mejor precio vacaciones baratas ofertas última hora avion aéreo agencia de viajes_archivos\diagonal4.gif 240 bytes
C:\Documents and Settings\pc\Mis documentos\Archivos\Documentos\Vacaciones\Chequia\ vuelos Praga\Terminal A - vuelos baratos billetes baratos tarifas reducidas viajes al mejor precio vacaciones baratas ofertas última hora avion aéreo agencia de viajes_archivos\flechita.gif 56 bytes
C:\Documents and Settings\pc\Mis documentos\Archivos\Documentos\Vacaciones\Chequia\ vuelos Praga\Terminal A - vuelos baratos billetes baratos tarifas reducidas viajes al mejor precio vacaciones baratas ofertas última hora avion aéreo agencia de viajes_archivos\flechita3.gif 80 bytes
C:\Documents and Settings\pc\Mis documentos\Archivos\Documentos\Vacaciones\Chequia\ vuelos Praga\Terminal A - vuelos baratos billetes baratos tarifas reducidas viajes al mejor precio vacaciones baratas ofertas última hora avion aéreo agencia de viajes_archivos\flechita4.gif 80 bytes
C:\Documents and Settings\pc\Mis documentos\Archivos\Documentos\Vacaciones\Chequia\ vuelos Praga\Terminal A - vuelos baratos billetes baratos tarifas reducidas viajes al mejor precio vacaciones baratas ofertas última hora avion aéreo agencia de viajes_archivos\Format.css 8192 bytes
C:\Documents and Settings\pc\Mis documentos\Archivos\Documentos\Vacaciones\Chequia\ vuelos Praga\Terminal A - vuelos baratos billetes baratos tarifas reducidas viajes al mejor precio vacaciones baratas ofertas última hora avion aéreo agencia de viajes_archivos\ico3.gif 88 bytes
C:\Documents and Settings\pc\Mis documentos\Archivos\Documentos\Vacaciones\Chequia\ vuelos Praga\Terminal A - vuelos baratos billetes baratos tarifas reducidas viajes al mejor precio vacaciones baratas ofertas última hora avion aéreo agencia de viajes_archivos\ico4.gif 64 bytes
C:\Documents and Settings\pc\Mis documentos\Archivos\Documentos\Vacaciones\Chequia\ vuelos Praga\Terminal A - vuelos baratos billetes baratos tarifas reducidas viajes al mejor precio vacaciones baratas ofertas última hora avion aéreo agencia de viajes_archivos\logito.gif 696 bytes
C:\Documents and Settings\pc\Mis documentos\Archivos\Documentos\Vacaciones\Chequia\ vuelos Praga\Terminal A - vuelos baratos billetes baratos tarifas reducidas viajes al mejor precio vacaciones baratas ofertas última hora avion aéreo agencia de viajes_archivos\logo.jpg 8192 bytes
C:\Documents and Settings\pc\Mis documentos\Archivos\Documentos\Vacaciones\Chequia\ vuelos Praga\Terminal A - vuelos baratos billetes baratos tarifas reducidas viajes al mejor precio vacaciones baratas ofertas última hora avion aéreo agencia de viajes_archivos\logos.gif 4096 bytes
C:\Documents and Settings\pc\Mis documentos\Archivos\Documentos\Vacaciones\Chequia\ vuelos Praga\Terminal A - vuelos baratos billetes baratos tarifas reducidas viajes al mejor precio vacaciones baratas ofertas última hora avion aéreo agencia de viajes_archivos\spacer.gif 56 bytes
C:\Documents and Settings\pc\Mis documentos\Archivos\Documentos\Vacaciones\Chequia\ vuelos Praga\Terminal A - vuelos baratos billetes baratos tarifas reducidas viajes al mejor precio vacaciones baratas ofertas última hora avion aéreo agencia de viajes_archivos\WebUIValidation.js 16384 bytes

scan completed successfully
hidden files: 22


************************************************** ******************

Completion time: 2007-05-21 12:54:28 - machine was rebooted
C:\ComboFix-quarantined-files.txt ... 2007-05-21 12:54

--- E O F ---

Logfile of Trend Micro HijackThis v2.0.0 (BETA)
Scan saved at 13:02:57, on 21/05/2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\System32\svchost.exe
C:\Archivos de programa\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Archivos de programa\Roxio\WinOnCD 6 DVD\DirectCD\DirectCD.exe
C:\WINDOWS\SOUNDMAN.EXE
F:\Archivos de programa\CloneCD\CloneCDTray.exe
C:\Archivos de programa\Java\jre1.5.0_11\bin\jusched.exe
C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe
C:\Archivos de programa\QuickTime\qttask.exe
C:\Archivos de programa\ClamWin\bin\ClamTray.exe
C:\Archivos de programa\D-Tools\daemon.exe
F:\Archivos de programa\Picasa2\PicasaMediaDetector.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe
C:\Archivos de programa\Adobe\Acrobat 6.0\Distillr\acrotray.exe
C:\Archivos de programa\VIA\RAID\raid_tool.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Archivos de programa\Internet Explorer\iexplore.exe
C:\Archivos de programa\Java\jre1.5.0_11\bin\jucheck.exe
C:\Documents and Settings\pc\Mis documentos\Archivos\Software\Seguridad\HijackThis\ HiJackThis_v2.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.es/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.5.0_11\bin\ssv.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Archivos de programa\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [Ptipbmf] rundll32.exe ptipbmf.dll,SetWriteCacheMode
O4 - HKLM\..\Run: [ATIPTA] C:\Archivos de programa\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Archivos de programa\Roxio\WinOnCD 6 DVD\DirectCD\DirectCD.exe"
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "F:\Archivos de programa\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [CloneCDTray] "F:\Archivos de programa\CloneCD\CloneCDTray.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Archivos de programa\Java\jre1.5.0_11\bin\jusched.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [QuickTime Task] "C:\Archivos de programa\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [ClamWin] "C:\Archivos de programa\ClamWin\bin\ClamTray.exe" --logon
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Archivos de programa\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [Picasa Media Detector] F:\Archivos de programa\Picasa2\PicasaMediaDetector
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Archivos de programa\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SERVICIO LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Servicio de red')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Acrobat Assistant.lnk = C:\Archivos de programa\Adobe\Acrobat 6.0\Distillr\acrotray.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Archivos de programa\Archivos comunes\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Archivos de programa\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: VIA RAID TOOL.lnk = C:\Archivos de programa\VIA\RAID\raid_tool.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\System32\shdocvw.dll
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\System32\shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O12 - Plugin for .spop: C:\Archivos de programa\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O22 - SharedTaskScheduler: Precargador Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\System32\browseui.dll
O22 - SharedTaskScheduler: Demonio de caché de las categorías de componente - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\System32\browseui.dll
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Servicio del administrador de discos lógicos (dmadmin) - Unknown owner - C:\WINDOWS\System32\dmadmin.exe
O23 - Service: Registro de sucesos (Eventlog) - Unknown owner - C:\WINDOWS\system32\services.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Archivos de programa\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Servicio COM de grabación de CD de IMAPI (ImapiService) - Unknown owner - C:\WINDOWS\System32\imapi.exe
O23 - Service: Escritorio remoto compartido de NetMeeting (mnmsrvc) - Unknown owner - C:\WINDOWS\System32\mnmsrvc.exe
O23 - Service: Plug and Play (PlugPlay) - Unknown owner - C:\WINDOWS\system32\services.exe
O23 - Service: Administrador de sesión de Ayuda de escritorio remoto (RDSessMgr) - Unknown owner - C:\WINDOWS\system32\sessmgr.exe
O23 - Service: Tarjeta inteligente (SCardSvr) - Unknown owner - C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: Registros y alertas de rendimiento (SysmonLog) - Unknown owner - C:\WINDOWS\system32\smlogsvc.exe
O23 - Service: Instantáneas de volumen (VSS) - Unknown owner - C:\WINDOWS\System32\vssvc.exe
O23 - Service: Adaptador de rendimiento de WMI (WmiApSrv) - Unknown owner - C:\WINDOWS\System32\wbem\wmiapsrv.exe
O24 - Desktop Component 0: (no name) - (no file)

--
End of file - 7412 bytes
Disculpas por la extensión.

Elimina la carpeta C:\qoobox

Subí estos archivos :
C:\WINDOWS\system32\wnstsisv32.exe
C:\WINDOWS\system32\perfc00A.dat
C:\WINDOWS\system32\perfh00A.dat

a VirusTotal y lo hacés examinar, luego nos pegás los reportes que te envíe la página.

haz clic con el botón derecho sobre los archivos :
C:\WINDOWS\system32\3655.bat
C:\WINDOWS\system32\n.bat
-> "abrir con" -> "bloc de notas"

y pegas en tu proxima mensaje su contenidos

Hola, Jean-Crétien.
Antes se me olvidó decirte que con los cambios que me hice según tu primera respuesta, el rendimiento del pc ha mejorado mucho y ya no salían las ventanas intrusas con publicidad.
Hice también una limpieza del registro.
Ahora te envío el resultado del análisis de Virus Total, de los tres archivos de system32:

ESTADO: FINALIZADOEste es el resultado completo de analizar el archivo "wnstsisv32.exe" que VirusTotal ha recibido el día 21.05.2007 a las 14:39:31 (CET).

Antivirus Version Actualización Resultado
AhnLab-V3 2007.5.21.1 21.05.2007 no ha encontrado virus
AntiVir 7.4.0.23 21.05.2007 no ha encontrado virus
Authentium 4.93.8 18.05.2007 no ha encontrado virus
Avast 4.7.997.0 21.05.2007 no ha encontrado virus
AVG 7.5.0.467 20.05.2007 no ha encontrado virus
BitDefender 7.2 21.05.2007 no ha encontrado virus
CAT-QuickHeal 9.00 18.05.2007 no ha encontrado virus
ClamAV devel-20070416 21.05.2007 no ha encontrado virus
DrWeb 4.33 21.05.2007 no ha encontrado virus
eSafe 7.0.15.0 20.05.2007 Win32.Xorpix.al
eTrust-Vet 30.7.3649 21.05.2007 no ha encontrado virus
Ewido 4.0 21.05.2007 Trojan.Small
FileAdvisor 1 21.05.2007 No threat detected
Fortinet 2.85.0.0 21.05.2007 no ha encontrado virus
F-Prot 4.3.2.48 18.05.2007 no ha encontrado virus
F-Secure 6.70.13030.0 21.05.2007 no ha encontrado virus
Ikarus T3.1.1.7 21.05.2007 no ha encontrado virus
Kaspersky 4.0.2.24 21.05.2007 no ha encontrado virus
McAfee 5034 18.05.2007 no ha encontrado virus
Microsoft 1.2503 21.05.2007 no ha encontrado virus
NOD32v2 2281 21.05.2007 no ha encontrado virus
Norman 5.80.02 18.05.2007 no ha encontrado virus
Panda 9.0.0.4 20.05.2007 no ha encontrado virus
Prevx1 V2 21.05.2007 Polymorphic Trojans
Sophos 4.17.0 20.05.2007 no ha encontrado virus
Sunbelt 2.2.907.0 17.05.2007 no ha encontrado virus
Symantec 10 21.05.2007 no ha encontrado virus
TheHacker 6.1.6.119 21.05.2007 no ha encontrado virus
VBA32 3.12.0 21.05.2007 no ha encontrado virus
VirusBuster 4.3.7:9 20.05.2007 no ha encontrado virus
Webwasher-Gateway 6.0.1 21.05.2007 no ha encontrado virus


Información adicional
Tamaño archivo: 2 bytes
MD5: 4f3dd0ffb3e41c5f74b5b0d8c1f10bb5
SHA1: e688cf7414fb701c4495010d43a4eaaaeac71768
Bit9 info: http://fileadvisor.bit9.com/services/extinfo.aspx?md5=4f3dd0ffb3e41c5f74b5b0d8c1f10bb5
Prevx info: http://fileinfo.prevx.com/fileinfo.asp?PXC=4f3d691635

ESTADO: FINALIZADOEste es el resultado completo de analizar el archivo "perfc00A.dat" que VirusTotal ha recibido el día 21.05.2007 a las 14:49:09 (CET).

Antivirus Version Actualización Resultado
AhnLab-V3 2007.5.21.1 21.05.2007 no ha encontrado virus
AntiVir 7.4.0.23 21.05.2007 no ha encontrado virus
Authentium 4.93.8 18.05.2007 no ha encontrado virus
Avast 4.7.997.0 21.05.2007 no ha encontrado virus
AVG 7.5.0.467 20.05.2007 no ha encontrado virus
BitDefender 7.2 21.05.2007 no ha encontrado virus
CAT-QuickHeal 9.00 18.05.2007 no ha encontrado virus
ClamAV devel-20070416 21.05.2007 no ha encontrado virus
DrWeb 4.33 21.05.2007 no ha encontrado virus
eSafe 7.0.15.0 20.05.2007 no ha encontrado virus
eTrust-Vet 30.7.3649 21.05.2007 no ha encontrado virus
Ewido 4.0 21.05.2007 no ha encontrado virus
FileAdvisor 1 21.05.2007 no ha encontrado virus
Fortinet 2.85.0.0 21.05.2007 no ha encontrado virus
F-Prot 4.3.2.48 18.05.2007 no ha encontrado virus
F-Secure 6.70.13030.0 21.05.2007 no ha encontrado virus
Ikarus T3.1.1.7 21.05.2007 no ha encontrado virus
Kaspersky 4.0.2.24 21.05.2007 no ha encontrado virus
McAfee 5034 18.05.2007 no ha encontrado virus
Microsoft 1.2503 21.05.2007 no ha encontrado virus
NOD32v2 2281 21.05.2007 no ha encontrado virus
Norman 5.80.02 18.05.2007 no ha encontrado virus
Panda 9.0.0.4 20.05.2007 no ha encontrado virus
Prevx1 V2 21.05.2007 no ha encontrado virus
Sophos 4.17.0 20.05.2007 no ha encontrado virus
Sunbelt 2.2.907.0 17.05.2007 no ha encontrado virus
Symantec 10 21.05.2007 no ha encontrado virus
TheHacker 6.1.6.119 21.05.2007 no ha encontrado virus
VBA32 3.12.0 21.05.2007 no ha encontrado virus
VirusBuster 4.3.7:9 20.05.2007 no ha encontrado virus
Webwasher-Gateway 6.0.1 21.05.2007 no ha encontrado virus


Información adicional
Tamaño archivo: 68696 bytes
MD5: a2a3b82dda2c7bda1c9c6ae5adb3b2a5
SHA1: 35a304fa61fdf11dedc08d714f3e0bf4a4cfa30b


ESTADO: FINALIZADOEste es el resultado completo de analizar el archivo "perfh00A.dat" que VirusTotal ha recibido el día 21.05.2007 a las 15:05:02 (CET).

Antivirus Version Actualización Resultado
AhnLab-V3 2007.5.21.1 21.05.2007 no ha encontrado virus
AntiVir 7.4.0.23 21.05.2007 no ha encontrado virus
Authentium 4.93.8 18.05.2007 no ha encontrado virus
Avast 4.7.997.0 21.05.2007 no ha encontrado virus
AVG 7.5.0.467 20.05.2007 no ha encontrado virus
BitDefender 7.2 21.05.2007 no ha encontrado virus
CAT-QuickHeal 9.00 18.05.2007 no ha encontrado virus
ClamAV devel-20070416 21.05.2007 no ha encontrado virus
DrWeb 4.33 21.05.2007 no ha encontrado virus
eSafe 7.0.15.0 20.05.2007 no ha encontrado virus
eTrust-Vet 30.7.3649 21.05.2007 no ha encontrado virus
Ewido 4.0 21.05.2007 no ha encontrado virus
FileAdvisor 1 21.05.2007 no ha encontrado virus
Fortinet 2.85.0.0 21.05.2007 no ha encontrado virus
F-Prot 4.3.2.48 18.05.2007 no ha encontrado virus
F-Secure 6.70.13030.0 21.05.2007 no ha encontrado virus
Ikarus T3.1.1.7 21.05.2007 no ha encontrado virus
Kaspersky 4.0.2.24 21.05.2007 no ha encontrado virus
McAfee 5034 18.05.2007 no ha encontrado virus
Microsoft 1.2503 21.05.2007 no ha encontrado virus
NOD32v2 2281 21.05.2007 no ha encontrado virus
Norman 5.80.02 18.05.2007 no ha encontrado virus
Panda 9.0.0.4 20.05.2007 no ha encontrado virus
Prevx1 V2 21.05.2007 no ha encontrado virus
Sophos 4.17.0 20.05.2007 no ha encontrado virus
Sunbelt 2.2.907.0 17.05.2007 no ha encontrado virus
Symantec 10 21.05.2007 no ha encontrado virus
TheHacker 6.1.6.119 21.05.2007 no ha encontrado virus
VBA32 3.12.0 21.05.2007 no ha encontrado virus
VirusBuster 4.3.7:9 20.05.2007 no ha encontrado virus
Webwasher-Gateway 6.0.1 21.05.2007 no ha encontrado virus

Información adicional
Tamaño archivo: 439680 bytes
MD5: f58791d8fc7101c123cfcf24c6303981
SHA1: 48ea2d96f79686ce07216fd2c2392807beb2869d

En cuanto a los archivos C:\WINDOWS\system32\3655.bat y C:\WINDOWS\system32\n.bat, cuando los he intentado abrir, parece que me han desparecido, ¿dónde han ido a parar?
Menos mal que hay gente como vosotros, dispuestos a ayudar, ¡eres un hacha!
Bueno, de momento, ya te digo que va todo bien.

Muchas gracias,
misbel

Utilizando Pocket Killbox o FileAssassin, elimina el archivo : C:\WINDOWS\system32\wnstsisv32.exe

En cuanto a los archivos C:\WINDOWS\system32\3655.bat y C:\WINDOWS\system32\n.bat has intentado abrirlos con el bloc de notas ?

si es el caso, subilos a virustotal

De mas, Utiliza la opción "Ejecutar el limpiador" del CCleaner y pega un reporte Panda ActiveScan Online

Eliminado el archivo : C:\WINDOWS\system32\wnstsisv32.exe con File Assassin.
En cuanto a los archivos C:\WINDOWS\system32\3655.bat y C:\WINDOWS\system32\n.bat he intentado abrirlos con el bloc de notas, clicando con el botón derecho del ratón, pero no me salía la opción de "abrir con" y se han esfumado. En este momento el buscador de Windows no los encuentra en todo el PC.
Ejecutado el limpiador de CCleaner.
Panda ActiveScan on line dice que no ha encontrado virus ni software malicioso.
Gracias de nuevo.
Misbel

Bueno. Ultima cosa :
Inicio > Ejecutar, escribe cmd y pulsa la tecla ENTER

Pega esta linea :

notepad C:\WINDOWS\system32\3655.bat

y pulsa de nuevo la tecla ENTER. SI no obtenes un mensaje de error diciendo que el archivo no existe, por favor pega el contenido del documento de texto q se abre.
Repite estos pasos escribiendo : C:\WINDOWS\system32\n.bat

============

Elimina combofix.exe, killbox (o fileassassin) & SDfix, y confirmarnos, si tu tema está ya solucionado, para poder cerrarlo

notepad C:\WINDOWS\system32\3655.bat
CMD dice que el archivo no existe y me pide si quiero crear otro, que, en este caso está vacío.
C:\WINDOWS\system32\n.bat. CMD dice que "no se reconoce como un comando externo o interno, programa o archivo por lotes ejecutable"
¿Por qué me pides que elimine combofix.exe, killbox (o fileassassin) & SDfix? ¿Quieres decir que los desinstale, crean alertas en los antivirus o qué?
He estado trabajando toda la tarde y el PC va muy bien.
Misbel

Si estas de acuerdo, vamos a olvidar estos 2 archivos 3655.bat y n.bat

no es necesario guardar estas herramientas "puntuales". De mas, sus actualizaciones son frecuentas.

Saludos