View Full Version : Automatic links generation to porn sites
Hello, Please can you help me with this?
Today my PC was infected with Sheur.BPUG and Generic10.AOGN, they created the file "PCHealtCenter" which contains: 0.exe, 1.exe, 2.exe and 4.exe a html and some Gif; in windows/system32 they also installed some dll, ini2, etc.
I am also receiving the following message: "Excesive SMTP e-mail traffic has been detected. Probable spambot infection".
With AVG 8.0 the virus were eliminated. How may I eliminate the programs.
Here I send you the HijackThis v2.0.2 log.
Thank you, kind regards.
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16:16:57, on 18/06/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16674)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Archivos de programa\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Archivos de programa\Archivos comunes\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\ARCHIV~1\AVG\AVG8\avgwdsvc.exe
C:\Archivos de programa\Bonjour\mDNSResponder.exe
C:\Archivos de programa\Google\Update\1.1.25.0\GoogleUpdate.exe
C:\Archivos de programa\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Archivos de programa\Nero\Nero8\Nero BackItUp\NBService.exe
C:\Archivos de programa\Archivos comunes\SafeNet Sentinel\Sentinel Protection Server\WinNT\spnsrvnt.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\DRIVERS\WtSrv.exe
C:\WINDOWS\system32\SearchIndexer.exe
C:\ARCHIV~1\AVG\AVG8\avgrsx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\S3Trayp.exe
C:\Archivos de programa\Hewlett-Packard\HP Business Inkjet 1000\Toolbox\mpm.exe
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\system32\WService.EXE
C:\WINDOWS\PixArt\PAC207\Monitor.exe
C:\ARCHIV~1\AVG\AVG8\avgtray.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Archivos de programa\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Archivos de programa\Windows Desktop Search\WindowsSearch.exe
C:\Archivos de programa\WinZip\WZQKPICK.EXE
C:\Archivos de programa\WordWeb\wweb32.exe
C:\Archivos de programa\PCHealthCenter\2.exe
C:\Archivos de programa\PCHealthCenter\4.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\SearchProtocolHost.exe
C:\Archivos de programa\Trend Micro\HijackThis\HijackThis.exe
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O3 - Toolbar: Asistente para Internet de Encarta - {147D6308-0614-4112-89B1-31402F9B82C4} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Encarta Web Companion\2007\ENCWCBAR.DLL
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\archivos de programa\google\googletoolbar3.dll
O3 - Toolbar: &Netcraft Toolbar - {D554D8FC-B36D-4BB4-93DB-4A3394D505E3} - C:\Archivos de programa\Netcraft Toolbar\nctb.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Archivos de programa\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: AVG Security Toolbar - {A057A204-BACC-4D26-9990-79A187E2698E} - C:\ARCHIV~1\AVG\AVG8\AVGTOO~1.DLL
O4 - HKLM\..\Run: [S3Trayp] S3Trayp.exe
O4 - HKLM\..\Run: [HPWT myPrintMileage Agent] C:\Archivos de programa\Hewlett-Packard\HP Business Inkjet 1000\Toolbox\mpm.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [WService] WService.EXE
O4 - HKLM\..\Run: [Monitor] C:\WINDOWS\PixArt\PAC207\Monitor.exe
O4 - HKLM\..\Run: [AVG8_TRAY] C:\ARCHIV~1\AVG\AVG8\avgtray.exe
O4 - HKLM\..\Run: [NBKeyScan] "C:\Archivos de programa\Nero\Nero8\Nero BackItUp\NBKeyScan.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Archivos de programa\Archivos comunes\Nero\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [SysF4.exe] C:\SysF4.exe
O4 - HKLM\..\Run: [SysF5.exe] C:\SysF5.exe
O4 - HKLM\..\Run: [SysF6.exe] C:\SysF6.exe
O4 - HKLM\..\Run: [e43bd82d] rundll32.exe "C:\WINDOWS\system32\qtgnddgq.dll",b
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [swg] C:\Archivos de programa\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [SysF4.exe] C:\SysF4.exe
O4 - HKCU\..\Run: [SysF5.exe] C:\SysF5.exe
O4 - HKCU\..\Run: [SysF6.exe] C:\SysF6.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICIO LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Servicio de red')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: WordWeb.lnk = C:\Archivos de programa\WordWeb\wweb32.exe
O4 - Global Startup: Búsqueda en el escritorio de Windows.lnk = C:\Archivos de programa\Windows Desktop Search\WindowsSearch.exe
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Archivos de programa\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: Append to existing PDF - res://C:\Archivos de programa\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convert link target to Adobe PDF - res://C:\Archivos de programa\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convert link target to existing PDF - res://C:\Archivos de programa\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convert selected links to Adobe PDF - res://C:\Archivos de programa\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Convert selected links to existing PDF - res://C:\Archivos de programa\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Convert selection to Adobe PDF - res://C:\Archivos de programa\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convert selection to existing PDF - res://C:\Archivos de programa\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convert to Adobe PDF - res://C:\Archivos de programa\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: (no name) - {09C04DA7-5B76-4EBC-BBEE-B25EAC5965F5} - C:\Archivos de programa\Google\Google Gears\Internet Explorer\0.3.24.0\gears.dll
O9 - Extra 'Tools' menuitem: &Google Gears Settings - {09C04DA7-5B76-4EBC-BBEE-B25EAC5965F5} - C:\Archivos de programa\Google\Google Gears\Internet Explorer\0.3.24.0\gears.dll
O9 - Extra button: Send to Mindjet MindManager - {531B9DC0-D8EE-4c76-A6EE-6C1E50569655} - C:\Archivos de programa\Mindjet\MindManager 6\Mm6InternetExplorer.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: Barra de búsqueda de Encarta - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://a1540.g.akamai.net/7/1540/52/20061205/qtinstall.info.apple.com/qtactivex/qtplugin.cab
O16 - DPF: {3BFFE033-BF43-11D5-A271-00A024A51325} (iNotes6 Class) - https://oldelval.miacceso.com/iNotes6W.cab
O16 - DPF: {493ACF15-5CD9-4474-82A6-91670C3DD66E} (LinkedIn ContactFinderControl) - http://www.linkedin.com/cab/LinkedInContactFinderControl.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1168379076390
O16 - DPF: {E06E2E99-0AA1-11D4-ABA6-0060082AA75C} (GpcContainer Class) - https://mindjetevents.webex.com/client/T23L/webex/ieatgpc.cab
O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Archivos de programa\AVG\AVG8\avgpp.dll
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\ARCHIV~1\ARCHIV~1\Skype\SKYPE4~1.DLL
O20 - AppInit_DLLs: C:\ARCHIV~1\Google\GOOGLE~2\GOEC62~1.DLL,avgrsstx.dll
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft - C:\Archivos de programa\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: Adobe LM Service - Adobe Systems - C:\Archivos de programa\Archivos comunes\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Adobe Version Cue CS3 - Adobe Systems Incorporated - C:\Archivos de programa\Archivos comunes\Adobe\Adobe Version Cue CS3\Server\bin\VersionCueCS3.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Archivos de programa\Archivos comunes\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: AVG8 WatchDog (avg8wd) - AVG Technologies CZ, s.r.o. - C:\ARCHIV~1\AVG\AVG8\avgwdsvc.exe
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Archivos de programa\Bonjour\mDNSResponder.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Archivos de programa\Archivos comunes\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: GoogleDesktopManager - Google - C:\Archivos de programa\Google\Google Desktop Search\GoogleDesktop.exe
O23 - Service: Google Update Service (gupdate1c88ff97880f9aa) (gupdate1c88ff97880f9aa) - Google Inc. - C:\Archivos de programa\Google\Update\1.1.25.0\GoogleUpdate.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Archivos de programa\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Archivos de programa\Archivos comunes\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: Servicio del iPod (iPod Service) - Apple Inc. - C:\Archivos de programa\iPod\bin\iPodService.exe
O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - C:\Archivos de programa\Nero\Nero8\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Archivos de programa\Archivos comunes\Nero\Lib\NMIndexingService.exe
O23 - Service: Sentinel Protection Server (SentinelProtectionServer) - SafeNet, Inc - C:\Archivos de programa\Archivos comunes\SafeNet Sentinel\Sentinel Protection Server\WinNT\spnsrvnt.exe
O23 - Service: ServiceLayer - Nokia. - C:\Archivos de programa\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: TuneUp Drive Defrag Service (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe
O23 - Service: WinTab Service (WinTabService) - Tablet Driver - C:\WINDOWS\system32\DRIVERS\WtSrv.exe
--
End of file - 11820 bytes
pskelley
2008-06-19, 22:21
Welcome to Safer Networking, I wish to be sure you have viewed and understand this information.
"BEFORE you POST" (READ this Procedure before Requesting Assistance)
http://forums.spybot.info/showthread.php?t=288
All advice given is taken at your own risk.
Please make sure you have read this information so we are on the same page.
You are infected, I suggest you keep this computer offline except when troubleshooting, the junk may download more. If you have any tool I use, delete it and download it new from the link I provide. Read and follow the directions carefully, the tools will not work unless you do.
Have you resolved these issues yet? If not, they are new to me but at least two of us will be fighting it. I also see what looks like Vundo: O4 - HKLM\..\Run: [e43bd82d] rundll32.exe "C:\WINDOWS\system32\qtgnddgq.dll",b
When I Google this: C:\Archivos de programa\PCHealthCenter\2.exe <<< I get these results:
http://www.processlibrary.com/directory/files/2
Description2.exe is a process which is registered as a trojan. This Trojan allows attackers to access your computer from remote locations, stealing passwords, Internet banking and personal data. This process is a security risk and should be removed from your system.If this is correct you want to take action to protect yourself:
How Do I Handle Possible Identify Theft, Internet Fraud and CC Fraud?
http://www.dslreports.com/faq/10451
When Should I Format, How Should I Reinstall
http://www.dslreports.com/faq/10063
To be on the safe side.
Would you upload a copy of those files to here:
http://www.bleepingcomputer.com/submit-malware.php
C:\Archivos de programa\PCHealthCenter\2.exe <<< this one
C:\Archivos de programa\PCHealthCenter\4.exe <<< this one
Let's give combofix a try first.
Remove any old copies of combofix before you proceed.
Thanks to sUBs and anyone else who helped with this fix.
It is important that it is saved directly to your Desktop
Download ComboFix from Here (http://download.bleepingcomputer.com/sUBs/ComboFix.exe) to your Desktop
Double click combofix.exe and follow the prompts.
When finished, it shall produce a log for you. Post that log and a HiJackthis log in your next reply
Note: Do not mouseclick combofix's window while its running. That may cause it to stall
Post the combofix log and a new HJT log.
Tutorial
http://www.bleepingcomputer.com/combofix/how-to-use-combofix
Thanks
pskelley, thank you for your answer.
After my first post I run the Adware in the security mode and later the AVG 8.0 and the following threat were eliminated: Virtumode, Win32.TrojanSpy. Banker, Downloader.Zlob.XSD and Adware Generic3.GZV.
After running the ComboFix the 0.exe, 1.exe, 2.exe and 4.exe were eliminated from the file "PCHealtCenter" but still remains the "sc" html, the 0,1,2,3 Gif and Sex1 and 2 icons; in windows/system32 also remains rycvppsq, wp2.dbl, qsppvcyr.dll, clkcnt.txt, sex1 &2 icons.
Thank you.
pskelley
2008-06-20, 13:45
Please follow the directions, the first thing I asked you to do was:
Please make sure you have read this information so we are on the same page.
Please do not attach or link to infected files!
If a helper requests files they will give you a link to upload them.
All logs should be copy/pasted into topic and not attached unless requested by helper in that format.
When adding posts to your topic, do so by clicking ADD REPLY
Thanks
pskelley, thank you for your answer.
After my first post I run the Adware in the security mode and later the AVG 8.0 and the following threat were eliminated: Virtumode, Win32.TrojanSpy. Banker, Downloader.Zlob.XSD and Adware Generic3.GZV.
After running the ComboFix the 0.exe, 1.exe, 2.exe and 4.exe were eliminated from the file "PCHealtCenter" but still remains the "sc" html, the 0,1,2,3 Gif and Sex1 and 2 icons; in windows/system32 also remains rycvppsq, wp2.dbl, qsppvcyr.dll, clkcnt.txt, sex1 &2 icons.
Thank you.
ComboFix 08-06-16.5 - Usuario 2008-06-19 23:18:49.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.3082.18.332 [GMT -3:00]
Se ejecuta desde: C:\Documents and Settings\Usuario\Escritorio\ComboFix.exe
* Creado un nuevo punto de restauración
ADVERTENCIA - ESTE EQUIPO NO TIENE INSTALADA LA CONSOLA DE RECUPERACION!
.
(((((((((((((((((((((((((((((((((((( Otras eliminaciones )))))))))))))))))))))))))))))))))))))))))))))))))
.
C:\Documents and Settings\Usuario\Configuración local\Archivos temporales de Internet\EUP16.tmp
C:\Documents and Settings\Usuario\Configuración local\Archivos temporales de Internet\EUP21.tmp
C:\Documents and Settings\Usuario\Datos de programa\macromedia\Flash Player\#SharedObjects\M4FDMSRD\iforex.com
C:\Documents and Settings\Usuario\Datos de programa\macromedia\Flash Player\#SharedObjects\M4FDMSRD\iforex.com\Emerp\Events\flash_object.swf\user_data.sol
C:\Documents and Settings\Usuario\Datos de programa\macromedia\Flash Player\macromedia.com\support\flashplayer\sys\#iforex.com
C:\Documents and Settings\Usuario\Datos de programa\macromedia\Flash Player\macromedia.com\support\flashplayer\sys\#iforex.com\settings.sol
C:\Documents and Settings\Usuario\Favoritos\Online Security Test.url
C:\WINDOWS\system32\mirwdcip.dll
C:\WINDOWS\system32\mlJCTKCt.dll
C:\WINDOWS\system32\picdwrim.ini
C:\WINDOWS\system32\qgddngtq.ini
C:\WINDOWS\system32\rycvppsq.ini
C:\WINDOWS\system32\tCKTCJlm.ini
C:\WINDOWS\system32\tCKTCJlm.ini2
.
(((((((((((((((((( Archivos creados desde 2008-05-20 - 2008-06-20 )))))))))))))))))))))))))))))))))
.
2008-06-19 23:19 . 2008-06-19 23:28 294 ---hs---- C:\WINDOWS\system32\rycvppsq.ini
2008-06-19 17:09 . 2008-06-19 17:09 91,392 --a------ C:\WINDOWS\system32\qsppvcyr.dll
2008-06-19 16:10 . 2008-06-19 16:15 <DIR> d-------- C:\Archivos de programa\Panda Security
2008-06-18 16:16 . 2008-06-18 16:16 <DIR> d-------- C:\Archivos de programa\Trend Micro
2008-06-18 10:24 . 2008-06-16 17:18 3,262 --a------ C:\WINDOWS\system32\sex2.ico
2008-06-18 10:20 . 2008-06-19 10:57 <DIR> d-------- C:\Archivos de programa\VAV
2008-06-18 10:20 . 2008-06-19 22:15 <DIR> d-------- C:\Archivos de programa\PCHealthCenter
2008-06-18 10:20 . 2008-06-16 17:18 3,262 --a------ C:\WINDOWS\system32\sex1.ico
2008-06-11 08:41 . 2008-04-14 12:52 272,512 --------- C:\WINDOWS\system32\drivers\bthport.sys
2008-06-11 08:41 . 2008-04-14 12:52 272,512 -----c--- C:\WINDOWS\system32\dllcache\bthport.sys
2008-06-10 12:30 . 2008-06-10 12:30 680 --a------ C:\WINDOWS\bsc.ini
2008-06-10 12:29 . 2008-06-10 12:40 <DIR> d-------- C:\bsc
2008-06-05 14:42 . 2008-06-05 14:42 0 --a------ C:\WINDOWS\Irremote.ini
2008-06-05 12:02 . 2008-06-05 12:02 <DIR> d-------- C:\Archivos de programa\Xvid
2008-06-03 21:13 . 2008-06-03 21:13 <DIR> d-------- C:\Documents and Settings\Usuario\Datos de programa\WordWeb
2008-06-03 17:59 . 2008-06-03 17:59 <DIR> d-------- C:\Archivos de programa\WordWeb
2008-06-03 17:59 . 2007-12-01 18:01 1,049,720 --a------ C:\WINDOWS\wweb32.dll
2008-06-01 19:41 . 2008-06-01 19:41 <DIR> d-------- C:\Archivos de programa\KeePass Password Safe
2008-05-26 20:08 . 2008-05-26 20:08 354,560 --a------ C:\WINDOWS\system32\TuneUpDefragService.exe
2008-05-26 20:08 . 2008-04-04 14:51 28,416 --a------ C:\WINDOWS\system32\uxtuneup.dll
.
(((((((((((((((((((((((((((((((((((((( Reporte Find3M )))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-06-20 01:18 --------- d-----w C:\Archivos de programa\Netcraft Toolbar
2008-06-19 13:11 --------- d-----w C:\Documents and Settings\All Users\Datos de programa\Google Updater
2008-06-18 13:30 --------- d-----w C:\Archivos de programa\TuneUp Utilities 2008
2008-06-13 10:55 --------- d-----w C:\Archivos de programa\eMule
2008-06-09 22:33 --------- d-----w C:\Archivos de programa\Google
2008-06-05 18:04 --------- d-----w C:\Archivos de programa\Archivos comunes\Nero
2008-06-05 18:00 --------- d-----w C:\Documents and Settings\All Users\Datos de programa\Nero
2008-06-05 17:49 --------- d-----w C:\Documents and Settings\Usuario\Datos de programa\Azureus
2008-06-02 23:49 --------- d-----w C:\Documents and Settings\Usuario\Datos de programa\Skype
2008-06-02 19:00 --------- d-----w C:\Documents and Settings\Usuario\Datos de programa\skypePM
2008-05-15 13:37 --------- d-----w C:\Archivos de programa\Azureus
2008-05-15 13:30 --------- d-----w C:\Archivos de programa\BitTorrent Fastest Tool
2008-05-13 00:42 --------- d-----w C:\Documents and Settings\All Users\Datos de programa\WinZip
2008-05-08 12:28 202,752 ----a-w C:\WINDOWS\system32\drivers\rmcast.sys
2008-05-02 17:59 --------- d-----w C:\Documents and Settings\Usuario\Datos de programa\AVGTOOLBAR
2008-05-02 15:50 96,520 ----a-w C:\WINDOWS\system32\drivers\avgldx86.sys
2008-05-02 15:50 --------- d-----w C:\Documents and Settings\All Users\Datos de programa\avg8
2008-05-02 15:50 --------- d-----w C:\Archivos de programa\AVG
2008-04-01 12:29 921,632 ----a-w C:\PA207.DAT
2007-11-21 20:23 32 ----a-w C:\Documents and Settings\All Users\Datos de programa\ezsid.dat
2007-07-16 14:10 38,434 ----a-w C:\Documents and Settings\Usuario\Datos de programa\unins000.dat
2007-07-16 14:09 680,423 ----a-w C:\Documents and Settings\Usuario\Datos de programa\unins000.exe
2003-08-27 17:19 36,963 ----a-r C:\Archivos de programa\Archivos comunes\SM1updtr.dll
2007-12-25 23:02 848 --sha-w C:\WINDOWS\system32\KGyGaAvL.sys
.
((((((((((((((((((((((((((((((((( Cargando Puntos Reg ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Nota* entradas vac¡as & entradas leg¡timas predeterminadas no son mostradas
[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{6F282C89-3BD3-4387-92D9-C76428B07E07}]
2008-03-28 08:00 156144 --a----t- C:\Archivos de programa\Google\Update\1.1.25.0\GoopdateBho.dll
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-19 10:42 15360]
"swg"="C:\Archivos de programa\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2007-06-14 17:38 68856]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"S3Trayp"="S3Trayp.exe" [2005-04-05 02:49 159744 C:\WINDOWS\system32\S3Trayp.exe]
"HPWT myPrintMileage Agent"="C:\Archivos de programa\Hewlett-Packard\HP Business Inkjet 1000\Toolbox\mpm.exe" [2005-01-26 03:45 102400]
"RTHDCPL"="RTHDCPL.EXE" [2006-03-03 19:44 16006656 C:\WINDOWS\RTHDCPL.exe]
"WService"="WService.EXE" [2002-09-07 07:23 28672 C:\WINDOWS\system32\WService.exe]
"Monitor"="C:\WINDOWS\PixArt\PAC207\Monitor.exe" [2006-11-03 11:01 319488]
"AVG8_TRAY"="C:\ARCHIV~1\AVG\AVG8\avgtray.exe" [2008-05-02 12:50 1177368]
"NBKeyScan"="C:\Archivos de programa\Nero\Nero8\Nero BackItUp\NBKeyScan.exe" [2007-08-08 09:25 1828136]
"NeroFilterCheck"="C:\Archivos de programa\Archivos comunes\Nero\Lib\NeroCheck.exe" [2007-03-01 15:57 153136]
"Sys7.exe"="C:\Sys7.exe" [ ]
"Sys8.exe"="C:\Sys8.exe" [ ]
"e43bd82d"="C:\WINDOWS\system32\qsppvcyr.dll" [2008-06-19 17:09 91392]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-19 10:42 15360]
"Nokia.PCSync"="C:\Archivos de programa\Nokia\Nokia PC Suite 6\PcSync2.exe" [2007-03-27 15:58 1744896]
[hkey_local_machine\software\microsoft\windows\currentversion\explorer\shellexecutehooks]
"{56F9679E-7826-4C84-81F3-532071A8BCC5}"= C:\Archivos de programa\Windows Desktop Search\MSNLNamespaceMgr.dll [2007-02-05 15:39 294400]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\iifGXQhe]
iifGXQhe.dll
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"=C:\ARCHIV~1\Google\GOOGLE~2\GOEC62~1.DLL,avgrsstx.dll
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"Skype"="C:\Archivos de programa\Skype\Phone\Skype.exe" /nosplash /minimized
"pdfSaver3"="C:\Archivos de programa\Tracker Software\PDF-XChange 3\pdfSaver\pdfSaver3.exe"
"MSMSGS"="C:\Archivos de programa\Messenger\msmsgs.exe" /background
"Microsoft Office Outlook"=C:\ARCHIV~1\MICROS~2\OFFICE11\OUTLOOK.EXE /recycle
"Internet Explorer"=C:\Archivos de programa\Internet Explorer\iexplore.exe
"E07EXLRD_17874296"="C:\Archivos de programa\Microsoft Encarta\Encarta 2007 Biblioteca Premium DVD\EDICT.EXE" -m
"E07EXLRD_2347750"="C:\Archivos de programa\Microsoft Encarta\Encarta 2007 Biblioteca Premium DVD\EDICT.EXE" -m
"BlazeServoTool"="C:\Archivos de programa\BlazeVideo\BlazeDVD\MediaDetector.exe"
"ctfmon.exe"=C:\WINDOWS\system32\ctfmon.exe
"swg"=C:\Archivos de programa\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"TV Card Remote Control Device Monitor"=C:\WINDOWS\878RMTMon.exe
"ISUSScheduler"="C:\Archivos de programa\Archivos comunes\InstallShield\UpdateService\issch.exe" -start
"ISUSPM Startup"=C:\ARCHIV~1\ARCHIV~1\INSTAL~1\UPDATE~1\ISUSPM.exe -startup
"PCSuiteTrayApplication"=C:\Archivos de programa\Nokia\Nokia PC Suite 6\LaunchApplication.exe -startup
"KernelFaultCheck"=%systemroot%\system32\dumprep 0 -k
"SunJavaUpdateSched"="C:\Archivos de programa\Java\jre1.6.0_03\bin\jusched.exe"
"QuickTime Task"="C:\Archivos de programa\QuickTime\QTTask.exe" -atboottime
"MMReminderService"=C:\Archivos de programa\Mindjet\MindManager 6\MMReminderService.exe
"TkBellExe"="C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe" -osboot
"SM1BG"=C:\WINDOWS\SM1BG.EXE
"VTTimer"=VTTimer.exe
"HP Software Update"=C:\Archivos de programa\HP\HP Software Update\HPWuSchd2.exe
"Google Desktop Search"="C:\Archivos de programa\Google\Google Desktop Search\GoogleDesktop.exe" /startup
"Acrobat Assistant 8.0"="C:\Archivos de programa\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe"
"Adobe_ID0EYTHM"=C:\ARCHIV~1\ARCHIV~1\Adobe\ADOBEV~1\Server\bin\VERSIO~2.EXE
"Adobe Reader Speed Launcher"="C:\Archivos de programa\Adobe\Reader 8.0\Reader\Reader_sl.exe"
"iTunesHelper"="C:\Archivos de programa\iTunes\iTunesHelper.exe"
"WService"=WService.EXE
"NBKeyScan"="C:\Archivos de programa\Nero\Nero8\Nero BackItUp\NBKeyScan.exe"
"NeroFilterCheck"=C:\Archivos de programa\Archivos comunes\Nero\Lib\NeroCheck.exe
[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"UpdatesDisableNotify"=dword:00000001
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"C:\\WINDOWS\\system32\\dpvsetup.exe"=
"C:\\Archivos de programa\\eMule\\emule.exe"=
"C:\\Archivos de programa\\Messenger\\msmsgs.exe"=
"C:\\Archivos de programa\\Adobe\\Adobe Dreamweaver CS3\\Dreamweaver.exe"=
"C:\\Archivos de programa\\Archivos comunes\\Adobe\\Adobe Version Cue CS3\\Server\\bin\\VersionCueCS3.exe"=
"C:\\Archivos de programa\\Azureus\\Azureus.exe"=
"C:\\Archivos de programa\\Perseus\\SurveySolutions7\\Reserved\\PublishingWizard.exe"=
"C:\\Archivos de programa\\Mozilla Firefox\\firefox.exe"=
"C:\\Archivos de programa\\Archivos comunes\\Nero\\Nero Web\\SetupX.exe"=
"C:\\Archivos de programa\\Microsoft Office\\Office12\\OUTLOOK.EXE"=
"C:\\Archivos de programa\\iTunes\\iTunes.exe"=
"C:\\Archivos de programa\\AVG\\AVG8\\avgupd.exe"=
"C:\\Archivos de programa\\Hewlett-Packard\\HP Business Inkjet 1000\\Toolbox\\HPWTTBX.exe"=
"C:\\Archivos de programa\\Skype\\Phone\\Skype.exe"=
"C:\\WINDOWS\\system32\\sessmgr.exe"=
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"3703:TCP"= 3703:TCP:Adobe Version Cue CS3 Server
"3704:TCP"= 3704:TCP:Adobe Version Cue CS3 Server
"50900:TCP"= 50900:TCP:Adobe Version Cue CS3 Server
"50901:TCP"= 50901:TCP:Adobe Version Cue CS3 Server
"3587:TCP"= 3587:TCP:Agrupación de igual a igual de Windows
"3540:UDP"= 3540:UDP:Protocolo de resolución de nombres de mismo nivel (PNRP)
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\IcmpSettings]
"AllowInboundEchoRequest"= 1 (0x1)
R1 AvgLdx86;AVG AVI Loader Driver x86;C:\WINDOWS\system32\Drivers\avgldx86.sys [2008-05-02 12:50]
R1 Cinemsup;Cinemsup;C:\WINDOWS\system32\drivers\Cinemsup.sys [2003-12-19 02:00]
R2 avg8wd;AVG8 WatchDog;C:\ARCHIV~1\AVG\AVG8\avgwdsvc.exe [2008-05-02 12:50]
R2 UxTuneUp;TuneUp Ampliación del thema;C:\WINDOWS\System32\svchost.exe [2004-08-19 10:43]
R3 PAC207;Eye 110;C:\WINDOWS\system32\DRIVERS\PFC027.SYS [2006-12-05 11:34]
R3 S3G700;S3G700;C:\WINDOWS\system32\DRIVERS\S3G700m.sys [2005-10-15 01:19]
S2 gupdate1c88ff97880f9aa;Google Update Service (gupdate1c88ff97880f9aa);"C:\Archivos de programa\Google\Update\1.1.25.0\GoogleUpdate.exe" /svc /lang en []
S3 KS-959;Kingsun KS-959 USB Infrared Adapter;C:\WINDOWS\system32\DRIVERS\KS-959.sys [2005-09-04 22:59]
S3 p2pgasvc;Autenticación de grupo de redes de mismo nivel;C:\WINDOWS\system32\svchost.exe [2004-08-19 10:43]
S3 p2pimsvc;Administrador de identidad de redes de mismo nivel;C:\WINDOWS\system32\svchost.exe [2004-08-19 10:43]
S3 p2psvc;Redes de mismo nivel;C:\WINDOWS\system32\svchost.exe [2004-08-19 10:43]
S3 PNRPSvc;Protocolo de resolución de nombres de mismo nivel;C:\WINDOWS\system32\svchost.exe [2004-08-19 10:43]
S3 TuneUp.Defrag;TuneUp Drive Defrag Service;C:\WINDOWS\System32\TuneUpDefragService.exe [2008-05-26 20:08]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
p2psvc REG_MULTI_SZ p2psvc p2pimsvc p2pgasvc PNRPSvc
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
UxTuneUp
.
Contenido de carpeta 'Tareas Programadas'
"2008-06-06 23:34:07 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job"
- C:\Archivos de programa\Apple Software Update\SoftwareUpdate.exe
"2008-06-20 02:27:04 C:\WINDOWS\Tasks\GoogleUpdateTask.job"
- C:\Archivos de programa\Google\Update\1.1.25.0\GoogleUpdate.exe
"2008-06-20 02:27:02 C:\WINDOWS\Tasks\Mantenimiento con 1 clic.job"
- C:\Archivos de programa\TuneUp Utilities 2008\OneClickStarter.exe
.
**************************************************************************
catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-06-19 23:27:38
Windows 5.1.2600 Service Pack 2 NTFS
escaneando procesos ocultos ...
escaneando entradas ocultas de autostart ...
escaneando archivos ocultos ...
C:\WINDOWS\system32\rycvppsq.ini 294 bytes
el escaneo se completo con exito
archivos ocultos: 1
**************************************************************************
.
--------------------- DLLs cargados bajo los procesos en ejecuci¢n ---------------------
PROCESS: C:\WINDOWS\explorer.exe
-> C:\WINDOWS\system32\qsppvcyr.dll
.
------------------------ Other Running Processes ------------------------
.
C:\Archivos de programa\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\Archivos de programa\Archivos comunes\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Archivos de programa\Bonjour\mDNSResponder.exe
C:\Archivos de programa\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7DEBUG\mdm.exe
C:\Archivos de programa\Nero\Nero8\Nero BackItUp\NBService.exe
C:\Archivos de programa\Archivos comunes\SafeNet Sentinel\Sentinel Protection Server\WinNT\spnsrvnt.exe
C:\WINDOWS\system32\drivers\WtSrv.exe
C:\WINDOWS\system32\searchindexer.exe
C:\Archivos de programa\AVG\AVG8\avgrsx.exe
C:\WINDOWS\system32\rundll32.exe
C:\Archivos de programa\Windows Desktop Search\WindowsSearch.exe
C:\Archivos de programa\WinZip\WZQKPICK.EXE
C:\Archivos de programa\WordWeb\wweb32.exe
.
**************************************************************************
.
Tiempo completado: 2008-06-19 23:35:33 - machine was rebooted
ComboFix-quarantined-files.txt 2008-06-20 02:34:42
7 dirs 15,631,155,200 bytes libres
12 dirs 21,295,157,248 bytes libres
229 --- E O F --- 2008-06-11 12:38:14
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 23:42:04, on 19/06/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16674)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Archivos de programa\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Archivos de programa\Archivos comunes\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\ARCHIV~1\AVG\AVG8\avgwdsvc.exe
C:\Archivos de programa\Bonjour\mDNSResponder.exe
C:\Archivos de programa\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\Archivos de programa\Google\Update\1.1.25.0\GoogleUpdate.exe
C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Archivos de programa\Nero\Nero8\Nero BackItUp\NBService.exe
C:\Archivos de programa\Archivos comunes\SafeNet Sentinel\Sentinel Protection Server\WinNT\spnsrvnt.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\DRIVERS\WtSrv.exe
C:\WINDOWS\system32\SearchIndexer.exe
C:\ARCHIV~1\AVG\AVG8\avgrsx.exe
C:\WINDOWS\system32\S3Trayp.exe
C:\Archivos de programa\Hewlett-Packard\HP Business Inkjet 1000\Toolbox\mpm.exe
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\PixArt\PAC207\Monitor.exe
C:\ARCHIV~1\AVG\AVG8\avgtray.exe
C:\WINDOWS\system32\WService.EXE
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Archivos de programa\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Archivos de programa\Windows Desktop Search\WindowsSearch.exe
C:\Archivos de programa\WinZip\WZQKPICK.EXE
C:\Archivos de programa\WordWeb\wweb32.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\system32\SearchProtocolHost.exe
C:\Archivos de programa\Trend Micro\HijackThis\HijackThis.exe
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: Aplicación auxiliar de vínculos de Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Archivos comunes\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Archivos de programa\AVG\AVG8\avgssie.dll
O2 - BHO: Google Update Class - {6F282C89-3BD3-4387-92D9-C76428B07E07} - C:\Archivos de programa\Google\Update\1.1.25.0\GoopdateBho.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: Complemento del Asistente para Internet de Encarta - {955BE0B8-BC85-4CAF-856E-8E0D8B610560} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Encarta Web Companion\2007\ENCWCBAR.DLL
O2 - BHO: AVG Security Toolbar - {A057A204-BACC-4D26-9990-79A187E2698E} - C:\ARCHIV~1\AVG\AVG8\AVGTOO~1.DLL
O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - (no file)
O2 - BHO: CmjBrowserHelperObject Object - {AC41D38F-B56D-40AD-94E0-B493D130C959} - C:\Archivos de programa\Mindjet\MindManager 6\Mm6InternetExplorer.dll
O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Archivos de programa\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Archivos de programa\Google\GoogleToolbarNotifier\2.1.1119.1736\swg.dll
O2 - BHO: Google Gears Helper - {E0FEFE40-FBF9-42AE-BA58-794CA7E3FB53} - C:\Archivos de programa\Google\Google Gears\Internet Explorer\0.3.24.0\gears.dll
O3 - Toolbar: Asistente para Internet de Encarta - {147D6308-0614-4112-89B1-31402F9B82C4} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Encarta Web Companion\2007\ENCWCBAR.DLL
O3 - Toolbar: (no name) - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - (no file)
O3 - Toolbar: &Netcraft Toolbar - {D554D8FC-B36D-4BB4-93DB-4A3394D505E3} - C:\Archivos de programa\Netcraft Toolbar\nctb.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Archivos de programa\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: AVG Security Toolbar - {A057A204-BACC-4D26-9990-79A187E2698E} - C:\ARCHIV~1\AVG\AVG8\AVGTOO~1.DLL
O4 - HKLM\..\Run: [S3Trayp] S3Trayp.exe
O4 - HKLM\..\Run: [HPWT myPrintMileage Agent] C:\Archivos de programa\Hewlett-Packard\HP Business Inkjet 1000\Toolbox\mpm.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [WService] WService.EXE
O4 - HKLM\..\Run: [Monitor] C:\WINDOWS\PixArt\PAC207\Monitor.exe
O4 - HKLM\..\Run: [AVG8_TRAY] C:\ARCHIV~1\AVG\AVG8\avgtray.exe
O4 - HKLM\..\Run: [NBKeyScan] "C:\Archivos de programa\Nero\Nero8\Nero BackItUp\NBKeyScan.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Archivos de programa\Archivos comunes\Nero\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [Sys7.exe] C:\Sys7.exe
O4 - HKLM\..\Run: [Sys8.exe] C:\Sys8.exe
O4 - HKLM\..\Run: [e43bd82d] rundll32.exe "C:\WINDOWS\system32\qsppvcyr.dll",b
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [swg] C:\Archivos de programa\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICIO LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Servicio de red')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: WordWeb.lnk = C:\Archivos de programa\WordWeb\wweb32.exe
O4 - Global Startup: Búsqueda en el escritorio de Windows.lnk = C:\Archivos de programa\Windows Desktop Search\WindowsSearch.exe
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Archivos de programa\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: Append to existing PDF - res://C:\Archivos de programa\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convert link target to Adobe PDF - res://C:\Archivos de programa\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convert link target to existing PDF - res://C:\Archivos de programa\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convert selected links to Adobe PDF - res://C:\Archivos de programa\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Convert selected links to existing PDF - res://C:\Archivos de programa\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Convert selection to Adobe PDF - res://C:\Archivos de programa\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convert selection to existing PDF - res://C:\Archivos de programa\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convert to Adobe PDF - res://C:\Archivos de programa\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: (no name) - {09C04DA7-5B76-4EBC-BBEE-B25EAC5965F5} - C:\Archivos de programa\Google\Google Gears\Internet Explorer\0.3.24.0\gears.dll
O9 - Extra 'Tools' menuitem: &Google Gears Settings - {09C04DA7-5B76-4EBC-BBEE-B25EAC5965F5} - C:\Archivos de programa\Google\Google Gears\Internet Explorer\0.3.24.0\gears.dll
O9 - Extra button: Send to Mindjet MindManager - {531B9DC0-D8EE-4c76-A6EE-6C1E50569655} - C:\Archivos de programa\Mindjet\MindManager 6\Mm6InternetExplorer.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: Barra de búsqueda de Encarta - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://a1540.g.akamai.net/7/1540/52/20061205/qtinstall.info.apple.com/qtactivex/qtplugin.cab
O16 - DPF: {3BFFE033-BF43-11D5-A271-00A024A51325} (iNotes6 Class) - https://oldelval.miacceso.com/iNotes6W.cab
O16 - DPF: {493ACF15-5CD9-4474-82A6-91670C3DD66E} (LinkedIn ContactFinderControl) - http://www.linkedin.com/cab/LinkedInContactFinderControl.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1168379076390
O16 - DPF: {E06E2E99-0AA1-11D4-ABA6-0060082AA75C} (GpcContainer Class) - https://mindjetevents.webex.com/client/T23L/webex/ieatgpc.cab
O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Archivos de programa\AVG\AVG8\avgpp.dll
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\ARCHIV~1\ARCHIV~1\Skype\SKYPE4~1.DLL
O20 - AppInit_DLLs: C:\ARCHIV~1\Google\GOOGLE~2\GOEC62~1.DLL,avgrsstx.dll
O20 - Winlogon Notify: iifGXQhe - iifGXQhe.dll (file missing)
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft - C:\Archivos de programa\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: Adobe LM Service - Adobe Systems - C:\Archivos de programa\Archivos comunes\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Adobe Version Cue CS3 - Adobe Systems Incorporated - C:\Archivos de programa\Archivos comunes\Adobe\Adobe Version Cue CS3\Server\bin\VersionCueCS3.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Archivos de programa\Archivos comunes\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: AVG8 WatchDog (avg8wd) - AVG Technologies CZ, s.r.o. - C:\ARCHIV~1\AVG\AVG8\avgwdsvc.exe
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Archivos de programa\Bonjour\mDNSResponder.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Archivos de programa\Archivos comunes\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: GoogleDesktopManager - Google - C:\Archivos de programa\Google\Google Desktop Search\GoogleDesktop.exe
O23 - Service: Google Update Service (gupdate1c88ff97880f9aa) (gupdate1c88ff97880f9aa) - Google Inc. - C:\Archivos de programa\Google\Update\1.1.25.0\GoogleUpdate.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Archivos de programa\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Archivos de programa\Archivos comunes\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: Servicio del iPod (iPod Service) - Apple Inc. - C:\Archivos de programa\iPod\bin\iPodService.exe
O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - C:\Archivos de programa\Nero\Nero8\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Archivos de programa\Archivos comunes\Nero\Lib\NMIndexingService.exe
O23 - Service: Sentinel Protection Server (SentinelProtectionServer) - SafeNet, Inc - C:\Archivos de programa\Archivos comunes\SafeNet Sentinel\Sentinel Protection Server\WinNT\spnsrvnt.exe
O23 - Service: ServiceLayer - Nokia. - C:\Archivos de programa\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: TuneUp Drive Defrag Service (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe
O23 - Service: WinTab Service (WinTabService) - Tablet Driver - C:\WINDOWS\system32\DRIVERS\WtSrv.exe
--
End of file - 13095 bytes
pskelley
2008-06-20, 14:47
Thanks for returning your information and the feedback. Read and follow the directions carefully and in the numbered order.
1) How to make files and folders visible:
Click Start > Open My Computer.
Select the Tools menu and click Folder Options.
Select the View Tab. Under the Hidden files and folders heading, select Show hidden files and folders.
Uncheck: Hide file extensions for known file types
Uncheck the Hide protected operating system files (recommended) option.
Click Yes to confirm. Click OK.
You may reverse this for safety when we are finished.
2) Please download ATF Cleaner by Atribune
http://www.atribune.org/public-beta/ATF-Cleaner.exe
Save it to your Desktop. We will use this later.
3) Open notepad and copy/paste the text in the codebox below into it:
File::
C:\Sys7.exe
C:\Sys8.exe
C:\WINDOWS\system32\qsppvcyr.dll
C:\WINDOWS\system32\rycvppsq.ini
C:\WINDOWS\system32\qsppvcyr.dll
C:\WINDOWS\system32\sex2.ico
C:\WINDOWS\system32\sex1.ico
Registry::
[-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\iifGXQhe]
Folder::
C:\Archivos de programa\PCHealthCenter
Save this as CFScript
http://i24.photobucket.com/albums/c30/ken545/CFScript.gif
Referring to the picture above, drag CFScript into ComboFix.exe.
This will start ComboFix again. After reboot, (in case it asks to reboot), post the contents of Combofix.txt in your next reply together with a new HijackThis log.
4) Open HijackThis and choose "Do a system scan only" then check the box in front of these line items:
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - (no file)
O3 - Toolbar: (no name) - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - (no file)
O4 - HKLM\..\Run: [Sys7.exe] C:\Sys7.exe
O4 - HKLM\..\Run: [Sys8.exe] C:\Sys8.exe
O4 - HKLM\..\Run: [e43bd82d] rundll32.exe "C:\WINDOWS\system32\qsppvcyr.dll",b
O20 - Winlogon Notify: iifGXQhe - iifGXQhe.dll (file missing)
Close all programs but HJT and all browser windows, then click on "Fix Checked"
5) Run ATF Cleaner
Double-click ATF-Cleaner.exe to run the program.
Click Select All found at the bottom of the list.
Click the Empty Selected button.
Click Exit on the Main menu to close the program.
Restart and post the combofix log from CFScript, a new HJT log and tell me how the computer runs now.
Gracias
Gracias again pskelley,
My PC seems to be running fine now.
ComboFix 08-06-16.5 - Usuario 2008-06-20 10:16:08.2 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.3082.18.494 [GMT -3:00]
Se ejecuta desde: C:\Documents and Settings\Usuario\Escritorio\ComboFix.exe
Command switches used :: C:\Documents and Settings\Usuario\Escritorio\CFScript.txt
* Creado un nuevo punto de restauración
ADVERTENCIA - ESTE EQUIPO NO TIENE INSTALADA LA CONSOLA DE RECUPERACION!
FILE ::
C:\Sys7.exe
C:\Sys8.exe
C:\WINDOWS\system32\qsppvcyr.dll
C:\WINDOWS\system32\rycvppsq.ini
C:\WINDOWS\system32\sex1.ico
C:\WINDOWS\system32\sex2.ico
.
(((((((((((((((((((((((((((((((((((( Otras eliminaciones )))))))))))))))))))))))))))))))))))))))))))))))))
.
C:\Archivos de programa\PCHealthCenter
C:\Archivos de programa\PCHealthCenter\0.gif
C:\Archivos de programa\PCHealthCenter\1.gif
C:\Archivos de programa\PCHealthCenter\2.gif
C:\Archivos de programa\PCHealthCenter\3.gif
C:\Archivos de programa\PCHealthCenter\sex1.ico
C:\Archivos de programa\PCHealthCenter\sex2.ico
C:\WINDOWS\system32\qsppvcyr.dll
C:\WINDOWS\system32\rycvppsq.ini
C:\WINDOWS\system32\sex1.ico
C:\WINDOWS\system32\sex2.ico
.
(((((((((((((((((( Archivos creados desde 2008-05-20 - 2008-06-20 )))))))))))))))))))))))))))))))))
.
2008-06-19 23:35 . 2008-06-19 23:35 <DIR> d-------- C:\WINDOWS\system32\config\systemprofile\Configuración local
2008-06-19 23:35 . 2008-06-19 23:35 <DIR> d-------- C:\Documents and Settings\Usuario\Configuración local
2008-06-19 23:35 . 2008-06-19 23:35 <DIR> d-------- C:\Documents and Settings\NetworkService\Configuración local
2008-06-19 23:35 . 2008-06-19 23:35 <DIR> d-------- C:\Documents and Settings\LocalService\Configuración local
2008-06-19 23:35 . 2008-06-19 23:35 <DIR> d-------- C:\Documents and Settings\Administrador\Configuración local
2008-06-19 16:10 . 2008-06-19 16:15 <DIR> d-------- C:\Archivos de programa\Panda Security
2008-06-18 16:16 . 2008-06-18 16:16 <DIR> d-------- C:\Archivos de programa\Trend Micro
2008-06-18 10:20 . 2008-06-19 10:57 <DIR> d-------- C:\Archivos de programa\VAV
2008-06-11 08:41 . 2008-04-14 12:52 272,512 --------- C:\WINDOWS\system32\drivers\bthport.sys
2008-06-11 08:41 . 2008-04-14 12:52 272,512 -----c--- C:\WINDOWS\system32\dllcache\bthport.sys
2008-06-10 12:30 . 2008-06-10 12:30 680 --a------ C:\WINDOWS\bsc.ini
2008-06-10 12:29 . 2008-06-10 12:40 <DIR> d-------- C:\bsc
2008-06-05 14:42 . 2008-06-05 14:42 0 --a------ C:\WINDOWS\Irremote.ini
2008-06-05 12:02 . 2008-06-05 12:02 <DIR> d-------- C:\Archivos de programa\Xvid
2008-06-03 21:13 . 2008-06-03 21:13 <DIR> d-------- C:\Documents and Settings\Usuario\Datos de programa\WordWeb
2008-06-03 17:59 . 2008-06-03 17:59 <DIR> d-------- C:\Archivos de programa\WordWeb
2008-06-03 17:59 . 2007-12-01 18:01 1,049,720 --a------ C:\WINDOWS\wweb32.dll
2008-06-01 19:41 . 2008-06-01 19:41 <DIR> d-------- C:\Archivos de programa\KeePass Password Safe
2008-05-26 20:08 . 2008-05-26 20:08 354,560 --a------ C:\WINDOWS\system32\TuneUpDefragService.exe
2008-05-26 20:08 . 2008-04-04 14:51 28,416 --a------ C:\WINDOWS\system32\uxtuneup.dll
.
(((((((((((((((((((((((((((((((((((((( Reporte Find3M )))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-06-20 01:18 --------- d-----w C:\Archivos de programa\Netcraft Toolbar
2008-06-19 13:11 --------- d-----w C:\Documents and Settings\All Users\Datos de programa\Google Updater
2008-06-18 13:30 --------- d-----w C:\Archivos de programa\TuneUp Utilities 2008
2008-06-13 10:55 --------- d-----w C:\Archivos de programa\eMule
2008-06-09 22:33 --------- d-----w C:\Archivos de programa\Google
2008-06-05 18:04 --------- d-----w C:\Archivos de programa\Archivos comunes\Nero
2008-06-05 18:00 --------- d-----w C:\Documents and Settings\All Users\Datos de programa\Nero
2008-06-05 17:49 --------- d-----w C:\Documents and Settings\Usuario\Datos de programa\Azureus
2008-06-02 23:49 --------- d-----w C:\Documents and Settings\Usuario\Datos de programa\Skype
2008-06-02 19:00 --------- d-----w C:\Documents and Settings\Usuario\Datos de programa\skypePM
2008-05-15 13:37 --------- d-----w C:\Archivos de programa\Azureus
2008-05-15 13:30 --------- d-----w C:\Archivos de programa\BitTorrent Fastest Tool
2008-05-13 00:42 --------- d-----w C:\Documents and Settings\All Users\Datos de programa\WinZip
2008-05-08 12:28 202,752 ----a-w C:\WINDOWS\system32\drivers\rmcast.sys
2008-05-02 17:59 --------- d-----w C:\Documents and Settings\Usuario\Datos de programa\AVGTOOLBAR
2008-05-02 15:50 96,520 ----a-w C:\WINDOWS\system32\drivers\avgldx86.sys
2008-05-02 15:50 --------- d-----w C:\Documents and Settings\All Users\Datos de programa\avg8
2008-05-02 15:50 --------- d-----w C:\Archivos de programa\AVG
2008-04-01 12:29 921,632 ----a-w C:\PA207.DAT
2007-11-21 20:23 32 ----a-w C:\Documents and Settings\All Users\Datos de programa\ezsid.dat
2007-07-16 14:10 38,434 ----a-w C:\Documents and Settings\Usuario\Datos de programa\unins000.dat
2007-07-16 14:09 680,423 ----a-w C:\Documents and Settings\Usuario\Datos de programa\unins000.exe
2003-08-27 17:19 36,963 ----a-r C:\Archivos de programa\Archivos comunes\SM1updtr.dll
2007-12-25 23:02 848 --sha-w C:\WINDOWS\system32\KGyGaAvL.sys
.
((((((((((((((((((((((((((((( snapshot@2008-06-19_23.34.22.90 )))))))))))))))))))))))))))))))))))))))))
.
- 2008-06-20 02:26:39 2,048 --s-a-w C:\WINDOWS\bootstat.dat
+ 2008-06-20 13:22:58 2,048 --s-a-w C:\WINDOWS\bootstat.dat
.
((((((((((((((((((((((((((((((((( Cargando Puntos Reg ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Nota* entradas vac¡as & entradas leg¡timas predeterminadas no son mostradas
[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{6F282C89-3BD3-4387-92D9-C76428B07E07}]
2008-03-28 08:00 156144 --a----t- C:\Archivos de programa\Google\Update\1.1.25.0\GoopdateBho.dll
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-19 10:42 15360]
"swg"="C:\Archivos de programa\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2007-06-14 17:38 68856]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"S3Trayp"="S3Trayp.exe" [2005-04-05 02:49 159744 C:\WINDOWS\system32\S3Trayp.exe]
"HPWT myPrintMileage Agent"="C:\Archivos de programa\Hewlett-Packard\HP Business Inkjet 1000\Toolbox\mpm.exe" [2005-01-26 03:45 102400]
"RTHDCPL"="RTHDCPL.EXE" [2006-03-03 19:44 16006656 C:\WINDOWS\RTHDCPL.exe]
"WService"="WService.EXE" [2002-09-07 07:23 28672 C:\WINDOWS\system32\WService.exe]
"Monitor"="C:\WINDOWS\PixArt\PAC207\Monitor.exe" [2006-11-03 11:01 319488]
"AVG8_TRAY"="C:\ARCHIV~1\AVG\AVG8\avgtray.exe" [2008-05-02 12:50 1177368]
"NBKeyScan"="C:\Archivos de programa\Nero\Nero8\Nero BackItUp\NBKeyScan.exe" [2007-08-08 09:25 1828136]
"NeroFilterCheck"="C:\Archivos de programa\Archivos comunes\Nero\Lib\NeroCheck.exe" [2007-03-01 15:57 153136]
"Sys7.exe"="C:\Sys7.exe" [ ]
"Sys8.exe"="C:\Sys8.exe" [ ]
"e43bd82d"="C:\WINDOWS\system32\qsppvcyr.dll" [ ]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-19 10:42 15360]
"Nokia.PCSync"="C:\Archivos de programa\Nokia\Nokia PC Suite 6\PcSync2.exe" [2007-03-27 15:58 1744896]
[hkey_local_machine\software\microsoft\windows\currentversion\explorer\shellexecutehooks]
"{56F9679E-7826-4C84-81F3-532071A8BCC5}"= C:\Archivos de programa\Windows Desktop Search\MSNLNamespaceMgr.dll [2007-02-05 15:39 294400]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"=C:\ARCHIV~1\Google\GOOGLE~2\GOEC62~1.DLL,avgrsstx.dll
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"Skype"="C:\Archivos de programa\Skype\Phone\Skype.exe" /nosplash /minimized
"pdfSaver3"="C:\Archivos de programa\Tracker Software\PDF-XChange 3\pdfSaver\pdfSaver3.exe"
"MSMSGS"="C:\Archivos de programa\Messenger\msmsgs.exe" /background
"Microsoft Office Outlook"=C:\ARCHIV~1\MICROS~2\OFFICE11\OUTLOOK.EXE /recycle
"Internet Explorer"=C:\Archivos de programa\Internet Explorer\iexplore.exe
"E07EXLRD_17874296"="C:\Archivos de programa\Microsoft Encarta\Encarta 2007 Biblioteca Premium DVD\EDICT.EXE" -m
"E07EXLRD_2347750"="C:\Archivos de programa\Microsoft Encarta\Encarta 2007 Biblioteca Premium DVD\EDICT.EXE" -m
"BlazeServoTool"="C:\Archivos de programa\BlazeVideo\BlazeDVD\MediaDetector.exe"
"ctfmon.exe"=C:\WINDOWS\system32\ctfmon.exe
"swg"=C:\Archivos de programa\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"TV Card Remote Control Device Monitor"=C:\WINDOWS\878RMTMon.exe
"ISUSScheduler"="C:\Archivos de programa\Archivos comunes\InstallShield\UpdateService\issch.exe" -start
"ISUSPM Startup"=C:\ARCHIV~1\ARCHIV~1\INSTAL~1\UPDATE~1\ISUSPM.exe -startup
"PCSuiteTrayApplication"=C:\Archivos de programa\Nokia\Nokia PC Suite 6\LaunchApplication.exe -startup
"KernelFaultCheck"=%systemroot%\system32\dumprep 0 -k
"SunJavaUpdateSched"="C:\Archivos de programa\Java\jre1.6.0_03\bin\jusched.exe"
"QuickTime Task"="C:\Archivos de programa\QuickTime\QTTask.exe" -atboottime
"MMReminderService"=C:\Archivos de programa\Mindjet\MindManager 6\MMReminderService.exe
"TkBellExe"="C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe" -osboot
"SM1BG"=C:\WINDOWS\SM1BG.EXE
"VTTimer"=VTTimer.exe
"HP Software Update"=C:\Archivos de programa\HP\HP Software Update\HPWuSchd2.exe
"Google Desktop Search"="C:\Archivos de programa\Google\Google Desktop Search\GoogleDesktop.exe" /startup
"Acrobat Assistant 8.0"="C:\Archivos de programa\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe"
"Adobe_ID0EYTHM"=C:\ARCHIV~1\ARCHIV~1\Adobe\ADOBEV~1\Server\bin\VERSIO~2.EXE
"Adobe Reader Speed Launcher"="C:\Archivos de programa\Adobe\Reader 8.0\Reader\Reader_sl.exe"
"iTunesHelper"="C:\Archivos de programa\iTunes\iTunesHelper.exe"
"WService"=WService.EXE
"NBKeyScan"="C:\Archivos de programa\Nero\Nero8\Nero BackItUp\NBKeyScan.exe"
"NeroFilterCheck"=C:\Archivos de programa\Archivos comunes\Nero\Lib\NeroCheck.exe
[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"UpdatesDisableNotify"=dword:00000001
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"C:\\WINDOWS\\system32\\dpvsetup.exe"=
"C:\\Archivos de programa\\eMule\\emule.exe"=
"C:\\Archivos de programa\\Messenger\\msmsgs.exe"=
"C:\\Archivos de programa\\Adobe\\Adobe Dreamweaver CS3\\Dreamweaver.exe"=
"C:\\Archivos de programa\\Archivos comunes\\Adobe\\Adobe Version Cue CS3\\Server\\bin\\VersionCueCS3.exe"=
"C:\\Archivos de programa\\Azureus\\Azureus.exe"=
"C:\\Archivos de programa\\Perseus\\SurveySolutions7\\Reserved\\PublishingWizard.exe"=
"C:\\Archivos de programa\\Mozilla Firefox\\firefox.exe"=
"C:\\Archivos de programa\\Archivos comunes\\Nero\\Nero Web\\SetupX.exe"=
"C:\\Archivos de programa\\Microsoft Office\\Office12\\OUTLOOK.EXE"=
"C:\\Archivos de programa\\iTunes\\iTunes.exe"=
"C:\\Archivos de programa\\AVG\\AVG8\\avgupd.exe"=
"C:\\Archivos de programa\\Hewlett-Packard\\HP Business Inkjet 1000\\Toolbox\\HPWTTBX.exe"=
"C:\\Archivos de programa\\Skype\\Phone\\Skype.exe"=
"C:\\WINDOWS\\system32\\sessmgr.exe"=
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"3703:TCP"= 3703:TCP:Adobe Version Cue CS3 Server
"3704:TCP"= 3704:TCP:Adobe Version Cue CS3 Server
"50900:TCP"= 50900:TCP:Adobe Version Cue CS3 Server
"50901:TCP"= 50901:TCP:Adobe Version Cue CS3 Server
"3587:TCP"= 3587:TCP:Agrupación de igual a igual de Windows
"3540:UDP"= 3540:UDP:Protocolo de resolución de nombres de mismo nivel (PNRP)
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\IcmpSettings]
"AllowInboundEchoRequest"= 1 (0x1)
R1 AvgLdx86;AVG AVI Loader Driver x86;C:\WINDOWS\system32\Drivers\avgldx86.sys [2008-05-02 12:50]
R1 Cinemsup;Cinemsup;C:\WINDOWS\system32\drivers\Cinemsup.sys [2003-12-19 02:00]
R2 avg8wd;AVG8 WatchDog;C:\ARCHIV~1\AVG\AVG8\avgwdsvc.exe [2008-05-02 12:50]
R2 UxTuneUp;TuneUp Ampliación del thema;C:\WINDOWS\System32\svchost.exe [2004-08-19 10:43]
R3 PAC207;Eye 110;C:\WINDOWS\system32\DRIVERS\PFC027.SYS [2006-12-05 11:34]
R3 S3G700;S3G700;C:\WINDOWS\system32\DRIVERS\S3G700m.sys [2005-10-15 01:19]
S2 gupdate1c88ff97880f9aa;Google Update Service (gupdate1c88ff97880f9aa);"C:\Archivos de programa\Google\Update\1.1.25.0\GoogleUpdate.exe" /svc /lang en []
S3 KS-959;Kingsun KS-959 USB Infrared Adapter;C:\WINDOWS\system32\DRIVERS\KS-959.sys [2005-09-04 22:59]
S3 p2pgasvc;Autenticación de grupo de redes de mismo nivel;C:\WINDOWS\system32\svchost.exe [2004-08-19 10:43]
S3 p2pimsvc;Administrador de identidad de redes de mismo nivel;C:\WINDOWS\system32\svchost.exe [2004-08-19 10:43]
S3 p2psvc;Redes de mismo nivel;C:\WINDOWS\system32\svchost.exe [2004-08-19 10:43]
S3 PNRPSvc;Protocolo de resolución de nombres de mismo nivel;C:\WINDOWS\system32\svchost.exe [2004-08-19 10:43]
S3 TuneUp.Defrag;TuneUp Drive Defrag Service;C:\WINDOWS\System32\TuneUpDefragService.exe [2008-05-26 20:08]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
p2psvc REG_MULTI_SZ p2psvc p2pimsvc p2pgasvc PNRPSvc
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
UxTuneUp
.
Contenido de carpeta 'Tareas Programadas'
"2008-06-06 23:34:07 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job"
- C:\Archivos de programa\Apple Software Update\SoftwareUpdate.exe
"2008-06-20 13:25:34 C:\WINDOWS\Tasks\GoogleUpdateTask.job"
- C:\Archivos de programa\Google\Update\1.1.25.0\GoogleUpdate.exe
"2008-06-20 13:25:38 C:\WINDOWS\Tasks\Mantenimiento con 1 clic.job"
- C:\Archivos de programa\TuneUp Utilities 2008\OneClickStarter.exe
.
**************************************************************************
catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-06-20 10:25:55
Windows 5.1.2600 Service Pack 2 NTFS
escaneando procesos ocultos ...
escaneando entradas ocultas de autostart ...
escaneando archivos ocultos ...
el escaneo se completo con exito
archivos ocultos: 0
**************************************************************************
.
------------------------ Other Running Processes ------------------------
.
C:\Archivos de programa\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\Archivos de programa\Archivos comunes\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Archivos de programa\Bonjour\mDNSResponder.exe
C:\Archivos de programa\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7DEBUG\mdm.exe
C:\Archivos de programa\Nero\Nero8\Nero BackItUp\NBService.exe
C:\Archivos de programa\Archivos comunes\SafeNet Sentinel\Sentinel Protection Server\WinNT\spnsrvnt.exe
C:\WINDOWS\system32\drivers\WtSrv.exe
C:\WINDOWS\system32\searchindexer.exe
C:\Archivos de programa\AVG\AVG8\avgrsx.exe
C:\WINDOWS\system32\rundll32.exe
C:\Archivos de programa\Windows Desktop Search\WindowsSearch.exe
C:\Archivos de programa\WinZip\WZQKPICK.EXE
C:\Archivos de programa\WordWeb\wweb32.exe
C:\WINDOWS\system32\searchprotocolhost.exe
C:\WINDOWS\system32\searchfilterhost.exe
.
**************************************************************************
.
Tiempo completado: 2008-06-20 10:32:47 - machine was rebooted
ComboFix-quarantined-files.txt 2008-06-20 13:32:02
ComboFix2.txt 2008-06-20 02:35:34
7 dirs 21,245,931,520 bytes libres
12 dirs 21,241,896,960 bytes libres
235 --- E O F --- 2008-06-11 12:38:14
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 10:51:21, on 20/06/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16674)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Archivos de programa\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Archivos de programa\Archivos comunes\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\ARCHIV~1\AVG\AVG8\avgwdsvc.exe
C:\Archivos de programa\Bonjour\mDNSResponder.exe
C:\Archivos de programa\Google\Update\1.1.25.0\GoogleUpdate.exe
C:\Archivos de programa\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\WINDOWS\Explorer.EXE
C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Archivos de programa\Nero\Nero8\Nero BackItUp\NBService.exe
C:\Archivos de programa\Archivos comunes\SafeNet Sentinel\Sentinel Protection Server\WinNT\spnsrvnt.exe
C:\WINDOWS\system32\svchost.exe
C:\ARCHIV~1\AVG\AVG8\avgrsx.exe
C:\WINDOWS\system32\DRIVERS\WtSrv.exe
C:\WINDOWS\system32\SearchIndexer.exe
C:\WINDOWS\system32\S3Trayp.exe
C:\Archivos de programa\Hewlett-Packard\HP Business Inkjet 1000\Toolbox\mpm.exe
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\system32\WService.EXE
C:\WINDOWS\PixArt\PAC207\Monitor.exe
C:\ARCHIV~1\AVG\AVG8\avgtray.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Archivos de programa\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Archivos de programa\Windows Desktop Search\WindowsSearch.exe
C:\Archivos de programa\WinZip\WZQKPICK.EXE
C:\Archivos de programa\WordWeb\wweb32.exe
C:\WINDOWS\system32\SearchProtocolHost.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Archivos de programa\Trend Micro\HijackThis\HijackThis.exe
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
O2 - BHO: Aplicación auxiliar de vínculos de Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Archivos comunes\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Archivos de programa\AVG\AVG8\avgssie.dll
O2 - BHO: Google Update Class - {6F282C89-3BD3-4387-92D9-C76428B07E07} - C:\Archivos de programa\Google\Update\1.1.25.0\GoopdateBho.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Archivos de programa\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: Complemento del Asistente para Internet de Encarta - {955BE0B8-BC85-4CAF-856E-8E0D8B610560} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Encarta Web Companion\2007\ENCWCBAR.DLL
O2 - BHO: AVG Security Toolbar - {A057A204-BACC-4D26-9990-79A187E2698E} - C:\ARCHIV~1\AVG\AVG8\AVGTOO~1.DLL
O2 - BHO: CmjBrowserHelperObject Object - {AC41D38F-B56D-40AD-94E0-B493D130C959} - C:\Archivos de programa\Mindjet\MindManager 6\Mm6InternetExplorer.dll
O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Archivos de programa\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Archivos de programa\Google\GoogleToolbarNotifier\2.1.1119.1736\swg.dll
O2 - BHO: Google Gears Helper - {E0FEFE40-FBF9-42AE-BA58-794CA7E3FB53} - C:\Archivos de programa\Google\Google Gears\Internet Explorer\0.3.24.0\gears.dll
O3 - Toolbar: Asistente para Internet de Encarta - {147D6308-0614-4112-89B1-31402F9B82C4} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Encarta Web Companion\2007\ENCWCBAR.DLL
O3 - Toolbar: &Netcraft Toolbar - {D554D8FC-B36D-4BB4-93DB-4A3394D505E3} - C:\Archivos de programa\Netcraft Toolbar\nctb.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Archivos de programa\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: AVG Security Toolbar - {A057A204-BACC-4D26-9990-79A187E2698E} - C:\ARCHIV~1\AVG\AVG8\AVGTOO~1.DLL
O4 - HKLM\..\Run: [S3Trayp] S3Trayp.exe
O4 - HKLM\..\Run: [HPWT myPrintMileage Agent] C:\Archivos de programa\Hewlett-Packard\HP Business Inkjet 1000\Toolbox\mpm.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [WService] WService.EXE
O4 - HKLM\..\Run: [Monitor] C:\WINDOWS\PixArt\PAC207\Monitor.exe
O4 - HKLM\..\Run: [AVG8_TRAY] C:\ARCHIV~1\AVG\AVG8\avgtray.exe
O4 - HKLM\..\Run: [NBKeyScan] "C:\Archivos de programa\Nero\Nero8\Nero BackItUp\NBKeyScan.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Archivos de programa\Archivos comunes\Nero\Lib\NeroCheck.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [swg] C:\Archivos de programa\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICIO LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Servicio de red')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: WordWeb.lnk = C:\Archivos de programa\WordWeb\wweb32.exe
O4 - Global Startup: Búsqueda en el escritorio de Windows.lnk = C:\Archivos de programa\Windows Desktop Search\WindowsSearch.exe
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Archivos de programa\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: Append to existing PDF - res://C:\Archivos de programa\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convert link target to Adobe PDF - res://C:\Archivos de programa\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convert link target to existing PDF - res://C:\Archivos de programa\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convert selected links to Adobe PDF - res://C:\Archivos de programa\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Convert selected links to existing PDF - res://C:\Archivos de programa\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Convert selection to Adobe PDF - res://C:\Archivos de programa\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convert selection to existing PDF - res://C:\Archivos de programa\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convert to Adobe PDF - res://C:\Archivos de programa\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Consola de Sun Java - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Archivos de programa\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: (no name) - {09C04DA7-5B76-4EBC-BBEE-B25EAC5965F5} - C:\Archivos de programa\Google\Google Gears\Internet Explorer\0.3.24.0\gears.dll
O9 - Extra 'Tools' menuitem: &Google Gears Settings - {09C04DA7-5B76-4EBC-BBEE-B25EAC5965F5} - C:\Archivos de programa\Google\Google Gears\Internet Explorer\0.3.24.0\gears.dll
O9 - Extra button: Send to Mindjet MindManager - {531B9DC0-D8EE-4c76-A6EE-6C1E50569655} - C:\Archivos de programa\Mindjet\MindManager 6\Mm6InternetExplorer.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: Barra de búsqueda de Encarta - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Archivos de programa\Archivos comunes\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\msmsgs.exe
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://a1540.g.akamai.net/7/1540/52/20061205/qtinstall.info.apple.com/qtactivex/qtplugin.cab
O16 - DPF: {3BFFE033-BF43-11D5-A271-00A024A51325} (iNotes6 Class) - https://oldelval.miacceso.com/iNotes6W.cab
O16 - DPF: {493ACF15-5CD9-4474-82A6-91670C3DD66E} (LinkedIn ContactFinderControl) - http://www.linkedin.com/cab/LinkedInContactFinderControl.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1168379076390
O16 - DPF: {E06E2E99-0AA1-11D4-ABA6-0060082AA75C} (GpcContainer Class) - https://mindjetevents.webex.com/client/T23L/webex/ieatgpc.cab
O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Archivos de programa\AVG\AVG8\avgpp.dll
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\ARCHIV~1\ARCHIV~1\Skype\SKYPE4~1.DLL
O20 - AppInit_DLLs: C:\ARCHIV~1\Google\GOOGLE~2\GOEC62~1.DLL,avgrsstx.dll
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft - C:\Archivos de programa\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: Adobe LM Service - Adobe Systems - C:\Archivos de programa\Archivos comunes\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Adobe Version Cue CS3 - Adobe Systems Incorporated - C:\Archivos de programa\Archivos comunes\Adobe\Adobe Version Cue CS3\Server\bin\VersionCueCS3.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Archivos de programa\Archivos comunes\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: AVG8 WatchDog (avg8wd) - AVG Technologies CZ, s.r.o. - C:\ARCHIV~1\AVG\AVG8\avgwdsvc.exe
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Archivos de programa\Bonjour\mDNSResponder.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Archivos de programa\Archivos comunes\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: GoogleDesktopManager - Google - C:\Archivos de programa\Google\Google Desktop Search\GoogleDesktop.exe
O23 - Service: Google Update Service (gupdate1c88ff97880f9aa) (gupdate1c88ff97880f9aa) - Google Inc. - C:\Archivos de programa\Google\Update\1.1.25.0\GoogleUpdate.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Archivos de programa\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Archivos de programa\Archivos comunes\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: Servicio del iPod (iPod Service) - Apple Inc. - C:\Archivos de programa\iPod\bin\iPodService.exe
O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - C:\Archivos de programa\Nero\Nero8\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Archivos de programa\Archivos comunes\Nero\Lib\NMIndexingService.exe
O23 - Service: Sentinel Protection Server (SentinelProtectionServer) - SafeNet, Inc - C:\Archivos de programa\Archivos comunes\SafeNet Sentinel\Sentinel Protection Server\WinNT\spnsrvnt.exe
O23 - Service: ServiceLayer - Nokia. - C:\Archivos de programa\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: TuneUp Drive Defrag Service (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe
O23 - Service: WinTab Service (WinTabService) - Tablet Driver - C:\WINDOWS\system32\DRIVERS\WtSrv.exe
--
End of file - 12632 bytes
Is everything Ok?
Gracias nuevamente, saludos.
pskelley
2008-06-20, 16:45
Thanks for returning your information, stick with me, just a while longer to be sure your computer is clean of the junk.
Download Malwarebytes' Anti-Malware to your Desktop
http://www.besttechie.net/tools/mbam-setup.exe
* Double-click mbam-setup.exe and follow the prompts to install the program.
* Be sure a checkmark is placed next to Update Malwarebytes' Anti-Malware and Launch Malwarebytes' Anti-Malware, then click Finish.
* If an update is found, it will download and install the latest version.
* Once the program has loaded, select Perform FULL SCAN, then click Scan.
* When the scan is complete, click OK, then Show Results to view the results.
* Be sure that everything is checked, and click Remove Selected.
* When completed, a log will open in Notepad. Please save it to a convenient location. The log can also be opened by going to Start > All Programs > Malwarebytes' Anti-Malware > Logs > log-date.txt
* Please post contents of that file in your next reply.
Once you post that MBAM log, move to the next instructions:
I am sure you saw this:
WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
http://www.bleepingcomputer.com/combofix/how-to-use-combofix
Review that information to understand Recovery Console. Installation is optional but if you do not have the CD's needed, as is explained, it can be installed before we remove combofix.
If you do not wish to install RC, let me know so I can continue with the cleanup.
If you install RC, post the C:\*CF-RC.txt*.
Since we do not need to scan with combofix, click NO
http://img.photobucket.com/albums/v666/sUBs/RC_whatnext.gif
http://img.photobucket.com/albums/v666/sUBs/RC_AllDone.gif
post that log when you have it.
Gracias
Hello pskelley, gracias por tu ayuda:
I installed the RC, but I have problems for posting the C:\*CF-RC.txt*.
Malwarebytes' Anti-Malware 1.18
Versión de la Base de Datos: 871
13:27:50 20/06/2008
mbam-log-6-20-2008 (13-27-50).txt
Tipo de examen : Examen Completo (C:\|E:\|)
Objetos examinados: 205907
Tiempo transcurrido: 54 minute(s), 20 second(s)
Procesos en Memoria Infectados: 0
Módulos en Memoria Infectados: 0
Claves del Registro Infectadas: 11
Valores del Registro Infectados: 1
Elementos de Datos del Registro Infectados: 0
Carpetas Infectadas: 1
Ficheros Infectados: 5
Procesos en Memoria Infectados:
(No se han detectado elementos maliciosos)
Módulos en Memoria Infectados:
(No se han detectado elementos maliciosos)
Claves del Registro Infectadas:
HKEY_CLASSES_ROOT\Interface\{1ecc44fb-970d-4bc8-90e3-002da4dd21b8} (Spyware.Banker) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Interface\{63bd4ee4-660b-434d-a54b-7c1f53e2fedd} (Spyware.Banker) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Interface\{6d2c09c4-ec95-4251-81fd-1cd01fd8ae44} (Spyware.Banker) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Interface\{d622e87a-35f9-4fb2-afee-4f5bf8407c7a} (Spyware.Banker) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Typelib\{ff14b02b-6ee4-400f-a729-b0ea35f921c2} (Spyware.Banker) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\aosmtp.mail (Spyware.Banker) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{69620165-77dd-44ee-995c-3632e525a22b} (Spyware.Banker) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{f8d07b72-b4b4-46a0-acc0-c771d4614b82} (Spyware.Banker) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\aosmtp.mail.1 (Spyware.Banker) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\aosmtp.fastsender (Spyware.Banker) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\aosmtp.fastsender.1 (Spyware.Banker) -> Quarantined and deleted successfully.
Valores del Registro Infectados:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDLLs\C:\WINDOWS\system32\AOSMTP.dll (Spyware.Banker) -> Quarantined and deleted successfully.
Elementos de Datos del Registro Infectados:
(No se han detectado elementos maliciosos)
Carpetas Infectadas:
C:\Archivos de programa\VAV (Rogue.VistaAntivirus2008) -> Quarantined and deleted successfully.
Ficheros Infectados:
C:\WINDOWS\system32\AOSMTP.dll (Spyware.Banker) -> Quarantined and deleted successfully.
C:\Archivos de programa\VAV\vav.ooo (Rogue.VistaAntivirus2008) -> Quarantined and deleted successfully.
C:\Archivos de programa\VAV\vav0.dat (Rogue.VistaAntivirus2008) -> Quarantined and deleted successfully.
C:\Archivos de programa\VAV\vav1.dat (Rogue.VistaAntivirus2008) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\clkcnt.txt (Trojan.Vundo) -> Quarantined and deleted successfully.
ComboFix 08-06-16.5 - Usuario 2008-06-20 14:08:37.3 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.3082.18.523 [GMT -3:00]
Se ejecuta desde: C:\Documents and Settings\Usuario\Escritorio\ComboFix.exe
.
(((((((((((((((((( Archivos creados desde 2008-05-20 - 2008-06-20 )))))))))))))))))))))))))))))))))
.
2008-06-20 14:04 . 2008-06-20 14:04 569 --a------ C:\Acceso directo a ComboFix.exe.lnk
2008-06-20 12:18 . 2008-06-20 12:18 <DIR> d-------- C:\Documents and Settings\Usuario\Datos de programa\Malwarebytes
2008-06-20 12:18 . 2008-06-20 12:18 <DIR> d-------- C:\Documents and Settings\All Users\Datos de programa\Malwarebytes
2008-06-20 12:18 . 2008-06-20 12:18 <DIR> d-------- C:\Archivos de programa\Malwarebytes' Anti-Malware
2008-06-20 12:18 . 2008-06-19 17:48 34,296 --a------ C:\WINDOWS\system32\drivers\mbamcatchme.sys
2008-06-20 12:18 . 2008-06-19 17:47 17,144 --a------ C:\WINDOWS\system32\drivers\mbam.sys
2008-06-19 23:35 . 2008-06-20 10:32 <DIR> d-------- C:\WINDOWS\system32\config\systemprofile\Configuración local
2008-06-19 23:35 . 2008-06-20 10:32 <DIR> d-------- C:\Documents and Settings\Usuario\Configuración local
2008-06-19 23:35 . 2008-06-20 10:32 <DIR> d-------- C:\Documents and Settings\NetworkService\Configuración local
2008-06-19 23:35 . 2008-06-20 10:32 <DIR> d-------- C:\Documents and Settings\LocalService\Configuración local
2008-06-19 23:35 . 2008-06-20 10:32 <DIR> d-------- C:\Documents and Settings\Administrador\Configuración local
2008-06-19 16:10 . 2008-06-19 16:15 <DIR> d-------- C:\Archivos de programa\Panda Security
2008-06-18 16:16 . 2008-06-18 16:16 <DIR> d-------- C:\Archivos de programa\Trend Micro
2008-06-11 08:41 . 2008-04-14 12:52 272,512 --------- C:\WINDOWS\system32\drivers\bthport.sys
2008-06-11 08:41 . 2008-04-14 12:52 272,512 -----c--- C:\WINDOWS\system32\dllcache\bthport.sys
2008-06-10 12:30 . 2008-06-10 12:30 680 --a------ C:\WINDOWS\bsc.ini
2008-06-10 12:29 . 2008-06-10 12:40 <DIR> d-------- C:\bsc
2008-06-05 14:42 . 2008-06-05 14:42 0 --a------ C:\WINDOWS\Irremote.ini
2008-06-05 12:02 . 2008-06-05 12:02 <DIR> d-------- C:\Archivos de programa\Xvid
2008-06-03 21:13 . 2008-06-03 21:13 <DIR> d-------- C:\Documents and Settings\Usuario\Datos de programa\WordWeb
2008-06-03 17:59 . 2008-06-03 17:59 <DIR> d-------- C:\Archivos de programa\WordWeb
2008-06-03 17:59 . 2007-12-01 18:01 1,049,720 --a------ C:\WINDOWS\wweb32.dll
2008-06-01 19:41 . 2008-06-01 19:41 <DIR> d-------- C:\Archivos de programa\KeePass Password Safe
2008-05-26 20:08 . 2008-05-26 20:08 354,560 --a------ C:\WINDOWS\system32\TuneUpDefragService.exe
2008-05-26 20:08 . 2008-04-04 14:51 28,416 --a------ C:\WINDOWS\system32\uxtuneup.dll
.
(((((((((((((((((((((((((((((((((((((( Reporte Find3M )))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-06-20 14:12 --------- d-----w C:\Documents and Settings\All Users\Datos de programa\Google Updater
2008-06-20 13:54 --------- d-----w C:\Archivos de programa\Netcraft Toolbar
2008-06-18 13:30 --------- d-----w C:\Archivos de programa\TuneUp Utilities 2008
2008-06-13 10:55 --------- d-----w C:\Archivos de programa\eMule
2008-06-09 22:33 --------- d-----w C:\Archivos de programa\Google
2008-06-05 18:04 --------- d-----w C:\Archivos de programa\Archivos comunes\Nero
2008-06-05 18:00 --------- d-----w C:\Documents and Settings\All Users\Datos de programa\Nero
2008-06-05 17:49 --------- d-----w C:\Documents and Settings\Usuario\Datos de programa\Azureus
2008-06-02 23:49 --------- d-----w C:\Documents and Settings\Usuario\Datos de programa\Skype
2008-06-02 19:00 --------- d-----w C:\Documents and Settings\Usuario\Datos de programa\skypePM
2008-05-15 13:37 --------- d-----w C:\Archivos de programa\Azureus
2008-05-15 13:30 --------- d-----w C:\Archivos de programa\BitTorrent Fastest Tool
2008-05-13 00:42 --------- d-----w C:\Documents and Settings\All Users\Datos de programa\WinZip
2008-05-08 12:28 202,752 ----a-w C:\WINDOWS\system32\drivers\rmcast.sys
2008-05-02 17:59 --------- d-----w C:\Documents and Settings\Usuario\Datos de programa\AVGTOOLBAR
2008-05-02 15:50 96,520 ----a-w C:\WINDOWS\system32\drivers\avgldx86.sys
2008-05-02 15:50 --------- d-----w C:\Documents and Settings\All Users\Datos de programa\avg8
2008-05-02 15:50 --------- d-----w C:\Archivos de programa\AVG
2008-04-01 12:29 921,632 ----a-w C:\PA207.DAT
2007-11-21 20:23 32 ----a-w C:\Documents and Settings\All Users\Datos de programa\ezsid.dat
2007-07-16 14:10 38,434 ----a-w C:\Documents and Settings\Usuario\Datos de programa\unins000.dat
2007-07-16 14:09 680,423 ----a-w C:\Documents and Settings\Usuario\Datos de programa\unins000.exe
2003-08-27 17:19 36,963 ----a-r C:\Archivos de programa\Archivos comunes\SM1updtr.dll
2007-12-25 23:02 848 --sha-w C:\WINDOWS\system32\KGyGaAvL.sys
.
((((((((((((((((((((((((((((( snapshot@2008-06-19_23.34.22.90 )))))))))))))))))))))))))))))))))))))))))
.
- 2008-06-20 02:26:39 2,048 --s-a-w C:\WINDOWS\bootstat.dat
+ 2008-06-20 17:14:35 2,048 --s-a-w C:\WINDOWS\bootstat.dat
+ 2001-07-14 20:32:24 69,632 ----a-w C:\WINDOWS\setupupd\temp\wsdueng.dll
.
((((((((((((((((((((((((((((((((( Cargando Puntos Reg ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Nota* entradas vac¡as & entradas leg¡timas predeterminadas no son mostradas
[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{6F282C89-3BD3-4387-92D9-C76428B07E07}]
2008-03-28 08:00 156144 --a----t- C:\Archivos de programa\Google\Update\1.1.25.0\GoopdateBho.dll
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-19 10:42 15360]
"swg"="C:\Archivos de programa\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2007-06-14 17:38 68856]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"S3Trayp"="S3Trayp.exe" [2005-04-05 02:49 159744 C:\WINDOWS\system32\S3Trayp.exe]
"HPWT myPrintMileage Agent"="C:\Archivos de programa\Hewlett-Packard\HP Business Inkjet 1000\Toolbox\mpm.exe" [2005-01-26 03:45 102400]
"RTHDCPL"="RTHDCPL.EXE" [2006-03-03 19:44 16006656 C:\WINDOWS\RTHDCPL.exe]
"WService"="WService.EXE" [2002-09-07 07:23 28672 C:\WINDOWS\system32\WService.exe]
"Monitor"="C:\WINDOWS\PixArt\PAC207\Monitor.exe" [2006-11-03 11:01 319488]
"AVG8_TRAY"="C:\ARCHIV~1\AVG\AVG8\avgtray.exe" [2008-05-02 12:50 1177368]
"NBKeyScan"="C:\Archivos de programa\Nero\Nero8\Nero BackItUp\NBKeyScan.exe" [2007-08-08 09:25 1828136]
"NeroFilterCheck"="C:\Archivos de programa\Archivos comunes\Nero\Lib\NeroCheck.exe" [2007-03-01 15:57 153136]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-19 10:42 15360]
"Nokia.PCSync"="C:\Archivos de programa\Nokia\Nokia PC Suite 6\PcSync2.exe" [2007-03-27 15:58 1744896]
[hkey_local_machine\software\microsoft\windows\currentversion\explorer\shellexecutehooks]
"{56F9679E-7826-4C84-81F3-532071A8BCC5}"= C:\Archivos de programa\Windows Desktop Search\MSNLNamespaceMgr.dll [2007-02-05 15:39 294400]
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]
"Skype"="C:\Archivos de programa\Skype\Phone\Skype.exe" /nosplash /minimized
"pdfSaver3"="C:\Archivos de programa\Tracker Software\PDF-XChange 3\pdfSaver\pdfSaver3.exe"
"MSMSGS"="C:\Archivos de programa\Messenger\msmsgs.exe" /background
"Microsoft Office Outlook"=C:\ARCHIV~1\MICROS~2\OFFICE11\OUTLOOK.EXE /recycle
"Internet Explorer"=C:\Archivos de programa\Internet Explorer\iexplore.exe
"E07EXLRD_17874296"="C:\Archivos de programa\Microsoft Encarta\Encarta 2007 Biblioteca Premium DVD\EDICT.EXE" -m
"E07EXLRD_2347750"="C:\Archivos de programa\Microsoft Encarta\Encarta 2007 Biblioteca Premium DVD\EDICT.EXE" -m
"BlazeServoTool"="C:\Archivos de programa\BlazeVideo\BlazeDVD\MediaDetector.exe"
"ctfmon.exe"=C:\WINDOWS\system32\ctfmon.exe
"swg"=C:\Archivos de programa\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"TV Card Remote Control Device Monitor"=C:\WINDOWS\878RMTMon.exe
"ISUSScheduler"="C:\Archivos de programa\Archivos comunes\InstallShield\UpdateService\issch.exe" -start
"ISUSPM Startup"=C:\ARCHIV~1\ARCHIV~1\INSTAL~1\UPDATE~1\ISUSPM.exe -startup
"PCSuiteTrayApplication"=C:\Archivos de programa\Nokia\Nokia PC Suite 6\LaunchApplication.exe -startup
"KernelFaultCheck"=%systemroot%\system32\dumprep 0 -k
"SunJavaUpdateSched"="C:\Archivos de programa\Java\jre1.6.0_03\bin\jusched.exe"
"QuickTime Task"="C:\Archivos de programa\QuickTime\QTTask.exe" -atboottime
"MMReminderService"=C:\Archivos de programa\Mindjet\MindManager 6\MMReminderService.exe
"TkBellExe"="C:\Archivos de programa\Archivos comunes\Real\Update_OB\realsched.exe" -osboot
"SM1BG"=C:\WINDOWS\SM1BG.EXE
"VTTimer"=VTTimer.exe
"HP Software Update"=C:\Archivos de programa\HP\HP Software Update\HPWuSchd2.exe
"Google Desktop Search"="C:\Archivos de programa\Google\Google Desktop Search\GoogleDesktop.exe" /startup
"Acrobat Assistant 8.0"="C:\Archivos de programa\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe"
"Adobe_ID0EYTHM"=C:\ARCHIV~1\ARCHIV~1\Adobe\ADOBEV~1\Server\bin\VERSIO~2.EXE
"Adobe Reader Speed Launcher"="C:\Archivos de programa\Adobe\Reader 8.0\Reader\Reader_sl.exe"
"iTunesHelper"="C:\Archivos de programa\iTunes\iTunesHelper.exe"
"WService"=WService.EXE
"NBKeyScan"="C:\Archivos de programa\Nero\Nero8\Nero BackItUp\NBKeyScan.exe"
"NeroFilterCheck"=C:\Archivos de programa\Archivos comunes\Nero\Lib\NeroCheck.exe
[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"UpdatesDisableNotify"=dword:00000001
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"C:\\WINDOWS\\system32\\dpvsetup.exe"=
"C:\\Archivos de programa\\eMule\\emule.exe"=
"C:\\Archivos de programa\\Messenger\\msmsgs.exe"=
"C:\\Archivos de programa\\Adobe\\Adobe Dreamweaver CS3\\Dreamweaver.exe"=
"C:\\Archivos de programa\\Archivos comunes\\Adobe\\Adobe Version Cue CS3\\Server\\bin\\VersionCueCS3.exe"=
"C:\\Archivos de programa\\Azureus\\Azureus.exe"=
"C:\\Archivos de programa\\Perseus\\SurveySolutions7\\Reserved\\PublishingWizard.exe"=
"C:\\Archivos de programa\\Mozilla Firefox\\firefox.exe"=
"C:\\Archivos de programa\\Archivos comunes\\Nero\\Nero Web\\SetupX.exe"=
"C:\\Archivos de programa\\Microsoft Office\\Office12\\OUTLOOK.EXE"=
"C:\\Archivos de programa\\iTunes\\iTunes.exe"=
"C:\\Archivos de programa\\AVG\\AVG8\\avgupd.exe"=
"C:\\Archivos de programa\\Hewlett-Packard\\HP Business Inkjet 1000\\Toolbox\\HPWTTBX.exe"=
"C:\\Archivos de programa\\Skype\\Phone\\Skype.exe"=
"C:\\WINDOWS\\system32\\sessmgr.exe"=
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"3703:TCP"= 3703:TCP:Adobe Version Cue CS3 Server
"3704:TCP"= 3704:TCP:Adobe Version Cue CS3 Server
"50900:TCP"= 50900:TCP:Adobe Version Cue CS3 Server
"50901:TCP"= 50901:TCP:Adobe Version Cue CS3 Server
"3587:TCP"= 3587:TCP:Agrupación de igual a igual de Windows
"3540:UDP"= 3540:UDP:Protocolo de resolución de nombres de mismo nivel (PNRP)
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\IcmpSettings]
"AllowInboundEchoRequest"= 1 (0x1)
R1 AvgLdx86;AVG AVI Loader Driver x86;C:\WINDOWS\system32\Drivers\avgldx86.sys [2008-05-02 12:50]
R1 Cinemsup;Cinemsup;C:\WINDOWS\system32\drivers\Cinemsup.sys [2003-12-19 02:00]
R2 avg8wd;AVG8 WatchDog;C:\ARCHIV~1\AVG\AVG8\avgwdsvc.exe [2008-05-02 12:50]
R2 UxTuneUp;TuneUp Ampliación del thema;C:\WINDOWS\System32\svchost.exe [2004-08-19 10:43]
R3 PAC207;Eye 110;C:\WINDOWS\system32\DRIVERS\PFC027.SYS [2006-12-05 11:34]
R3 S3G700;S3G700;C:\WINDOWS\system32\DRIVERS\S3G700m.sys [2005-10-15 01:19]
S2 gupdate1c88ff97880f9aa;Google Update Service (gupdate1c88ff97880f9aa);"C:\Archivos de programa\Google\Update\1.1.25.0\GoogleUpdate.exe" /svc /lang en []
S3 KS-959;Kingsun KS-959 USB Infrared Adapter;C:\WINDOWS\system32\DRIVERS\KS-959.sys [2005-09-04 22:59]
S3 p2pgasvc;Autenticación de grupo de redes de mismo nivel;C:\WINDOWS\system32\svchost.exe [2004-08-19 10:43]
S3 p2pimsvc;Administrador de identidad de redes de mismo nivel;C:\WINDOWS\system32\svchost.exe [2004-08-19 10:43]
S3 p2psvc;Redes de mismo nivel;C:\WINDOWS\system32\svchost.exe [2004-08-19 10:43]
S3 PNRPSvc;Protocolo de resolución de nombres de mismo nivel;C:\WINDOWS\system32\svchost.exe [2004-08-19 10:43]
S3 TuneUp.Defrag;TuneUp Drive Defrag Service;C:\WINDOWS\System32\TuneUpDefragService.exe [2008-05-26 20:08]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
p2psvc REG_MULTI_SZ p2psvc p2pimsvc p2pgasvc PNRPSvc
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
UxTuneUp
.
Contenido de carpeta 'Tareas Programadas'
"2008-06-06 23:34:07 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job"
- C:\Archivos de programa\Apple Software Update\SoftwareUpdate.exe
"2008-06-20 17:14:49 C:\WINDOWS\Tasks\GoogleUpdateTask.job"
- C:\Archivos de programa\Google\Update\1.1.25.0\GoogleUpdate.exe
"2008-06-20 17:14:50 C:\WINDOWS\Tasks\Mantenimiento con 1 clic.job"
- C:\Archivos de programa\TuneUp Utilities 2008\OneClickStarter.exe
.
**************************************************************************
catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-06-20 14:15:31
Windows 5.1.2600 Service Pack 2 NTFS
escaneando procesos ocultos ...
escaneando entradas ocultas de autostart ...
escaneando archivos ocultos ...
el escaneo se completo con exito
archivos ocultos: 0
**************************************************************************
.
------------------------ Other Running Processes ------------------------
.
C:\Archivos de programa\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\Archivos de programa\Archivos comunes\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Archivos de programa\Bonjour\mDNSResponder.exe
C:\Archivos de programa\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7DEBUG\mdm.exe
C:\Archivos de programa\Nero\Nero8\Nero BackItUp\NBService.exe
C:\Archivos de programa\Archivos comunes\SafeNet Sentinel\Sentinel Protection Server\WinNT\spnsrvnt.exe
C:\WINDOWS\system32\drivers\WtSrv.exe
C:\WINDOWS\system32\searchindexer.exe
C:\Archivos de programa\AVG\AVG8\avgrsx.exe
C:\Archivos de programa\Windows Desktop Search\WindowsSearch.exe
C:\Archivos de programa\WinZip\WZQKPICK.EXE
C:\Archivos de programa\WordWeb\wweb32.exe
C:\WINDOWS\system32\searchprotocolhost.exe
C:\WINDOWS\system32\searchfilterhost.exe
.
**************************************************************************
.
Tiempo completado: 2008-06-20 14:22:14 - machine was rebooted
ComboFix-quarantined-files.txt 2008-06-20 17:21:28
ComboFix2.txt 2008-06-20 02:35:34
7 dirs 21,210,492,928 bytes libres
13 dirs 21,262,016,512 bytes libres
211 --- E O F --- 2008-06-11 12:38:14
Is everything Ok?
Thank you again.
pskelley
2008-06-20, 19:42
Must be ok, I do not see this:
ADVERTENCIA - ESTE EQUIPO NO TIENE INSTALADA LA CONSOLA DE RECUPERACION!
Remove combofix with these instructions:
Click START then RUN
Now type or copy Combofix /u in the runbox and click OK.
Note the space between the X and the U, it needs to be there.
http://i189.photobucket.com/albums/z176/EPL47/CF_Cleanup.png
If your computer is running now as it should be, here is information to keep it running that way.
Some good information for you:
http://users.telenet.be/bluepatchy/miekiemoes/slowcomputer.html
http://www.microsoft.com/windowsxp/using/helpandsupport/learnmore/tips/mcgill1.mspx
Here is some great information from experts in this field that will help you stay clean and safe online.
http://users.telenet.be/bluepatchy/miekiemoes/prevention.html
http://forums.spybot.info/showthread.php?t=279
http://russelltexas.com/malware/allclear.htm
http://forum.malwareremoval.com/viewtopic.php?t=14
http://www.bleepingcomputer.com/forums/topict2520.html
http://cybercoyote.org/security/not-admin.shtml
http://www.malwarecomplaints.info/
Gracias...pskelley
Safer Networking Forums
http://www.spybot.info/en/donate/index.html
If you are reading this information...thank a teacher,
If you are reading it in English...thank a soldier.
Hola pskelley,
Gracias teacher & soldier :)