Ahora Bagle (Solucionado)

fjsaras · #1 (**permalink**) 12/02/2008, 18:35

Hola amigo, siento molestarte tan pronto de nuevo pero han vuelto los problemas: Hace varios dias navegando por internet se me reinicio el ordenador él solo. Me di cuenta que habia perdido la configuración de la conexión inalambrica, y ahora me tengo que conectar manualmente cada vez que entro en internet, ya que aún no lo he podido arreglar.
Ese dia no me fijé, pero anteayer vi que no me funcionaban ninguno de los programas antivirus, ni el Avast, ni el Trojan Remover, ni el Windows Defender, y al intentar reinstalarlos no me dejaba y me decia que no eran aplicaciones win32 válidas.
Tampoco puedo pegarte un log del HijackThis pues no me arranca, y el Combofix no me atrevo a tocarlo sin tus indicaciones (si es que arrancara que no lo sé, pues ni lo he intentado).
Navegando por la red encontré correos de gente que les pasaba practicamente lo mismo que a mi y les sugerian que podia ser un gusano llamado Bagle, y les indicaban que corrieran una aplicación llamada EliBaglA, así lo hice y me identificó un fichero infectado por gusano Bagle. Esta aplicación ha creado un fichero de texto que no me atrevo a cargar en un pendrive y traerlo al portátil para pegartelo por miedo a infectarlo también, pero que dice que en Windows\system32\ hay 2 ficheros afectados: Ban_list.txt---->eliminado Bagle, y Wintems.exe---->Acceso Denegado. También en Windows\system32\Drivers\ hay otros dos: Srosa.sys---->(Bagle rootkit) --> Acceso Denegado, y Hldrrr.exe-->(Bagle .dldr)----> Acceso denegado.
Por si fuera poco, desde ayer, cada 4 ó 5 minutos máximo se me reinicia el ordenador sólo, y me hace imposible navegar o trabajar con él.
Recurro a tí por que estoy desesperado y siento provocarte nuevas molestias con mis problemas pero es que no sé que hacer, ya que no puedo correr ningún antivirus, ni tan siquiera pegarte un log de Hijackthis.
Si fueras tan amable y me volvieras a dedicar unos minutos te estaría inmensamente agradecido ya que tengo inutilizado el sobremesa. Muchas gracias, perdona el tocho, y las molestias, y aquí estaré para lo que me mandes hacer. Saludos y un millón de gracias.

Gpastor · #2 (**permalink**) 14/02/2008, 10:10

Hola, bueno una pena que te hayas vuelto a infectar tan rápido, hay que cuidar los hábitos de navegación para evitar esto, en todo caso, Bagle es actualmente uno de los virus que está causando ciertas dificultades para su eliminación. Así que te recomiendo lo siguiente:

- Descarga ComboFix.exe
- Dada tu infecciones, debes de cambiar el nombre antes de guardarlo en tu escritorio por Combo-Fix

--------------------------------------------------------------------

Desactiva temporalmente el Antivirus y/o Antispyware.
Cierra todas las ventanas abiertas.
Haz doble clic al archivo Combo-Fix.exe y sigue las instrucciones.
Cuando termine, generara un registro en C:\ComboFix.txt.
- *Nota* Mientras CF este trabajando no mover el mouse ya que pararía su proceso.
- *Nota* ComboFix puede reiniciar automáticamente el PC para completar el proceso de eliminación.
Pega el reporte de ComboFix.txt en este mismo mensaje.

Saludos

fjsaras · #3 (**permalink**) 14/02/2008, 11:27

Gracias amigo, confio mucho en tus instrucciones. Esta noche lo hare y te pegaré el log, pues como lo tengo ahora no puedo arrancar Combofix, me imagino que como Combo-fix si podré.
No entiendo como me he infectado pues aunque navego por internet de 3-4 horas dia, tenia activado Avast, Trojan Remover, y Windows Defender, y ninguno me avisó de nada.
No sé si me podrás responder antes de descargarme de nuevo Combofix pero, ¿Puedo y tengo que eliminar el Combofix que ya tengo instalado antes de descargar e instalar el nuevo Combo-fix?. Mil gracias y hasta dentro de unas horas.

Gpastor · #4 (**permalink**) 14/02/2008, 15:45

Debes desinstalar el ComboFix que ya tienes de esta manera:

Ir a Inicio > Ejecutar
Escribir lo siguiente: ComboFix /u como muestra la imagen debajo:

Luego limpia el registro con Ccleaner, reinicia el sistema y sigue los pasos de mi anterior mensaje.

Saludos

fjsaras · #5 (**permalink**) 15/02/2008, 01:49

Hola de nuevo Gpastor, gracias por tu amabilidad y comprensión. Ya he hecho todo lo que me dijiste y ahora mismo te pego el report de Combofix (tendrá que ir en dos o tres mensajes).
Antes quiero comentarte como está el ordenata por si te suena algo raro al leer el informe: La conexión automática a redes inalambricas sigue sin ir (me tengo que conectar de forma manual con la utilidad del adaptador Wireless USB que tengo. Ccleaner no lo puedo correr, tampoco HijackThis. Desinstale los programas antivirus que tenia (Avast y Trojan Remover). En cambio ya está activo el Centro de seguridad de Windows, y el firewall de Windows que antes tenia que activar en cada sesión.
Bueno, creo que nada más, aquí te va el informe de Combofix:

ComboFix 08-02-15.2 - Usuario 2008-02-15 8:29:18.5 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.3082.18.1528 [GMT 1:00]
Se ejecuta desde: C:\Documents and Settings\Usuario.PC0023\Escritorio\Combo-Fix.exe
* Creado un nuevo punto de restauración

ADVERTENCIA - ESTE EQUIPO NO TIENE INSTALADA LA CONSOLA DE RECUPERACION!
.

(((((((((((((((((((((((((((((((((((( Otras eliminaciones )))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\system32\drivers\hldrrr.exe
C:\WINDOWS\system32\drivers\srosa.sys
C:\WINDOWS\system32\mdelk.exe
C:\WINDOWS\system32\wintems.exe
C:\Documents and Settings\All Users.WINDOWS\Datos de programa\Microsoft\Network\Downloader\qmgr0.dat
C:\Documents and Settings\All Users.WINDOWS\Datos de programa\Microsoft\Network\Downloader\qmgr1.dat
C:\WINDOWS\system32\drivers\down
C:\WINDOWS\system32\drivers\down\14456656.exe
C:\WINDOWS\system32\drivers\down\14459593.exe
C:\WINDOWS\system32\drivers\down\14463265.exe
C:\WINDOWS\system32\drivers\down\14464421.exe
C:\WINDOWS\system32\drivers\down\14467703.exe
C:\WINDOWS\system32\drivers\down\14469078.exe
C:\WINDOWS\system32\drivers\down\14469156.exe
C:\WINDOWS\system32\drivers\down\14469937.exe
C:\WINDOWS\system32\drivers\down\14470875.exe
C:\WINDOWS\system32\drivers\down\14471484.exe
C:\WINDOWS\system32\drivers\down\14473484.exe
C:\WINDOWS\system32\drivers\down\14473671.exe
C:\WINDOWS\system32\drivers\down\14476093.exe
C:\WINDOWS\system32\drivers\down\14476250.exe
C:\WINDOWS\system32\drivers\down\14477062.exe
C:\WINDOWS\system32\drivers\down\14478718.exe
C:\WINDOWS\system32\drivers\down\14480890.exe
C:\WINDOWS\system32\drivers\down\14481828.exe
C:\WINDOWS\system32\drivers\down\14483203.exe
C:\WINDOWS\system32\drivers\down\14485265.exe
C:\WINDOWS\system32\drivers\down\14490046.exe
C:\WINDOWS\system32\drivers\down\14492734.exe
C:\WINDOWS\system32\drivers\down\14499265.exe
C:\WINDOWS\system32\drivers\down\14499859.exe
C:\WINDOWS\system32\drivers\down\14499906.exe
C:\WINDOWS\system32\drivers\down\14504578.exe
C:\WINDOWS\system32\drivers\down\14505218.exe
C:\WINDOWS\system32\drivers\down\14507453.exe
C:\WINDOWS\system32\drivers\down\14508625.exe
C:\WINDOWS\system32\drivers\down\14510265.exe
C:\WINDOWS\system32\drivers\down\14510859.exe
C:\WINDOWS\system32\drivers\down\14511812.exe
C:\WINDOWS\system32\drivers\down\14513484.exe
C:\WINDOWS\system32\drivers\down\14513640.exe
C:\WINDOWS\system32\drivers\down\14515515.exe

fjsaras · #6 (**permalink**) 15/02/2008, 01:50

La segunda parte:

C:\WINDOWS\system32\drivers\down\14516000.exe
C:\WINDOWS\system32\drivers\down\14516468.exe
C:\WINDOWS\system32\drivers\down\14516921.exe
C:\WINDOWS\system32\drivers\down\14517421.exe
C:\WINDOWS\system32\drivers\down\14518156.exe
C:\WINDOWS\system32\drivers\down\14518390.exe
C:\WINDOWS\system32\drivers\down\14520437.exe
C:\WINDOWS\system32\drivers\down\14521656.exe
C:\WINDOWS\system32\drivers\down\14524281.exe
C:\WINDOWS\system32\drivers\down\14524656.exe
C:\WINDOWS\system32\drivers\down\14526437.exe
C:\WINDOWS\system32\drivers\down\14526812.exe
C:\WINDOWS\system32\drivers\down\14529296.exe
C:\WINDOWS\system32\drivers\down\14529906.exe
C:\WINDOWS\system32\drivers\down\14531203.exe
C:\WINDOWS\system32\drivers\down\14532062.exe
C:\WINDOWS\system32\drivers\down\14533390.exe
C:\WINDOWS\system32\drivers\down\14533609.exe
C:\WINDOWS\system32\drivers\down\14534015.exe
C:\WINDOWS\system32\drivers\down\14536093.exe
C:\WINDOWS\system32\drivers\down\14537812.exe
C:\WINDOWS\system32\drivers\down\14539671.exe
C:\WINDOWS\system32\drivers\down\14543343.exe
C:\WINDOWS\system32\drivers\down\14546250.exe
C:\WINDOWS\system32\drivers\down\14546312.exe
C:\WINDOWS\system32\drivers\down\14547765.exe
C:\WINDOWS\system32\drivers\down\14548375.exe
C:\WINDOWS\system32\drivers\down\14549156.exe
C:\WINDOWS\system32\drivers\down\14550828.exe
C:\WINDOWS\system32\drivers\down\14551421.exe
C:\WINDOWS\system32\drivers\down\14551890.exe
C:\WINDOWS\system32\drivers\down\14552203.exe
C:\WINDOWS\system32\drivers\down\14552437.exe
C:\WINDOWS\system32\drivers\down\14553531.exe
C:\WINDOWS\system32\drivers\down\14555953.exe
C:\WINDOWS\system32\drivers\down\14558921.exe
C:\WINDOWS\system32\drivers\down\14559125.exe
C:\WINDOWS\system32\drivers\down\14561140.exe
C:\WINDOWS\system32\drivers\down\14561203.exe
C:\WINDOWS\system32\drivers\down\14565765.exe
C:\WINDOWS\system32\drivers\down\14566484.exe
C:\WINDOWS\system32\drivers\down\14568406.exe
C:\WINDOWS\system32\drivers\down\14571250.exe
C:\WINDOWS\system32\drivers\down\14572781.exe
C:\WINDOWS\system32\drivers\down\14573062.exe
C:\WINDOWS\system32\drivers\down\14573437.exe
C:\WINDOWS\system32\drivers\down\14573562.exe
C:\WINDOWS\system32\drivers\down\14574765.exe
C:\WINDOWS\system32\drivers\down\14575468.exe
C:\WINDOWS\system32\drivers\down\14583578.exe
C:\WINDOWS\system32\drivers\down\14585218.exe
C:\WINDOWS\system32\drivers\down\14586296.exe
C:\WINDOWS\system32\drivers\down\14586578.exe
C:\WINDOWS\system32\drivers\down\14587531.exe
C:\WINDOWS\system32\drivers\down\14587828.exe
C:\WINDOWS\system32\drivers\down\14588468.exe
C:\WINDOWS\system32\drivers\down\14588515.exe
C:\WINDOWS\system32\drivers\down\14589718.exe
C:\WINDOWS\system32\drivers\down\14590265.exe
C:\WINDOWS\system32\drivers\down\14590468.exe
C:\WINDOWS\system32\drivers\down\14591343.exe
C:\WINDOWS\system32\drivers\down\14593328.exe
C:\WINDOWS\system32\drivers\down\14599812.exe
C:\WINDOWS\system32\drivers\down\14600015.exe
C:\WINDOWS\system32\drivers\down\14600500.exe
C:\WINDOWS\system32\drivers\down\14600859.exe
C:\WINDOWS\system32\drivers\down\14602781.exe
C:\WINDOWS\system32\drivers\down\14603437.exe
C:\WINDOWS\system32\drivers\down\14604609.exe
C:\WINDOWS\system32\drivers\down\14608578.exe
C:\WINDOWS\system32\drivers\down\14609750.exe
C:\WINDOWS\system32\drivers\down\14611046.exe
C:\WINDOWS\system32\drivers\down\14611984.exe
C:\WINDOWS\system32\drivers\down\14612765.exe
C:\WINDOWS\system32\drivers\down\14619750.exe
C:\WINDOWS\system32\drivers\down\14634843.exe
C:\WINDOWS\system32\drivers\down\14636453.exe
C:\WINDOWS\system32\drivers\down\14639296.exe
C:\WINDOWS\system32\drivers\down\14639437.exe
C:\WINDOWS\system32\drivers\down\14640906.exe
C:\WINDOWS\system32\drivers\down\14642765.exe
C:\WINDOWS\system32\drivers\down\14642875.exe
C:\WINDOWS\system32\drivers\down\14643562.exe
C:\WINDOWS\system32\drivers\down\14644843.exe
C:\WINDOWS\system32\drivers\down\14645078.exe
C:\WINDOWS\system32\drivers\down\14645250.exe
C:\WINDOWS\system32\drivers\down\14645890.exe
C:\WINDOWS\system32\drivers\down\14648671.exe
C:\WINDOWS\system32\drivers\down\14650750.exe
C:\WINDOWS\system32\drivers\down\14678078.exe
C:\WINDOWS\system32\drivers\down\14681218.exe
C:\WINDOWS\system32\drivers\down\14702375.exe
C:\WINDOWS\system32\drivers\down\14706312.exe
C:\WINDOWS\system32\drivers\down\14708671.exe
C:\WINDOWS\system32\drivers\down\14720046.exe
C:\WINDOWS\system32\drivers\down\14725843.exe
C:\WINDOWS\system32\drivers\down\14740984.exe
C:\WINDOWS\system32\drivers\down\14748406.exe
C:\WINDOWS\system32\drivers\down\14847312.exe
C:\WINDOWS\system32\drivers\down\28088156.exe
C:\WINDOWS\system32\drivers\down\28099687.exe
C:\WINDOWS\system32\drivers\down\28105015.exe
C:\WINDOWS\system32\drivers\down\28139859.exe
C:\WINDOWS\system32\drivers\down\28140421.exe
C:\WINDOWS\system32\drivers\down\28146875.exe
C:\WINDOWS\system32\drivers\down\28148609.exe
C:\WINDOWS\system32\drivers\down\28150687.exe
C:\WINDOWS\system32\drivers\down\28152078.exe
C:\WINDOWS\system32\drivers\down\28153500.exe
C:\WINDOWS\system32\drivers\down\28179703.exe
C:\WINDOWS\system32\drivers\down\28181953.exe
C:\WINDOWS\system32\drivers\down\28184734.exe
C:\WINDOWS\system32\drivers\down\28188156.exe
C:\WINDOWS\system32\drivers\down\28190406.exe
C:\WINDOWS\system32\drivers\down\28192312.exe
C:\WINDOWS\system32\drivers\down\28193953.exe
C:\WINDOWS\system32\drivers\down\28222875.exe
C:\WINDOWS\system32\drivers\down\28228093.exe
C:\WINDOWS\system32\drivers\hldrrr.exe
C:\WINDOWS\system32\drivers\srosa.sys
C:\WINDOWS\system32\mdelk.exe
C:\WINDOWS\system32\wintems.exe

----- BITS: Possible infected sites -----

hxxp://au.download.windowsupdate.cõj
hxxp://au.download.windows
.
((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))

.
-------\LEGACY_SROSA
-------\srosa

fjsaras · #7 (**permalink**) 15/02/2008, 01:52

Una tercera parte:

(((((((((((((((((( Archivos creados desde 2008-01-15 - 2008-02-15 )))))))))))))))))))))))))))))))))
.

2008-02-15 01:12 . 2008-02-15 01:12 23,600 --a------ C:\WINDOWS\system32\drivers\TVICHW32.SYS
2008-02-14 04:46 . 2006-03-07 08:04 745,455 --a------ C:\Documents and Settings\Usuario.PC0023\RTHDCPL.EXE
2008-02-14 01:41 . 2008-02-14 01:41 <DIR> d-------- C:\Archivos de programa\Sophos
2008-02-14 01:29 . 2008-02-14 02:11 <DIR> d-------- C:\Muestras
2008-02-13 22:34 . 2008-02-13 22:35 2,425 --a------ C:\WINDOWS\diagwrn.xml
2008-02-13 22:34 . 2008-02-13 22:35 1,905 --a------ C:\WINDOWS\diagerr.xml
2008-02-11 22:34 . 2008-02-11 22:34 <DIR> d-------- C:\WINDOWS\Performance
2008-02-11 22:34 . 2008-02-11 22:34 <DIR> d-------- C:\Documents and Settings\All Users.WINDOWS\Datos de programa\Microsoft Corporation
2008-02-11 22:34 . 2008-02-11 22:34 <DIR> d-------- C:\Archivos de programa\Microsoft Windows Vista Upgrade Advisor
2008-02-11 08:35 . 2008-02-11 08:35 <DIR> d-------- C:\Archivos de programa\Driver-Soft
2008-02-11 08:35 . 2004-06-14 14:56 427,864 --a------ C:\WINDOWS\system32\XceedZip.dll
2008-02-11 01:23 . 2008-02-11 01:23 1,917 --a------ C:\WINDOWS\imsins.BAK
2008-02-09 00:20 . <DIR> C:\Documents and Settings\Usuario.PC0023\Datos de programa\Mis archivos de La Batalla por la Tierra MediaT II
2008-02-06 01:04 . 2008-02-06 01:04 <DIR> d-------- C:\Archivos de programa\Windows Defender
2008-02-03 22:59 . 2008-02-03 22:59 <DIR> d-------- C:\Archivos de programa\CCleaner
2008-02-02 23:51 . 2008-02-02 23:51 <DIR> d-------- C:\Documents and Settings\All Users.WINDOWS\Datos de programa\Office Genuine Advantage
2008-02-02 23:48 . 2008-02-02 23:48 <DIR> d-------- C:\Archivos de programa\Microsoft Silverlight
2008-02-02 23:02 . 2008-02-02 23:02 <DIR> d-------- C:\Archivos de programa\MSXML 4.0
2008-02-02 16:01 . 2003-12-11 11:15 626,960 -ra------ C:\WINDOWS\system32\hpvaut32.dll
2008-02-02 16:01 . 2003-12-11 11:15 487,424 -ra------ C:\WINDOWS\system32\hpvcp70.dll
2008-02-02 16:01 . 2003-12-11 11:15 344,064 -ra------ C:\WINDOWS\system32\hpvcr70.dll
2008-02-02 16:01 . 2003-12-11 11:15 82,432 -ra------ C:\WINDOWS\system32\MSXML4r.dll
2008-02-02 16:01 . 2003-12-11 11:15 44,544 -ra------ C:\WINDOWS\system32\MSXML4a.dll
2008-02-02 15:54 . 2003-07-25 21:49 278,528 --a------ C:\WINDOWS\system32\hpdj7900
2008-02-02 15:54 . 2008-02-02 16:01 19,824 --a------ C:\WINDOWS\HPHins02.dat
2008-02-02 15:54 . 2005-07-06 03:36 4,284 --------- C:\WINDOWS\hphmdl02.dat
2008-02-02 15:53 . 2005-07-06 03:36 491,520 --a------ C:\WINDOWS\system32\hphmon05.exe
2008-02-02 15:53 . 2005-07-06 03:36 364,544 --a------ C:\WINDOWS\system32\hphped05.exe
2008-02-02 15:53 . 2005-07-06 03:36 258,048 --a------ C:\WINDOWS\system32\hpzcon09.dll
2008-02-02 15:53 . 2005-07-06 03:36 135,224 --a------ C:\WINDOWS\system32\hpzlnt09.dll
2008-02-02 15:53 . 2005-07-06 03:36 6,478 --a------ C:\WINDOWS\system32\hphmon05.dat
2008-01-17 12:02 . 2008-01-17 20:12 715,248 --a------ C:\WINDOWS\system32\drivers\sptd.sys
2008-01-15 18:50 . 2008-02-15 08:31 <DIR> d-------- C:\WINDOWS\system32\config\systemprofile\Configura ción local
2008-01-15 18:50 . 2008-02-15 08:31 <DIR> d-------- C:\Documents and Settings\Usuario\Configuración local
2008-01-15 18:50 . 2008-02-15 08:31 <DIR> d-------- C:\Documents and Settings\Usuario.PC0023\Configuración local
2008-01-15 18:50 . 2008-02-15 08:31 <DIR> d-------- C:\Documents and Settings\Saras Zubizarreta\Configuración local
2008-01-15 18:50 . 2008-02-15 08:31 <DIR> d-------- C:\Documents and Settings\NetworkService\Configuración local
2008-01-15 18:50 . 2008-02-15 08:31 <DIR> d-------- C:\Documents and Settings\NetworkService.NT AUTHORITY\Configuración local
2008-01-15 18:50 . 2008-02-15 08:31 <DIR> d-------- C:\Documents and Settings\LocalService\Configuración local
2008-01-15 18:50 . 2008-02-15 08:31 <DIR> d-------- C:\Documents and Settings\LocalService.NT AUTHORITY\Configuración local
2008-01-15 18:50 . <DIR> C:\Documents and Settings\Fernßndez-Lomana\Configuración local
2008-01-15 18:50 . <DIR> C:\Documents and Settings\Fernßndez-Lomana\Configuración local
2008-01-15 18:50 . <DIR> C:\Documents and Settings\Fernßndez-Lomana\Configuración local
2008-01-15 18:50 . 2008-02-15 08:31 <DIR> d-------- C:\Documents and Settings\Default User\Configuración local
2008-01-15 18:50 . 2008-02-15 08:31 <DIR> d-------- C:\Documents and Settings\Default User.WINDOWS\Configuración local
2008-01-15 18:50 . 2008-02-15 08:31 <DIR> d-------- C:\Documents and Settings\Administrador\Configuración local
2008-01-15 01:02 . 2002-01-05 04:38 54,784 --a------ C:\WINDOWS\system32\MSVCI70.DLL

.
(((((((((((((((((((((((((((((((((((((( Reporte Find3M )))))))))))))))))))))))))))))))))))))))))))))))))) )
.
2008-02-14 22:33 196,608 ----a-w C:\WINDOWS\system32\drivers\aStandard.bin
2008-02-14 01:26 --------- d-----w C:\Archivos de programa\EsetOnlineScanner
2008-02-11 03:35 --------- d-----w C:\Archivos de programa\Trojan Remover
2008-02-11 01:18 --------- d-----w C:\Archivos de programa\RALINK
2008-02-09 00:26 --------- d-----w C:\Documents and Settings\Usuario.PC0023\Datos de programa\Mis archivos de La Batalla por la Tierra Media™ II
2008-02-08 23:09 --------- d-----w C:\Archivos de programa\Electronic Arts
2008-02-02 22:06 --------- d-----w C:\Documents and Settings\All Users.WINDOWS\Datos de programa\Microsoft Help
2008-02-02 22:03 --------- d-----w C:\Archivos de programa\Microsoft Works
2008-02-02 15:01 --------- d-----w C:\Archivos de programa\HP
2008-02-02 15:01 --------- d-----w C:\Archivos de programa\Hewlett-Packard
2008-01-22 07:16 --------- d-----w C:\Archivos de programa\Lphant
2008-01-15 13:59 --------- d---a-w C:\Documents and Settings\All Users.WINDOWS\Datos de programa\TEMP
2008-01-15 00:02 --------- d--h--w C:\Archivos de programa\InstallShield Installation Information
2008-01-15 00:02 --------- d-----w C:\Archivos de programa\Google
2008-01-15 00:02 --------- d-----w C:\Archivos de programa\Archivos comunes\Logitech
2008-01-14 23:54 --------- d-----w C:\Documents and Settings\All Users.WINDOWS\Datos de programa\Spybot - Search & Destroy
2008-01-13 15:19 --------- d-----w C:\Documents and Settings\Usuario.PC0023\Datos de programa\Lavasoft
2008-01-13 14:57 --------- d-----w C:\Documents and Settings\Usuario.PC0023\Datos de programa\Simply Super Software
2008-01-13 00:55 --------- d-----w C:\Documents and Settings\Usuario.PC0023\Datos de programa\ESET
2008-01-13 00:54 --------- d-----w C:\Documents and Settings\All Users.WINDOWS\Datos de programa\ESET
2008-01-12 17:52 --------- d-----w C:\Archivos de programa\Screamer radio
2008-01-10 19:03 --------- d-----w C:\Archivos de programa\DivX
2008-01-09 23:34 --------- d-----w C:\Documents and Settings\All Users.WINDOWS\Datos de programa\WinZip
2008-01-09 23:10 --------- d-----w C:\Archivos de programa\SiSoftware
2008-01-09 01:49 --------- d-----w C:\Documents and Settings\Saras Zubizarreta\Datos de programa\Windows Desktop Search
2008-01-09 01:07 --------- d-----w C:\Documents and Settings\Usuario.PC0023\Datos de programa\TrojanHunter
2008-01-08 20:23 --------- d-----w C:\Documents and Settings\Usuario.PC0023\Datos de programa\Windows Desktop Search
2008-01-08 20:21 --------- d-----w C:\Archivos de programa\Windows Desktop Search
2008-01-08 00:20 --------- d-----w C:\Archivos de programa\Lavalys
2008-01-05 17:36 --------- d-----w C:\Documents and Settings\Usuario.PC0023\Datos de programa\Command & Conquer 3 Tiberium Wars
2008-01-05 17:34 --------- d--h--r C:\Documents and Settings\Usuario.PC0023\Datos de programa\SecuROM
2008-01-01 22:30 --------- d-----w C:\Archivos de programa\Trend Micro
2007-12-30 21:15 --------- d-----w C:\Documents and Settings\Usuario.PC0023\Datos de programa\Leadertech
2007-12-30 15:01 --------- d-----w C:\Archivos de programa\Microsoft Games
2007-12-29 17:47 28,352 ----a-w C:\WINDOWS\system32\drivers\MxlW2k.sys
2007-12-29 17:47 --------- d-----w C:\Archivos de programa\Musicmatch
2007-12-29 15:04 --------- d-----w C:\Documents and Settings\Saras Zubizarreta\Datos de programa\Yahoo!
2007-12-29 14:47 --------- d-----w C:\Archivos de programa\OO Software
2007-12-28 21:36 --------- d-----w C:\Archivos de programa\Archivos comunes\Adobe
2007-12-25 20:27 --------- d-----w C:\Documents and Settings\All Users.WINDOWS\Datos de programa\Yahoo! Companion
2007-12-25 20:25 --------- d-----w C:\Documents and Settings\Usuario.PC0023\Datos de programa\Yahoo!
2007-12-21 21:37 --------- d-----w C:\Documents and Settings\Usuario.PC0023\Datos de programa\Media Player Classic
2007-12-20 21:59 --------- d-----w C:\Archivos de programa\K-Lite Codec Pack
2007-05-24 21:51 0 ---ha-w C:\Documents and Settings\Saras Zubizarreta\hpothb07.dat
.

Código:

<pre>
----a-w            15,360 2008-01-08 13:05:57  C:\WINDOWS\system32\ctfmon .exe
</pre>

fjsaras · #8 (**permalink**) 15/02/2008, 01:53

Y la cuarta parte:

((((((((((((((((((((((((((((((((( Cargando Puntos Reg ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Nota* entradas vac¡as & entradas leg¡timas predeterminadas no son mostradas

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-19 14:42 15360]
"googletalk"="C:\Archivos de programa\Google\Google Talk\googletalk.exe" [2007-11-21 03:11 3293184]
"MSMSGS"="C:\Archivos de programa\Messenger\MSMSGS.exe" [2003-04-14 20:05 1498032]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run]
"RTHDCPL"="RTHDCPL.EXE" [2006-05-04 08:59 16206848 C:\WINDOWS\RTHDCPL.exe]
"SkyTel"="SkyTel.EXE" [2006-04-24 08:20 1448960 C:\WINDOWS\SkyTel.exe]
"Logitech Utility"="Logi_MwX.Exe" [2003-06-30 08:50 19968 C:\WINDOWS\LOGI_MWX.EXE]
"OODefragTray"="C:\WINDOWS\system32\oodtray.ex e" [2008-01-13 16:09 2512392]
"zBrowser Launcher"="C:\Archivos de programa\Logitech\iTouch\iTouch.exe" [2004-03-18 09:33 892928]
"HPDJ Taskbar Utility"="C:\WINDOWS\system32\spool\drivers\w32x86 \3\hpztsb09.exe" [2005-07-06 03:36 176128]
"HPHUPD05"="C:\Archivos de programa\Hewlett-Packard\\{5372B9A6-6E51-4f90-9B40-E0A3B8475C4E}\hphupd05.exe" [2005-07-06 03:36 49152]
"HP Component Manager"="C:\Archivos de programa\HP\hpcoretech\hpcmpmgr.exe" [2003-12-22 08:38 241664]
"HP Software Update"="C:\Archivos de programa\Hewlett-Packard\HP Software Update\HPWuSchd2.exe" [2003-12-05 15:41 49152]
"HPHmon05"="C:\WINDOWS\system32\hphmon05.exe" [2005-07-06 03:36 491520]
"Windows Defender"="C:\Archivos de programa\Windows Defender\MSASCui.exe" [2006-11-03 19:20 866584]
"MMTray"="C:\Archivos de programa\Musicmatch\Musicmatch Jukebox\mm_tray.exe" [ ]
"Adobe Reader Speed Launcher"="C:\Archivos de programa\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2007-10-10 19:51 39792]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\Cur rentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-19 14:42 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\curr entversion\policies\system]
"EnableLUA"= 0 (0x0)

[hkey_local_machine\software\microsoft\windows\curr entversion\explorer\shellexecutehooks]
"{56F9679E-7826-4C84-81F3-532071A8BCC5}"= C:\Archivos de programa\Windows Desktop Search\MSNLNamespaceMgr.dll [2007-02-05 15:39 294400]

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Contro l\SafeBoot\Minimal\sglfb.sys]
@="Driver"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Contro l\SafeBoot\Minimal\tga.sys]
@="Driver"

R1 ATMhelpr;ATMhelpr;C:\WINDOWS\system32\drivers\ATMh elpr.sys [1997-06-17 03:00]
R3 hpusbfd;Hewlett-Packard USB Filter Class;C:\WINDOWS\system32\DRIVERS\hpusbfd.sys [2002-05-22 08:40]
R3 USBSTOR;Dispositivo de almacenamiento masivo de datos USB;C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS [2004-08-03 22:08]
R3 Video3D;ASUS Video3D Service;C:\WINDOWS\system32\Drivers\Video3D32.sys [2006-09-29 09:06]
S3 usbscan;Controlador de escáner USB;C:\WINDOWS\system32\DRIVERS\usbscan.sys [2004-08-03 21:58]

[HKEY_CURRENT_USER\software\microsoft\windows\curre ntversion\explorer\mountpoints2\{b48340c4-c530-11dc-a6ee-0008a1ae158d}]
\Shell\AutoRun\command - F:\autorun.exe
\Shell\readit\command - notepad readme.doc

.
Contenido de carpeta 'Tareas Programadas'
"2008-02-14 23:01:00 C:\WINDOWS\Tasks\HP Usg Daily.job"
- C:\Archivos de programa\Hewlett-Packard\{5372B9A6-6E51-4f90-9B40-E0A3B8475C4E}\pexpress\hphped05.exe
"2008-02-15 01:22:01 C:\WINDOWS\Tasks\MP Scheduled Scan.job"
- C:\Archivos de programa\Windows Defender\MpCmdRun.exe
"2008-02-02 15:02:10 C:\WINDOWS\Tasks\WebReg 20080202160210.job"
- C:\Archivos de programa\Hewlett-Packard\Digital Imaging\bin\hpqwrg.exeb/TaskName 20080202160210 /N
.
************************************************** ************************

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-02-15 08:33:14
Windows 5.1.2600 Service Pack 2 NTFS

escaneando procesos ocultos ...

escaneando entradas ocultas de autostart ...

escaneando archivos ocultos ...

el escaneo se completo con exito
archivos ocultos: 0

************************************************** ************************
.
------------------------ Other Running Processes ------------------------
.
C:\WINDOWS\system32\savedump.exe
C:\WINDOWS\ATKKBService.exe
C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\oodag.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\WINDOWS\system32\SearchIndexer.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Archivos de programa\Logitech\MouseWare\system\em_exec.exe
C:\Archivos de programa\Codebox\BitMeter\BitMeter2.exe
C:\Archivos de programa\Windows Desktop Search\WindowsSearch.exe
C:\Archivos de programa\RALINK\Common\RaUI.exe
C:\Archivos de programa\Caere\PageKeeper30\system\PKJobs.exe
C:\Archivos de programa\WinZip\WZQKPICK.EXE
C:\WINDOWS\system32\HPZipm12.exe
C:\Archivos de programa\Caere\PageKeeper30\SYSTEM\PKTOPASS.EXE
C:\Archivos de programa\Caere\PageKeeper30\SYSTEM\PKSlapi.exe
C:\WINDOWS\system32\msiexec.exe
C:\Archivos de programa\Archivos comunes\Microsoft Shared\Source Engine\OSE.EXE
.
************************************************** ************************
.
Tiempo completado: 2008-02-15 8:36:05 - machine was rebooted
ComboFix-quarantined-files.txt 2008-02-15 07:36:03
.
2008-02-05 07:35:10 --- E O F ---

Gracias por todo, aquí esperaré tus nuevas indicaciones. Un afectuoso saludo, amigo.

fjsaras · #9 (**permalink**) 15/02/2008, 02:14

Perdona Gpastor, lo he comprobado de nuevo y el Ccleaner ya me va, he limpiado el disco duro y el registro (haciendo copia de seguridad). El HijackThis es el que sigue diciendo que no es una aplicación win 32 válida y se cierra. No voy a reinstalar los antivirus (a no ser que me digas lo contrario), hasta que me confirmes que el problema está solucionado. Un millón de gracias, y aquí estaré para seguir tus instrucciones. Estoy en deuda contigo. Saludos.

Gpastor · #10 (**permalink**) 15/02/2008, 10:08

ComboFix detectó y eliminó ya algunos Malwares, pero tu equipo estaba muy infectado y todavía le quedaron algunas cosas para sacar siguiendo estos pasos:

1.-Abrir el Notepad

Clic en INICIO > EJECUTAR >
Y ahí pones notepad.exe y ACEPTAR

2.- Ahora copia y pega este código dentro del Notepad

Código HTML:

KillAll::

File::
C:\WINDOWS\imsins.BAK

RenV::
C:\WINDOWS\system32\ctfmon .exe

Registry::
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{b48340c4-c530-11dc-a6ee-0008a1ae158d}]

3.- Graba este archivo con el nombre CFScript.txt

4.- Arrastrar y soltar el archivo CFScript.txt dentro del archivo ComboFix.exe como lo muestra la animación de abajo. Esto activara ComboFix nuevamente.

Reinicia y nos cuentas los resultados. junto con un nuevo reporte de ComboFix y uno de Hijackthis.

Saludos

fjsaras · #11 (**permalink**) 15/02/2008, 13:25

Gracias de nuevo Gpastor. he seguido al pie de la letra tus instrucciones y aqui te pego en varios mensajes lo que me pides:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:19:06, on 15/02/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16608)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\ATKKBService.exe
C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\oodag.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\SearchIndexer.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\SkyTel.EXE
C:\WINDOWS\system32\oodtray.exe
C:\Archivos de programa\Logitech\iTouch\iTouch.exe
C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb0 9.exe
C:\Archivos de programa\HP\hpcoretech\hpcmpmgr.exe
C:\Archivos de programa\Hewlett-Packard\HP Software Update\HPWuSchd2.exe
C:\WINDOWS\system32\hphmon05.exe
C:\Archivos de programa\Adobe\Reader 8.0\Reader\Reader_sl.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Archivos de programa\Google\Google Talk\googletalk.exe
C:\Archivos de programa\Messenger\MSMSGS.EXE
C:\Archivos de programa\Codebox\BitMeter\BitMeter2.exe
C:\Archivos de programa\Windows Desktop Search\WindowsSearch.exe
C:\Archivos de programa\RALINK\Common\RaUI.exe
C:\Archivos de programa\Caere\PageKeeper30\system\PKJobs.exe
C:\Archivos de programa\WinZip\WZQKPICK.EXE
C:\Archivos de programa\Caere\PageKeeper30\SYSTEM\PKTOPASS.EXE
C:\Archivos de programa\Caere\PageKeeper30\SYSTEM\PKSlapi.exe
C:\Archivos de programa\Logitech\MouseWare\system\em_exec.exe
C:\WINDOWS\system32\HPZipm12.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\notepad.exe
C:\Archivos de programa\Trend Micro\HijackThis\HijackThis.exe
C:\WINDOWS\system32\SearchProtocolHost.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.es/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Vínculos
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Archivos de programa\Yahoo!\Companion\Installs\cpn1\yt.dll
O2 - BHO: &Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Archivos de programa\Yahoo!\Companion\Installs\cpn1\yt.dll
O2 - BHO: Aplicación auxiliar de vínculos de Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Archivos de programa\Archivos comunes\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Archivos de programa\Google\GoogleToolbarNotifier\2.0.301.7164 \swg.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Archivos de programa\Yahoo!\Companion\Installs\cpn1\yt.dll
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [OODefragTray] C:\WINDOWS\system32\oodtray.exe
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Archivos de programa\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb0 9.exe
O4 - HKLM\..\Run: [HPHUPD05] C:\Archivos de programa\Hewlett-Packard\\{5372B9A6-6E51-4f90-9B40-E0A3B8475C4E}\hphupd05.exe
O4 - HKLM\..\Run: [HP Component Manager] "C:\Archivos de programa\HP\hpcoretech\hpcmpmgr.exe"
O4 - HKLM\..\Run: [HP Software Update] "C:\Archivos de programa\Hewlett-Packard\HP Software Update\HPWuSchd2.exe"
O4 - HKLM\..\Run: [HPHmon05] C:\WINDOWS\system32\hphmon05.exe
O4 - HKLM\..\Run: [Windows Defender] "C:\Archivos de programa\Windows Defender\MSASCui.exe" -hide
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Archivos de programa\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [googletalk] "C:\Archivos de programa\Google\Google Talk\googletalk.exe" /autostart
O4 - HKCU\..\Run: [MSMSGS] "C:\Archivos de programa\Messenger\MSMSGS.EXE" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICIO LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Servicio de red')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: Deer Hunter 2005 Registration.lnk = C:\Archivos de programa\Atari\Deer Hunter 2005\ATR1.EXE
O4 - Startup: Last.fm Helper.lnk = C:\Archivos de programa\Last.fm\LastFMHelper.exe
O4 - Global Startup: Adobe Gamma.lnk = C:\Archivos de programa\Archivos comunes\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Bitmeter2.lnk = C:\Archivos de programa\Codebox\BitMeter\BitMeter2.exe
O4 - Global Startup: Búsqueda en el escritorio de Windows.lnk = C:\Archivos de programa\Windows Desktop Search\WindowsSearch.exe
O4 - Global Startup: Ralink Wireless Utility.lnk = C:\Archivos de programa\RALINK\Common\RaUI.exe
O4 - Global Startup: Trabajos de PageKeeper.lnk = C:\Archivos de programa\Caere\PageKeeper30\system\PKJobs.exe
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Archivos de programa\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: &Download All with FlashGet - C:\Archivos de programa\FlashGet\jc_all.htm
O8 - Extra context menu item: &Download with FlashGet - C:\Archivos de programa\FlashGet\jc_link.htm
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: E&xportar a Microsoft Excel - res://C:\ARCHIV~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Referencia - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\ARCHIV~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\Archivos de programa\FlashGet\FlashGet.exe (file missing)
O9 - Extra 'Tools' menuitem: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\Archivos de programa\FlashGet\FlashGet.exe (file missing)
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Archivos de programa\Messenger\MSMSGS.EXE
O15 - Trusted Zone: *.musicmatch.com
O15 - Trusted Zone: *.musicmatch.com (HKLM)
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Archivos de programa\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {56762DEC-6B0D-4AB4-A8AD-989993B5D08B} (OnlineScanner Control) - http://www.eset.eu/buxus/docs/OnlineScanner.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1176825493046
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1196728745265
O16 - DPF: {E8F628B5-259A-4734-97EE-BA914D7BE941} (Driver Agent ActiveX Control) - http://driveragent.com/files/driveragent.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{9CB771CF-7620-4091-8B70-C5E4DB13FA6E}: NameServer = 80.58.61.250,80.58.61.254
O17 - HKLM\System\CCS\Services\Tcpip\..\{EA016D76-6FBF-4FAE-9D9F-981713E23350}: NameServer = 80.58.61.250,80.58.61.254
O23 - Service: Adobe LM Service - Adobe Systems - C:\Archivos de programa\Archivos comunes\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: ATK Keyboard Service (ATKKeyboardService) - ASUSTeK COMPUTER INC. - C:\WINDOWS\ATKKBService.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Archivos de programa\Archivos comunes\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Archivos de programa\Archivos comunes\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: SiSoftware Database Agent Service (SandraDataSrv) - SiSoftware - C:\Archivos de programa\SiSoftware\SiSoftware Sandra Lite XII.SP1\Win32\RpcDataSrv.exe
O23 - Service: SiSoftware Sandra Agent Service (SandraTheSrv) - SiSoftware - C:\Archivos de programa\SiSoftware\SiSoftware Sandra Lite XII.SP1\RpcSandraSrv.exe

--
End of file - 9366 bytes

Veo que aparece esto: O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
Pero tú eres el experto, así que a lo que mandes. Saludos.

fjsaras · #12 (**permalink**) 15/02/2008, 13:29

Ahora el report del Combofix en varios mensajes:

ComboFix 08-02-15.2 - Usuario 2008-02-15 20:10:30.6 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.3082.18.1658 [GMT 1:00]
Se ejecuta desde: C:\Documents and Settings\Usuario.PC0023\Escritorio\Combo-Fix.exe
Command switches used :: C:\Documents and Settings\Usuario.PC0023\Escritorio\CFScript.txt
* Creado un nuevo punto de restauración

ADVERTENCIA - ESTE EQUIPO NO TIENE INSTALADA LA CONSOLA DE RECUPERACION!

FILE
C:\WINDOWS\imsins.BAK
.

(((((((((((((((((( Archivos creados desde 2008-01-15 - 2008-02-15 )))))))))))))))))))))))))))))))))
.

2008-02-15 01:12 . 2008-02-15 01:12 23,600 --a------ C:\WINDOWS\system32\drivers\TVICHW32.SYS
2008-02-14 04:46 . 2006-03-07 08:04 745,455 --a------ C:\Documents and Settings\Usuario.PC0023\RTHDCPL.EXE
2008-02-14 01:41 . 2008-02-14 01:41 <DIR> d-------- C:\Archivos de programa\Sophos
2008-02-14 01:29 . 2008-02-14 02:11 <DIR> d-------- C:\Muestras
2008-02-13 22:34 . 2008-02-13 22:35 2,425 --a------ C:\WINDOWS\diagwrn.xml
2008-02-13 22:34 . 2008-02-13 22:35 1,905 --a------ C:\WINDOWS\diagerr.xml
2008-02-11 22:34 . 2008-02-11 22:34 <DIR> d-------- C:\WINDOWS\Performance
2008-02-11 22:34 . 2008-02-11 22:34 <DIR> d-------- C:\Documents and Settings\All Users.WINDOWS\Datos de programa\Microsoft Corporation
2008-02-11 22:34 . 2008-02-11 22:34 <DIR> d-------- C:\Archivos de programa\Microsoft Windows Vista Upgrade Advisor
2008-02-11 08:35 . 2008-02-11 08:35 <DIR> d-------- C:\Archivos de programa\Driver-Soft
2008-02-11 08:35 . 2004-06-14 14:56 427,864 --a------ C:\WINDOWS\system32\XceedZip.dll
2008-02-09 00:20 . <DIR> C:\Documents and Settings\Usuario.PC0023\Datos de programa\Mis archivos de La Batalla por la Tierra MediaT II
2008-02-06 01:04 . 2008-02-06 01:04 <DIR> d-------- C:\Archivos de programa\Windows Defender
2008-02-03 22:59 . 2008-02-03 22:59 <DIR> d-------- C:\Archivos de programa\CCleaner
2008-02-02 23:51 . 2008-02-02 23:51 <DIR> d-------- C:\Documents and Settings\All Users.WINDOWS\Datos de programa\Office Genuine Advantage
2008-02-02 23:48 . 2008-02-02 23:48 <DIR> d-------- C:\Archivos de programa\Microsoft Silverlight
2008-02-02 23:02 . 2008-02-02 23:02 <DIR> d-------- C:\Archivos de programa\MSXML 4.0
2008-02-02 16:01 . 2003-12-11 11:15 626,960 -ra------ C:\WINDOWS\system32\hpvaut32.dll
2008-02-02 16:01 . 2003-12-11 11:15 487,424 -ra------ C:\WINDOWS\system32\hpvcp70.dll
2008-02-02 16:01 . 2003-12-11 11:15 344,064 -ra------ C:\WINDOWS\system32\hpvcr70.dll
2008-02-02 16:01 . 2003-12-11 11:15 82,432 -ra------ C:\WINDOWS\system32\MSXML4r.dll
2008-02-02 16:01 . 2003-12-11 11:15 44,544 -ra------ C:\WINDOWS\system32\MSXML4a.dll
2008-02-02 15:54 . 2003-07-25 21:49 278,528 --a------ C:\WINDOWS\system32\hpdj7900
2008-02-02 15:54 . 2008-02-02 16:01 19,824 --a------ C:\WINDOWS\HPHins02.dat
2008-02-02 15:54 . 2005-07-06 03:36 4,284 --------- C:\WINDOWS\hphmdl02.dat
2008-02-02 15:53 . 2005-07-06 03:36 491,520 --a------ C:\WINDOWS\system32\hphmon05.exe
2008-02-02 15:53 . 2005-07-06 03:36 364,544 --a------ C:\WINDOWS\system32\hphped05.exe
2008-02-02 15:53 . 2005-07-06 03:36 258,048 --a------ C:\WINDOWS\system32\hpzcon09.dll
2008-02-02 15:53 . 2005-07-06 03:36 135,224 --a------ C:\WINDOWS\system32\hpzlnt09.dll
2008-02-02 15:53 . 2005-07-06 03:36 6,478 --a------ C:\WINDOWS\system32\hphmon05.dat
2008-01-17 12:02 . 2008-01-17 20:12 715,248 --a------ C:\WINDOWS\system32\drivers\sptd.sys
2008-01-15 18:50 . 2008-02-15 08:36 <DIR> d-------- C:\WINDOWS\system32\config\systemprofile\Configura ción local
2008-01-15 18:50 . 2008-02-15 08:36 <DIR> d-------- C:\Documents and Settings\Usuario\Configuración local
2008-01-15 18:50 . 2008-02-15 08:36 <DIR> d-------- C:\Documents and Settings\Usuario.PC0023\Configuración local
2008-01-15 18:50 . 2008-02-15 08:36 <DIR> d-------- C:\Documents and Settings\Saras Zubizarreta\Configuración local
2008-01-15 18:50 . 2008-02-15 08:36 <DIR> d-------- C:\Documents and Settings\NetworkService\Configuración local
2008-01-15 18:50 . 2008-02-15 08:36 <DIR> d-------- C:\Documents and Settings\NetworkService.NT AUTHORITY\Configuración local
2008-01-15 18:50 . 2008-02-15 08:36 <DIR> d-------- C:\Documents and Settings\LocalService\Configuración local
2008-01-15 18:50 . 2008-02-15 08:36 <DIR> d-------- C:\Documents and Settings\LocalService.NT AUTHORITY\Configuración local
2008-01-15 18:50 . <DIR> C:\Documents and Settings\Fernßndez-Lomana\Configuración local
2008-01-15 18:50 . <DIR> C:\Documents and Settings\Fernßndez-Lomana\Configuración local
2008-01-15 18:50 . <DIR> C:\Documents and Settings\Fernßndez-Lomana\Configuración local
2008-01-15 18:50 . 2008-02-15 08:36 <DIR> d-------- C:\Documents and Settings\Default User\Configuración local
2008-01-15 18:50 . 2008-02-15 08:36 <DIR> d-------- C:\Documents and Settings\Default User.WINDOWS\Configuración local
2008-01-15 18:50 . 2008-02-15 08:36 <DIR> d-------- C:\Documents and Settings\Administrador\Configuración local
2008-01-15 01:02 . 2002-01-05 04:38 54,784 --a------ C:\WINDOWS\system32\MSVCI70.DLL

fjsaras · #13 (**permalink**) 15/02/2008, 13:31

Combofix segunda parte:

.
(((((((((((((((((((((((((((((((((((((( Reporte Find3M )))))))))))))))))))))))))))))))))))))))))))))))))) )
.
2008-02-15 08:04 --------- d-----w C:\Documents and Settings\All Users.WINDOWS\Datos de programa\Microsoft Help
2008-02-14 22:33 196,608 ----a-w C:\WINDOWS\system32\drivers\aStandard.bin
2008-02-14 01:26 --------- d-----w C:\Archivos de programa\EsetOnlineScanner
2008-02-11 03:35 --------- d-----w C:\Archivos de programa\Trojan Remover
2008-02-11 01:18 --------- d-----w C:\Archivos de programa\RALINK
2008-02-09 00:26 --------- d-----w C:\Documents and Settings\Usuario.PC0023\Datos de programa\Mis archivos de La Batalla por la Tierra Media™ II
2008-02-08 23:09 --------- d-----w C:\Archivos de programa\Electronic Arts
2008-02-02 22:03 --------- d-----w C:\Archivos de programa\Microsoft Works
2008-02-02 15:01 --------- d-----w C:\Archivos de programa\HP
2008-02-02 15:01 --------- d-----w C:\Archivos de programa\Hewlett-Packard
2008-01-22 07:16 --------- d-----w C:\Archivos de programa\Lphant
2008-01-15 13:59 --------- d---a-w C:\Documents and Settings\All Users.WINDOWS\Datos de programa\TEMP
2008-01-15 00:02 --------- d--h--w C:\Archivos de programa\InstallShield Installation Information
2008-01-15 00:02 --------- d-----w C:\Archivos de programa\Google
2008-01-15 00:02 --------- d-----w C:\Archivos de programa\Archivos comunes\Logitech
2008-01-14 23:54 --------- d-----w C:\Documents and Settings\All Users.WINDOWS\Datos de programa\Spybot - Search & Destroy
2008-01-13 15:19 --------- d-----w C:\Documents and Settings\Usuario.PC0023\Datos de programa\Lavasoft
2008-01-13 14:57 --------- d-----w C:\Documents and Settings\Usuario.PC0023\Datos de programa\Simply Super Software
2008-01-13 00:55 --------- d-----w C:\Documents and Settings\Usuario.PC0023\Datos de programa\ESET
2008-01-13 00:54 --------- d-----w C:\Documents and Settings\All Users.WINDOWS\Datos de programa\ESET
2008-01-12 17:52 --------- d-----w C:\Archivos de programa\Screamer radio
2008-01-10 19:03 --------- d-----w C:\Archivos de programa\DivX
2008-01-09 23:34 --------- d-----w C:\Documents and Settings\All Users.WINDOWS\Datos de programa\WinZip
2008-01-09 23:10 --------- d-----w C:\Archivos de programa\SiSoftware
2008-01-09 01:49 --------- d-----w C:\Documents and Settings\Saras Zubizarreta\Datos de programa\Windows Desktop Search
2008-01-09 01:07 --------- d-----w C:\Documents and Settings\Usuario.PC0023\Datos de programa\TrojanHunter
2008-01-08 20:23 --------- d-----w C:\Documents and Settings\Usuario.PC0023\Datos de programa\Windows Desktop Search
2008-01-08 20:21 --------- d-----w C:\Archivos de programa\Windows Desktop Search
2008-01-08 00:20 --------- d-----w C:\Archivos de programa\Lavalys
2008-01-05 17:36 --------- d-----w C:\Documents and Settings\Usuario.PC0023\Datos de programa\Command & Conquer 3 Tiberium Wars
2008-01-05 17:34 --------- d--h--r C:\Documents and Settings\Usuario.PC0023\Datos de programa\SecuROM
2008-01-01 22:30 --------- d-----w C:\Archivos de programa\Trend Micro
2007-12-30 21:15 --------- d-----w C:\Documents and Settings\Usuario.PC0023\Datos de programa\Leadertech
2007-12-30 15:01 --------- d-----w C:\Archivos de programa\Microsoft Games
2007-12-29 17:47 28,352 ----a-w C:\WINDOWS\system32\drivers\MxlW2k.sys
2007-12-29 17:47 --------- d-----w C:\Archivos de programa\Musicmatch
2007-12-29 15:04 --------- d-----w C:\Documents and Settings\Saras Zubizarreta\Datos de programa\Yahoo!
2007-12-29 14:47 --------- d-----w C:\Archivos de programa\OO Software
2007-12-28 21:36 --------- d-----w C:\Archivos de programa\Archivos comunes\Adobe
2007-12-25 20:27 --------- d-----w C:\Documents and Settings\All Users.WINDOWS\Datos de programa\Yahoo! Companion
2007-12-25 20:25 --------- d-----w C:\Documents and Settings\Usuario.PC0023\Datos de programa\Yahoo!
2007-12-21 21:37 --------- d-----w C:\Documents and Settings\Usuario.PC0023\Datos de programa\Media Player Classic
2007-12-20 21:59 --------- d-----w C:\Archivos de programa\K-Lite Codec Pack
2007-12-18 09:51 179,584 ----a-w C:\WINDOWS\system32\drivers\mrxdav.sys
2007-05-24 21:51 0 ---ha-w C:\Documents and Settings\Saras Zubizarreta\hpothb07.dat
.

fjsaras · #14 (**permalink**) 15/02/2008, 13:33

Combofix tercera parte:

((((((((((((((((((((((((((((((((( Cargando Puntos Reg ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Nota* entradas vac¡as & entradas leg¡timas predeterminadas no son mostradas

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2008-01-08 14:05 15360]
"googletalk"="C:\Archivos de programa\Google\Google Talk\googletalk.exe" [2007-11-21 03:11 3293184]
"MSMSGS"="C:\Archivos de programa\Messenger\MSMSGS.exe" [2003-04-14 20:05 1498032]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run]
"RTHDCPL"="RTHDCPL.EXE" [2006-05-04 08:59 16206848 C:\WINDOWS\RTHDCPL.exe]
"SkyTel"="SkyTel.EXE" [2006-04-24 08:20 1448960 C:\WINDOWS\SkyTel.exe]
"Logitech Utility"="Logi_MwX.Exe" [2003-06-30 08:50 19968 C:\WINDOWS\LOGI_MWX.EXE]
"OODefragTray"="C:\WINDOWS\system32\oodtray.ex e" [2008-01-13 16:09 2512392]
"zBrowser Launcher"="C:\Archivos de programa\Logitech\iTouch\iTouch.exe" [2004-03-18 09:33 892928]
"HPDJ Taskbar Utility"="C:\WINDOWS\system32\spool\drivers\w32x86 \3\hpztsb09.exe" [2005-07-06 03:36 176128]
"HPHUPD05"="C:\Archivos de programa\Hewlett-Packard\\{5372B9A6-6E51-4f90-9B40-E0A3B8475C4E}\hphupd05.exe" [2005-07-06 03:36 49152]
"HP Component Manager"="C:\Archivos de programa\HP\hpcoretech\hpcmpmgr.exe" [2003-12-22 08:38 241664]
"HP Software Update"="C:\Archivos de programa\Hewlett-Packard\HP Software Update\HPWuSchd2.exe" [2003-12-05 15:41 49152]
"HPHmon05"="C:\WINDOWS\system32\hphmon05.exe" [2005-07-06 03:36 491520]
"Windows Defender"="C:\Archivos de programa\Windows Defender\MSASCui.exe" [2006-11-03 19:20 866584]
"Adobe Reader Speed Launcher"="C:\Archivos de programa\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2007-10-10 19:51 39792]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\Cur rentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2008-01-08 14:05 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\curr entversion\policies\system]
"EnableLUA"= 0 (0x0)

[hkey_local_machine\software\microsoft\windows\curr entversion\explorer\shellexecutehooks]
"{56F9679E-7826-4C84-81F3-532071A8BCC5}"= C:\Archivos de programa\Windows Desktop Search\MSNLNamespaceMgr.dll [2007-02-05 15:39 294400]

R1 ATMhelpr;ATMhelpr;C:\WINDOWS\system32\drivers\ATMh elpr.sys [1997-06-17 03:00]
R3 hpusbfd;Hewlett-Packard USB Filter Class;C:\WINDOWS\system32\DRIVERS\hpusbfd.sys [2002-05-22 08:40]
R3 USBSTOR;Dispositivo de almacenamiento masivo de datos USB;C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS [2004-08-03 22:08]
R3 Video3D;ASUS Video3D Service;C:\WINDOWS\system32\Drivers\Video3D32.sys [2006-09-29 09:06]
S3 usbscan;Controlador de escáner USB;C:\WINDOWS\system32\DRIVERS\usbscan.sys [2004-08-03 21:58]

.
Contenido de carpeta 'Tareas Programadas'
"2008-02-14 23:01:00 C:\WINDOWS\Tasks\HP Usg Daily.job"
- C:\Archivos de programa\Hewlett-Packard\{5372B9A6-6E51-4f90-9B40-E0A3B8475C4E}\pexpress\hphped05.exe
"2008-02-15 01:22:01 C:\WINDOWS\Tasks\MP Scheduled Scan.job"
- C:\Archivos de programa\Windows Defender\MpCmdRun.exe
"2008-02-02 15:02:10 C:\WINDOWS\Tasks\WebReg 20080202160210.job"
- C:\Archivos de programa\Hewlett-Packard\Digital Imaging\bin\hpqwrg.exeb/TaskName 20080202160210 /N
.
************************************************** ************************

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-02-15 20:14:30
Windows 5.1.2600 Service Pack 2 NTFS

escaneando procesos ocultos ...

escaneando entradas ocultas de autostart ...

escaneando archivos ocultos ...

el escaneo se completo con exito
archivos ocultos: 0

************************************************** ************************
.
------------------------ Other Running Processes ------------------------
.
C:\WINDOWS\ATKKBService.exe
C:\Archivos de programa\Archivos comunes\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\oodag.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\WINDOWS\system32\SearchIndexer.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Archivos de programa\Codebox\BitMeter\BitMeter2.exe
C:\Archivos de programa\Windows Desktop Search\WindowsSearch.exe
C:\Archivos de programa\RALINK\Common\RaUI.exe
C:\Archivos de programa\Caere\PageKeeper30\system\PKJobs.exe
C:\Archivos de programa\WinZip\WZQKPICK.EXE
C:\WINDOWS\system32\SearchProtocolHost.exe
C:\Archivos de programa\Caere\PageKeeper30\SYSTEM\PKTOPASS.EXE
C:\Archivos de programa\Caere\PageKeeper30\SYSTEM\PKSlapi.exe
C:\WINDOWS\system32\SearchFilterHost.exe
C:\Archivos de programa\Logitech\MouseWare\system\em_exec.exe
C:\WINDOWS\system32\HPZipm12.exe
.
************************************************** ************************
.
Tiempo completado: 2008-02-15 20:16:22 - machine was rebooted
ComboFix-quarantined-files.txt 2008-02-15 19:16:19
ComboFix2.txt 2008-02-15 07:36:06
.
2008-02-15 08:06:01 --- E O F ---

Tu dirás amigo..., aquí quedo esperando nuevas indicaciones si proceden. Un millón de gracias y saludos.

fjsaras · #15 (**permalink**) 15/02/2008, 14:34

Te añado este mensaje por que he reinstalado Avast y a la media hora me ha encontrado un virus (o al menos eso dice) que lo he movido al baul de Avast. Dice que se llama RTHDCPL.exe y esta en C:\documets and settings\Usuario.PC0023. Lo llama win32:Beagle-AAD [Trj]. Te lo comento por si te sirve de algo. Saludos, por aquí seguiré.

Gpastor · #16 (**permalink**) 15/02/2008, 14:50

Cita:

Veo que aparece esto: O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

Ese archivo es legítimo, lo que hicimos en el anterior mensaje es repararlo con el comando Renv de ComboFix ya que se vió afectado por la infección.

Cita:

Te añado este mensaje por que he reinstalado Avast y a la media hora me ha encontrado un virus (o al menos eso dice) que lo he movido al baul de Avast. Dice que se llama RTHDCPL.exe y esta en C:\documets and settings\Usuario.PC0023. Lo llama win32:Beagle-AAD [Trj]. Te lo comento por si te sirve de algo. Saludos, por aquí seguiré.

Es raro que ese archivo sea considerado como infección ya que es un archivo válido, aunque la ubicación en que la encontró el Avast no parece ser la adecuada, en todo caso si aún ubicas ese archivo para descartar que se trate de un malware sube ese archivo a la página de VirusTotal y pega el reporte en este mismo mensaje para su análisis. Sino lo ubicas activas la opción Ver archivos Ocultos, ai aún así ese archivo no aparece entonces ya el Avast se encargó de él.

Por lo demás los reportes están limpios.

Saludos

fjsaras · #17 (**permalink**) 15/02/2008, 17:05

Muchas gracias amigo, es un alivio librarme del gusanito. Estás hecho un auténtico campeón, no hay virus que se te resista. Veré si encuentro el archivo y si lo encuentro intentaré subirlo a la página que me recomiendas, y luego pondré por aquí lo que me digan.
Espero no volver a molestarte tan pronto como esta vez, y me atrevo a realizarte una última pregunta por ahora: A pesar de navegar mucho, y descargarme cosas, siempre le paso los antivirus antes de utilizarlas, y no abro correos electrónicos de los que desconozco su procedencia; por otro lado cuando me infecté tenia activados Avast, trojan Remover y Windows defender, y ninguno me aviso de una posible infección, dicho todo esto, ¿hay alguna sugerencia que me puedas hacer, además de la prudencia, para navegar y descargar archivos de una forma más segura?, la aceptaré y pondré en práctica de inmediato.
Sigo en deuda contigo y no sé como agradecerte tanta ayuda que me has prestado. Me gustaría darte un largo, un muy largo descanso. Te deseo lo mejor. Saludos. Nos leeremos por aquí.

Gpastor · #18 (**permalink**) 16/02/2008, 09:17

Bueno, los virus entran de muchos lados como redes P2P e intercambio de archivos, en emails infectados, y en muchos sitios webs con solo visitarlos como sitios de cracks, seriales, porno, casinos, juegos y mas, por eso la mejor protección es el sentido común y tener cuidado donde se hace clic.

Los virus están en continua renovación por eso muchas veces los antivirus y/o antispyware no los detectan, por eso es preferible tener antivirus que trabajen con Heurística, una tecnología que detecta el comportamiento de ciertos archivos y de acuerdo a ello puede determinar si se trata de un virus. Aún así no hay antivirus 100% confiable por lo que lo mejor es tener mucho sentido común.

Para terminar solo te quedaría quitar CF de la siguiente manera:

Ir a Inicio > Ejecutar
Escribir lo siguiente: ComboFix /u como muestra la imagen debajo:

Esto realizara las siguientes tareas:

Se borraran:
- ComboFix: sus archivos y carpetas.
- VundoFix: copias de seguridad (si está presente)
- La carpeta C:\Deckard (si está presente)
- La carpeta C: _OtMoveIt (si está presente)
Restablece la configuración del reloj.
Ocultar extensiones de archivo (si es necesario.)
Oculta los archivos que estaban ocultos
Reactiva el "Restaurar Sistema"

Para evitar este tipo de infecciones te recomiendo usar un navegador mas seguro como Firefox :fireIE:

Saludos

fjsaras · #19 (**permalink**) 16/02/2008, 14:29

Muy bien amigo, lo haré como dices. No he encontrado ese archivo así que me fiaré de Avast y lo dejaré todo como está. Gracias de nuevo. Un afectuoso saludo. Hasta una próxima, y espero que tardía ocasión. Te leeré por aquí.