Ayuda contra un troyano: Win 32:BHO-KD

JuanJRA · #1 (**permalink**) 31/01/2008, 13:14

Es la primera vez que participo en este foro. Desde hace unas semanas, avast me detecta este troyano que no soy capaz de eliminar ni mover al baul. El ordenador se inicia con más dificlutad necesitando pulsar F11 o F3 para que se inicie. NECESITO AYUDA PORQUE NO TENGO NI IDEA DE LO QUE HACER.
Tengo un compañero (fjsaras) que le ha pasado algo similar y Gpastor se lo ha solucionado.
Muchas gracias de antemano.
Pego el informe de Comobfix por si podemois ir adelantando.
ComboFix 08-02.01.1 - Propietario 2008-01-31 19:30:31.1 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.3082.18.416 [GMT 1:00]
Se ejecuta desde: C:\Documents and Settings\Propietario\Configuración local\Archivos temporales de Internet\Content.IE5\KVPFEIB9\ComboFix[1].exe
* Creado un nuevo punto de restauración

ADVERTENCIA - ESTE EQUIPO NO TIENE INSTALADA LA CONSOLA DE RECUPERACION!
.

(((((((((((((((((((((((((((((((((((( Otras eliminaciones )))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\system32\~.exe . . . . Fallo al eliminar

.
(((((((((((((((((( Archivos creados desde 2008-01-01 - 2008-02-01 )))))))))))))))))))))))))))))))))
.

2008-01-26 15:18 . 2008-01-26 15:20 <DIR> d-------- C:\Documents and Settings\Propietario\Datos de programa\Nokia Multimedia Player
2008-01-26 14:58 . 2008-01-26 15:30 <DIR> d-------- C:\Documents and Settings\Propietario\Datos de programa\Nokia
2008-01-26 14:58 . 2008-01-26 15:01 <DIR> d-------- C:\Documents and Settings\All Users\Datos de programa\PC Suite
2008-01-26 14:57 . 2008-01-26 15:01 <DIR> d-------- C:\Documents and Settings\Propietario\Datos de programa\PC Suite
2008-01-26 14:57 . 2008-01-26 14:57 <DIR> d-------- C:\Archivos de programa\PC Connectivity Solution
2008-01-26 14:57 . 2008-01-26 14:57 <DIR> d-------- C:\Archivos de programa\DIFX
2008-01-26 14:57 . 2008-01-26 14:57 <DIR> d-------- C:\Archivos de programa\Archivos comunes\PCSuite
2008-01-26 14:57 . 2008-01-26 14:57 <DIR> d-------- C:\Archivos de programa\Archivos comunes\Nokia
2008-01-26 14:56 . 2008-01-26 14:56 <DIR> d-------- C:\Documents and Settings\All Users\Datos de programa\Installations
2008-01-26 14:56 . 2008-01-26 14:57 <DIR> d-------- C:\Archivos de programa\Nokia
2008-01-26 14:56 . 2007-02-22 10:15 137,216 --a------ C:\WINDOWS\system32\drivers\nmwcd.sys
2008-01-26 14:56 . 2007-02-22 10:15 90,624 --a------ C:\WINDOWS\system32\nmwcdcls.dll
2008-01-26 14:56 . 2007-02-22 10:15 65,536 --a------ C:\WINDOWS\system32\nmwcdcocls.dll
2008-01-26 14:56 . 2007-02-22 10:15 12,288 --a------ C:\WINDOWS\system32\drivers\nmwcdcm.sys
2008-01-26 14:56 . 2007-02-22 10:15 12,288 --a------ C:\WINDOWS\system32\drivers\nmwcdcj.sys
2008-01-26 14:56 . 2007-02-22 10:15 8,320 --a------ C:\WINDOWS\system32\drivers\nmwcdc.sys
2008-01-06 00:29 . 2008-01-09 15:55 <DIR> d-------- C:\WINDOWS\system32\AppCert
2008-01-06 00:29 . 19,584 C:\WINDOWS\system32\drivers\cghgslqi.dat
2008-01-06 00:28 . 2005-10-14 02:57 84,992 --a------ C:\WINDOWS\system32\ati2cqagm.dll
2008-01-06 00:28 . 2008-01-06 00:28 20,992 --a------ C:\WINDOWS\system32\~.exe

.
(((((((((((((((((((((((((((((((((((((( Reporte Find3M )))))))))))))))))))))))))))))))))))))))))))))))))) )
.
2008-02-01 18:38 --------- d-----w C:\Archivos de programa\AdVantage
2007-12-30 19:43 --------- d-----w C:\Archivos de programa\WinAce
2007-12-21 21:16 --------- d-----w C:\Archivos de programa\Lphant
2007-12-21 19:26 --------- d-----w C:\Archivos de programa\Alwil Software
2007-12-04 14:56 93,264 ----a-w C:\WINDOWS\system32\drivers\aswmon.sys
2007-12-04 14:55 94,544 ----a-w C:\WINDOWS\system32\drivers\aswmon2.sys
2007-12-04 14:53 23,152 ----a-w C:\WINDOWS\system32\drivers\aswRdr.sys
2007-12-04 14:51 42,912 ----a-w C:\WINDOWS\system32\drivers\aswTdi.sys
2007-12-04 14:49 26,624 ----a-w C:\WINDOWS\system32\drivers\aavmker4.sys
2006-11-19 19:46 468 ----a-w C:\Archivos de programa\INSTALL.LOG
2004-03-11 12:27 40,960 ----a-w C:\Archivos de programa\Uninstall_CDS.exe
.

((((((((((((((((((((((((((((((((( Cargando Puntos Reg ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Nota* entradas vac¡as & entradas leg¡timas predeterminadas no son mostradas

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{FFC89074-ED75-41D9-A499-56ADCE81E069}]
2005-10-14 02:57 84992 --a------ C:\WINDOWS\system32\ati2cqagm.dll

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-20 13:00 15360]
"PowerBar"="" []
"NBJ"="C:\Archivos de programa\Ahead\Nero BackItUp\NBJ.exe" [2004-09-22 16:10 1871872]
"swg"="C:\Archivos de programa\Google\GoogleToolbarNotifier\GoogleToolba rNotifier.exe" [2007-06-24 19:03 68856]
"AdVantage"="C:\Archivos de programa\AdVantage\AdVantage.exe" [2007-11-05 17:12 884176]
"LphantAutoRun"="C:\Archivos de programa\Lphant\eLePhantClient.exe" [2007-11-06 20:57 1204224]
"PC Suite Tray"="C:\Archivos de programa\Nokia\Nokia PC Suite 6\PCSuite.exe" [2007-12-10 10:12 695808]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run]
"SoundMan"="SOUNDMAN.EXE" [2005-08-17 11:39 90112 C:\WINDOWS\SOUNDMAN.EXE]
"ATIPTA"="C:\Archivos de programa\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2005-10-13 21:05 344064]
"ULiRaid"="C:\Archivos de programa\ULi5287\ULi5287.exe" [2005-08-23 20:59 409600]
"RemoteControl"="C:\Archivos de programa\CyberLink DVD Solution\PowerDVD\PDVDServ.exe" [2003-12-08 17:35 32768]
"NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.e xe" [2001-07-09 10:50 155648]
"DTVR Agent"="C:\Archivos de programa\ADS Tech\INSTANT TV DVB-T\Scheduled.exe" [2004-08-04 21:54 768000]
"Matchlock Scheduling"="C:\Archivos de programa\Ulead Systems\Ulead InstaMedia 2.0\Monitor.exe" [2005-03-14 09:58 45056]
"Ulead Remote Control Center"="C:\Archivos de programa\Ulead Systems\Ulead InstaMedia 2.0\RMC.exe" [2005-03-18 08:54 49152]
"EM_EXEC"="C:\ARCHIV~1\Logitech\MOUSEW~1\SYSTEM\EM _EXEC.EXE" [2001-09-10 09:41 35328]
"SunJavaUpdateSched"="C:\Archivos de programa\Java\jre1.5.0_09\bin\jusched.exe" [2006-10-12 03:10 49263]
"Picasa Media Detector"="C:\Archivos de programa\Picasa2\PicasaMediaDetector.exe" [2006-12-12 01:36 366400]
"Google Desktop Search"="C:\Archivos de programa\Google\Google Desktop Search\GoogleDesktop.exe" [2007-08-13 14:49 1838592]
"TomTomHOME.exe"="C:\Archivos de programa\TomTom HOME 2\HOMERunner.exe" [2007-08-15 15:59 374688]
"QuickTime Task"="C:\Archivos de programa\QuickTime\qttask.exe" [2007-06-29 05:24 286720]
"iTunesHelper"="C:\Archivos de programa\iTunes\iTunesHelper.exe" [2007-09-07 15:55 267064]
"avast!"="C:\ARCHIV~1\ALWILS~1\Avast4\ashDisp. exe" [2007-12-04 14:00 79224]
"UserFaultCheck"="C:\WINDOWS\system32\dumprep 0 -u" [ ]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\Cur rentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-20 13:00 15360]
"Nokia.PCSync"="C:\Archivos de programa\Nokia\Nokia PC Suite 6\PcSync2.exe" [2007-11-07 17:35 1294336]

[HKEY_LOCAL_MACHINE\system\currentcontrolset\contro l\session manager\appcertdlls]
appsecdll REG_EXPAND_SZ C:\WINDOWS\system32\AppCert\wsil32.dll

R0 indoevii;indoevii;C:\WINDOWS\system32\drivers\cghg slqi.dat []
R0 m5287;m5287;C:\WINDOWS\system32\DRIVERS\m5287.sys [2005-08-19 10:18]
R2 CX2388X;ADS 2388x Video Capture;C:\WINDOWS\system32\drivers\cx88cap.sys [2005-04-15 05:48]
R2 CX88TS;ADS DVBT 2388x Transport Stream Capture;C:\WINDOWS\system32\drivers\cx88ts.sys [2005-04-15 05:48]
R3 CXAVXBAR;ADS 2388x AVStream Crossbar;C:\WINDOWS\system32\drivers\cxavxbar.sys [2005-04-15 05:48]
R3 CXBDATUNE;ADS DVB BDA Tuner/Demod;C:\WINDOWS\system32\drivers\cxBDAtun.sys [2005-04-15 05:48]
R3 ULI5261XP;ULi M526X Ethernet NT Driver;C:\WINDOWS\system32\DRIVERS\ULILAN51.SYS [2005-03-22 20:36]

.
Contenido de carpeta 'Tareas Programadas'
"2008-01-17 18:03:03 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job"
- C:\Archivos de programa\Apple Software Update\SoftwareUpdate.exe
.
************************************************** ************************

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-02-01 19:37:49
Windows 5.1.2600 Service Pack 2 NTFS

escaneando procesos ocultos ...

escaneando entradas ocultas de autostart ...

HKCU\Software\Microsoft\Windows\CurrentVersion\Run
PowerBar = ????????l?@?????????D??????w???????????????wl?@?l? @????? ??????????????w???w???????w?m?wx????????m?w??????? ? ??????????????|x???0????????????????m?w??????????? ??????o??L???C???????l?@?l?@????????w????t?@?????l ?@?8?@?l?@?3??s????????????????????8?@?_??s8?@?8?@

escaneando archivos ocultos ...

el escaneo se completo con exito
archivos ocultos: 0

************************************************** ************************
.
--------------------- DLLs cargados bajo los procesos en ejecuci¢n ---------------------

PROCESS: C:\WINDOWS\Explorer.EXE [6.00.2900.3156]
-> C:\WINDOWS\system32\AppCert\hb13a.dll
.
------------------------ Other Running Processes ------------------------
.

JuanJRA · #2 (**permalink**) 31/01/2008, 13:16

2ª PARTE DEL INFORME DE COMBOFIX

C:\WINDOWS\system32\Ati2evxx.exe
C:\Archivos de programa\Alwil Software\Avast4\aswUpdSv.exe
C:\Archivos de programa\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Archivos de programa\Archivos comunes\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Archivos de programa\Alwil Software\Avast4\ashMaiSv.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Archivos de programa\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Archivos de programa\ULi5287\ULi5287.exe
C:\Archivos de programa\CyberLink DVD Solution\PowerDVD\PDVDServ.exe
C:\Archivos de programa\ADS Tech\INSTANT TV DVB-T\Scheduled.exe
C:\Archivos de programa\Ulead Systems\Ulead InstaMedia 2.0\Monitor.exe
C:\Archivos de programa\Ulead Systems\Ulead InstaMedia 2.0\RMC.exe
C:\ARCHIV~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
C:\Archivos de programa\Java\jre1.5.0_09\bin\jusched.exe
C:\Archivos de programa\Picasa2\PicasaMediaDetector.exe
C:\Archivos de programa\Google\Google Desktop Search\GoogleDesktop.exe
C:\Archivos de programa\TomTom HOME 2\HOMERunner.exe
C:\Archivos de programa\iTunes\iTunesHelper.exe
C:\ARCHIV~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\system32\dumprep.exe
C:\Archivos de programa\Google\GoogleToolbarNotifier\GoogleToolba rNotifier.exe
C:\Archivos de programa\AdVantage\AdVantage.exe
C:\Archivos de programa\Nokia\Nokia PC Suite 6\PCSuite.exe
C:\Archivos de programa\Google\Google Desktop Search\GoogleDesktop.exe
C:\Archivos de programa\Adobe\Acrobat 6.0\Distillr\acrotray.exe
C:\Archivos de programa\ADS Tech\DVBT Utilities\ADSRMT.EXE
C:\Archivos de programa\WinZip\WZQKPICK.EXE
C:\Archivos de programa\PC Connectivity Solution\ServiceLayer.exe
C:\Archivos de programa\iPod\bin\iPodService.exe
C:\Archivos de programa\PC Connectivity Solution\Transports\NclUSBSrv.exe
C:\Archivos de programa\PC Connectivity Solution\Transports\NclIrSrv.exe
C:\Archivos de programa\PC Connectivity Solution\Transports\NclRSSrv.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\dwwin.exe
C:\WINDOWS\system32\dwwin.exe
C:\Archivos de programa\Java\jre1.5.0_09\bin\jucheck.exe
.
************************************************** ************************
.
Tiempo completado: 2008-02-01 19:43:18 - machine was rebooted
ComboFix-quarantined-files.txt 2008-02-01 18:43:13
.
2008-01-10 18:43:26 --- E O F ---

Gpastor · #3 (**permalink**) 31/01/2008, 17:02

Hola, usar ComboFix sin la supervisión de alguien que sepa de su manejo podría resultar perjudicial para tu sistema, por eso te recomiendo que no ejecutes esta herramienta a menos que alguien que te esté asesorando y sepa de su manejo te lo pida.

Sigue estos pasos:

1.-Abrir el Notepad

Clic en INICIO > EJECUTAR >
Y ahí pones notepad.exe y ACEPTAR

2.- Ahora copia y pega este código dentro del Notepad

Código HTML:

KillAll::

File::
C:\WINDOWS\system32\drivers\cghgslqi.dat
C:\WINDOWS\system32\~.exe

Driver::
cghgslqi

Registry::
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"PowerBar"=-

3.- Graba este archivo con el nombre CFScript.txt

4.- Arrastrar y soltar el archivo CFScript.txt dentro del archivo ComboFix.exe como lo muestra la animación de abajo. Esto activara ComboFix nuevamente.

Reinicia y nos cuentas los resultados. junto con un nuevo reporte de ComboFix.

Saludos

JuanJRA · #4 (**permalink**) 03/02/2008, 03:26

Hola, en primer lugar darte las gracias por tu ayuda y por tu tiempo. He hecho lo que me has indicado.
Tras reiniciarlo, Avast sigue detectándolo. Además, no se si tiene que ver, desde hace unos días nada más iniciar el ordenador se queda parado y tengo que pulsar F11 varias veces y elegir en Boot device el disco duro para que acabe de iniciarse. Te adjunto el reporte de Combofix.
Denuevo, muchísimas gracias.

ComboFix 08-02.02.5 - Propietario 2008-02-03 17:24:59.2 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.3082.18.622 [GMT 1:00]
Se ejecuta desde: C:\Documents and Settings\Propietario\Escritorio\ComboFix.exe
Command switches used :: C:\Documents and Settings\Propietario\Escritorio\CFScript.txt
* Creado un nuevo punto de restauración

ADVERTENCIA - ESTE EQUIPO NO TIENE INSTALADA LA CONSOLA DE RECUPERACION!

FILE
C:\WINDOWS\system32\~.exe
C:\WINDOWS\system32\drivers\cghgslqi.dat
.

(((((((((((((((((((((((((((((((((((( Otras eliminaciones )))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\system32\~.exe
C:\WINDOWS\system32\drivers\cghgslqi.dat

.
(((((((((((((((((( Archivos creados desde 2008-01-03 - 2008-02-03 )))))))))))))))))))))))))))))))))
.

2008-02-01 19:43 . 2008-02-03 17:27 <DIR> d-------- C:\WINDOWS\system32\config\systemprofile\Configura ción local
2008-02-01 19:43 . 2008-02-03 17:27 <DIR> d-------- C:\Documents and Settings\Propietario\Configuración local
2008-02-01 19:43 . 2008-02-03 17:27 <DIR> d-------- C:\Documents and Settings\NetworkService\Configuración local
2008-02-01 19:43 . 2008-02-03 17:27 <DIR> d-------- C:\Documents and Settings\LocalService\Configuración local
2008-02-01 19:43 . 2008-02-03 17:27 <DIR> d-------- C:\Documents and Settings\Default User\Configuración local
2008-01-26 15:18 . 2008-01-26 15:20 <DIR> d-------- C:\Documents and Settings\Propietario\Datos de programa\Nokia Multimedia Player
2008-01-26 14:58 . 2008-01-26 15:30 <DIR> d-------- C:\Documents and Settings\Propietario\Datos de programa\Nokia
2008-01-26 14:58 . 2008-01-26 15:01 <DIR> d-------- C:\Documents and Settings\All Users\Datos de programa\PC Suite
2008-01-26 14:57 . 2008-01-26 15:01 <DIR> d-------- C:\Documents and Settings\Propietario\Datos de programa\PC Suite
2008-01-26 14:57 . 2008-01-26 14:57 <DIR> d-------- C:\Archivos de programa\PC Connectivity Solution
2008-01-26 14:57 . 2008-01-26 14:57 <DIR> d-------- C:\Archivos de programa\DIFX
2008-01-26 14:57 . 2008-01-26 14:57 <DIR> d-------- C:\Archivos de programa\Archivos comunes\PCSuite
2008-01-26 14:57 . 2008-01-26 14:57 <DIR> d-------- C:\Archivos de programa\Archivos comunes\Nokia
2008-01-26 14:56 . 2008-01-26 14:56 <DIR> d-------- C:\Documents and Settings\All Users\Datos de programa\Installations
2008-01-26 14:56 . 2008-01-26 14:57 <DIR> d-------- C:\Archivos de programa\Nokia
2008-01-26 14:56 . 2007-02-22 10:15 137,216 --a------ C:\WINDOWS\system32\drivers\nmwcd.sys
2008-01-26 14:56 . 2007-02-22 10:15 90,624 --a------ C:\WINDOWS\system32\nmwcdcls.dll
2008-01-26 14:56 . 2007-02-22 10:15 65,536 --a------ C:\WINDOWS\system32\nmwcdcocls.dll
2008-01-26 14:56 . 2007-02-22 10:15 12,288 --a------ C:\WINDOWS\system32\drivers\nmwcdcm.sys
2008-01-26 14:56 . 2007-02-22 10:15 12,288 --a------ C:\WINDOWS\system32\drivers\nmwcdcj.sys
2008-01-26 14:56 . 2007-02-22 10:15 8,320 --a------ C:\WINDOWS\system32\drivers\nmwcdc.sys
2008-01-06 00:29 . 2008-01-09 15:55 <DIR> d-------- C:\WINDOWS\system32\AppCert
2008-01-06 00:28 . 2005-10-14 02:57 84,992 --a------ C:\WINDOWS\system32\ati2cqagm.dll

.
(((((((((((((((((((((((((((((((((((((( Reporte Find3M )))))))))))))))))))))))))))))))))))))))))))))))))) )
.
2008-02-03 11:44 --------- d-----w C:\Archivos de programa\AdVantage
2007-12-30 19:43 --------- d-----w C:\Archivos de programa\WinAce
2007-12-21 21:16 --------- d-----w C:\Archivos de programa\Lphant
2007-12-21 19:26 --------- d-----w C:\Archivos de programa\Alwil Software
2007-12-04 14:56 93,264 ----a-w C:\WINDOWS\system32\drivers\aswmon.sys
2007-12-04 14:55 94,544 ----a-w C:\WINDOWS\system32\drivers\aswmon2.sys
2007-12-04 14:53 23,152 ----a-w C:\WINDOWS\system32\drivers\aswRdr.sys
2007-12-04 14:51 42,912 ----a-w C:\WINDOWS\system32\drivers\aswTdi.sys
2007-12-04 14:49 26,624 ----a-w C:\WINDOWS\system32\drivers\aavmker4.sys
2006-11-19 19:46 468 ----a-w C:\Archivos de programa\INSTALL.LOG
2004-03-11 12:27 40,960 ----a-w C:\Archivos de programa\Uninstall_CDS.exe
.

((((((((((((((((((((((((((((((((( Cargando Puntos Reg ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Nota* entradas vac¡as & entradas leg¡timas predeterminadas no son mostradas

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{FFC89074-ED75-41D9-A499-56ADCE81E069}]
2005-10-14 02:57 84992 --a------ C:\WINDOWS\system32\ati2cqagm.dll

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-20 13:00 15360]
"NBJ"="C:\Archivos de programa\Ahead\Nero BackItUp\NBJ.exe" [2004-09-22 16:10 1871872]
"swg"="C:\Archivos de programa\Google\GoogleToolbarNotifier\GoogleToolba rNotifier.exe" [2007-06-24 19:03 68856]
"AdVantage"="C:\Archivos de programa\AdVantage\AdVantage.exe" [2007-11-05 17:12 884176]
"LphantAutoRun"="C:\Archivos de programa\Lphant\eLePhantClient.exe" [2007-11-06 20:57 1204224]
"PC Suite Tray"="C:\Archivos de programa\Nokia\Nokia PC Suite 6\PCSuite.exe" [2007-12-10 10:12 695808]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Run]
"SoundMan"="SOUNDMAN.EXE" [2005-08-17 11:39 90112 C:\WINDOWS\SOUNDMAN.EXE]
"ATIPTA"="C:\Archivos de programa\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2005-10-13 21:05 344064]
"ULiRaid"="C:\Archivos de programa\ULi5287\ULi5287.exe" [2005-08-23 20:59 409600]
"RemoteControl"="C:\Archivos de programa\CyberLink DVD Solution\PowerDVD\PDVDServ.exe" [2003-12-08 17:35 32768]
"NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.e xe" [2001-07-09 10:50 155648]
"DTVR Agent"="C:\Archivos de programa\ADS Tech\INSTANT TV DVB-T\Scheduled.exe" [2004-08-04 21:54 768000]
"Matchlock Scheduling"="C:\Archivos de programa\Ulead Systems\Ulead InstaMedia 2.0\Monitor.exe" [2005-03-14 09:58 45056]
"Ulead Remote Control Center"="C:\Archivos de programa\Ulead Systems\Ulead InstaMedia 2.0\RMC.exe" [2005-03-18 08:54 49152]
"EM_EXEC"="C:\ARCHIV~1\Logitech\MOUSEW~1\SYSTEM\EM _EXEC.EXE" [2001-09-10 09:41 35328]
"SunJavaUpdateSched"="C:\Archivos de programa\Java\jre1.5.0_09\bin\jusched.exe" [2006-10-12 03:10 49263]
"Picasa Media Detector"="C:\Archivos de programa\Picasa2\PicasaMediaDetector.exe" [2006-12-12 01:36 366400]
"Google Desktop Search"="C:\Archivos de programa\Google\Google Desktop Search\GoogleDesktop.exe" [2007-08-13 14:49 1838592]
"TomTomHOME.exe"="C:\Archivos de programa\TomTom HOME 2\HOMERunner.exe" [2007-08-15 15:59 374688]
"QuickTime Task"="C:\Archivos de programa\QuickTime\qttask.exe" [2007-06-29 05:24 286720]
"iTunesHelper"="C:\Archivos de programa\iTunes\iTunesHelper.exe" [2007-09-07 15:55 267064]
"avast!"="C:\ARCHIV~1\ALWILS~1\Avast4\ashDisp. exe" [2007-12-04 14:00 79224]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\Cur rentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-20 13:00 15360]
"Nokia.PCSync"="C:\Archivos de programa\Nokia\Nokia PC Suite 6\PcSync2.exe" [2007-11-07 17:35 1294336]

[HKEY_LOCAL_MACHINE\system\currentcontrolset\contro l\session manager\appcertdlls]
appsecdll REG_EXPAND_SZ C:\WINDOWS\system32\AppCert\wsil32.dll

R0 m5287;m5287;C:\WINDOWS\system32\DRIVERS\m5287.sys [2005-08-19 10:18]
R2 CX2388X;ADS 2388x Video Capture;C:\WINDOWS\system32\drivers\cx88cap.sys [2005-04-15 05:48]
R2 CX88TS;ADS DVBT 2388x Transport Stream Capture;C:\WINDOWS\system32\drivers\cx88ts.sys [2005-04-15 05:48]
R3 CXAVXBAR;ADS 2388x AVStream Crossbar;C:\WINDOWS\system32\drivers\cxavxbar.sys [2005-04-15 05:48]
R3 CXBDATUNE;ADS DVB BDA Tuner/Demod;C:\WINDOWS\system32\drivers\cxBDAtun.sys [2005-04-15 05:48]
R3 ULI5261XP;ULi M526X Ethernet NT Driver;C:\WINDOWS\system32\DRIVERS\ULILAN51.SYS [2005-03-22 20:36]
S0 indoevii;indoevii;C:\WINDOWS\system32\drivers\cghg slqi.dat []

.
Contenido de carpeta 'Tareas Programadas'
"2008-01-17 18:03:03 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job"
- C:\Archivos de programa\Apple Software Update\SoftwareUpdate.exe
.
************************************************** ************************

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-02-03 17:30:34
Windows 5.1.2600 Service Pack 2 NTFS

escaneando procesos ocultos ...

escaneando entradas ocultas de autostart ...

escaneando archivos ocultos ...

el escaneo se completo con exito
archivos ocultos: 0

JuanJRA · #5 (**permalink**) 03/02/2008, 03:28

2º PARTE REPORT COMBOFIX:
************************************************** ************************
.
--------------------- DLLs cargados bajo los procesos en ejecuci¢n ---------------------

PROCESS: C:\WINDOWS\Explorer.EXE [6.00.2900.3156]
-> C:\WINDOWS\system32\AppCert\hb13a.dll
-> C:\Archivos de programa\WinRAR\rarext.dll
.
------------------------ Other Running Processes ------------------------
.
C:\WINDOWS\system32\Ati2evxx.exe
C:\Archivos de programa\Alwil Software\Avast4\aswUpdSv.exe
C:\Archivos de programa\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Archivos de programa\Archivos comunes\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Archivos de programa\Alwil Software\Avast4\ashMaiSv.exe
C:\Archivos de programa\Adobe\Acrobat 6.0\Distillr\acrotray.exe
C:\Archivos de programa\PC Connectivity Solution\ServiceLayer.exe
C:\Archivos de programa\ADS Tech\DVBT Utilities\ADSRMT.EXE
C:\Archivos de programa\PC Connectivity Solution\Transports\NclUSBSrv.exe
C:\Archivos de programa\WinZip\WZQKPICK.EXE
C:\Archivos de programa\iPod\bin\iPodService.exe
C:\Archivos de programa\PC Connectivity Solution\Transports\NclIrSrv.exe
C:\Archivos de programa\PC Connectivity Solution\Transports\NclRSSrv.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Archivos de programa\Java\jre1.5.0_09\bin\jucheck.exe
.
************************************************** ************************
.
Tiempo completado: 2008-02-03 17:35:55 - machine was rebooted [Propietario]
ComboFix-quarantined-files.txt 2008-02-03 16:35:51
ComboFix2.txt 2008-02-01 18:43:18
.
2008-01-10 18:43:26 --- E O F ---

JuanJRA · #6 (**permalink**) 03/02/2008, 14:28

He pasado Avast otra vez y creo que lo ha eliminado. Muchisisismas gracias de nuevo.

Gpastor · #7 (**permalink**) 04/02/2008, 09:58

Bien para terminar solo te quedaría quitar CF de la siguiente manera:

Ir a Inicio > Ejecutar
Escribir lo siguiente: ComboFix /u como muestra la imagen debajo:

Esto realizara las siguientes tareas:

Se borraran:
- ComboFix: sus archivos y carpetas.
- VundoFix: copias de seguridad (si está presente)
- La carpeta C:\Deckard (si está presente)
- La carpeta C: _OtMoveIt (si está presente)
Restablece la configuración del reloj.
Ocultar extensiones de archivo (si es necesario.)
Oculta los archivos que estaban ocultos
Reactiva el "Restaurar Sistema"

Para evitar este tipo de infecciones te recomiendo usar un navegador mas seguro como Firefox

Saludos